Bu Help Net Security röportajında, Private AI CEO’su Patricia Thaine, ChatGPT’yi iş bağlamında kullanırken ortaya çıkan temel gizlilik endişelerinin yanı sıra müşterilerin güvenine ihanet etmeleri halinde işletmelerin karşılaşabilecekleri riskleri gözden geçiriyor.
Thaine ayrıca işletmelerin ChatGPT’yi müşteri gizliliğine saygı gösterecek ve veri koruma yasalarıyla uyumlu bir şekilde kullandıklarından emin olmak için atabilecekleri adımları tartışıyor.
ChatGPT’yi iş bağlamında kullanırken ana gizlilik endişeleri nelerdir?
ChatGPT’yi bir iş bağlamında kullanırken, Kişisel Olarak Tanımlanabilir Bilgilerin (PII) potansiyel paylaşımı etrafında dönen önemli bir endişe vardır. Araca müşteri hizmetleri sorguları girmek ve saniyeler içinde kişiselleştirilmiş yanıtlar almak uygun görünse de, bu süreç adlar, adresler ve telefon numaraları gibi kişisel müşteri ayrıntılarının ve hatta cinsel yönelim gibi hassas bilgileri de içerebilecek OpenAI’ye iletilmesini içerir. .
ChatGPT şüphesiz e-posta yanıtlarının hazırlanmasını kolaylaştırırken, aynı anda PII’yi üçüncü bir tarafa ifşa eder. Bu ifşa, uyum ihlalleri, müşteri gizliliği ve gizliliği riskleri oluşturabilir ve böylece veri ihlalleri ve yetkisiz erişim riskini artırabilir.
Bir başka önemli gizlilik endişesi, iş sırlarının korunmasını içerir. Örneğin, çalışanlar ChatGPT’ye hassas kod veya özel bilgiler yüklerlerse, istenmeyen ifşa olasılığı vardır. ChatGPT gibi üretici yapay zeka modelleri, kullanıcı girdilerinden öğrenebileceğinden, sistem, oluşturulan yanıtlarına istemeden özel verileri dahil edebilir. Bu, bir şirketin rekabet avantajını tehlikeye atabilir, fikri mülkiyetten taviz verebilir veya gizlilik anlaşmalarını ihlal edebilir.
İşletmeler, ChatGPT’yi kullanırken veri koruma yasalarına uyum konusunda hangi risklerle karşı karşıya kalıyor?
ChatGPT, Genel Veri Koruma Yönetmeliği (GDPR), Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA), Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) ve Tüketici Gizliliğini Koruma Yasası () gibi veri koruma yasalarından muaf değildir. CPPA).
Birçok veri koruma yasası, kişisel verilerin toplanması ve kullanılması için açık kullanıcı onayı gerektirir. Örneğin GDPR, işletmelerin, kullanıcıların kişisel verilerini içeren tüm işleme faaliyetleri için onay almasını zorunlu kılar. İşletmeler, ChatGPT’yi kullanarak ve kişisel bilgileri OpenAI gibi üçüncü taraf bir kuruluşla paylaşarak, bu verilerin nasıl depolandığı ve kullanıldığı üzerindeki kontrolden vazgeçer. Bu kontrol eksikliği, onay gerekliliklerine uymama riskini artırır ve işletmeleri düzenleyici cezalara ve yasal sonuçlara maruz bırakır.
Ek olarak, veri sahipleri, GDPR’nin “unutulma hakkı” kapsamında kişisel verilerinin silinmesini talep etme hakkına sahiptir. ChatGPT’yi uygun önlemler alınmadan kullanıldığında, işletmeler bilgilerinin kontrolünü kaybeder ve artık bu tür taleplere derhal ve kapsamlı bir şekilde yanıt vermek ve veri sahibiyle ilişkili tüm kişisel verileri silmek için yürürlükte olan mekanizmalara sahip değildir. Bu taleplere uyulmaması, uyumsuzluk sorunlarına ve olası para cezalarına neden olabilir.
Ayrıca işletmeler, ChatGPT’yi kullanmakla ilişkili güvenlik risklerini de göz önünde bulundurmalıdır. ChatGPT kullanıcılarının sohbet geçmişini ifşa eden hata gibi olaylar, veri güvenliğinin önemini ve uyumluluk üzerindeki potansiyel etkisini vurgular. Veri ihlalleri yalnızca kişisel verilerin gizliliğini ve bütünlüğünü tehlikeye atmakla kalmaz, aynı zamanda ciddi uyum ihlallerine ve itibar zedelenmesine de yol açabilir.
İşletmeler, ChatGPT’yi müşteri gizliliğine saygı gösterecek ve veri koruma yasalarıyla uyumlu bir şekilde kullandıklarından emin olmak için hangi adımları atabilir?
İşletmelerin ChatGPT’yi uyumlu ve müşteri gizliliğine saygılı bir şekilde kullanmasını sağlamak için işte bazı yönergeler:
Kapsamlı çalışan eğitimi sağlayın: İşletmeler, kullanıcı verilerini işleyen tüm çalışanlar için veri gizliliği eğitimine öncelik vermelidir. Bu eğitim, ChatGPT ve mahremiyet endişeleri ile ilgili özel hususlar da dahil olmak üzere verilerin güvenli ve yasal kullanımını kapsamalıdır.
Açık müşteri onayı alın: İşletmeler, müşterilerden Kişisel Olarak Tanımlanabilir Bilgiler (PII) toplamadan ve bunları ChatGPT’de kullanmadan önce açık ve net onay almalıdır. Müşteriler, verilerin toplanma amacı, verilerinin nasıl kullanılacağı ve sürece dahil olan üçüncü taraflar hakkında bilgilendirilmelidir. Müşterilere veri toplamayı devre dışı bırakma seçeneği sunmak, gizlilik tercihlerine saygı duymak için de çok önemlidir.
PII’yi işlemeden önce anonimleştirin: Müşteri gizliliğini korumak ve uyum ihlali riskini en aza indirmek için işletmeler doğru veri minimizasyon önlemleri uygulamalıdır. Bu, ChatGPT’ye beslemeden önce PII’yi kaldırmayı içerir. Veri minimizasyonu, şirketlerin bir görevi gerçekleştirmek için yalnızca gerekli PII’yi toplaması ve kullanması anlamına gelen GDPR’nin bir gerekliliğidir.
Ayrıca, mümkün olan her yerde şirketler verileri anonimleştirmeyi ve verilerinin anonimleştirme sürecinin sağlamlığını değerlendirmek için uzmanlar getirmeyi hedeflemelidir. model tarafından üretilen içgörüler.
Veri koruma politikalarını düzenli olarak gözden geçirin ve güncelleyin: İşletmelerin, ChatGPT gibi yapay zeka modellerinin kullanımını açıkça ele alan güncel veri koruma ilkelerini sürdürmesi çok önemlidir. Bu politikalar, veri saklama ve silme prosedürlerini, veri minimizasyonu uygulamalarını, olay müdahale planlarını ve veri gizliliğiyle ilgili müşteri sorgularını veya taleplerini ele almaya yönelik yönergeleri kapsamalıdır. Düzenli incelemeler ve güncellemeler, politikaların gelişen gizlilik düzenlemeleri ve sektördeki en iyi uygulamalarla uyumlu kalmasını sağlar.
İşletmeler, bu adımları izleyerek müşteri gizliliğine olan bağlılıklarını gösterebilir ve ChatGPT kullanımıyla ilişkili riskleri azaltabilir.
İşletmelerin PII’lerini toplamadan ve ChatGPT’ye koymadan önce müşteri onayı almaları ne kadar önemlidir?
Müşterilerin PII’lerini toplamadan ve ChatGPT ile kullanmadan önce onaylarını almak, dünyanın neresinde olurlarsa olsunlar AB vatandaşları için geçerli olan GDPR de dahil olmak üzere dünya çapındaki bir dizi veri koruma düzenlemesinin gerektirdiğinden, işletmeler için son derece önemlidir. Uyulmaması itibar kaybı bir yana, önemli para cezalarıyla sonuçlanabilir.
Veri koruma düzenlemelerinden seçilen diğer gereksinimler şunları içerir:
Unutulma hakkı: Veri koruma düzenlemeleri ayrıca kullanıcılara, kişisel olarak tanımlanabilir bilgilerinin tüm örneklerinin silinmesini talep etme hakkı verir. İşletmeler, bu tür taleplere derhal ve uygun şekilde yanıt verebilmelidir, bu da verileri kuruluşlarında düzenli tutmaları gerektiği anlamına gelir.
Veri minimizasyonu: Veri koruma ilkeleri, şirketlerin topladıkları verilerden gereksiz olan tüm PII’ları kaldırmasını gerektirir. İşletmeler, belirli verileri toplamak ve işlemek için geçerli bir yasal dayanağa sahip olduklarından emin olmalı, gereksiz yere PII toplanmasından kaçınmalı ve gizlilik risklerini azaltmalıdır.
Takma adlaştırma veya anonimleştirme: Takma adlaştırma, verilerdeki tanımlayıcı bilgilerin, orijinal verilere bağlanabilen yer tutucularla değiştirilmesini içerirken, anonimleştirme, verilerin bir bireye bağlanamamasını sağlar. Verilerin mümkün olduğunda takma ad haline getirilmesi, GDPR’nin bir gerekliliğidir.
Yapay bir PII oluşturucu kullanmak, ChatGPT kullanırken veri gizliliğine nasıl katkıda bulunur?
Sentetik PII, kişisel olarak tanımlanabilir gerçek bilgileri sentetik kişisel olarak tanımlanabilir bilgilerle değiştirir. Örneğin, “Maria mağazaya gitti”, “Anna mağazaya gitti” olabilir. veya “Hesap numaram 894234” “Hesap numaram 054274” olabilir.
LLM’leri eğitmek için daha doğal görünen veriler oluşturmaya yardımcı olurken, aynı zamanda gizlilikten ödün vermeden orijinal bağlamın maksimum miktarını korumayı mümkün kılar. Ayrıca, herhangi bir PII gözden kaçarsa ve yakalanan PII sentetik verilerle değiştirilirse, orijinal veriler ile sahte veriler arasında ayrım yapmak çok zor hale gelir.
Bununla birlikte, PII’yi aşağıdaki gibi belirteçlerle değiştirmenin mümkün olduğunu bulduk: [NAME_1], [PHONE_NUMBER_1]vb. aynı zamanda, çıkarım zamanında (örn. istemin yanıtlanması üzerine) verilerin faydasından ödün vermeden korunan bağlam miktarını en üst düzeye çıkarmaya ve gizlilik riskini en aza indirmeye olanak tanır.