ChatGPT kasutuselevõtu riskid ettevõtetes: konfidentsiaalse info lekke näited ja ennetusmeetmed
Ettevõtetes on ChatGPT kasutuselevõtt järk-järgult hoogustumas. Kuigi selle kasulikkus on saanud palju tähelepanu, on mitmeid aspekte, millele tuleb tähelepanu pöörata. Üks neist on see, et ChatGPT-sse ei tohi sisestada konfidentsiaalset informatsiooni. Tegelikult on välismaal juhtumeid, kus konfidentsiaalse info sisestamine on viinud ettevõtte tõsiste saladuste lekkimiseni.
Käesolevas artiklis selgitab advokaat, kuidas igapäevaselt areneva ChatGPT ärikasutuse puhul tuleks käsitleda konfidentsiaalse informatsiooni lekke riske, tuues välja näiteid ja soovitatavad ettevaatusabinõud.
Põhjused, miks ei tohiks ChatGPT-sse sisestada konfidentsiaalset infot
Kuigi ChatGPT on mugav tööriist, on see AI-chatbot, mis on loodud õppima internetis leiduvatest suurandmetest ja kasutusandmetest. Seetõttu, kui ei rakendata mingeid ettevaatusabinõusid, võib sisestatud konfidentsiaalne info lekkida ja sellega kaasneb lekke risk.
Konfidentsiaalse info lekke riski maandamisest räägime hiljem põhjalikumalt, kuid esmalt selgitame riske, mis on seotud ChatGPT-ga ja ei puuduta otseselt konfidentsiaalse info lekkimist.
ChatGPT kasutamisega seotud ettevõtete riskid, mis ei puuduta konfidentsiaalse teabe leket
ChatGPT on praegu paljudes ettevõtetes kasutuselevõtu testimise faasis. Seetõttu on vajalik mõista sellega kaasnevaid riske enne ärikasutuse otsustamist.
ChatGPT kasutamisega võivad ettevõtted kokku puutuda järgmiste konfidentsiaalse teabe (kaasa arvatud isikuandmete) lekkega mitteseotud turvariskidega:
- Esitatud teabe usaldusväärsuse risk
- Teabe sisendi ja väljundi autoriõiguse rikkumise risk
Analüüsime neid riske lähemalt.
Esitatud teabe usaldusväärsuse puudumine
14. märtsil 2023 (Reiwa 5) avaldatud GPT-4 on tänu otsingufunktsioonile võimeline pakkuma kõige uuemat teavet. Siiski, kui ChatGPT vastab küsimustele, esitab see teavet justkui see oleks tõene, kuid selle usaldusväärsus ei ole tagatud. ChatGPT loob vastuseid mitte andmete täpsuse põhjal, vaid genereerib neid, mis on hinnatud kõige tõenäolisemaks tekstiks. Seetõttu on enne selle väljundi kasutamist hädavajalik teha faktikontroll. Kui ettevõte levitab valeinformatsiooni, võib see kahjustada ettevõtte enda mainet.
Autorsuse rikkumisest tulenevad õiguslikud riskid
ChatGPT puhul autoriõiguse rikkumise hindamine jaguneb kaheks: “AI arendamise ja õppimise faas” ning “genereerimise ja kasutamise faas”. Kuna igas faasis toimuvad teoste kasutamise tegevused erinevad, siis erinevad ka autoriõiguse seaduse sätted. Seega tuleb neid kahte aspekti eraldi käsitleda.
Viide: Jaapani Kultuuriamet | Reiwa 5. aasta autoriõiguse seminar “AI ja autoriõigus”[ja]
2019. aasta jaanuaris jõustunud muudetud autoriõiguse seaduses on õiguste piiramise sätetes (erandid, mille puhul ei ole vaja luba) uus punkt 30-4, mis puudutab “AI arendamise ja õppimise faasi”. Teoste kasutamine, mis ei ole suunatud väljendatud mõtete või tunnete nautimisele, nagu näiteks AI arendamiseks vajalik teabe analüüs, on põhimõtteliselt lubatud ilma autoriõiguse omaniku loata.
Teisalt, kui ChatGPT poolt genereeritud toodangus tuvastatakse sarnasus või sõltuvus (muudatused) autoriõigusega kaitstud teosega, võib see kaasa tuua autoriõiguse rikkumise. Seega on enne avaldamist oluline kontrollida, kas ChatGPT viitas teabele, millel on õiguste omanik, ja kas ChatGPT loodud sisu ei sarnane olemasoleva sisuga. Kui teoseid tsiteeritakse, tuleb viidata allikale (õiguste piiramise sätted) või kui teoseid reprodutseeritakse, tuleb saada autoriõiguse omaniku luba ning käsitleda seda korrektselt.
Kui autoriõiguse omanik osutab autoriõiguse rikkumisele, võib see kaasa tuua tsiviilvastutuse (kahjude hüvitamine, valuraha, kasutamise keelamine, maine taastamine jne) või kriminaalvastutuse (avalik-õiguslik süütegu).
Juhtumid, kus ChatGPT-sse sisestati konfidentsiaalset infot
2023. aasta 30. märtsil (Reiwa 5) teatas Lõuna-Korea meediaorganisatsioon “EConomist”, et Samsung Electronicsi pooljuhtide osakonnas lubati kasutada ChatGPT-d, mille tulemusena sisestati süsteemi kolm korda konfidentsiaalset infot.
Samsung Electronicsi poolelt oli küll tehtud töötajatele infosüsteemi turvalisuse osas hoiatusi, kuid siiski esines juhtumeid, kus töötajad saatsid programmi parandamiseks lähtekoodi (kaks juhtumit) või edastasid koosoleku protokollide koostamiseks koosoleku sisu.
Pärast nende juhtumite ilmnemist võttis ettevõte erakorralise meetmena kasutusele piirangud ChatGPT-sse üleslaaditava info hulga osas ühe küsimuse kohta. Samuti mainiti, et kui sarnased juhtumid peaksid korduma, kaalutakse võimalust katkestada ChatGPT-ga ühendus.
Lisaks on Walmart ja Amazon hoiatanud oma töötajaid mitte jagama konfidentsiaalset infot vestlusrobotitega. Amazoni jurist on rääkinud, et on juba nähtud juhtumeid, kus ChatGPT vastused sarnanevad Amazoni sisemiste andmetega, vihjates, et andmeid võidakse kasutada õppimiseks.
Meetmed, et vältida konfidentsiaalse teabe lekkimist ChatGPT kasutamisel
OpenAI selgitab oma kasutustingimustes, et sisestatud andmeid kasutatakse süsteemi täiustamiseks õppimise ja muude eesmärkide jaoks ning soovitab mitte saata tundlikku teavet.
Selles peatükis tutvustame nelja meetodit, nii riist- kui tarkvaralises plaanis, kuidas vältida konfidentsiaalse teabe lekkimist ChatGPT kasutamisel.
Ettevõttesisese kasutamise juhendite koostamine
ChatGPT ettevõttesse juurutamisel on oluline tõsta töötajate teadlikkust infoturvalisusest ja tegeleda ka töötajate ümberõppega, kuid soovitatav on koostada ka oma ettevõtte ChatGPT kasutamise juhendid.
2023. aasta (Reiwa 5) 1. mail avalikustas Üldine Jaapani Süvaõppe Ühing (JDLA) ChatGPT-ga seotud eetiliste, õiguslike ja sotsiaalsete küsimuste (ELSI) arutelupunktid ning avaldas “Generatiivse AI kasutamise juhendi”. Nii tööstuse, akadeemia kui ka valitsusasutuste erinevates sektorites on samuti alustatud juhendite koostamise kaalumist.
Seda arvesse võttes on oma ettevõtte ChatGPT kasutamise reeglite kirjalikul kujul juhendite koostamine võimalus teatud riskide maandamiseks.
Viide: Üldine Jaapani Süvaõppe Ühing (JDLA) | Generatiivse AI kasutamise juhend[ja]
Tehnoloogiate rakendamine, et vältida konfidentsiaalse info lekkimist
Konfidentsiaalse teabe lekke ja inimlike eksimuste vältimiseks on võimalik kasutusele võtta DLP (Data Loss Prevention) süsteem, mis on mõeldud spetsiifiliste andmete lekke tõkestamiseks ning võimaldab ära hoida konfidentsiaalse info saatmist ja kopeerimist.
DLP on funktsioon, mis jälgib pidevalt sisestatud andmeid, tuvastab ja kaitseb automaatselt konfidentsiaalset ja olulist teavet. DLP kasutamisel on võimalik, et kui tuvastatakse salajane info, saab süsteem saata hoiatusi või blokeerida tegevusi. See võimaldab hoida administreerimiskulusid madalal, samal ajal kindlalt vältides info lekkimist ettevõtte seest. Siiski on vajalik põhjalik arusaam turvasüsteemidest ja ettevõtetel, kus puudub tehniline osakond, võib selle sujuv kasutuselevõtt olla keeruline.
Spetsiaaltööriista kasutuselevõtu kaalumine
Alates 2023. aasta märtsist (Reiwa 5) on ChatGPT API (Application Programming Interface – liides, mis ühendab tarkvara, programme ja veebiteenuseid) kasutamise kaudu võimalik vältida ChatGPT-le saadetud andmete lekkimist.
API kaudu saadetud andmeid ei kasutata õppimiseks ega täiustamiseks, kuid neid säilitatakse 30 päeva jooksul “väärkasutuse ja eksimuste vältimiseks mõeldud jälgimise” eesmärgil, mille järel need kustutatakse vastavalt muudetud säilitamistingimustele. Siiski, kui on “juriidiline nõue”, võib andmete säilitamise perioodi pikendada.
Seega, isegi kui ChatGPT on seadistatud mitte kasutama õppimiseks ega täiustamiseks, säilitatakse andmeid teatud aja jooksul serveri poolel, mis teoreetiliselt loob infolekke riski. Seetõttu on oluline olla ettevaatlik, kui sisestate konfidentsiaalset või isiklikku teavet.
Siiski peab OpenAI kasutajate privaatsust ja andmete turvalisust väga oluliseks ning rakendab rangeid turvameetmeid. Kui soovite kasutada teenust veelgi turvalisemalt, soovitame kasutusele võtta “Azure OpenAI Service”, mis võimaldab kõrgel tasemel turvameetmeid.
Azure OpenAI Service on ettevõtetele suunatud tööriist, mille kaudu API abil ChatGPT-le sisestatud andmeid ei koguta. Lisaks, kui esitate opt-out taotluse ja see kiidetakse heaks, on teil põhimõtteliselt võimalik keelduda ka 30-päevase sisestatud andmete säilitamise ja jälgimise nõudest, mis aitab vältida infolekke riske.
Kuidas seadistada ChatGPT-d nii, et see ei õpiks sisestatud konfidentsiaalset infot
Nagu eelpool mainitud, on ChatGPT loodud nii, et see õpib kõiki opt-in sisu, seetõttu on alates 25. aprillist 2023 varustatud funktsiooniga, mis võimaldab kasutajatel eelnevalt opt-out seadistada.
Otsese ettevaatusabinõuna, kui soovite keelata ChatGPT-l sisestatud andmete kasutamise õppimiseks ja parendamiseks, peate esitama “opt-out” taotluse. ChatGPT jaoks on olemas Google’i vorm “opt-out” taotlemiseks, seega on soovitatav see protseduur kindlasti läbi viia. (Sisestage ja saatke oma e-posti aadress, organisatsiooni ID ja organisatsiooni nimi)
Kuid isegi sel juhul jälgib OpenAI teatud aja jooksul (põhimõtteliselt 30 päeva) teie tegevust ja serveris säilitatakse sisestatud andmeid.
ChatGPT kasutustingimused
3. Sisu
(c) Sisu kasutamine teenuste parendamiseks
Me ei kasuta sisu, mida te meie API-le (“API sisu”) pakute või meie API-st saate, meie teenuste arendamiseks või parendamiseks.
Võime kasutada sisu, mis pärineb meie API-st erinevatest teenustest (“mitte-API sisu”), et aidata arendada ja parendada meie teenuseid.
Kui te ei soovi, et teie mitte-API sisu kasutataks teenuste parendamiseks, saate opt-out’ida, täites selle vormi. Palun arvestage, et mõnel juhul võib see piirata meie teenuste võimet teie konkreetse kasutusjuhtumi jaoks paremini kohanduda.
Kui te ei soovi, et teie mitte-API sisu kasutataks teenuste parendamiseks, saate opt-out’ida, täites selle vormi.
Pange tähele, et mõnel juhul võib see piirata meie teenuste võimet teie konkreetse kasutusjuhtumi jaoks paremini kohanduda.
Viide: OpenAI ametlik veebileht | ChatGPT kasutustingimused https://openai.com/policies/terms-of-use
Kokkuvõte: ChatGPT ärikasutus nõuab hädavajalikke meetmeid konfidentsiaalse info käsitlemiseks
Eelnevalt selgitasime ChatGPT ärikasutusega seotud konfidentsiaalse teabe lekke riske ja vastumeetmeid, tuues näiteid.
ChatGPT ja teiste kiiresti arenevate AI-ärisüsteemide puhul on hädavajalik koostöö spetsialistidega, et luua ettevõttesiseseid kasutusjuhendeid, hinnata ärimudelite seaduslikkust, koostada lepinguid ja kasutustingimusi, kaitsta intellektuaalomandit ning tegeleda privaatsusküsimustega.
Seotud artikkel: Mis on Web3 seadused? Selgitame ka ettevõtete jaoks olulisi aspekte[ja]
Meie büroo poolt pakutavad meetmed
Monolith õigusbüroo on IT ja eriti interneti ning õiguse valdkonnas rikkaliku kogemusega õigusbüroo. AI äris kaasnevad paljud õiguslikud riskid ning AI-ga seotud õigusküsimustes pädevate advokaatide tugi on hädavajalik.
Meie büroo pakub AI-alaseid teadmisi omavate advokaatide ja inseneride meeskonnaga ChatGPT kaasa arvatud AI äridele kõrgetasemelist õigusabi, sealhulgas lepingute koostamist, ärimudelite seaduslikkuse hindamist, intellektuaalomandi õiguste kaitset ja privaatsusega seotud küsimusi. Allpool olevas artiklis on toodud täpsemad üksikasjad.
Monolith õigusbüroo tegevusvaldkonnad: AI (sh ChatGPT) õigusteenused[ja]
Category: IT
Tag: ITTerms of Use
