Matematika ng Araw-araw na PII Exposure
Natuklasan ng pananaliksik ng Cyberhaven na ang mga empleyado ng enterprise ay gumagawa ng average na 3.8 sensitive na pag-paste ng data sa ChatGPT bawat gumagamit bawat araw. Para sa isang koponan ng support na 100 tao, iyon ay 380 pagkakataon ng mga rekord ng customer na pumapasok sa ChatGPT bawat araw.
Bawat pagkakataon ay maaaring maging isang paglabag sa GDPR data minimisation sa ilalim ng Article 5(1)(c). Hinihiling ng artikulong iyon na ang personal na impormasyon ay "sapat, may kaugnayan, at limitado sa kung ano ang kinakailangan."
Ang mga ito ay hindi mga makasalanang empleyado na nagbabalewala ng patakaran. Ang figure na 3.8 ay sumasalamin sa normal na trabaho. Kino-kopi ng mga ahente ang mga email ng customer para mag-draft ng mga tugon. Nagpi-paste sila ng teksto ng reklamo para makakuha ng mga maalalahanin na mungkahi. Kasama nila ang mga detalye ng account para makakuha ng mga context-aware na sagot. Bawat pag-paste ay isang wastong hakbang sa produktibidad na nagdadala ng PII kasabay nito.
Hindi Inaaayos ng Pagsasanay sa Gawi ang Problema
Natuklasan ng isang EU audit noong 2024 na 63% ng data ng gumagamit ng ChatGPT ay naglalaman ng personal na nagpapakilalang impormasyon. 22% lamang ng mga gumagamit ang nalaman na maaari nilang mag-opt out sa pamamagitan ng mga setting ng kasangkapan. Karamihan sa nilalaman na nini-paste sa isang AI assistant ay naglalaman ng PII. Karamihan sa mga gumagamit ay hindi alam ang mga kontrol. Ang resulta ay araw-araw na exposure sa malaking sukat.
Ang pagsasanay sa patakaran ay napapalibutan ng isang pangunahing problema. Ang ugali ng pag-copy-paste ay sampung taon na. Ang mga gumagamit ay kumikopya at nagpi-paste ng teksto mula sa kanilang unang araw sa isang computer. Ang pagdaragdag ng isang AI chat tool bilang isang target ng pag-paste ay nagdaragdag ng isang bagong destinasyon. Hindi nito binabago ang ugali.
Ang isang patakaran na "huwag mag-paste ng customer PII sa AI assistant" ay humihingi sa mga ahente na magsingit ng isang hakbang sa pag-uuri - "naglalaman ba ang tekstong ito ng PII?" - sa isang ginagawang awtomatikong kilos na walang natural na paghinto. Nababawasan ang mga epekto ng pagsasanay. Ang pinagsama-samang resulta ng 380 araw-araw na desisyon sa pag-paste ay isang panganib sa compliance na hindi kayang hawakan ng patakaran lamang.
Kung Saan Gumagana ang mga Teknikal na Kontrol
Ang pag-aayos ay nagtatrabaho sa mismong kilos ng pag-paste. Ini-intercept ng isang browser extension ang nilalaman ng clipboard sa sandaling pinindot ng ahente ang i-paste, bago pa maabot ng teksto ang input field. Nakakakita ang ahente ng isang preview modal. Ipinapakita nito kung ano ang natuklasan at kung ano ang ia-anonymize bago maipadala ang teksto.
Ito ay hindi isang blocking control. Maaaring magpatuloy, mag-override, o tumigil ang mga ahente. Ito ay isang hakbang sa transparency. Nagdaragdag ito ng isang sandali ng visibility sa isang kung hindi man ay awtomatikong kilos.
Isaalang-alang ang isang pinuno ng koponan ng support sa e-commerce sa Germany na nag-draft ng mga tugon sa mga reklamo ng customer. Nananatiling pareho ang workflow: kopyahin ang reklamo, i-paste sa ChatGPT, gumawa ng tugon. Nagdaragdag ang extension ng isang dalawang-segundong pagsusuri. Nakikita ng ahente na natukoy ang mga pangalan, address, at numero ng order. Nagki-click ang ahente ng "proceed". Ang anonymized na bersyon ang tinatanggap ng kasangkapan. Hindi nangyayari ang paglabag sa compliance.
Sinasaklaw ng aming GDPR compliance guide ang legal na batayan para sa mga kontrol na ito. Tingnan din ang aming AI policy vs. technical controls comparison at ang browser DLP para sa ChatGPT guide para sa detalye ng implementasyon.