生成AI热潮下隐私风险的隐忧

关键要点

生成AI的快速发展对隐私构成威胁，尤其是在安全政策没有重视隐私的情况下。许多组织在倡导隐私的同时，却要求用户为便利而放弃隐私和安全。监控和调查员工的行为可能侵犯隐私权，企业需在保证安全和员工隐私之间找到平衡。收集数据的机遇伴随着保护数据的责任。限制信息访问可能会引发安全问题，组织应重新考虑其获取信息的方式。

来源 Roman Samborskyi / Shutterstock

在周年的国际隐私日过去后，企业、组织和政府纷纷发表声明，强调隐私的重要性。然而，这一切却显得讽刺，因为很多组织在高喊重视隐私的同时，却也在要求人们为便利而放弃隐私，有时甚至是安全。

我们谈论生成AI如何改变游戏规则 (这确实是个重大变化)，并讨论如何在保护知识产权的框架下实施它。然而，我们却很少讨论如何保护那些可能并不意识到自己每个提问、每个情景设定都在向驱动生成AI的大型语言模型LLM提供信息的用户。新推出的 OpenAI GPT Store 让用户能够创建自己的 ChatGPT 版本，这既令人兴奋又带来风险。

“对开发者和公众来说，这无疑是件激动人心的事情，但它引入了新的第三方风险，因为这些独立的 GPTs 没有 ChatGPT 那样的安全和数据隐私保障，” Menlo Security 的产品管理副总裁 Nick Edwards 说道。“随着生成AI能力的发展，用户对于他们的数据去向感到困惑。”

“影子AI”即在没有 IT 专业人员知情的情况下，组织成员自行使用生成AI 已然成为现实，CISO是否准备好迎接逐渐增多的用户加入这一潮流？

员工监控与隐私侵犯的潜在风险

我最感兴趣的话题或许是因为我从事反情报和反间谍工作已经超过 30 年是内部风险管理IRM，这是间谍技术的延续。最近的发展让我重新审视这些培训的核心原则。

十五到二十年前，居家办公是罕见的新鲜事物，但到 2024 年，这已经成为普遍现象。当建立“监控方案”以保护组织资产时，CISO 是否会咨询法律团队？是否能形成共识，明确监控与调查的分界线？个体的隐私权是否被为了安全而监控员工行为的需求所压倒？

在我看来，Auvik 的技术副总裁 Michael Brown 说得很对：“在一个极端，监控员工的每一个行动可以提供深刻的洞察，但可能侵犯员工隐私。另一方面，缺乏监控保护了员工数据隐私，但这种选择可能对组织造成严重的安全和生产力风险。在大多数情况下，任何极端都不是合理的解决方案，公司必须找到一个有效的折中方案，兼顾监控和隐私，让组织在监控环境的同时，尊重某些个人员工数据的隐私。”

Brown 观察中的关键词是“折中”，我还想补充一个词：“透明”。员工理解为什么以及如何监控他们的参与，以及当存在合理原因时，监控可能变成调查，这将增强他们对保护整个实体的需求的理解。

数据收集意味着数据保护的责任

有句话说，如果你收集了数据，就必须保护它。每个 CISO 都知道这一点，任何信息被收集时，都应有手段来保护这些信息。在这个基础上，Conversant 的创始人兼 CSO John A Smith提供了一些容易被采纳的想法：

黑洞加速加器遵循法规和合规要求。理解合规并不等同于安全。将安全控制措施与当前的威胁