Каковы риски утечки информации в ChatGPT? Представляем 4 меры предосторожности, которые следует предпринять

В последнее время все больше внимания привлекает “ChatGPT”. Этот генеративный AI привлекает внимание в различных областях, поскольку он способен на создание текстов, программирование, генерацию музыкальных нот и рисование.

Аббревиатура GPT в названии ChatGPT означает “Generative Pre-training Transformer”, что предполагает предварительное обучение на большом объеме текстовых, изображений и аудио данных (с расширениями), что позволяет вести естественный диалог, подобно человеку.

ChatGPT получает внимание как инструмент, способный справляться с сложными задачами, обещая повышение эффективности работы и высокую стоимостную эффективность. Использование ChatGPT уже активно продвигается в различных сферах, и многие технологические компании также начинают разработку собственных AI-систем.

Таким образом, технологии AI, включая ChatGPT, предвещают множество бизнес-возможностей, но в то же время поднимаются вопросы потенциальных рисков, таких как проблемы авторского права, распространение неправдивой информации, утечки конфиденциальной информации, проблемы с приватностью и возможность использования в целях кибератак.

В этой статье адвокат расскажет о рисках утечки информации при использовании ChatGPT и о мерах предосторожности, которые следует предпринять.

Риски утечки информации, связанные с ChatGPT

Основные риски, связанные с внедрением ChatGPT в компаниях, включают следующие четыре аспекта:

• Секьюрити-риски (утечка информации, точность, уязвимости, доступность и т.д.)
• Риски нарушения авторских прав
• Риски злоупотребления (например, кибератаки)
• Этические проблемы

Риск утечки информации, связанный с ChatGPT, заключается в том, что если в ChatGPT вводится конфиденциальная информация, то существует опасность, что эта информация может быть просмотрена сотрудниками OpenAI или другими пользователями, а также использована в качестве данных для обучения.

Согласно политике использования данных OpenAI, если пользователь не использует API ChatGPT или не подает заявку на «опт-аут», данные, введенные в ChatGPT, могут быть собраны и использованы OpenAI для обучения (об этом мы расскажем подробнее позже).

Примеры утечки информации из-за использования ChatGPT

Здесь мы представим случаи утечки зарегистрированных личных данных и введенной конфиденциальной информации из-за использования ChatGPT.

Случаи утечки личных данных

24 марта 2023 года компания OpenAI объявила, что 20 марта ChatGPT был временно отключен из-за обнаружения бага, который позволял некоторым пользователям видеть личные данные других пользователей, включая последние четыре цифры номера кредитной карты и срок ее действия. Утечка коснулась части подписчиков платного плана “ChatGPT Plus” (примерно 1.2% от общего числа членов).

Кроме того, было объявлено о существовании другого бага, который приводил к отображению чата других пользователей в истории чата.

В ответ на это 31 марта 2023 года итальянский орган по защите данных выдал OpenAI предписание о введении временных ограничений на обработку данных итальянских пользователей, поскольку ChatGPT собирал и хранил личные данные без законного основания. В результате OpenAI заблокировала доступ к ChatGPT из Италии. Блокировка была снята 28 апреля того же года после того, как OpenAI улучшила обработку личных данных.

Случаи утечки конфиденциальной информации внутри компании

В феврале 2023 года американская кибербезопасная компания Cyberhaven опубликовала отчет о использовании ChatGPT для клиентских компаний.

Согласно отчету, из 1.6 миллиона работников клиентских компаний, использующих продукты Cyberhaven, 8.2% знаниевых работников хотя бы раз использовали ChatGPT на рабочем месте, и из них 3.1% вводили корпоративные секретные данные в ChatGPT.

Также есть пример из Южной Кореи: 30 марта 2023 года корейское издание «Economist» сообщило, что после разрешения использования ChatGPT в одном из подразделений Samsung Electronics произошел инцидент с вводом конфиденциальной информации.

Со стороны Samsung Electronics были предприняты меры по повышению осведомленности о безопасности внутренней информации, однако были сотрудники, которые ввели в программу исходный код и содержание встреч.

В таких условиях некоторые страны и компании вводят ограничения на использование ChatGPT, в то время как другие выступают с рекомендациями по его внедрению. При рассмотрении внедрения ChatGPT необходимо понимать риски утечки информации.

Четыре меры предотвращения утечки информации с использованием ChatGPT

Утечка информации может привести не только к юридической ответственности, но и к значительным потерям доверия и репутации. Поэтому важно обеспечить надлежащее управление информацией и обучение сотрудников внутри компании для предотвращения утечек информации.

Далее мы представим четыре меры, которые помогут предотвратить утечку информации при использовании ChatGPT.

Мера 1: Разработка правил использования

Прежде всего, необходимо определить позицию вашей компании по отношению к ChatGPT и включить во внутренние нормативные документы положения, касающиеся использования ChatGPT. Важно установить и следовать четким правилам, таким как не вводить личную и конфиденциальную информацию.

В этом случае желательно разработать внутренние руководящие принципы использования ChatGPT в вашей компании. Кроме того, в договора с внешними сторонами следует включать положения, касающиеся использования ChatGPT.

1 мая 2023 года (Рейва 5) Общественная организация Японской ассоциации глубокого обучения (JDLA) собрала вопросы, связанные с этическими, юридическими и социальными проблемами (ELSI) использования ChatGPT, и опубликовала “Руководство по использованию генеративного ИИ”.

В различных секторах, включая промышленность, академические круги и государственные учреждения, также начали разрабатывать руководящие принципы. Ориентируясь на это, разработка четко сформулированных руководящих принципов использования ChatGPT в вашей компании может помочь минимизировать определенные риски.

Ссылка: Общественная организация Японской ассоциации глубокого обучения (JDLA) | Руководство по использованию генеративного ИИ[ja]

Однако, если разработанные руководящие принципы не будут широко известны и строго соблюдаться, они не будут иметь смысла. Сами по себе руководящие принципы недостаточны в качестве меры предосторожности.

Мера 2: Создание системы для предотвращения утечки информации

В качестве меры предотвращения человеческих ошибок можно внедрить систему DLP (Data Loss Prevention – Предотвращение Утечки Данных), которая позволяет предотвратить отправку и копирование конфиденциальной информации, блокируя утечку определенных данных.

DLP – это система, которая постоянно мониторит не пользователей, а данные, автоматически определяет и защищает конфиденциальную информацию и важные данные. Используя DLP, можно получать уведомления об опасности и блокировать операции, если обнаруживается секретная информация.

Это позволяет надежно предотвращать утечки информации изнутри компании, сдерживая управленческие расходы. Однако для этого требуется глубокое понимание систем безопасности, и гладкое внедрение может быть затруднительным для компаний без технического отдела.

Мера 3: Использование инструментов для предотвращения утечки информации

Как было упомянуто выше, одной из прямых предварительных мер является возможность подать заявку на «опт-аут» (отказ от участия), чтобы отказаться от сбора данных, введенных в ChatGPT.

Вы можете подать заявку на «опт-аут» через настройки ChatGPT. Однако, после подачи заявки на «опт-аут», история ваших запросов не сохраняется, что может вызвать неудобства у многих пользователей.

В качестве альтернативы настройкам «опт-аут», можно использовать инструменты, работающие через «API» ChatGPT.

«API (Application Programming Interface)» – это интерфейс, предоставляемый OpenAI для интеграции ChatGPT в собственные сервисы или внешние инструменты. OpenAI заявляет, что информация, введенная или полученная через «API» ChatGPT, не используется для улучшения их сервисов.

Это также четко указано в условиях использования ChatGPT. Согласно условиям использования:

3. Контент

(c) Использование контента для улучшения сервиса

Мы не используем контент, который вы предоставляете или получаете через наш API («Контент API»), для разработки или улучшения наших сервисов.

Мы можем использовать контент из других наших сервисов, не связанных с API («Контент не-API»), чтобы помочь в разработке и улучшении наших сервисов.

Если вы не хотите, чтобы ваш контент не-API использовался для улучшения сервисов, вы можете отказаться, заполнив эту форму[en]. Обратите внимание, что в некоторых случаях это может ограничить способность наших сервисов лучше решать ваши конкретные задачи.

Цитата: Официальный сайт OpenAI | Условия использования ChatGPT[en]

Мера 4: Проведение внутренних тренингов по повышению IT-грамотности

Помимо уже упомянутых мер, важно также проводить внутренние тренинги для повышения уровня знаний сотрудников в области информационной безопасности.

Как показывает пример компании Samsung Electronics, несмотря на проведение внутрикорпоративных мероприятий по информационной безопасности, ввод конфиденциальной информации привёл к утечке данных. Поэтому, помимо защиты на системном уровне, желательно проводить внутренние тренинги для сотрудников по вопросам, связанным с ChatGPT, и повышение IT-грамотности в целом.

Как действовать в случае утечки информации через ChatGPT

В случае утечки информации крайне важно незамедлительно провести расследование обстоятельств и принять соответствующие меры.

При утечке персональных данных необходимо, согласно Закону о защите персональных данных (Japanese Personal Information Protection Law), сообщить о происшествии в Комиссию по защите персональных данных. Также необходимо уведомить самого субъекта данных о случившемся. Если утечка персональных данных привела к нарушению прав и интересов другой стороны, может возникнуть гражданско-правовая ответственность за ущерб. Кроме того, в случае кражи или предоставления персональных данных с противоправной целью может возникнуть и уголовная ответственность.

При утечке коммерческой тайны или технической информации можно требовать удаления данных у получателя на основании Закона о предотвращении недобросовестной конкуренции (Japanese Unfair Competition Prevention Law). Если утечка коммерческой тайны или технической информации привела к несправедливому обогащению другой стороны, может возникнуть гражданско-правовая ответственность за ущерб. Кроме того, приобретение или использование коммерческой тайны или технической информации незаконными методами может повлечь уголовную ответственность.

Если утечка информации произошла в результате нарушения служебной тайны, виновное лицо может быть привлечено к уголовной ответственности согласно Уголовному кодексу (Japanese Criminal Code) или другим законам. Также, если утечка информации, связанная с нарушением служебной тайны, причинила ущерб другой стороне, может возникнуть гражданско-правовая ответственность за ущерб.

Следовательно, необходимо быстро реагировать в соответствии с содержанием утекшей информации и важно заранее подготовить систему для таких случаев.

Связанные статьи：Что должны делать компании при утечке информации[ja]

Связанные статьи：Что делать, если произошла утечка персональных данных? Объясняем административные меры для компаний[ja]

Заключение: Создание системы, готовой к рискам утечки информации в ChatGPT

В данной статье мы рассмотрели риски утечки информации, связанные с ChatGPT, и меры, которые следует предпринять. В бизнесе, использующем AI, таком как ChatGPT, который продолжает быстро развиваться, мы рекомендуем проконсультироваться с опытным юристом, хорошо знакомым с юридическими рисками, и заранее подготовить внутреннюю структуру компании для соответствия этим рискам.

Не только в случае утечки информации, но и при разработке бизнес-моделей, использующих AI, при создании договоров и условий использования, защите интеллектуальной собственности и обеспечении конфиденциальности, вы можете быть уверены в сотрудничестве с юристами, обладающими знаниями и опытом в области как AI, так и законодательства.

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает богатым опытом в области IT, особенно в интернете и праве. Бизнес, связанный с искусственным интеллектом (AI), сопряжен с множеством юридических рисков, и поддержка адвокатов, специализирующихся на правовых вопросах AI, является необходимой. Наша фирма предоставляет высококвалифицированную юридическую поддержку для бизнеса, связанного с AI, включая ChatGPT, такую как составление договоров, проверка законности бизнес-моделей, защита интеллектуальной собственности и решения в области конфиденциальности. Детали вы найдете в статье ниже.

Сферы деятельности юридической фирмы “Монолит”: Юридические услуги в области AI (включая ChatGPT и прочее)[ja]