Risiko ved bedriftsimplementering av ChatGPT: Forklaring av tilfeller og tiltak mot lekkasje av konfidensiell informasjon
Implementeringen av ChatGPT i bedrifter skrider gradvis fremover. Selv om dens nytteverdi tiltrekker seg oppmerksomhet, er det flere punkter man må være oppmerksom på. Et av disse punktene er at man ikke bør inntaste konfidensiell informasjon i ChatGPT. Det har faktisk vært tilfeller i utlandet hvor inntasting av konfidensiell informasjon har ført til alvorlige brudd på bedrifters konfidensialitet.
I denne artikkelen vil en advokat forklare om risikoen for lekkasje av konfidensiell informasjon ved bruk av ChatGPT i forretningsøyemed, med fokus på faktiske tilfeller og hvilke tiltak som bør tas.
Grunner til at man ikke bør oppgi konfidensiell informasjon til ChatGPT
ChatGPT er praktisk, men siden det er en AI-chatbot som genereres ved å lære av store mengder data på nettet og brukerdata, innebærer det en risiko for lekkasje av konfidensiell informasjon hvis ingen forholdsregler tas.
Vi vil forklare mer detaljert om tiltak mot risikoen for lekkasje av konfidensiell informasjon senere, men først vil vi forklare andre risikoer forbundet med ChatGPT som ikke involverer lekkasje av konfidensiell informasjon.
Risikoer ved bruk av ChatGPT for bedrifter, utover lekkasje av konfidensiell informasjon
ChatGPT er i en fase hvor mange bedrifter vurderer implementering. Derfor er det nødvendig å forstå risikoene fullt ut før man tar en beslutning om å bruke det i forretningsøyemed.
Når det gjelder bruk av ChatGPT, kan bedrifter støte på sikkerhetsrisikoer utover lekkasje av konfidensiell informasjon (inkludert personopplysninger), som inkluderer følgende to punkter:
- Risiko knyttet til troverdigheten av utgående informasjon
- Risiko for brudd på opphavsrett knyttet til inngående og utgående informasjon
La oss se nærmere på hver av disse.
Manglende troverdighet i utgående informasjon
GPT-4, som ble lansert 14. mars 2023, har nå en søkefunksjon som gjør det mulig å tilby oppdatert informasjon. Men selv om ChatGPT presenterer svar som om de var sanne, er ikke deres troverdighet garantert. Svarene som ChatGPT genererer, er ikke nødvendigvis basert på nøyaktigheten av informasjonen i læringsdataene, men er heller generert som den mest sannsynlige teksten. Derfor er det avgjørende å utføre faktasjekk før man bruker resultatene. Hvis en bedrift ved en feiltakelse sprer falsk informasjon, kan det skade bedriftens omdømme.
Juridiske risikoer, som brudd på opphavsrett
Vurderingen av opphavsrettsbrudd i ChatGPT kan deles inn i to faser: ‘AI-utvikling og læring’ og ‘generering og bruk’. Bruken av opphavsrettsbeskyttet materiale varierer i hver fase, og derfor gjelder forskjellige bestemmelser i opphavsrettsloven. Det er derfor nødvendig å vurdere disse to separat.
Referanse: Kulturbyrået | Reiwa 5 (2023) Opphavsrettsseminar ‘AI og opphavsrett'[ja]
I den reviderte opphavsrettsloven som trådte i kraft i januar 2019, ble det i artikkel 30-4 lagt til en ny bestemmelse om ‘AI-utvikling og læring’. Bruk av opphavsrettsbeskyttet materiale som ikke har som formål å nyte verkets uttrykte tanker eller følelser, som for eksempel informasjonsanalyse for AI-utvikling, kan i prinsippet utføres uten opphavsmannens tillatelse.
På den annen side, hvis det er en likhet eller avhengighet (modifikasjon) mellom det som genereres av ChatGPT og et opphavsrettsbeskyttet verk, kan det utgjøre et brudd på opphavsretten. Derfor er det viktig å sjekke rettighetshaveren til informasjonen som ChatGPT refererer til før publisering, og å sørge for at det ikke er innhold som ligner på det ChatGPT har skapt. Når man siterer et verk, må man tydelig angi kilden (begrensning av rettigheter), og hvis man republiserer, må man innhente tillatelse fra opphavsmannen og behandle det på en passende måte.
Hvis en opphavsmann påpeker et brudd på opphavsretten, kan man bli holdt ansvarlig for sivile forpliktelser (erstatning, oppreisning, forbud mot bruk, gjenopprettelse av ære osv.) eller strafferettslig ansvar (privat anklage).
Tilfeller der inntasting av konfidensiell informasjon i ChatGPT har skapt problemer
Den 30. mars 2023 rapporterte det sørkoreanske mediet ‘EConomist’ at det hadde oppstått tre tilfeller hvor konfidensiell informasjon ble inntastet i ChatGPT etter at Samsung Electronics’ halvlederdivisjon tillot bruk av programmet.
Til tross for at Samsung Electronics hadde gjennomført tiltak for å øke bevisstheten om informasjonssikkerhet internt, hadde ansatte sendt inn kildekode for å be om programmodifikasjoner (i to tilfeller) og overført møteinnhold for å lage møtereferater.
Etter disse hendelsene tok selskapet umiddelbare tiltak ved å begrense opplastningskapasiteten per spørsmål til ChatGPT. De uttalte også at de kan komme til å blokkere tilgangen til ChatGPT hvis lignende hendelser skulle gjenta seg.
I tillegg har Walmart og Amazon advart sine ansatte mot å dele konfidensiell informasjon via chatboter. En advokat hos Amazon har uttalt at de allerede har sett tilfeller hvor ChatGPTs svar ligner på Amazons interne data, noe som antyder at dataene kan ha blitt brukt i læringsprosessen.
Tiltak for å forhindre lekkasje av konfidensiell informasjon ved bruk av ChatGPT
OpenAI forklarer i sine bruksvilkår at data som blir inntastet for systemforbedringer kan bli brukt til læring og andre formål, og de oppfordrer til ikke å sende sensitiv informasjon.
I dette kapittelet vil vi introdusere fire tiltak, både på hardware- og softwarenivå, for å forhindre lekkasje av konfidensiell informasjon ved bruk av ChatGPT.
Utarbeidelse av retningslinjer for intern bruk
Når man implementerer ChatGPT i en bedrift, er det ikke bare viktig å forbedre den enkeltes informasjonssikkerhetskompetanse og å reskille ansatte internt, men det er også ønskelig å utarbeide egne retningslinjer for bruk av ChatGPT.
Den 1. mai 2023 (Reiwa 5), publiserte den generelle foreningen Japanese Deep Learning Association (JDLA) en oversikt over etiske, juridiske og sosiale problemstillinger (ELSI) knyttet til ChatGPT og lanserte “Retningslinjer for bruk av generativ AI”. Det er også igangsatt arbeid med å utarbeide retningslinjer i ulike sektorer innen industri, akademia og offentlig forvaltning.
Ved å ta utgangspunkt i dette og utarbeide skriftlige retningslinjer for bruk av ChatGPT i egen virksomhet, kan man forvente å unngå visse risikoer.
Referanse: Japanese Deep Learning Association (JDLA) | Retningslinjer for bruk av generativ AI[ja]
Innføring av teknologi for å forhindre lekkasje av konfidensiell informasjon
Som et tiltak for å forhindre menneskelige feil som kan føre til lekkasje av konfidensiell informasjon, kan man implementere et system kjent som DLP (Data Loss Prevention), som forhindrer overføring og kopiering av sensitiv informasjon ved å blokkere lekkasje av spesifikke data.
DLP er en funksjon som kontinuerlig overvåker inndata og automatisk identifiserer og beskytter konfidensiell og viktig informasjon. Ved bruk av DLP kan man, hvis sensitiv informasjon oppdages, sende varsler eller blokkere handlinger. Dette gjør det mulig å forhindre informasjonslekkasjer fra interne kilder mens man holder administrasjonskostnadene nede. Imidlertid kreves det en avansert forståelse av sikkerhetssystemer, og det kan være utfordrende å implementere dette smidig i bedrifter uten en teknisk avdeling.
Vurdering av dedikerte verktøy
Fra mars 2023 har ChatGPT, gjennom bruk av API (et akronym for “Application Programming Interface”, som er et grensesnitt som kobler sammen programvare, programmer og webtjenester), muliggjort beskyttelse mot datalekkasjer av data sendt til ChatGPT.
Data som sendes via API vil ikke bli brukt til læring eller forbedring, men vil bli lagret i 30 dager for “overvåking for å forhindre misbruk og feilbruk” før de slettes, i henhold til de reviderte lagringsvilkårene. Det er også verdt å merke seg at lagringsperioden kan forlenges i tilfelle av “juridiske krav”.
Selv om ChatGPT er konfigurert til ikke å bruke data for læring eller forbedring, vil dataene fortsatt bli lagret på serveren for en viss periode, noe som teoretisk sett innebærer en risiko for informasjonslekkasje. Derfor er det viktig å være svært forsiktig når man taster inn konfidensiell informasjon eller personopplysninger.
Imidlertid tar OpenAI brukernes personvern og datasikkerhet på alvor og har implementert strenge sikkerhetstiltak. For de som ønsker å bruke tjenesten med enda høyere sikkerhet, anbefales det å implementere “Azure OpenAI Service”, et verktøy som muliggjør avanserte sikkerhetstiltak.
“Azure OpenAI Service”, et verktøy spesialisert for bedrifter, samler ikke inn data som er inntastet via API på ChatGPT. Videre, hvis man søker om og får godkjent en opt-out, kan man i prinsippet nekte lagring og overvåking av inndata i 30 dager, noe som muliggjør unngåelse av risikoen for informasjonslekkasje.
Hvordan konfigurere ChatGPT til ikke å lære av inntastet konfidensiell informasjon
Som nevnt ovenfor, fra og med 25. april 2023 (Reiwa 5), har ChatGPT en mekanisme som lærer av alt innhold som er opt-in, og derfor er det nå en funksjon for å forhåndsinnstille opt-out.
Som en direkte forhåndsforanstaltning, hvis du ønsker å nekte at data inntastet i ChatGPT blir brukt til læring eller forbedring, må du sende inn en “opt-out” forespørsel. ChatGPT har et Google-skjema for “opt-out”, så det er best å sørge for å gjennomføre denne prosedyren. (Du må oppgi e-postadresse, organisasjons-ID og organisasjonsnavn og sende inn.)
Men selv i dette tilfellet, vil inntastede data bli lagret på serveren og overvåket av OpenAI for en viss periode (som hovedregel 30 dager).
ChatGPTs bruksvilkår
3. Innhold
(c) Bruk av innhold for å forbedre tjenesten
Vi bruker ikke innhold som du gir til eller mottar fra vår API (“API-innhold”) for å utvikle eller forbedre våre tjenester.
Vi kan bruke innhold fra andre tjenester enn vår API (“Ikke-API-innhold”) for å hjelpe med å utvikle og forbedre våre tjenester.
Hvis du ikke ønsker at ditt Ikke-API-innhold brukes til å forbedre tjenester, kan du velge bort ved å fylle ut dette skjemaet. Vær oppmerksom på at i noen tilfeller kan dette begrense evnen til våre tjenester til å bedre adressere ditt spesifikke bruksområde.
Kilde: OpenAI offisielle nettsted | ChatGPTs bruksvilkår https://openai.com/policies/terms-of-use
Oppsummering: Nødvendigheten av tiltak for håndtering av konfidensiell informasjon ved bruk av ChatGPT i næringslivet
Vi har nå gjennomgått risikoen for lekkasje av konfidensiell informasjon og tiltak for å håndtere dette ved bruk av ChatGPT i næringslivet, med eksempler til illustrasjon.
I den raskt utviklende AI-næringsvirksomheten, som ChatGPT, er det essensielt å utarbeide interne retningslinjer, vurdere lovligheten av forretningsmodeller, opprette kontrakter og brukervilkår, beskytte intellektuelle eiendomsrettigheter og håndtere personvern, i samarbeid med spesialister.
Relatert artikkel: Hva er Web3-lovgivning? Vi forklarer også nøkkelpunkter for bedrifter som ønsker å delta[ja]
Veiledning om tiltak fra vår advokatfirma
Monolith Advokatfirma har omfattende erfaring med IT, og spesielt internett og juridiske tjenester. AI-virksomhet medfører mange juridiske risikoer, og støtte fra advokater som er eksperter på juridiske problemer relatert til AI, er avgjørende.
Vårt firma tilbyr avansert juridisk støtte til AI-virksomheter, inkludert ChatGPT, gjennom et team av AI-kyndige advokater og ingeniører. Vi tilbyr tjenester som utarbeidelse av kontrakter, vurdering av forretningsmodellers lovlighet, beskyttelse av immaterielle rettigheter og personvern. Detaljer er beskrevet i artikkelen nedenfor.
Monolith Advokatfirmas tjenesteområder: AI (inkludert ChatGPT) juridiske tjenester[ja]
Category: IT
Tag: ITTerms of Use
