BDAR ir ChatGPT: anonimizavimas laiku klientu aptarnavimui
Atnaujinta 2026 m.
Duomenu perdavimo konfliktas
Paramos komandos naudoja ChatGPT atsakymams rengti. Tai sukuria BDAR problema. Klientu vardai, uzsakymu ID ir adresai yra asmenine informacija. Siuncias juos ChatGPT reiškia siusti juos i OpenAI serverius Jungtinese Amerikos Valstijose.
BDAR 46 straipsnis reglamentuoja perdavima i ne ES šalis. Reikalauja apsaugos priemoniu. Apsaugos priemones apima standartines sutarciniu salygos (SSS), tinkamumas sprendimus ir privalomas imonines taisykles.
OpenAI siūlo SSS verslo klientams. Daugelis paramos komandu naudoja standartines vartotojų paskyras. Tose paskyrose nera tokiu paciu apsaugos priemoniu. 2024 m. ES auditas nustate, kad 63 % ChatGPT naudotoju irašu buvo iš paskyru be verslo lygio apsaugos nustatymų.
Italijos Garante rodo, kur veda vykdymas. 2024 m. gruodi institucija skyre OpenAI 15 milijonu eurų baudą. Tris nesekmes leme bausdą: netinkamas teisinis pagrindas, prasta skaidrumas del mokymo, ir jokio amžiaus patikrinimo nepilnamecciams. Tuo metu 63 % Italijos imoniu neturejo BDAR atitinkanciu AI politiku.
Laiku (JIT) anonimizavimas išsprendžia problema
Laiku (JIT) anonimizavimas neleidžia asmeniniams duomenims patekti i ChatGPT. Jis veikia pateikimo momentu. Jis veikia prieš kreipiantis i OpenAI.
Stai kaip tai veikia. Paramos agentas iklijuoja kliento skunda i ChatGPT. Naršyklės plecinas perima iklijavima. Jis aptinka varda, uzsakymo numeri ir adresa. Agentas mato peržiura. Agentas spusteli testi. ChatGPT gauna švarią versija su žetonais vietoj identifikatoriaus.
ChatGPT rengia atsakyma naudodamas tuos žetonus. Plecinas pakeicia žetonus atgal i tikras reikšmes. Agentas mato tikra varda atsakyme. ChatGPT niekada neapdorojo to vardo.
Pagal šia konstrukcija BDAR 46 straipsnis netaikomas. Kas pasiekia OpenAI, pagal BDAR nera asmeniniai duomenys. Kliento vardas ir adresas lieka agento naršyklje, ES ribose. Atitiktis yra strukturine. Ji nesiremia vien sutartimis. Žr. mūsu atitikties vadova del dokumentavimo reikalavimu.
Kodel sutartiniu apsaugos priemoniu nepakanka
SSS ir DPS yra tinkamos apsaugos priemones. Taciau jos kelia nuolatine rizika. Jos priklauso nuo personalo, naudojancio tinkama paskyros lygi. Jos reikalauja atnaujinimo. Jos reikalauja reguliaraus audito. Viena personalo klaida gali suardyti grandinę.
Techniniu kontroles priemones yra patvaresnės. Jei asmeniniai duomenys niekada nepalieka naršyklės kaip ivadas, joks pažeidimas negali ju atskleisti. Garante 15 milijonu eurų bauda patvirtina šia nuomone. Pagrindine nesekme buvo techninių kontroles priemoniu nebuvimas, o ne tik trūkstami dokumentai. Mūsu saugumo apžvalga apima visą sluoksniuota metodą.
JIT anonimizavimo nustatymas
Trys žingsniai užbaigia nustatymą.
Idiekite naršyklės plecini. Chrome plecinas veikia tarp agento ir AI irankio. Paties AI irankio nereikia keisti. Agentai toliau naudoja savo esamą darbo eiga.
Konfigūruokite subjektu aptikima. Ijunkite subjektu tipus savo klientu bazei. ES paramos komandoms tai reiškia vardus, adresus, el. pašto adresus, telefonu numerius, uzsakymu ID ir vietos nacionalinio ID formatus.
Ijunkite audito žurnala. Reguliuotojai praše iirodymu, kad kontroles priemones veike. Ziurnalo irašas kiekvienam ivykiui - laiko žymė, subjektu tipai, skaicius - suteikia inspektoriams irodymus. Joks asmeninis turinys nera saugomas. Žr. mūsu DUK konfigūracijos klausimams.