Vilka är riskerna med att införa ChatGPT i företag? En genomgång av exempel på läckage av konfidentiell information och motåtgärder
Implementeringen av ChatGPT inom företag går stadigt framåt. Dess användbarhet får mycket uppmärksamhet, men det finns flera punkter som man måste vara uppmärksam på. En av dessa är att man inte bör mata in konfidentiell information i ChatGPT. Det finns faktiskt fall utomlands där inmatning av känslig information har lett till allvarliga läckor av företagshemligheter.
I den här artikeln kommer en advokat att förklara riskerna med läckage av konfidentiell information när man använder ChatGPT i affärssammanhang, med fokus på verkliga exempel och vilka åtgärder som bör vidtas.
Varför du inte bör ange konfidentiell information i ChatGPT
ChatGPT är visserligen praktiskt, men eftersom det är en AI-chattbot som genereras genom att lära sig från stora mängder data på internet och användardata, finns det en risk att konfidentiell information som matas in kan läcka ut om inga åtgärder vidtas.
Vi kommer att förklara mer detaljerat om åtgärder mot risker för läckage av konfidentiell information senare, men låt oss först diskutera andra risker relaterade till ChatGPT som inte involverar läckage av konfidentiell information.
Risker för företag vid användning av ChatGPT utöver läckage av konfidentiell information
ChatGPT är för närvarande i ett skede där många företag utför pilotstudier för att utvärdera dess användning. Därför är det nödvändigt att förstå riskerna väl innan man beslutar sig för att använda det i affärssammanhang.
När det gäller säkerhetsrisker för företag vid användning av ChatGPT, utöver läckage av konfidentiell information (inklusive personuppgifter), kan följande två punkter nämnas:
- Risken för bristande tillförlitlighet i den information som genereras
- Risken för upphovsrättsintrång i den information som matas in och ut
Låt oss förklara dessa punkter mer i detalj.
Bristande tillförlitlighet i den information som genereras
Den 14 mars 2023 (Reiwa 5) offentliggjordes GPT-4, som med sin sökfunktion kan tillhandahålla den senaste informationen. Dock genererar ChatGPT svar som om informationen vore sann, men dess tillförlitlighet är inte garanterad. Svaren som ChatGPT skapar baseras inte på en noggrann utvärdering av informationens korrekthet från inlärningsdata, utan är snarare text som bedömts ha hög sannolikhet att vara korrekt. Därför är det avgörande att utföra en faktakontroll innan man använder resultatet. Om ett företag av misstag sprider falsk information kan det skada företagets egen trovärdighet.
Juridiska risker såsom upphovsrättsintrång
Bedömningen av upphovsrättsintrång i ChatGPT skiljer sig åt mellan “AI-utvecklings- och inlärningsfasen” och “genererings- och användningsfasen”. Eftersom de handlingar som utförs med upphovsrättsskyddade verk skiljer sig åt i varje fas, skiljer sig också tillämpliga bestämmelser i upphovsrättslagen. Därför är det nödvändigt att betrakta dem separat.
Referens: Kulturbyrån | Upphovsrättsseminarium “AI och upphovsrätt” Reiwa 5 (2023)[ja]
I den reviderade upphovsrättslagen som trädde i kraft i januari 2019, har en ny bestämmelse för begränsning av rättigheter (undantag där tillstånd inte krävs) lagts till som artikel 30.4, vilken gäller “AI-utvecklings- och inlärningsfasen”. Användning av verk för informationsanalys, såsom AI-utveckling, där syftet inte är att ta del av de idéer eller känslor som uttrycks i verket, kan i princip utföras utan upphovsmannens tillstånd.
Å andra sidan, om det finns likheter eller beroende (modifiering) mellan det som genereras av ChatGPT och upphovsrättsskyddade verk, kan det utgöra ett upphovsrättsintrång. Därför är det viktigt att, innan man publicerar något, kontrollera rättighetshavaren till den information som ChatGPT har refererat till och se till att det inte finns något innehåll som liknar det som ChatGPT har skapat. Vid citering av verk bör man ange källan (begränsning av rättigheter), och vid återpublicering bör man få tillstånd från upphovsrättsinnehavaren eller hantera det på ett korrekt sätt.
Om en upphovsrättsinnehavare påpekar ett upphovsrättsintrång, kan man bli föremål för civilrättsligt ansvar (skadestånd, ersättning för kränkning, förbud mot användning, återställande av heder etc.) eller straffrättsligt ansvar (brott som kräver målsägandens anmälan).
Fall där konfidentiell information matats in i ChatGPT
Den 30 mars 2023 rapporterade den sydkoreanska mediekanalen “EConomist” att det hade uppstått tre incidenter där konfidentiell information matats in i ChatGPT efter att Samsung Electronics halvledaravdelning tillåtit användningen av programmet.
Trots att Samsung Electronics hade uppmärksammat behovet av informationssäkerhet internt, skickade anställda iväg källkod för att begära programändringar (i två fall) och överförde mötesinformation för att skapa protokoll.
Efter dessa incidenter vidtog företaget omedelbara åtgärder genom att begränsa uppladdningskapaciteten per fråga till ChatGPT. Företaget har också uttalat att om liknande incidenter skulle upprepas, kan de komma att blockera tillgången till tjänsten helt.
Walmart och Amazon varnar också sina anställda för att dela konfidentiell information via chattbotar. En advokat på Amazon har nämnt att det redan finns fall där ChatGPT:s svar liknar Amazons interna data, vilket antyder att informationen kan ha använts för att träna systemet.
Åtgärder för att förhindra läckage av konfidentiell information vid användning av ChatGPT
OpenAI förklarar i sina användarvillkor att data som matas in i systemet kan användas för att förbättra systemet, inklusive för träning, och uppmanar användare att inte skicka känslig information.
I det här kapitlet presenterar vi fyra åtgärder, både hård- och mjukvarumässigt, för att förhindra läckage av konfidentiell information när du använder ChatGPT.
Utveckla riktlinjer för intern användning
När man inför ChatGPT i ett företag är det inte bara viktigt att höja den personliga informationssäkerhetskompetensen och att omkvalificera personalen internt, utan det är också önskvärt att utveckla egna riktlinjer för användningen av ChatGPT.
Den 1 maj 2023 (Reiwa 5), publicerade den allmänna inrättningen Japanese Deep Learning Association (JDLA) en sammanställning av etiska, juridiska och sociala frågor (ELSI) relaterade till ChatGPT och släppte “Riktlinjer för användning av generativ AI”. Även inom akademi, industri och offentlig förvaltning har man börjat överväga att utveckla riktlinjer.
Genom att ta dessa som utgångspunkt och utforma skriftliga riktlinjer för användningen av ChatGPT inom ert företag, kan ni förvänta er att undvika vissa risker.
Referens: Japanese Deep Learning Association (JDLA) | Riktlinjer för användning av generativ AI[ja]
Implementera teknik för att förhindra läckage av konfidentiell information
Som en åtgärd för att förhindra mänskliga fel som kan leda till läckage av konfidentiell information, kan man införa ett system kallat DLP (Data Loss Prevention), vilket förhindrar att specifik data läcker ut. Detta gör det möjligt att förhindra oavsiktlig sändning och kopiering av konfidentiell information.
DLP är en funktion som kontinuerligt övervakar inmatad data och automatiskt identifierar och skyddar konfidentiell och viktig information. Genom att använda DLP kan man, när känslig information upptäcks, få en varning eller blockera åtgärden. Detta gör det möjligt att förhindra informationsläckor inifrån företaget samtidigt som man håller nere administrationskostnaderna. Dock krävs en avancerad förståelse för säkerhetssystem, och det kan vara svårt att smidigt införa detta i företag som saknar en teknisk avdelning.
Övervägande av införande av specialiserade verktyg
Från och med mars 2023 (Reiwa 5) kan ChatGPT, genom användning av API (en förkortning för “Application Programming Interface”, ett gränssnitt som förbinder mjukvara, program och webbtjänster), förhindra att data som skickas till ChatGPT läcker ut.
Data som skickas via API används inte för inlärning eller förbättring, men för att “förebygga missbruk och felanvändning” lagras det i 30 dagar för övervakning innan det raderas enligt de nya lagringsvillkoren. Det bör noteras att datalagringsperioden kan förlängas om det finns en “juridisk begäran”.
Även om ChatGPT är inställd för att inte använda data för inlärning eller förbättring, lagras informationen på servern under en viss tid, vilket teoretiskt innebär att det finns en risk för informationsläckage. Därför är det viktigt att vara mycket försiktig när man matar in konfidentiell information eller personuppgifter.
OpenAI prioriterar dock användarnas integritet och datasäkerhet och har vidtagit strikta säkerhetsåtgärder. För de som vill använda tjänsten på ett säkrare sätt rekommenderas införandet av “Azure OpenAI Service”, ett verktyg som möjliggör avancerade säkerhetsåtgärder.
Verktyget “Azure OpenAI Service”, som är specialiserat för företag, samlar inte in data som matas in via API på ChatGPT. Dessutom, om man ansöker om och blir godkänd för opt-out, kan man i princip avvisa 30 dagars datalagring och övervakning, vilket minskar risken för informationsläckage.
Hur man ställer in ChatGPT för att inte lära sig känslig information som matats in
Som tidigare nämnt lär sig ChatGPT allt innehåll som matas in genom opt-in, men från och med den 25 april 2023 (Reiwa 5) finns det en funktion för att förinställa opt-out.
Som en direkt förebyggande åtgärd, om du vill förhindra att data som matas in i ChatGPT används för lärande och förbättring, måste du göra en “opt-out”-ansökan. ChatGPT har ett Google-formulär för “opt-out”, så det är bäst att se till att du genomför denna procedur. (Ange din e-postadress, organisations-ID och organisationsnamn och skicka in).
Men även i detta fall kommer OpenAI att övervaka och servern kommer att spara inmatade data under en viss period (i princip 30 dagar), vilket inte förändras.
Användarvillkor för ChatGPT
3. Innehåll
(c) Användning av innehåll för att förbättra tjänsten
Vi använder inte innehåll som du tillhandahåller till eller tar emot från vår API (“API-innehåll”) för att utveckla eller förbättra våra tjänster.
Vi kan använda innehåll från andra tjänster än vår API (“Icke-API-innehåll”) för att hjälpa till att utveckla och förbättra våra tjänster.
Om du inte vill att ditt Icke-API-innehåll används för att förbättra tjänsterna, kan du välja bort genom att fylla i detta formulär. Observera att detta i vissa fall kan begränsa vår tjänsts förmåga att bättre hantera ditt specifika användningsfall.
Källa: OpenAI officiella webbplats | Användarvillkor för ChatGPT https://openai.com/policies/terms-of-use
Sammanfattning: Nödvändiga åtgärder för hantering av konfidentiell information vid användning av ChatGPT i affärer
Ovan har vi förklarat riskerna med läckage av konfidentiell information och åtgärder för att hantera dessa risker vid användning av ChatGPT i affärssammanhang, med utgångspunkt i specifika exempel.
I den snabbt utvecklande AI-baserade affärsvärlden, som ChatGPT, är det avgörande att etablera interna riktlinjer, utvärdera lagligheten i affärsmodeller, skapa kontrakt och användarvillkor, skydda immateriella rättigheter och hantera privatlivsfrågor i samarbete med experter.
Relaterad artikel: Vad är Web3-lagstiftning? Vi förklarar även nyckelpunkter för företag som vill engagera sig[ja]
Information om åtgärder från vår byrå
Monolith Advokatbyrå är en juridisk firma med omfattande erfarenhet inom IT, särskilt internet och juridik. AI-verksamhet medför många juridiska risker, och stöd från advokater som är experter på juridiska frågor relaterade till AI är avgörande.
Vår byrå erbjuder avancerat juridiskt stöd för AI-verksamheter, inklusive ChatGPT, genom ett team av AI-kunniga advokater och ingenjörer. Vi tillhandahåller tjänster som upprättande av kontrakt, granskning av affärsmodellers laglighet, skydd av immateriella rättigheter och hantering av integritetsfrågor. Mer information finns i artikeln nedan.
Monolith Advokatbyrås expertisområden: AI-juridik (inklusive ChatGPT m.m.)[ja]
Category: IT
Tag: ITTerms of Use
