Sýna GDPR 32. gr. samræmi fyrir gervigreindartæki
Uppfært fyrir 2026.
GDPR 32. gr. krefst "viðeigandi tæknilegra og skipulagslegra ráðstafana" til að vernda persónuupplýsingar. Þegar starfsmenn nota ytri gervigreindartæki - ChatGPT, Claude, Gemini - er áhættan raunveruleg og mælanleg. Stjórntækin verða einnig að vera mælanleg.
Stefna sem segir "ekki deilir persónuupplýsingum með gervigreindartækjum" er skipulagsráðstöfun. Hún er ekki tæknilegt ráðstöfun. Hún nægir ekki þegar DPA-endurskoðandi spyr: "Hvernig veistu að starfsmenn fara að þessu?"
Hvað DPA-endurskoðendur spyrja um gervigreindartæki
Eftir Samsung ChatGPT-brotið í mars 2023 tóku eftirlitsaðilar gaumgæfilega starf fyrirtækjaáætlana gervigreindar. DPA-endurskoðendur spyrja nú beinnar spurninga.
Um tæknilegar stjórnir spyrja þeir:
- Hvað stöðvar persónuupplýsingar frá því að ná til gervigreindarkerfa?
- Hvernig framfylgirðu grímusetningu í rauntíma?
- Hvaða gögn sýna að stjórnirnar virka?
Um eftirlit spyrja þeir:
- Hvernig fylgistu með notkun starfsmanna á gervigreind fyrir PII-útsetningu?
- Hvaða mælingar safnar þú? Hversu oft?
- Hvernig veistu að farið er framhjá stjórnunum?
Um atvikagreiningu spyrja þeir:
- Hvernig myndir þú greina PII-leka í gervigreindartæki?
- Hvað er viðbragðsáætlun þín?
Stefnuskjöl svara engum þessara spurninga. Þau segja hvað starfsmenn ættu að gera. Þau sýna ekki hvað starfsmenn gera í raun.
Eftirlitsbilið fyrir vafragervigreindartæki
Fyrirtækja-IT-teymi standa frammi fyrir kjarnvandamáli: vafragervigreindartæki eru erfið í eftirliti.
HTTPS-dulkóðun
ChatGPT, Claude og Gemini nota öll HTTPS með HSTS. Neteftirlit getur ekki lesið texta tilmæla án TLS-afkóðunar.
TLS-skoðun
SSL-skoðun þarf fyrirtækjavottorð á hverju tæki. Það getur brotið vottorðsfestingu í sumum forritum. Það skapar ný öryggisbil. Það kann að brjóta þjónustuskilmála gervigreindavettvanga. Það vekur persónuverndarvandamál starfsmanna í mörgum löndum.
Endapunkt-DLP
Endapunktaumboðsmenn fylgjast með klippiborð og lyklaborðsinnslátt. En þeir hafa hátt hlutfall rangra jákvæðrar. Þeir geta ekki greint "slá inn gögn viðskiptavinar í samning" frá "slá þau inn í ChatGPT." Seinkun getur misst af beinum sendingum.
Niðurstaðan: flest fyrirtæki sem nota gervigreindartæki hafa litla yfirsýn yfir hvaða gögn ná til þessara kerfa.
Samræmnimælaborð í framkvæmd
Fjármálaþjónustu CISO verður að sýna endurskoðendum að PII-útsetning gervigreindartækja er rakin og stjórnað. Endurskoðunarkrafinn: harð gögn um virkt eftirlit.
Fyrirtækið setur upp Chrome-viðbót fyrir 500 starfsmenn. Eins vikur framleiðsla:
| Mæling | Vikugildi |
|---|---|
| Heildargervigreindarsetur | 8.400 |
| PII-einingar greindar | 12.000 |
| Grímusetningarlíkur | 94% |
| Nöfn viðskiptavina fundin | 4.800 |
| Reikningsnúmer fundin | 3.200 |
| Færslunúmer fundin | 2.100 |
| Ógrímdar sendingar (6%) | 720 einingar |
Athugið: dæmisaga til útskýringar. Niðurstöður eru breytilegar eftir stærð fyrirtækis og gervigreindarnotkun.
Fjórar hlutir sýna þetta endurskoðendum:
- Umfang gervigreindatækjanotkunar (8.400 setur á viku)
- Magn PII í hættu (12.000 einingar fundin)
- Afköst stjórnunar (94% grímusetningarlíkur)
- Eftirliggjandi áhætta (720 einingar þurfa eftirfylgni)
Þrjár hlutir sem endurskoðendur geta staðfest:
- Tæknilegt stjórntæki er í gangi (uppsetningarkladdar viðbótar)
- Eftirlit er virkt (vikulegar skýrslur)
- Eftirliggjandi áhætta er stýrð (eftirfylgniþjálfun fyrir 6%)
Þetta er bilið milli "við höfum stefnu" og "hér er mælt úttak okkar frá stjórnunum."
Umbreyta framleiðslu í umbætur
6% sem send voru án grímusetningar er ekki bilun. Þetta er eftirlit. Fyrirtækið veit nú:
- Hvaða starfsmenn hafna grímusetningaröskum eða missa af þeim.
- Hvaða einingategundir eru oftast sendar ógrímusettar.
- Hvaða teymi hafa hærri framhjálíkur.
- Hvort líkunarnar falli eftir að starfsmenn aðlagast.
Þetta knýr markvissa aðgerð. Starfsmenn með háar framhjálíkur fá aukna þjálfun. Einingategundir með háar framhjálíkur gætu þurft sterkari áskoranir. Teymi með endurteknar framhjálíkur gætu þurft breytingu á verkflæðinu.
Án þessarar framleiðslu er þjálfun beitt jafnt. Með henni fer þjálfun þangað sem áhættan er mest.
Hvernig fullkomið 32. gr. pakki lítur út
Fullkominn GDPR 32. gr. skjalasett fyrir gervigreindatæki:
Tæknilegar ráðstafanir:
- Chrome-viðbót á N tækjum (sönnun: MDM-kladdar)
- PII-greining í beinni í innsláttarreitum gervigreindartækja
- Grímusetningarverkflæði með endurskoðunarslóð (kladdar viðbótar)
- Samræmnimælaborð (greiningarmælingar)
Skipulagsráðstafanir:
- Stefna um notkun gervigreindartækja
- Þjálfunarskrár starfsmanna
- Atvikaviðbragðsáætlun vegna gagnaleka gervigreindar
- Ársfjórðungsleg endurskoðun á eftirlitsúttaki
Eftirlitsgögn:
- Vikulegar mælaborðsmælingar (12 mánuðir í röð)
- Þróun grímusetningarlíkna
- Sundurliðun eftir einingategundum
- Eftirfylgnifarslur vegna framhjálíkna
Atvikagreining:
- Eftirlitsúttakið flaggar óvenjulega hegðun (skyndileg likanfall, nýjar einingategundir)
- Atvikaviðbragðsáætlun prófuð [dagsetning]
Þetta sett fullnægir 32. gr. Það sýnir tæknilegar og skipulagsráðstafanir með raunverulegum gögnum.
Megna áhættuminnkun
Vegna hlutfallsprófunar þarftu að sýna þá áhættu sem stjórnunin fjarlægir.
Án stjórnunar:
- 11% gervigreindatilmæla innihalda PII (Cyberhaven 2025)
- 8.400 vikulegar setur × 11% = 924 setur með PII á viku
- Hvert setur: möguleg 83. gr. GDPR-útsetning ef ESB-gögn eru hlut á ferðinni
Með stjórnun (94% grímusetningarlíkur):
- 924 setur með greindu PII
- 94% grímusettar: 869 setur vernduð
- Eftirliggjandi: 55 setur á viku með ógrímusettu efni
Niðurstaðan: 94% minnkun á PII-útsetningu frá notkun gervigreindartækja.
Fyrir eftirlitsaðila sem beita hlutfallsprófun er 94% minnkun frá uppsettri tæknilegri stjórnun sterkt gögn. Sjá einnig rauntíma PII-varnir fyrir gervigreindartæki og vafra-DLP fyrir ChatGPT, Claude og Gemini.
Niðurstaða
GDPR 32. gr. samræmi gervigreindartækja getur ekki hvílt á stefnu einni. Eftirlit á vafrasetur gervigreindar vegna PII-útsetningu þarf tæknilegt stjórntæki sem framleiðir gögn.
Lifsett grímusetning með innbyggðu eftirliti gefur þér bæði: varnir (minni útsetning) og gögn (mæld áhætta og stjórnunarúttaki). Sú samsetning fullnægir 32. gr.
Fyrir CISO-stjórnendur sem standa frammi fyrir DPA-endurskoðun: endurskoðendur vilja hörð gögn. Sýndu greindaríkur, grímusetningarlíkur og þróun eftirliggjandi áhættu. Stefnan er upphafið. Eftirlitsúttakið er sönnunin.
Fyrir samanburð á lokun og grímusetningu sem stjórnun, sjá Vafra-DLP: Lokun gagnvart nafnleynigervingu.