ความเสี่ยงของการรั่วไหลข้อมูลจาก ChatGPT คืออะไร? แนะนํา 4 มาตรการที่ควรดําเนินการ

ในปัจจุบัน “ChatGPT” ได้รับความสนใจอย่างมาก ซึ่งเป็น AI ที่สร้างสรรค์ที่สามารถทำงานต่างๆ ได้ตั้งแต่การเขียนบทความ, การเขียนโปรแกรม, การสร้างบทเพลง, ไปจนถึงการวาดภาพ จึงได้รับความสนใจในหลากหลายด้าน

คำว่า GPT ใน ChatGPT ย่อมาจาก “Generative Pre-training Transformer” ซึ่งสามารถเรียนรู้ข้อมูลจำนวนมากไม่ว่าจะเป็นข้อความ, ภาพ, หรือเสียง (ผ่านการขยายฟังก์ชัน) ล่วงหน้า เพื่อทำให้สามารถสนทนาได้อย่างเป็นธรรมชาติเหมือนมนุษย์

ChatGPT สามารถรับมือกับงานที่ซับซ้อนได้ จึงได้รับความสนใจในฐานะเครื่องมือที่สามารถเพิ่มประสิทธิภาพงานและมีความคุ้มค่าทางต้นทุน ปัจจุบันมีการใช้ ChatGPT ในหลายๆ ด้านแล้ว และยังมีการเคลื่อนไหวของบริษัทเทคโนโลยีจำนวนมากที่เริ่มต้นสร้างระบบ AI ของตนเอง

ดังนั้น แม้ว่าเทคโนโลยี AI อย่าง ChatGPT จะมีโอกาสทางธุรกิจมากมาย แต่ก็มีความเสี่ยงที่ถูกชี้ให้เห็น เช่น ปัญหาลิขสิทธิ์, การแพร่กระจายข้อมูลที่ผิด, การรั่วไหลของข้อมูลลับ, ปัญหาความเป็นส่วนตัว, และความเป็นไปได้ที่จะถูกใช้ในการโจมตีทางไซเบอร์

ในบทความนี้ ทนายความจะอธิบายเกี่ยวกับความเสี่ยงของการรั่วไหลของข้อมูลเมื่อใช้ ChatGPT และมาตรการที่ควรดำเนินการ

ความเสี่ยงของการรั่วไหลข้อมูลที่เกี่ยวข้องกับ ChatGPT

ความเสี่ยงในการนำ ChatGPT มาใช้ในองค์กรสามารถแบ่งได้เป็น 4 ประการหลักดังนี้

• ความเสี่ยงด้านความปลอดภัย (การรั่วไหลข้อมูล ความถูกต้อง ความเปราะบาง และความพร้อมใช้งาน)
• ความเสี่ยงของการละเมิดลิขสิทธิ์
• ความเสี่ยงที่อาจถูกใช้ในทางที่ผิด (เช่น การโจมตีทางไซเบอร์)
• ปัญหาทางจริยธรรม

ความเสี่ยงของการรั่วไหลข้อมูลที่เกี่ยวข้องกับ ChatGPT หมายถึง หากมีการป้อนข้อมูลลับสำคัญเข้าไปใน ChatGPT ข้อมูลนั้นอาจถูกเปิดเผยให้พนักงานของบริษัท OpenAI หรือผู้ใช้รายอื่นเห็น หรืออาจถูกใช้เป็นข้อมูลสำหรับการเรียนรู้ของระบบได้

ตามนโยบายการใช้ข้อมูลของ OpenAI หากผู้ใช้ไม่ผ่านการใช้งาน ‘API’ ของ ChatGPT หรือไม่ได้ยื่นคำขอ ‘การเลือกไม่รับ’ (opt-out) ข้อมูลที่ผู้ใช้ป้อนเข้าไปใน ChatGPT จะถูก OpenAI รวบรวมและใช้ประโยชน์ (เพื่อการเรียนรู้) ตามที่ได้กล่าวไว้ข้างต้น (จะอธิบายเพิ่มเติมในภายหลัง)

กรณีที่การใช้งาน ChatGPT นำไปสู่การรั่วไหลของข้อมูล

ในที่นี้เราจะนำเสนอกรณีต่างๆ ที่การใช้งาน ChatGPT ทำให้ข้อมูลส่วนบุคคลที่ได้ลงทะเบียนไว้หรือข้อมูลลับที่ได้ป้อนเข้าไปนั้นรั่วไหลออกมา

กรณีที่ข้อมูลส่วนบุคคลถูกเปิดเผย

วันที่ 24 มีนาคม 2023 (2023年3月24日) OpenAI ได้ประกาศว่า พวกเขาได้ทำการปิด ChatGPT ชั่วคราวในวันที่ 20 มีนาคม เนื่องจากพบบั๊กที่ทำให้ข้อมูลส่วนบุคคลของผู้ใช้บางราย เช่น 4 หลักสุดท้ายของหมายเลขบัตรเครดิต และวันหมดอายุของบัตร ถูกแสดงให้ผู้ใช้รายอื่นเห็น ข้อมูลที่รั่วไหลนี้เกี่ยวข้องกับผู้ใช้บางส่วนที่สมัครใช้บริการแบบ “ChatGPT Plus” ซึ่งเป็นแผนการสมัครใช้งานแบบมีค่าใช้จ่าย (ประมาณ 1.2% ของสมาชิก)

นอกจากนี้ OpenAI ยังได้ประกาศว่า พบบั๊กที่ทำให้ประวัติการสนทนาของผู้ใช้รายอื่นปรากฏในประวัติการสนทนาของตนเองด้วย

ตามมาด้วยเหตุการณ์นี้ วันที่ 31 มีนาคม 2023 (2023年3月31日) หน่วยงานคุ้มครองข้อมูลของอิตาลีได้สั่งให้ OpenAI หยุดการประมวลผลข้อมูลของผู้ใช้ในประเทศชั่วคราว เนื่องจาก ChatGPT ได้เก็บและเรียนรู้ข้อมูลส่วนบุคคลโดยไม่มีพื้นฐานทางกฎหมายที่ชัดเจน หลังจากนั้น OpenAI ได้ทำการบล็อกการเข้าถึง ChatGPT จากอิตาลี การบล็อกนี้ถูกยกเลิกในวันที่ 28 เมษายนของปีเดียวกัน (2023年4月28日) หลังจากที่ OpenAI ได้ปรับปรุงการจัดการข้อมูลส่วนบุคคล

กรณีที่ข้อมูลลับภายในบริษัทถูกเปิดเผย

เดือนกุมภาพันธ์ 2023 (2023年2月) บริษัทด้านความปลอดภัยไซเบอร์ของสหรัฐ Cyberhaven ได้เผยแพร่รายงานเกี่ยวกับการใช้งาน ChatGPT ให้กับลูกค้าบริษัท

ตามรายงานนั้น จากพนักงาน 1.6 ล้านคนของบริษัทที่ใช้ผลิตภัณฑ์ Cyberhaven พบว่ามีพนักงานที่เป็นผู้ใช้ความรู้ 8.2% ที่ได้ใช้ ChatGPT ในที่ทำงานอย่างน้อยหนึ่งครั้ง และจากนั้นมี 3.1% ที่ได้ป้อนข้อมูลลับของบริษัทเข้าไปใน ChatGPT

นอกจากนี้ มีรายงานจากเกาหลีใต้เมื่อวันที่ 30 มีนาคม 2023 (2023年3月30日) โดยสื่อ ‘Economist’ ว่า หน่วยงานหนึ่งภายในบริษัท Samsung Electronics ได้อนุญาตให้ใช้ ChatGPT และเกิดเหตุการณ์ที่มีการป้อนข้อมูลลับเข้าไป

ทางด้าน Samsung Electronics ได้ทำการเตือนความระมัดระวังเกี่ยวกับความปลอดภัยข้อมูลภายในบริษัท แต่ก็ยังมีพนักงานที่ป้อนข้อมูลเช่น โค้ดโปรแกรมหรือเนื้อหาการประชุมเข้าไป

ในสถานการณ์เช่นนี้ มีทั้งประเทศและบริษัทที่กำหนดข้อจำกัดในการใช้งาน ChatGPT ในขณะที่บางประเทศและบริษัทก็มีนโยบายสนับสนุนการใช้งาน การนำ ChatGPT มาใช้ควรพิจารณาอย่างรอบคอบด้วยความเข้าใจในความเสี่ยงของการรั่วไหลของข้อมูล

4 มาตรการป้องกันการรั่วไหลของข้อมูลด้วย ChatGPT

การรั่วไหลของข้อมูลเมื่อเกิดขึ้นแล้ว ไม่เพียงแต่จะนำไปสู่ความรับผิดทางกฎหมายเท่านั้น แต่ยังส่งผลให้เกิดความเสียหายต่อความเชื่อถือและชื่อเสียงอีกด้วย ดังนั้น การจัดการข้อมูลภายในองค์กรและการฝึกอบรมเป็นสิ่งสำคัญที่จะช่วยป้องกันการรั่วไหลของข้อมูล

ในที่นี้ เราจะขอแนะนำ 4 มาตรการป้องกันการรั่วไหลของข้อมูลด้วย ChatGPT

มาตรการที่ 1: การกำหนดกฎการใช้งาน

ขั้นตอนแรกคือการกำหนดท่าทีของบริษัทเกี่ยวกับ ChatGPT และรวมเรื่องที่เกี่ยวข้องกับการใช้ ChatGPT ไว้ในข้อบังคับภายในบริษัท การกำหนดกฎที่ชัดเจน เช่น ห้ามป้อนข้อมูลส่วนบุคคลและข้อมูลลับเป็นสิ่งสำคัญในการดำเนินการ

ในขณะนั้น การกำหนดแนวทางการใช้ ChatGPT ของบริษัทเป็นสิ่งที่ควรทำ นอกจากนี้ ควรรวมเรื่องที่เกี่ยวข้องกับการใช้ ChatGPT ไว้ในสัญญากับภายนอกด้วย

วันที่ 1 พฤษภาคม 2023 (2023年5月1日) สมาคมการเรียนรู้เชิงลึกของญี่ปุ่น (Japanese Deep Learning Association – JDLA) ได้รวบรวมประเด็นทางจริยธรรม กฎหมาย และสังคม (ELSI) เกี่ยวกับ ChatGPT และเผยแพร่ “แนวทางการใช้ AI ที่สร้างขึ้น” ออกมา

ในแต่ละภาคส่วนของอุตสาหกรรม การศึกษา และภาครัฐ ก็ได้เริ่มต้นการพิจารณาการกำหนดแนวทาง โดยอ้างอิงจากเอกสารนี้ การกำหนดแนวทางการใช้ ChatGPT ที่ชัดเจนสำหรับบริษัทของคุณสามารถช่วยลดความเสี่ยงได้

อ้างอิง: สมาคมการเรียนรู้เชิงลึกของญี่ปุ่น (Japanese Deep Learning Association – JDLA) | แนวทางการใช้ AI ที่สร้างขึ้น[ja]

อย่างไรก็ตาม แม้ว่าจะมีการกำหนดแนวทางแล้ว หากไม่มีการทำให้ทราบกันอย่างแพร่หลายและไม่มีการปฏิบัติอย่างเคร่งครัด แนวทางเหล่านั้นก็จะไม่มีความหมาย ดังนั้น การมีแนวทางเพียงอย่างเดียวจึงไม่เพียงพอที่จะเป็นมาตรการป้องกัน

มาตรการที่ 2: จัดระบบเพื่อป้องกันการรั่วไหลของข้อมูล

เพื่อป้องกันข้อผิดพลาดจากมนุษย์, การนำระบบ DLP (Data Loss Prevention) ซึ่งเป็นระบบที่ออกแบบมาเพื่อป้องกันการรั่วไหลของข้อมูลที่เฉพาะเจาะจง สามารถช่วยป้องกันการส่งหรือคัดลอกข้อมูลลับได้

DLP เป็นระบบที่ไม่ได้เฝ้าติดตามผู้ใช้งาน แต่เฝ้าติดตามข้อมูลอย่างต่อเนื่อง โดยสามารถระบุและปกป้องข้อมูลลับหรือข้อมูลสำคัญได้อย่างอัตโนมัติ การใช้ DLP ช่วยให้เมื่อตรวจพบข้อมูลที่เป็นความลับ สามารถแจ้งเตือนหรือบล็อกการดำเนินการได้

การใช้ระบบนี้สามารถช่วยป้องกันการรั่วไหลของข้อมูลจากภายในองค์กรได้อย่างแน่นอน พร้อมทั้งควบคุมต้นทุนการจัดการได้ แต่ต้องการความเข้าใจที่ลึกซึ้งเกี่ยวกับระบบความปลอดภัย และอาจจะเป็นเรื่องยากสำหรับบริษัทที่ไม่มีแผนกเทคนิคในการนำระบบนี้ไปใช้งานได้อย่างราบรื่น

มาตรการที่ 3: การใช้เครื่องมือป้องกันการรั่วไหลของข้อมูล

ตามที่ได้กล่าวไว้ข้างต้น ในฐานะมาตรการป้องกันล่วงหน้าโดยตรง คุณสามารถยื่นขอ “ออปต์เอาท์” เพื่อปฏิเสธไม่ให้ ChatGPT รวบรวมข้อมูลที่คุณป้อนเข้าไปได้

คุณสามารถยื่นขอ “ออปต์เอาท์” จากหน้าตั้งค่าของ ChatGPT ได้ อย่างไรก็ตาม หากคุณยื่นขอออปต์เอาท์ ประวัติพรอมป์ต์ของคุณจะไม่ถูกเก็บไว้ ซึ่งอาจทำให้หลายคนรู้สึกไม่สะดวก

นอกเหนือจากการตั้งค่าออปต์เอาท์แล้ว วิธีอื่นที่สามารถทำได้คือการนำเครื่องมือที่ใช้ “API” ของ ChatGPT มาใช้งาน

“API (Application Programming Interface)” คือ อินเตอร์เฟซที่ OpenAI เปิดให้บริการ เพื่อให้สามารถรวม ChatGPT เข้ากับบริการของบริษัทหรือเครื่องมือภายนอกได้ OpenAI ได้ระบุชัดเจนว่าข้อมูลที่ป้อนเข้าและออกผ่าน “API” ของ ChatGPT จะไม่ถูกใช้ประโยชน์

ข้อนี้ได้ถูกระบุไว้อย่างชัดเจนในข้อกำหนดการใช้งานของ ChatGPT ตามข้อกำหนดการใช้งาน:

3.เนื้อหา

(c) การใช้เนื้อหาเพื่อปรับปรุงบริการ

We do not use Content that you provide to or receive from our API (“API Content”) to develop or improve our Services. 

เราไม่ใช้เนื้อหาที่คุณให้ไว้หรือรับจาก API ของเรา (“เนื้อหา API”) เพื่อพัฒนาหรือปรับปรุงบริการของเรา 

We may use Content from Services other than our API (“Non-API Content”) to help develop and improve our Services.

เราอาจใช้เนื้อหาจากบริการอื่นที่ไม่ใช่ API ของเรา (“เนื้อหาที่ไม่ใช่ API”) เพื่อช่วยในการพัฒนาและปรับปรุงบริการของเรา

 If you do not want your Non-API Content used to improve Services, you can opt out by filling out this form. Please note that in some cases this may limit the ability of our Services to better address your specific use case.

หากคุณไม่ต้องการให้เนื้อหาที่ไม่ใช่ API ของคุณถูกใช้เพื่อปรับปรุงบริการ คุณสามารถเลือกไม่ใช้โดยการกรอก แบบฟอร์มนี้ โปรดทราบว่าในบางกรณี อาจจำกัดความสามารถของบริการของเราในการตอบสนองต่อกรณีการใช้งานเฉพาะของคุณได้ดียิ่งขึ้น

อ้างอิง：เว็บไซต์อย่างเป็นทางการของ OpenAI｜ข้อกำหนดการใช้งาน ChatGPT

มาตรการที่ 4: การจัดการอบรมเพิ่มทักษะด้านไอทีภายในองค์กร

นอกเหนือจากมาตรการที่ได้แนะนำไปแล้ว การจัดการอบรมภายในองค์กรเพื่อเพิ่มความรู้ด้านความปลอดภัยของพนักงานก็เป็นสิ่งสำคัญที่ไม่ควรมองข้าม

ตัวอย่างจากบริษัท ซัมซุง อิเล็กทรอนิกส์ แม้ว่าจะมีการเตือนให้ระวังเกี่ยวกับความปลอดภัยของข้อมูลภายในองค์กร แต่การที่พนักงานป้อนข้อมูลลับเข้าไปก็ทำให้เกิดการรั่วไหลของข้อมูล ดังนั้น การจัดการอบรมเพื่อเพิ่มความรู้เกี่ยวกับ ChatGPT และทักษะด้านไอทีภายในองค์กรจึงเป็นสิ่งที่ควรทำเพื่อป้องกันปัญหานี้

การรับมือเมื่อเกิดการรั่วไหลของข้อมูลผ่าน ChatGPT

หากเกิดการรั่วไหลของข้อมูลขึ้น การดำเนินการสืบสวนเพื่อหาข้อเท็จจริงและการดำเนินมาตรการต่างๆ อย่างรวดเร็วนั้นมีความสำคัญอย่างยิ่ง

ในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล จะต้องรายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ ยังจำเป็นต้องแจ้งให้ผู้ที่เป็นเจ้าของข้อมูลทราบถึงเหตุการณ์ที่เกิดขึ้นด้วย หากการรั่วไหลของข้อมูลส่วนบุคคลนั้นทำให้เกิดการละเมิดสิทธิหรือผลประโยชน์ของบุคคลอื่น อาจจะต้องรับผิดชอบทางแพ่งในการชดใช้ค่าเสียหาย นอกจากนี้ หากมีการขโมยหรือให้ข้อมูลส่วนบุคคลอย่างไม่ชอบด้วยกฎหมายเพื่อจุดประสงค์ที่ผิดกฎหมาย ก็อาจจะต้องรับผิดทางอาญาด้วย

ในกรณีที่เกิดการรั่วไหลของข้อมูลทางการค้าหรือข้อมูลทางเทคนิค ตามกฎหมายป้องกันการแข่งขันทางการค้าที่ไม่เป็นธรรม สามารถขอให้ผู้ที่ได้รับข้อมูลดำเนินการลบหรือดำเนินมาตรการอื่นๆ ได้ นอกจากนี้ หากการรั่วไหลของข้อมูลทางการค้าหรือข้อมูลทางเทคนิคทำให้บุคคลอื่นได้รับประโยชน์อย่างไม่เป็นธรรม อาจจะต้องรับผิดชอบทางแพ่งในการชดใช้ค่าเสียหาย และหากมีการได้มาหรือใช้ข้อมูลทางการค้าหรือข้อมูลทางเทคนิคโดยวิธีการที่ไม่ชอบด้วยกฎหมาย ก็อาจจะต้องรับผิดทางอาญาด้วย

หากมีการรั่วไหลข้อมูลโดยละเมิดหน้าที่ในการรักษาความลับของการทำงาน ตามกฎหมายอาญาหรือกฎหมายอื่นๆ อาจจะต้องรับผิดทางอาญา นอกจากนี้ หากการรั่วไหลข้อมูลดังกล่าวทำให้บุคคลอื่นเกิดความเสียหาย ก็อาจจะต้องรับผิดชอบทางแพ่งในการชดใช้ค่าเสียหายด้วย

ดังนั้น จำเป็นต้องดำเนินการอย่างรวดเร็วตามเนื้อหาของข้อมูลที่รั่วไหล และสำคัญที่จะต้องมีการสร้างระบบเพื่อเตรียมพร้อมสำหรับการรับมือกับเหตุการณ์เช่นนี้ล่วงหน้า

บทความที่เกี่ยวข้อง：การเปิดเผยข้อมูลเมื่อเกิดการรั่วไหลของข้อมูลในองค์กร[ja]

บทความที่เกี่ยวข้อง：เมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคล องค์กรควรดำเนินการอย่างไร? การอธิบายมาตรการทางการบริหารที่ควรดำเนินการ[ja]

สรุป: การสร้างระบบเพื่อเตรียมพร้อมสำหรับความเสี่ยงของการรั่วไหลข้อมูลจาก ChatGPT

ในที่นี้ เราได้ทำการอธิบายเกี่ยวกับความเสี่ยงของการรั่วไหลข้อมูลจาก ChatGPT และมาตรการที่ควรดำเนินการเพื่อเตรียมพร้อมสำหรับความเสี่ยงดังกล่าว ในธุรกิจ AI ที่ใช้ ChatGPT ซึ่งกำลังพัฒนาอย่างรวดเร็วนั้น ขอแนะนำให้ปรึกษากับทนายความที่มีประสบการณ์และเชี่ยวชาญด้านความเสี่ยงทางกฎหมาย เพื่อจัดเตรียมระบบภายในองค์กรให้พร้อมรับมือกับความเสี่ยงเหล่านั้นล่วงหน้า

ไม่เพียงแต่ความเสี่ยงของการรั่วไหลข้อมูลเท่านั้น แต่หากคุณได้ร่วมมือกับทนายความที่มีความรู้และประสบการณ์ทั้งในด้าน AI และกฎหมาย คุณจะได้รับความอุ่นใจในหลายๆ ด้าน ไม่ว่าจะเป็นการตรวจสอบความถูกต้องตามกฎหมายของโมเดลธุรกิจที่ใช้ AI, การสร้างสัญญาและเงื่อนไขการใช้งาน, การปกป้องสิทธิ์ทรัพย์สินทางปัญญา และการจัดการกับความเป็นส่วนตัว

แนะนำมาตรการของเรา

ที่สำนักงานกฎหมายมอนอลิธ เราเป็นผู้เชี่ยวชาญด้าน IT โดยเฉพาะอย่างยิ่งกฎหมายที่เกี่ยวข้องกับอินเทอร์เน็ต ธุรกิจ AI มีความเสี่ยงทางกฎหมายมากมาย และการสนับสนุนจากทนายความที่มีความรู้ลึกซึ้งเกี่ยวกับปัญหาทางกฎหมายของ AI นั้นจำเป็นอย่างยิ่ง สำนักงานของเรามีทีมทนายความที่เชี่ยวชาญด้าน AI ร่วมกับวิศวกรและผู้เชี่ยวชาญอื่นๆ เพื่อให้การสนับสนุนทางกฎหมายที่มีคุณภาพสูงสำหรับธุรกิจ AI รวมถึง ChatGPT ไม่ว่าจะเป็นการจัดทำสัญญา การตรวจสอบความถูกต้องตามกฎหมายของโมเดลธุรกิจ การปกป้องสิทธิ์ทรัพย์สินทางปัญญา และการจัดการกับปัญหาความเป็นส่วนตัว เราได้ระบุรายละเอียดไว้ในบทความด้านล่างนี้

สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมาย AI (เช่น ChatGPT ฯลฯ)[ja]