Jakie są ryzyka związane z wdrożeniem ChatGPT w przedsiębiorstwie? Omówienie przypadków wycieku poufnych informacji i środków zaradczych
Wdrażanie ChatGPT w przedsiębiorstwach stopniowo nabiera tempa. Choć skupia się uwaga na jego użyteczności, istnieje kilka kwestii, na które należy uważać. Jedną z nich jest to, że nie należy wprowadzać do ChatGPT poufnych informacji. W rzeczywistości, za granicą zdarzyły się przypadki, gdy wprowadzenie poufnych danych doprowadziło do poważnych wycieków informacji w firmach.
W niniejszym artykule, prawnik wyjaśni ryzyko wycieku poufnych informacji w kontekście biznesowego wykorzystania ChatGPT, które rozwija się z dnia na dzień, wraz z przykładami i środkami zaradczymi, które należy podjąć.
Dlaczego nie należy wprowadzać poufnych informacji do ChatGPT
ChatGPT, choć jest narzędziem wygodnym, to jako AI chatbot generowany na podstawie big data i danych użytkowania w Internecie, niesie ryzyko wycieku wprowadzonych informacji poufnych, jeśli nie zostaną podjęte odpowiednie środki ostrożności.
O środkach zaradczych na ryzyko wycieku informacji poufnych opowiemy bardziej szczegółowo później, ale najpierw wyjaśnimy inne ryzyka związane z wyciekiem poufnych informacji, które mogą wystąpić w kontekście korzystania z ChatGPT.
Ryzyka związane z wykorzystaniem ChatGPT w firmach poza wyciekiem poufnych informacji
ChatGPT jest obecnie na etapie weryfikacji wdrożenia w wielu firmach. Dlatego też, przed decyzją o wykorzystaniu go w biznesie, konieczne jest pełne zrozumienie związanych z tym ryzyk.
Wykorzystanie ChatGPT w firmach może wiązać się z ryzykiem bezpieczeństwa innym niż wyciek poufnych informacji (w tym danych osobowych), takim jak:
- Ryzyko wiarygodności wygenerowanych informacji
- Ryzyko naruszenia praw autorskich w informacjach wejściowych i wyjściowych
Oto szczegółowe wyjaśnienie każdego z nich.
Brak wiarygodności wygenerowanych informacji
Opublikowany 14 marca 2023 roku GPT-4, dzięki wyposażeniu w funkcję wyszukiwania, jest w stanie dostarczać najnowsze informacje. Jednakże ChatGPT, generując odpowiedzi, przedstawia informacje jakby były one prawdziwe, ale ich wiarygodność nie jest gwarantowana. Odpowiedzi generowane przez ChatGPT nie są oparte na dokładności informacji zawartych w danych uczących, lecz są tworzone jako teksty o najwyższym prawdopodobieństwie bycia poprawnymi. Dlatego przed wykorzystaniem wygenerowanych wyników niezbędne jest sprawdzenie faktów. Jeśli firma przypadkowo opublikuje fałszywe informacje, może to zaszkodzić jej wiarygodności.
Ryzyko prawne, w tym naruszenie praw autorskich
Ocena naruszenia praw autorskich w ChatGPT różni się w zależności od etapu: „rozwoju i uczenia AI” oraz „generowania i wykorzystywania”. Ponieważ działania związane z wykorzystaniem dzieł autorskich na każdym z tych etapów są różne, różne są również stosowane przepisy prawa autorskiego. Dlatego należy rozważać je oddzielnie.
Referencja: Agencja ds. Kultury | Seminarium o prawach autorskich w roku Reiwa 5 (2023) „AI i prawa autorskie”[ja]
W styczniu 2019 roku wprowadzono zmiany do japońskiej Ustawy o Prawie Autorskim, które w artykule 30, punkt 4, dotyczącym ograniczeń praw (przepisy wyjątkowe, dla których nie jest wymagana zgoda), nowo ustanowiły etap „rozwoju i uczenia AI”. Działania takie jak analiza informacji dla rozwoju AI, które nie mają na celu korzystania z wyrażonych w dziełach autorskich myśli lub uczuć, mogą być zasadniczo przeprowadzane bez zgody właściciela praw autorskich.
Z drugiej strony, jeśli wygenerowane przez ChatGPT treści wykazują podobieństwo lub zależność (modyfikację) od dzieł autorskich, może to stanowić naruszenie praw autorskich. Dlatego przed publikacją ważne jest, aby sprawdzić prawa właściciela informacji, do których ChatGPT się odwołał, oraz upewnić się, że nie ma podobnych treści w wytworzonych materiałach. Przy cytowaniu dzieł autorskich należy wskazać źródło (przepisy ograniczające prawa) lub w przypadku reprodukcji uzyskać zgodę właściciela praw autorskich, odpowiednio postępując z materiałem.
W przypadku zarzutów naruszenia praw autorskich ze strony właściciela, firma może być pociągnięta do odpowiedzialności cywilnej (odszkodowanie, zadośćuczynienie, zakaz używania, przywrócenie dobrego imienia itp.) lub odpowiedzialności karnej (przestępstwo ścigane na wniosek pokrzywdzonego).
Przypadki wprowadzania poufnych informacji do ChatGPT, które stały się problemem
30 marca 2023 roku koreańskie media “EConomist” donosiły, że w dziale półprzewodników firmy Samsung Electronics, po zezwoleniu na użycie ChatGPT, doszło do trzech przypadków wprowadzenia poufnych informacji.
Strona Samsung Electronics, mimo przeprowadzenia w firmie kampanii uświadamiającej na temat bezpieczeństwa informacji, zgłosiła przypadki, w których pracownicy wysłali kod źródłowy w celu poproszenia o jego modyfikację (dwa przypadki) lub przesłali treść spotkania w celu stworzenia protokołu.
Po tych incydentach firma podjęła środki awaryjne, ograniczając ilość danych, które można przesłać do ChatGPT w ramach jednego zapytania. Ponadto, jeśli podobne przypadki miałyby się powtórzyć, firma rozważa możliwość odcięcia dostępu do ChatGPT.
Z kolei Walmart i Amazon ostrzegają swoich pracowników przed dzieleniem się poufnymi informacjami za pośrednictwem chatbotów. Prawnik z Amazona wspomniał, że już zaobserwowano przypadki, w których odpowiedzi ChatGPT przypominały wewnętrzne dane Amazona, co sugeruje możliwość wykorzystania tych danych w procesie uczenia.
Środki zapobiegające wyciekom poufnych informacji podczas korzystania z ChatGPT
OpenAI wyjaśnia w swoich warunkach użytkowania, że dane wprowadzone do systemu mogą być wykorzystywane do celów uczenia maszynowego i poprawy systemu, i zaleca, aby nie przesyłać wrażliwych informacji.
W tym rozdziale przedstawimy cztery środki, zarówno sprzętowe, jak i programowe, które pomogą zapobiec wyciekom poufnych informacji podczas korzystania z ChatGPT.
Tworzenie wewnętrznych wytycznych dotyczących użytkowania
Wprowadzając ChatGPT do użytku w firmie, ważne jest nie tylko podnoszenie osobistej świadomości bezpieczeństwa informacji i przekwalifikowanie pracowników, ale także stworzenie wewnętrznych wytycznych dotyczących użytkowania ChatGPT w ramach własnej organizacji.
1 maja 2023 roku (Reiwa 5), Ogólnokrajowe Stowarzyszenie Japońskiego Głębokiego Uczenia (JDLA) zebrało kwestie etyczne, prawne i społeczne (ELSI) związane z ChatGPT i opublikowało “Wytyczne dotyczące użytkowania AI generatywnego”. Prace nad tworzeniem wytycznych rozpoczęły się również w różnych sektorach przemysłu, akademii i administracji publicznej.
Korzystając z tych wytycznych jako punktu odniesienia, stworzenie własnych, jasno sformułowanych zasad użytkowania ChatGPT może pomóc w uniknięciu pewnych ryzyk.
Źródło: Ogólnokrajowe Stowarzyszenie Japońskiego Głębokiego Uczenia (JDLA) | Wytyczne dotyczące użytkowania AI generatywnego[ja]
Wdrażanie technologii zapobiegającej wyciekom poufnych informacji
Jako środek zapobiegający wyciekom poufnych informacji spowodowanym błędami ludzkimi, można wdrożyć system znany jako DLP (Data Loss Prevention), który zapobiega przesyłaniu i kopiowaniu poufnych danych.
DLP to funkcja, która stale monitoruje wprowadzane dane, automatycznie identyfikuje i chroni poufne oraz ważne informacje. Korzystając z DLP, w przypadku wykrycia informacji poufnych, możliwe jest wysłanie alertu lub zablokowanie operacji. Pozwala to skutecznie zapobiegać wyciekom informacji z wewnątrz firmy przy jednoczesnym ograniczeniu kosztów zarządzania. Jednak wymaga to zaawansowanego zrozumienia systemów bezpieczeństwa i może być trudne do płynnego wdrożenia w firmach bez działu technicznego.
Rozważanie wdrożenia dedykowanego narzędzia
Od marca 2023 roku ChatGPT umożliwia, dzięki wykorzystaniu API (skrót od “Application Programming Interface”, interfejsu umożliwiającego komunikację między oprogramowaniami lub usługami webowymi), zapobieganie wyciekom danych przesyłanych do ChatGPT.
Dane wysłane za pośrednictwem API nie są wykorzystywane do nauki ani ulepszania, lecz są przechowywane przez 30 dni w celu “monitorowania w celu zapobiegania nadużyciom lub błędnemu użyciu”, po czym są usuwane zgodnie z nowymi zasadami przechowywania danych. W przypadku “żądań prawnych” okres przechowywania danych może zostać przedłużony.
Mimo ustawienia ChatGPT w taki sposób, aby nie wykorzystywał go do nauki ani ulepszania, dane są przechowywane na serwerze przez określony czas, co teoretycznie stwarza ryzyko wycieku informacji. Dlatego przy wprowadzaniu poufnych informacji lub danych osobowych konieczna jest szczególna ostrożność.
Jednakże, OpenAI przykłada dużą wagę do prywatności użytkowników i bezpieczeństwa danych, stosując rygorystyczne środki bezpieczeństwa. Dla tych, którzy chcą korzystać z usługi w jeszcze bezpieczniejszy sposób, zaleca się wdrożenie “Azure OpenAI Service”, narzędzia umożliwiającego zaawansowane zabezpieczenia.
Dedykowane narzędzie dla przedsiębiorstw, jakim jest “Azure OpenAI Service”, nie zbiera danych wprowadzanych do ChatGPT za pośrednictwem API. Ponadto, po złożeniu wniosku o rezygnację i jego zatwierdzeniu, w zasadzie można odmówić przechowywania i monitorowania danych wejściowych przez 30 dni, co pozwala uniknąć ryzyka wycieku informacji.
Jak zapobiec uczeniu się przez ChatGPT wprowadzonych informacji poufnych
Jak wspomniano powyżej, ChatGPT ma mechanizm, który uczy się wszystkich treści wprowadzonych przez użytkowników, którzy wyrazili na to zgodę (opt-in). Dlatego od 25 kwietnia 2023 roku dostępna jest funkcja, która pozwala na wcześniejsze ustawienie opcji wyłączenia (opt-out).
Jako bezpośredni środek zapobiegawczy, jeśli chcesz odmówić wykorzystania danych wprowadzonych do ChatGPT do celów uczenia się i ulepszania, musisz złożyć wniosek o wyłączenie (opt-out). W ChatGPT dostępny jest formularz Google dla opcji wyłączenia, więc zaleca się przeprowadzenie tej procedury. (Wymagane jest wprowadzenie i wysłanie adresu e-mail, ID organizacji i nazwy organizacji)
Jednak nawet w tym przypadku, dane wejściowe są przechowywane na serwerach OpenAI i monitorowane przez określony czas (zazwyczaj 30 dni), co nie ulega zmianie.
Regulamin użytkowania ChatGPT
3. Treści
(c) Wykorzystanie treści do ulepszania usług
Nie wykorzystujemy treści, które dostarczasz lub otrzymujesz z naszego API (“Treści API”) do rozwijania lub ulepszania naszych usług.
Możemy wykorzystywać treści z usług innych niż nasze API (“Treści nie-API”) do pomocy w rozwijaniu i ulepszaniu naszych usług.
Jeśli nie chcesz, aby Twoje Treści nie-API były wykorzystywane do ulepszania usług, możesz zrezygnować, wypełniając ten formularz[ja]. Należy jednak pamiętać, że w niektórych przypadkach może to ograniczyć zdolność naszych usług do lepszego adresowania Twojego konkretnego przypadku użycia.
Jeśli nie chcesz, aby Twoje Treści nie-API były wykorzystywane do ulepszania usług, możesz zrezygnować, wypełniając ten formularz.
Zwróć uwagę, że w niektórych przypadkach może to ograniczyć zdolność naszych usług do lepszego adresowania Twojego konkretnego przypadku użycia.
Źródło: Oficjalna strona OpenAI | Regulamin użytkowania ChatGPT https://openai.com/policies/terms-of-use[ja]
Podsumowanie: W biznesowym wykorzystaniu ChatGPT niezbędne są środki ochrony informacji poufnych
Powyżej przedstawiłem ryzyko wycieku informacji poufnych oraz środki zaradcze w biznesowym wykorzystaniu ChatGPT, opierając się na konkretnych przykładach.
W przypadku szybko rozwijających się biznesów AI, takich jak ChatGPT, niezbędne jest podjęcie środków wraz z ekspertami, począwszy od opracowania wytycznych dotyczących użytkowania wewnętrznego, poprzez analizę legalności modelu biznesowego, tworzenie umów i regulaminów użytkowania, ochronę praw własności intelektualnej, aż po przestrzeganie prywatności.
Artykuł powiązany: Co to jest prawo Web3? Wyjaśniamy również kluczowe punkty dla firm wchodzących w tę technologię[ja]
Zapoznaj się z działaniami podejmowanymi przez naszą kancelarię
Kancelaria Prawna Monolith to firma z bogatym doświadczeniem w dziedzinie IT, a w szczególności w aspektach prawnych związanych z Internetem. Biznes AI wiąże się z wieloma ryzykami prawnymi, a wsparcie prawników specjalizujących się w kwestiach prawnych dotyczących AI jest niezbędne.
Nasza kancelaria, dzięki zespołowi prawników zorientowanych na AI oraz inżynierów, oferuje zaawansowane wsparcie prawne dla biznesu AI, w tym ChatGPT, obejmujące tworzenie umów, analizę legalności modeli biznesowych, ochronę własności intelektualnej oraz zagadnienia związane z prywatnością. Szczegóły znajdują się w poniższym artykule.
Obszary praktyki Kancelarii Prawnej Monolith: Prawo AI (w tym ChatGPT)[ja]
Category: IT
Tag: ITTerms of Use