当员工在诸如chatgpt这样的第三方AI工具中输入个人数据时,责任又回到了 商业,作为治疗经理。它必须确保任何数据使用都符合GDPR,并且在合同框架之外没有传达敏感信息。员工可能是错误的和受制裁的,但正是该公司面临监管制裁的风险和客户的信心丧失。作为外部分包商或提供商,AI供应商只有在根据GDPR签署的处理合同时才能负责。
做 ::
- 明确禁止在IT宪章和RGPD政策中使用公共AI处理个人数据。
- 培训有披露风险的员工。
- 设置技术监控(SSO,代理,DLP)以检测敏感数据。
- 提供合规的内部替代方案(主权AI,在本地部署的模型)。
法律参考 ::
- GDPR :第5条(最小化),第32条(数据安全),第44条(在欧盟之外转移)。
- 劳动代码 :L.1222-4条(对员工进行先验信息的监视)。
- cnil :有关使用生成AI的建议(2023)。
实用解决方案 ::
- 编写使用生成AI的政策。
- 从技术上讲,从公司网络限制了对外部平台的访问。
- 评估并与保证缺乏输入数据重复使用的提供商合同。
- 如果发生披露事件,提供警报程序。
