Wyciek danych przez AI prawie nigdy nie wygląda jak włamanie. Wygląda jak wtorek: ktoś wkleja umowę do czatu, „bo chciał streszczenie". Dlatego zamiast zakazywać AI, warto ustalić krótką, twardą listę tego, co do publicznych asystentów nie trafia nigdy.
Twarda lista: tego nie wklejamy
- Dane osobowe klientów i pracowników (imiona, adresy, PESEL-e, historie spraw)
- Dane finansowe spółki przed publikacją i warunki niepodpisanych umów
- Kod i dokumentacja objęte NDA
- Hasła, klucze API, dane dostępowe - nawet „na chwilę"
- Dokumenty oznaczone jako poufne, niezależnie od intencji
Co zrobić zamiast tego
Po pierwsze: anonimizacja. Zamień imiona na role („klient", „handlowiec"), kwoty na rzędy wielkości, nazwy firm na branże. W 90% zadań model nie potrzebuje prawdziwych danych, żeby dać świetną odpowiedź.
Po drugie: konta firmowe z wyłączonym trenowaniem na danych. Różnica między prywatnym a firmowym planem asystenta to często właśnie to jedno ustawienie - i ono zmienia status prawny całej zabawy.
Po trzecie: dla danych naprawdę wrażliwych - modele uruchamiane w Waszej infrastrukturze. To już temat na wdrożenie, ale dobrze wiedzieć, że taka opcja istnieje, zanim ktoś powie „to niemożliwe".
Jedna kartka zamiast polityki na 40 stron
Najlepsza polityka AI, jaką widzieliśmy u klientów, mieści się na jednej kartce: lista „nigdy", lista „zawsze anonimizuj" i jeden kontakt do osoby, którą pytasz w razie wątpliwości. Taką kartkę zespół naprawdę czyta.