일일 노출 수학
Cyberhaven의 연구에 따르면, 기업 직원들은 사용자당 하루 평균 3.8개의 민감한 데이터 붙여넣기를 ChatGPT에 합니다. 100명의 고객 지원 팀의 경우, 이 수치는 매일 ChatGPT에 들어가는 민감한 데이터의 380건에 해당합니다 — 각 사례는 개인 데이터가 "적절하고, 관련성이 있으며, 필요한 것에 한정되어야 한다"는 제5조(1)(c)에 따라 GDPR 데이터 최소화 위반을 구성할 수 있습니다.
3.8이라는 수치는 정책을 무시하는 직원의 수치가 아닙니다. 이는 일반적인 워크플로우 행동을 반영합니다: 에이전트는 고객 서신을 복사하여 응답 초안을 작성하고, 불만 텍스트를 붙여넣어 공감하는 후속 조치를 생성하며, 맥락 인식 제안을 받기 위해 계정 세부정보를 포함합니다. 각 붙여넣기는 개인 데이터를 우연히 포함하는 정당한 생산성 행동입니다. 직원은 고객 데이터를 노출하기로 결정하지 않았습니다; 노출은 AI 도구를 효율적으로 사용하기로 결정한 결과입니다.
2024년 EU 감사에서는 **ChatGPT 사용자 데이터의 63%**가 개인 식별 정보를 포함하고 있음을 발견했습니다. 22%의 사용자만이 ChatGPT의 설정을 통해 데이터 수집을 선택 해제할 수 있다는 것을 알고 있었습니다. 이 조합 — 대부분의 데이터가 PII를 포함하고, 대부분의 사용자가 제어를 인식하지 못함 — 은 기술적 제어를 구현하지 않은 모든 조직에서 체계적인 일일 노출을 생성합니다.
행동을 훈련으로 없앨 수 없는 이유
복사-붙여넣기 워크플로우는 깊이 습관화되어 있습니다. 사용자는 수십 년 동안 기본적인 컴퓨터 상호작용으로 텍스트를 복사하고 붙여넣어 왔습니다. 붙여넣기 텍스트의 목적지로 AI 챗봇이 추가되었지만, 기본 행동은 변경되지 않았습니다; 이는 기존 패턴을 새로운 대상으로 확장한 것입니다.
"고객 PII를 ChatGPT에 붙여넣지 마세요"라는 정책 교육은 직원이 습관적인 행동에 "이 텍스트에 PII가 포함되어 있나요?"라는 분류 결정을 삽입해야 합니다. 훈련 효과는 행동이 습관으로 돌아가면서 감소합니다. 각 개별 붙여넣기 결정은 낮은 위험의 미세 결정입니다; 하루 380개의 결정의 누적 효과는 정책 교육이 신뢰할 수 있게 해결할 수 없는 체계적인 준수 위험입니다.
기술적 해결책은 습관이 형성되는 층에서 작동합니다: 붙여넣기 행동 자체입니다. Chrome 확장은 붙여넣기 순간에 클립보드 내용을 가로채며, 내용이 입력 필드에 도달하기 전에 이루어집니다. 가로채기는 정책 집행 장벽이 아닙니다(사용자는 항상 무시할 수 있음) — 이는 투명성 도구입니다. 미리보기 모달은 직원에게 감지된 내용을 보여주어, 진행하기 전에 분류 결정에 대한 가시성을 제공합니다.
독일 전자상거래 회사의 지원 팀 리더가 고객 불만에 대한 응답을 작성하는 경우: 워크플로우는 "불만 복사, ChatGPT에 붙여넣기, 응답 생성"으로 유지됩니다. Chrome 확장은 에이전트가 이름, 주소 및 주문 번호가 감지되었고 제출 전에 익명화될 것임을 확인하는 2초의 간격을 추가합니다. 에이전트는 진행을 클릭합니다. 워크플로우는 계속됩니다. 준수 위반은 발생하지 않습니다.
출처: