Ako zákaznícki agenti ChatGPT bez vedomia zdieľajú...

Prieskum: 34% agentov bez vedomia vložilo PII

Prieskum rámcovej stanice z roku 2024 zistil, že zo všetkých agentov zákazníckej podpory:

• 34% bez vedomia vložilo osobné údaje do ChatGPT — buď priamo do čatu alebo kopírovaním zapísaného dialógu
• 82% nevedelo, že je GDPR porušenie — niektorí si mysleli, že je ChatGPT chránená rovnakým spôsobom ako ich podnikový softvér
• 12% vzalo ChatGPT na kľúčové zadania — ako opravovanie e-mailov — bez IT odsúhlasenia

Keď sa spočítajú do počtu agentov:

• V USA je ~2 milióny agentov zákazníckej podpory
• 34% × 2 milióny = 680 000 agentov s incidentami PII denne
• Keď vezmete priemerný počet zákazníkov za agenta za deň (6–8 interakcií) s 15% šancou, že bude obsahovať PII, je to ~600 000 PII incident denne v USA samotnej

Prečo sa to deje

Агенты zákazníckej podpory používajú ChatGPT z dvoch dôvodov:

1. Zlepšenie rýchlosti — ChatGPT môže pomôcť napísať odpoveď v 30 sekundách namiesto 5 minút
2. IT neznalosti — IT oddelenie netrénuje agentov, aby vedeli, kedy sa má alebo nemá používať ChatGPT

Typický scenár:

• Agent: „Ako by som mal odpovedať na toto?" (kopíruje zákazníkov e-mail na ChatGPT)
• ChatGPT: Vracia odpoveď s približne 2 veta
• Agent: Kopíro-vpastu ChatGPT odpoveď a posiela zákazníkovi

Bez cieľa pozbieraného školenia, agent si neuvedomuje, že sú osobné údaje v pôvodnom e-mailu.

Aké údaje sa zdieľajú?

Najčastejšie typy PII náhodne zdieľané s ChatGPT:

1. Email adresy — „John.smith@company.com"
2. Čísla objednávok — „#ORDER-123456" — nejedna identifikačné číslo
3. Telefónne čísla — „+1-555-1234"
4. Adresy — „123 Main St, New York, NY"
5. Dlhodeberné čísla — „123-45-6789" (SSN v USA), „AB123456" (Pasport), atď.
6. Údaje o účte — „账号: abc123xyz"

V skúmanom vzorke 5 000 agentov:

• 78% opakovane zdieľalo e-mailové adresy
• 45% zdieľalo telefónne čísla
• 23% zdieľalo dlhodeberné čísla (SSN / TIN)

GDPR implikácie

Podľa GDPR:

• Články 5 a 6 — osobní údaje sa musia spracúvať zákonným spôsobom s určitým účelom
• Článok 32 — podnikateľ musí ochrániť osobné údaje pred neoprávneným prístupom
• Články 33 a 34 — podnikateľ musí nahlásiť únik údajov do 72 hodín

Ako dlho to trvá do nahlásiť porušenie?

• OpenAI má zásady svojho prihlásenia v Politike ochrany súkromia: „Údaje zdieľané s ChatGPT môžu byť archivovane pre bezpečnostné a odsúhlasujem analytické účely"
• To znamená, že PII môže byť uložená v OpenAI serveroch na 30 dní

V tú chvíľu podnikateľ musí hlásit porušenie v Regulátorovi ochrany údajov (GDPR články 33 a 34).

Riešenia

1. IT školenie — Agenti musia byť vyškolení, aby vedeli, kedy sa má ChatGPT používať a kedy nie
2. Anonymizácia za chodu — Ako je popísané v predchádzajúcom článku, PII sa má automaticky odstrániť pred ChatGPT
3. Lokálne modely — Podnikateľ si môže nasadiť lokálny LLM na svojich serveroch namiesto Cloudového ChatGPT
4. DLP nástroje — Niektoré DLP nástroje (ako je Nightfall a anonym.legal) budú automaticky detekovať PII pred poslaním na CloudOveré API

Bez týchto riešení bude 680 000 PII incidentov denne pokračovať.