„Jakie są ryzyka wycieku informacji związane z ChatGPT? Przedstawiamy 4 środki zaradcze, które należy podjąć”
Ostatnio dużo uwagi przyciąga “ChatGPT”. Jako generatywna sztuczna inteligencja, która może tworzyć teksty, programować, generować nuty czy rysować, zyskuje ona zainteresowanie w różnych dziedzinach.
Składnik “GPT” w nazwie ChatGPT to skrót od “Generative Pre-training Transformer”. Dzięki wcześniejszemu przetrenowaniu na ogromnej ilości danych tekstowych, obrazowych i dźwiękowych (rozszerzenia), jest w stanie prowadzić naturalne konwersacje na wzór ludzki.
ChatGPT zyskuje na popularności jako narzędzie, które może wspierać skomplikowane zadania biznesowe, oferując efektywność i korzystny stosunek kosztów do wydajności. Już teraz widzimy, jak ChatGPT jest wykorzystywany w różnych obszarach, a wiele firm technologicznych rozpoczyna prace nad własnymi systemami AI.
Wraz z rosnącymi możliwościami AI, takimi jak ChatGPT, pojawiają się nowe szanse biznesowe. Jednakże, istnieją również potencjalne ryzyka, takie jak problemy z prawami autorskimi, rozprzestrzenianie się dezinformacji, wycieki poufnych informacji, zagrożenia dla prywatności oraz możliwość wykorzystania w cyberatakach.
W tym artykule, prawnik wyjaśni ryzyko wycieku informacji związane z użytkowaniem ChatGPT i omówi odpowiednie środki zaradcze.
Ryzyko wycieku informacji związane z ChatGPT
Ryzyka związane z wdrożeniem ChatGPT w przedsiębiorstwie można głównie podzielić na cztery obszary:
- Ryzyko bezpieczeństwa (wyciek informacji, dokładność, podatność, dostępność itd.)
- Ryzyko naruszenia praw autorskich
- Ryzyko nadużycia (np. ataki cybernetyczne)
- Wyzwania etyczne
Ryzyko wycieku informacji związane z ChatGPT polega na tym, że jeśli do ChatGPT zostaną wprowadzone poufne informacje, istnieje ryzyko, że te informacje mogą zostać zobaczone przez pracowników OpenAI lub innych użytkowników, lub wykorzystane jako dane do uczenia maszynowego.
Zgodnie z polityką wykorzystania danych OpenAI, dane wprowadzone do ChatGPT mogą być zbierane i wykorzystywane (do uczenia) przez OpenAI, chyba że użytkownik skorzysta z opcji “API” lub złoży wniosek o “opt-out” (co zostanie wyjaśnione później).
Przypadki wycieku informacji związane z użytkowaniem ChatGPT
W tym miejscu przedstawimy przypadki, w których użytkowanie ChatGPT doprowadziło do wycieku zarejestrowanych danych osobowych oraz wprowadzonych informacji poufnych.
Przypadki wycieku danych osobowych
24 marca 2023 roku, OpenAI ogłosiło, że 20 marca ChatGPT został na krótko wyłączony z powodu błędu, który powodował wyświetlanie niektórym użytkownikom danych osobowych innych osób, w tym ostatnich czterech cyfr numeru karty kredytowej oraz daty jej ważności. Wyciek danych dotyczył części subskrybentów płatnego planu “ChatGPT Plus” (około 1,2% członków).
OpenAI ogłosiło również, że równocześnie z tym błędem występował inny, który powodował wyświetlanie w historii czatu zapisów rozmów innych użytkowników.
W odpowiedzi na to, 31 marca 2023 roku, włoski organ ochrony danych osobowych wydał OpenAI nakaz poprawy, nakładając tymczasowe ograniczenia na przetwarzanie danych użytkowników z tego kraju. Nakaz ten wynikał z braku prawnej podstawy do zbierania i przechowywania danych osobowych przez ChatGPT. OpenAI zablokowało dostęp do ChatGPT z Włoch, który został zniesiony 28 kwietnia tego samego roku po wprowadzeniu przez firmę poprawek w zakresie przetwarzania danych osobowych.
Przypadki wycieku poufnych informacji firmowych
W lutym 2023 roku, amerykańska firma zajmująca się cyberbezpieczeństwem Cyberhaven opublikowała raport dotyczący użytkowania ChatGPT przez klientów korporacyjnych.
Z raportu wynika, że z 1,6 miliona pracowników korzystających z produktów Cyberhaven, 8,2% pracowników wiedzy używało ChatGPT w pracy przynajmniej raz, a 3,1% z nich wprowadziło do ChatGPT dane stanowiące tajemnicę handlową firmy.
W przypadku Korei Południowej, 30 marca 2023 roku koreańskie media “Economist” doniosły, że w jednym z działów Samsung Electronics doszło do zatwierdzenia użytkowania ChatGPT, co skutkowało wprowadzeniem przez pracowników poufnych informacji do systemu.
Mimo że Samsung Electronics prowadził działania mające na celu zwiększenie świadomości na temat bezpieczeństwa informacji wewnątrz firmy, doszło do sytuacji, w której pracownicy wprowadzili do programu kod źródłowy oraz treści z narad.
W obliczu takich wydarzeń, niektóre kraje i firmy wprowadzają ograniczenia w użytkowaniu ChatGPT, podczas gdy inne promują jego wdrożenie. Przy rozważaniu implementacji ChatGPT, należy zrozumieć ryzyko związane z wyciekiem informacji i odpowiednio to przemyśleć.
Cztery środki zapobiegające wyciekom informacji w ChatGPT
Wyciek informacji, gdy już do niego dojdzie, może spowodować nie tylko odpowiedzialność prawną, ale także znaczne straty w zaufaniu i reputacji. Dlatego też, aby zapobiec wyciekom informacji, kluczowe jest ustanowienie w firmie odpowiedniego systemu zarządzania informacjami oraz przeprowadzenie szkoleń.
Poniżej przedstawiamy cztery środki, które pomogą zapobiegać wyciekom informacji za pośrednictwem ChatGPT.
Środek 1: Ustalenie zasad użytkowania
Najpierw należy określić stanowisko firmy wobec ChatGPT i włączyć do wewnętrznych przepisów firmy postanowienia dotyczące korzystania z ChatGPT. Ważne jest, aby ustalić i stosować jasne zasady, takie jak nie wprowadzanie danych osobowych ani poufnych informacji.
W tym przypadku pożądane jest opracowanie wewnętrznych wytycznych dotyczących korzystania z ChatGPT. Ponadto, w umowach zewnętrznych należy uwzględnić postanowienia dotyczące korzystania z ChatGPT.
1 maja 2023 roku (Reiwa 5), Ogólna Korporacja Stowarzyszenia Japońskiego Głębokiego Uczenia (Japanese JDLA) zebrała kwestie etyczne, prawne i społeczne (ELSI) związane z ChatGPT i opublikowała “Wytyczne dotyczące korzystania z generatywnych AI”.
Również w różnych sektorach przemysłu, nauki i administracji publicznej rozpoczęto prace nad opracowaniem wytycznych. Opracowując wytyczne dotyczące korzystania z ChatGPT w firmie, oparte na tych przykładach, można oczekiwać pewnego poziomu unikania ryzyka.
Źródło: Ogólna Korporacja Stowarzyszenia Japońskiego Głębokiego Uczenia (Japanese JDLA)|Wytyczne dotyczące korzystania z generatywnych AI[ja]
Jednakże, nawet najlepiej opracowane wytyczne nie będą miały znaczenia, jeśli nie zostaną odpowiednio rozpowszechnione i wdrożone. Samo posiadanie wytycznych nie jest wystarczające jako środek zaradczy.
Środek 2: Tworzenie systemu zapobiegającego wyciekom informacji
Jako środek zapobiegający błędom ludzkim, można wdrożyć system o nazwie DLP (Data Loss Prevention), który zapobiega wyciekom określonych danych i umożliwia zapobieganie wysyłaniu i kopiowaniu poufnych informacji.
DLP to system, który nieustannie monitoruje dane, a nie użytkowników, automatycznie identyfikuje i chroni poufne informacje oraz ważne dane. Korzystając z DLP, w przypadku wykrycia informacji poufnych możliwe jest powiadomienie o alarmie lub zablokowanie operacji.
Można skutecznie zapobiegać wyciekom informacji z wewnątrz przy jednoczesnym ograniczeniu kosztów zarządzania, jednak wymaga to zaawansowanego zrozumienia systemów bezpieczeństwa i może być trudne do płynnego wdrożenia w firmach bez działu technicznego.
Środek 3: Używanie narzędzi zapobiegających wyciekom informacji
Jak wspomniano powyżej, bezpośrednim środkiem zapobiegawczym jest możliwość złożenia wniosku o “opt-out”, co pozwala odmówić zbierania danych wprowadzonych do ChatGPT.
Można złożyć wniosek o “opt-out” z poziomu ekranu ustawień ChatGPT. Jednakże, po złożeniu takiego wniosku, historia poleceń zostaje usunięta, co może być uciążliwe dla niektórych użytkowników.
Jako alternatywę dla ustawień “opt-out”, istnieje możliwość wdrożenia narzędzi korzystających z “API” ChatGPT.
“API (Application Programming Interface)” to interfejs udostępniony przez OpenAI, który umożliwia integrację ChatGPT z własnymi usługami lub zewnętrznymi narzędziami. OpenAI deklaruje, że informacje wprowadzane i otrzymywane przez “API” ChatGPT nie są wykorzystywane.
Ten fakt jest również wyraźnie określony w warunkach użytkowania ChatGPT. Zgodnie z warunkami użytkowania:
3. Treść
(c) Wykorzystanie treści w celu ulepszenia usług
Nie wykorzystujemy Treści, które dostarczasz lub otrzymujesz za pośrednictwem naszego API (“Treści API”) do rozwijania lub ulepszania naszych Usług.
Możemy wykorzystywać Treści z usług innych niż nasze API (“Treści nie-API”) w celu pomocy w rozwijaniu i ulepszaniu naszych Usług.
Jeśli nie chcesz, aby Twoje Treści nie-API były wykorzystywane do ulepszania Usług, możesz zrezygnować, wypełniając ten formularz[ja]. Zwróć uwagę, że w niektórych przypadkach może to ograniczyć zdolność naszych Usług do lepszego adresowania Twojego konkretnego przypadku użycia.
Cytat: Oficjalna strona OpenAI | Warunki użytkowania ChatGPT[ja]
Środek 4: Przeprowadzenie wewnętrznych szkoleń z IT
Oprócz przedstawionych dotąd środków, istotne jest również przeprowadzenie wewnętrznych szkoleń w celu podniesienia poziomu świadomości bezpieczeństwa IT wśród pracowników firmy.
Przykład firmy Samsung Electronics pokazuje, że mimo przeprowadzania wewnętrznych akcji uświadamiających o bezpieczeństwie informacji, wprowadzenie poufnych danych doprowadziło do wycieku informacji. Dlatego, oprócz zabezpieczeń systemowych, wskazane jest przeprowadzenie wewnętrznych szkoleń dotyczących wiedzy o ChatGPT oraz IT, aby zwiększyć bezpieczeństwo informacji.
Działania w przypadku wystąpienia wycieku informacji w ChatGPT
W przypadku, gdy dojdzie do wycieku informacji, niezwykle ważne jest szybkie przeprowadzenie dochodzenia w celu ustalenia faktów oraz podjęcie odpowiednich działań.
Jeśli doszło do wycieku danych osobowych, na mocy Ustawy o Ochronie Danych Osobowych (Japanese Personal Information Protection Act) obowiązkowe jest zgłoszenie tego faktu do Komisji Ochrony Danych Osobowych. Ponadto, konieczne jest również poinformowanie osoby, której dane dotyczą, o zaistniałej sytuacji. W przypadku naruszenia praw lub interesów osoby poprzez wyciek danych osobowych, może powstać odpowiedzialność cywilna za szkody. Dodatkowo, jeśli dane osobowe zostały skradzione lub udostępnione w nielegalnym celu, może zostać postawiona odpowiedzialność karna.
W przypadku wycieku tajemnic handlowych lub informacji technicznych, na podstawie Ustawy o Zapobieganiu Nieuczciwej Konkurencji (Japanese Unfair Competition Prevention Act), można zażądać od odbiorcy wycieku usunięcia informacji i podjęcia innych działań. Jeżeli wyciek tajemnic handlowych lub informacji technicznych przyniósł drugiej stronie niezasłużone korzyści, może powstać odpowiedzialność cywilna za szkody. Ponadto, jeśli tajemnice handlowe lub informacje techniczne zostały pozyskane lub wykorzystane nielegalnymi metodami, może zostać postawiona odpowiedzialność karna.
Jeśli doszło do wycieku informacji w wyniku naruszenia obowiązku zachowania tajemnicy służbowej, na podstawie Kodeksu Karnego (Japanese Penal Code) lub innych przepisów prawnych, może zostać postawiona odpowiedzialność karna. Ponadto, jeśli naruszenie obowiązku zachowania tajemnicy służbowej spowodowało szkodę dla drugiej strony, może powstać odpowiedzialność cywilna za szkody.
W związku z tym, konieczne jest szybkie reagowanie w zależności od rodzaju wyciekłych informacji, a także wcześniejsze przygotowanie odpowiednich procedur i systemów zarządzania w celu zapobiegania takim sytuacjom.
Powiązane artykuły: Jakie działania informacyjne powinna podjąć firma w przypadku wycieku informacji[ja]
Powiązane artykuły: Co robić w przypadku wycieku danych osobowych? Wyjaśniamy jakie kroki administracyjne powinna podjąć firma[ja]
Podsumowanie: Przygotuj się na ryzyko wycieku informacji w ChatGPT
W tym miejscu wyjaśniliśmy ryzyko wycieku informacji związane z ChatGPT oraz środki zaradcze, które należy podjąć. W przypadku biznesu wykorzystującego AI, takiego jak szybko rozwijający się ChatGPT, zalecamy konsultację z doświadczonym prawnikiem, który zna się na prawnych aspektach takich technologii, aby z góry przygotować odpowiednią strukturę wewnętrzną firmy, dostosowaną do tych ryzyk.
Nie tylko w przypadku wycieku informacji, ale również przy ocenie legalności modelu biznesowego wykorzystującego AI, tworzeniu umów i regulaminów użytkowania, ochronie własności intelektualnej oraz przestrzeganiu prywatności, współpraca z prawnikiem posiadającym wiedzę i doświadczenie zarówno w dziedzinie AI, jak i prawa, zapewni spokój ducha.
Informacje o środkach zaradczych naszej kancelarii
Kancelaria Prawna Monolith to firma specjalizująca się w IT, a w szczególności w prawie internetowym, posiadająca bogate doświadczenie w obu tych dziedzinach. Biznes AI wiąże się z wieloma ryzykami prawnymi, a wsparcie adwokatów specjalizujących się w problematyce prawnej AI jest niezbędne. Nasza kancelaria oferuje zaawansowane wsparcie prawne dla biznesu AI, w tym ChatGPT, poprzez zespół adwokatów zorientowanych na AI oraz inżynierów, obejmujące tworzenie umów, analizę legalności modeli biznesowych, ochronę własności intelektualnej oraz obsługę prywatności. Szczegóły znajdują się w poniższym artykule.
Obszary praktyki Kancelarii Prawnej Monolith: Prawo AI (w tym ChatGPT)[ja]
Category: IT
Tag: ITTerms of Use