ChatGPT在企业引进中的风险:解析机密信息泄露的案例及对策
企业内部逐渐推广使用ChatGPT,其实用性受到了广泛关注。然而,有几点需要特别注意,其中之一便是不应将机密信息输入ChatGPT。实际上,在海外已有因输入机密信息而导致企业重大机密泄露的案例。
本文将由律师详细解说,在日益进化的ChatGPT商业应用中,如何围绕机密信息泄露风险,提供案例分析和应采取的防范措施。
不应向ChatGPT输入机密信息的原因
ChatGPT虽然便利,但作为一款通过学习网络上的大数据和使用数据生成的AI聊天机器人,如果不采取任何措施,输入的机密信息就存在被泄露的风险。
关于机密信息泄露风险的防范措施,我们将在后文详细说明。但首先,让我们先来了解除了ChatGPT相关的机密信息泄露风险之外的其他风险。
企业使用ChatGPT所面临的除机密信息泄露外的风险
ChatGPT目前正处于许多企业引入和验证的阶段。因此,在决定是否将其用于商业活动之前,有必要充分理解相关风险。
企业使用ChatGPT可能面临的安全风险,除了机密信息(包括个人信息)泄露之外,还包括以下两点:
- 输出信息的可信度风险
- 输入输出信息的著作权侵犯风险
下面将详细解释这些风险。
输出信息的可信度不足
2023年(令和5年)3月14日发布的GPT-4因为具备了搜索功能,可以提供最新的信息。然而,ChatGPT在回答问题时虽然会输出信息,仿佛这些信息都是真实的,但其可信度并没有得到保证。ChatGPT生成的回答并非基于信息的准确性,而是基于概率高的(最可能的)文本来生成的。因此,在使用输出结果之前,进行事实核查是必不可少的。如果企业不慎发布了虚假信息,可能会损害企业自身的信誉。
著作权侵犯等法律风险
在ChatGPT中,著作权侵犯的判断分为“AI开发・学习阶段”和“生成・使用阶段”。由于这两个阶段中涉及的著作物使用行为不同,所适用的著作权法条款也不同。因此,需要分别考虑这两个阶段。
参考:日本文化厅|令和5年度著作权研讨会「AI与著作权」[ja]
2019年(平成31年)1月实施的修订著作权法中,新增了第30条之4的权利限制规定(无需许可的例外规定),专门针对“AI开发・学习阶段”。例如,为了AI开发等信息分析目的,不以享受著作物所表达的思想或情感为目的的使用行为,原则上可以不经著作权人许可进行。
另一方面,如果ChatGPT输出的生成物与著作物存在相似性或依赖性(改编),则可能构成著作权侵犯。因此,在公开之前,需要确认ChatGPT参考的信息的权利人,并检查ChatGPT创建的内容是否与之类似。在引用著作物时,应明确标注出处(权利限制规定),转载时则需要获得著作权人的使用许可,必须适当处理。
如果被著作权人指出著作权侵犯,可能会面临民事责任(赔偿损失、精神损害赔偿、停止使用、名誉恢复等法律措施)或刑事责任(告诉罪)。
涉及ChatGPT输入机密信息的问题案例
2023年3月30日(令和5年3月30日),韩国媒体《EConomist》报道称,在三星电子的半导体部门允许使用ChatGPT后,发生了三起输入机密信息的事件。
尽管三星电子方面已经在公司内部提醒注意信息安全,但仍有员工在请求程序修改时发送了源代码(两起事件),以及有员工在创建会议记录时发送了会议内容。
在这些事件发生后,该公司作为紧急措施限制了向ChatGPT上传的每个问题的数据量。同时,该公司表示,如果类似事件再次发生,可能会切断与ChatGPT的连接。
此外,沃尔玛和亚马逊也都警告其员工不要在聊天机器人中分享机密信息。亚马逊的律师表示,已经发现ChatGPT的回应与亚马逊持有的内部数据相似的案例,这暗示了数据可能被用于学习。
如何采取措施确保在使用ChatGPT时不泄露机密信息
OpenAI在其使用条款等文件中说明,为了系统改进,会将输入的数据用于学习等目的,并要求用户不要发送敏感信息。
本章将从硬件和软件两个方面介绍四种防止在使用ChatGPT时泄露机密信息的措施。
制定公司内部使用指南
在企业引入ChatGPT时,提高个人信息安全素养和进行公司内部的再培训是必不可少的,但制定适合本公司的ChatGPT使用指南也是非常重要的。
2023年5月1日(令和5年5月1日),一般社团法人日本深度学习协会(Japanese JDLA)总结了ChatGPT的伦理、法律和社会问题(ELSI),并公开了《生成AI使用指南》。在产、学、官各领域也开始考虑制定指南。
参考这些资料,制定明确的本公司ChatGPT使用规则指南,可以期待达到一定程度的风险规避。
参考资料:一般社团法人日本深度学习协会(Japanese JDLA)|生成AI使用指南[ja]
采用防止机密信息泄露的技术
为了防止因人为错误导致的机密信息泄露,可以引入被称为DLP(Data Loss Prevention,数据丢失预防)的系统,该系统能够防止特定数据的泄露,从而避免机密信息的发送和复制。
DLP是一种持续监控输入数据,并自动识别并保护机密信息和重要数据的功能。使用DLP时,一旦检测到敏感信息,就能够发出警报或阻止操作。这样既能够在控制管理成本的同时,确保从内部防止信息泄露,但是需要对安全系统有深入的理解,对于没有技术部门的公司来说,顺利引入可能会有一定难度。
考虑引入专用工具
自2023年3月起,ChatGPT通过API(Application Programming Interface的缩写,即软件、程序与Web服务之间的接口)的使用,可以防止向ChatGPT发送的数据泄露。
通过API发送的数据虽然不会被用于学习或改进,但为了“防止不当使用或误用而进行的监控”,这些数据将被保留30天后删除,存储规则已经发生了变化。另外,如果收到“法律要求”,数据的保留期限可能会延长。
即使将ChatGPT设置为不用于学习或改进,数据在一定期间内仍会被服务器端保存,因此理论上存在信息泄露的风险。因此,在输入机密信息或个人信息时,需要格外小心。
然而,OpenAI非常重视用户的隐私和数据安全,并采取了严格的安全措施。如果您希望更安全地使用,建议引入具有高级安全措施的工具“Azure OpenAI Service”。
“Azure OpenAI Service”是一款专为企业设计的工具,通过该服务上的API输入到ChatGPT的数据不会被收集。此外,如果申请退出并通过审核,原则上可以拒绝保留和监控30天的输入数据,从而避免信息泄露的风险。
首先,如何设置ChatGPT以防止其学习输入的机密信息
正如上文所述,由于ChatGPT的机制是学习所有的“选择加入”内容,因此从2023年4月25日起,它配备了预先设置为“选择退出”的功能。
作为直接的预防措施,如果您不希望ChatGPT使用您输入的数据进行学习和改进,您需要提交“选择退出”的申请。ChatGPT提供了一个“选择退出”的Google表单,您最好确保完成这一程序。(填写并提交您的电子邮件地址、组织ID和组织名称)
然而,即使在这种情况下,输入的数据仍将被OpenAI监控一定期间(原则上为30天),并且服务器端会保存这些数据。
ChatGPT使用条款
3.内容
(c) 使用内容以改善服务
我们不会使用您提供给我们的API或从我们的API接收到的内容(“API内容”)来开发或改善我们的服务。
我们可能会使用来自我们API以外的服务的内容(“非API内容”)来帮助开发和改善我们的服务。
如果您不希望您的非API内容被用于改善服务,您可以通过填写此表格来选择退出。请注意,在某些情况下,这可能会限制我们的服务更好地满足您的特定用例的能力。
引用:OpenAI官方网站|ChatGPT使用条款 https://openai.com/policies/terms-of-use
总结:在商业使用ChatGPT时,必须采取保护机密信息的措施
以上,我们基于实例解释了在商业使用ChatGPT时机密信息泄露的风险及其防范措施。
在ChatGPT等快速发展的AI商业应用中,从制定公司内部使用指南、审查商业模式的合法性、起草合同书和使用条款、保护知识产权到隐私保护等方面,都离不开专业人士的参与和对策。
相关文章:Web3相关法律是什么?也解释了企业进入市场需要掌握的要点[ja]
本所提供的对策指南
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。AI业务伴随着许多法律风险,因此,获得精通AI相关法律问题的律师支持是至关重要的。
本所拥有精通AI的律师和工程师等组成的团队,为包括ChatGPT在内的AI业务提供合同起草、商业模式合法性审查、知识产权保护、隐私应对等高级法律支持。具体详情请参阅下文。
Monolith法律事务所的业务领域:AI(包括ChatGPT等)法务[ja]
Category: IT
Tag: ITTerms of Use
