越来越多的公司尝试利用生成式AI帮助企业提高生产力,当企业使用ChatGPT或类似的生成式AI工具/平台时,控制数据泄漏对于维护数据安全和个人信息保护至关重要。以下是公司可以实施的一些策略,以供参考:

1. 数据匿名化

在输入提示词/问题时,删除可识别信息:通过删除个人可识别信息(PII)或其他敏感细节,确保输入的任何数据都是匿名的,至少是去标示化的信息。例如,删除或更改任何个人标识符,如姓名,电子邮件地址,电话号码或敏感的商业信息。

2. 输入和输出监控

  • 监控输入:对什么类型的数据可以输入生成式AI工具执行严格的监控。

  • 审查输出:在使用或共享生成式AI工具输出内容之前,仔细监控和审查输出,以防止任何无意中泄露敏感信息。

  • 可以通过部署监控工具,跟踪和记录哪些数据被输入到生成式AI工具中,以及生成了哪些结果,以确保了敏感信息不会被意外输入或输出。

  • 例如,如果员工试图输入客户信用卡号码,监控系统可以标记此操作,提醒安全团队,并阻止数据传输。

3. 访问控制

  • 限制访问:根据公司内部的角色限制对某些生成式AI平台/工具的访问。只有授权人员才能使用,特别是在处理敏感数据时。

  • 审计日志:维护生成式AI工具的使用日志:谁访问/使用了生成式AI工具,输入了什么数据以及生成的输出的审计日志,以确保问责制。

  • 具体来说,通过实现基于角色的访问控制(RBAC)来限制对生成式AI工具的访问。只允许具有特定角色的员工(如数据分析师)使用该工具。

  • 例如,限制财务部门在完成涉及敏感财务数据的任务中使用生成式AI工具,而营销团队可以使用它来生成没有敏感数据的创意内容。

4. 使用安全API

  • 加密通信:确保通过API与生成式AI平台的所有交互都使用安全协议(例如TLS)加密,以防止数据劫持。

  • API使用控制:实现速率限制,IP白名单和其他控制,以确保API访问和防止误用。

  • 具体来说,当通过API将开源LLM集成到公司的系统中时,需要确保所有传输的数据都使用TLS(传输层安全性)加密。此外,通过要求API密钥和设置速率限制来保护API端点。

  • 例如,公司应用程序使用三方生成式AI工具生成客户支持响应,则需要确保API请求和响应是加密的。另外,将API限制为只允许来自与自身网络相关联的特定IP地址的请求。

5. 自定义AI模型

  • 使用私有实例:在可能的情况下,将生成式AI模型部署在私有的本地服务器或公司控制的安全云环境中,以限制对第三方暴露的风险。

  • 使用安全数据进行微调:在安全环境中使用公司自有数据对模型进行微调,确保其与公司自身数据安全策略保持一致。

  • 具体来说:在公司的安全环境(本地或私有云)中部署自定义AI大模型,而不是使用公共实例,实现所有数据处理都在公司的基础设施内进行。

6. 合同保障

供应商协议:如果使用第三方生成式AI服务,需要确保合同包含保护数据隐私和安全的条款,指定供应商不得使用或保留公司数据超出约定的目的,或者处理后立即删除所有客户数据。

7. 员工培训

  • 意识宣贯:通过培训提供员工数据泄露的风险意识,宣贯安全使用生成式AI工具的最佳实践。

  • 网络钓鱼意识培训:教育员工了解人工智能生成的网络钓鱼攻击的可能性,以及如何识别它们。

  • 例如,定期培训和发送定期提醒,或者通过举办研讨会,培训员工什么是敏感数据,避免将机密业务信息输入生成式AI平台。如前所述,需要掌握如何去标化信息同时达到利用AI工具目的。

8. 定期审核及评估

  • 安全审计:定期审计生成式AI工具的使用和数据处理过程,查找任何潜在的泄漏或数据处理不当行为,以识别和减轻潜在风险。例如,审计可能会发现某些部门没有遵循数据匿名化的指导方针,从而促使采取纠正措施,例如额外的培训或更严格的访问控制。

  • 风险评估:定期进行风险评估,评估生成式AI工具对数据安全和隐私的潜在影响。

9. 数据保留策略

  • 最小化数据保留:配置生成式AI工具以保证最小化数据保留。确保与生成式AI平台共享的任何数据在处理后或在短保留期内自动删除。

  • 数据删除:定期删除任何存储的不再需要的AI交互,确保数据不会不必要地保存在日志或数据库中。例如,根据需要设置日志或数据在会话结束后24小时自动删除。

10. 法律法规遵从性

合规:确保公司使用生成式AI工具符合相关数据保护法律法规。尤其是在使用域外生成式AI工具处理境内个人信息时,需要考虑《个人信息保护法》项下的不同数据合规义务,尤其是数据跨境合规要求。

最后整合成可以根据实际需要调整实施顺序的流程供大家参考:

第一步:评估将输入生成式AI工具的数据类型,并识别任何敏感或受监管的数据。

第二步:制定政策,概述可接受的使用行为、匿名化提示词实践和访问控制。

第三步:实现技术控制,如加密api、访问控制和数据匿名化工具。

第四步:培训员工了解这些政策以及使用生成式AI工具时数据安全的重要性。

第五步:定期审核系统,确保符合政策,并根据需要进行调整。

声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。