Günlük Maruziyet Hesabı
Cyberhaven'ın araştırması, kurumsal çalışanların günde kullanıcı başına ortalama 3.8 hassas veri yapıştırdığını buldu. 100 kişilik bir müşteri destek ekibi için bu rakam, günlük ChatGPT'ye giren 380 hassas veri örneğine dönüşüyor — her bir örnek, kişisel verilerin "yeterli, ilgili ve gerekli olanla sınırlı" olmasını gerektiren Madde 5(1)(c) uyarınca bir GDPR veri minimizasyon ihlali oluşturabilir.
3.8 rakamı, politikayı göz ardı eden çalışanlar için bir rakam değildir. Bu, sıradan iş akışı davranışını yansıtır: temsilciler, yanıtları taslaklamak için müşteri yazışmalarını kopyalar, empatik takipler oluşturmak için şikayet metnini yapıştırır, bağlam farkındalığına sahip öneriler almak için hesap detaylarını ekler. Her yapıştırma, tesadüfen kişisel verileri içeren meşru bir verimlilik eylemidir. Çalışan, müşteri verilerini ifşa etmeye karar vermedi; maruziyet, bir AI aracını verimli bir şekilde kullanma kararının bir yan ürünüdür.
2024 AB denetimi, ChatGPT kullanıcı verilerinin %63'ünün kişisel tanımlanabilir bilgi içerdiğini buldu. Sadece kullanıcıların %22'si, ChatGPT'nin ayarları aracılığıyla veri toplama işlemini devre dışı bırakabileceklerini biliyordu. Bu kombinasyon — çoğu veri PII içeriyor, çoğu kullanıcı kontrollerin farkında değil — teknik kontrollerin uygulanmadığı herhangi bir organizasyonda sistematik günlük maruziyet üretiyor.
Davranışın Nasıl Eğitilemeyeceği
Kopyala-yapıştır iş akışı derin bir alışkanlıktır. Kullanıcılar, metin kopyalamayı ve yapıştırmayı temel bir bilgisayar etkileşimi olarak on yıllardır yapmaktadır. Yapıştırılan metin için bir AI sohbet botunun eklenmesi, temel davranışı değiştirmedi; yerleşik bir modeli yeni bir hedefe genişletti.
"Müşteri PII'sini ChatGPT'ye yapıştırmayın" diyen politika eğitimi, çalışanların alışkanlık haline gelmiş bir eyleme — "bu metin PII içeriyor mu?" — bir sınıflandırma kararı eklemelerini gerektirir. Eğitim etkisi, davranış alışkanlığa döndükçe azalır. Her bireysel yapıştırma kararı düşük riskli bir mikro-karardır; 380 günlük kararın birikimli etkisi, politika eğitiminin güvenilir bir şekilde ele alamayacağı sistematik bir uyum riskidir.
Teknik çözüm, alışkanlığın oluştuğu katmanda çalışır: yapıştırma eyleminin kendisi. Chrome Uzantısı, içerik giriş alanına ulaşmadan önce yapıştırma anında pano içeriğini yakalar. Yakalama, bir politika uygulama engeli değildir (kullanıcılar her zaman geçersiz kılabilir) — bu bir şeffaflık aracıdır. Önizleme modalı, çalışana neyin tespit edildiğini gösterir ve devam etmeden önce sınıflandırma kararına bir anlık görünürlük sağlar.
Alman e-ticaret şirketinin destek ekibi liderinin müşteri şikayetlerine yanıt taslakları oluşturması için: iş akışı "şikayeti kopyala, ChatGPT'ye yapıştır, yanıt oluştur" olarak kalır. Chrome Uzantısı, temsilcinin isimlerin, adreslerin ve sipariş numaralarının tespit edildiğini ve gönderimden önce anonimleştirileceğini gördüğü 2 saniyelik bir ara ekler. Temsilci devam et butonuna tıklar. İş akışı devam eder. Uyum ihlali gerçekleşmez.
Kaynaklar: