คณิตศาสตร์การเปิดเผย PII ประจำวัน
การวิจัยของ Cyberhaven พบว่าพนักงานองค์กรทำการ วางข้อมูลอ่อนไหวเฉลี่ย 3.8 ครั้ง เข้า ChatGPT ต่อผู้ใช้ต่อวัน สำหรับทีม support 100 คน นั่นคือ 380 กรณีที่ข้อมูลลูกค้าเข้า ChatGPT ทุกวัน
แต่ละกรณีอาจเป็นการละเมิดหลักการลดข้อมูลให้น้อยที่สุดของ GDPR ภายใต้มาตรา 5(1)(c) มาตรานั้นกำหนดให้ข้อมูลส่วนบุคคลต้อง "เพียงพอ เกี่ยวข้อง และจำกัดเฉพาะสิ่งที่จำเป็น"
เหล่านี้ไม่ใช่พนักงานกบฏที่ละเลยนโยบาย ตัวเลข 3.8 สะท้อนการทำงานปกติ เจ้าหน้าที่คัดลอกอีเมลลูกค้าเพื่อร่างตอบกลับ วางข้อความร้องเรียนเพื่อรับคำแนะนำที่เห็นอกเห็นใจ รวมรายละเอียดบัญชีเพื่อรับคำตอบที่ตระหนักถึงบริบท การวางแต่ละครั้งเป็นขั้นตอนประสิทธิภาพที่ถูกต้องซึ่งนำ PII มาด้วยโดยบังเอิญ
การฝึกอบรมพฤติกรรมไม่สามารถแก้ปัญหานี้ได้
การตรวจสอบของ EU ในปี 2024 พบว่า 63% ของข้อมูลผู้ใช้ ChatGPT มีข้อมูลที่ระบุตัวตนได้ส่วนบุคคล มีเพียง 22% ของผู้ใช้ ที่รู้ว่าพวกเขาสามารถ opt out ผ่านการตั้งค่าของเครื่องมือ เนื้อหาส่วนใหญ่ที่วางใน AI assistant มี PII ผู้ใช้ส่วนใหญ่ไม่ทราบถึงการควบคุม ผลลัพธ์คือการเปิดเผยในระดับรายวัน
การฝึกอบรมนโยบายพบปัญหาพื้นฐาน นิสัยการคัดลอกและวางมีอายุหลายสิบปี ผู้ใช้ได้คัดลอกและวางข้อความตั้งแต่วันแรกที่ใช้คอมพิวเตอร์ การเสียบเครื่องมือ AI chat เป็นเป้าหมายการวางเพิ่มปลายทางใหม่ ไม่เปลี่ยนนิสัย
นโยบาย "อย่าวาง PII ของลูกค้าเข้า AI assistant" ขอให้เจ้าหน้าที่แทรกขั้นตอนการจำแนกประเภท ซึ่งก็คือ "ข้อความนี้มี PII ไหม?" เข้าไปในการกระทำตามนิสัยที่ไม่มีการหยุดตามธรรมชาติ ผลของการฝึกอบรมเสื่อมลง ผลรวมสะสมของการตัดสินใจวาง 380 ครั้งต่อวันคือความเสี่ยงการปฏิบัติตามที่นโยบายเพียงอย่างเดียวไม่สามารถรักษาได้
ที่ที่การควบคุมทางเทคนิคทำงาน
การแก้ไขทำงานที่การกระทำวางเอง browser extension สกัดกั้นเนื้อหา clipboard ในขณะที่เจ้าหน้าที่กด paste ก่อนที่ข้อความจะถึง input field เจ้าหน้าที่เห็น preview modal ซึ่งแสดงสิ่งที่ถูกตรวจจับและสิ่งที่จะถูกทำให้ไม่ระบุตัวตนก่อนที่ข้อความจะถูกส่ง
นี่ไม่ใช่การควบคุมแบบบล็อก เจ้าหน้าที่สามารถดำเนินการต่อ override หรือหยุดได้ เป็นขั้นตอนความโปร่งใส เพิ่มช่วงเวลาหนึ่งของการมองเห็นให้กับการกระทำอัตโนมัติอื่นๆ
พิจารณาผู้นำทีม support อีคอมเมิร์ซชาวเยอรมันที่ร่างตอบกลับข้อร้องเรียนของลูกค้า workflow ยังคงเดิม คัดลอกข้อร้องเรียน วางใน ChatGPT สร้างตอบกลับ extension เพิ่มการตรวจสอบสองวินาที เจ้าหน้าที่เห็นว่าชื่อ ที่อยู่ และหมายเลขคำสั่งซื้อถูกตรวจพบ เจ้าหน้าที่คลิกดำเนินการ เครื่องมือรับเวอร์ชันที่ทำให้ไม่ระบุตัวตน การละเมิดการปฏิบัติตามไม่เกิดขึ้น
คู่มือ GDPR ของเราครอบคลุมพื้นฐานทางกฎหมายสำหรับการควบคุมเหล่านี้ ดูเพิ่มเติม การเปรียบเทียบนโยบาย AI กับการควบคุมทางเทคนิค และ คู่มือ browser DLP สำหรับ ChatGPT สำหรับรายละเอียดการใช้งาน