يمثل الذكاء الاصطناعي التوليدي (GenAI) ذروة التطورات التكنولوجية، إذ يُعيد تشكيل الصناعات عالميًا بوتيرة غير مسبوقة. وتتوقع مؤسسة غارتنر أن 80% من الشركات ستدمج واجهات برمجة تطبيقات الذكاء الاصطناعي التوليدي أو التطبيقات المدعومة بالذكاء الاصطناعي بحلول عام 2026، وهو ارتفاع هائل مقارنةً بنسبة 5% في عام 2023.
تُعدّ برامج المساعدة في التشغيل أدوات تُجسّد عملياً القدرات الهائلة للذكاء الاصطناعي من الجيل الجديد. ويُقدّم برنامج الدردشة الآلي الذكي المدعوم بالذكاء الاصطناعي مجموعة واسعة من حالات الاستخدام في مختلف القطاعات، مما يُمكّن المؤسسات من تبسيط سير العمل أو تحويل التحليلات المعقدة إلى رؤى قابلة للتنفيذ.
يُعدّ Microsoft 365 Copilot من بين أبرز برامج المساعدة في إدارة الأعمال، حيث يُقدّم مجموعة واسعة من الميزات الديناميكية، وقد أثبت فعاليته في زيادة إنتاجية المستخدمين وجودة عملهم وتركيزهم . ومع ذلك، فقد أثارت شعبيته وانتشاره الواسع مخاوف جدية بشأن data privacy ، والأمن، والحوكمة، والامتثال.
تتناول هذه المدونة برنامج Microsoft 365 Copilot data privacy المخاوف، وكيفية نشأتها، وأفضل الممارسات للتخفيف منها.
Data Privacy المخاطر التي تؤثر على برنامج Microsoft 365 Copilot
يستفيد برنامج Microsoft 365 Copilot من مكونات متعددة تعمل معًا لتقديم فوائد تجارية عديدة. تشمل هذه المكونات تكامل أنظمة إدارة التعلم الأساسية، وMicrosoft Graph، وتطبيقات الإنتاجية الخاصة بـ Microsoft 365.
يستخدم برنامج Copilot الوصول إلى محتوى الأعمال وسياقها عبر منصة Microsoft Graph لإنشاء استجابات مناسبة. إذا كانت البيانات في بيئة Microsoft تفتقر إلى ضوابط أمنية وحماية خصوصية كافية، فلن يؤثر ذلك على استجابات Copilot فحسب، بل قد يعرض أيضًا معلومات حساسة لجهات غير مصرح لها. هذا أحد الأسباب التي دفعت الكونغرس الأمريكي إلى حظر استخدام Copilot.
دعونا نلقي نظرة على بعض أهم data privacy المشكلات التي تؤثر على مساعدي الطيارين الذين يعملون بالذكاء الاصطناعي.
خطر التحيز الذي يؤثر على استجابات مساعد الطيار
يُعدّ التحيز في الذكاء الاصطناعي موضوعًا واسعًا ومتشعبًا بحد ذاته. فالتحيز البشري موجود منذ القدم، وقد تسلل تدريجيًا إلى خوارزميات الذكاء الاصطناعي المعقدة. كما سلطت مؤسسة غارتنر الضوء على التحيز كواحد من أهم أربعة مخاطر في تقريرها بعنوان " أهم أربعة مخاطر أمنية في مايكروسوفت 365 وضوابط التخفيف منها" .
يمكن أن يؤثر التحيز على استجابات الذكاء الاصطناعي أو مساعديه بعدة طرق. إحدى أكثرها شيوعًا هي من خلال بيانات التدريب. فإذا احتوت بيانات التدريب على قرارات متحيزة أو تفاوتات بين الجنسين، فإن المخرجات ستعكسها. على سبيل المثال، Amazon أوقفت الشركة تشغيل أداة التوظيف التي تعمل بالذكاء الاصطناعي بعد أن أظهرت تحيزًا ضد المتقدمات من النساء. وكانت الأداة توصي بمرشحين ذكور بناءً على كلمات محددة تم رصدها في سيرهم الذاتية.
يُعدّ التحيز الخوارزمي مصدرًا آخر للتحيز الذي قد يؤثر بشكل كبير على نتائج الذكاء الاصطناعي. ويحدث هذا النوع من التحيز عندما تكون مجموعة معينة من مجموعات البيانات ممثلة تمثيلًا ناقصًا أو غير ممثلة على الإطلاق في بيانات التدريب. وقد يكون للتحيز الخوارزمي أثر ضار عند النظر إليه من منظور حساس في مجالي الرعاية الصحية أو العدالة الجنائية.
إلى جانب الأضرار الاجتماعية والاقتصادية، قد يكون لتحيز الذكاء الاصطناعي آثار خطيرة عند تقييمه وفقًا للوائح حماية البيانات، مثل اللائحة العامة لحماية البيانات (GDPR) الصادرة عن الاتحاد الأوروبي. تنص المادة 5 من اللائحة العامة لحماية البيانات على وجوب "معالجة البيانات الشخصية بشكل قانوني وعادل وشفاف فيما يتعلق بصاحب البيانات". قد تؤدي الاستجابات المتحيزة إلى معالجة غير عادلة للبيانات، مما قد يُفضي في نهاية المطاف إلى انتهاكات للائحة العامة لحماية البيانات وما يترتب عليها من غرامات قانونية.
تتضمن المادة 10 ، الخاصة بالبيانات وحوكمة البيانات، من قانون الذكاء الاصطناعي للاتحاد الأوروبي، أحكامًا مماثلة تتعلق بتحيز الذكاء الاصطناعي. ومن بين أمور أخرى، تلزم هذه المادة المؤسسات بتقييم مجموعات البيانات بحثًا عن أي تحيز محتمل قد يؤثر على الحقوق الأساسية للأفراد، أو صحتهم وسلامتهم، أو يؤدي إلى التمييز. كما تطالب المؤسسات باتخاذ التدابير المناسبة لتحديد هذه التحيزات والتخفيف من آثارها.
خطر وجود مخرجات ذكاء اصطناعي معيبة
"المدخلات الخاطئة تؤدي إلى مخرجات خاطئة" مبدأ معروف في مجال الذكاء الاصطناعي. يعني هذا أنه إذا تم تدريب الذكاء الاصطناعي على بيانات غير صحيحة، فسينتج عنه استجابات خاطئة. يتدرب الذكاء الاصطناعي على كميات هائلة من البيانات، وخاصة البيانات غير المهيكلة، المنتشرة عبر أنظمة وتطبيقات مختلفة. إلى جانب مخرجات الذكاء الاصطناعي الخاطئة، فإن البيانات غير المُجهزة والمُنقحة والمُدققة بشكل مناسب قد تُسبب مخاطر أمنية متزايدة، فضلاً عن مخاوف تتعلق بالخصوصية والامتثال.
تكشف الدراسات الاستقصائية أن 77% من البيانات التي يتم جمعها إما غير مصنفة أو زائدة عن الحاجة أو قديمة أو تافهة، بينما 23% فقط منها بيانات جيدة وعالية الجودة. ويمكن أن تُسبب البيانات الزائدة عن الحاجة أو القديمة أو التافهة مخاطر أمنية جسيمة، إذ تُوسّع نطاق الهجمات الإلكترونية وتفتح العديد من الثغرات الأمنية للوصول إلى بيانات قد تكون خاضعة للرقابة.
تشكل بيانات ROT أيضًا مخاطر تنظيمية كبيرة، إذ قد تحتوي على بيانات مُحتفظ بها لفترات أطول من اللازم. في الواقع، 75% من مجموعات البيانات التي تحتوي على معلومات تعريف شخصية (PII) مُحتفظ بها لفترات أطول من اللازم. تتضمن العديد من لوائح ومعايير حماية البيانات، مثل قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) وقانون ساربينز-أوكسلي (SOX) واللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي وقانون حقوق الخصوصية في كاليفورنيا (CPRA)، أحكامًا صارمة بشأن الاحتفاظ بالبيانات.
خطر منح صلاحيات زائدة وكشف البيانات الحساسة
في بيئات الحوسبة السحابية، تُمنح أكثر من 40,000 نوع مختلف من الصلاحيات لهويات متعددة. ومما يزيد الأمر سوءًا، أن أكثر من 50% من هذه الصلاحيات عالية المخاطر. كما كشفت مايكروسوفت في تقريرها لعام 2023 حول حالة مخاطر صلاحيات الحوسبة السحابية أن 1% فقط من الصلاحيات الممنوحة تُستخدم، بينما تبقى الصلاحيات المتبقية إما غير نشطة أو غير مستخدمة لأشهر.
في بيئة مايكروسوفت شيربوينت، غالبًا ما يمنح المستخدمون صلاحيات الوصول لمستخدمين غير مصرح لهم. قد يعود ذلك إلى منح هذه الصلاحيات بشكل جماعي لمجموعة كبيرة من المستخدمين، أو إلى سوء تكوين الصلاحيات. يزيد هذا الخطر من احتمالية كشف الملفات ذات الصلاحيات الزائدة لمستخدمين غير مصرح لهم، وكشف البيانات السرية لمستخدمين غير مخولين بالاطلاع عليها، مثل خطط عمليات الاندماج والاستحواذ.
من المخاطر الأخرى التي قد تؤدي إلى تسريب البيانات الحساسة إلى مستخدمين غير مصرح لهم، قدرة مساعد الطيار على التكامل مع أدوات أو خدمات خارجية. وبشكل عام، يُعدّ منح صلاحيات زائدة وتسريب البيانات الحساسة مخاطر أمنية جسيمة، ويترتب عليها مخاطر تنظيمية كبيرة، وفي نهاية المطاف غرامات قانونية. فعلى سبيل المثال، يناقش نظام حماية البيانات العامة للاتحاد الأوروبي (GDPR) ويوصي بتطبيق تدابير أمنية صارمة للبيانات وسياسات للحدّ منها، مثل تلك المذكورة في المواد 5 و25 و32.
خطر إساءة استخدام البيانات الحساسة
تتطلب لوائح حماية البيانات، مثل اللائحة العامة لحماية البيانات (GDPR) وقانون حماية خصوصية المستهلك في كاليفورنيا (CPRA)، قيودًا صارمة على الغرض من جمع البيانات. فهي تلزم الجهات المعنية بضمان جمع البيانات الشخصية لأغراض محددة وواضحة ومشروعة فقط. مع ذلك، قد يكون تحديد قيود واضحة على الغرض من جمع البيانات أثناء تطوير النماذج وتدريبها أمرًا صعبًا.
يستخدم برنامج Copilot for Microsoft 365 بيانات التدريب والسياق المرتبط بها، والمستخرجة من مختلف المستندات ورسائل البريد الإلكتروني والموارد الأخرى، لتحسين الاستجابات. ولذلك، هناك احتمال كبير أن يقوم البرنامج بتوليد استجابات من البيانات لأغراض تتجاوز الغرض المقصود منه. وقد تُعرّض هذه السيناريوهات المؤسسات لمشاكل قانونية نتيجة عدم الامتثال.
أفضل الممارسات للتعامل مع مخاطر Data Privacy Microsoft 365 Copilot
من المهم وضع استراتيجية مدروسة جيداً لتقليل مخاوف الامتثال لمساعد الطيار وجني فوائدها العديدة، مما يسمح لك بالبقاء متقدماً على المنافسة.
إجراء تقييم لأثر حماية البيانات والخصوصية
ينبغي على المؤسسات إجراء تقييم لأثر الخصوصية (PIA) وتقييم لأثر حماية البيانات ( DPIA ). وتُعد تقييمات الأثر من أهم متطلبات المؤسسات الكبرى. data privacy ولوائح الحماية، مثل اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي. فعلى سبيل المثال، تنص المادة 35 من اللائحة العامة لحماية البيانات على إلزام الشركات بإجراء تقييمات أثر حماية البيانات (DPIA) لتحديد المخاطر المرتبطة بأنشطة معالجة البيانات والتخفيف من حدتها. وبالمثل، تُمكّن تقييمات أثر الخصوصية (PIA) المؤسسات من تحديد المخاطر التي تؤثر على حقوق خصوصية الأفراد والتخفيف من حدتها. ويساعدك تقييم الأثر الشامل على اكتشاف الثغرات في الخصوصية والامتثال، مما يُمكّن من اعتماد أدوات الذكاء الاصطناعي، مثل Copilot، بشكل آمن.
تخفيف المخاطر أو الأذونات غير المقصودة
كما ذُكر سابقًا، قد يؤدي منح صلاحيات مفرطة أو عدم معالجة الصلاحيات المُهيأة بشكل خاطئ إلى كشف معلومات سرية. وللحد من هذا الخطر، يجب على المؤسسات تحديد التركيبات الخطرة في جميع أنحاء بيئة مايكروسوفت الخاصة بها. يمكن لمخطط المعرفة الآلي أن يساعد الفرق على اكتساب رؤى سياقية حول الهويات والصلاحيات وحساسية الملفات والمتطلبات التنظيمية. وللحد من انكشاف البيانات الحساسة، يُنصح بتطبيق نموذج الوصول بأقل قدر من الصلاحيات وتقييد وصول المستخدم المساعد إلى الملفات ذات التصنيفات عالية الحساسية.
تقليل البيانات الزائدة أو القديمة أو التافهة (ROT)
لا تؤثر بيانات ROT على جودة ودقة استجابات Copilot فحسب، بل تشكل أيضًا مخاطر أمنية وخصوصية جسيمة. فعلى سبيل المثال، قد يؤدي تخزين البيانات الحساسة لفترة أطول من المدة المحددة للاحتفاظ بها إلى غرامات تنظيمية باهظة. وبفضل نظام تصنيف وتصنيف بيانات قوي، تستطيع المؤسسات تصنيف الملفات المكررة أو شبه المكررة أو القديمة تلقائيًا واستبعادها من استجابات Copilot.
الاحتفاظ بسجل لأنشطة المعالجة (ROPA)
يجب على المؤسسات أيضًا مراعاة الاحتفاظ بسجل لأنشطة المعالجة (ROPA). فبالإضافة إلى كونه متطلبًا للامتثال، يُعدّ الاحتفاظ بهذه السجلات ممارسة حوكمة رشيدة، إذ يُتيح إدارة أفضل للبيانات. يمكّن سجل أنشطة المعالجة الفرق من معرفة البيانات المتوفرة لديهم، ومكان وجودها، والغرض من استخدامها. وفيما يتعلق باستخدام Copilot، يُمكن لسجل أنشطة المعالجة أن يُقدّم رؤى قيّمة حول كيفية استخدام أداة الذكاء الاصطناعي للبيانات أو تحليلها لأغراض معالجة البيانات المختلفة. وهذا بدوره يضمن التعامل مع البيانات ومعالجتها بشكل سليم وفقًا لحقوق خصوصية المستخدمين ومتطلبات الجهات التنظيمية الأخرى.
يعتقد ثلاثة من كل أربعة من كبار المديرين التنفيذيين أن عدم الاستفادة من الذكاء الاصطناعي وتوسيع نطاقه خلال السنوات الخمس المقبلة قد يُعرّض أعمالهم للخطر. لذا، ضع في اعتبارك أفضل الممارسات المذكورة أعلاه كنقطة انطلاق لحماية مؤسستك من تسريب البيانات الحساسة، واعتمد على الذكاء الاصطناعي بشكل آمن.
الأسئلة الشائعة
كلمات الشخصيات وقت القراءة
