Каковы риски внедрения корпоративного ChatGPT? Объяснение примеров утечек конфиденциальной информации и мер по их предотвращению
Внедрение ChatGPT в корпоративной среде постепенно набирает обороты. Хотя внимание к его полезности растет, существует несколько моментов, на которые необходимо обратить внимание. Одним из таких моментов является то, что вводить конфиденциальную информацию в ChatGPT нельзя. В частности, за рубежом уже были случаи, когда ввод конфиденциальных данных приводил к серьезным утечкам информации в компаниях.
В данной статье адвокаты нашей фирмы расскажут о рисках утечки конфиденциальной информации при использовании ChatGPT в бизнесе, опираясь на реальные примеры и рекомендуемые меры предосторожности, учитывая постоянное развитие этой технологии.
Почему не следует вводить конфиденциальную информацию в ChatGPT
ChatGPT, несмотря на свою удобность, является AI-чатботом, созданным на основе изучения больших данных в интернете и данных пользователей, и если не предпринять никаких мер, существует риск утечки введенной конфиденциальной информации.
Мы подробно расскажем о мерах предотвращения риска утечки конфиденциальной информации позже, но сначала давайте обсудим другие риски, связанные с утечкой конфиденциальной информации, не относящиеся к ChatGPT.
Риски, связанные с использованием ChatGPT, помимо утечки конфиденциальной информации
На данный момент многие компании находятся на стадии тестирования внедрения ChatGPT. Поэтому необходимо полностью понимать связанные с этим риски перед тем, как принимать решение об использовании этой технологии в бизнесе.
Помимо утечки конфиденциальной информации (включая личные данные), при использовании ChatGPT компании могут столкнуться с такими безопасностными рисками, как:
- Риск достоверности выдаваемой информации
- Риск нарушения авторских прав на входящую и исходящую информацию
Давайте рассмотрим каждый из них подробнее.
Недостоверность выдаваемой информации
Опубликованный 14 марта 2023 года GPT-4 получил функцию поиска, что позволило ему предоставлять более актуальную информацию. Однако ChatGPT выдает ответы, как будто они являются правдой, но их достоверность не гарантирована. Ответы, генерируемые ChatGPT, не основаны на точности информации из учебных данных, а представляют собой лишь тексты, которые были определены как наиболее вероятные. Поэтому перед использованием результатов выдачи необходима проверка фактов. Если компания случайно распространит ложную информацию, это может подорвать её репутацию.
Юридические риски, включая нарушение авторских прав
Оценка нарушения авторских прав в ChatGPT делится на два этапа: «Этап разработки и обучения AI» и «Этап генерации и использования». Поскольку действия по использованию произведений на каждом из этапов различаются, применяются разные статьи закона об авторском праве. Следовательно, необходимо рассматривать их отдельно.
В январе 2019 года был введен в действие измененный закон об авторских правах, который в статье 30-4 ввел новое положение для «Этапа разработки и обучения AI». Использование произведений для анализа данных, например, для разработки AI, когда целью не является восприятие выраженных в произведении идей или эмоций, в принципе может осуществляться без разрешения правообладателя.
В то же время, если в материале, сгенерированном ChatGPT, обнаруживается сходство или зависимость (изменение) с авторским произведением, это может привести к нарушению авторских прав. Поэтому перед публикацией необходимо проверить правообладателей информации, на которую ссылается ChatGPT, и убедиться, что нет содержания, схожего с созданным ChatGPT. При цитировании произведений необходимо указывать источник (ограничения прав), а при перепечатке — получать разрешение от правообладателя и корректно обрабатывать материал.
В случае обвинения в нарушении авторских прав со стороны правообладателя, могут возникнуть гражданско-правовые обязательства (компенсация ущерба, моральный ущерб, запрет на использование, восстановление репутации и т.д.) или уголовная ответственность (частное обвинение).
Примеры проблем с вводом конфиденциальной информации в ChatGPT
30 марта 2023 года (Reiwa 5) корейское СМИ «EConomist» сообщило, что после разрешения использования ChatGPT в отделе полупроводников компании Samsung Electronics произошли три инцидента с вводом конфиденциальной информации.
Со стороны Samsung Electronics, несмотря на проведение внутрикорпоративных мероприятий по повышению осведомленности о информационной безопасности, были случаи, когда сотрудники отправляли исходный код для запроса на исправление программы (в двух случаях) и передавали содержание встреч для составления протоколов.
После этих инцидентов компания ввела экстренные меры, ограничив объем загрузки данных для одного запроса в ChatGPT. Также было заявлено, что в случае повторения подобных инцидентов возможно будет полностью блокировать доступ к сервису.
Кроме того, Walmart и Amazon предупреждают своих сотрудников о недопустимости передачи конфиденциальной информации через чат-боты. Юристы Amazon отмечают, что уже наблюдались случаи, когда ответы ChatGPT были похожи на внутренние данные Amazon, что может указывать на использование этих данных в процессе обучения.
Меры предотвращения утечки конфиденциальной информации при использовании ChatGPT
OpenAI в своих условиях использования объясняет, что введенные данные могут использоваться для улучшения системы, в том числе для обучения, и призывает не отправлять чувствительную информацию.
В этой главе мы представим четыре меры, как с технической, так и с программной стороны, для предотвращения утечки конфиденциальной информации при использовании ChatGPT.
Разработка внутренних руководящих принципов использования
При внедрении ChatGPT в корпоративную среду важно не только повышать информационную безопасность и переквалификацию сотрудников, но и желательно разработать собственные руководящие принципы использования ChatGPT.
1 мая 2023 года (Рейва (Reiwa) 5) Общественная организация Японской ассоциации глубокого обучения (JDLA) собрала вопросы, связанные с этическими, юридическими и социальными проблемами (ELSI), связанными с ChatGPT, и опубликовала “Руководящие принципы использования генеративного ИИ”. Разработка руководящих принципов также началась в различных секторах, включая промышленность, академические круги и правительство.
Опираясь на это, разработка четких внутренних руководящих принципов использования ChatGPT может помочь в минимизации определенных рисков.
Ссылка: Общественная организация Японской ассоциации глубокого обучения (JDLA) | Руководящие принципы использования генеративного ИИ[ja]
Внедрение технологий для предотвращения утечки конфиденциальной информации
В качестве меры предотвращения утечки конфиденциальной информации из-за человеческой ошибки можно внедрить систему, известную как DLP (Data Loss Prevention – Предотвращение Утечки Данных), которая позволяет предотвратить отправку и копирование конфиденциальной информации, блокируя утечку определенных данных.
DLP – это функция, которая постоянно мониторит вводимые данные, автоматически определяет и защищает конфиденциальную и важную информацию. Используя DLP, при обнаружении секретной информации можно получать уведомления об алертах или блокировать операции. Это позволяет надежно предотвратить утечки информации изнутри компании, сдерживая управленческие затраты, однако требуется глубокое понимание систем безопасности, и гладкое внедрение в компаниях без технического отдела может быть затруднительно.
Рассмотрение внедрения специализированных инструментов
С марта 2023 года (Рэйва 5) в ChatGPT появилась возможность использования API (Application Programming Interface – интерфейс программирования приложений, который связывает программное обеспечение, программы и веб-сервисы), что позволяет предотвратить утечку данных, отправленных в ChatGPT.
Данные, отправленные через API, не используются для обучения или улучшения, но хранятся в течение 30 дней для «мониторинга с целью предотвращения неправомерного использования и злоупотреблений», после чего удаляются согласно новым условиям хранения данных. Однако в случае «юридического требования» срок хранения данных может быть продлен.
Таким образом, даже если настроить ChatGPT так, чтобы он не использовался для обучения или улучшения, данные все равно сохраняются на сервере в течение определенного времени, что теоретически создает риск утечки информации. Поэтому при вводе конфиденциальной информации или личных данных необходимо проявлять особую осторожность.
Тем не менее, OpenAI придает большое значение конфиденциальности пользователей и безопасности данных, принимая строгие меры безопасности. Если вы хотите использовать сервис с большей безопасностью, рекомендуется внедрить инструмент с продвинутыми мерами безопасности, такой как «Azure OpenAI Service».
Инструмент, специально разработанный для корпоративных пользователей, «Azure OpenAI Service», не собирает данные, введенные через API в ChatGPT. Кроме того, если подать заявку на отказ от участия и она будет одобрена, то в принципе можно отказаться от 30-дневного хранения и мониторинга введенных данных, что позволяет избежать риска утечки информации.
Как настроить ChatGPT, чтобы он не учился на введенной конфиденциальной информации
Как было сказано выше, ChatGPT изучает все данные, введенные через опт-ин, поэтому с 25 апреля 2023 года (Рэйва 5) в нем появилась функция предварительной настройки опт-аута.
В качестве прямой предварительной меры, если вы не хотите, чтобы данные, введенные в ChatGPT, использовались для обучения или улучшения, необходимо подать заявку на опт-аут. В ChatGPT предусмотрена специальная форма Google для опт-аута, поэтому рекомендуется заранее пройти эту процедуру. (Необходимо ввести и отправить адрес электронной почты, ID организации и название организации)
Однако даже в этом случае введенные данные будут сохраняться на серверах и подлежать мониторингу OpenAI в течение определенного периода времени (как правило, 30 дней).
Пользовательское соглашение ChatGPT
3. Контент
(c) Использование контента для улучшения сервиса
Мы не используем контент, который вы предоставляете или получаете через наш API («Контент API»), для разработки или улучшения наших сервисов.
Мы можем использовать контент из других наших сервисов, не связанных с API («Контент не-API»), чтобы помочь в разработке и улучшении наших сервисов.
Если вы не хотите, чтобы ваш контент не-API использовался для улучшения сервисов, вы можете отказаться от этого, заполнив эту форму[en]. Обратите внимание, что в некоторых случаях это может ограничить способность наших сервисов лучше решать ваши конкретные задачи.
Цитата: Официальный сайт OpenAI | Пользовательское соглашение ChatGPT https://openai.com/policies/terms-of-use[en]
Заключение: При использовании ChatGPT в бизнесе необходимы меры по обработке конфиденциальной информации
Выше были рассмотрены риски утечки конфиденциальной информации при использовании ChatGPT в бизнесе и необходимые меры предосторожности на основе конкретных примеров.
В бизнесе, где используются быстро развивающиеся AI технологии, такие как ChatGPT, необходимо разработать внутренние руководящие принципы, оценить законность бизнес-моделей, создать договоры и условия использования, защитить интеллектуальную собственность и обеспечить конфиденциальность в сотрудничестве со специалистами.
Связанные статьи: Что такое законы, связанные с Web3? Также объясняем ключевые моменты для компаний, входящих в эту область[ja]
Информация о мерах, предпринимаемых нашей юридической фирмой
Юридическая фирма “Монолит” обладает богатым опытом в области IT, особенно в интернет-праве. Бизнес, связанный с искусственным интеллектом, сопряжен с множеством юридических рисков, и поддержка адвокатов, специализирующихся на правовых вопросах AI, является необходимой.
Наша фирма предоставляет высококвалифицированную юридическую поддержку для бизнеса, связанного с AI, включая ChatGPT, с помощью команды адвокатов, знакомых с AI, и инженеров. Мы предлагаем создание договоров, анализ законности бизнес-моделей, защиту интеллектуальной собственности, а также решения в области конфиденциальности. Подробности вы найдете в статье ниже.
Сферы деятельности юридической фирмы “Монолит”: Юридические услуги в области AI (включая ChatGPT и прочее)[ja]
Category: IT
Tag: ITTerms of Use
