ChatGPT infolekked: millised on riskid ja tutvustame nelja vajalikku ettevaatusabinõud
Viimasel ajal on palju tähelepanu pälvinud “ChatGPT”. See on tehisintellekt, mis suudab luua tekste, programmeerida, genereerida noote ja joonistada, mistõttu on see saanud palju tähelepanu erinevates valdkondades.
ChatGPT-s kasutatav GPT tähistab “Generative Pre-training Transformer” ja see suudab suure hulga teksti-, pildi- ja heliandmete (laienduste) eelõpetamise abil pidada inimlikke ja loomulikke vestlusi.
Kuna ChatGPT suudab toime tulla keeruliste ülesannetega, on see saanud palju tähelepanu kui töö efektiivsust tõstev ja kõrge kulutõhususega vahend. ChatGPT kasutamine on juba levinud mitmes valdkonnas ja paljud tehnoloogiaettevõtted on alustanud oma AI-süsteemide loomist.
Samas, nagu ChatGPT ja muude AI-tehnoloogiate puhul, on näha palju ärivõimalusi, kuid on ka tõstatatud potentsiaalseid riske, nagu autoriõiguste probleemid, valeinfo levik, konfidentsiaalse info leke, privaatsuse küsimused ja võimalik kuritarvitamine küberrünnakutes.
Selles artiklis selgitab advokaat, millised on ChatGPT kasutamisega seotud infolekke riskid ja milliseid meetmeid tuleks võtta.
ChatGPT-ga seotud infolekke riskid
Ettevõtte ChatGPT kasutuselevõtu riskid hõlmavad peamiselt järgmisi nelja punkti:
- Turvariskid (infoleke, täpsus, haavatavus, kättesaadavus jne)
- Autoriõiguste rikkumise risk
- Kuritarvitamise riskid (näiteks küberrünnakud)
- Eetilised küsimused
ChatGPT-ga seotud infolekke risk tähendab ohtu, et kui ChatGPT-sse sisestatakse konfidentsiaalset teavet, võib see info sattuda OpenAI töötajate või teiste kasutajate silme ette või kasutada seda õppematerjalina.
OpenAI andmekasutuspoliitika kohaselt, kui kasutaja ei läbi ChatGPT “API” või ei esita “opt-out” taotlust, võib OpenAI koguda ja kasutada (õppimiseks) kasutaja poolt ChatGPT-sse sisestatud andmeid (selgitame hiljem üksikasjalikumalt).
ChatGPT kasutamisest tingitud infolekked
Siin tutvustame juhtumeid, kus ChatGPT kasutamise tulemusena on lekkinud registreeritud isikuandmed või sisestatud konfidentsiaalne teave.
Isikuandmete lekke juhtum
2023. aasta (Reiwa 5) 24. märtsil teatas OpenAI, et avastas vea, mis põhjustas mõnele kasutajale teiste kasutajate krediitkaardi numbri viimase nelja numbri ja kaardi kehtivusaja kuvamise. Seetõttu võeti ChatGPT 20. märtsil lühiajaliselt offline-režiimi. Lekkinud isikuandmed kuulusid osale “ChatGPT Plus” tasulise plaani liikmetest, moodustades umbes 1,2% kõigist liikmetest.
Lisaks sellele veale teatati samal ajal ka teisest veast, mis põhjustas teiste kasutajate vestlusajaloo kuvamist kasutajate vestluslogides.
Sellele reageerides andis Itaalia andmekaitseasutus 2023. aasta (Reiwa 5) 31. märtsil OpenAI-le korralduse, milles nõuti ChatGPT poolt isikuandmete kogumise ja säilitamise õigusliku aluse puudumise tõttu Itaalia kasutajate andmetöötlusele ajutisi piiranguid. OpenAI blokeeris seejärel juurdepääsu ChatGPT-le Itaaliast. Blokeering tühistati 28. aprillil pärast seda, kui OpenAI oli parandanud isikuandmete käsitlemist.
Ettevõttesisese konfidentsiaalse info lekke juhtum
2023. aasta (Reiwa 5) veebruaris avaldas USA küberjulgeoleku ettevõte Cyberhaven raporti ChatGPT kasutamise kohta oma klientide seas.
Raporti kohaselt oli Cyberhaveni tooteid kasutavate klientide 1,6 miljonist töötajast 8,2% teadmistöötajaid, kes olid kasutanud ChatGPT-d töökohal vähemalt korra, ja neist 3,1% oli sisestanud ChatGPT-sse ettevõtte konfidentsiaalseid andmeid.
Lisaks on see juhtum Lõuna-Koreast, kus 2023. aasta (Reiwa 5) 30. märtsil teatas Lõuna-Korea meedia “Economist”, et Samsung Electronicsi ühes osakonnas lubati kasutada ChatGPT-d, mille tulemusena sisestati sinna konfidentsiaalset teavet.
Hoolimata sellest, et Samsung Electronics oli teinud töötajatele siseturvalisuse osas hoiatusi, oli töötajaid, kes sisestasid programmi lähtekoodi ja koosolekute sisu.
Sellises olukorras on riike ja ettevõtteid, kes piiravad ChatGPT kasutamist, samas kui teised soovitavad selle kasutuselevõttu. ChatGPT kasutusele võtmisel tuleks arvestada infolekkimise riski suurust ja kaaluda seda hoolikalt.
Neli meetodit infolekkide vältimiseks ChatGPT abil
Infolekke ilmnemisel võivad tagajärjed ulatuda õiguslikest vastutustest usalduse ja maine suurte kaotusteni. Seetõttu on oluline arendada ja rakendada ettevõttesiseseid infoturbe protsesse ja koolitusi, et vältida infolekkeid.
Siin tutvustame nelja strateegiat, kuidas kasutada ChatGPT-d infolekkide ennetamiseks.
Meede 1: Kasutusreeglite kehtestamine
Kõigepealt tuleb otsustada oma ettevõtte seisukoht ChatGPT suhtes ja lisada ettevõtte sisekorraeeskirjadesse ChatGPT kasutamist puudutavad punktid. On oluline kehtestada selged reeglid, näiteks mitte sisestada isikuandmeid ega konfidentsiaalset teavet, ja neid reegleid järgida.
Selle käigus on soovitatav välja töötada oma ettevõtte ChatGPT kasutamise juhend. Lisaks tuleks ChatGPT kasutamist puudutavad punktid lisada ka välislepingutesse.
2023. aasta (Reiwa 5. aasta) 1. mail avaldas Jaapani Süvaõppe Ühing (Japanese Deep Learning Association, JDLA) ChatGPT eetilisi, õiguslikke ja sotsiaalseid küsimusi (ELSI) käsitleva arutelu kokkuvõtte ning “Generatiivse AI kasutamise juhendi”.
Haridus-, valitsus- ja erasektoris on samuti alustatud juhendite väljatöötamise kaalumist. Võttes neid juhiseid arvesse, saab oma ettevõtte ChatGPT kasutamise reeglid sõnastada kirjalikus juhendis, mis aitab teatud riske maandada.
Viide: Jaapani Süvaõppe Ühing (JDLA) | Generatiivse AI kasutamise juhend[ja]
Kuid väljatöötatud juhendi levitamine ja juurutamine on mõttetu, kui see ei ole laialdaselt teada ega rakendatud. Ainult juhendi olemasolu ei ole piisav meede.
Meede 2: Informatsioonilekete vältimiseks süsteemi loomine
Inimlikke eksimusi ennetava meetmena on võimalik kasutusele võtta DLP (Data Loss Prevention ehk andmete kadumise vältimine), mis on süsteem, mis aitab ära hoida kindlate andmete lekkimist, võimaldades sellega takistada konfidentsiaalse informatsiooni saatmist ja kopeerimist.
DLP on süsteem, mis jälgib mitte kasutajaid, vaid andmeid pidevalt, tuvastades ja kaitstes automaatselt konfidentsiaalset informatsiooni ja olulisi andmeid. DLP kasutamisel on võimalik, et kui tuvastatakse salajane info, saab sellest teavitada häirega või blokeerida toiminguid.
Kuigi see võimaldab hoida halduskulusid madalal ja kindlalt ära hoida sisemisi informatsioonilekkeid, on vajalik sügavam arusaam turvasüsteemidest ja ettevõtetel, kus puudub tehniline osakond, võib selle sujuv kasutuselevõtt olla keeruline.
Meede 3: Informatsiooni lekke vältimiseks kasutage tööriistu
Nagu eespool mainitud, võite otseste ennetusmeetmetena taotleda “opt-out’i”, et keelduda ChatGPT-le sisestatud andmete kogumisest.
ChatGPT seadete lehelt on võimalik “opt-out’i” taotleda. Siiski, kui teete opt-out’i taotluse, ei jää teie promptide ajalugu alles, mis võib paljudele kasutajatele tunduda ebamugav.
Opt-out seadistusele alternatiivina on võimalik kasutusele võtta tööriistu, mis kasutavad ChatGPT “API’d”.
“API” (Application Programming Interface) tähendab liidest, mille OpenAI on avaldanud, et integreerida ChatGPT oma ettevõtte teenustesse või välistesse tööriistadesse. OpenAI on selgelt väljendanud, et nad ei kasuta “API” kaudu sisestatud ega väljastatud teavet.
See on välja toodud ka ChatGPT kasutustingimustes. Kasutustingimuste kohaselt:
3. Sisu
(c) Sisu kasutamine teenuste parandamiseks
Me ei kasuta sisu, mida te meie API-le (“API sisu”) pakute või meie API-st vastu võtate, meie teenuste arendamiseks või täiustamiseks.
Me võime kasutada sisu, mis pärineb meie API-st erinevatest teenustest (“mitte-API sisu”), et aidata arendada ja täiustada meie teenuseid.
Kui te ei soovi, et teie mitte-API sisu kasutataks teenuste parandamiseks, võite opt-out’i teha, täites selle vormi. Pange tähele, et mõnel juhul võib see piirata meie teenuste võimet teie konkreetse kasutusjuhtumi jaoks paremini kohanduda.
Viide: OpenAI ametlik veebileht|ChatGPT kasutustingimused
Meede 4: Viige läbi IT-alase kirjaoskuse sisekoolitus
Lisaks siiani tutvustatud meetmetele on oluline tõsta oma ettevõtte töötajate turvalisuse alast teadlikkust läbi sisekoolituste.
Näiteks Samsung Electronicsi juhtum näitab, et hoolimata sisekoolitustest infojulgeoleku teemal, põhjustas konfidentsiaalse info sisestamine andmeleket. Seega ei ole piisav ainult süsteemide kaudu infolekete tõkestamine, vaid on soovitatav viia läbi ka ChatGPT ja IT-alase kirjaoskuse sisekoolitusi.
Kuidas reageerida, kui ChatGPT kaudu toimub infoleke
Kui peaks juhtuma infoleke, on oluline viivitamatult tegutseda, uurides asjaolusid ja rakendades vastumeetmeid.
Kui lekib isikuandmeid, on Jaapani isikuandmete kaitse seaduse alusel kohustuslik teavitada Isikuandmete Kaitse Komisjoni. Samuti on vajalik teavitada asjaomast isikut juhtunust. Isikuandmete lekke korral, mis rikub teise poole õigusi või huve, võib kaasneda tsiviilõiguslik kahjuhüvitamise kohustus. Lisaks, kui isikuandmeid varastatakse või jagatakse ebaseaduslikel eesmärkidel, võib kaasneda ka kriminaalvastutus.
Ärisaladuse või tehnilise informatsiooni lekke korral võib Jaapani ebaausa konkurentsi vastase seaduse alusel nõuda lekke saajalt andmete kustutamist või muid meetmeid. Kui ärisaladuse või tehnilise informatsiooni leke võimaldab teisel poolel saada ebaõiglast kasu, võib kaasneda tsiviilõiguslik kahjuhüvitamise kohustus. Lisaks, kui ärisaladust või tehnilist informatsiooni omandatakse või kasutatakse ebaseaduslikult, võib kaasneda kriminaalvastutus.
Kui töökohustuste käigus rikutakse konfidentsiaalsuskohustust ja lekitatakse informatsiooni, võib Jaapani kriminaalseadustiku või muude seaduste alusel kaasneda kriminaalvastutus. Samuti, kui konfidentsiaalsuskohustuse rikkumisega tekitatakse teisele poolele kahju, võib kaasneda tsiviilõiguslik kahjuhüvitamise kohustus.
Seega on vajalik kiiresti reageerida vastavalt lekkinud informatsiooni sisule ja oluline on eelnevalt luua selleks vajalik süsteem.
Seotud artikkel: Ettevõtte tegevus infoleke juhtumil[ja]
Seotud artikkel: Mis toimub, kui isikuandmed lekivad? Ettevõtte haldusmeetmed selgitatud[ja]
Kokkuvõte: Valmistuge ChatGPT teabelekkimise riskideks
Siin oleme selgitanud ChatGPT teabelekkimise riske ja meetmeid, mida nende vastu võtta. Kiiresti arenevas AI-äris, mis kasutab ChatGPT-sarnaseid tehnoloogiaid, soovitame konsulteerida kogenud juristidega, kes on kursis seaduslike riskidega, et luua ettevõttesisene süsteem, mis on nendeks riskideks valmis.
Teabelekkimise ohu kõrval on oluline koostöö juristidega, kes omavad teadmisi ja kogemusi nii AI kui ka õigusvaldkonnas, et tagada ärimudeli seaduslikkuse hindamine, lepingute ja kasutustingimuste koostamine, intellektuaalomandi õiguste kaitse ning privaatsusega seotud küsimused.
Meie büroo poolt pakutavad meetmed
Monolith õigusbüroo on IT ja eriti interneti ning õiguse valdkonnas rikkaliku kogemusega õigusbüroo. AI äris kaasnevad paljud õiguslikud riskid ning AI-ga seotud õigusküsimustes pädevate advokaatide tugi on hädavajalik. Meie büroo pakub AI-s, sealhulgas ChatGPT-s, kogenud advokaatide ja inseneride meeskonnaga AI äridele kõrgetasemelist õigusabi, sealhulgas lepingute koostamist, ärimudelite seaduslikkuse hindamist, intellektuaalomandi õiguste kaitset ja privaatsusega seotud küsimusi. Allpool olevas artiklis on toodud üksikasjalikum teave.
Monolith õigusbüroo tegevusvaldkonnad: AI (sh ChatGPT) õigusteenused[ja]
Category: IT
Tag: ITTerms of Use