Risici ved virksomheders implementering af ChatGPT. En gennemgang af tilfælde af lækage af fortrolige oplysninger og modforholdsregler
Implementeringen af ChatGPT i virksomheder skrider gradvist fremad. Dens nytteværdi tiltrækker opmærksomhed, men der er flere punkter, man skal være opmærksom på. Et af disse punkter er, at man ikke må indtaste fortrolige oplysninger i ChatGPT. Der har faktisk været tilfælde i udlandet, hvor indtastning af fortrolige oplysninger har ført til alvorlige lækager af virksomhedshemmeligheder.
I denne artikel vil en advokat forklare om risikoen for lækage af fortrolige oplysninger i forbindelse med den daglige brug af ChatGPT i erhvervslivet, med fokus på konkrete eksempler og de foranstaltninger, der bør træffes.
Grunde til ikke at indtaste fortrolige oplysninger i ChatGPT
ChatGPT er praktisk, men da det er en AI-chatbot genereret ved at lære fra store mængder data på internettet og brugsdata, indebærer det en risiko for lækage af fortrolige oplysninger, hvis der ikke træffes foranstaltninger.
Vi vil senere komme nærmere ind på risikostyring i forhold til lækage af fortrolige oplysninger, men først vil vi forklare de risici, der er forbundet med ChatGPT, ud over risikoen for lækage af fortrolige oplysninger.
Risici ud over lækage af fortrolige oplysninger ved brug af ChatGPT i virksomheder
ChatGPT er i øjeblikket i en fase, hvor mange virksomheder tester og vurderer implementeringen. Derfor er det nødvendigt at forstå risiciene fuldt ud, før man træffer en beslutning om at anvende det i forretningsøjemed.
Ud over risikoen for lækage af fortrolige oplysninger (herunder personoplysninger) kan brugen af ChatGPT medføre følgende to sikkerhedsrisici for virksomheder:
- Risikoen for manglende troværdighed i de genererede oplysninger
- Risikoen for ophavsretskrænkelser i input og output information
Vi vil forklare hver af disse risici nærmere.
Manglende troværdighed i de genererede oplysninger
GPT-4, som blev offentliggjort den 14. marts 2023, er nu i stand til at levere opdateret information, da det er udstyret med en søgefunktion. Men selvom ChatGPT genererer svar, som om de var sande, er deres troværdighed ikke garanteret. Svarene, som ChatGPT genererer, er ikke nødvendigvis baseret på nøjagtigheden af læringsdataene, men er snarere genereret som de mest sandsynlige sætninger. Derfor er det afgørende at foretage en faktatjek, før man anvender outputtet. Hvis en virksomhed ved en fejl udsender falske oplysninger, kan det skade virksomhedens omdømme.
Juridiske risici såsom ophavsretskrænkelser
Vurderingen af ophavsretskrænkelser i ChatGPT adskiller sig mellem ‘AI-udviklings- og læringsfasen’ og ‘genererings- og anvendelsesfasen’. Da de handlinger, der involverer brug af ophavsretligt beskyttet materiale, varierer i hver fase, varierer også de relevante bestemmelser i ophavsretsloven. Derfor er det nødvendigt at skelne mellem de to.
Reference: Kulturagenturet | Ophavsretsseminar ‘AI og ophavsret’ i Reiwa 5 (2023)[ja]
I den reviderede ophavsretslov, som trådte i kraft i januar 2019, blev der tilføjet en ny bestemmelse i artikel 30, afsnit 4, som omhandler ‘AI-udviklings- og læringsfasen’. Anvendelse af ophavsretligt beskyttet materiale, som ikke har til formål at nyde udtrykket af tanker eller følelser, såsom informationsanalyse til AI-udvikling, kan i princippet udføres uden ophavsretsindholders tilladelse.
På den anden side, hvis det materiale, der genereres af ChatGPT, har ligheder med eller afhænger af (ændringer af) ophavsretligt beskyttet materiale, kan det udgøre en ophavsretskrænkelse. Derfor er det vigtigt at kontrollere rettighedshaverne til de oplysninger, som ChatGPT har henvist til, og sikre, at der ikke er indhold, der ligner det, som ChatGPT har skabt, før det offentliggøres. Når man citerer ophavsretligt beskyttet materiale, skal man angive kilden (begrænsning af rettigheder), og hvis man genudgiver materiale, skal man opnå tilladelse fra ophavsretsindholderen og håndtere det korrekt.
Hvis en ophavsretsindholder påpeger en ophavsretskrænkelse, kan man blive holdt ansvarlig for civilretlige (erstatning, godtgørelse, forbud mod brug, genoprettelse af omdømme osv.) eller strafferetlige (privat anklage) forhold.
Tilfælde hvor indtastning af fortrolige oplysninger i ChatGPT skabte problemer
Den 30. marts 2023 rapporterede det sydkoreanske medie ‘EConomist’, at der var opstået tre tilfælde, hvor fortrolige oplysninger blev indtastet i ChatGPT, efter at Samsung Electronics’ halvlederafdeling havde tilladt brugen af programmet.
Trods interne advarsler om informationssikkerhed hos Samsung Electronics, sendte nogle medarbejdere kildekoden for at anmode om programrettelser (i to tilfælde) og overførte mødeindhold for at skabe mødereferater.
Efter disse hændelser indførte virksomheden som en nødforanstaltning en begrænsning på mængden af data, der kan uploades til ChatGPT pr. forespørgsel. Virksomheden har også udtalt, at de kan afbryde forbindelsen, hvis lignende hændelser skulle forekomme igen.
Desuden advarer Walmart og Amazon deres medarbejdere mod at dele fortrolige oplysninger med chatbots. En advokat fra Amazon har udtalt, at der allerede er set tilfælde, hvor ChatGPT’s svar ligner Amazons interne data, hvilket antyder, at dataene kan være blevet brugt til læring.
Foranstaltninger for at forhindre lækage af fortrolige oplysninger ved brug af ChatGPT
OpenAI forklarer i deres brugsvilkår og lignende, at de bruger data indtastet i systemet til forbedringer og træning, og de opfordrer til ikke at sende følsomme oplysninger.
I dette kapitel vil vi introducere fire foranstaltninger, både hardware- og softwaremæssigt, for at forhindre lækage af fortrolige oplysninger ved brug af ChatGPT.
Udarbejdelse af retningslinjer for intern brug
Når man implementerer ChatGPT i en virksomhed, er det ikke kun vigtigt at forbedre den enkelte medarbejders informationssikkerhedslitteratur og at reskille internt, men det er også tilrådeligt at udarbejde egne retningslinjer for brugen af ChatGPT.
Den 1. maj 2023 (Reiwa 5) offentliggjorde den almennyttige forening Japanese Deep Learning Association (JDLA) en sammenfatning af etiske, juridiske og sociale problemstillinger (ELSI) relateret til ChatGPT og udgav “Retningslinjer for brug af generativ AI”. Forskellige sektorer, herunder industri, akademia og regering, har også påbegyndt udarbejdelsen af retningslinjer.
Ved at tage disse retningslinjer i betragtning og formulere klare regler for brugen af ChatGPT i jeres virksomhed, kan I forvente at undgå visse risici.
Reference: Japanese Deep Learning Association (JDLA) | Retningslinjer for brug af generativ AI[ja]
Implementering af teknologi for at forhindre lækage af fortrolige oplysninger
Som et tiltag for at forhindre menneskelige fejl, der kan føre til lækage af fortrolige oplysninger, er det muligt at indføre et system kendt som DLP (Data Loss Prevention), der forhindrer specifikke data i at blive lækket, og som kan blokere forsendelse og kopiering af fortrolige oplysninger.
DLP overvåger konstant indtastede data og har en funktion, der automatisk identificerer og beskytter fortrolige og vigtige data. Ved brug af DLP kan man, hvis fortrolige oplysninger opdages, få notifikationer via alarmer eller blokere handlinger. Det er muligt at forhindre lækage af informationer indefra, mens man holder omkostningerne nede, men det kræver en avanceret forståelse af sikkerhedssystemer, og det kan være vanskeligt at implementere det problemfrit i virksomheder uden en teknisk afdeling.
Overvejelse af implementering af dedikerede værktøjer
Fra marts 2023 har ChatGPT muliggjort beskyttelse mod datalækage ved at sende data via en API (en forkortelse for ‘Application Programming Interface’, som er et interface, der forbinder software, programmer og webtjenester).
Data, der sendes via API, anvendes ikke til læring eller forbedring, men opbevares i 30 dage til “monitorering for at forhindre misbrug og fejlbrug” før de slettes ifølge de nye opbevaringsregler. Det skal dog bemærkes, at opbevaringsperioden for data kan forlænges i tilfælde af “juridiske krav”.
Derfor, selvom ChatGPT er indstillet til ikke at bruge data til læring eller forbedring, vil dataene stadig blive gemt på serveren i en vis periode, hvilket teoretisk set indebærer en risiko for informationslækage. Det er derfor vigtigt at udvise stor forsigtighed, når man indtaster fortrolige oplysninger eller personlige data.
Ikke desto mindre prioriterer OpenAI brugernes privatliv og datasikkerhed højt og har implementeret strenge sikkerhedsforanstaltninger. For dem, der ønsker at bruge tjenesten med endnu højere sikkerhed, anbefales det at implementere ‘Azure OpenAI Service’, som muliggør avancerede sikkerhedsforanstaltninger.
‘Azure OpenAI Service’, som er et værktøj specialiseret til virksomheder, indsamler ikke data indtastet via API på ChatGPT. Desuden, hvis man ansøger om og får godkendt en opt-out, kan man principielt afvise opbevaring og overvågning af indtastningsdata i 30 dage, hvilket gør det muligt at undgå risikoen for informationslækage.
Sådan indstiller du ChatGPT til ikke at lære af indtastede fortrolige oplysninger
Som nævnt ovenfor har ChatGPT fra den 25. april 2023 en mekanisme, der lærer af alt opt-in indhold. Derfor er det nu muligt at indstille en opt-out funktion på forhånd.
Som en direkte foranstaltning til at forhindre, at de data, du indtaster i ChatGPT, bliver brugt til læring eller forbedring, skal du indsende en ‘opt-out’ anmodning. ChatGPT har et Google-formular til ‘opt-out’, som det anbefales at udfylde og indsende med det samme. (Indtast og send din e-mailadresse, organisations-ID og organisationsnavn)
Men selv i dette tilfælde vil OpenAI overvåge og gemme indtastningsdata på serveren i en bestemt periode (som standard 30 dage).
ChatGPT’s brugsvilkår
3. Indhold
(c) Brug af indhold til at forbedre tjenesten
Vi bruger ikke indhold, som du leverer til eller modtager fra vores API (“API-indhold”), til at udvikle eller forbedre vores tjenester.
Vi kan bruge indhold fra andre tjenester end vores API (“Ikke-API-indhold”) til at hjælpe med at udvikle og forbedre vores tjenester.
Hvis du ikke ønsker, at dit Ikke-API-indhold bliver brugt til at forbedre tjenester, kan du fravælge ved at udfylde denne formular. Bemærk venligst, at dette i nogle tilfælde kan begrænse vores tjenesters evne til bedre at imødekomme dit specifikke brugstilfælde.
Kilde: OpenAI’s officielle hjemmeside | ChatGPT’s brugsvilkår https://openai.com/policies/terms-of-use
Konklusion: Nødvendigheden af foranstaltninger vedrørende håndtering af fortrolige oplysninger ved brug af ChatGPT i erhvervslivet
Ovenfor har vi forklaret risikoen for lækage af fortrolige oplysninger og de nødvendige foranstaltninger ved brug af ChatGPT i erhvervslivet, med udgangspunkt i konkrete eksempler.
I forbindelse med den hurtige udvikling af AI i erhvervslivet, som ChatGPT, er det afgørende at udarbejde interne retningslinjer, vurdere lovligheden af forretningsmodeller, oprette kontrakter og brugerbetingelser, beskytte intellektuelle ejendomsrettigheder og håndtere privatlivets fred i samarbejde med specialister.
Relateret artikel: Hvad er loven om Web3? Vi forklarer også de vigtige punkter for virksomheder, der ønsker at deltage[ja]
Vejledning om foranstaltninger fra vores kontor
Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internettet og juraen. AI-forretninger indebærer mange juridiske risici, og support fra advokater, der er eksperter i juridiske spørgsmål relateret til AI, er afgørende.
Vores kontor tilbyder avanceret juridisk support til AI-forretninger, herunder ChatGPT, gennem et team af AI-kyndige advokater og ingeniører. Vi leverer tjenester som udarbejdelse af kontrakter, vurdering af forretningsmodellers lovlighed, beskyttelse af intellektuelle ejendomsrettigheder og privatlivshåndtering. Yderligere detaljer er angivet i nedenstående artikel.
Monolith Advokatfirmas ekspertiseområder: AI (herunder ChatGPT) juridiske tjenester[ja]
Category: IT
Tag: ITTerms of Use
