Bốn Biện Pháp Cần Thực Hiện để Ngăn Chặn Rủi Ro Rò Rỉ Thông Tin từ ChatGPT

ChatGPT, công cụ AI sinh ra đang nhận được sự chú ý gần đây, có khả năng tạo ra bản thảo, lập trình, sinh ra bản nhạc và thậm chí là vẽ tranh, đã thu hút sự quan tâm trong nhiều lĩnh vực khác nhau.

GPT trong ChatGPT là viết tắt của “Generative Pre-training Transformer”, có khả năng tiến hành các cuộc trò chuyện tự nhiên như con người bằng cách tiền huấn luyện trên một lượng lớn dữ liệu văn bản, hình ảnh và âm thanh (với các tiện ích mở rộng).

ChatGPT được đánh giá cao vì khả năng đối phó với các công việc phức tạp, từ đó mang lại hiệu quả công việc và hiệu suất chi phí cao. Việc ứng dụng ChatGPT đã tiến triển trong nhiều lĩnh vực và có thể thấy nhiều công ty công nghệ đang bắt đầu triển khai hệ thống AI riêng của họ.

Tuy nhiên, cùng với những cơ hội kinh doanh mà ChatGPT và các công nghệ AI khác mang lại, cũng có những rủi ro tiềm ẩn được chỉ ra như vấn đề bản quyền, sự lan truyền thông tin sai lệch, rò rỉ thông tin mật, vấn đề quyền riêng tư và khả năng bị lạm dụng cho các cuộc tấn công mạng.

Bài viết này sẽ tập trung vào rủi ro rò rỉ thông tin khi sử dụng ChatGPT và các biện pháp phòng ngừa mà luật sư khuyên bạn nên áp dụng.

Rủi ro về rò rỉ thông tin liên quan đến ChatGPT

Có bốn rủi ro chính khi doanh nghiệp triển khai ChatGPT:

• Rủi ro an ninh (rò rỉ thông tin, độ chính xác, điểm yếu, khả năng sử dụng, v.v.)
• Rủi ro vi phạm bản quyền
• Rủi ro có khả năng bị lạm dụng (tấn công mạng, v.v.)
• Thách thức về mặt đạo đức

Rủi ro rò rỉ thông tin của ChatGPT là khi thông tin mật được nhập vào ChatGPT, có nguy cơ thông tin đó có thể bị nhân viên của OpenAI hoặc người dùng khác xem được, hoặc được sử dụng như dữ liệu để học hỏi.

Theo chính sách sử dụng dữ liệu của OpenAI, trừ khi người dùng sử dụng “API” của ChatGPT hoặc nộp đơn “opt-out”, dữ liệu mà người dùng nhập vào ChatGPT sẽ được OpenAI thu thập và sử dụng (học hỏi) (chúng tôi sẽ giải thích chi tiết hơn sau).

Các trường hợp rò rỉ thông tin do sử dụng ChatGPT

Tại đây, chúng tôi sẽ giới thiệu các trường hợp thông tin cá nhân và thông tin mật đã đăng ký hoặc nhập vào bị rò rỉ do sử dụng ChatGPT.

Trường hợp thông tin cá nhân bị lộ

Vào ngày 24 tháng 3 năm 2023, OpenAI đã công bố rằng họ đã tạm thời ngừng hoạt động ChatGPT vào ngày 20 tháng 3 do phát hiện ra lỗi khiến thông tin cá nhân của một số người dùng, bao gồm 4 chữ số cuối của số thẻ tín dụng và ngày hết hạn của thẻ, được hiển thị. Thông tin cá nhân bị lộ lúc này thuộc về một phần của những người đăng ký gói trả phí “ChatGPT Plus” (khoảng 1.2% số thành viên).

Ngoài ra, cùng thời điểm với lỗi trên, OpenAI cũng công bố một lỗi khác khiến lịch sử trò chuyện của người dùng khác được hiển thị trong lịch sử trò chuyện.

Phản ứng trước sự việc này, vào ngày 31 tháng 3 năm 2023, cơ quan bảo vệ dữ liệu của Ý đã ra lệnh cải thiện cho OpenAI, yêu cầu hãng này tạm thời hạn chế xử lý dữ liệu của người dùng tại Ý do thiếu cơ sở pháp lý trong việc thu thập và lưu trữ dữ liệu cá nhân cho mục đích học hỏi của ChatGPT. OpenAI đã phản hồi bằng cách chặn truy cập ChatGPT từ Ý. Lệnh chặn này sau đó đã được gỡ bỏ vào ngày 28 tháng 4 cùng năm sau khi OpenAI cải thiện việc xử lý dữ liệu cá nhân.

Trường hợp thông tin mật của công ty bị lộ

Vào tháng 2 năm 2023, công ty an ninh mạng của Mỹ Cyberhaven đã công bố một báo cáo về việc sử dụng ChatGPT đối với các công ty khách hàng của họ.

Theo báo cáo, trong số 1.6 triệu người lao động của các công ty khách hàng sử dụng sản phẩm Cyberhaven, 8.2% là những người lao động tri thức đã sử dụng ChatGPT tại nơi làm việc ít nhất một lần, và trong số đó có 3.1% đã nhập dữ liệu mật của công ty vào ChatGPT.

Một ví dụ khác từ Hàn Quốc, vào ngày 30 tháng 3 năm 2023, tờ báo “Economist” của Hàn Quốc đã đưa tin rằng một bộ phận của Samsung Electronics đã cho phép sử dụng ChatGPT và sau đó đã xảy ra sự cố nhập thông tin mật vào hệ thống.

Phía Samsung Electronics đã cảnh báo về an ninh thông tin nội bộ nhưng vẫn có nhân viên nhập mã nguồn chương trình hoặc nội dung cuộc họp vào hệ thống.

Trong bối cảnh như vậy, một số quốc gia và công ty đã hạn chế sử dụng ChatGPT, trong khi một số khác lại đưa ra chính sách khuyến khích sử dụng. Khi triển khai ChatGPT, cần phải xem xét kỹ lưỡng rủi ro rò rỉ thông tin.

4 Biện pháp Phòng ngừa Rò rỉ Thông tin với ChatGPT

Rò rỉ thông tin, một khi đã xảy ra, không chỉ dẫn đến trách nhiệm pháp lý mà còn gây tổn thất lớn đến uy tín và danh tiếng. Do đó, việc thiết lập hệ thống quản lý thông tin nội bộ và đào tạo là hết sức quan trọng để phòng ngừa rò rỉ thông tin.

Dưới đây là 4 biện pháp để phòng ngừa rò rỉ thông tin khi sử dụng ChatGPT mà chúng tôi muốn giới thiệu.

Biện pháp 1: Xây dựng quy tắc sử dụng

Đầu tiên, quyết định lập trường của công ty bạn đối với ChatGPT và bao gồm các điều khoản liên quan đến việc sử dụng ChatGPT trong quy chế nội bộ. Việc xác định rõ ràng các quy tắc như không nhập thông tin cá nhân hay thông tin mật là quan trọng để vận hành.

Khi đó, việc xây dựng hướng dẫn sử dụng ChatGPT của chính công ty bạn là điều mong muốn. Ngoài ra, trong hợp đồng với bên ngoài, bạn cũng nên bao gồm các điều khoản liên quan đến việc sử dụng ChatGPT.

Vào ngày 1 tháng 5 năm 2023, Hiệp hội Deep Learning Nhật Bản (JDLA) đã tổng hợp các vấn đề đạo đức, pháp lý và xã hội (ELSI) liên quan đến ChatGPT và công bố “Hướng dẫn sử dụng AI sinh sản”.

Các lĩnh vực công nghiệp, học thuật và chính phủ cũng đã bắt đầu xem xét việc xây dựng hướng dẫn. Bằng cách tham khảo và xây dựng hướng dẫn sử dụng ChatGPT cụ thể cho công ty bạn, bạn có thể mong đợi việc tránh được một số rủi ro nhất định.

Tham khảo: Hiệp hội Deep Learning Nhật Bản (JDLA)｜Hướng dẫn sử dụng AI sinh sản[ja]

Tuy nhiên, việc xây dựng hướng dẫn sẽ không có ý nghĩa nếu như không được mọi người biết đến và thực hiện một cách nghiêm túc. Chỉ có hướng dẫn thôi thì không đủ để coi là biện pháp đối phó.

Biện pháp 2: Thiết lập hệ thống để ngăn chặn rò rỉ thông tin

Như một biện pháp phòng ngừa lỗi của con người, việc triển khai hệ thống DLP (Data Loss Prevention) – một hệ thống được thiết kế để ngăn chặn rò rỉ dữ liệu cụ thể – có thể giúp ngăn chặn việc gửi và sao chép thông tin mật.

DLP là hệ thống giám sát dữ liệu liên tục thay vì người dùng, tự động xác định và bảo vệ thông tin mật và dữ liệu quan trọng. Khi sử dụng DLP, nếu phát hiện thông tin bí mật, hệ thống có thể gửi cảnh báo hoặc chặn thao tác đó.

Việc này có thể giúp ngăn chặn rò rỉ thông tin từ bên trong mà vẫn tiết kiệm chi phí quản lý. Tuy nhiên, việc này đòi hỏi sự hiểu biết sâu sắc về hệ thống bảo mật và có thể khó khăn để triển khai một cách trơn tru tại các công ty không có bộ phận kỹ thuật.

Biện pháp 3: Sử dụng công cụ ngăn chặn rò rỉ thông tin

Như đã đề cập ở trên, một biện pháp phòng ngừa trực tiếp là bạn có thể từ chối việc ChatGPT thu thập dữ liệu mà bạn nhập vào bằng cách nộp đơn “opt-out”.

Bạn có thể yêu cầu “opt-out” từ màn hình cài đặt của ChatGPT. Tuy nhiên, khi bạn yêu cầu opt-out, lịch sử các lệnh nhập vào sẽ không được lưu lại, điều này có thể gây bất tiện cho nhiều người.

Ngoài việc cài đặt opt-out, một phương pháp khác là triển khai công cụ sử dụng “API” của ChatGPT.

“API (Application Programming Interface)” là giao diện mà OpenAI cung cấp để tích hợp ChatGPT vào dịch vụ của riêng bạn hoặc công cụ bên ngoài. OpenAI khẳng định rằng họ không sử dụng thông tin nhập vào hoặc xuất ra qua “API” của ChatGPT để phát triển hoặc cải thiện dịch vụ của họ.

Điều này cũng được làm rõ trong điều khoản sử dụng của ChatGPT. Theo điều khoản sử dụng:

3. Nội dung

(c) Sử dụng nội dung để cải thiện dịch vụ

Chúng tôi không sử dụng Nội dung mà bạn cung cấp cho hoặc nhận từ API của chúng tôi (“Nội dung API”) để phát triển hoặc cải thiện Dịch vụ của chúng tôi.

Chúng tôi có thể sử dụng Nội dung từ các Dịch vụ khác không phải API của chúng tôi (“Nội dung không phải API”) để giúp phát triển và cải thiện Dịch vụ của chúng tôi.

Nếu bạn không muốn Nội dung không phải API của mình được sử dụng để cải thiện Dịch vụ, bạn có thể chọn opt-out bằng cách điền vào mẫu đơn này[en]. Xin lưu ý rằng trong một số trường hợp, điều này có thể hạn chế khả năng của Dịch vụ chúng tôi trong việc đáp ứng tốt hơn với trường hợp sử dụng cụ thể của bạn.

Trích dẫn từ: Trang chính thức của OpenAI｜Điều khoản sử dụng ChatGPT[en]

Biện pháp 4: Thực hiện đào tạo nội bộ về IT Literacy

Ngoài các biện pháp đã giới thiệu đến nay, việc thực hiện các buổi đào tạo nội bộ để nâng cao nhận thức về an ninh mạng cho nhân viên của công ty cũng là điều hết sức quan trọng.

Trong trường hợp của Samsung Electronics, mặc dù đã có những cảnh báo về an ninh thông tin trong nội bộ, nhưng việc nhập thông tin mật đã dẫn đến sự cố rò rỉ thông tin. Không chỉ từ phía hệ thống mà còn cần thực hiện đào tạo nội bộ về kiến thức liên quan đến ChatGPT và IT Literacy để phòng ngừa rò rỉ thông tin là điều mong muốn.

Xử lý khi xảy ra rò rỉ thông tin qua ChatGPT

Trong trường hợp xảy ra rò rỉ thông tin, việc điều tra sự việc và áp dụng các biện pháp xử lý một cách nhanh chóng là hết sức quan trọng.

Khi rò rỉ thông tin cá nhân, theo Luật Bảo vệ Thông tin Cá nhân của Nhật Bản, có nghĩa vụ phải báo cáo cho Ủy ban Bảo vệ Thông tin Cá nhân. Ngoài ra, cần phải thông báo cho chủ thể thông tin về sự cố đã xảy ra. Nếu việc rò rỉ thông tin cá nhân gây xâm phạm quyền lợi hoặc lợi ích của đối tác, có thể phải chịu trách nhiệm bồi thường thiệt hại dân sự. Hơn nữa, nếu việc đánh cắp hoặc cung cấp thông tin cá nhân với mục đích trái phép, cũng có thể phải đối mặt với trách nhiệm hình sự.

Trong trường hợp rò rỉ thông tin bí mật kinh doanh hoặc thông tin kỹ thuật, theo Luật Phòng chống Cạnh tranh không Lành mạnh của Nhật Bản, có thể yêu cầu bên rò rỉ thực hiện các biện pháp như yêu cầu xóa bỏ thông tin. Nếu việc rò rỉ thông tin bí mật kinh doanh hoặc thông tin kỹ thuật giúp đối tác thu được lợi ích không công bằng, có thể phải chịu trách nhiệm bồi thường thiệt hại dân sự. Hơn nữa, nếu việc thu thập hoặc sử dụng thông tin bí mật kinh doanh hoặc thông tin kỹ thuật bằng phương pháp không chính đáng, cũng có thể phải đối mặt với trách nhiệm hình sự.

Nếu vi phạm nghĩa vụ bảo mật trong quá trình làm việc và gây rò rỉ thông tin, có thể phải chịu trách nhiệm hình sự theo Bộ luật Hình sự của Nhật Bản hoặc các luật lệ khác. Ngoài ra, nếu việc rò rỉ thông tin do vi phạm nghĩa vụ bảo mật gây thiệt hại cho đối tác, có thể phải chịu trách nhiệm bồi thường thiệt hại dân sự.

Do đó, cần phải nhanh chóng xử lý tùy theo nội dung thông tin bị rò rỉ và việc xây dựng sẵn hệ thống để đối phó với tình huống này là vô cùng quan trọng.

Bài viết liên quan: Thông tin mà doanh nghiệp cần công bố khi xảy ra rò rỉ thông tin[ja]

Bài viết liên quan: Rò rỉ thông tin cá nhân xảy ra thì sao? Giải thích các biện pháp hành chính mà doanh nghiệp cần thực hiện[ja]

Tóm lược: Xây dựng hệ thống chuẩn bị cho rủi ro rò rỉ thông tin của ChatGPT

Ở đây, chúng tôi đã giải thích về rủi ro rò rỉ thông tin của ChatGPT và các biện pháp phòng ngừa cần thiết. Trong kinh doanh AI sử dụng ChatGPT, vốn đang phát triển nhanh chóng, chúng tôi khuyến nghị bạn nên tham khảo ý kiến của các luật sư giàu kinh nghiệm và am hiểu về rủi ro pháp lý để chuẩn bị sẵn sàng hệ thống nội bộ phù hợp với những rủi ro đó.

Không chỉ giới hạn ở rủi ro rò rỉ thông tin, nếu bạn hợp tác với các luật sư có kiến thức và kinh nghiệm về cả AI và pháp luật, từ việc xem xét tính hợp pháp của mô hình kinh doanh sử dụng AI, tạo lập hợp đồng và điều khoản sử dụng, bảo vệ quyền sở hữu trí tuệ đến việc đối phó với vấn đề quyền riêng tư, bạn có thể yên tâm.

Giới thiệu các biện pháp của Văn phòng Luật sư

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong cả hai lĩnh vực IT, đặc biệt là Internet và pháp luật. Kinh doanh AI đi kèm với nhiều rủi ro pháp lý và sự hỗ trợ của luật sư am hiểu về các vấn đề pháp lý liên quan đến AI là điều cần thiết. Văn phòng chúng tôi cung cấp hỗ trợ pháp lý chuyên sâu cho kinh doanh AI, bao gồm ChatGPT, như soạn thảo hợp đồng, xem xét tính hợp pháp của mô hình kinh doanh, bảo vệ quyền sở hữu trí tuệ, và đối phó với vấn đề quyền riêng tư, với đội ngũ bao gồm luật sư am hiểu về AI và các kỹ sư. Chi tiết được nêu trong bài viết dưới đây.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp lý AI (bao gồm ChatGPT, v.v.)[ja]