MONOLITH LAW OFFICE+81-3-6262-3248工作日 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

ChatGPT信息泄露风险是什么?介绍四种应对措施

IT

ChatGPT信息泄露风险是什么?介绍四种应对措施

近来备受瞩目的“ChatGPT”,不仅能够撰写稿件、编程,还能生成乐谱和绘图,因此在各个领域都引起了广泛关注的生成型AI。

ChatGPT中的GPT是“Generative Pre-training Transformer”的缩写,通过预先学习大量的文本、图像和声音(扩展功能)数据,能够像人类一样进行自然对话。

由于ChatGPT能够应对复杂的业务,因此它作为一个工具,被看好能够提高任务(工作)效率和高性价比,受到了广泛关注。目前,ChatGPT的应用已经在多个领域取得进展,许多科技公司也在积极开发自己的AI系统。

正如此,ChatGPT以及其他AI技术被预见将带来许多商业机会。然而,同时也有潜在风险被指出,包括版权问题、错误信息的传播、机密信息泄露、隐私问题以及被用于网络攻击的可能性。

本文将由律师详细解说,在使用ChatGPT时信息泄露的风险,以及应采取的相应措施。

ChatGPT相关信息泄露风险

企业引入ChatGPT的风险主要包括以下四个方面:

  • 安全风险(信息泄露、准确性、脆弱性、可用性等)
  • 侵犯著作权的风险
  • 被恶意利用的风险(如网络攻击等)
  • 伦理方面的挑战

所谓ChatGPT的信息泄露风险,是指如果在ChatGPT中输入机密信息,存在该信息被OpenAI公司的员工或其他用户看到,或作为学习数据被使用的风险。

根据OpenAI的数据使用政策,除非通过ChatGPT的“API”或申请“选择退出”,否则用户输入到ChatGPT的数据将可能被OpenAI收集并用于学习(我们将在后面详细解释)。

ChatGPT使用导致信息泄露的案例

在此,我们将分别介绍通过使用ChatGPT导致注册的个人信息和输入的机密信息泄露的案例。

个人信息泄露案例

2023年3月24日(令和5年3月24日),OpenAI宣布,由于发现一个漏洞,部分用户可能会看到其他用户的信用卡号码后四位和卡片有效期等个人信息,因此在3月20日(令和5年3月20日)将ChatGPT短暂下线。据悉,泄露个人信息的是“ChatGPT Plus”付费计划的部分订阅者(约占会员的1.2%)。

同时,OpenAI还宣布存在另一个漏洞,即聊天记录中可能会显示其他用户的聊天记录。

针对这一情况,2023年3月31日(令和5年3月31日),意大利数据保护机构对OpenAI发出了改善命令,指出ChatGPT为了学习而收集和保存个人数据缺乏法律依据,并对该国用户的数据处理施加了临时限制。作为回应,OpenAI封锁了来自意大利的ChatGPT访问。这一封锁在OpenAI改善个人数据处理后,于同年4月28日(令和5年4月28日)解除。

公司内部机密信息泄露案例

2023年2月(令和5年2月),美国网络安全公司Cyberhaven向客户发布了关于ChatGPT使用的报告。

报告显示,在使用Cyberhaven产品的客户企业中,160万名工人中有8.2%的知识工作者在工作中至少使用过一次ChatGPT,其中3.1%的人输入了公司机密数据。

此外,这是一个韩国的案例,但2023年3月30日(令和5年3月30日),韩国媒体《Economist》报道称,三星电子的一个内部部门批准使用ChatGPT后,发生了输入机密信息的事件。

尽管三星电子方面已经提醒注意内部信息安全,但仍有员工输入了程序源代码和会议内容。

在这种情况下,一些国家和企业正在限制使用ChatGPT,而另一些国家和企业则出台了推荐政策。在引入ChatGPT时,应充分理解信息泄露的风险,并进行慎重考虑。

利用ChatGPT防止信息泄露的四项对策

利用ChatGPT防止信息泄露的对策

一旦发生信息泄露,不仅会承担法律责任,还可能导致信任和声誉的巨大损失。因此,为了防止信息泄露,建立和完善公司内部的信息管理体系和员工教育至关重要。

在此,我们将介绍四项利用ChatGPT防止信息泄露的对策。

对策1:制定使用规则

首先,决定公司对ChatGPT的立场,并在公司内部规程中纳入关于ChatGPT使用的相关条款。制定并执行关于不输入个人信息以及机密信息等明确的规则是至关重要的。

在此过程中,建议制定公司专属的ChatGPT使用指南。同时,应确保将关于ChatGPT使用的条款纳入与外部的合同中。

2023年5月1日(令和5年5月1日),一般社团法人日本深度学习协会(JDLA)总结了ChatGPT的伦理、法律和社会问题(ELSI),并公开了《生成AI使用指南》。

在产学官各领域,也已开始考虑制定指南。参考这些资料,制定明确的公司专属ChatGPT使用规则指南,可以期待达到一定程度的风险规避。

参考:一般社团法人日本深度学习协会(JDLA)|生成AI使用指南[ja]

然而,如果制定的指南没有被广泛知晓和彻底执行,那么它的意义将大打折扣。仅有指南本身作为对策是不够的。

对策2:建立防止信息泄露的体制

作为预防人为错误的措施,可以引入被称为DLP(Data Loss Prevention,数据丢失预防)的系统,以防止特定数据的泄露,从而避免机密信息的发送和复制。

DLP是一个不断监控数据而非用户的系统,能够自动识别并保护机密信息和重要数据。使用DLP时,一旦检测到秘密信息,就能够通过警报通知或阻止操作。

虽然可以在控制管理成本的同时确保防止内部信息泄露,但需要对安全系统有深入的理解,对于没有技术部门的公司来说,顺利引入可能会有些困难。

对策3:使用防止信息泄露的工具

如前所述,作为直接的预防措施,通过申请“退出(Opt-Out)”,您可以拒绝ChatGPT收集您输入的数据。

您可以从ChatGPT的设置界面申请“退出”。然而,申请退出后,您的提示历史将不再保存,这可能会给许多人带来不便。

除了退出设置之外,还有一种方法是引入使用ChatGPT的“API”工具。

“API(Application Programming Interface,应用程序编程接口)”是OpenAI公开的一个接口,允许将ChatGPT集成到自家服务或外部工具中。OpenAI明确表示,通过ChatGPT的“API”传输的信息不会被用于其他用途。

这一点也在ChatGPT的使用条款中有明确说明。根据使用条款:

3.内容

(c) 使用内容以改善服务

We do not use Content that you provide to or receive from our API (“API Content”) to develop or improve our Services. 

我们不会使用您通过我们的API提供或接收的内容(“API内容”)来开发或改进我们的服务。 

We may use Content from Services other than our API (“Non-API Content”) to help develop and improve our Services.

我们可能会使用来自我们API以外的服务的内容(“非API内容”)来帮助开发和改善我们的服务。

 If you do not want your Non-API Content used to improve Services, you can opt out by filling out this form. Please note that in some cases this may limit the ability of our Services to better address your specific use case.

如果您不希望您的非API内容被用于改善服务,您可以通过填写此表格来选择退出。请注意,在某些情况下,这可能会限制我们的服务更好地满足您的特定使用案例的能力。

引用:OpenAI官方网站|ChatGPT使用条款

对策4:实施公司内部的IT素养培训

除了我们迄今为止介绍的对策之外,实施公司内部培训以提高员工的安全素养也是非常重要的。

以三星电子的案例为例,尽管公司内部不断提醒关注信息安全,但员工仍然输入了机密信息,导致了信息泄露的发生。因此,不仅要从系统层面防止信息泄露,实施关于ChatGPT的知识和IT素养的公司内部培训也是十分必要的。

如何应对ChatGPT导致的信息泄露

如何应对ChatGPT导致的信息泄露

一旦发生信息泄露,迅速进行事实调查和采取相应措施是至关重要的。

在个人信息泄露的情况下,根据《日本个人信息保护法》,有义务向个人信息保护委员会报告。同时,也需要通知当事人发生了泄露事件。如果个人信息泄露侵犯了对方的权利或利益,可能需要承担民事赔偿责任。此外,如果以不正当目的窃取或提供个人信息,还可能面临刑事责任。

在商业秘密或技术信息泄露的情况下,根据《日本不正競争防止法》,可以要求泄露方采取删除等措施。如果商业秘密或技术信息的泄露使对方获得不当利益,可能需要承担民事赔偿责任。此外,如果通过不正当手段获取或使用商业秘密或技术信息,也可能面临刑事责任。

如果违反职务上的保密义务导致信息泄露,可能会根据《日本刑法》或其他法律承担刑事责任。同时,如果因违反职务上的保密义务而给对方造成损害,可能需要承担民事赔偿责任。

因此,需要根据泄露信息的内容迅速采取相应措施,并且事先建立应对机制是非常重要的。

相关文章:信息泄露发生时企业应进行的信息披露[ja]

相关文章:个人信息泄露发生了怎么办?企业应采取的行政对策解析[ja]

总结:准备应对ChatGPT信息泄露风险的体制

在这里,我们解释了ChatGPT的信息泄露风险及应采取的对策。在利用ChatGPT等不断进化的AI业务中,建议您咨询熟悉相关法律风险的经验丰富的律师,并提前准备好应对这些风险的内部体制。

不仅是信息泄露,从AI商业模式的合法性审查、合同书和使用条款的制定、知识产权的保护、到隐私处理等方面,如果您与既懂AI又懂法律的律师合作,您就可以放心了。

我们事务所的对策指南

Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。AI业务伴随着许多法律风险,因此,获得精通AI相关法律问题的律师支持是至关重要的。我们事务所拥有精通AI的律师和工程师等组成的团队,为包括ChatGPT在内的AI业务提供合同起草、商业模式合法性审查、知识产权保护、隐私应对等高级法律支持。详细内容已在下文中说明。

Monolith法律事务所的业务范围:AI(包括ChatGPT等)法务[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Return to Top