Ce Caută Auditorii APD în Conformitatea Instrumentelor AI
În urma incidentului Samsung ChatGPT (martie 2023) și a scrutinului de reglementare ulterior al adoptării instrumentelor AI enterprise, auditorii APD au dezvoltat întrebări specifice despre programele de conformitate ale instrumentelor AI:
Controale tehnice:
- „Ce măsuri tehnice previn ajungerea datelor personale la sistemele AI externe?"
- „Cum aplicați cerințele de anonimizare în interacțiunile AI în timp real?"
- „Ce dovezi demonstrează că aceste controale tehnice funcționează?"
Monitorizare:
- „Cum monitorizați utilizarea instrumentelor AI de către angajați pentru expunerea datelor personale?"
- „Ce metrici urmăriți? La ce frecvență?"
- „Cum știți că controalele dumneavoastră sunt eficiente față de a fi ocolite?"
Documentele de politici nu răspund la niciunul din aceste întrebări cu dovezi. Ele descriu ce ar trebui să facă angajații; nu demonstrează ce fac efectiv.
Decalajul de Vizibilitate a Monitorizării
Echipele IT enterprise se confruntă cu o provocare fundamentală de monitorizare pentru instrumentele AI bazate pe browser:
Criptarea HTTPS: Toate platformele AI majore (ChatGPT, Claude, Gemini) utilizează HTTPS cu HSTS. Inspecția pachetelor la nivelul rețelei nu poate vedea conținutul promptului.
Inspecția conținutului endpoint: DLP-ul endpoint tradițional monitorizează fișierele și transferurile de email — nu intrările din câmpul de text al browserului.
Soluția: Chrome Extension Analytics Extensia Chrome anonym.legal funcționează la stratul de browser, unde conținutul de intrare este vizibil înainte de transmitere. Extensia:
- Detectează PII înainte de trimiterea la platforma AI
- Anonimizează automat sau avertizează utilizatorul
- Înregistrează metrici de detecție pentru raportarea conformității
Aceste metrici — număr de detecții per perioadă, tipuri de entități detectate, rata intervențiilor de anonimizare — oferă dovezile cantitative pe care le solicită auditorii APD.
Surse: Incidentul Samsung ChatGPT Raportul Intern al Securității 2023; Orientarea ICO privind Instrumentele AI și Conformitatea GDPR 2024