Päivitetty: 27. kesäk. 2024
Kirjoitimme kesäkuussa ChatGPT:n ja tekijänoikeuksien välisestä suhteesta. Tässä artikkelissa puolestaan tarkastellaan ChatGPT:n käyttöön liittyviä tietoturva- ja tietosuojariskejä. ChatGPT tallentaa käyttäjän keskusteluhistorian ja hyödyntää syötettyjä tietoja kehittääkseen itseään sekä ammentaakseen sisältöä tuleviin keskusteluihin. Ei siis ole yhdentekevää millaista tietoa sovellukseen syöttää.
OpenAI:n tietosuojakäytännöt kritiikin kohteena
Tekoälysovellukset – kuten ChatGPT – ovat uusia ja niiden hyödyntämää dataa kohtaan on odotetusti esitetty kritiikkiä. Huolta on herättänyt muun muassa ChatGPT:n rakentamista varten kerättyjen tietojen alkuperä. Asiasta kysyttäessä OpenAI on väittänyt datan kerätyn julkisista lähteistä, mutta tarkempaa selvitystä yhtiö ei ole suostunut antamaan. Yhdysvalloissa OpenAI:ta syytetään parhaillaan henkilötietojen varastamisesta ChatGPT:n koulutustarkoituksiin. Kesäkuussa nostetun ryhmäkanteen mukaan OpenAI olisi varastanut merkittäviä määriä amerikkalaisten henkilötietoja, kuten terveystietoja ja lapsia koskevia tietoja.
Käyttäjän omiin henkilötietoihin sekä sovellukseen syötettyihin tietoihin liittyy omat tietosuojahaasteensa. Tietosuojaselosteensa mukaan OpenAI takaa ChatGPT:n käyttäjän omia henkilötietoja koskevien lakisääteisten velvoitteiden noudattamisen. Ongelmallista ehdossa on se, että OpenAI toimii EU:n tietosuoja-asetuksen tarkoittamassa rekisterinpitäjän roolissa, jolloin sillä tulisi olla tietosuoja-asetuksen mukainen peruste käsitellä käyttäjän henkilötietoja. Tämä peruste jää ehdoissa epäselväksi.
Jos OpenAI:n palveluja haluaa käyttää henkilötietojen käsittelyyn tietosuoja-asetuksen tarkoittamalla tavalla, se edellyttää käyttöehtojen mukaan erillisen henkilötietojen käsittelysopimuksen tekemistä OpenAI:n kanssa. Tällöin sovelluksen käyttäjä toimii rekisterinpitäjän roolissa ja OpenAI käsittelijän roolissa. Henkilötietojen käsittelysopimuksen tekeminen on kuitenkin mahdollista ainoastaan yhtiön yrityspalveluiden asiakkaille.
ChatGPT on osa OpenAI:n kuluttajapalveluja, eikä sen käyttäjillä näin ollen ole mahdollisuutta henkilötietojen suojaamiseen sopimusteitse. Tämä tulee mahdollisesti muuttumaan jatkossa, sillä yhtiö kehittää parhaillaan yrityskäyttäjille suunnattua palvelua ChatGPT Business, jota koskisivat OpenAI:n muiden yrityspalveluiden tietosuojaehdot. Toistaiseksi tällaista palvelua ei kuitenkaan ole käytettävissä eikä henkilötietoja siten tulisi käsitellä kuin OpenAI:n nykyisten yrityspalvelujen tai mahdollisesti tulevan ChatGPT Business -palvelun puitteissa. Tällä hetkellä yritykset voivat hyödyntää ChatGPT:ta vain sallimalla työntekijöidensä käyttää sovellusta kuluttajakäyttäjinä. Tästä johtuen työntekijöille on hyvä ohjeistaa, ettei henkilötietoja tule syöttää palveluun.
Kyse muustakin kuin tietosuojasta
Yritysten on keskeistä huomioida, että ChatGPT:n käyttöön liittyy tietosuojahaasteiden lisäksi muitakin riskejä. Henkilötietojen ohella yritysten intressissä on suojata liikesalaisuuksiaan. Tällaisten tietojen syöttäminen sovellukseen on riskialtista tietoturvan näkökulmasta. Tekoälyn kaltaiseen uuteen teknologiaan liittyy riski toistaiseksi tuntemattomien haavoittuvuuksien rikollisesta hyödyntämisestä sekä suojaustoimenpiteiden pettämisestä. Sovelluksessa voi olla tietoturva-aukkoja, jotka altistavat syötettävän materiaalin tietomurroille ja tietovuodoille. Vaikka OpenAI on toteuttanut tietoturvaan liittyviä toimenpiteitä, kuten tietojen anonymisointia, tietoturvariskejä ei voida täysin poissulkea, sillä tekniikka on aina jossain määrin haavoittuvaista. ChatGPT:n käyttäjän onkin syytä noudattaa varovaisuutta ja harkita huolellisesti, millaista tietoa sovellukseen syöttää.
Tietojen käyttöä koskevan kritiikin vuoksi OpenAI on hiljattain lisännyt käyttäjien toimintamahdollisuuksia tarjoamalla kattavammin tietojen käyttöä koskevia vaihtoehtoja. Käyttäjä voi nyt poistaa ChatGPT:n kanssa käymänsä keskusteluhistorian ja kieltää syöttämänsä datan käytön tekoälyn koulutustarkoituksiin. Nämä vaihtoehdot ovat tarjolla kaikille sovelluksen käyttäjille. Vaikka riski tietojen vuotamiseen ei muutosten johdosta olekaan enää yhtä merkittävä kuin aiemmin, ei sovellukseen kannata syöttää liikesalaisuuksia. Tilannetta voi olla aiheellista arvioida uudelleen, kun OpenAI julkaisee ChatGPT Business -palvelun ja sen täsmällinen sisältö käyttöehtoineen selviää.
Moni työntekijä otti heti alkuvuodesta ChatGPT:n innolla käyttöön huomioimatta erilaisten tietojen käsittelyn turvallisuutta. Useissa yrityksissä sovelluksen varomaton käyttö johtikin kevään aikana toimenpiteisiin. Eräät Wall Street -pankit sekä muut suuret yritykset kuten Samsung ja Apple kielsivät työntekijöiltään ChatGPT:n käytön. Samsung kielsi tekoälysovellusten käytön, kun selvisi, että yrityksen työntekijä oli syöttänyt liikesalaisuudeksi katsottavaa koodia ChatGPT:n alustalle. Monissa muissa yrityksissä tekoälysovellukset on puolestaan kielletty ennaltaehkäisevänä toimenpiteenä. Näin radikaaleihin toimenpiteisiin ei välttämättä ole tarkoituksenmukaista ryhtyä, sillä tekoälysovellukset tarjoavat paljon mahdollisuuksia tehostaa yrityksen toimintaa. Jos niiden käyttö sallitaan, on henkilökunnalle tärkeää laatia selkeä ohjeistus sovellusten tietoturvallisesta käytöstä.
Muistilista yrityksille
Jos riskeistä huolimatta haluat kokeilla ChatGPT:n käyttöä, kiinnitä huomiota ainakin seuraaviin:
Noudata yleistä varovaisuutta ja ota käyttöön OpenAI:n tarjoamia vaikutusmahdollisuuksia, jos et halua, että dataa käytetään tekoälyn koulutustarkoituksiin
Laadi henkilökunnalle selkeä ohjeistus ChatGPT:n yksityisestä käytöstä
Harkitse ChatGPT Business -palvelun käyttöönottoa, kun se tulee saataville
Jos käsittelet sovelluksessa henkilötietoja (vain yrityspalvelut), huomioi tietosuojalainsäädännön vaatimukset, kuten esimerkiksi rekisteröityjen informointi sekä mahdollinen tietosuojaa koskeva vaikutustenarviointi uutta teknologiaa käyttöön ottaessa
Lainsäätäjät ryhtyneet toimenpiteisiin
Yritysten ohella myös viranomaiset ja lainsäätäjät ovat huolestuneet ChatGPT:n riskeistä. Maaliskuussa tietoturvariskien olemassaolo realisoitui, kun ChatGPT:hen kohdistui tietomurto, jonka seurauksena käyttäjien keskusteluhistorian otsikoita, joidenkin keskustelujen yksittäisiä viestejä sekä käyttäjien maksutietoja vaarantui. Muitakin ChatGPT:hen liittyviä haavoittuvuuksia on ajoittain raportoitu.
Tietomurron jälkeen Italian tietosuojaviranomainen kielsi ChatGPT:n käytön. Kiellon perusteena olivat ensinnäkin tietovuodon aiheuttamat tietosuojarikkomukset, minkä lisäksi OpenAI:lla ei nähty olleen perustetta käsitellä tietoja. Yhtiö ei myöskään informoinut käyttäjiä riittävästi henkilötietojen käsittelystä tai estänyt alle 13-vuotiaiden pääsyä palveluun. Huhtikuun lopulla Italia salli sovelluksen jatkaa toimintaansa OpenAI:n ilmoitettua tiedottavansa jatkossa avoimemmin henkilötietojen käsittelyprosessistaan, varmistavansa käyttäjien iän sekä lisäävänsä käyttäjien mahdollisuuksia vaikuttaa tietojen käyttöön.
Keskusteltuaan Italian tietosuojaviranomaisen toimista Euroopan tietosuojaneuvosto perusti ChatGPT:tä koskevan työryhmän. Sen tarkoituksena on edistää yhteistyötä ja vaihtaa tietoja mahdollisista tietosuojaviranomaisten ChatGPT:hen liittyvistä toimista. Vastaavasti EU:n lainsäädäntöelimissä on keskusteltu tekoälyä koskevan lainsäädännön tarpeesta. Merkittävin edistysaskel tällä saralla on EU-parlamentissa parhaillaan käsiteltävänä oleva EU:n tekoälysäädös (EU AI Act). Tätä ja muita EU:n digisääntelyhankkeita käsittelemme myöhemmissä artikkeleissamme.
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 27. kesäk. 2024
Yleiskatsaus ChatGPT:n toimintaan
Vuoden 2022 lopulla avattiin yleisölle suurta huomiota herättänyt sovellus, OpenAI:n kehittämä ChatGPT. Moni on sitä jo kokeillutkin, kun osa vielä pohtii, mistä on kyse. ChatGPT on tekoälypohjainen sovellus, jonka toiminta perustuu laajaan kielimallinnukseen ja koneoppimiseen. Se on opetettu ymmärtämään ja tuottamaan luonnollista kieltä monista eri aihealueista.
ChatGPT toimii siten, että käyttäjän syötettyä kysymyksen tai muun ohjeen sovellukselle, se laatii aiemmin oppimansa pohjalta vastauksen. Käyttäjä voi tämän jälkeen esittää uusia kysymyksiä tai pyytää muokkaamaan tuotosta paremmin tarkoituksiinsa soveltuvaksi, sillä sovellus muistaa keskustelun aiemmat viestit. ChatGPT:tä voi hyödyntää lukuisilla eri tavoilla ja mikä parasta, sen perusversio on ilmainen.
Houkuttelevan helppoa. Niin helppoa, ettei monikaan käyttäjä tule ajatelleeksi sovelluksen käyttöön mahdollisesti liittyviä juridisia riskejä. Etenkin tekijänoikeudelliset kysymykset tulee huomioida ChatGPT:n käytön yhteydessä. Suomessa tekijänoikeuksia säätelee tekijänoikeuslaki. Kuten arvata saattaa, laki ei kuitenkaan kaikilta osin pysy teknologisen kehityksen vauhdissa. Näin ollen moni ChatGPT:n toimintaan liittyvä tekijänoikeudellinen näkökohta jää tulkinnanvaraiseksi ja myöhemmän sääntelyn tai oikeuskäytännön täsmennettäväksi.
Tekijänoikeuksien lisäksi ChatGPT:n käyttöön voi liittyä muun ohella liikesalaisuuksien ja henkilötietojen suojaan liittyviä haasteita. Palaamme näihin tarkemmin tulevissa blogeissamme.
ChatGPT:lle syötettävä sisältö ( input )
Ennen ChatGPT:n luoman sisällön analysoimista on luotava katsaus käyttäjän syöttämään sisältöön. Lähtökohtaisesti käyttäjä omistaa ChatGPT:lle syöttämänsä sisällön, mutta hänen vastuullaan on varmistua lähdemateriaalin käytön sallittavuudesta. ChatGPT ei nimittäin arvioi sovellukseen syötetyn materiaalin tekijänoikeudellista asemaa. Tästä huolehtiminen on käyttäjän vastuulla. Open AI:n käyttöehdoissa täsmennetään, ettei sovellusta ole sallittua käyttää tavalla, jolla loukataan, väärinkäytetään tai rikotaan kenenkään oikeuksia. Loukkaavan materiaalin syöttäminen on myös kiellettyä.
ChatGPT:n luoma sisältö ( output )
Entä onko ChatGPT:n tuottama sisältö suojattu tekijänoikeudella? Kyllä, jos sen voidaan katsoa ilmentävän luovia valintoja, jolloin sitä voidaan pitää itsenäisenä teoksena. ChatGPT ei kuitenkaan itse omista tekijänoikeutta luomaansa sisältöön, sillä tekijänoikeus voi syntyä vain luonnolliselle henkilölle (”tekijälle”). Sen sijaan sovelluksen käyttäjä, joka käyttää ChatGPT:tä luovan prosessinsa tukena, voi saada tekijänoikeuden luotuun sisältöön, mikäli se ilmentää käyttäjän luovia valintoja. Milloin tämä kriteeri täyttyy, voi olla hankala arvioida. Jos käyttäjä esimerkiksi pyytää ChatGPT:tä ”kirjoittamaan rakkauslaulun”, pyyntö ei ilmennä käyttäjän luovia valintoja riippumatta siitä, millainen ChatGPT:n tuottamasta runosta tulee.
Käyttöehtojen mukaan käyttäjä omistaa lähtökohtaisesti ChatGPT:n tuottaman sisällön, mutta hänen tulee varmistua siitä, voiko sovelluksen tuottamaa materiaalia käyttää. ChatGPT luo sisältöä muiden aiemmin luoman sisällön pohjalta. Tämän vuoksi on mahdollista, että ChatGPT:n luoman tuotoksen tai jonkin sen osan tekijänoikeuden omistaakin kolmas osapuoli, mikäli tuotos on sama tai riittävän samankaltainen kuin jokin olemassa oleva teos. Tämä voi johtaa haastaviin rajanvetotilanteisiin, kun arvioidaan, mikä on olemassa olevista teoksista inspiroitumista ja mikä tekijänoikeuksien rikkomista. Käyttäjän tuleekin noudattaa varovaisuutta sovelluksen tuotosta käyttäessään, koska OpenAI ei käyttöehtojensa mukaan ota vastuuta ChatGPT:n tuottaman sisällön käytöstä.
Yhteenveto
ChatGPT on äärimmäisen houkutteleva ja nopeasti kehittyvä työkalu, joka tulee epäilemättä vaikuttamaan tietotyöhön ja luovaan työhön. Vauhtisokeudelle ei kuitenkaan kannata antaa valtaa. Sovellusta käyttäessä on hyvä toimia harkiten ja vastuullisesti. Käyttäjän on suotavaa arvioida huolellisesti syöttämänsä sisällön asianmukaisuus samoin kuin ChatGPT:n tuotoksen käytettävyys. Sovellukseen ei ole sallittua syöttää sen käyttöehtojen tai lainsäädännön vastaista, tai muulla tavoin loukkaavaa materiaalia. Myöskään luottamuksellisia tietoja tai liikesalaisuuksia ei tule syöttää.
ChatGPT:n tuotoksien juridiseen arviointiin vaikuttaa valittu näkökulma. Käyttäjän ja OpenAI:n välillä tekijänoikeuksien kohdistuminen on selkeää – käyttöehtojen mukaan kaikki oikeudet tuotoksiin luovutetaan käyttäjälle. Käyttäjän ja mahdollisten kolmansien osapuolten välillä tekijänoikeuksia on arvioitava tapauskohtaisesti, sillä koneoppimisluonteesta johtuen ChatGPT:n tuotoksiin voi sisältyä tekijänoikeuden suojaamaa sisältöä. Viime kädessä vastuu tuotosten käyttämisestä on sovelluksen käyttäjällä.
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.