Які ризики пов'язані з впровадженням корпоративного ChatGPT? Роз'яснення прикладів витоку конфіденційної інформації та заходів протидії

Впровадження ChatGPT у корпоративному середовищі поступово набирає обертів. Хоча увага до його корисності зростає, існує кілька моментів, на які потрібно звернути увагу. Одним з них є те, що не можна вводити конфіденційну інформацію в ChatGPT. Насправді, за кордоном вже були випадки, коли введення конфіденційної інформації призвело до серйозних витоків корпоративних секретів.

У цій статті адвокат розгляне використання ChatGPT у бізнесі, яке постійно еволюціонує, зосереджуючись на ризиках витоку конфіденційної інформації, і надасть приклади та рекомендації щодо необхідних заходів безпеки.

Чому не слід вводити конфіденційну інформацію в ChatGPT

ChatGPT, хоч і є зручним інструментом, створюється на основі вивчення великих даних та даних користувачів в Інтернеті, тому без вжиття відповідних заходів існує ризик витоку введеної конфіденційної інформації.

Ми детальніше розповімо про заходи протидії ризику витоку конфіденційної інформації пізніше, але спершу пояснимо інші ризики, пов’язані з використанням ChatGPT, які не стосуються витоку конфіденційної інформації.

Ризики, які несуть підприємства при використанні ChatGPT, окрім витоку конфіденційної інформації

Наразі багато компаній перебувають на етапі впровадження та тестування ChatGPT. Тому необхідно усвідомлено оцінити ризики перед тим, як прийняти рішення про використання цього інструменту в бізнесі.

Окрім ризику витоку конфіденційної інформації (включаючи особисті дані), при використанні ChatGPT підприємства можуть зіткнутися з такими безпековими ризиками:

• Ризик достовірності виведеної інформації
• Ризик порушення авторських прав на інформацію, що вводиться та виводиться

Далі ми детальніше розглянемо кожен з цих ризиків.

Виведена інформація може бути недостовірною

Остання версія GPT-4, яка була опублікована 14 березня 2023 року, отримала функцію пошуку, що дозволяє надавати найсвіжішу інформацію. Однак ChatGPT видає відповіді так, ніби вони є абсолютною правдою, але їх достовірність не гарантована. Відповіді, які генерує ChatGPT, не обов’язково базуються на точності інформації з даних для навчання, а є лише текстами, які визначені як найбільш імовірні. Тому перед використанням результатів виведення необхідно провести перевірку фактів. Якщо компанія поширить неправдиву інформацію, це може підірвати її власну репутацію.

Юридичні ризики, такі як порушення авторських прав

Оцінка порушення авторських прав у ChatGPT відрізняється на етапах «розробки AI та навчання» та «генерації та використання». Оскільки дії з використання творів на кожному з етапів різні, то й статті закону про авторське право також відрізняються. Тому необхідно розглядати ці етапи окремо.

Довідка: Агентство культурних справ｜Семінар з авторського права 2023 року (Reiwa 5) «AI та авторське право»[ja]

У січні 2019 року (Heisei 31) було введено в дію змінений закон про авторське право, який у статті 30-4 включає новий пункт про «етап розробки AI та навчання». Використання творів, яке не має на меті сприйняття виражених у них ідей чи емоцій, наприклад для аналізу інформації з метою розробки AI, може здійснюватися без дозволу власника авторських прав.

З іншого боку, якщо вироби, створені за допомогою ChatGPT, мають схожість або залежність (модифікацію) від авторських творів, це може бути розцінено як порушення авторських прав. Тому перед публікацією необхідно перевірити правовласників інформації, на яку посилався ChatGPT, та відсутність схожого змісту у створеному матеріалі. Крім того, при цитуванні творів необхідно вказувати джерело (обмеження прав), а при перепублікації отримувати дозвіл від власника авторських прав або належним чином обробляти матеріал.

У разі звинувачення у порушенні авторських прав з боку правовласника, може виникнути цивільна відповідальність (компенсація збитків, моральна шкода, заборона використання, відновлення репутації тощо) або кримінальна відповідальність (приватний обвинувачений злочин).

Випадки, коли введення конфіденційної інформації в ChatGPT призвело до проблем

30 березня 2023 року корейське медіа «EConomist» повідомило, що після того, як у підрозділі напівпровідників компанії Samsung Electronics дозволили використання ChatGPT, сталися три випадки введення конфіденційної інформації.

З боку Samsung Electronics, незважаючи на проведення внутрішньої кампанії з підвищення обізнаності про інформаційну безпеку, були випадки, коли співробітники відправляли вихідний код для запиту на внесення змін до програми (у двох випадках) або передавали вміст засідань для створення протоколів.

Після цих інцидентів компанія вжила невідкладних заходів, обмеживши обсяг даних, які можна завантажувати в ChatGPT за одним запитом. Крім того, вона заявила, що у разі повторення подібних випадків можливе повне блокування доступу до сервісу.

Також Walmart та Amazon попереджають своїх співробітників не ділитися конфіденційною інформацією через чат-боти. Юрист Amazon зазначив, що вже були випадки, коли відповіді ChatGPT нагадували внутрішні дані Amazon, що може свідчити про їх використання у процесі навчання.

Заходи щодо запобігання витоку конфіденційної інформації при використанні ChatGPT

Компанія OpenAI у своїх умовах використання та інших документах пояснює, що введені дані можуть використовуватися для поліпшення системи, зокрема для навчання, тому вона закликає не передавати чутливу інформацію.

У цьому розділі ми представимо чотири заходи, які допоможуть запобігти витоку конфіденційної інформації при використанні ChatGPT, з урахуванням як апаратних, так і програмних аспектів.

Розробка внутрішніх корпоративних вказівок

При впровадженні ChatGPT у корпоративне середовище важливо не лише підвищити рівень інформаційної безпеки та грамотності співробітників і здійснити їх перенавчання, але й розробити власні корпоративні вказівки щодо використання ChatGPT.

1 травня 2023 року (Рейва 5 рік) Генеральна асоціація японського діплернінгу (JDLA) опублікувала “Вказівки щодо використання генеративного AI”, у яких були викладені етичні, правові та соціальні питання (ELSI), пов’язані з ChatGPT. Розробка вказівок також розглядається у різних сферах, включаючи промисловість, академічні кола та урядові інституції.

Користуючись цими рекомендаціями як основою, розробка чітких корпоративних вказівок щодо використання ChatGPT може допомогти уникнути певних ризиків.

Джерело: Генеральна асоціація японського діплернінгу (JDLA) | Вказівки щодо використання генеративного AI[ja]

Впровадження технологій, щоб запобігти витоку конфіденційної інформації

Як захід проти витоку конфіденційної інформації через людські помилки, можна впровадити систему, відому як DLP (Data Loss Prevention), яка запобігає передачі та копіюванню конфіденційної інформації шляхом запобігання витоку певних даних.

DLP – це функція, яка постійно моніторить введені дані, автоматично виявляє та захищає конфіденційну інформацію та важливі дані. Застосування DLP дозволяє, у разі виявлення секретної інформації, надсилати сповіщення про тривогу або блокувати операції. Це дозволяє надійно запобігати витоку інформації зсередини, утримуючи витрати на управління на низькому рівні, однак для цього потрібне глибоке розуміння систем безпеки, і гладке впровадження в компаніях без технічного відділу може бути складним.

Розгляд впровадження спеціалізованого інструменту

З березня 2023 року ChatGPT надає можливість запобігання витоку даних, які надсилаються до ChatGPT, за допомогою API (скорочення від “Application Programming Interface”, інтерфейс, що з’єднує програмне забезпечення, програми та веб-сервіси).

Дані, надіслані через API, не використовуються для навчання чи вдосконалення, але зберігаються протягом 30 днів для “моніторингу з метою запобігання неправомірному використанню або зловживанню”, після чого вони видаляються згідно з новими правилами зберігання. Втім, у випадку “юридичних вимог” термін зберігання даних може бути продовжений.

Таким чином, навіть якщо налаштувати ChatGPT так, щоб він не використовувався для навчання чи вдосконалення, дані все одно зберігаються на сервері протягом певного часу, теоретично створюючи ризик витоку інформації. Тому при введенні конфіденційної інформації або особистих даних необхідно дотримуватися високої обережності.

Проте, OpenAI приділяє велику увагу конфіденційності користувачів та безпеці даних, вживаючи суворі заходи безпеки. Для більш безпечного використання рекомендується впровадження інструменту з високим рівнем захисту, такого як “Azure OpenAI Service”.

Інструмент, спеціалізований для корпоративних користувачів, “Azure OpenAI Service”, не збирає дані, введені через API у ChatGPT. Крім того, якщо подати запит на відмову та отримати схвалення, можна відмовитися від зберігання та моніторингу введених даних протягом 30 днів за замовчуванням, тим самим уникаючи ризику витоку інформації.

Як налаштувати ChatGPT, щоб він не вчився на введеній конфіденційній інформації

Як уже зазначалося, ChatGPT має механізм, який дозволяє йому вчитися на всьому контенті, що надходить на опт-ін основі, тому з 25 квітня 2023 року передбачено можливість заздалегідь налаштувати опт-аут.

Як безпосередній захід, якщо ви не бажаєте, щоб дані, введені у ChatGPT, використовувалися для навчання чи вдосконалення, необхідно подати заявку на опт-аут. Для цього в ChatGPT передбачена спеціальна форма Google, тому варто обов’язково пройти цю процедуру. (Введіть та надішліть електронну адресу, ID організації та назву організації)

Однак, навіть у цьому випадку, протягом певного періоду (зазвичай 30 днів) OpenAI все одно здійснюватиме моніторинг, і введені дані будуть зберігатися на сервері.

Умови використання ChatGPT

3. Контент

(c) Використання контенту для покращення сервісу

Ми не використовуємо контент, який ви надаєте або отримуєте через наш API («Контент API»), для розробки чи вдосконалення наших сервісів.

Ми можемо використовувати контент з інших сервісів, крім нашого API («Контент не-API»), щоб допомогти розробити та вдосконалити наші сервіси.

Якщо ви не бажаєте, щоб ваш Контент не-API використовувався для покращення сервісів, ви можете відмовитися, заповнивши цю форму[en]. Зверніть увагу, що в деяких випадках це може обмежити здатність наших сервісів краще відповідати на ваш конкретний випадок використання.

Цитата: Офіційний сайт OpenAI | Умови використання ChatGPT https://openai.com/policies/terms-of-use[en]

Висновок: Використання ChatGPT у бізнесі вимагає заходів щодо обробки конфіденційної інформації

Вище ми розглянули ризики витоку конфіденційної інформації та заходи щодо їх запобігання при використанні ChatGPT у бізнесі, опираючись на конкретні приклади.

У сфері бізнесу з AI, який стрімко розвивається, як-от ChatGPT, необхідно розробляти внутрішні корпоративні правила, перевіряти законність бізнес-моделей, створювати договори та правила користування, захищати інтелектуальну власність та забезпечувати приватність. У цьому не можна обійтися без співпраці з фахівцями.

Пов’язана стаття: Що таке закони Web3? Також роз’яснюємо ключові моменти для компаній, які входять у цю сферу[ja]

Заходи, що пропонує наша юридична фірма

Юридична фірма “Моноліт” спеціалізується на IT, зокрема на взаємодії інтернету та права, маючи значний досвід у обох сферах. У сфері AI-бізнесу існує багато юридичних ризиків, тому підтримка адвокатів, які спеціалізуються на правових питаннях AI, є абсолютно необхідною.

Наша фірма пропонує висококваліфіковану юридичну підтримку для AI-бізнесу, включаючи ChatGPT, завдяки команді адвокатів, які розбираються в AI, та інженерів. Ми надаємо послуги зі створення контрактів, оцінки законності бізнес-моделей, захисту інтелектуальної власності, а також з питань приватності. Детальніше про наші послуги ви можете прочитати у статті нижче.

Сфери практики юридичної фірми “Моноліт”: Юридичні послуги в галузі AI (включаючи ChatGPT тощо)[ja]