Copilot, oferowany zarówno w wersji darmowej, jak i zintegrowanej z Microsoft 365, otwiera przed użytkownikami nowe możliwości. Jednak z rosnącym wykorzystaniem tego narzędzia wzrasta również potrzeba zapewnienia bezpieczeństwa danych. W tym artykule przyjrzymy się różnicom między Copilotem webowym a Copilotem dla Microsoft 365 oraz temu jak wygląda kwestia bezpieczeństwa w obu wersjach.
Copilot Web vs. Copilot dla Microsoft 365 – podstawowe różnice
Copilot w wersji darmowej, znany jako Copilot Chat, działa na zasadzie przetwarzania informacji dostępnych publicznie w internecie, analogicznie do ChatGPT. Wykorzystując model językowy dostarczony przez OpenAI, narzędzie przeszukuje sieć (Bing) w poszukiwaniu odpowiedzi, nie mając dostępu do danych użytkownika w Microsoft 365. Jest to rozwiązanie bezpieczne, gdzie ochrona danych (Commercial Data Protection i Enterprise Data Protection) stoi na pierwszym miejscu.
Z kolei Copilot dla Microsoft 365 wnosi dodatkową warstwę personalizacji, umożliwiając przetwarzanie danych użytkownika, takich jak maile, dyskusje w Teams czy dokumenty w SharePoint i OneDrive. Dzięki temu użytkownicy otrzymują informacje, które są bardziej spersonalizowane i precyzyjne. I w tym przypadku poza Commercial Data Protection stosowana jest również dyrektywa Enterprise Data Protection – zaawansowane zabezpieczenia danych w środowisku Microsoft 365.
Przyjrzyjmy się głównym przepisom bezpieczeństwa danych, którym podlega Copilot pod tym względem w Unii Europejskiej.
Regulacje, którym podlega Copilot dla Microsoft 365 w UE
Microsoft 365 Copilot przestrzega kilku kluczowych przepisów i standardów zgodności w Unii Europejskiej, zapewniając ochronę danych i prywatności. Oto główne z nich:
Ogólne Rozporządzenie o Ochronie Danych (RODO)
Microsoft 365 Copilot jest zgodny z RODO, które reguluje przetwarzanie i ochronę danych osobowych w UE.
Granica danych UE
Microsoft zapewnia, że dane klientów korzystających z Copilota w M365 pozostają w granicach geograficznych UE, wspierając wymagania dotyczące rezydencji i suwerenności danych.
Dodatek dotyczący Ochrony Danych (DPA)
DPA jest kluczowym dokumentem prawnym, który ma na celu ochronę danych osobowych powierzanych do przetwarzania zewnętrznym dostawcom usług, zapewniając, że odbywa się to w sposób bezpieczny i zgodny z obowiązującymi przepisami prawa. W kontekście Microsoft 365, DPA stanowi zobowiązanie Microsoftu do ochrony danych użytkowników Copilota zgodnie z regulacjami UE.
ISO/IEC 27018:
Standard ten koncentruje się na ochronie danych osobowych w chmurze, zapewniając, że Microsoft 365 Copilot spełnia rygorystyczne wymagania dotyczące bezpieczeństwa i prywatności.
Zobowiązania dotyczące rezydencji danych
Treść zapytań, które użytkownicy wprowadzają do Copilota, oraz wygenerowane przez niego odpowiedzi nie są używane do dalszego trenowania podstawowych modeli językowych OpenAI (GPT-4) ani żadnych innych modeli Microsoftu. Jest to kluczowe dla zachowania prywatności i zapobiegania wyciekom poufnych informacji, które mogłyby potencjalnie zostać wchłonięte przez model i później ujawnione w odpowiedziach dla innych użytkowników.Ponadto dane, do których Copilot uzyskuje dostęp za pośrednictwem Microsoft Graph (np. e-maile, dokumenty, spotkania), aby zapewnić kontekst i generować odpowiedzi, również nie są wykorzystywane do trenowania modeli. Oznacza to, że poufne informacje organizacji pozostają w jej środowisku Microsoft 365 i nie przyczyniają się do ogólnego uczenia się modelu.
Praktyczne implikacje przepisów UE dla użytkowników Copilota w Microsoft 365
Zalety regulacji unijnych w pracy z Copilotem są znaczące, bo zapewniają zarówno bezpieczeństwo, jak i zgodność z prawem. W jaki sposób praktycznie wpływają one na użytkowników?
Wzmocniona prywatność danych
Użytkownicy mogą mieć pewność, że ich dane osobowe i organizacyjne są przetwarzane zgodnie z RODO, co zapewnia przejrzystość i kontrolę nad wykorzystaniem danych.
Zmniejszone ryzyko naruszenia danych
Ścisłe przestrzeganie normy ISO/IEC 27018 i innych standardów minimalizuje luki w zabezpieczeniach, chroniąc poufne informacje przed nieautoryzowanym dostępem.
Mitygacja naruszeń regulacyjnych
Działanie Copilota jest zgodne z przepisami UE, co zmniejsza ryzyko kar lub problemów prawnych dla organizacji korzystających z tej usługi.
Większe zaufanie i odpowiedzialność
Przestrzegając tych przepisów, Microsoft buduje zaufanie użytkowników, zapewniając, że ich dane nie są wykorzystywane do trenowania modeli ani innych niezamierzonych celów.Środki te zapewniają użytkownikom bezpieczne i zgodne z przepisami środowisko, pozwalając im skupić się na produktywności bez obaw o kwestie ochrony danych.

Zabezpieczanie danych firmowych w pracy z Copilotem
Bez względu na wybraną wersję Copilota, kluczowym aspektem w organizacji jest bezpieczeństwo danych. Wiemy już, że w przypadku Copilota dla Microsoft 365, gdzie dostęp do danych jest szerszy, Microsoft zapewnia, że modele językowe nie uczą się na podstawie tych danych, co gwarantuje ich bezpieczeństwo i prywatność, a samo działanie Copilota podlega unijnym regulacjom.
Nie oznacza to jednak, że dane organizacji nie są narażone na ryzyko błędu ludzkiego, phishingu i innych cyberzagrożeń.
Jak możemy zwiększyć bezpieczeństwo Copilota w organizacji?
Edukacja użytkowników
Szkolenia z zakresu bezpiecznego korzystania z narzędzi AI są kluczowe. Użytkownicy powinni być świadomi potencjalnych zagrożeń i wiedzieć, jak z nich korzystać, aby nie narażać danych na ryzyko.
Regularne aktualizacje
Zarówno Copilot Web, jak i Copilot dla Microsoft 365 wymagają regularnych aktualizacji, które często zawierają ważne łatki bezpieczeństwa.
Zgłaszanie podejrzanych działań
Użytkownicy powinni wiedzieć, jak i gdzie zgłaszać podejrzane działania, co pozwala na szybką reakcję i minimalizację potencjalnych szkód.
Monitorowanie systemów
Systematyczne monitorowanie aktywności i dostępów do danych może pomóc w wykrywaniu i zapobieganiu nieautoryzowanemu dostępowi.
Tworzenie zasad korporacyjnych
Jasne zasady korzystania z narzędzi AI w firmie są niezbędne. Powinny one obejmować zarówno aspekty techniczne, jak i organizacyjne.

Podsumowanie
Wykorzystanie Copilota, zarówno w wersji webowej, jak i zintegrowanej z Microsoft 365, otwiera przed firmami nowe możliwości. Jednak z tą szansą wiąże się również odpowiedzialność za zapewnienie bezpieczeństwa danych. W IT-Dev rozumiemy te wyzwania i jesteśmy gotowi wspierać naszych klientów w implementacji bezpiecznych rozwiązań AI, które pozwolą na pełne wykorzystanie ich potencjału przy jednoczesnym zachowaniu najwyższych standardów ochrony danych.
Masz pytania? Porozmawiajmy: https://www.it-dev.eu/pl/kontakt/