Rủi ro khi doanh nghiệp áp dụng ChatGPT là gì? Giải thích các ví dụ về rò rỉ thông tin mật và biện pháp đối phó
Việc triển khai ChatGPT trong doanh nghiệp đang dần trở nên phổ biến. Mặc dù sự hữu ích của nó đang nhận được nhiều sự chú ý, nhưng có một số điểm cần phải lưu ý. Một trong số đó là không được nhập thông tin mật vào ChatGPT. Thực tế, đã có trường hợp ở nước ngoài, việc nhập thông tin mật đã dẫn đến rò rỉ thông tin cực kỳ nghiêm trọng của doanh nghiệp.
Bài viết này sẽ do luật sư giải thích về việc sử dụng ChatGPT trong kinh doanh, tập trung vào rủi ro rò rỉ thông tin mật, cùng với các ví dụ và biện pháp cần thiết để đối phó.
Lý do không nên nhập thông tin mật vào ChatGPT
ChatGPT tuy tiện ích nhưng cũng là một AI chatbot được tạo ra từ việc học hỏi dữ liệu lớn trên mạng và dữ liệu sử dụng, do đó nếu không có biện pháp phòng ngừa, thông tin mật được nhập vào có thể bị rò rỉ.
Chúng tôi sẽ giải thích chi tiết về các biện pháp đối phó với rủi ro rò rỉ thông tin mật sau, nhưng trước hết, hãy cùng tìm hiểu về các rủi ro khác liên quan đến rò rỉ thông tin mật khi sử dụng ChatGPT.
Rủi ro ngoài việc lộ thông tin mật khi sử dụng ChatGPT trong doanh nghiệp
ChatGPT hiện đang ở giai đoạn được nhiều doanh nghiệp xem xét triển khai. Do đó, cần phải hiểu rõ các rủi ro trước khi quyết định sử dụng nó trong kinh doanh.
Khi sử dụng ChatGPT, ngoài rủi ro lộ thông tin mật (bao gồm cả thông tin cá nhân), doanh nghiệp còn có thể gặp phải hai rủi ro an ninh sau:
- Rủi ro về độ tin cậy của thông tin đầu ra
- Rủi ro vi phạm bản quyền của thông tin đầu vào và đầu ra
Chúng ta sẽ phân tích chi tiết từng rủi ro.
Thông tin đầu ra thiếu độ tin cậy
GPT-4, được công bố vào ngày 14 tháng 3 năm 2023, đã được trang bị chức năng tìm kiếm, cho phép cung cấp thông tin mới nhất. Tuy nhiên, ChatGPT thường đưa ra thông tin như thể đó là sự thật, nhưng độ tin cậy của nó không được đảm bảo. Các câu trả lời mà ChatGPT tạo ra không dựa trên độ chính xác của dữ liệu học mà chỉ là những câu văn có khả năng cao nhất được chọn lựa. Do đó, trước khi sử dụng kết quả đầu ra, việc kiểm tra sự thật là không thể thiếu. Nếu như doanh nghiệp vô tình phát tán thông tin sai lệch, uy tín của chính doanh nghiệp có thể bị tổn hại.
Rủi ro pháp lý như vi phạm bản quyền
Việc xác định vi phạm bản quyền trong ChatGPT được chia thành hai giai đoạn: “Giai đoạn phát triển và học máy AI” và “Giai đoạn tạo ra và sử dụng”. Do mỗi giai đoạn có những hành vi sử dụng tác phẩm khác nhau, nên các điều khoản của luật bản quyền cũng khác nhau. Vì vậy, cần phải xem xét riêng biệt cho từng trường hợp.
Tham khảo: Cơ quan Văn hóa Nhật Bản | Hội thảo bản quyền năm 2023 (Reiwa 5) “AI và Bản quyền”[ja]
Luật bản quyền sửa đổi được thi hành vào tháng 1 năm 2019 đã bổ sung quy định giới hạn quyền lực (các trường hợp ngoại lệ không cần sự cho phép) tại Điều 30-4, bao gồm “Giai đoạn phát triển và học máy AI”. Các hành vi sử dụng tác phẩm không nhằm mục đích thưởng thức ý tưởng hoặc cảm xúc được biểu hiện qua tác phẩm, như phân tích thông tin cho mục đích phát triển AI, nguyên tắc là có thể thực hiện mà không cần sự cho phép của chủ sở hữu bản quyền.
Mặt khác, nếu sản phẩm đầu ra từ ChatGPT có sự tương đồng hoặc dựa trên (biến đổi) tác phẩm có bản quyền, nó có thể bị coi là vi phạm bản quyền. Do đó, trước khi công bố, cần phải xác định quyền sở hữu của thông tin mà ChatGPT tham khảo và kiểm tra xem có nội dung tương tự với những gì ChatGPT tạo ra hay không. Khi trích dẫn tác phẩm, cần phải ghi rõ nguồn gốc (quy định giới hạn quyền lực) hoặc khi tái bản, cần phải có sự cho phép sử dụng từ chủ sở hữu bản quyền, và xử lý một cách thích đáng.
Nếu bị chủ sở hữu bản quyền chỉ trích vi phạm, doanh nghiệp có thể phải đối mặt với trách nhiệm dân sự (bồi thường thiệt hại, tiền đền bù, cấm sử dụng, phục hồi danh dự, v.v.) hoặc trách nhiệm hình sự (tội phạm theo quyết định của người bị hại).
Các vụ việc nhập thông tin mật vào ChatGPT gây ra vấn đề
Vào ngày 30 tháng 3 năm 2023, truyền thông Hàn Quốc ‘EConomist’ đã đưa tin rằng, sau khi Samsung Electronics cho phép sử dụng ChatGPT trong bộ phận bán dẫn của mình, đã có ba vụ việc nhập thông tin mật vào hệ thống này.
Phía Samsung Electronics đã cảnh báo về an ninh thông tin trong công ty, tuy nhiên, đã có nhân viên gửi mã nguồn để yêu cầu chỉnh sửa chương trình (hai vụ việc) và gửi nội dung cuộc họp để tạo biên bản.
Sau khi những vụ việc này xảy ra, công ty đã hạn chế dung lượng tải lên cho mỗi câu hỏi đặt ra cho ChatGPT như một biện pháp khẩn cấp. Hơn nữa, công ty cũng đã nói rằng nếu tình trạng tương tự tiếp tục xảy ra, họ có thể sẽ chặn kết nối với ChatGPT.
Bên cạnh đó, Walmart và Amazon cũng đã cảnh báo nhân viên của mình không chia sẻ thông tin mật qua chatbot. Một luật sư của Amazon đã nói rằng đã có trường hợp phản hồi từ ChatGPT giống với dữ liệu nội bộ của Amazon, gợi ý rằng dữ liệu có thể đã được sử dụng để học hỏi.
Biện pháp ngăn chặn rò rỉ thông tin mật khi sử dụng ChatGPT
OpenAI đã giải thích trong các điều khoản sử dụng rằng họ sử dụng dữ liệu được nhập vào hệ thống để cải thiện và học hỏi, và yêu cầu người dùng không gửi thông tin nhạy cảm.
Trong phần này, chúng tôi sẽ giới thiệu 4 biện pháp, cả về mặt phần cứng và phần mềm, để ngăn chặn việc rò rỉ thông tin mật khi sử dụng ChatGPT.
Xây dựng Hướng dẫn sử dụng nội bộ
Khi triển khai ChatGPT trong doanh nghiệp, không chỉ cần nâng cao nhận thức về an ninh thông tin cá nhân và việc tái đào tạo nội bộ là quan trọng, mà việc xây dựng hướng dẫn sử dụng ChatGPT riêng cho công ty cũng là điều cần thiết.
Vào ngày 1 tháng 5 năm 2023 (Reiwa 5), Hiệp hội Deep Learning Nhật Bản (JDLA) đã tổng hợp các vấn đề về đạo đức, pháp lý và xã hội (ELSI) liên quan đến ChatGPT và công bố “Hướng dẫn sử dụng AI sinh học”. Các lĩnh vực công nghiệp, học thuật và chính phủ cũng đang bắt đầu xem xét việc xây dựng hướng dẫn của riêng mình.
Bằng cách tham khảo những hướng dẫn này và xây dựng một bộ quy tắc sử dụng ChatGPT rõ ràng cho công ty, bạn có thể mong đợi việc giảm thiểu rủi ro đến một mức độ nhất định.
Tham khảo: Hiệp hội Deep Learning Nhật Bản (JDLA)|Hướng dẫn sử dụng AI sinh học[ja]
Áp dụng công nghệ để ngăn chặn sự rò rỉ thông tin mật
Như một biện pháp phòng ngừa lỗi của con người dẫn đến rò rỉ thông tin mật, việc triển khai hệ thống được gọi là DLP (Data Loss Prevention) có thể ngăn chặn việc gửi và sao chép thông tin mật.
DLP là một chức năng giám sát liên tục dữ liệu nhập vào và tự động xác định, bảo vệ thông tin mật và dữ liệu quan trọng. Khi sử dụng DLP, nếu phát hiện thông tin mật, hệ thống có thể thông báo cảnh báo hoặc chặn thao tác. Điều này cho phép bạn ngăn chặn rò rỉ thông tin từ bên trong một cách chắc chắn mà vẫn kiểm soát được chi phí quản lý. Tuy nhiên, việc triển khai DLP đòi hỏi sự hiểu biết sâu sắc về hệ thống bảo mật và có thể sẽ khó khăn đối với các doanh nghiệp không có bộ phận kỹ thuật.
Xem xét việc triển khai công cụ chuyên dụng
Từ tháng 3 năm 2023 (2023年3月), ChatGPT đã có thể ngăn chặn việc rò rỉ dữ liệu được gửi đến nó thông qua việc sử dụng API (viết tắt của “Application Programming Interface”, là giao diện kết nối giữa các phần mềm, chương trình, và dịch vụ Web).
Dữ liệu được gửi qua API sẽ không được sử dụng cho việc học máy hay cải thiện, nhưng sẽ được lưu trữ trong 30 ngày để “giám sát nhằm ngăn chặn việc sử dụng không chính đáng hoặc lạm dụng”, sau đó sẽ bị xóa theo quy định lưu trữ mới. Tuy nhiên, nếu có “yêu cầu pháp lý”, thời gian lưu trữ dữ liệu có thể được kéo dài.
Mặc dù đã cài đặt để không sử dụng ChatGPT cho việc học máy hay cải thiện, dữ liệu vẫn sẽ được lưu trữ trên máy chủ trong một khoảng thời gian nhất định, do đó, về mặt lý thuyết, rủi ro về việc rò rỉ thông tin vẫn tồn tại. Vì vậy, khi nhập thông tin mật hoặc thông tin cá nhân, cần phải hết sức cẩn trọng.
Tuy nhiên, OpenAI đặt sự riêng tư của người dùng và an toàn dữ liệu lên hàng đầu và đã áp dụng các biện pháp bảo mật nghiêm ngặt. Nếu muốn sử dụng dịch vụ một cách an toàn hơn, OpenAI khuyến nghị việc triển khai “Dịch vụ Azure OpenAI”, một công cụ có khả năng bảo mật cao.
Công cụ chuyên biệt cho doanh nghiệp như “Dịch vụ Azure OpenAI” sẽ không thu thập dữ liệu nhập vào qua API trên ChatGPT. Ngoài ra, nếu bạn nộp đơn xin từ chối và được chấp thuận, bạn có thể từ chối việc giữ và giám sát dữ liệu nhập vào trong 30 ngày theo nguyên tắc, từ đó có thể tránh được rủi ro rò rỉ thông tin.
Phương pháp cài đặt để không cho ChatGPT học từ thông tin mật bạn nhập vào
Như đã nói ở trên, ChatGPT có cơ chế học hỏi từ tất cả nội dung được cung cấp thông qua tính năng opt-in, do đó, kể từ ngày 25 tháng 4 năm 2023, đã có chức năng thiết lập trước để opt-out.
Biện pháp trực tiếp để ngăn chặn việc ChatGPT sử dụng dữ liệu bạn nhập vào cho việc học hỏi và cải thiện là cần phải thực hiện yêu cầu “opt-out”. ChatGPT đã chuẩn bị một Google Form cho việc “opt-out”, vì vậy bạn nên thực hiện thủ tục này. (Nhập và gửi địa chỉ email, ID tổ chức, và tên tổ chức)
Tuy nhiên, ngay cả trong trường hợp này, dữ liệu nhập vào vẫn sẽ được OpenAI giám sát trong một khoảng thời gian nhất định (nguyên tắc là 30 ngày) và vẫn được lưu trữ trên máy chủ.
Điều khoản sử dụng ChatGPT
3. Nội dung
(c) Sử dụng nội dung để cải thiện dịch vụ
Chúng tôi không sử dụng Nội dung mà bạn cung cấp hoặc nhận từ API của chúng tôi (“Nội dung API”) để phát triển hoặc cải thiện Dịch vụ của chúng tôi.
Chúng tôi có thể sử dụng Nội dung từ các Dịch vụ khác ngoài API của chúng tôi (“Nội dung không phải API”) để giúp phát triển và cải thiện Dịch vụ của chúng tôi.
Nếu bạn không muốn Nội dung không phải API của mình được sử dụng để cải thiện Dịch vụ, bạn có thể chọn không tham gia bằng cách điền vào mẫu đơn này[en]. Xin lưu ý rằng trong một số trường hợp, điều này có thể hạn chế khả năng của Dịch vụ chúng tôi trong việc đáp ứng tốt hơn với trường hợp sử dụng cụ thể của bạn.
Trích dẫn: Trang chính thức của OpenAI | Điều khoản sử dụng ChatGPT https://openai.com/policies/terms-of-use[en]
Tóm lược: Việc sử dụng ChatGPT trong kinh doanh đòi hỏi phải có biện pháp bảo vệ thông tin mật
Trên đây, chúng tôi đã giải thích về rủi ro rò rỉ thông tin mật và các biện pháp phòng ngừa khi sử dụng ChatGPT trong kinh doanh, dựa trên các ví dụ cụ thể.
Đối với việc sử dụng AI tiên tiến như ChatGPT trong kinh doanh, việc thiết lập hướng dẫn sử dụng nội bộ, xem xét tính hợp pháp của mô hình kinh doanh, soạn thảo hợp đồng và điều khoản sử dụng, bảo vệ quyền sở hữu trí tuệ và đối phó với vấn đề riêng tư là những biện pháp không thể thiếu và cần sự hợp tác với các chuyên gia.
Bài viết liên quan: Pháp luật liên quan đến Web3 là gì? Cũng giải thích các điểm quan trọng mà các doanh nghiệp tham gia cần nắm bắt[ja]
Giới thiệu các biện pháp của Văn phòng Luật sư
Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong cả hai lĩnh vực IT, đặc biệt là Internet và luật pháp. Kinh doanh AI đi kèm với nhiều rủi ro pháp lý, và sự hỗ trợ của luật sư am hiểu về các vấn đề pháp lý liên quan đến AI là điều cần thiết.
Văn phòng chúng tôi cung cấp hỗ trợ pháp lý chuyên sâu cho kinh doanh AI, bao gồm ChatGPT, thông qua đội ngũ bao gồm luật sư am hiểu về AI và các kỹ sư, bằng cách soạn thảo hợp đồng, đánh giá tính hợp pháp của mô hình kinh doanh, bảo vệ quyền sở hữu trí tuệ, và đối phó với vấn đề quyền riêng tư. Chi tiết được nêu trong bài viết dưới đây.
Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp lý AI (bao gồm ChatGPT, v.v.)[ja]
Category: IT
Tag: ITTerms of Use
