Vấn đề Hành vi Sao chép-Dán
77% người dùng AI doanh nghiệp sao chép-dán dữ liệu vào các truy vấn chatbot. Mô hình tương tác này không giới hạn ở một nhóc noncompliant - nó là chế độ tương tác chiếm ưu thế cho việc sử dụng công cụ AI doanh nghiệp. Khi nhân viên gặp phải một tài liệu phức tạp, vấn đề khách hàng hoặc một nhiệm vụ phân tích, quy trình công việc tự nhiên là: sao chép nội dung có liên quan, dán nó vào công cụ AI, nhận được một phản hồi.
Quy trình công việc này không phân biệt giữa nội dung chứa dữ liệu cá nhân và nội dung không. Hành động sao chép-dán đi trước quyết định phân loại. Vào thời điểm nhân viên đã dán nội dung và đang đọc phản hồi của AI, việc truyền đã xảy ra. Đào tạo chính sách được áp dụng vào thời điểm phân loại - "tôi có nên dán cái này không?" - nhưng bản chất phân chia giây của quyết định có nghĩa là tính năng ghi nhớ chính sách giảm dưới tải nhận thức, áp lực thời gian và hành vi thói quen.
Nghiên cứu Cyberhaven phát hiện ra rằng gần 40% tệp được tải lên các công cụ AI chứa dữ liệu PII hoặc PCI. Con số bao gồm nhân viên hoàn toàn biết chính sách sử dụng AI: họ đang tải tệp mà họ cần làm việc, xảy ra là chứa dữ liệu khách hàng. Sự vi phạm chính sách là tình cờ đối với một nhiệm vụ hợp pháp.
Tại sao Đào tạo Thất bại Ở Quy mô
Các chương trình đào tạo chính sách phải đối mặt với cùng một giới hạn cấu trúc trên tất cả các bối cảnh bảo vệ dữ liệu: chúng cố gắng sửa đổi các mô hình hành vi sâu thông qua các can thiệp giáo dục định kỳ. Các khoảng cách giữa các phiên đào tạo (thường hàng năm) vượt quá hằng số thời gian của sự phân rã hành vi. Nhân viên nhận được đào tạo kỹ lưỡng về xử lý dữ liệu AI trong Q1 hoạt động chủ yếu theo thói quen trong Q4.
Cập nhật Quy tắc Bảo mật HIPAA được đề xuất vào tháng 3 năm 2025 - yêu cầu kiểm toán mã hóa hàng năm - phản ánh công nhận quy định rằng tuân thủ chính sách yêu cầu xác minh định kỳ của các kiểm soát kỹ thuật, không chỉ các chương trình đào tạo. Yêu cầu kiểm toán ngụ ý rằng các nhà quản lý quy định dự kiến kiểm soát kỹ thuật sẽ là cơ chế chính và đào tạo sẽ là cơ chế bổ sung.
Đối với rò rỉ dữ liệu AI cụ thể, hành vi khó ngăn chặn hơn thông qua đào tạo hơn các hành vi xử lý dữ liệu tiêu chuẩn vì nó xảy ra trong một bối cảnh mới (các công cụ AI không tồn tại khi hầu hết các thói quen xử lý dữ liệu doanh nghiệp được hình thành) và vì việc rò rỉ tạo ra không có hậu quả tiêu cực tức thì có thể nhìn thấy đối với nhân viên.
Kiến trúc Trang tính Chrome Extension Chặn
Phần mở rộng Chrome hoạt động ở lớp tạp chí - trước khi nội dung dán đạt tới trường đầu vào của công cụ AI. Việc đánh chặn là về mặt kiến trúc trước quyết định của người dùng để gửi: nhân viên sao chép nội dung từ ứng dụng làm việc của họ, chuyển sang tab ChatGPT và dán. Tiện ích mở rộng phát hiện PII trong nội dung tạp chí tại thời điểm dán, trước khi nội dung xuất hiện trong trường đầu vào.
Một cửa sổ bật lên xem trước cho thấy nhân viên chính xác những gì sẽ được vô danh hóa: "Tên khách hàng 'Maria Schmidt' → '[PERSON_1]'; Email 'maria.schmidt@company.de' → '[EMAIL_1]'." Nhân viên có thể tiếp tục với phiên bản được vô danh hóa hoặc hủy dán nếu thay thế cụ thể không chấp nhận được.
Cửa sổ bật lên xem trước phục vụ hai mục đích. Thứ nhất, nó cung cấp minh bạch - nhân viên hiểu những gì công cụ đang làm, điều này xây dựng niềm tin thích hợp và giảm nhận thức rằng các kiểm soát quyền riêng tư là giám sát. Thứ hai, nó làm cho quyết định vô danh hóa rõ ràng thay vì im lặng: nhân viên xác nhận từng hoạt động vô danh hóa, tạo ra một thời điểm tâm lý nơi quyết định phân loại (đây là PII?) được thực hiện bởi con người thay vì tự động hóa.
Đối với một công ty thương mại điện tử Châu Âu yêu cầu hỗ trợ khách hàng: các tác nhân soạn phản hồi bằng ChatGPT, dán thư từ khách hàng chứa tên, số đơn hàng và địa chỉ. Phần mở rộng Chrome đánh chặn mỗi lần dán, vô danh hóa dữ liệu cá nhân và tác nhân gửi lời nhắc được vô danh hóa. Các phản hồi của ChatGPT tham chiếu các mã thông báo được vô danh hóa; tác nhân có thể đọc những gợi ý của AI và kết hợp chúng vào phản hồi khách hàng thực tế. Giảm thiểu dữ liệu GDPR Điều 5 được thỏa mãn; cải thiện chất lượng hỗ trợ từ sự hỗ trợ AI được duy trì.
Nguồn: