MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Jaká jsou rizika při zavádění ChatGPT do podniků? Vysvětlení případů úniku důvěrných informací a opatření proti nim

IT

Jaká jsou rizika při zavádění ChatGPT do podniků? Vysvětlení případů úniku důvěrných informací a opatření proti nim

Implementace ChatGPT do firemního prostředí postupuje pomalu, ale jistě. Ačkoliv se stále více upírá pozornost na jeho užitečnost, existuje několik bodů, na které je třeba dávat pozor. Jedním z nich je, že byste neměli zadávat do ChatGPT žádné důvěrné informace. V zahraničí již existují případy, kdy zadání důvěrných informací do ChatGPT vedlo k vážnému úniku firemních tajemství.

V tomto článku vám právník vysvětlí rizika úniku důvěrných informací při využívání ChatGPT v podnikání, a to na základě konkrétních případů a doporučených opatření.

Důvody, proč byste neměli zadávat citlivé informace do ChatGPT

ChatGPT je sice užitečný, ale jako AI chatbot generovaný na základě velkých dat a dat získaných z internetu může, pokud nebudou přijata žádná opatření, dojít k úniku zadaných citlivých informací.

O opatřeních proti riziku úniku citlivých informací se dozvíte více později, ale nejprve se podíváme na rizika spojená s ChatGPT, která nejsou přímo spojena s únikem citlivých informací.

Rizika spojená s využíváním ChatGPT ve firmách mimo únik důvěrných informací

ChatGPT je v současné době ve fázi zavádění a testování v mnoha společnostech. Je proto nezbytné pochopit s tím spojená rizika a na jejich základě rozhodnout o jeho využití v podnikání.

Při používání ChatGPT se společnosti mohou setkat s bezpečnostními riziky, která nezahrnují pouze únik důvěrných (včetně osobních) informací, ale také:

  • Riziko pravdivosti vygenerovaných informací
  • Riziko porušení autorských práv u vstupních a výstupních informací

Podrobně se na každé z nich zaměříme.

Nedostatečná pravdivost vygenerovaných informací

GPT-4, který byl zveřejněn 14. března 2023, je vybaven vyhledávací funkcí, což mu umožňuje poskytovat nejnovější informace. Nicméně ChatGPT při odpovídání vytváří informace, které se jeví jako pravdivé, ale jejich pravdivost není zaručena. Odpovědi generované ChatGPT nejsou založeny na přesnosti informací z učebních dat, ale jsou vytvořeny na základě toho, co je považováno za nejpravděpodobnější text. Před použitím výstupních dat je proto nezbytná faktická kontrola. Pokud by společnost šířila nepravdivé informace, mohlo by to poškodit její reputaci.

Právní rizika, jako je porušení autorských práv

Právní rizika, jako je porušení autorských práv

Posuzování porušení autorských práv u ChatGPT se liší v závislosti na fázi „vývoje AI a učení“ a „generování a používání“. V každé fázi se liší způsob použití děl, a proto se liší i aplikované články autorského zákona. Je tedy nutné obě fáze posuzovat odděleně.

Reference: Japonská agentura pro kulturu | Seminář o autorských právech pro fiskální rok 2023 (Reiwa 5) „AI a autorská práva“[ja]

V lednu 2019 byl zaveden nový autorský zákon, který v článku 30 odst. 4 zahrnuje nově etapu „vývoje AI a učení“. Používání děl, která nejsou zaměřena na požitek z vyjádřených myšlenek nebo emocí, jako je analýza informací pro vývoj AI, je obecně možné provádět bez svolení držitele autorských práv.

Na druhou stranu, pokud vygenerovaný výstup ChatGPT vykazuje podobnost nebo závislost (modifikaci) na autorském díle, může dojít k porušení autorských práv. Před zveřejněním je proto důležité ověřit, kdo je držitelem práv k informacím, na které se ChatGPT odkazuje, a zkontrolovat, zda neexistuje obsah podobný tomu, co ChatGPT vytvořil. Při citování děl je nutné uvést zdroj (omezení práv) a při reprodukci získat svolení držitele autorských práv nebo se jinak řádně postarat o práva.

V případě, že držitel autorských práv upozorní na porušení autorských práv, může být dotčená osoba vystavena občanskoprávní odpovědnosti (náhrada škody, odškodnění, zákaz používání, obnovení dobrého jména atd.) nebo trestněprávní odpovědnosti (privátní obvinění).

Případy, kdy došlo k problémům kvůli zadání důvěrných informací do ChatGPT

Dne 30. března (2023) korejská média “EConomist” uvedla, že v oddělení polovodičů společnosti Samsung Electronics došlo k povolení používání ChatGPT, což vedlo k tomu, že byly zadány důvěrné informace ve třech případech.

Ze strany společnosti Samsung Electronics byla sice prováděna interní osvěta ohledně informační bezpečnosti, přesto došlo k tomu, že zaměstnanci odeslali zdrojový kód v rámci žádosti o úpravu programu (ve dvou případech) nebo poslali obsah schůzky pro vytvoření zápisu z jednání.

Po těchto incidentech společnost jako nouzové opatření omezila maximální velikost nahrávání dat na ChatGPT pro jednu otázku. Dále uvedla, že pokud by se podobné případy opakovaly, zváží možnost úplného odpojení přístupu k ChatGPT.

Walmart a Amazon rovněž varují své zaměstnance před sdílením důvěrných informací s chatboty. Právník společnosti Amazon zmínil, že již byly zaznamenány případy, kdy odpovědi ChatGPT připomínaly interní data Amazonu, což naznačuje možnost, že tato data byla využita pro učení systému.

Opatření k zajištění, aby při používání ChatGPT nedocházelo k úniku důvěrných informací

Společnost OpenAI ve svých smluvních podmínkách a dalších dokumentech vysvětluje, že data zadaná pro účely zlepšení systému mohou být použita pro učení a další procesy, a doporučuje, aby uživatelé neposílali citlivé informace.

V této kapitole představíme čtyři opatření, jak z hlediska hardwaru, tak softwaru, která pomohou zabránit úniku důvěrných informací při používání ChatGPT.

Vypracování interních směrnic pro používání

Vypracování interních směrnic pro používání

Při zavádění ChatGPT do podniku je důležité nejen zvyšovat informační bezpečnostní gramotnost jednotlivců a podporovat reskilling zaměstnanců, ale také je vhodné vypracovat vlastní interní směrnice pro používání ChatGPT.

Dne 1. května 2023 (Reiwa 5) vydala Všeobecná společnost pro hluboké učení Japonska (JDLA) shrnutí etických, právních a sociálních otázek (ELSI) spojených s ChatGPT a zveřejnila “Směrnice pro používání generativní AI”. I v akademických, vládních a průmyslových kruzích se začíná s vypracováním směrnic.

Využitím těchto informací k vytvoření jasně formulovaných interních pravidel pro používání ChatGPT ve vaší společnosti můžete očekávat určitou míru prevence rizik.

Reference: Všeobecná společnost pro hluboké učení Japonska (JDLA)|Směrnice pro používání generativní AI[ja]

Zavedení technologií zabraňujících úniku důvěrných informací

Jako opatření proti úniku důvěrných informací způsobenému lidskou chybou je možné zavést systém známý jako DLP (Data Loss Prevention), který zabraňuje odesílání a kopírování důvěrných informací tím, že předchází úniku specifických dat.

DLP neustále monitoruje vstupní data a automaticky identifikuje a chrání důvěrné a důležité informace. Použitím DLP lze v případě detekce citlivých informací upozornit pomocí alertů nebo zablokovat operace. Tento systém umožňuje spolehlivě předcházet únikům informací z vnitřního prostředí při současném udržení nízkých nákladů na správu, avšak vyžaduje pokročilé porozumění bezpečnostním systémům a jeho hladká implementace může být pro firmy bez technického oddělení obtížná.

Zvažování zavedení specializovaného nástroje

Od března 2023 je možné využívat API (zkratka pro “Application Programming Interface”, což je rozhraní pro propojení softwaru, programů a webových služeb) ChatGPT, které umožňuje zabránit úniku dat odeslaných do ChatGPT.

Data odeslaná přes API nejsou používána pro učení nebo zlepšování, ale jsou uchovávána po dobu 30 dní pro “monitoring k prevenci zneužití nebo nesprávného použití” a poté jsou smazána podle změněných uchovávacích podmínek. V případě “právních požadavků” může dojít k prodloužení doby uchování dat.

I když je nastavení ChatGPT tak, aby nedocházelo k učení nebo zlepšování, data jsou po určitou dobu uchovávána na serveru, což teoreticky představuje riziko úniku informací. Proto je nutná zvýšená opatrnost při zadávání důvěrných informací nebo osobních údajů.

OpenAI však klade velký důraz na soukromí uživatelů a bezpečnost dat a zavádí přísná bezpečnostní opatření. Pro bezpečnější používání se doporučuje zavedení “Azure OpenAI Service”, nástroje s možností pokročilých bezpečnostních opatření.

Specializovaný nástroj pro podniky, “Azure OpenAI Service”, neuchovává data vložená do ChatGPT prostřednictvím API. Navíc, pokud podáte žádost o opt-out a ta bude schválena, můžete v zásadě odmítnout i 30denní uchovávání a monitoring vstupních dat, čímž se vyhnete riziku úniku informací.

Jak nastavit ChatGPT, aby se nenaučil zpracovávat zadané důvěrné informace

Jak bylo uvedeno výše, ChatGPT se učí ze všech obsahů, které jsou zadány na základě opt-in, a proto od 25. dubna 2023 (2023年4月25日) je k dispozici funkce, která umožňuje nastavit opt-out předem.

Jako přímé preventivní opatření je nutné podat žádost o opt-out, pokud nechcete, aby byla data zadaná do ChatGPT použita pro učení nebo zlepšování služby. Pro ChatGPT je připraven formulář Google pro opt-out, takže je vhodné tento postup provést. (Je třeba zadat e-mailovou adresu, ID organizace a název organizace a odeslat formulář.)

Avšak i v tomto případě bude OpenAI monitorovat zadaná data po určitou dobu (standardně 30 dní) a na serveru budou data stále uchovávána.

Podmínky používání ChatGPT

3. Obsah

(c) Použití obsahu pro zlepšení služeb

Neužíváme obsah, který nám poskytnete nebo přijmete z našeho API („Obsah API“) k vývoji nebo zlepšení našich služeb.

Můžeme však použít obsah ze služeb, které nejsou součástí našeho API („Obsah mimo API“), aby nám pomohl vyvíjet a zlepšovat naše služby.

Pokud nechcete, aby byl váš Obsah mimo API použit k zlepšení služeb, můžete se odhlásit vyplněním tohoto formuláře. Vezměte prosím na vědomí, že v některých případech to může omezit schopnost našich služeb lépe řešit váš konkrétní případ použití.

Pokud si nepřejete, aby byl váš Obsah mimo API použit k zlepšení služeb, můžete se odhlásit vyplněním tohoto formuláře.

Vezměte prosím na vědomí, že v některých případech to může omezit schopnost našich služeb lépe řešit váš konkrétní případ použití.

Reference: Oficiální stránky OpenAI | Podmínky používání ChatGPT https://openai.com/policies/terms-of-use

Shrnutí: Při využívání ChatGPT v podnikání je nezbytné mít opatření pro zacházení s důvěrnými informacemi

Výše jsme vysvětlili rizika úniku důvěrných informací a opatření proti nim při využívání ChatGPT v podnikání, a to na základě konkrétních příkladů.

Využívání AI, jako je ChatGPT, které se rychle vyvíjí v oblasti podnikání, vyžaduje spolupráci s odborníky na řadu opatření, od vytvoření interních směrnic pro používání až po posouzení legality obchodního modelu, tvorbu smluv a uživatelských podmínek, ochranu duševního vlastnictví a zajištění soukromí.

Související článek: Co je to právo Web3? Vysvětlíme také klíčové body pro podniky, které do tohoto sektoru vstupují[ja]

Představení opatření naší kanceláře

Právní kancelář Monolith je firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. Obchodování s AI je spojeno s mnoha právními riziky a podpora právníků, kteří se specializují na právní problémy související s AI, je nezbytná.

Naše kancelář poskytuje sofistikovanou právní podporu pro AI podnikání, včetně ChatGPT, prostřednictvím týmu právníků a inženýrů, kteří se specializují na AI. Nabízíme tvorbu smluv, posouzení legality obchodních modelů, ochranu duševního vlastnictví a řešení související s ochranou soukromí. Podrobnosti naleznete v následujícím článku.

Oblasti práce právní kanceláře Monolith: Právní služby pro AI (včetně ChatGPT atd.)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Zpět na začátek