AI चैटबॉट्स के साथ कभी भी क्या साझा न करें

संक्षिप्त नियम

AI चैटबॉट लेखन, सारांश, कोडिंग, शोध, और अनुवाद के लिए उपयोगी हैं। वे हर प्रकार की जानकारी के लिए सही स्थान नहीं हैं। सबसे सुरक्षित कार्याभ्यास सरल है: यदि कुछ साझा करने से किसी व्यक्ति, खाते, कंपनी, या कानूनी दायित्व का खुलासा हो सकता है, तो इसे AI चैटबॉट में पेस्ट न करें जब तक आपके पास स्पष्ट कारण, सही खाता प्रकार, और सही सुरक्षा उपाय न हों।

यह आवश्यक नहीं है कि हर AI चैटबॉट असुरक्षित हो। इसका अर्थ है कि आपको इन्हें शक्तिशाली ऑनलाइन टूल के रूप में मानना चाहिए, सुरक्षित वॉल्ट के रूप में नहीं। यदि आपको एक व्यापक सेटअप मार्गदर्शिका पहले चाहिए, तो पढ़ें AI चैट प्राइवेसी सेटिंग्स। यदि आपका जोखिम टूल्स, कस्टम एक्शन्स, या कनेक्टर्स से आता है, तो इस गाइड को इसके साथ जोड़े: Are GPTs, Agents, and MCP Connectors Safe? .

AI चैटबॉट्स के साथ कभी भी साझा न करने योग्य चीज़ें

नीचे दिए गए वर्ग वे सबसे सामान्य तरीके हैं जिनसे लोग AI चैट्स में अधिक साझा कर देते हैं। कुछ स्पष्ट रूप से संवेदनशील हैं। अन्य तब तक हानिरहित दिखते हैं जब तक संदर्भ उन्हें गोपनीयता, कानूनी, या सुरक्षा समस्या में न बदल दे।

1. पासवर्ड, लॉगिन क्रेडेंशियल, और रिकवरी कोड

कभी भी पासवर्ड, एक-बार कोड, बैकअप कोड, रीसेट लिंक, सेशन टोकन, या गुप्त उत्तर पेस्ट न करें। ये सीधे खाते तक पहुंच वाले सामग्री हैं। यदि आपको मदद चाहिए, तो ऐसे प्लेसहोल्डर का उपयोग करें: [PASSWORD] or [2FA CODE] और वास्तविक रहस्य साझा किए बिना परिस्थिति का वर्णन करें।

2. API keys, private keys, tokens, और अन्य रहस्य

API keys, OAuth tokens, SSH private keys, webhook secrets, .env values, डेटाबेस पासवर्ड, या service-account क्रेडेंशियल। अधिकांश ट्रबलशूटिंग मामलों में, मॉडल को कॉन्फ़िग की संरचना ही चाहिए, वास्तविक रहस्य नहीं।

3. बैंकिंग, कार्ड, और भुगतान जानकारी

कार्ड नंबर, CVV, पूर्ण बैंक खाता विवरण, भुगतान प्रोसेसर क्रेडेंशियल, वॉलेट रिकवरी फ़्रेज़, या पूर्ण बिलिंग स्क्रीनशॉट से बचें। यदि आपको किसी चार्ज या स्टेटमेंट को पढ़ने में मदद चाहिए, तो विवरणों को मास्क करें और केवल प्रश्न पूछने के लिए आवश्यक न्यूनतम संदर्भ रखें।

4. सरकारी पहचान पत्र, कर रिकॉर्ड, और आधिकारिक दस्तावेज़

पासपोर्ट स्कैन, राष्ट्रीय पहचान कार्ड, ड्राइविंग लाइसेंस, वीज़ा फ़ाइलें, कर रिटर्न, सोशल सिक्योरिटी नंबर, या समान पहचानकर्ता अपलोड या पेस्ट न करें। यदि आपको किसी फ़ॉर्म में मदद चाहिए, तो फ़ॉर्म प्रकार या फ़ील्ड के अर्थ के बारे में पूछें न कि पूरा दस्तावेज़ साझा करें।

5. चिकित्सा, स्वास्थ्य, और अत्यंत निजी जानकारी

स्वास्थ्य रिकॉर्ड, निदान, प्रिस्क्रिप्शन, लैब परिणाम, थेरेपी नोट्स, और बीमा पहचानकर्ताओं को सामान्य-उद्देश्य AI चैटबॉट से डिफ़ॉल्ट रूप से दूर रखना चाहिए। एक सुरक्षित तरीका यह है कि गैर-पहचानकारी शब्दों में सामान्य शैक्षिक प्रश्न पूछें बजाय नामित रिपोर्ट चिपकाने के।

6. गोपनीय कार्य दस्तावेज़ और आंतरिक व्यापार जानकारी

आंतरिक रोडमैप, स्ट्रेटेजी डेक, प्राइसिंग प्लान, घटना नोट्स, सुरक्षा दस्तावेज़, बोर्ड मटेरियल, या अनरिलीज्ड उत्पाद विवरण को एक उपभोक्ता AI खाते में पेस्ट न करें जब तक आपका संगठन स्पष्ट रूप से उस वर्कफ़्लो को अनुमोदित न करे। कार्य-संवेदनशील सामग्री अनुमोदित कार्य वातावरण में ही होनी चाहिए, व्यक्तिगत सुविधा टूल में नहीं।

7. ग्राहक डेटा, कर्मचारी डेटा, और किसी भी PII जो वास्तविक लोगों से जुड़ा हो

नाम, ईमेल पते, फोन नंबर, घरेलू पते, ग्राहक टिकट, पेरोल विवरण, छात्र रिकॉर्ड, और HR फाइलें बड़े सावधानी के साथ संभाली जानी चाहिए। किसी रिकॉर्ड को संवेदनशील बनने के लिए पासपोर्ट नंबर की आवश्यकता नहीं होती। संदर्भ पहचान योग्य बना सकता है।

8. अनुबंध, कानूनी मसौदे, और NDA से कवर सामग्री

हस्ताक्षरित अनुबंध, बातचीत का इतिहास, कानूनी राय, गोपनीय क्लॉज़, या NDA के अंतर्गत अन्य सामग्री सामान्य चैटबॉट में डिफ़ॉल्ट रूप से पेस्ट न करें। यदि मदद चाहिए, तो सामान्य संरचनाओं के बारे में पूछें या असली दस्तावेज़ के बजाय एक रेडैक्टेड संस्करण का उपयोग करें।

9. संवेदनशील स्रोत कोड, आंतरिक वास्तुकला, और सुरक्षा विवरण

निजी रिपोज़िटरी कोड, आंतरिक एन्डपॉइंट, इन्फ्रास्ट्रक्चर डायग्राम, एक्सेस-कंट्रोल लॉजिक, प्रोडक्शन कॉन्फ़िगरेशन, और सुरक्षा प्लेबुक्स साझा करने के लिए सुरक्षित सामग्री नहीं हैं। AI अभी भी कोड में मदद कर सकता है, पर सुरक्षित तरीका यह है कि जहां संभव हो प्यूडोकोड, सैनीटाइज़्ड स्निपेट्स, या कम परीक्षण मामलों का उपयोग करें।

10. कुछ भी जो कनेक्टेड टूल्स, agents, apps, या integrations के माध्यम से एक्सपोज़ हो जो आप पूरी तरह नहीं समझते

यह सबसे आसान जोखिमों में से एक है जिसे चूक जाना है। उपयोगकर्ता कह सकता है "मैंने यह मैन्युअली पेस्ट नहीं किया" और भूल सकता है कि एक चैटबॉट कनेक्टेड फ़ाइलें, साझा पेज सामग्री, कैलेंडर, एप्स, या बाहरी टूल पढ़ सकता है। यदि आप स्पष्ट रूप से उत्तर नहीं दे सकते कि कोई इंटीग्रेशन क्या पढ़ सकता है, क्या लिख सकता है, और डेटा आगे कहां जाता है, तो इसे संवेदनशील सामग्री के साथ उपयोग न करें।

धूसर-क्षेत्र (Gray-Zone) उदाहरण

कुछ जानकारी हानिरहित दिखती है पर फिर भी सावधानी की जरूरत होती है। स्क्रीनशॉट, मीटिंग नोट्स, एक्सपोर्ट की गई स्प्रेडशीट, सपोर्ट टिकट, ग्राहक ईमेल, कोड स्निपेट, और चैट ट्रांसस्क्रिप्ट अक्सर नाम, टाइमस्टैम्प, आंतरिक URL, प्रोजेक्ट नाम, या अन्य छिपे संकेत रखते हैं जो सामग्री को पहचान योग्य बना देते हैं।

यही कारण है कि "मैंने पासवर्ड हटा दिया" हमेशा पर्याप्त नहीं होता। डैशबोर्ड का स्क्रीनशॉट या ग्राहक मुद्दों की स्प्रेडशीट अभी भी पर्याप्त संदर्भ उजागर कर सकती है जिससे गोपनीयता, सुरक्षा, या अनुबंध संबंधी समस्याएँ उत्पन्न हों। संदेह होने पर कच्ची सामग्री चिपकाने के बजाय सारांश दें।

पेस्ट करने से पहले डेटा वर्गीकरण का उपयोग करें

गलतियाँ कम करने का एक व्यावहारिक तरीका यह है कि आप उस जानकारी को वर्गीकृत करें उससे पहले कि आप निर्णय लें कि क्या AI चैटबॉट को इसे देखना चाहिए। कई टीमों के लिए एक सरल चार-स्तरीय मॉडल काम करता है: Public, Internal, Confidentialऔर Restricted.

• Public जानकारी बाहरी दर्शकों के लिए है और सामान्यतः गोपनीयता के दृष्टिकोण से कम जोखिम वाली होती है।
• Internal जानकारी सामान्य कंपनी उपयोग के लिए है, सार्वजनिक वितरण के लिए नहीं, और फिर भी डिफ़ॉल्ट रूप से हर जगह नहीं जानी चाहिए।
• Confidential जानकारी का उत्प्रेषण होने पर वास्तविक गोपनीयता, कानूनी, व्यवसायिक, या विश्वास नुकसान कर सकती है।
• Restricted जानकारी को सबसे मजबूत सुरक्षा की आवश्यकता है, जिसमें रहस्य, उच्च-जोखिम कानूनी सामग्री, या उच्च-प्रभाव सुरक्षा डेटा शामिल हैं।

यदि आप सुनिश्चित नहीं हैं कि कुछ Public है या Restricted, तो पेस्ट करने से पहले रुकें। अकसर वर्गीकरण प्रश्न चैटबॉट विक्रेता के पूरे ट्रस्ट मॉडल का अनुमान लगाने से सरल और अधिक उपयोगी होता है। पूरी व्याख्या के लिए पढ़ें Data Classification Explained .

इसके बजाय क्या करें

अच्छी खबर यह है कि AI तब भी उपयोगी हो सकता है जब उसे कच्चे रहस्य, कच्चे अनुबंध, या कच्ची ग्राहक फ़ाइल दिखाई न जाए।

पहले रेडैक्ट करें (Redact first)

नाम, रहस्य, पहचानकर्ता, खाता नंबर, आंतरिक URL, और अनावश्यक मेटाडेटा हटा दें। उन्हें निम्नलिखित जैसे प्लेसहोल्डर से बदल दें: [CLIENT_NAME], [API_KEY], [INTERNAL_URL]या [EMPLOYEE_EMAIL].

कच्ची सामग्री अपलोड करने के बजाय सारांश दें

फ़्रेमवर्क, चेकलिस्ट, रीराइट, या टेम्पलेट के लिए पूछें। उदाहरण के लिए, एक पूर्ण कर्मचारी चेतावनी पत्र पेस्ट करने के बजाय, मॉडल से एक तटस्थ चेतावनी-पत्र टेम्पलेट तैयार करने के लिए कहें। एक पूर्ण घटना रिपोर्ट साझा करने के बजाय, पोस्टमॉर्टेम आउटलाइन मांगें।

सुरक्षित आंतरिक लिंक और भरोसेमंद वर्कफ़्लो का उपयोग करें

यदि आपका प्रश्न वास्तव में सेटिंग्स के बारे में है, तो शुरुआत करें AI चैट प्राइवेसी सेटिंग्स। यदि यह टूल जोखिम के बारे में है, तो समीक्षा करें Are GPTs, Agents, and MCP Connectors Safe? । यदि यह बाहरी टूल्स कैसे काम करते हैं इसके बारे में है, तो पृष्ठभूमि गाइड Model Context Protocol (MCP) ट्रस्ट बाउंड्री को स्पष्ट करने में मदद करता है। यदि आप निर्णय लेने के लिए तेज़ तरीका चाहते हैं कि आप किस स्तर का डेटा देख रहे हैं, तो पहले पास के रूप में उपयोग करें Data Classification Explained पहले कुछ साझा करने से पहले।

व्यवसायिक बनाम व्यक्तिगत खाते

व्यवसायिक AI वातावरण आम तौर पर व्यक्तिगत खातों की तुलना में सुरक्षित होते हैं, पर "सुरक्षित" का अर्थ यह नहीं है कि "सब कुछ के लिए सुरक्षित"। मजबूत एडमिन नियंत्रण, रिटेंशन नियम, अनुमोदित टूलिंग, और स्पष्ट डेटा सीमाएँ बहुत मदद करती हैं, विशेषकर टीम वर्कफ़्लो के लिए। अनुशासन अभी भी महत्वपूर्ण है: संवेदनशील डेटा कम से कम रखें, सबसे संकीर्ण पहुँच का उपयोग करें, और उस जानकारी को साझा न करें जिसकी टूल को वास्तव में आवश्यकता नहीं है।

यदि आपका संगठन अनुमोदित AI वातावरण प्रदान करता है, तो वह काम से संबंधित उपयोग के लिए सही प्रारंभिक बिंदु है। व्यक्तिगत AI खाते ग्राहक डेटा, गोपनीय दस्तावेज़, या आंतरिक कंपनी संदर्भ के लिए शॉर्टकट नहीं होने चाहिए।

किसी भी चीज़ को चिपकाने से पहले त्वरित चेकलिस्ट

• क्या यह किसी वास्तविक व्यक्ति की पहचान सीधे या परोक्ष रूप से करता है?
• क्या इसका खुलासा करने से वित्तीय, कानूनी, गोपनीयता, या सुरक्षा हानि होगी?
• क्या मैं जानता/जानती हूं कि यह public, internal, confidential, या restricted है?
• क्या यह NDA, कंपनी नीति, या पेशेवर गोपनीयता द्वारा ढका हुआ है?
• क्या मैं पहले नाम, ID, रहस्य, और खाता विवरण redact कर सकता/सकती हूं?
• क्या मैं बिना कच्चे दस्तावेज़ या कच्ची फ़ाइल के प्रश्न पूछ सकता/सकती हूं?
• क्या मैं व्यक्तिगत खाते के बजाय अनुमोदित व्यवसायिक खाते का उपयोग कर रहा/रही/रहे/हूँ?
• क्या अतिरिक्त टूल्स, ऐप्स, agents, या connectors अभी सक्षम हैं?

यदि कई उत्तर चिंता उत्पन्न करते हैं, तो रुकें और अपना दृष्टिकोण बदलें। वह एक आदत किसी भी एक चैटबॉट सेटिंग से अधिक समस्याओं को रोकती है।

आधिकारिक संदर्भ और आगे पढ़ने के लिए

• OpenAI: Data usage for consumer services FAQ
• OpenAI: Data Controls FAQ
• Anthropic Privacy Center: Is my data used for model training?
• Google: Gemini Apps Privacy Hub
• Google Workspace: How Gemini in Workspace protects your data
• Microsoft: Copilot privacy controls
• Mistral: Can I opt out of my input or output data being used for training?
• OWASP: Top 10 for LLM Applications 2025
• NIST: Personally identifiable information definition
• FTC: Identity theft consumer advice

अक्सर पूछे जाने वाले प्रश्न