MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Vad är risken för informationsläckage med ChatGPT? Vi introducerar fyra åtgärder som bör vidtas

IT

Vad är risken för informationsläckage med ChatGPT? Vi introducerar fyra åtgärder som bör vidtas

Den generativa AI:n “ChatGPT” har på senare tid fått mycket uppmärksamhet. Den kan skapa manus, programmera, generera noter och till och med rita, vilket har gjort den uppmärksammad inom en rad olika områden.

Förkortningen GPT i ChatGPT står för “Generative Pre-training Transformer”, och genom att förträna på en stor mängd text, bilder och ljud (via tilläggsfunktioner) kan den föra en konversation som liknar den mänskliga.

ChatGPT har visat sig kunna hantera komplexa arbetsuppgifter, vilket gör den till ett verktyg som erbjuder effektivisering av arbetsprocesser och en hög kostnadseffektivitet. Användningen av ChatGPT har redan avancerat inom många områden, och vi ser att många tech-företag börjar etablera sina egna AI-system.

Samtidigt som AI-teknik som ChatGPT förutspås erbjuda många affärsmöjligheter, finns det potentiella risker som har identifierats, inklusive upphovsrättsliga frågor, spridning av felaktig information, läckage av konfidentiell information, integritetsproblem och risken för missbruk i cyberattacker.

I den här artikeln kommer en advokat att förklara riskerna med informationsläckage vid användning av ChatGPT och vilka åtgärder som bör vidtas.

Risker med informationsläckor relaterade till ChatGPT

När företag överväger att införa ChatGPT finns det främst fyra risker att beakta:

  • Säkerhetsrisker (informationsläckor, noggrannhet, sårbarheter, tillgänglighet etc.)
  • Risk för upphovsrättsintrång
  • Risk för missbruk (till exempel cyberattacker)
  • Etiska utmaningar

Risken för informationsläckor i ChatGPT avser risken att konfidentiell information som matas in i ChatGPT kan bli synlig för OpenAI:s anställda eller andra användare, eller användas som träningsdata.

Enligt OpenAI:s datanvändningspolicy kommer data som användare matar in i ChatGPT att samlas in och användas (för träning) av OpenAI, såvida inte användaren går via ChatGPT:s “API” eller ansöker om att “opta ut” (detta kommer att förklaras mer detaljerat senare).

Fall där användningen av ChatGPT har lett till informationsläckor

Här presenterar vi fall där registrerad personlig information och inmatad konfidentiell information har läckt ut på grund av användningen av ChatGPT.

Fall där personlig information har läckt ut

Den 24 mars 2023 meddelade OpenAI att de hade tagit ChatGPT offline en kort period den 20 mars på grund av en bugg som visade personlig information för vissa användare, inklusive de sista fyra siffrorna i en annan användares kreditkort och kortets utgångsdatum. Det rapporterades att personlig information hade läckt ut för en del av prenumeranterna på den betalda planen “ChatGPT Plus” (cirka 1,2 % av medlemmarna).

Samtidigt meddelades det att det fanns en bugg som gjorde att chattloggar från andra användare kunde visas i en användares chattlogg.

Som en följd av detta utfärdade Italiens dataskyddsmyndighet den 31 mars 2023 en förbättringsorder som tillfälligt begränsade behandlingen av data för italienska användare av ChatGPT. Myndigheten hävdade att det saknades en laglig grund för OpenAI att samla in och lagra personuppgifter för ChatGPT:s inlärning. OpenAI blockerade tillgången till ChatGPT från Italien som svar på detta. Blockeringen hävdes den 28 april samma år efter att OpenAI hade förbättrat hanteringen av personuppgifter.

Fall där företagshemligheter har läckt ut

I februari 2023 publicerade det amerikanska cybersäkerhetsföretaget Cyberhaven en rapport om användningen av ChatGPT till sina kundföretag.

Enligt rapporten hade 8,2 % av de kunskapsarbetare bland Cyberhavens kundföretags 1,6 miljoner anställda använt ChatGPT på jobbet åtminstone en gång, och av dessa hade 3,1 % matat in företagshemligheter i ChatGPT.

I ett fall från Sydkorea rapporterade media “Economist” den 30 mars 2023 att en avdelning inom Samsung Electronics hade tillåtit användning av ChatGPT, vilket ledde till att konfidentiell information matades in.

Trots att Samsung Electronics hade uppmanat till försiktighet gällande företagets informationssäkerhet, fanns det anställda som hade matat in källkod för program och innehåll från möten.

Under dessa omständigheter finns det länder och företag som begränsar användningen av ChatGPT, medan andra främjar en policy som stödjer dess användning. När man överväger att införa ChatGPT bör man noggrant överväga riskerna för informationsläckor.

Fyra åtgärder för att förhindra informationsläckor med ChatGPT

Åtgärder för att förhindra informationsläckor med ChatGPT

En informationsläcka kan, när den väl inträffar, leda till inte bara juridiskt ansvar utan också stora förluster i förtroende och rykte. Därför är det viktigt att vidta åtgärder för att förhindra informationsläckor, vilket inkluderar att etablera och utbilda en intern informationshanteringsstruktur.

Här vill vi presentera fyra åtgärder för att förhindra informationsläckor med ChatGPT.

Åtgärd 1: Upprättande av användningsregler

Först och främst är det viktigt att fastställa företagets ståndpunkt gällande ChatGPT och inkludera bestämmelser om användningen av ChatGPT i företagets interna regelverk. Det är avgörande att fastställa tydliga regler, såsom att inte mata in personlig eller konfidentiell information, och att sedan följa dessa regler.

I detta sammanhang är det önskvärt att utarbeta riktlinjer för företagets användning av ChatGPT. Dessutom bör man se till att inkludera bestämmelser om användningen av ChatGPT i kontrakt med externa parter.

Den 1 maj 2023 (Reiwa 5) publicerade den allmänna föreningen Japanese Deep Learning Association (JDLA) en sammanställning av etiska, juridiska och sociala frågeställningar (ELSI) relaterade till ChatGPT och lanserade “Riktlinjer för användning av generativ AI”.

Även inom akademi, industri och offentlig förvaltning har man börjat överväga att utarbeta riktlinjer. Genom att ta dessa som utgångspunkt och formulera egna skriftliga riktlinjer för användningen av ChatGPT kan företaget förvänta sig att undvika vissa risker.

Referens: Japanese Deep Learning Association (JDLA) | Riktlinjer för användning av generativ AI[ja]

Det är dock viktigt att komma ihåg att riktlinjer som inte är allmänt kända och genomförda saknar betydelse. Att bara ha riktlinjer är inte tillräckligt som åtgärd.

Åtgärd 2: Skapa en struktur för att förhindra informationsläckor

Som en åtgärd för att förhindra mänskliga fel kan införandet av ett system kallat DLP (Data Loss Prevention) förhindra att specifik data läcker ut, vilket gör det möjligt att blockera sändning och kopiering av konfidentiell information.

DLP är ett system som övervakar data snarare än användare, och det identifierar och skyddar automatiskt konfidentiell och viktig information. Med DLP kan du, när känslig information upptäcks, få en varning eller blockera åtgärden.

Det är möjligt att förhindra informationsläckor inifrån företaget samtidigt som man håller nere administrationskostnaderna, men en avancerad förståelse för säkerhetssystemet är nödvändig, och det kan vara svårt att smidigt införa det i företag som saknar en teknisk avdelning.

Åtgärd 3: Använd verktyg för att förhindra informationsläckage

Som tidigare nämnt kan du som en direkt förebyggande åtgärd ansöka om “opt-out” för att vägra att ChatGPT samlar in data som du matar in.

Du kan ansöka om “opt-out” från ChatGPT:s inställningsmeny. Men många kan känna det som en olägenhet att inte ha en historik av sina prompts när de väljer att opt-out.

Utöver opt-out-inställningen finns det ett alternativ att införa verktyg som använder ChatGPT:s “API”.

“API” (Application Programming Interface) är ett gränssnitt som OpenAI har gjort tillgängligt för att integrera ChatGPT i egna tjänster eller externa verktyg. OpenAI har uttryckligen sagt att information som skickas till eller tas emot från ChatGPT:s “API” inte kommer att användas.

Detta är också tydligt angivet i ChatGPT:s användarvillkor. Enligt användarvillkoren:

3. Innehåll

(c) Användning av innehåll för att förbättra tjänsten

Vi använder inte innehåll som du tillhandahåller till eller tar emot från vårt API (“API-innehåll”) för att utveckla eller förbättra våra tjänster. 

Vi kan använda innehåll från tjänster som inte är vårt API (“Icke-API-innehåll”) för att hjälpa till att utveckla och förbättra våra tjänster.

 Om du inte vill att ditt Icke-API-innehåll ska användas för att förbättra tjänster, kan du välja bort genom att fylla i detta formulär. Observera att detta i vissa fall kan begränsa vår tjänsts förmåga att bättre hantera ditt specifika användningsfall.

Källa: OpenAI officiell webbplats | ChatGPT användarvillkor

Åtgärd 4: Genomföra interna utbildningar i IT-kunnighet

Förutom de åtgärder som vi har presenterat hittills, är det också viktigt att genomföra interna utbildningar för att öka de anställdas säkerhetsmedvetenhet.

I fallet med Samsung Electronics, trots att man hade uppmärksammat informationssäkerhet internt, ledde inmatningen av konfidentiell information till ett dataintrång. Det är inte bara önskvärt att förebygga informationsläckor från systemets sida, utan även att genomföra interna utbildningar i kunskap om ChatGPT och IT-kunnighet.

Hantering av informationsläckor i ChatGPT

Hantering av informationsläckor i ChatGPT

Om en informationsläcka skulle inträffa är det viktigt att snabbt genomföra en undersökning av fakta och vidta åtgärder.

Vid läckage av personuppgifter är det enligt lagen om skydd av personuppgifter obligatoriskt att rapportera till den Japanska kommissionen för skydd av personuppgifter. Det är också nödvändigt att informera den berörda personen om situationen. Om läckage av personuppgifter har kränkt någons rättigheter eller intressen kan det leda till ansvar för civilrättslig skadestånd. Dessutom, om personuppgifter har stulits eller tillhandahållits i ett otillbörligt syfte, kan det även medföra straffrättsligt ansvar.

Vid läckage av affärshemligheter eller teknisk information kan man enligt lagen mot otillbörlig konkurrens begära åtgärder som borttagning från den som informationen läckt till. Om läckage av affärshemligheter eller teknisk information har gett någon en orättvis fördel kan det även leda till ansvar för civilrättslig skadestånd. Vidare, om affärshemligheter eller teknisk information har förvärvats eller använts genom otillbörliga metoder, kan det även medföra straffrättsligt ansvar.

Om man har läckt information i strid med yrkesmässig sekretess kan man enligt brottsbalken eller andra lagar hållas straffrättsligt ansvarig. Dessutom, om läckan har orsakat skada för någon annan på grund av brott mot yrkesmässig sekretess, kan det leda till ansvar för civilrättslig skadestånd.

Därför är det nödvändigt att snabbt agera utifrån vilken information som har läckt och det är viktigt att i förväg ha en beredskapsplan för sådana händelser.

Relaterad artikel: Vad bör företag göra vid informationsläckor?[ja]

Relaterad artikel: Vad ska företag göra om personuppgifter läcker ut? En förklaring av de administrativa åtgärderna som bör vidtas[ja]

Sammanfattning: Förbered er för risker med informationsläckor från ChatGPT

Här har vi förklarat riskerna med informationsläckor från ChatGPT och vilka åtgärder som bör vidtas. I en AI-drivna affärsvärld som kontinuerligt utvecklas med verktyg som ChatGPT, rekommenderar vi att ni konsulterar en erfaren advokat som är väl insatt i de juridiska riskerna och förbereder ert företags interna strukturer i enlighet med dessa risker.

Inte bara för informationsläckor, utan även för att utvärdera lagligheten av affärsmodeller som använder AI, skapa kontrakt och användarvillkor, skydda immateriella rättigheter och hantera integritetsfrågor, kan ni känna er trygga genom att samarbeta med advokater som har kunskap och erfarenhet av både AI och juridik.

Information om åtgärder från vår byrå

Monoliths juridiska byrå har omfattande erfarenhet inom IT, särskilt internet och juridik. AI-verksamhet medför många juridiska risker och det är avgörande att ha stöd från advokater som är experter på juridiska frågor relaterade till AI. Vår byrå erbjuder avancerat juridiskt stöd för AI-verksamheter, inklusive ChatGPT, genom ett team av AI-kunniga advokater och ingenjörer. Vi tillhandahåller tjänster som utformning av kontrakt, granskning av affärsmodellers laglighet, skydd av immateriella rättigheter och hantering av integritetsfrågor. Mer information finns i artikeln nedan.

Monoliths juridiska byrås expertisområden: AI-juridik (inklusive ChatGPT och liknande)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Tillbaka till toppen