公司同客戶資料可以貼落 ChatGPT 嗎?AI 安全清單 使用 ChatGPT/AI 前,先判斷資料敏感度、公司批准和工具控制。 AI พรอมต์ Create a landscape editorial hero image for this Studio Global article: 公司同客戶資料可以貼落 ChatGPT 嗎?AI 安全清單. Article summary: 可以用 ChatGPT/AI 協助公開或已去識別化內容;但客戶個人資料、合約、財務數字和公司機密不應原文貼入一般或未經公司批准的工具,高風險資料只應在有合約與管理控制的批准環境處理。[5][7]. Topic tags: ai, chatgpt, openai, privacy, data protection. Reference image context from search candidates: Reference image 1: visual subject "短答:可以用AI,但不要把敏感原文直接貼上去如果內容已公開、沒有個人資料、沒有商業機密,風險通常較低;但如果涉及客戶個人資料、公司機密、合約、財務數字" source context "公司同客戶資料可以貼落 ChatGPT 嗎?AI 安全清單 | 回答 | Studio Global" Reference image 2: visual subject "螢幕截圖顯示「我的 GPT」選單,其中包含投影片母片、資料分析工具、內容創作工具、技術文件編寫工具和人力資源助手等選項。另外還有「探索 GPT Store」選項,並列出「啟動會議記錄摘要」和「投影片大綱」等任務。" source context "企業專用 ChatGPT" Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical groundi
openai.com คำถามสำคัญไม่ใช่แค่ ChatGPT ปลอดภัยไหม แต่คือ ข้อมูลที่กำลังจะใส่อ่อนไหวแค่ไหน บริษัทอนุญาตหรือยัง เครื่องมือ AI ที่ใช้มีสัญญาและการควบคุมเพียงพอหรือไม่ และงานนี้จำเป็นต้องใช้ข้อความต้นฉบับจริง ๆ หรือเปล่า
บทความนี้อิงจากนโยบายความเป็นส่วนตัวและเอกสารด้านข้อมูลธุรกิจของ OpenAI ที่เปิดเผยต่อสาธารณะ หากองค์กรของคุณใช้ผู้ให้บริการ AI รายอื่น ควรตรวจสอบเงื่อนไข นโยบายบริษัท และข้อกำหนดในสัญญากับผู้ให้บริการนั้นแยกต่างหาก
สรุปก่อน: ข้อมูลสาธารณะพอใช้ได้ แต่ข้อมูลเสี่ยงสูงอย่าวางต้นฉบับ
ถ้าเป็นข้อมูลที่เผยแพร่อยู่แล้ว ไม่มีข้อมูลส่วนบุคคล ไม่มีข้อมูลลูกค้า และไม่มีข้อมูลธุรกิจที่ยังไม่เปิดเผย โดยทั่วไปอาจใช้ AI ช่วยปรับภาษา สรุป จัดหมวดหมู่ หรือระดมไอเดียได้ แต่ยังต้องเป็นไปตามนโยบายการใช้ AI ของบริษัท
ในทางกลับกัน ถ้าข้อมูลมีชื่อลูกค้า เบอร์โทร อีเมล ที่อยู่ เลขประจำตัว ข้อมูลบัญชีหรือการชำระเงิน เงื่อนไขสัญญา ตัวเลขการเงินที่ยังไม่เปิดเผย รายชื่อลูกค้า กลยุทธ์สินค้า หรือความลับบริษัท วิธีที่ปลอดภัยกว่าคือไม่วางข้อมูลต้นฉบับลงในบัญชีส่วนตัว เครื่องมือทั่วไป หรือบริการ AI ที่บริษัทยังไม่อนุมัติ นโยบายความเป็นส่วนตัวของ OpenAI ระบุว่า OpenAI เก็บ Personal Data ที่ผู้ใช้ให้ไว้ในอินพุตของบริการ รวมถึง prompts และเนื้อหาที่อัปโหลด เช่น ไฟล์ รูปภาพ เสียง และวิดีโอ
บริการระดับองค์กรอาจช่วยลดความเสี่ยงได้บางส่วน แต่ไม่ใช่ใบอนุญาตให้ใส่ข้อมูลทุกอย่าง OpenAI ระบุว่า ChatGPT Business, ChatGPT Enterprise และ API Platform ให้ลูกค้ามี ownership and control เหนือ business data ซึ่งรวมอินพุตและเอาต์พุต และสามารถทำ Data Processing Addendum หรือ DPA เพื่อสนับสนุนการปฏิบัติตาม GDPR และกฎหมายความเป็นส่วนตัวอื่น ๆ ได้
คนยังถาม คำตอบสั้น ๆ สำหรับ "ข้อมูลบริษัทหรือข้อมูลลูกค้า ใส่ใน ChatGPT ได้ไหม? เช็กลิสต์ความปลอดภัย AI" คืออะไร ใช้ ChatGPT หรือ AI กับข้อมูลสาธารณะหรือข้อมูลที่ลบตัวตนแล้วได้ตามนโยบายองค์กร แต่ไม่ควรนำข้อมูลลูกค้า สัญญา ตัวเลขการเงิน หรือความลับบริษัทแบบต้นฉบับไปใส่ในบัญชีส่วนตัวหรือเครื่องมือที่บริษัทยังไม่อนุมัติ [5][7]
ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร? ใช้ ChatGPT หรือ AI กับข้อมูลสาธารณะหรือข้อมูลที่ลบตัวตนแล้วได้ตามนโยบายองค์กร แต่ไม่ควรนำข้อมูลลูกค้า สัญญา ตัวเลขการเงิน หรือความลับบริษัทแบบต้นฉบับไปใส่ในบัญชีส่วนตัวหรือเครื่องมือที่บริษัทยังไม่อนุมัติ [5][7] นโยบายความเป็นส่วนตัวของ OpenAI ระบุว่า OpenAI เก็บ Personal Data ที่ผู้ใช้ให้ในอินพุตของบริการ รวมถึง prompts และเนื้อหาที่อัปโหลด ดังนั้นการวางข้อความหนึ่งย่อหน้าก็ถือเป็นการส่งข้อมูลให้บริการประมวลผล [5]
ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ? วิธีที่ปลอดภัยกว่าคือจัดประเภทข้อมูลก่อน ลบข้อมูลระบุตัวตน ใช้ข้อมูลเท่าที่จำเป็น และให้ข้อมูลเสี่ยงสูงอยู่ในสภาพแวดล้อมที่องค์กรอนุมัติ พร้อมตรวจสอบ DPA นโยบายการเก็บรักษาข้อมูล และการควบคุมอย่าง EKM เมื่อเกี่ยวข้อง...
ข้อมูลบริษัทหรือข้อมูลลูกค้า ใส่ใน ChatGPT ได้ไหม? เช็กลิสต์ความปลอดภัย AI | ตอบ | Studio Global
แยกประเภทข้อมูลก่อนตัดสินใจ ประเภทข้อมูล ตัวอย่าง วิธีที่ปลอดภัยกว่า ข้อมูลสาธารณะหรือความเสี่ยงต่ำ ข้อความหน้าเว็บที่เผยแพร่แล้ว ข้อมูลตลาดทั่วไป ร่างบทความที่ไม่มีตัวเลขภายใน ใช้ได้ตามนโยบายบริษัท และไม่ควรใส่บริบทภายในหรือบันทึกส่วนตัวที่ไม่จำเป็น ข้อมูลส่วนบุคคลของลูกค้า ชื่อ เบอร์โทร อีเมล ที่อยู่ เลขประจำตัว ข้อมูลบัญชีหรือการชำระเงิน อย่าวางข้อมูลต้นฉบับ ลบหรือแทนที่ข้อมูลที่ระบุตัวตนได้ก่อน และเหลือเฉพาะสาระที่จำเป็นต่อการทำงาน ความลับบริษัท ตัวเลขการเงินที่ยังไม่เปิดเผย ราคา เงื่อนไขสัญญา roadmap สินค้า กลยุทธ์ภายใน ใช้สรุป ข้อมูลสมมติ หรือเวอร์ชันที่ลบตัวตนแล้ว หากจำเป็นต้องใช้ต้นฉบับ ให้ทำเฉพาะในสภาพแวดล้อมองค์กรที่ได้รับอนุมัติ รายชื่อลูกค้าและข้อมูลขาย ไฟล์ export จาก CRM รายชื่อลูกค้า สถานะดีล ข้อร้องเรียนของลูกค้าแบบเต็ม ไม่อัปโหลดทั้งไฟล์ เลือกเฉพาะส่วนที่จำเป็นและลบข้อมูลระบุตัวตนก่อน ข้อมูลที่อาจมีข้อจำกัดเพิ่มเติม ข้อมูลสุขภาพ ข้อมูลพนักงาน เอกสารลูกค้า ข้อมูลระบุตัวตนหรือการชำระเงิน อย่าใส่โดยไม่ได้รับอนุมัติ ควรถาม IT กฎหมาย คอมพลายแอนซ์ หรือผู้บังคับบัญชาก่อน
ทำไมแค่งานแก้ภาษาให้ AI ก็ต้องระวัง
Prompt ก็เป็นข้อมูลที่ส่งเข้าไป หลายคนคิดว่าการคัดลอกข้อความไปวางชั่วคราวไม่เหมือนการอัปโหลดเอกสาร แต่ในมุมการประมวลผลข้อมูล prompt และไฟล์แนบก็เป็นอินพุตของบริการได้ นโยบายความเป็นส่วนตัวของ OpenAI ระบุอย่างชัดเจนว่าเก็บ Personal Data ที่ผู้ใช้ให้ในอินพุตของบริการ รวมถึง prompts และเนื้อหาที่อัปโหลด
ดังนั้นหลักที่ควรใช้เสมอคือ data minimization หรือใส่ข้อมูลให้น้อยที่สุด: ถ้าไม่ต้องใช้ต้นฉบับก็อย่าใส่ ถ้าใช้สรุปได้ก็อย่าอัปโหลดทั้งไฟล์ และถ้าลบข้อมูลระบุตัวตนได้ก็ควรลบก่อน
Enterprise มีการควบคุมมากขึ้น แต่ยังต้องตามนโยบายบริษัท OpenAI ระบุในหน้า enterprise privacy ว่าบริการสำหรับองค์กร เช่น ChatGPT Business, ChatGPT Enterprise และ API Platform ให้ลูกค้ามี ownership and control เหนือ business data และสามารถทำ DPA เพื่อสนับสนุนการปฏิบัติตาม GDPR และกฎหมายความเป็นส่วนตัวอื่น ๆ ได้
เครื่องมือเหล่านี้ช่วยจัดการความเสี่ยงได้ แต่บริษัทต้องกำหนดให้ชัดว่า ข้อมูลใดใช้ได้ ข้อมูลใดต้องลบตัวตนก่อน ข้อมูลใดห้ามใส่ ใครมีสิทธิใช้ และถ้าเกิดความผิดพลาดต้องแจ้งหรือบันทึกอย่างไร
เครื่องมือปลอดภัย ไม่ได้แปลว่าข้อมูลทุกชนิดควรออกจากระบบเดิม แม้เครื่องมือ AI จะมีการควบคุมระดับองค์กร ข้อมูลบางประเภทอาจยังถูกจำกัดด้วยสัญญาลูกค้า ข้อกำหนดในอุตสาหกรรม หรือข้อกำหนดรักษาความลับภายในองค์กร คำถามจึงไม่ใช่แค่ AI ช่วยงานนี้ได้ไหม แต่คือข้อมูลชุดนี้ควรออกจากสภาพแวดล้อมที่ควบคุมอยู่เดิมหรือไม่
4 คำถามก่อนกดส่ง
1. มีข้อมูลส่วนบุคคลหรือข้อมูลลูกค้าหรือไม่ ถ้าข้อมูลสามารถระบุตัวบุคคลหรือลูกค้าได้โดยตรงหรือโดยอ้อม ให้ถือว่าเสี่ยงสูงไว้ก่อน ในทางปฏิบัติ ควรลบชื่อ เบอร์โทร อีเมล ที่อยู่ เลขบัญชี เลขคำสั่งซื้อ เลขเคส เลขประจำตัว และข้อมูลการชำระเงิน ก่อนตัดสินใจว่าจะยังจำเป็นต้องใส่ใน AI หรือไม่ หลักนี้สอดคล้องกับข้อเท็จจริงที่ว่า prompt เป็นอินพุตของบริการและอาจมี Personal Data ได้
2. เป็นความลับบริษัทหรือไม่ แม้ไม่มีข้อมูลส่วนบุคคล ข้อความนั้นก็อาจเป็นข้อมูลธุรกิจที่ไม่ควรออกนอกระบบ เช่น ราคา เงื่อนไขสัญญา รายได้ที่ยังไม่ประกาศ กระบวนการภายใน แผนสินค้า หรือรายชื่อลูกค้า อย่าใส่ต้นฉบับลงในเครื่องมือที่ยังไม่ได้รับอนุมัติเพียงเพราะต้องการให้ AI ช่วยจัดรูปประโยคหรือสรุปเนื้อหา
3. ใช้สภาพแวดล้อม AI ที่บริษัทอนุมัติแล้วหรือไม่ บัญชีส่วนตัว เครื่องมือฟรี หรือบริการ AI ภายนอกที่ยังไม่ผ่านการอนุมัติ ไม่ควรถูกใช้เป็นที่ประมวลผลข้อมูลบริษัท หากงานจำเป็นต้องใช้ business data ควรใช้เครื่องมือที่องค์กรอนุมัติ มีสัญญาและการควบคุมที่เหมาะสม และตรวจสอบเรื่อง DPA นโยบายการเก็บรักษาข้อมูล EKM หรือการควบคุมอื่น ๆ ตามข้อกำหนดของบริษัท
4. งานนี้จำเป็นต้องใช้ข้อความต้นฉบับจริงไหม หลายงานไม่ต้องใช้ข้อมูลดิบทั้งหมด เช่น การร่างคำตอบลูกค้ามักต้องการแค่ประเด็นร้องเรียน น้ำเสียงที่ต้องการ และขั้นตอนถัดไปที่บริษัทอนุญาตให้เสนอ ไม่จำเป็นต้องมีชื่อจริง เบอร์โทร ที่อยู่ เลขคำสั่งซื้อ หรือสัญญาฉบับเต็มเสมอไป
เวิร์กโฟลว์ที่ปลอดภัยกว่า ขั้นที่ 1: ดูนโยบายบริษัทก่อน ตรวจสอบว่าบริษัทมีแนวทางใช้ AI การจัดชั้นข้อมูล ข้อจำกัดในสัญญาลูกค้า หรือข้อกำหนดด้านคอมพลายแอนซ์หรือไม่ ถ้าไม่แน่ใจ อย่าตัดสินเองว่าไม่น่ามีปัญหา
ขั้นที่ 2: จัดประเภทข้อมูลก่อนใส่ ถามให้ชัดว่ามีข้อมูลส่วนบุคคล ข้อมูลลูกค้า ความลับภายใน สัญญา การเงิน การชำระเงิน ข้อมูลระบุตัวตน หรือข้อมูลอ่อนไหวอื่นหรือไม่ ถ้าคำตอบคือมีหรือไม่แน่ใจ ให้ถือว่าเสี่ยงสูง
ขั้นที่ 3: ลดข้อมูลและลบตัวตน ไม่ต้องใส่ต้นฉบับก็อย่าใส่ ใช้สรุปแทนไฟล์เต็ม ใช้ชื่อสมมติแทนชื่อจริง แทนที่ชื่อบุคคล ชื่อบริษัท เบอร์โทร อีเมล ที่อยู่ เลขบัญชี เลขคำสั่งซื้อ และเลขเคสด้วยคำกลาง ๆ เช่น ลูกค้า A, ผู้ขาย B หรือคำสั่งซื้อ 123
ขั้นที่ 4: ข้อมูลเสี่ยงสูงต้องอยู่ในสภาพแวดล้อมที่อนุมัติ หากจำเป็นต้องประมวลผล business data ให้ใช้โซลูชันองค์กรที่บริษัทอนุมัติและมีการควบคุมด้านสัญญาและการบริหาร เช่น DPA นโยบายการเก็บรักษาข้อมูล หรือ EKM ตามความเหมาะสม
ขั้นที่ 5: สงสัยให้ยกระดับเรื่อง หากเกี่ยวข้องกับลูกค้า พนักงาน ข้อมูลระบุตัวตน การชำระเงิน สุขภาพ สัญญา การเงิน หรือกลยุทธ์ที่ยังไม่เปิดเผย ให้ถาม IT กฎหมาย คอมพลายแอนซ์ หรือหัวหน้าก่อนใช้ AI
ตัวอย่างการเขียน prompt ให้เสี่ยงน้อยลง
นี่คืออีเมลร้องเรียนฉบับเต็มของลูกค้า พร้อมเบอร์โทร ที่อยู่ เลขคำสั่งซื้อ และเนื้อหาสัญญา ช่วยเขียนคำตอบให้หน่อย
นี่คือสรุปข้อร้องเรียนที่ลบข้อมูลระบุตัวตนแล้ว: ลูกค้า A ระบุว่าสินค้าส่งล่าช้า 10 วัน และขอคืนเงิน ช่วยร่างอีเมลตอบกลับที่สุภาพ ยอมรับปัญหา และเสนอขั้นตอนถัดไป โดยอย่าเพิ่มข้อเท็จจริงที่ไม่ได้ให้มา
การเขียนแบบหลังไม่ได้ทำให้ความเสี่ยงเป็นศูนย์ แต่ช่วยลดการเปิดเผยข้อมูลส่วนบุคคลและข้อมูลบริษัทที่ไม่จำเป็น เมื่อคำนึงว่านโยบายความเป็นส่วนตัวของ OpenAI ระบุว่า OpenAI เก็บ Personal Data ที่ผู้ใช้ให้ในอินพุตของบริการ การลดข้อมูลตั้งแต่ต้นจึงเป็นหลักความปลอดภัยพื้นฐาน
ใช้บัญชีองค์กรแล้วใส่ได้ทุกอย่างไหม ไม่ได้ บัญชีองค์กรหรือ API อาจให้การควบคุมด้านสัญญา การเก็บรักษาข้อมูล และการบริหารมากกว่า OpenAI ระบุว่าบริการองค์กรให้ลูกค้ามี ownership and control เหนือ business data และสามารถทำ DPA เพื่อสนับสนุน GDPR และกฎหมายความเป็นส่วนตัวอื่น ๆ ได้
แต่การควบคุมระดับองค์กรเป็นเพียงส่วนหนึ่งของการจัดการความเสี่ยง บริษัทต้องตัดสินเองว่าข้อมูลใดใส่ได้ ข้อมูลใดต้องลบตัวตนก่อน ข้อมูลใดห้ามใส่ ใครมีสิทธิใช้ และหากเกิดเหตุผิดพลาดต้องบันทึกหรือรายงานอย่างไร
เช็กลิสต์เร็วก่อนใส่ข้อมูลใน ChatGPT หรือ AI
Comments
0 comments