MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Jaké jsou rizika úniku informací u ChatGPT? Představujeme čtyři nezbytná opatření

IT

Jaké jsou rizika úniku informací u ChatGPT? Představujeme čtyři nezbytná opatření

V poslední době se stále více pozornosti soustředí na “ChatGPT”. Tento generativní AI, který je schopen vytvářet texty, programovat, generovat hudební noty a dokonce i kreslit, přitahuje pozornost v různých oblastech.

Zkratka GPT v názvu ChatGPT znamená “Generative Pre-training Transformer” a díky předchozímu učení se z obrovského množství textových, obrazových a zvukových dat (rozšíření) je schopen vést přirozený rozhovor podobně jako člověk.

ChatGPT je díky své schopnosti zvládat složité úkoly v centru pozornosti jako nástroj, který slibuje efektivnější práci a vysoký výkon za nízké náklady. Využití ChatGPT již postupuje v různých oblastech a mnoho technologických společností se také pohybuje směrem k zavádění vlastních AI systémů.

AI technologie, včetně ChatGPT, přináší mnoho obchodních příležitostí, ale zároveň jsou zde potenciální rizika, jako jsou problémy s autorskými právy, šíření dezinformací, úniky důvěrných informací, otázky soukromí a možnost zneužití pro kybernetické útoky.

V tomto článku advokát vysvětlí, jaké opatření by se měla přijmout s ohledem na riziko úniku informací při používání ChatGPT.

Rizika úniku informací související s ChatGPT

Rizika spojená s implementací ChatGPT do podnikového prostředí lze obecně rozdělit do následujících čtyř bodů:

  • Bezpečnostní rizika (únik informací, přesnost, zranitelnost, dostupnost atd.)
  • Riziko porušení autorských práv
  • Riziko zneužití (například kybernetické útoky)
  • Etické výzvy

Riziko úniku informací související s ChatGPT spočívá v možnosti, že pokud do ChatGPT zadáte důvěrné informace, mohou být tyto informace viditelné pro zaměstnance společnosti OpenAI nebo jiné uživatele, nebo mohou být použity jako data pro učení systému.

Podle zásad používání dat společnosti OpenAI, pokud uživatel neprovede akci přes ‘API’ ChatGPT nebo nepožádá o ‘opt-out’, mohou být data, která uživatel zadá do ChatGPT, shromažďována a využívána (pro učení) společností OpenAI (více se dozvíte v následujícím vysvětlení).

Případy úniku informací spojené s používáním ChatGPT

Zde představíme případy, kdy došlo k úniku registrovaných osobních údajů nebo zadaných důvěrných informací v důsledku používání ChatGPT.

Případ úniku osobních údajů

Dne 24. března 2023 společnost OpenAI oznámila, že kvůli chybě se některým uživatelům zobrazovaly osobní údaje jiných uživatelů, včetně posledních čtyř číslic kreditní karty a data její platnosti. Kvůli této chybě byl ChatGPT dne 20. března na krátkou dobu odstaven z provozu. Únik osobních údajů se týkal části předplatitelů placeného plánu “ChatGPT Plus” (přibližně 1,2 % členů).

Společně s touto chybou bylo také oznámeno, že došlo k chybě, kdy se v chatovací historii zobrazovaly konverzace jiných uživatelů.

V reakci na to italský úřad pro ochranu dat dne 31. března 2023 vydal OpenAI předběžný příkaz, který omezuje zpracování dat italských uživatelů, protože ChatGPT shromažďuje a ukládá osobní data bez právního základu pro učení. OpenAI následně zablokoval přístup k ChatGPT z Itálie. Tento zákaz byl zrušen dne 28. dubna téhož roku, poté co OpenAI zlepšila zpracování osobních údajů.

Případ úniku důvěrných informací z firmy

V únoru 2023 americká kybernetická bezpečnostní společnost Cyberhaven zveřejnila zprávu o používání ChatGPT pro své zákaznické společnosti.

Z této zprávy vyplývá, že z 1,6 milionu pracovníků zákaznických společností používajících produkty Cyberhaven, 8,2 % znalostních pracovníků použilo ChatGPT alespoň jednou v práci a 3,1 % z nich zadalo do ChatGPT firemní důvěrné údaje.

Jedná se o případ z Jižní Koreje, kde 30. března 2023 korejská média “Economist” uvedla, že po povolení používání ChatGPT v jednom z oddělení společnosti Samsung Electronics došlo k zadání důvěrných informací do systému.

Přestože společnost Samsung Electronics upozorňovala na bezpečnost firemních informací, někteří zaměstnanci zadali do programu zdrojový kód nebo obsah schůzek.

V této situaci existují země a společnosti, které omezují používání ChatGPT, zatímco jiné vydávají doporučení pro jeho používání. Při zavádění ChatGPT bychom měli zvážit rizika spojená s únikem informací a pochopit jejich rozsah.

Čtyři opatření k prevenci úniku informací pomocí ChatGPT

Opatření k prevenci úniku informací pomocí ChatGPT

Únik informací může jednou nastat a vedle právní odpovědnosti může způsobit i značné ztráty důvěry a reputace. Proto je zásadní mít dobře zavedený systém správy informací a provádět pravidelné školení zaměstnanců.

Zde bychom vám chtěli představit čtyři opatření, která pomohou předcházet úniku informací při používání ChatGPT.

Opatření 1: Stanovení pravidel používání

Nejprve je důležité určit postoj vaší společnosti k ChatGPT a zahrnout do firemních předpisů ustanovení týkající se používání ChatGPT. Je klíčové stanovit a dodržovat jasné pravidla, jako je například nezadávat osobní ani důvěrné informace.

V této souvislosti je vhodné vypracovat směrnice pro používání ChatGPT ve vaší společnosti. Dále je třeba zajistit, aby byly tyto záležitosti zahrnuty i do smluv s externími stranami.

Dne 1. května 2023 (2023), Všeobecná společnost Japonské asociace pro hluboké učení (JDLA) shromáždila etické, právní a sociální otázky (ELSI) spojené s ChatGPT a zveřejnila “Směrnice pro používání generativní AI”.

Ve sférách průmyslu, akademické obce a vládních institucí se také začíná s přípravou vlastních směrnic. Využitím těchto informací při formulaci vlastních pravidel pro používání ChatGPT ve vaší společnosti můžete očekávat určitou míru prevence rizik.

Reference: Všeobecná společnost Japonské asociace pro hluboké učení (JDLA)|Směrnice pro používání generativní AI[ja]

Je však třeba si uvědomit, že samotné směrnice nejsou dostatečnou opatřením, pokud nejsou všeobecně známé a důsledně dodržovány.

Opatření 2: Vytvoření systému pro prevenci úniku informací

Jako opatření proti lidským chybám je možné zavést systém zvaný DLP (Data Loss Prevention), který zabraňuje úniku specifických dat a umožňuje tak zabránit odesílání a kopírování citlivých informací.

DLP je systém, který neustále monitoruje data, nikoli uživatele, a automaticky identifikuje a chrání citlivé a důležité informace. Použitím DLP lze v případě detekce tajných informací upozornit pomocí alertů nebo zablokovat operace.

Tento systém umožňuje spolehlivě předcházet únikům informací z vnitřního prostředí při nízkých nákladech na správu, avšak vyžaduje pokročilé porozumění bezpečnostním systémům a jeho hladká implementace může být výzvou pro společnosti bez technického oddělení.

Opatření 3: Použití nástrojů k prevenci úniku informací

Jak bylo zmíněno výše, jako přímé preventivní opatření můžete “opt-out” (odhlásit se) a tím odmítnout shromažďování dat, která jste zadali do ChatGPT.

Žádost o “opt-out” můžete podat přímo v nastavení ChatGPT. Nicméně, pokud se rozhodnete pro opt-out, historie vašich promptů nebude uchována, což může být pro některé uživatele nepříjemné.

Kromě nastavení opt-out existuje také možnost implementace nástrojů využívajících “API” ChatGPT.

“API” (Application Programming Interface) je rozhraní, které OpenAI poskytuje pro integraci ChatGPT do vlastních služeb nebo externích nástrojů. OpenAI deklaruje, že informace vstupující a vystupující přes API ChatGPT nebudou použity.

Tento bod je také jasně uveden v podmínkách používání ChatGPT. Podle podmínek používání:

3. Obsah

(c) Použití obsahu pro zlepšení služeb

Neužíváme obsah, který nám poskytnete nebo přijmete z našeho API (“Obsah API”) k vývoji nebo zlepšení našich služeb.

Můžeme však použít obsah ze služeb, které nejsou součástí našeho API (“Obsah mimo API”), aby nám pomohl vyvíjet a zlepšovat naše služby.

Pokud nechcete, aby byl váš Obsah mimo API použit k zlepšení služeb, můžete se odhlásit vyplněním tohoto formuláře. Vezměte prosím na vědomí, že v některých případech to může omezit schopnost našich služeb lépe řešit váš konkrétní případ použití.

Citace: Oficiální stránky OpenAI | Podmínky používání ChatGPT

Opatření 4: Provádění interních školení IT gramotnosti

Kromě již zmíněných opatření je také důležité zvyšovat úroveň bezpečnostní gramotnosti zaměstnanců prostřednictvím interních školení.

Jak ukazuje případ společnosti Samsung Electronics, i přes interní upozornění na informační bezpečnost došlo k zadání důvěrných informací, což vedlo k úniku informací. Proto je vhodné nejen předcházet únikům informací na systémové úrovni, ale také provádět interní školení zaměřená na znalosti související s ChatGPT a IT gramotnost.

Jak postupovat v případě úniku informací pomocí ChatGPT

Jak postupovat v případě úniku informací pomocí ChatGPT

V případě úniku informací je klíčové rychle provést vyšetřování skutečností a přijmout nápravná opatření.

Při úniku osobních údajů je podle zákona o ochraně osobních údajů povinností nahlásit incident Komisi pro ochranu osobních údajů. Je také nutné informovat dotčené osoby o vzniklé situaci. Pokud únik osobních údajů poruší práva nebo zájmy jiných stran, může to vést k občanskoprávní odpovědnosti za škody. Kromě toho, pokud byly osobní údaje odcizeny nebo poskytnuty s nezákonným úmyslem, může být dotčená osoba trestně stíhána.

V případě úniku obchodních tajemství nebo technických informací lze na základě zákona o prevenci nekalé soutěže požadovat od příjemce informací například smazání dat. Pokud únik obchodních tajemství nebo technických informací umožní třetí straně získat neoprávněný prospěch, může to vést k občanskoprávní odpovědnosti za škody. Navíc, pokud byla obchodní tajemství nebo technické informace získány nebo využity nezákonnými prostředky, může být dotčená osoba trestně stíhána.

Pokud dojde k úniku informací v důsledku porušení povinnosti mlčenlivosti v pracovním poměru, může být dotčená osoba trestně stíhána podle trestního zákoníku nebo jiných zákonů. Pokud takový únik informací způsobí škodu jiné straně, může to vést k občanskoprávní odpovědnosti za škody.

Je tedy nezbytné rychle reagovat v závislosti na obsahu uniklých informací a je důležité mít předem připravený systém pro takové situace.

Související článek: Jaké informace by měly firmy zveřejnit v případě úniku informací[ja]

Související článek: Co dělat v případě úniku osobních údajů? Vysvětlení administrativních kroků, které by měla firma podniknout[ja]

Shrnutí: Připravte se na rizika úniku informací ChatGPT

V tomto článku jsme vysvětlili rizika úniku informací spojená s ChatGPT a opatření, která byste měli přijmout. V oblasti AI podnikání, které využívá rychle se vyvíjející technologie jako je ChatGPT, doporučujeme konzultovat s právníky, kteří mají bohaté zkušenosti a dobrou znalost právních rizik, a připravit interní systémy, které odpovídají těmto rizikům.

Nejen v případě úniku informací, ale i při posuzování legality obchodních modelů využívajících AI, při tvorbě smluv a využití podmínek, ochraně duševního vlastnictví a zajištění soukromí, můžete být klidní, pokud spolupracujete s právníky, kteří mají znalosti a zkušenosti v oblasti AI i práva.

Představení opatření naší kanceláře

Advokátní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. Obchodování s AI přináší mnoho právních rizik a podpora právníků, kteří se specializují na právní problémy spojené s AI, je nezbytná. Naše kancelář poskytuje sofistikovanou právní podporu pro AI podnikání, včetně ChatGPT, prostřednictvím týmu právníků a inženýrů, kteří se specializují na AI. Nabízíme služby jako tvorba smluv, posouzení legality obchodních modelů, ochrana duševního vlastnictví a řešení otázek soukromí. Podrobnosti naleznete v následujícím článku.

Specializované oblasti advokátní kanceláře Monolith: Právní služby v oblasti AI (včetně ChatGPT)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Zpět na začátek