Tính toán mức độ lộ PII hàng ngày
Nghiên cứu của Cyberhaven phát hiện nhân viên doanh nghiệp trung bình dán dữ liệu nhạy cảm vào ChatGPT 3,8 lần mỗi người mỗi ngày. Với nhóm hỗ trợ 100 người, điều đó tương đương với 380 trường hợp hồ sơ khách hàng đi vào ChatGPT mỗi ngày.
Mỗi trường hợp có thể cấu thành vi phạm nguyên tắc tối thiểu hóa dữ liệu theo Điều 5(1)(c) GDPR. Điều đó yêu cầu thông tin cá nhân phải "đầy đủ, liên quan và giới hạn ở mức cần thiết".
Đây không phải nhân viên cố ý bỏ qua chính sách. Con số 3,8 phản ánh công việc bình thường. Nhân viên sao chép email khách hàng để soạn phản hồi. Họ dán nội dung khiếu nại để nhận gợi ý đồng cảm. Họ bao gồm thông tin tài khoản để nhận phản hồi có ngữ cảnh. Mỗi lần dán là một bước năng suất hợp lý mang theo PII một cách ngẫu nhiên.
Đào tạo hành vi không giải quyết được vấn đề
Kiểm toán EU năm 2024 phát hiện 63% dữ liệu người dùng ChatGPT chứa thông tin cá nhân có thể nhận dạng. Chỉ 22% người dùng biết họ có thể tắt tính năng này qua cài đặt công cụ. Hầu hết nội dung dán vào trợ lý AI chứa PII. Hầu hết người dùng không nhận thức được các biện pháp kiểm soát sẵn có. Kết quả là lộ thông tin trên quy mô lớn hàng ngày.
Đào tạo chính sách gặp phải một vấn đề cơ bản. Thói quen sao chép và dán đã có từ nhiều thập kỷ. Người dùng sao chép và dán văn bản từ ngày đầu tiên làm việc với máy tính. Việc thêm công cụ AI như một đích dán tạo ra một đích mới, nhưng không thay đổi thói quen.
Một chính sách kiểu "không dán PII khách hàng vào trợ lý AI" yêu cầu nhân viên chèn một bước phân loại — "văn bản này có chứa PII không?" — vào trong một hành động thói quen không có điểm dừng tự nhiên. Hiệu quả đào tạo phai dần theo thời gian. Kết quả tích lũy từ 380 quyết định dán mỗi ngày là rủi ro tuân thủ mà chính sách một mình không thể kiểm soát.
Nơi các biện pháp kiểm soát kỹ thuật phát huy tác dụng
Giải pháp tác động vào chính hành động dán. Một tiện ích trình duyệt chặn nội dung clipboard vào lúc nhân viên nhấn dán — trước khi văn bản tiếp cận trường nhập liệu. Nhân viên thấy cửa sổ xem trước hiển thị những gì đã được phát hiện và những gì sẽ được ẩn danh hóa trước khi gửi.
Đây không phải biện pháp kiểm soát chặn. Nhân viên có thể tiếp tục, chỉnh sửa hoặc dừng lại. Đây là bước minh bạch. Nó thêm một khoảnh khắc nhận thức vào một hành động thường tự động.
Hãy nghĩ đến một quản lý hỗ trợ của một trang thương mại điện tử Đức đang soạn phản hồi khiếu nại khách hàng. Quy trình làm việc không thay đổi: sao chép khiếu nại, dán vào ChatGPT, tạo phản hồi. Tiện ích thêm một kiểm tra hai giây. Nhân viên thấy rằng tên, địa chỉ và mã đơn hàng đã được phát hiện. Nhân viên nhấn "tiếp tục". Công cụ nhận phiên bản ẩn danh hóa. Vi phạm tuân thủ không xảy ra.
Hướng dẫn tuân thủ GDPR của chúng tôi trình bày căn cứ pháp lý cho các biện pháp kiểm soát này. Xem thêm so sánh chính sách AI và kiểm soát kỹ thuật và hướng dẫn Browser DLP cho ChatGPT để biết chi tiết triển khai.