Päivitetty: 7.7.
Tekoäly on nopeasti muuttamassa liiketoiminnan maisemaa, tuoden mukanaan ennennäkemättömiä mahdollisuuksia ja tehokkuusparannuksia. Tekoälyjärjestelmien käyttöönottoon liittyvän innostuksen keskellä ei tule kuitenkaan unohtaa järjestelmien käyttöä koskevia sopimuksia. Sopimusehdot on syytä laatia huolella ennen käyttöönottoa. Tekoälyjärjestelmiä koskeville sopimuksille ei ole vielä muodostunut selkeää markkinakäytäntöä, mikä tuo omat haasteensa tekoälyjärjestelmistä sopimiselle. Näkökulmia voi osaksi hakea vakiintuneista IT-alan sopimuskäytännöistä, minkä lisäksi sopimusten laadinnassa on huomioitava tekoälyjärjestelmien erityispiirteet sekä asteittain sovellettavaksi tuleva EU:n tekoälysäädös.
Tässä blogikirjoituksessa pohdimme muutamia keskeisiä kysymyksiä, jotka on syytä esittää, kun tekoälyjärjestelmästä ollaan sopimassa tarjoajan ja käyttäjäorganisaation välillä.
Millaisesta järjestelmästä on kyse ja mihin tekoäly perustuu?
Kun puhumme tekoälyjärjestelmistä, on ensinnäkin olennaista ymmärtää, mitä termillä oikeastaan tarkoitetaan. Usein kuulemme puhuttavan tekoälystä, vaikka todellisuudessa kyse saattaa olla perinteisemmästä robotiikasta tai automaatiosta. Tekoäly eroaa näistä siinä, että se ei pelkästään suorita ennalta määriteltyjä tehtäviä, vaan esimerkiksi oppii ja mukautuu annettujen tietojen perusteella sekä tekee päätöksiä ja ennusteita itsenäisemmin.
Tekoälyjärjestelmässä on yleensä kyse ohjelmistototeutuksesta, joka hyödyntää tekoälymallia osana kokonaisratkaisua. Tällainen järjestelmä yhdistää tekoälymallin, joka pystyy käsittelemään ja ymmärtämään sille syötettyä aineistoa, sitä hyödyntävän ohjelmiston kanssa, joka mahdollistaa tekoälyn käytön määritettyihin liiketoiminnan tarpeisiin. Tekoälymalli voi olla esimerkiksi avoin kielimalli, kuten ChatGPT:n taustalla toimiva GPT-4, joka kykenee tuottamaan inhimillistä tekstiä ja analysoimaan laajalti erilaisia tietoja.
Millainen taustalla olevan tekoälymallin sopimusketju on?
Yksi keskeinen kysymys on, kumpi osapuoli hankkii tarvittavat lisenssit järjestelmän taustalla olevaan tekoälymalliin, mikäli kyse ei ole järjestelmän tarjoajan omasta tekoälymallista. Tämä voi vaihdella järjestelmästä ja osapuolten preferensseistä riippuen. Sopimuksessa on olennaisen tärkeää kuvata osapuolten vastuut tekoälymallin osalta, jotta vältetään mahdolliset aukot sopimusketjussa.
Jos tekoälymallin lisenssit hankkii järjestelmän tarjoaja, eikä käyttäjäorganisaatio tee erillistä sopimusta lisensoijan kanssa, sopimusketjun eheyden varmistamiseksi järjestelmän tarjoajan on lähtökohtaisesti perusteltua vastata tekoälymallista suhteessa käyttäjäorganisaatioon. Järjestelmän tarjoajalla ei kuitenkaan välttämättä ole käytännössä mahdollisuutta vaikuttaa tekoälymallin toimintaan tai sovellettaviin lisenssiehtoihin, jolloin tekoälymallin osalta voi olla tarpeen soveltaa mallin omistajan lisenssiehtoja.
Jos sen sijaan käyttäjäorganisaatio tekee itse sopimuksen tekoälymallista suoraan lisensoijan kanssa, tekoälymallia koskevat vastuut eivät lähtökohtaisesti kulje tekoälyjärjestelmän tarjoajan kautta vaan suoraan lisensoijan ja käyttäjäorganisaation välillä. Lisenssiehtojen sisällön näkökulmasta näillä kahdella mallilla ei välttämättä ole suurta eroa, mikäli lisensoija tarjoaa tekoälymallin organisaatiosta riippumatta vakiolisenssiehdoillaan. Tästä huolimatta on tärkeää ymmärtää ja sopia selkeästi, miten tekoälymallia koskeva sopimus- ja vastuuketju muodostuu. Joissain tapauksissa voi olla niinkin, että kumpikin osapuoli hankkii erikseen tarvitsemansa lisenssit tekoälymalliin.
Huomionarvoista on myös, että tekoälysäädös tulee asettamaan yleiskäyttöisten tekoälymallien tarjoajille sopimusehdoista ja sopimusketjusta riippumattomia velvoitteita. Yleiskäyttöisen tekoälymallin tarjoajalla tulee olemaan esimerkiksi velvollisuus asettaa tekoälyjärjestelmän tarjoajan saataville tekoälymallia koskevaa ajantasaista dokumentaatiota, jotta tekoälyjärjestelmän tarjoaja pystyisi noudattamaan omia tekoälysäädöksen mukaisia velvoitteitaan.
Millaista dataa tekoälyjärjestelmä hyödyntää?
Tekoälyjärjestelmien tehokkuus ja hyödyllisyys perustuvat pitkälti niiden käyttämään dataan. Siksi on tärkeää ymmärtää, kenen omistamaa dataa järjestelmä hyödyntää ja millä tavoin. Tekoäly voi hyödyntää useita erilaisia datalähteitä, kuten julkisia tietovarantoja, järjestelmän tarjoajan omia tietokantoja tai käyttäjäorganisaation tuottamaa dataa. Näiden datalähteiden käyttöön liittyy useita kysymyksiä, jotka on otettava huomioon sopimusta laadittaessa.
Käyttäjäorganisaation oman datan käyttö voi tuoda merkittävää lisäarvoa, mutta samalla se nostaa esiin kysymyksiä käyttöoikeuksien laajuudesta, tietosuojasta ja tietoturvasta. Sopimuksessa on tyypillisesti tarpeen muun muassa määritellä, että asiakas säilyttää omistajuuden omaan dataansa ja järjestelmän tarjoaja käyttää dataa ainoastaan järjestelmän tarjoamiseksi sopimuksen mukaisesti. Epäselvyyksien välttämiseksi on suositeltavaa sopia myös nimenomaisesti, missä laajuudessa järjestelmän tarjoajalla on oikeus hyödyntää käyttäjäorganisaation dataa tekoälyn kouluttamiseksi, ja päättyykö kyseinen oikeus sopimuksen päättyessä.
Tekoälyjärjestelmä saattaa hyödyntää myös kolmansilta osapuolilta hankittua dataa. Tällöin on tärkeää varmistaa, että käytettävä data on laillisesti hankittua ja sen käyttöön on asianmukaiset luvat. Erityisesti avoimia kielimalleja hyödynnettäessä tekoälyjärjestelmät saattavat käyttää myös hakukoneiden kautta julkisista lähteistä löytyvää dataa. Tällöin on syytä ymmärtää, että jo lähtödata itsessään voi olla esimerkiksi virheellistä, epäasiallista, immateriaalioikeuksia loukkaavaa tai syrjivää. Tekoälysäädös tulee osaltaan tuomaan jonkinlaista selkärankaa dataan liittyvien kysymysten osalta esimerkiksi asettamalla yleiskäyttöisten tekoälymallien tarjoajille velvoitteita immateriaalioikeuksia koskevan lainsäädännön noudattamiseen liittyen sekä tekoälymallin koulutuksessa käytetystä sisällöstä tiedottamisen osalta. Kovin vankkaa tai yksiselitteistä turvaa kyseiset velvoitteet eivät kuitenkaan todennäköisesti tuo.
Suuririskisten tekoälyjärjestelmien osalta myös tekoälyjärjestelmän tarjoajalla tulee olemaan suoraan lainsäädännön nojalla datanhallintaan liittyviä velvoitteita, jotka auttavat mitigoimaan muun ohella edellä viitattuja dataan liittyviä riskejä. Mikäli sopimuksen kohteena on sen sijaan järjestelmä, jota ei luokitella suuririskiseksi tekoälyjärjestelmäksi, tekoälysäädös ei aseta juurikaan velvoitteita datanhallinnan osalta, eli sopimukseen määritetyt ehdot toimivat jatkossakin lähtökohtaisesti ainoana turvana osapuolten näkökulmasta.
Mitä immateriaalioikeuksien osalta on huomioitava?
Immateriaalioikeuksien osalta tekoälyjärjestelmiin liittyy useita huomionarvoisia näkökulmia. Edellä sivusimme jo tekoälyjärjestelmän hyödyntämän aineiston oikeuksiin liittyviä kysymyksiä, mutta sen lisäksi sopimuksessa on sovittava varsinaisen tekoälyjärjestelmän käyttöoikeuksista. Ellei kyse ole täysin asiakaskohtaisesti tilatusta järjestelmästä, jonka immateriaalioikeudet käyttäjäorganisaatio haluaa itselleen, järjestelmän tarjoajan ja käyttäjäorganisaation välisessä sopimuksessa on sovittava, millainen käyttöoikeus tekoälyjärjestelmään myönnetään. Tältä osin asiaa voisi hahmottaa pitkälti samoin kuin perinteisempienkin järjestelmien osalta. Myös tekoälyjärjestelmän käyttöoikeuksien osalta on tyypillisesti tarpeen määritellä tutut peruselementit, kuten esimerkiksi voimassaoloaika, siirrettävyys, mahdollinen konserninlaajuisuus sekä muut käyttöoikeuden ulottuvuudet ja rajoitukset.
Lisäksi immateriaalioikeuksiin liittyen on tarpeen sopia, kuka omistaa tekoälyjärjestelmän generoimat tulokset ja/tai millainen käyttöoikeus niihin myönnetään. Tekoälyjärjestelmän hyödyntämän aineiston alkuperä saattaa osaltaan vaikuttaa siihen, mitä tulosten immateriaalioikeuksista on mahdollista ja perusteltua sopia. Myös tekoälyjärjestelmän taustalla hyödynnettävän tekoälymallin käyttöehdot saattavat joissain tapauksissa määrittää, että immateriaalioikeudet tuloksiin kuuluvat tekoälymallin kehittäjälle.
Immateriaalioikeuksien osalta on väistämätöntä kiinnittää huomiota myös immateriaalioikeuksien loukkauksiin liittyviin riskeihin, jotka ovat olleet paljon esillä myös julkisessa keskustelussa. Tältä osin asiaa voisi hahmottaa siten, että varsinaisen tekoälyjärjestelmän osalta järjestelmän kehittäjän on perusteltua vastata yleisen käytännön mukaisesti siitä, että järjestelmä itsessään ei loukkaa kolmannen osapuolen immateriaalioikeuksia. Järjestelmän generoimien tulosten osalta kysymys on huomattavasti haastavampi. Tätä kysymystä arvioitaessa merkitystä on muun muassa sillä, millaista ja kenen tarjoamaa aineistoa tekoälyjärjestelmä hyödyntää. Vastuunjaon lisäksi osapuolten on suositeltavaa arvioida myös käytettävissä olevia keinoja riskien mitigoimiseksi; riskejä voidaan mitigoida esimerkiksi sillä, että järjestelmän tuottamia tuloksia ei hyödynnetä laajamittaisesti sellaisenaan, vaan ainoastaan pienemmissä määrin muun työn tukena.
Miten tekoälyjärjestelmän tuottamat tulokset validoidaan?
Mikäli kyse on suuririskisestä tekoälyjärjestelmästä, järjestelmän tarjoajalla tulee olemaan tekoälysäädöksen nojalla velvollisuus suunnitella ja kehittää järjestelmä riittävän avoimeksi, jotta käyttäjäorganisaatio voi tulkita järjestelmän tuloksia ja käyttää niitä asianmukaisesti. Suuririskisen tekoälyjärjestelmän tarjoajilla tulee lisäksi olemaan velvollisuus antaa käyttäjäorganisaatiolle käyttöohjeiden osana tietoja, jotka tukevat käyttäjäorganisaatiota järjestelmän tulosten tulkitsemisessa.
Suurimmassa osassa tapauksista järjestelmä ei kuitenkaan luokitu suuririskiseksi tekoälyjärjestelmäksi, jolloin yllä viitatut tekoälysäädöksessä kuvatut velvoitteet eivät sovellu. Silloin kun kyse on vähäisemmän riskin tekoälyjärjestelmän hankinnasta, jää jatkossakin sopimuksen määritettäväksi, millä keinoin järjestelmän tarjoaja on velvollinen tukemaan käyttäjäorganisaatiota järjestelmän tulosten validointiin liittyen. Toki myös suuririskisten järjestelmien osalta voi olla aiheellista sopia myös jatkossa tekoälysäädöstä täydentävästi järjestelmän tulosten validointiin liittyvistä vastuista ja mekanismeista, jotka auttavat mitigoimaan mahdollisia järjestelmän käytöstä aiheutuvia virheitä ja vahinkoja.
On hyvä huomioida, että tulosten validointia koskevat sopimusehdot ovat osaltaan olennaisessa roolissa arvioitaessa esimerkiksi sitä, millainen vahingonkorvausvastuu tekoälyjärjestelmän tarjoajalla on tilanteessa, jossa tekoälyjärjestelmä tekee virheen.
Millaisia vastuita lainsäädännöstä seuraa?
Huomioiden erityisesti tekoälysäädöksen velvoitteet, tekoälyjärjestelmää hankittaessa osapuolten on tärkeää ymmärtää ensinnäkin kyseisen tekoälyjärjestelmän riskiluokka ja toisekseen osapuolten roolit tekoälyn arvoketjussa.
Kuten todettu, suuririskisten tekoälyjärjestelmien osalta tekoälysäädös asettaa useita vaatimuksia. Tekoälysäädöksen sanamuodon mukaan järjestelmän tarjoaja tulee vastaamaan siitä, että suuririskinen tekoälyjärjestelmä on kyseisten vaatimusten mukainen. Suuririskisen tekoälyjärjestelmän osalta myös käyttöönottajalla tulee olemaan tekoälysäädöksessä nimenomaisesti määritettyjä vastuita. Tällöin lainsäädäntö itsessään tuo siis tulevaisuudessa molemmille osapuolille turvaa ja raameja myös sopimussuhteeseen. Suuririskisten tekoälyjärjestelmien osalta on syytä huomata lisäksi, että tekoälyjärjestelmän arvoketjussa voi olla useampia erilaisia toimijoita, joille on kullekin asetettu tekoälysäädöksessä velvoitteita. Tällaisia toimijoita ovat esimerkiksi maahantuojat ja jakelijat. Osapuolten on tärkeää tunnistaa omat ja toistensa roolit arvoketjussa sekä huomioida ne oikein myös sopimusketjussa.
Vähäisemmän riskin järjestelmille ja niitä toimittaville ja käyttäville osapuolille lainsäädäntö ei sen sijaan aseta juurikaan raameja. On siis hyvä tunnistaa ja huomioida, että tällöin sopimuksen rooli korostuu myös jatkossa, sillä osapuolten turvana toimivat ennen kaikkea sopimukseen kirjatut ehdot.
Lainsäädäntöön perustuvien vaatimusten osalta yksi huomionarvoinen näkökulma on myös kysymys siitä, miten lainsäädännön aiheuttamat muutostarpeet järjestelmään käsitellään osapuolten välisessä sopimussuhteessa. Tässä kysymyksessä korostuu erityisesti kaupallinen näkökulma – kuka vastaa muutosten aiheuttamista kustannuksista? Regulaatiovastuu on sopimusneuvottelujen ikivihreä aihe, jossa riittää argumentteja puolin ja toisin. Esimerkiksi tietosuoja-asetuksen osalta on nähty, että edes usean vuoden kuluessa sen voimaantulosta ei ole saavutettu kovinkaan selkeää konsensusta siitä, millä tavoin tietosuojalainsäädännön muutoksia koskevat vastuut tulisi jakaa järjestelmähankintoja koskevissa sopimuksissa. Myös tekoälyä koskevan lainsäädännön osalta on todennäköisesti odotettavissa samanlaista keskustelua.
Yleisemmän lainsäädäntöön liittyvän muutoshallinnan osalta sopimusta laadittaessa on lisäksi tärkeää huomioida, että vaikka tekoälysäädös tuli voimaan jo 1.8.2024, siinä kuvattujen vaatimusten ja velvoitteiden soveltaminen alkaa asteittain vasta myöhemmin. Esimerkiksi suuririskisiä tekoälyjärjestelmiä koskevia velvoitteita aletaan soveltaa vasta 36 kuukauden kuluttua tekoälysäädöksen voimaantulosta. Näin ollen jää osapuolten sovittavaksi, missä laajuudessa tekoälysäädöksen velvoitteita mahdollisesti sovelletaan sopimussuhteessa jo siirtymäaikana, ja millaisia vaikutuksia velvoitteiden voimaantulolla on sopimusosapuolten välillä. Tämä on olennainen kysymys erityisesti pidemmissä sopimussuhteissa. Jos tekoälyjärjestelmä ja sen tarjoajan toiminta eivät vielä lähtötilanteessa vastaa tekoälysäädöksen vaatimuksia, millaisia vaikutuksia vaatimusten toteuttamisella tulee olemaan sopimussuhteen aikana esimerkiksi käyttäjäorganisaatiolta perittäviin maksuihin?
Lopuksi
Myös tämän artikkelin kirjoittamisessa on käytetty osa-aikaisena työkaverina tekoälyä (ChatGPT). Ylätason bulkkitekstien tuottamisessa yleiskäyttöinen tekoälytyökalu itsessään on jo ihmisen veroinen, mutta Folksin sisältö- ja laatukriteerejä tuotokset eivät tässä tapauksessa täyttäneet. Tilanne voisi olla toinen, jos kirjoittamisessa olisi hyödynnetty Folksin tarpeisiin sovitettua tekoälyjärjestelmää. Tällöin Folksin ja tekoälyjärjestelmän tarjoajan välisessä sopimuksessa olisi toivottavasti huomioitu edellä käsittelemämme näkökulmat muun muassa sen varmistamiseksi, että tekoälyjärjestelmä ei syötä ulos toisessa toimistossa työskentelevältä kollegalta kopioitua tekstiä tai yksinomaan tekoälyjärjestelmän tarjoajan omia etuja ajavia näkökulmia.
Autamme mielellämme tarkemmin tekoälysopimuksiin ja tekoälysääntelyyn liittyvissä kysymyksissä!
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Viestintätoimisto Kaiku haastatteli toimitusjohtajaamme Anttia tekoälyn käyttöön liittyvistä juridisista haasteista.
Tekoälyn käyttö läpi toimialojen yleistyy kiihtyvällä tahdilla. Tekoälyn turvallinen käyttö edellyttää, että tekoälyyn liittyvät juridiset riskit tunnistetaan. Antti muistuttaa, että tekoälyn käytön yhteydessä on syytä kiinnittää huomiota muun muassa tekijänoikeuksiin ja liikesalaisuuksien suojaan.
Lue Antin vinkit tekoälyn käyttämiseen Viestintätoimisto Kauin sivuilta ladattavasta kehotemuotoiluoppaasta. Antin haastattelu on luettavista sivulla 32 alkaen.
Päivitetty: 27.6.2024
Kirjoitimme kesäkuussa ChatGPT:n ja tekijänoikeuksien välisestä suhteesta. Tässä artikkelissa puolestaan tarkastellaan ChatGPT:n käyttöön liittyviä tietoturva- ja tietosuojariskejä. ChatGPT tallentaa käyttäjän keskusteluhistorian ja hyödyntää syötettyjä tietoja kehittääkseen itseään sekä ammentaakseen sisältöä tuleviin keskusteluihin. Ei siis ole yhdentekevää millaista tietoa sovellukseen syöttää.
OpenAI:n tietosuojakäytännöt kritiikin kohteena
Tekoälysovellukset – kuten ChatGPT – ovat uusia ja niiden hyödyntämää dataa kohtaan on odotetusti esitetty kritiikkiä. Huolta on herättänyt muun muassa ChatGPT:n rakentamista varten kerättyjen tietojen alkuperä. Asiasta kysyttäessä OpenAI on väittänyt datan kerätyn julkisista lähteistä, mutta tarkempaa selvitystä yhtiö ei ole suostunut antamaan. Yhdysvalloissa OpenAI:ta syytetään parhaillaan henkilötietojen varastamisesta ChatGPT:n koulutustarkoituksiin. Kesäkuussa nostetun ryhmäkanteen mukaan OpenAI olisi varastanut merkittäviä määriä amerikkalaisten henkilötietoja, kuten terveystietoja ja lapsia koskevia tietoja.
Käyttäjän omiin henkilötietoihin sekä sovellukseen syötettyihin tietoihin liittyy omat tietosuojahaasteensa. Tietosuojaselosteensa mukaan OpenAI takaa ChatGPT:n käyttäjän omia henkilötietoja koskevien lakisääteisten velvoitteiden noudattamisen. Ongelmallista ehdossa on se, että OpenAI toimii EU:n tietosuoja-asetuksen tarkoittamassa rekisterinpitäjän roolissa, jolloin sillä tulisi olla tietosuoja-asetuksen mukainen peruste käsitellä käyttäjän henkilötietoja. Tämä peruste jää ehdoissa epäselväksi.
Jos OpenAI:n palveluja haluaa käyttää henkilötietojen käsittelyyn tietosuoja-asetuksen tarkoittamalla tavalla, se edellyttää käyttöehtojen mukaan erillisen henkilötietojen käsittelysopimuksen tekemistä OpenAI:n kanssa. Tällöin sovelluksen käyttäjä toimii rekisterinpitäjän roolissa ja OpenAI käsittelijän roolissa. Henkilötietojen käsittelysopimuksen tekeminen on kuitenkin mahdollista ainoastaan yhtiön yrityspalveluiden asiakkaille.
ChatGPT on osa OpenAI:n kuluttajapalveluja, eikä sen käyttäjillä näin ollen ole mahdollisuutta henkilötietojen suojaamiseen sopimusteitse. Tämä tulee mahdollisesti muuttumaan jatkossa, sillä yhtiö kehittää parhaillaan yrityskäyttäjille suunnattua palvelua ChatGPT Business, jota koskisivat OpenAI:n muiden yrityspalveluiden tietosuojaehdot. Toistaiseksi tällaista palvelua ei kuitenkaan ole käytettävissä eikä henkilötietoja siten tulisi käsitellä kuin OpenAI:n nykyisten yrityspalvelujen tai mahdollisesti tulevan ChatGPT Business -palvelun puitteissa. Tällä hetkellä yritykset voivat hyödyntää ChatGPT:ta vain sallimalla työntekijöidensä käyttää sovellusta kuluttajakäyttäjinä. Tästä johtuen työntekijöille on hyvä ohjeistaa, ettei henkilötietoja tule syöttää palveluun.
Kyse muustakin kuin tietosuojasta
Yritysten on keskeistä huomioida, että ChatGPT:n käyttöön liittyy tietosuojahaasteiden lisäksi muitakin riskejä. Henkilötietojen ohella yritysten intressissä on suojata liikesalaisuuksiaan. Tällaisten tietojen syöttäminen sovellukseen on riskialtista tietoturvan näkökulmasta. Tekoälyn kaltaiseen uuteen teknologiaan liittyy riski toistaiseksi tuntemattomien haavoittuvuuksien rikollisesta hyödyntämisestä sekä suojaustoimenpiteiden pettämisestä. Sovelluksessa voi olla tietoturva-aukkoja, jotka altistavat syötettävän materiaalin tietomurroille ja tietovuodoille. Vaikka OpenAI on toteuttanut tietoturvaan liittyviä toimenpiteitä, kuten tietojen anonymisointia, tietoturvariskejä ei voida täysin poissulkea, sillä tekniikka on aina jossain määrin haavoittuvaista. ChatGPT:n käyttäjän onkin syytä noudattaa varovaisuutta ja harkita huolellisesti, millaista tietoa sovellukseen syöttää.
Tietojen käyttöä koskevan kritiikin vuoksi OpenAI on hiljattain lisännyt käyttäjien toimintamahdollisuuksia tarjoamalla kattavammin tietojen käyttöä koskevia vaihtoehtoja. Käyttäjä voi nyt poistaa ChatGPT:n kanssa käymänsä keskusteluhistorian ja kieltää syöttämänsä datan käytön tekoälyn koulutustarkoituksiin. Nämä vaihtoehdot ovat tarjolla kaikille sovelluksen käyttäjille. Vaikka riski tietojen vuotamiseen ei muutosten johdosta olekaan enää yhtä merkittävä kuin aiemmin, ei sovellukseen kannata syöttää liikesalaisuuksia. Tilannetta voi olla aiheellista arvioida uudelleen, kun OpenAI julkaisee ChatGPT Business -palvelun ja sen täsmällinen sisältö käyttöehtoineen selviää.
Moni työntekijä otti heti alkuvuodesta ChatGPT:n innolla käyttöön huomioimatta erilaisten tietojen käsittelyn turvallisuutta. Useissa yrityksissä sovelluksen varomaton käyttö johtikin kevään aikana toimenpiteisiin. Eräät Wall Street -pankit sekä muut suuret yritykset kuten Samsung ja Apple kielsivät työntekijöiltään ChatGPT:n käytön. Samsung kielsi tekoälysovellusten käytön, kun selvisi, että yrityksen työntekijä oli syöttänyt liikesalaisuudeksi katsottavaa koodia ChatGPT:n alustalle. Monissa muissa yrityksissä tekoälysovellukset on puolestaan kielletty ennaltaehkäisevänä toimenpiteenä. Näin radikaaleihin toimenpiteisiin ei välttämättä ole tarkoituksenmukaista ryhtyä, sillä tekoälysovellukset tarjoavat paljon mahdollisuuksia tehostaa yrityksen toimintaa. Jos niiden käyttö sallitaan, on henkilökunnalle tärkeää laatia selkeä ohjeistus sovellusten tietoturvallisesta käytöstä.
Muistilista yrityksille
Jos riskeistä huolimatta haluat kokeilla ChatGPT:n käyttöä, kiinnitä huomiota ainakin seuraaviin:
Noudata yleistä varovaisuutta ja ota käyttöön OpenAI:n tarjoamia vaikutusmahdollisuuksia, jos et halua, että dataa käytetään tekoälyn koulutustarkoituksiin
Laadi henkilökunnalle selkeä ohjeistus ChatGPT:n yksityisestä käytöstä
Harkitse ChatGPT Business -palvelun käyttöönottoa, kun se tulee saataville
Jos käsittelet sovelluksessa henkilötietoja (vain yrityspalvelut), huomioi tietosuojalainsäädännön vaatimukset, kuten esimerkiksi rekisteröityjen informointi sekä mahdollinen tietosuojaa koskeva vaikutustenarviointi uutta teknologiaa käyttöön ottaessa
Lainsäätäjät ryhtyneet toimenpiteisiin
Yritysten ohella myös viranomaiset ja lainsäätäjät ovat huolestuneet ChatGPT:n riskeistä. Maaliskuussa tietoturvariskien olemassaolo realisoitui, kun ChatGPT:hen kohdistui tietomurto, jonka seurauksena käyttäjien keskusteluhistorian otsikoita, joidenkin keskustelujen yksittäisiä viestejä sekä käyttäjien maksutietoja vaarantui. Muitakin ChatGPT:hen liittyviä haavoittuvuuksia on ajoittain raportoitu.
Tietomurron jälkeen Italian tietosuojaviranomainen kielsi ChatGPT:n käytön. Kiellon perusteena olivat ensinnäkin tietovuodon aiheuttamat tietosuojarikkomukset, minkä lisäksi OpenAI:lla ei nähty olleen perustetta käsitellä tietoja. Yhtiö ei myöskään informoinut käyttäjiä riittävästi henkilötietojen käsittelystä tai estänyt alle 13-vuotiaiden pääsyä palveluun. Huhtikuun lopulla Italia salli sovelluksen jatkaa toimintaansa OpenAI:n ilmoitettua tiedottavansa jatkossa avoimemmin henkilötietojen käsittelyprosessistaan, varmistavansa käyttäjien iän sekä lisäävänsä käyttäjien mahdollisuuksia vaikuttaa tietojen käyttöön.
Keskusteltuaan Italian tietosuojaviranomaisen toimista Euroopan tietosuojaneuvosto perusti ChatGPT:tä koskevan työryhmän. Sen tarkoituksena on edistää yhteistyötä ja vaihtaa tietoja mahdollisista tietosuojaviranomaisten ChatGPT:hen liittyvistä toimista. Vastaavasti EU:n lainsäädäntöelimissä on keskusteltu tekoälyä koskevan lainsäädännön tarpeesta. Merkittävin edistysaskel tällä saralla on EU-parlamentissa parhaillaan käsiteltävänä oleva EU:n tekoälysäädös (EU AI Act). Tätä ja muita EU:n digisääntelyhankkeita käsittelemme myöhemmissä artikkeleissamme.
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.