

The Top Five Questions Legal Should Ask IT During Copilot for Microsoft 365 Adoption
- Information governance
Gen AI 已不再是一个炒作概念,现在各大企业都普遍希望通过Gen AI来提高员工的生产力。
同时,终端用户的需求也需要得到满足。人们在日常生活中使用Gen AI,在工作中也同样希望能够使用AI。企业是否提供Gen AI工具正成为员工对于就业机会的考量因素之一。企业需要从管理层开始,自上而下地确保他们在人才吸引和生产力方面都具备竞争优势。
事实证明,这是有效的。根据Forrester近期研究预测,Gen AI将显著提升生产力、降低运营成本、缩短入职培训时间,并实现高达450%的投资回报率。
所有这些都在以前所未有的方式推动Gen AI的大规模应用。
那些大型企业以往对于新技术的应用总是持保守态度,行动缓慢,然而现在却正在购买数万个Microsoft 365 Copilot许可证,并迅速在企业内部推广。
在所有这些令人兴奋的转变中,每个法总或首席法务官都会考虑一个关键问题:我们应该如何负责任地应用 Microsoft 365 Copilot?
以下是法务部门可以向IT提出的五个问题,以确保 Microsoft 365 Copilot 能够解决法务问题。好消息是,解决这些问题也将有助于提高Microsoft 365 Copilot 的使用效率并帮助加强使用效果!
问题1:我们如何确保Microsoft 365 Copilot不会将敏感信息泄露给没有访问权限的员工?
终端用户通常可以访问Outlook、OneDrive、Teams和其他应用程序,但他们可能也可以访问他们不知道的信息,例如某些SharePoint或OneDrive网站上的文件。假设一名员工使用“与我组织中的任何人共享”选项共享了一个文件,以前,当‘我组织中的任何人’也需要知道访问文件的链接时,这并不是一个重大风险。然而,当终端用户向 Microsoft 365 Copilot 发送提示时,它是基于使用终端用户可以访问的所有文件。因此,Copilot的响应可能包含终端用户不打算访问或他们不知道自己可以访问的信息。
为了解决这一问题,企业可以利用Microsoft 365权限的数据安全和合规能力来识别和标记敏感内容,包括受GDPR、HIPAA、PCI、隐私法规约束的数据以及企业定义的敏感业务材料,例如机密并购目标、知识产权等。为了加快Copilot的实施,企业可以根据风险类别分阶段保护过度暴露于Copilot中的数据。例如,首先识别并修复包含敏感内容的过度暴露数据,使终端用户能够快速访问Copilot。稍后,该团队可以解决没有敏感内容的过度暴露数据的权限管理问题。
问题2:我们如何避免Microsoft 365的Copilot使用过时或不准确的数据?
由于Microsoft 365的Copilot基于可访问的数据,这些数据可能已经过时,或者可能包含事实上不正确的信息。许多企业碍于“保留一切”的数据文化而广泛保留,或者是因为没有落实与公司文件保留政策相一致的自动化处置操作。
如果使用准确和精确的数据,Microsoft 365的Copilot将成为其终端用户的优选工具。当一个企业推行适用于Microsoft 365的Copilot时,正是重新审视数据保留和处置策略的好时机。良好的数据保留和处置实践能够根据时间范围和内容重复性减少数据量,有助于避免Microsoft 365 Copilot响应不佳。这些相同的保留政策还将减少将来法务封存的数据,降低诉讼成本,实现法务和IT的双赢。
问题3:我们如何防止数据丢失或泄露?
通过采取上述步骤定义敏感内容并采取自动数据分类,企业可以通过良好的数据清理,采用主动控制来降低数据丢失或泄露的风险。使用Microsoft权限数据丢失防护(DLP),企业可以阻止用户将敏感信息共享到个人电子邮件账户或其他未经授权的目的地。主动控制可以警告终端用户、阻止活动、记录活动并提示管理人员对其采取行动。它还可以识别来自Copilot的任何包含已分类文件信息的响应,新文件将保留分类和相关控制。
问题4:如何监管 Microsoft 365 Copilot 中的提示和响应?
开箱即用,Gen AI技术是智能的。它不会让终端用户问愚蠢的问题。
此外,正确实施分类模式和DLP策略控制将在个人层面保护提示和响应。
如果仍然担心终端用户会要求提供敏感或机密信息,那么可以应用额外的保护层。这包括限制终端用户在提示中可以询问的内容,或阻止他们向组织提出敏感问题。此外,还可以评估响应是否符合组织政策,以防止敏感信息泄露给不应该访问该内容的终端用户。
问题5:如果Copilot创建了新文档,我们如何确保数据保留政策符合电子证据开示要求?
如今,Copilot提示的保留与Microsoft Teams紧密相关。如果终端用户要求Microsoft 365 Copilot 对 Word 文档进行摘要,则终端用户的邮箱将保留提示和响应。
关于这是否应该被视为另一个数据源(如聊天),业界存在争议,但从技术上讲,它不是。它是临时内容,也可以被视为方便的副本,不需要出于记录保留的目的而保留。尽管如此,企业仍希望保留Microsoft 365 Copilot生成的数据,以应对雇佣法律诉讼、司法取证调查等场景需求。针对这类数据,企业应该及时制定相关政策。
每个人都应该问的额外问题是:负责任地部署Gen AI 需遵循何种现实可行的时间表?
部署 Gen AI 最核心最耗时的准备工作之一是确保数据可控和安全。平均而言,企业级组织的完全部署需要六个月的时间。为了加快价值实现,可以采用敏捷方法,分阶段推进Gen AI。通过这种方式,Gen AI工具可以掌握在最关键的终端用户手中,并可以从这些早期使用者中总结经验,推广到企业内的其他用户。
这种方法可以加速推广使用,并且比在大批量应用后试图解决问题和实施控制更有效。虽然敏捷方法并不新鲜,但对敏感信息和访问控制的分层分析使企业能够降低与部署Gen AI相关的风险。
点击“阅读原文”了解更多关于Epiq的负责任AI和Microsoft 365 Copilot 就虚性评估和相关服务的信息,包括如何通过Copilot支持您的企业发展。
Epiq拥有为众多企业客户提供咨询的经验,并同时也在Epiq内部应用Microsoft 365 Copilot。迄今为止,我们最大的合作对象是一家拥有25,000个Microsoft 365 Copilot 许可证,100,000多名终端用户的企业。通过这项工作,我们开发了针对负责任AI和Microsoft 365 Copilot 就绪性评估和相关服务,以帮助法务和IT团队快速将Gen AI应用于其企业内。该咨询计划解决了法总或法务主管应向IT部门提出的最紧迫的问题,以确保他们成功采用Copilot。
Jon Kessler,Epiq信息治理副总裁
Jon Kessler是Epiq的信息治理副总裁,他带领全球团队,专注于微软权限、负责任的人工智能应用、数据迁移、诉讼保留、数据隐私、内部风险管理、数据生命周期管理、数据安全咨询和并购数据流程管理。他在处理不同行业的复杂事务方面拥有丰富的经验,经常为政府机构和世界500强公司提供正式的合规和电子证据开示培训。
本文的内容仅旨在传达一般信息,不提供法律建议或意见。