Які ризики витоку інформації в ChatGPT? Представляємо 4 заходи, які слід вжити

Останнім часом здобуває велику увагу “ChatGPT”. Цей генеративний штучний інтелект привертає увагу у різних сферах завдяки своїй здатності створювати тексти, програмувати, генерувати ноти та малювати.

Абревіатура GPT у назві ChatGPT означає “Generative Pre-training Transformer”, що передбачає попереднє навчання на великій кількості текстових, зображувальних та аудіо даних (з розширеними функціями), що дозволяє вести природній діалог подібно до людини.

ChatGPT здатний справлятися зі складними завданнями, тому він висвітлюється як інструмент, що може забезпечити ефективність роботи та високу вартісну ефективність. Вже зараз ChatGPT активно використовується у різних сферах, і багато технологічних компаній розпочинають рух до створення власних AI систем.

Таким чином, технології штучного інтелекту, включаючи ChatGPT, відкривають багато бізнес-можливостей, але водночас існують потенційні ризики, такі як проблеми з авторським правом, поширення неправдивої інформації, витік конфіденційної інформації, проблеми з приватністю та можливість зловживання у кібератаках.

У цій статті адвокат роз’яснить ризики витоку інформації при використанні ChatGPT та рекомендуватиме заходи, які слід вжити.

Ризики витоку інформації, пов’язані з ChatGPT

Основні ризики впровадження ChatGPT у компанії можна звести до наступних чотирьох пунктів:

• Безпекові ризики (витік інформації, точність, вразливість, доступність тощо)
• Ризики порушення авторських прав
• Ризики зловживання (наприклад, кібератаки)
• Етичні виклики

Ризик витоку інформації, пов’язаний з ChatGPT, полягає в тому, що якщо ви введете конфіденційну інформацію в ChatGPT, існує ризик, що ця інформація може бути побачена працівниками компанії OpenAI або іншими користувачами, а також використана як дані для навчання.

Згідно з політикою використання даних OpenAI, якщо користувач не використовує “API” ChatGPT або не подає запит на “опт-аут”, дані, введені користувачем у ChatGPT, можуть бути зібрані та використані (для навчання) OpenAI (про це буде детальніше розказано нижче).

Випадки витоку інформації через використання ChatGPT

Тут ми представимо випадки, коли через використання ChatGPT відбувся витік зареєстрованої особистої інформації та введеної конфіденційної інформації.

Випадки витоку особистої інформації

24 березня 2023 року компанія OpenAI оголосила, що 20 березня ChatGPT був короткочасно відключений через помилку, яка призвела до відображення особистої інформації деяких користувачів, включаючи останні чотири цифри номера кредитної картки та дату її закінчення, іншим користувачам. Витік особистої інформації стосувався частини передплатників платного плану “ChatGPT Plus” (близько 1.2% від загальної кількості членів).

Також було оголошено про існування помилки, яка призводила до відображення чат-історії інших користувачів у чат-історії.

У відповідь на це, 31 березня 2023 року італійський орган з захисту даних виніс OpenAI припис про тимчасове обмеження обробки даних користувачів з Італії, оскільки ChatGPT збирав і зберігав особисті дані для навчання без юридичного підґрунтя. OpenAI відреагувала на це, заблокувавши доступ до ChatGPT з Італії. Блокування було знято 28 квітня того ж року після того, як OpenAI покращила обробку особистих даних.

Випадки витоку внутрішньої конфіденційної інформації

У лютому 2023 року американська кібербезпека Cyberhaven опублікувала звіт для своїх клієнтів щодо використання ChatGPT.

Згідно з цим звітом, з 1.6 мільйона працівників клієнтських компаній, які використовують продукти Cyberhaven, 8.2% знаннєвих працівників хоча б раз використовували ChatGPT на роботі, і з них 3.1% вводили корпоративну конфіденційну інформацію в ChatGPT.

Також є випадок з Південної Кореї, де 30 березня 2023 року корейське медіа “Economist” повідомило, що після дозволу використання ChatGPT у певному підрозділі Samsung Electronics, стався інцидент з введенням конфіденційної інформації.

З боку Samsung Electronics були зроблені застереження щодо внутрішньої інформаційної безпеки, однак деякі співробітники ввели програмний код та вміст зустрічей.

У таких умовах існують країни та компанії, які обмежують використання ChatGPT, тоді як інші виступають з рекомендаціями щодо його впровадження. При впровадженні ChatGPT необхідно з розумінням оцінити ризики витоку інформації.

Чотири заходи для запобігання витоку інформації через ChatGPT

Витік інформації може призвести не лише до юридичної відповідальності, але й до значних втрат довіри та репутації. Тому важливо забезпечити належне управління інформацією в компанії та проводити відповідні навчання.

Далі ми хочемо представити чотири заходи, які допоможуть запобігти витоку інформації через ChatGPT.

Захід 1: Розробка правил використання

Спочатку визначте ставлення вашої компанії до ChatGPT та включіть положення про використання ChatGPT до внутрішніх правил компанії. Важливо встановити чіткі правила, такі як не вводити особисту та конфіденційну інформацію, та дотримуватися їх у процесі експлуатації.

У цьому контексті бажано розробити власні корпоративні настанови щодо використання ChatGPT. Також слід включити положення про використання ChatGPT до договорів із зовнішніми сторонами.

1 травня 2023 року (2023) Громадська організація Японська асоціація глибокого навчання (JDLA) зібрала етичні, правові та соціальні питання (ELSI), пов’язані з ChatGPT, та опублікувала “Керівництво з використання генеративного AI”.

У різних сферах, включаючи промисловість, академічні кола та урядові установи, також розпочато розробку настанов. Використовуючи це як орієнтир, можна розробити чіткі корпоративні правила використання ChatGPT, що дозволить очікувати певного рівня уникнення ризиків.

Джерело: Громадська організація Японська асоціація глибокого навчання (JDLA) | Керівництво з використання генеративного AI[ja]

Однак, якщо розроблені настанови не стануть загальновідомими та не будуть дотримуватися, вони не матимуть значення. Самі по собі настанови не є достатніми як захід.

Захід 2: Створення системи для запобігання витоку інформації

Як захід проти помилок людського фактора, можливо запобігти передачі та копіюванню конфіденційної інформації шляхом впровадження системи DLP (Data Loss Prevention), яка призначена для запобігання витоку певних даних.

DLP — це система, яка зосереджена не на користувачах, а на постійному моніторингу даних, автоматично виявляє та захищає конфіденційну інформацію та важливі дані. Застосування DLP дозволяє, у разі виявлення секретної інформації, надсилати сповіщення про тривогу або блокувати операції.

Це дозволяє надійно запобігати витоку інформації зсередини компанії, утримуючи витрати на управління на низькому рівні, однак вимагає глибокого розуміння систем безпеки та може бути складним для впровадження в компаніях без технічного відділу.

Захід 3: Використання інструментів для запобігання витоку інформації

Як уже зазначалося, одним із прямих попередніх заходів є можливість подати заявку на «опт-аут», щоб відмовитися від збору даних, які ви вводите в ChatGPT.

Ви можете подати заявку на «опт-аут» через налаштування ChatGPT. Однак, якщо ви скористаєтеся опцією «опт-аут», історія ваших запитів не зберігатиметься, що може бути незручним для багатьох користувачів.

Окрім налаштування «опт-аут», існує також можливість використання інструментів, які базуються на «API» ChatGPT.

«API (Application Programming Interface)» – це інтерфейс, який OpenAI надає для інтеграції ChatGPT у власні сервіси чи зовнішні інструменти. OpenAI заявляє, що інформація, яка вводиться чи виводиться через «API» ChatGPT, не використовується ними.

Це також чітко вказано у умовах використання ChatGPT:

3. Контент

(c) Використання контенту для покращення сервісу

We do not use Content that you provide to or receive from our API (“API Content”) to develop or improve our Services. 

Ми не використовуємо контент, який ви надаєте або отримуєте через наш API («Контент API»), для розробки чи покращення наших сервісів. 

We may use Content from Services other than our API (“Non-API Content”) to help develop and improve our Services.

Ми можемо використовувати контент з сервісів, що не є API («Контент, що не є API»), для допомоги у розробці та покращенні наших сервісів.

 If you do not want your Non-API Content used to improve Services, you can opt out by filling out this form[en]. Please note that in some cases this may limit the ability of our Services to better address your specific use case.

Якщо ви не бажаєте, щоб ваш контент, що не є API, використовувався для покращення сервісів, ви можете відмовитися, заповнивши цю форму[en]. Зверніть увагу, що в деяких випадках це може обмежити здатність наших сервісів краще відповідати на ваш конкретний випадок використання.

Цитата: Офіційний сайт OpenAI｜Умови використання ChatGPT[en]

Захід 4: Проведення внутрішнього навчання з IT-грамотності

Окрім заходів, які ми вже розглянули, важливим є також підвищення рівня безпекової грамотності співробітників шляхом проведення внутрішніх навчань.

Як показує приклад компанії Samsung Electronics, навіть при наявності внутрішніх застережень щодо інформаційної безпеки, введення конфіденційної інформації може призвести до її витоку. Тому, крім захисту на системному рівні, бажано проводити внутрішнє навчання знань про ChatGPT та IT-грамотності.

Як діяти у випадку витоку інформації через ChatGPT

У разі виникнення витоку інформації, надзвичайно важливо швидко провести розслідування обставин та вжити відповідних заходів.

У випадку витоку персональних даних, згідно з Законом про захист персональних даних, обов’язково потрібно повідомити про це Комісію з захисту персональних даних. Також необхідно повідомити особу, чиї дані витекли. Якщо витік персональних даних порушує права або інтереси іншої сторони, може виникнути цивільна відповідальність за збитки. Крім того, у випадку крадіжки або надання персональних даних з неправомірною метою, може виникнути кримінальна відповідальність.

У разі витоку комерційної таємниці або технічної інформації, згідно з Законом про запобігання недобросовісній конкуренції, можна вимагати вжиття заходів, таких як запит на видалення інформації від того, хто її отримав. Якщо витік комерційної таємниці або технічної інформації призводить до неправомірної вигоди для іншої сторони, може виникнути цивільна відповідальність за збитки. Крім того, у випадку неправомірного отримання або використання комерційної таємниці або технічної інформації, може виникнути кримінальна відповідальність.

Якщо інформація була розголошена з порушенням службової таємниці, відповідно до Кримінального кодексу або інших законів, може виникнути кримінальна відповідальність. Також, якщо внаслідок порушення службової таємниці іншій стороні було завдано збитків, може виникнути цивільна відповідальність за збитки.

Отже, необхідно швидко реагувати відповідно до змісту витеклої інформації, і важливо заздалегідь побудувати систему для такої реакції.

Пов’язані статті: Що повинні робити компанії при витоку інформації[ja]

Пов’язані статті: Що робити, якщо стався витік персональних даних? Роз’яснення адміністративних заходів для компаній[ja]

Підсумок: Створення системи готовності до ризиків витоку інформації ChatGPT

Тут ми розглянули ризики витоку інформації, пов’язані з ChatGPT, та заходи, які слід вжити. У сфері AI-бізнесу, який швидко розвивається з використанням таких технологій, як ChatGPT, ми рекомендуємо звернутися до досвідченого адвоката, який добре обізнаний з юридичними ризиками, та заздалегідь підготувати внутрішню систему вашої компанії для відповіді на ці ризики.

Не тільки у випадку витоку інформації, але й для оцінки законності бізнес-моделей, що використовують AI, створення контрактів та умов використання, захисту інтелектуальної власності та забезпечення приватності, ви можете бути спокійними, співпрацюючи з адвокатами, які мають знання та досвід у сферах як AI, так і права.

Заходи, що пропонує наша юридична фірма

Юридична фірма “Моноліт” має багатий досвід у сфері IT, зокрема у питаннях, що стосуються інтернету та права. Бізнес, пов’язаний з штучним інтелектом (AI), супроводжується численними юридичними ризиками, тому підтримка адвокатів, які спеціалізуються на правових аспектах AI, є надзвичайно важливою. Наша фірма пропонує висококваліфіковану юридичну підтримку у сфері AI, включаючи ChatGPT, завдяки команді адвокатів, обізнаних з AI, та інженерів. Ми надаємо послуги зі складання договорів, оцінки законності бізнес-моделей, захисту інтелектуальної власності, а також з питань приватності. Детальніше про наші послуги ви можете прочитати у статті нижче.

Сфери діяльності юридичної фірми “Моноліт”: Юридичні послуги з питань AI (зокрема ChatGPT)[ja]