ChatGPT的資訊洩露風險是什麼?介紹四項應採取的對策
近來備受矚目的「ChatGPT」,不僅能夠撰寫稿件、編寫程式,甚至創作樂譜與繪圖,因此在各個領域都引起了廣泛的關注,它是一種受到矚目的生成型AI。
ChatGPT中的GPT是「Generative Pre-training Transformer」的縮寫,透過預先學習大量的文本、圖像、聲音(擴充功能)數據,能夠進行類似人類自然對話的交流。
由於ChatGPT能夠應對複雜的業務,因此它被視為一個能夠提高工作效率並具有高成本效益的工具,目前已經在各個領域獲得了廣泛的應用,許多科技公司也開始動作,建立自己獨特的AI系統。
正如此,ChatGPT以及其他AI技術雖然預見了許多商業機會,但也存在潛在風險,包括著作權問題、錯誤信息的擴散、機密信息洩露、隱私問題以及被用於網絡攻擊的可能性等。
本文將由律師解說在使用ChatGPT時資訊洩露的風險,以及應採取的相應對策。
ChatGPT相關資訊洩露風險
企業導入ChatGPT所面臨的風險主要包括以下四點:
- 安全風險(資訊洩露、準確性、脆弱性、可用性等)
- 著作權侵害風險
- 被惡意利用的風險(例如:網絡攻擊)
- 倫理問題
所謂ChatGPT的資訊洩露風險,是指當企業將機密資訊輸入ChatGPT時,存在該資訊被OpenAI公司員工或其他用戶看到,或作為學習數據被利用的風險。
根據OpenAI的數據使用政策,除非通過ChatGPT的「API」或申請「選擇退出」,否則用戶輸入到ChatGPT的數據將可能被OpenAI收集並用於學習(本所將在後續提供更詳細的說明)。
ChatGPT使用導致資訊洩露的案例
在此,本所將分別介紹因使用ChatGPT而導致註冊的個人資訊或輸入的機密資訊洩露的案例。
個人資訊洩露案例
2023年3月24日,OpenAI宣布,由於發現一個錯誤,導致部分用戶能看到其他用戶的信用卡號碼後四位和卡片有效期等個人資訊,因此在3月20日將ChatGPT短暫下線。這次個人資訊洩露的是「ChatGPT Plus」付費計劃的部分訂閱者(約會員的1.2%)。
同時,OpenAI還宣布發現另一個錯誤,即聊天記錄中出現了其他用戶的聊天記錄。
針對此事,2023年3月31日,義大利的資料保護機構對OpenAI發出改善命令,指出ChatGPT收集和儲存個人資料作為學習之用缺乏法律依據,對該國用戶的資料處理施加臨時限制。因應此命令,OpenAI封鎖了來自義大利的ChatGPT訪問。這項封鎖在OpenAI改善個人資料處理後,於同年4月28日解除。
公司內部機密資訊洩露案例
2023年2月,美國的網絡安全公司Cyberhaven發布了一份關於客戶企業使用ChatGPT的報告。
報告指出,在使用Cyberhaven產品的客戶企業中,有160萬名員工,其中8.2%的知識型員工在工作中至少使用過一次ChatGPT,而其中3.1%的人曾將公司機密資料輸入ChatGPT。
此外,這是一個韓國的案例,2023年3月30日韓國媒體「Economist」報導,三星電子的一個部門批准使用ChatGPT後,發生了輸入機密資訊的事件。
儘管三星電子方面已對內部資訊安全進行了警示,但仍有員工輸入了程式源代碼或會議內容。
在這種情況下,一些國家和企業對使用ChatGPT設置了限制,而另一些國家和企業則推出了推薦政策。在引入ChatGPT時,應充分理解資訊洩露的風險,並進行審慎考慮。
利用ChatGPT預防資訊洩露的四項對策
一旦發生資訊洩露,不僅會帶來法律責任,還可能導致信任和聲譽的巨大損失。因此,為了預防資訊洩露,建立公司內部的資訊管理體系和進行教育訓練是至關重要的。
本文將介紹四項利用ChatGPT預防資訊洩露的對策。
對策1:制定利用規則
首先,決定貴公司對ChatGPT的立場,並將有關ChatGPT使用的事項納入公司內部規程。設定明確的規則,例如不輸入個人資料以及機密資訊,並嚴格執行這些規則是非常重要的。
在此過程中,建立貴公司專屬的ChatGPT使用指南是可取的。此外,與外部簽訂的契約中也應該包含有關ChatGPT使用的條款。
2023年(令和5年)5月1日,一般社團法人日本深度學習協會(Japanese JDLA)整理了ChatGPT的倫理、法律及社會問題(ELSI),並公開了「生成AI使用指南」。
在產學官各領域中,也開始著手制定指南。參考這些資料,制定出明確規範貴公司ChatGPT使用的指南,可以期待達到一定程度的風險規避。
參考:一般社團法人日本深度學習協會(Japanese JDLA)|生成AI使用指南[ja]
然而,如果制定的指南沒有被廣泛知曉和徹底執行,那麼這些指南就沒有意義。僅有指南本身作為對策是不夠的。
對策2:建立防止資訊洩露的體制
作為預防人為錯誤的對策,可以引入稱為DLP(Data Loss Prevention)的系統,這是一種專門防止特定數據洩露的系統,能夠防止機密資訊的傳送和複製。
DLP是一個不斷監控數據而非用戶的系統,能夠自動識別並保護機密資訊和重要數據。使用DLP時,一旦檢測到秘密資訊,就能夠發出警報通知或阻止操作。
雖然可以在控制管理成本的同時,確實防止內部資訊洩露,但需要對安全系統有深入的理解,對於沒有技術部門的公司來說,順利導入可能會有一定的困難。
對策3:使用工具防止資訊洩露
如前所述,作為直接的預防措施,您可以通過申請「退出選擇」(Opt-Out)來拒絕ChatGPT收集您輸入的數據。
您可以從ChatGPT的設定畫面申請「退出選擇」。然而,一旦申請退出選擇,您的提示歷史將不再保存,這可能會讓許多人感到不便。
除了退出選擇設定之外,另一種方法是引入使用ChatGPT的「API」的工具。
「API(Application Programming Interface)」是OpenAI公開的一種介面,允許將ChatGPT整合到自家服務或外部工具中。OpenAI明確表示,通過ChatGPT的「API」進行的輸入輸出資訊不會被使用。
這一點在ChatGPT的使用條款中也有明確說明。根據使用條款:
3.內容
(c) 使用內容以改善服務
We do not use Content that you provide to or receive from our API (“API Content”) to develop or improve our Services.
本所不會使用您提供給本所的API或從本所的API收到的內容(「API內容」)來開發或改善本所的服務。
We may use Content from Services other than our API (“Non-API Content”) to help develop and improve our Services.
本所可能會使用來自本所API以外的服務的內容(「非API內容」)來幫助開發和改善本所的服務。
If you do not want your Non-API Content used to improve Services, you can opt out by filling out this form. Please note that in some cases this may limit the ability of our Services to better address your specific use case.
如果您不希望您的非API內容被用於改善服務,您可以通過填寫此表格來選擇退出。請注意,在某些情況下,這可能會限制本所的服務更好地滿足您特定使用案例的能力。
引用:OpenAI官方網站|ChatGPT的使用條款
對策4:實施公司內部IT素養培訓
除了迄今為止介紹的對策之外,實施公司內部培訓以提升員工的資安素養也是非常重要的。
以三星電子的案例來看,儘管公司內部不斷提醒員工注意資訊安全,但員工仍不慎輸入了機密資訊,導致資訊洩露的事件發生。因此,不僅要從系統層面預防資訊洩露,實施有關ChatGPT的知識培訓和提升IT素養的公司內部研修也是十分可取的。
如何應對ChatGPT發生的資訊洩露
一旦發生資訊洩露,迅速進行事實調查和採取對策是至關重要的。
在個人資訊洩露的情況下,根據《日本個人資訊保護法》,有義務向個人資訊保護委員會報告。同時,也必須通知當事人發生了此事態。如果個人資訊的洩露侵害了對方的權利或利益,可能會承擔民事上的損害賠償責任。此外,如果以不正當目的竊取或提供個人資訊,還可能會承擔刑事責任。
在商業秘密或技術資訊洩露的情況下,根據《日本不正競爭防止法》,可以要求洩露方採取刪除等措施。如果商業秘密或技術資訊的洩露使對方獲得不當利益,可能會承擔民事上的損害賠償責任。此外,如果以不正當手段獲取或使用商業秘密或技術資訊,還可能會承擔刑事責任。
如果違反職務上的保密義務而洩露資訊,可能會根據《日本刑法》或其他法律承擔刑事責任。此外,如果因違反職務上的保密義務而洩露資訊導致對方受損,可能會承擔民事上的損害賠償責任。
因此,根據洩露資訊的內容,需要迅速採取相應措施,並且預先建立相應的應對體系是非常重要的。
相關文章:個人資訊洩露發生了?企業應採取的行政對應措施解說[ja]
總結:備戰ChatGPT資訊洩露風險的體制建設
在此,本所對ChatGPT的資訊洩露風險及應採取的對策進行了解說。在不斷進化的ChatGPT等AI商業應用中,建議您事先諮詢熟悉法律風險且經驗豐富的律師,以便根據這些風險建立公司內部的應對機制。
不僅是資訊洩露問題,從AI商業模式的合法性審查、契約書和使用條款的起草、知識產權的保護,到隱私權的處理等,只要與兼具AI與法律知識及經驗的律師合作,您就可以放心。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的律師事務所。AI業務伴隨著許多法律風險,因此獲得精通AI相關法律問題的律師支持至關重要。本所事務所擁有精通AI的律師和工程師等專業團隊,為包括ChatGPT在內的AI業務提供契約起草、業務模式合法性審查、知識產權保護、隱私應對等高級法律支持。詳細內容請參閱下文。
Monolith法律事務所的業務範圍:AI(包括ChatGPT等)法務[ja]
Category: IT
Tag: ITTerms of Use