วิธีที่ผมสร้างนโยบายการใช้งาน AI ที่คนนำไปใช้จริง
นโยบาย AI ส่วนใหญ่มักล้มเหลวเพราะทีมกฎหมายเป็นคนเขียน
พนักงานได้รับนโยบายเหล่านี้ ลืมมันไป และสุดท้ายก็เพิกเฉย หนึ่งเดือนผ่านไป ไม่มีใครรู้ว่าเอกสารนั้นอยู่ที่ไหน สามเดือนผ่านไป ทุกคนก็ทำตามใจตัวเอง
ปัญหาไม่ใช่ว่าคนเกลียดกฎเกณฑ์ แต่ปัญหาคือส่วนใหญ่นโยบายเหล่านั้นไม่สามารถนำมาใช้จริงในระหว่างการทำงานได้
นโยบายจะมีประสิทธิภาพก็ต่อเมื่อพนักงานสามารถนำไปปรับใช้ได้จริงในเวลา 16:30 น. ของวันศุกร์
เลิกเขียนเอกสารเพื่อการปฏิบัติตามกฎเกณฑ์ (compliance) เลิกใช้คำนิยามทางกฎหมายยาวเหยียด พนักงานไม่ต้องการอ่านเอกสาร 20 หน้าเพื่อตัดสินใจว่าพวกเขาจะคัดลอกข้อความลงในเครื่องมือ AI ได้หรือไม่ พวกเขาแค่ต้องการคำตอบว่า "ได้" หรือ "ไม่ได้" เท่านั้น
ยิ่งต้องใช้ความพยายามในการหาคำตอบมากเท่าไหร่ คนก็ยิ่งปฏิบัติตามกฎน้อยลงเท่านั้น
ผมให้ความสำคัญกับข้อมูล ไม่ใช่เครื่องมือ เครื่องมือเปลี่ยนไปได้ แต่ข้อมูลยังคงเดิม
ผมแบ่งข้อมูลออกเป็น 3 กลุ่ม:
- ข้อมูลสาธารณะ (Public information): เนื้อหาการตลาด, เอกสารสาธารณะ และเนื้อหาบนเว็บไซต์
- ข้อมูลภายใน (Internal information): แผนงานโครงการ, บันทึกการประชุม และกระบวนการทำงาน
- ข้อมูลที่ละเอียดอ่อน (Sensitive information): บันทึกข้อมูลลูกค้า, ข้อมูลทางการเงิน และสัญญาต่างๆ
เมื่อพนักงานเข้าใจหมวดหมู่เหล่านี้ การตัดสินใจก็จะง่ายขึ้น พวกเขาจะเลิกถามว่าควรใช้ผลิตภัณฑ์ไหน แต่จะเริ่มถามว่าพวกเขากำลังแชร์ข้อมูลประเภทใดอยู่
คนเรามักเลือกทางเลือกที่เร็วที่สุด นโยบายที่ดีจะยอมรับความจริงข้อนี้ แต่นโยบายที่แย่จะพยายามต่อต้านมัน หากเครื่องมือที่ได้รับอนุมัติใช้งานยาก ผู้คนก็จะหาทางลัด และนั่นคือจุดเริ่มต้นของ Shadow AI
จงทำให้เครื่องมือที่ได้รับอนุมัติใช้งานสะดวกกว่าเครื่องมือที่ไม่ได้รับอนุมัติ เพราะความสะดวกคือเครื่องมือในการกำกับดูแล (governance) อย่างหนึ่ง
อย่าพยายามควบคุมทุกอย่าง แต่ให้มุ่งเน้นไปที่พฤติกรรมที่สร้างความเสี่ยงที่แท้จริง:
- การอัปโหลดข้อมูลลูกค้า
- การอัปโหลดสัญญา
- การแชร์ข้อมูลประจำตัว (credentials)
- การเปิดเผยข้อมูลทางการเงินหรือข้อมูลด้านความปลอดภัย
ใช้ตัวอย่างแทนกฎเกณฑ์ที่เป็นนามธรรม
อย่าพูดว่า: "ห้ามอัปโหลดข้อมูลที่เป็นความลับ" แต่ควรพูดว่า: "ห้ามอัปโหลดสัญญาของลูกค้า, งบการเงิน หรือบันทึกข้อมูลพนักงาน"
คนเราจดจำตัวอย่างได้ แต่จะลืมภาษาที่ใช้ในนโยบาย
จำไว้ว่าลำพังแค่เอกสารไม่สามารถปกป้องบริษัทได้ นโยบายช่วยลดความเสี่ยง แต่ระบบจะเป็นตัวบังคับใช้ คุณจำเป็นต้องมีระบบการบันทึกข้อมูล (logging), การตรวจสอบ (monitoring) และความสามารถในการตรวจสอบย้อนหลัง (audit)
AI เปลี่ยนแปลงอย่างรวดเร็ว ควรทบทวนนโยบายของคุณทุกไตรมาสเพื่อให้สอดคล้องกับความเป็นจริง
การกำกับดูแลที่ดีควรให้ความรู้สึกที่ชัดเจน ไม่ใช่การจำกัดสิทธิ์ พนักงานควรทราบแน่ชัดว่าพวกเขาสามารถทำอะไรได้บ้าง และควรสอบถามใครเมื่อไม่แน่ใจ
หากนโยบายของคุณซับซ้อนเกินไป ก็จะไม่มีใครอ่านมัน และหากไม่มีใครอ่านมัน มันก็ไร้ซึ่งคุณค่า
นโยบายที่ดีที่สุดคือนโยบายที่จดจำได้ง่ายที่สุด
ที่มา: https://dev.to/sumaskeller/how-i-build-ai-usage-policies-people-actually-follow-39pc
ชุมชนแห่งการเรียนรู้ (เลือกเข้าร่วมได้): https://t.me/GyaanSetuAi