anonym.legal

By · Last updated 2026-06-05

กลับไปที่บล็อกความปลอดภัยของ AI

GDPR มาตรา 32: การตรวจสอบ PII สำหรับเครื่องมือ AI

ทีม compliance ขององค์กรต้องการหลักฐานเชิงปริมาณของการควบคุม PII ในเครื่องมือ AI การใช้ Network DLP พลาดการโต้ตอบ AI บนเบราว์เซอร์

June 5, 20267 อ่านประมาณ
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

การพิสูจน์ความสอดคล้องกับ GDPR มาตรา 32 สำหรับเครื่องมือ AI

อัปเดตสำหรับปี 2026

GDPR มาตรา 32 กำหนดให้มี "มาตรการทางเทคนิคและองค์กรที่เหมาะสม" เพื่อปกป้องข้อมูลส่วนตัว เมื่อพนักงานใช้เครื่องมือ AI ภายนอก — ChatGPT, Claude, Gemini — ความเสี่ยงนั้นมีจริงและวัดได้ การควบคุมต้องวัดได้เช่นกัน

นโยบายที่ระบุว่า "อย่าแบ่งปันข้อมูลส่วนตัวกับเครื่องมือ AI" เป็นมาตรการขององค์กร แต่ไม่ใช่มาตรการทางเทคนิค และไม่เพียงพอเมื่อผู้ตรวจสอบ DPA ถามว่า: "คุณรู้ได้อย่างไรว่าพนักงานปฏิบัติตาม?"

สิ่งที่ผู้ตรวจสอบ DPA ถามเกี่ยวกับเครื่องมือ AI

หลังจากการละเมิด Samsung ChatGPT ในเดือนมีนาคม 2023 หน่วยงานกำกับดูแลได้ตรวจสอบโปรแกรม AI ขององค์กรอย่างเข้มงวด ผู้ตรวจสอบ DPA ถามคำถามตรงๆ

เกี่ยวกับการควบคุมทางเทคนิค พวกเขาถาม:

  • อะไรที่หยุดข้อมูลส่วนตัวไม่ให้ไปถึงระบบ AI?
  • คุณบังคับใช้การ mask แบบเรียลไทม์อย่างไร?
  • หลักฐานอะไรที่แสดงว่าการควบคุมทำงานอยู่?

เกี่ยวกับการตรวจสอบ พวกเขาถาม:

  • คุณติดตามการใช้ AI ของพนักงานสำหรับการเปิดเผย PII อย่างไร?
  • คุณรวบรวมตัวชี้วัดอะไร? บ่อยแค่ไหน?
  • คุณรู้ได้อย่างไรว่าการควบคุมไม่ถูกข้าม?

เกี่ยวกับการตรวจจับเหตุการณ์ พวกเขาถาม:

  • คุณจะพบการรั่วไหล PII ไปยังเครื่องมือ AI ได้อย่างไร?
  • แผนการตอบสนองของคุณคืออะไร?

เอกสารนโยบายไม่ตอบคำถามเหล่านี้ พวกเขาบอกว่าพนักงานควรทำอะไร แต่ไม่แสดงว่าพนักงานทำอะไรจริงๆ

ช่องว่างในการตรวจสอบสำหรับเครื่องมือ AI บนเบราว์เซอร์

ทีม IT ขององค์กรเผชิญปัญหาหลัก: เครื่องมือ AI บนเบราว์เซอร์นั้นตรวจสอบได้ยาก

การเข้ารหัส HTTPS

ChatGPT, Claude และ Gemini ทั้งหมดใช้ HTTPS กับ HSTS การตรวจสอบเครือข่ายไม่สามารถอ่านข้อความ prompt ได้หากไม่มีการถอดรหัส TLS

การตรวจสอบ TLS

การตรวจสอบ SSL ต้องการใบรับรองขององค์กรในทุกอุปกรณ์ อาจทำลาย cert pinning ในบางแอป ทำให้เกิดช่องโหว่ความปลอดภัยใหม่ อาจละเมิดข้อกำหนดการบริการของแพลตฟอร์ม AI ก่อให้เกิดปัญหาความเป็นส่วนตัวของพนักงานในหลายประเทศ

Endpoint DLP

Endpoint agents ตรวจสอบ clipboard และ keystroke input แต่มีอัตรา false-positive สูง ไม่สามารถแยกแยะ "การพิมพ์ข้อมูลลูกค้าลงในสัญญา" กับ "การพิมพ์ลงใน ChatGPT" ได้ ความล่าช้าอาจพลาดการส่งแบบสด

ผลลัพธ์: บริษัทส่วนใหญ่ที่ใช้เครื่องมือ AI มีมุมมองน้อยมากว่าข้อมูลอะไรไปถึงระบบเหล่านั้น

Dashboard Compliance ในทางปฏิบัติ

CISO ของบริษัทบริการทางการเงินต้องแสดงให้ผู้ตรวจสอบเห็นว่าการเปิดเผย PII ของเครื่องมือ AI ถูกติดตามและควบคุม ข้อกำหนดการตรวจสอบ: ข้อมูลจริงเกี่ยวกับการตรวจสอบที่ใช้งานอยู่

บริษัทติดตั้ง Chrome Extension ให้พนักงาน 500 คน ผลลัพธ์หนึ่งสัปดาห์:

ตัวชี้วัดค่าประจำสัปดาห์
AI sessions ทั้งหมด8,400
PII entities ที่ตรวจจับได้12,000
อัตราการ mask94%
ชื่อลูกค้าที่พบ4,800
หมายเลขบัญชีที่พบ3,200
Transaction ID ที่พบ2,100
การส่งโดยไม่ mask (6%)720 entities

หมายเหตุ: สถานการณ์ประกอบการอธิบาย ผลลัพธ์แตกต่างกันตามขนาดบริษัทและการใช้งาน AI

สี่สิ่งที่แสดงให้ผู้ตรวจสอบเห็น:

  • ขนาดการใช้เครื่องมือ AI (8,400 sessions ต่อสัปดาห์)
  • ปริมาณ PII ที่เสี่ยง (12,000 entities ที่พบ)
  • ประสิทธิภาพการควบคุม (อัตราการ mask 94%)
  • ความเสี่ยงที่เหลืออยู่ (720 entities ต้องการการติดตามผล)

สามสิ่งที่ผู้ตรวจสอบสามารถยืนยันได้:

  • การควบคุมทางเทคนิคใช้งานอยู่ (ล็อกการติดตั้ง extension)
  • การตรวจสอบมีอยู่ (รายงานประจำสัปดาห์)
  • ความเสี่ยงที่เหลืออยู่ได้รับการจัดการ (การอบรมเพิ่มเติมสำหรับ 6%)

นี่คือช่องว่างระหว่าง "เรามีนโยบาย" และ "นี่คือผลลัพธ์การควบคุมที่วัดได้ของเรา"

การเปลี่ยนผลลัพธ์เป็นการปรับปรุง

6% ที่ส่งโดยไม่ mask ไม่ใช่ความล้มเหลว มันคือความสำเร็จในการตรวจสอบ บริษัทรู้แล้วว่า:

  1. พนักงานคนใดที่ปฏิเสธ masking prompt หรือพลาดมัน
  2. ประเภท entity ใดที่มักส่งโดยไม่ mask บ่อยที่สุด
  3. ทีมใดที่มีอัตราการข้ามสูงกว่า
  4. อัตราลดลงหรือไม่เมื่อพนักงานปรับตัว

สิ่งนี้ขับเคลื่อนการดำเนินการที่ตรงเป้าหมาย พนักงานที่ข้ามบ่อยได้รับการอบรมเพิ่มเติม ประเภท entity ที่ข้ามบ่อยอาจต้องการ prompt ที่เข้มแข็งขึ้น ทีมที่มีการข้ามซ้ำๆ อาจต้องการการเปลี่ยนแปลง workflow

หากไม่มีผลลัพธ์นี้ การอบรมจะใช้อย่างเท่าเทียม ด้วยผลลัพธ์นี้ การอบรมไปยังจุดที่ความเสี่ยงสูงที่สุด

ชุดเอกสาร Article 32 ฉบับสมบูรณ์มีลักษณะอย่างไร

ชุดเอกสาร GDPR มาตรา 32 ฉบับสมบูรณ์สำหรับโปรแกรมเครื่องมือ AI:

มาตรการทางเทคนิค:

  1. Chrome Extension บน N อุปกรณ์ (หลักฐาน: ล็อก MDM)
  2. การตรวจจับ PII แบบสดในช่องป้อนข้อมูลของเครื่องมือ AI
  3. Masking workflow พร้อม audit trail (ล็อก extension)
  4. Compliance dashboard (ตัวชี้วัดการตรวจจับ)

มาตรการองค์กร:

  1. นโยบายการใช้เครื่องมือ AI
  2. บันทึกการอบรมพนักงาน
  3. แผนการตอบสนองต่อเหตุการณ์สำหรับการรั่วไหลข้อมูล AI
  4. การตรวจสอบผลลัพธ์การตรวจสอบรายไตรมาส

หลักฐานการตรวจสอบ:

  1. ตัวชี้วัด dashboard รายสัปดาห์ (ย้อนหลัง 12 เดือน)
  2. แนวโน้มอัตราการ mask
  3. การแจกแจงประเภท entity
  4. บันทึกการติดตามผลสำหรับการข้าม

การตรวจจับเหตุการณ์:

  1. ผลลัพธ์การตรวจสอบแจ้งเตือนพฤติกรรมผิดปกติ (อัตราลดลงฉับพลัน, ประเภท entity ใหม่)
  2. แผนการตอบสนองต่อเหตุการณ์ที่ทดสอบแล้วเมื่อ [วันที่]

ชุดเอกสารนี้ตอบสนอง Article 32 แสดงมาตรการทางเทคนิคและองค์กรพร้อมหลักฐานจริง

การวัดปริมาณการลดความเสี่ยง

สำหรับการทดสอบความสมส่วน คุณต้องแสดงความเสี่ยงที่การควบคุมลบออก

หากไม่มีการควบคุม:

  • 11% ของ AI prompt มี PII (Cyberhaven 2025)
  • 8,400 sessions ต่อสัปดาห์ × 11% = 924 sessions ที่มี PII ต่อสัปดาห์
  • แต่ละ session: การเปิดเผย GDPR มาตรา 83 ที่เป็นไปได้หากมีข้อมูล EU เกี่ยวข้อง

ด้วยการควบคุม (อัตราการ mask 94%):

  • 924 sessions ที่ตรวจจับ PII ได้
  • 94% masked: 869 sessions ได้รับการปกป้อง
  • ที่เหลือ: 55 sessions ต่อสัปดาห์ที่มีเนื้อหาที่ไม่ถูก mask

ผลลัพธ์: การเปิดเผย PII จากการใช้เครื่องมือ AI ลดลง 94%

สำหรับหน่วยงานกำกับดูแลที่ใช้การทดสอบความสมส่วน การลดลง 94% จากการควบคุมทางเทคนิคที่ติดตั้งแล้วเป็นหลักฐานที่แข็งแกร่ง ดูเพิ่มเติมที่ การป้องกัน PII แบบเรียลไทม์สำหรับเครื่องมือ AI และ browser DLP สำหรับ ChatGPT, Claude และ Gemini

บทสรุป

การปฏิบัติตาม GDPR มาตรา 32 สำหรับเครื่องมือ AI ไม่สามารถพึ่งพาแค่นโยบาย การตรวจสอบ AI sessions บนเบราว์เซอร์สำหรับการเปิดเผย PII ต้องการการควบคุมทางเทคนิคที่ผลิตหลักฐาน

การ mask แบบสดพร้อมการตรวจสอบในตัวให้ทั้งสองอย่าง: การป้องกัน (การเปิดเผยน้อยลง) และหลักฐาน (ความเสี่ยงที่วัดได้และผลลัพธ์การควบคุม) ชุดนั้นตอบสนอง Article 32

สำหรับ CISO ที่เผชิญการตรวจสอบ DPA: ผู้ตรวจสอบต้องการข้อมูลจริง แสดงอัตราการตรวจจับ, อัตราการ mask และแนวโน้มความเสี่ยงที่เหลืออยู่ นโยบายเป็นจุดเริ่มต้น ผลลัพธ์การตรวจสอบคือหลักฐาน

สำหรับการเปรียบเทียบว่าการบล็อกกับการ mask ต่างกันอย่างไรในฐานะการควบคุม ดู Browser DLP: การบล็อกกับการทำให้ไม่ระบุตัวตน

แหล่งที่มา

บทความที่เกี่ยวข้อง

ความปลอดภัยของ AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

ความปลอดภัยของ AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

ความปลอดภัยของ AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

พร้อมที่จะปกป้องข้อมูลของคุณหรือยัง?

เริ่มทำให้ PII เป็นนิรนามด้วยประเภทเอนทิตีมากกว่า 285 ประเภทใน 48 ภาษา.

เริ่มทดลองใช้ฟรีดูฟีเจอร์

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.