Shadow AI, εντολές και η επικίνδυνη χρήση της ΤN| Legal Research

Η αναπόφευκτη ενσωμάτωση εργαλείων τεχνητής νοημοσύνης στην καθημερινή λειτουργία των επιχειρήσεων έχει δημιουργήσει ένα ταχέως εξελισσόμενο φαινόμενο: το επονομαζόμενο“Shadow AI”. Εργαζόμενοι χρησιμοποιούν πλέον generative AI εργαλεία για σύνταξη emails, ανάλυση δεδομένων, δημιουργία παρουσιάσεων, επεξεργασία συμβάσεων ή ακόμη και λήψη επιχειρησιακών αποφάσεων, συχνά χωρίς προηγούμενη έγκριση ή ουσιαστική εποπτεία από τον οργανισμό χωρίς συχνά να αντιλαμβάνονται το πραγματικό εύρος των κανονιστικών και επιχειρησιακών επιπτώσεων. Το πραγματικό πρόβλημα, ωστόσο, δεν περιορίζεται μόνο στη χρήση των εργαλείων αυτών, αλλά επεκτείνεται και στο ίδιο το prompting, δηλαδή στον τρόπο με τον οποίο οι εργαζόμενοι αλληλεπιδρούν με τα AI συστήματα μέσω εντολών που συχνά περιέχουν εμπιστευτικές πληροφορίες, προσωπικά δεδομένα ή κρίσιμα επιχειρησιακά στοιχεία.

Prompting

Ουσιαστικά, ένα prompt (εντολή) μπορεί αφενός να περιλαμβάνει πελατειακά δεδομένα, οικονομικές αναφορές, νομικές συμβάσεις, εσωτερικές στρατηγικές και αφετέρου κώδικα προγραμματισμού. Αυτό σημαίνει ότι το prompt παύει να αποτελεί μία «απλή εντολή» προς το σύστημα AI και μετατρέπεται σε πιθανό σημείο διαρροής δεδομένων και εταιρικού απορρήτου γεγονός το οποίο σε αρκετές περιπτώσεις, οι εργαζόμενοι δεν γνωρίζουν ή δεν αντιλαμβάνονται κατά τη διάρκεια της ενέργειας, αν δηλαδή τα δεδομένα που εισάγουν αποθηκεύονται, χρησιμοποιούνται για training των μοντέλων ή διαβιβάζονται εκτός Ευρωπαϊκού Οικονομικού Χώρου. Ως αποτέλεσμα, η ανεξέλεγκτη χρήση prompting μπορεί να δημιουργήσει σοβαρούς κινδύνους συμμόρφωσης με το κανονιστικό περιεχόμενο του GDPR, ιδίως ως προς τις αρχές ασφάλειας, εμπιστευτικότητας και λογοδοσίας των άρθρων 5, 24, 25 και 32 GDPR.

Παράλληλα, η NIS2 μεταφέρει πλέον σημαντικό μέρος της ευθύνης κυβερνοασφάλειας στα διοικητικά όργανα των οργανισμών (BoD), γεγονός που σημαίνει ότι η διοίκηση οφείλει να γνωρίζει όχι μόνο ποια AI εργαλεία χρησιμοποιούνται, αλλά και με ποιον τρόπο χρησιμοποιούνται. Ένα ανεξέλεγκτο prompt μπορεί να οδηγήσει όχι μόνο σε αποκάλυψη εμπορικών μυστικών, παραβίαση συμβατικών υποχρεώσεων εμπιστευτικότητας ή ακόμη και δημιουργία λανθασμένων αποτελεσμάτων (outputs) που επηρεάζουν κρίσιμες επιχειρησιακές αποφάσεις. Το ζήτημα γίνεται ακόμη πιο σύνθετο υπό τo κανονιστικό καθεστώς της AI Act, καθώς οι οργανισμοί που χρησιμοποιούν AI συστήματα ενδέχεται να υπέχουν υποχρεώσεις σχετικά με τις ενέργειες Human-in-the-loop, AI literacy (Άρθρο 4), risk management και εν γένει την ασφαλή χρήση των AI εργαλείων.

AI governance framework

Η πραγματική πρόκληση μέσα στο 2026 και έως το έτος 2027 μετά την παράταση των προθεσμιών, δεν είναι αν οι εργαζόμενοι χρησιμοποιούν AI, εντούτοις αν οι οργανισμοί πράγματι διαθέτουν επαρκές AI governance framework ώστε να γνωρίζουν τι εισάγεται στα συστήματα αυτά, ποιοι έχουν πρόσβαση, ποια δεδομένα επιτρέπεται να χρησιμοποιούνται και πώς ελέγχεται η αξιοπιστία των παραγόμενων αποτελεσμάτων. Σε ένα περιβάλλον όπου τα prompts μπορούν να μετατραπούν σε νέο σημείο κυβερνοασφάλειας και κανονιστικής έκθεσης, η ύπαρξη AI Acceptable Use Policies, approved AI tools lists, employee training και σαφών data handling rules παύει να αποτελεί προαιρετική πρακτική και μετατρέπεται σε κρίσιμο στοιχείο εταιρικής διακυβέρνησης και διαχείρισης νομικού κινδύνου.

AI Acceptable Use Policy

Η αντιμετώπιση του Shadow AI δεν μπορεί πλέον να περιορίζεται σε γενικές απαγορεύσεις χρήσης εργαλείων τεχνητής νοημοσύνης την ίδια χρονική στιγμή όπου οι οργανισμοί χρειάζονται πλέον ένα ολοκληρωμένο AI Acceptable Use Policy (AI AUP), δηλαδή ένα σαφές και λειτουργικό πλαίσιο κανόνων που καθορίζει πώς, από ποιους και υπό ποιες προϋποθέσεις επιτρέπεται η χρήση AI συστημάτων εντός της επιχείρησης. Στην πράξη, μία αποτελεσματική AI policy δεν λειτουργεί απλώς ως εσωτερικός κανονισμός, αλλά ως μηχανισμός κανονιστικής συμμόρφωσης, κυβερνοασφάλειας και εταιρικής διακυβέρνησης.

Οι οργανισμοί οφείλουν να καθορίζουν ρητά ποια δεδομένα απαγορεύεται να εισάγονται σε δημόσια AI μοντέλα, συμπεριλαμβανομένων δεδομένων προσωπικού χαρακτήρα, εμπορικών δεδομένων, εταιρικών οικονομικών στοιχείων και πληροφοριών πελατών μέσω CRM ενώ παράλληλα, πρέπει να υιοθετούνται διαδικασίες ψευδωνυμοποίησης, και Human-in-the-loop, ώστε να περιορίζεται ο κίνδυνος παράνομης διαβίβασης δεδομένων ή ανεξέλεγκτης χρήσης πληροφοριών για training AI μοντέλων.

Το πλαίσιο διακυβέρνησης τεχνητής νοημοσύνης πρέπει επίσης να περιλαμβάνει διαδικασία αξιολόγησης και έγκρισης νέων AI εργαλείων. Η αξιολόγηση αυτή δεν μπορεί να περιορίζεται αποκλειστικά στη λειτουργικότητα του προϊόντος, αλλά οφείλει να εξετάζει τη συνολική στάση ασφαλείας Accuracy & Robustness, τη δήλωση Συμμόρφωσης ΕΕ (CE Marking), τα πρωτόκολλα κρυπτογράφησης, τις πολιτικές retention, τη δυνατότητα opt-out από model training, τη γεωγραφική τοποθεσία επεξεργασίας δεδομένων και τη γενικότερη συμμόρφωση με ευρωπαϊκές απαιτήσεις προστασίας δεδομένων. Το ζήτημα αυτό αποκτά ακόμη μεγαλύτερη σημασία υπό το καθεστώς της NIS2 και της EU AI Act, καθώς οι οργανισμοί οφείλουν πλέον να αποδεικνύουν όχι μόνο ότι χρησιμοποιούν ΤΝ, αλλά ότι διαθέτουν και επαρκές πλαίσιο ελέγχου, εποπτείας και διαχείρισης των σχετικών κινδύνων.

Maria-Nefeli Christodoulopoulou
Lawyer | GDPR • AI Act • Data Protection • Regulatory Compliance

Η Μαρία-Νεφέλη Χριστοδουλοπούλου είναι Δικηγόρος με εστίαση στην προστασία δεδομένων, το AI Governance και τη συμμόρφωση επιχειρήσεων με το ευρωπαϊκό ψηφιακό κανονιστικό πλαίσιο (GDPR, AI Act, NIS2)

ΕτικετοποιημένοAI Prompting; AI Act συμμόρφωση;GDPR και τεχνητή νοημοσύνη;rompts και προσωπικά δεδομένα; πολιτική χρήσης AI

ΤΟΜΕΙΣ ΕΞΕΙΔΙΚΕΥΣΗΣ

Πληροφοριες

[email protected]

6943108691