Miért Nem Fog az Irányelvképzés
Az adatvédelmi irányelvképzés azzal a feltételezéssel működik, hogy ha az alkalmazottaknak megtanítjuk, mi a PII, és mit nem szabad az AI eszközökkel megosztani, elkerülik a PII megosztását. A bizonyítékok az ellenkezőjét mutatják.
A Cyberhaven 2025-ös AI adatkiszivárgási jelentése megállapítja, hogy a vállalati AI-felhasználók 77%-a rendszeresen másol-illeszt be adatokat ChatGPT és hasonló eszközökbe — beleértve az adatokat azokból a rendszerekből, amelyekbe bejelentkezve vannak az ülés alatt. A kutatás feltárta, hogy a feltöltött fájlok majdnem 40%-a érzékeny adatokat tartalmaz: ügyféladatokat, pénzügyi adatokat, egészségügyi nyilvántartásokat, alkalmazottkódokat.
A tudás-viselkedés rés jól dokumentált a viselkedéstudományokban. Az alkalmazottak tudják, hogy nem szabad PII-t megosztani az AI-val — de a munka elvégzésének nyomása, az eszközök elérhetősége és az azonnali következmény hiánya megszakítja a tudás és cselekvés közötti kapcsolatot.
A Technikai Kontrollok Szintjei
1. szint: Hálózati DLP (hatástalan a webböngésző AI ellen)
A hagyományos hálózati Data Loss Prevention megoldások az Enterprise DLP piacának nagy részét uralják — Symantec, McAfee, Forcepoint. Ezek az eszközök a hálózati forgalmat vizsgálják, hogy észleljék az ismert PII minták (SSN-ek, hitelkártyaszámok, egészségügyi nyilvántartási számok) kimenetét.
A webböngésző-alapú AI-benyújtásokra vonatkozó korlátok: az HTTPS titkosítás megakadályozza a hálózati DLP tartalom-ellenőrzését más szinten, mint a végponti ügynök szintjén. A ChatGPT és Claude weben HTTPS-t használnak. A hálózati DLP nem látja az adatokat, kivéve ha TLS-ellenőrzést alkalmaznak — amelynek saját adatvédelmi következményei vannak, és amelyet az HTTPS-tanúsítványokra támaszkodó alkalmazások megzavarhat.
2. szint: Végponti DLP (részlegesen hatékony)
A végponti DLP ügynökök — Microsoft Purview, Symantec DLP Endpoint — képesek vágólapszabályokat alkalmazni, amelyek megakadályozzák az érzékeny adatok ChatGPT.com-ra másolását. Ezt nehézkes konfigurálni, és a felhasználói élményt rontja — az alkalmazottak megtalálják a megkerülő módokat (kézzel gépelnek a szöveg másolása helyett).
3. szint: Böngészőbővítmény-alapú PII-szűrés (hatékony, a jelenlegi legjobb megközelítés)
Az AI bővítmények — beleértve az anonym.legal Chrome bővítményét — névtelenítik a PII-t, mielőtt az bármelyik AI-eszköznek elküldik, közvetlenül a böngészőben, a felküldés előtt. Ez a megközelítés ott hat, ahol az adat mozog: a felhasználó és az AI API között.
Technikai megvalósítás: A bővítmény meghallgatja a küldési eseményeket a ChatGPT, Gemini, Claude és más AI felületeken. Mielőtt a felhasználói bevitel elküldésre kerül, a bővítmény a szöveget egy PII-észlelő motoron futtatja (helyi feldolgozás — az adat nem hagyja el a böngészőt). Az észlelt PII-t tokenekkel helyettesíti. A névtelenített szöveg kerül elküldésre az AI API-ra. Az AI válasza visszaérkezik névtelenített formában. A tokenek opcionálisan visszacserélhetők az eredeti értékekre a válasz megjelenítésekor.
A 77% Problémájának Kezelése
A Cyberhaven megállapítás — a vállalati AI-felhasználók 77%-a rendszeresen oszt meg érzékeny adatokat AI eszközökkel — nem fog megoldódni irányelvgyakorlatokkal. Technikai megelőzéssel kezelhető.
A böngészőbővítmény-alapú megközelítés skálázódik azért, mert:
- A PII-szűrés megkezdése előtt nincs szükség felhasználói képzésre
- Minden alkalmazottnál minden felhasználási esetben alkalmazza magát
- A naplózás bizonyítékot biztosít a GDPR 32. cikk szerinti megfelelőséghez
- Nem zavarja a munkafolyamatot — az AI eszközök ugyanúgy működnek, csak névtelenített bemenettel
Források: