Toán Học Tiết Lộ Hàng Ngày
Nghiên cứu của Cyberhaven phát hiện rằng các nhân viên doanh nghiệp dán trung bình 3.8 dữ liệu nhạy cảm vào ChatGPT mỗi người mỗi ngày. Với một đội hỗ trợ khách hàng 100 người, con số này chuyển thành 380 trường hợp dữ liệu nhạy cảm vào ChatGPT hàng ngày — mỗi trường hợp có khả năng tạo ra vi phạm giảm thiểu dữ liệu GDPR theo Điều 5(1)(c), yêu cầu dữ liệu cá nhân phải "đầy đủ, liên quan và giới hạn những gì cần thiết."
Con số 3.8 không phải là con số cho những nhân viên bỏ qua chính sách. Nó phản ánh hành vi quy trình làm việc thông thường: các tác nhân sao chép thư từ khách hàng để soạn thảo phản hồi, dán văn bản khiếu nại để tạo những lời theo dõi đầy đồng cảm, bao gồm chi tiết tài khoản để nhận được những đề xuất nhận biết bối cảnh. Mỗi lần dán là một hành động năng suất hợp pháp mà vô tình bao gồm dữ liệu cá nhân. Nhân viên không quyết định tiết lộ dữ liệu khách hàng; tiết lộ là sản phụ của quyết định sử dụng công cụ AI một cách hiệu quả.
Kiểm tra EU năm 2024 phát hiện rằng 63% dữ liệu người dùng ChatGPT chứa thông tin nhận dạng cá nhân. Chỉ 22% người dùng biết rằng họ có thể từ chối thu thập dữ liệu qua cài đặt ChatGPT. Sự kết hợp — hầu hết dữ liệu chứa PII, hầu hết người dùng không biết về kiểm soát — tạo ra tiết lộ hệ thống quy mô hàng ngày trên bất kỳ tổ chức nào chưa thực hiện kiểm soát kỹ thuật.
Tại Sao Hành Vi Không Thể Được Huấn Luyện Đi
Quy trình sao chép-dán rất sâu trong thói quen. Người dùng đã sao chép và dán văn bản như một tương tác máy tính cơ bản trong hàng thập kỷ. Việc thêm một chatbot AI làm đích đến cho văn bản dán không thay đổi hành vi cơ bản; nó mở rộng một mô hình thiết lập cho một mục tiêu mới.
Đào tạo chính sách nói "không dán PII khách hàng vào ChatGPT" yêu cầu nhân viên chèn quyết định phân loại — "văn bản này có chứa PII không?" — vào một hành động thói quen không tự nhiên bao gồm tạm dừng. Hiệu quả huấn luyện giảm khi hành vi quay trở lại thói quen. Mỗi quyết định dán riêng lẻ là một quyết định vi mô rủi ro thấp; hiệu quả tích lũy của 380 quyết định hàng ngày là rủi ro tuân thủ hệ thống mà đào tạo chính sách không thể giải quyết một cách đáng tin cậy.
Giải pháp kỹ thuật hoạt động ở lớp nơi thói quen được hình thành: hành động dán chính nó. Tiện ích Chrome chặn nội dung bảng nhớ tạm vào thời điểm dán, trước khi nội dung đến trường nhập. Chặn không phải là rào cản thực thi chính sách (người dùng luôn có thể ghi đè) — nó là công cụ minh bạch. Cửa sổ xem trước cho thấy nhân viên những gì được phát hiện, cho họ một khoảnh khắc khả năng nhìn thấy vào quyết định phân loại trước khi tiến hành.
Đối với nhân viên dẫn đầu đội hỗ trợ của công ty thương mại điện tử Đức soạn thảo phản hồi cho những phàn nàn của khách hàng: quy trình vẫn là "sao chép phàn nàn, dán vào ChatGPT, tạo phản hồi." Tiện ích Chrome thêm một lull 2 giây nơi tác nhân thấy rằng tên, địa chỉ và số đơn hàng được phát hiện và sẽ được vô danh hóa trước khi gửi. Tác nhân nhấp vào tiếp tục. Quy trình làm việc tiếp tục. Vi phạm tuân thủ không xảy ra.
Sources: