Kirjoitimme kesäkuussa ChatGPT:n ja tekijänoikeuksien välisestä suhteesta. Tässä artikkelissa puolestaan tarkastellaan ChatGPT:n käyttöön liittyviä tietoturva- ja tietosuojariskejä. ChatGPT tallentaa käyttäjän keskusteluhistorian ja hyödyntää syötettyjä tietoja kehittääkseen itseään sekä ammentaakseen sisältöä tuleviin keskusteluihin. Ei siis ole yhdentekevää millaista tietoa sovellukseen syöttää.
OpenAI:n tietosuojakäytännöt kritiikin kohteena
Tekoälysovellukset – kuten ChatGPT – ovat uusia ja niiden hyödyntämää dataa kohtaan on odotetusti esitetty kritiikkiä. Huolta on herättänyt muun muassa ChatGPT:n rakentamista varten kerättyjen tietojen alkuperä. Asiasta kysyttäessä OpenAI on väittänyt datan kerätyn julkisista lähteistä, mutta tarkempaa selvitystä yhtiö ei ole suostunut antamaan. Yhdysvalloissa OpenAI:ta syytetään parhaillaan henkilötietojen varastamisesta ChatGPT:n koulutustarkoituksiin. Kesäkuussa nostetun ryhmäkanteen mukaan OpenAI olisi varastanut merkittäviä määriä amerikkalaisten henkilötietoja, kuten terveystietoja ja lapsia koskevia tietoja.
Käyttäjän omiin henkilötietoihin sekä sovellukseen syötettyihin tietoihin liittyy omat tietosuojahaasteensa. Tietosuojaselosteensa mukaan OpenAI takaa ChatGPT:n käyttäjän omia henkilötietoja koskevien lakisääteisten velvoitteiden noudattamisen. Ongelmallista ehdossa on se, että OpenAI toimii EU:n tietosuoja-asetuksen tarkoittamassa rekisterinpitäjän roolissa, jolloin sillä tulisi olla tietosuoja-asetuksen mukainen peruste käsitellä käyttäjän henkilötietoja. Tämä peruste jää ehdoissa epäselväksi.
Jos OpenAI:n palveluja haluaa käyttää henkilötietojen käsittelyyn tietosuoja-asetuksen tarkoittamalla tavalla, se edellyttää käyttöehtojen mukaan erillisen henkilötietojen käsittelysopimuksen tekemistä OpenAI:n kanssa. Tällöin sovelluksen käyttäjä toimii rekisterinpitäjän roolissa ja OpenAI käsittelijän roolissa. Henkilötietojen käsittelysopimuksen tekeminen on kuitenkin mahdollista ainoastaan yhtiön yrityspalveluiden asiakkaille.
ChatGPT on osa OpenAI:n kuluttajapalveluja, eikä sen käyttäjillä näin ollen ole mahdollisuutta henkilötietojen suojaamiseen sopimusteitse. Tämä tulee mahdollisesti muuttumaan jatkossa, sillä yhtiö kehittää parhaillaan yrityskäyttäjille suunnattua palvelua ChatGPT Business, jota koskisivat OpenAI:n muiden yrityspalveluiden tietosuojaehdot. Toistaiseksi tällaista palvelua ei kuitenkaan ole käytettävissä eikä henkilötietoja siten tulisi käsitellä kuin OpenAI:n nykyisten yrityspalvelujen tai mahdollisesti tulevan ChatGPT Business -palvelun puitteissa. Tällä hetkellä yritykset voivat hyödyntää ChatGPT:ta vain sallimalla työntekijöidensä käyttää sovellusta kuluttajakäyttäjinä. Tästä johtuen työntekijöille on hyvä ohjeistaa, ettei henkilötietoja tule syöttää palveluun.
Kyse muustakin kuin tietosuojasta
Yritysten on keskeistä huomioida, että ChatGPT:n käyttöön liittyy tietosuojahaasteiden lisäksi muitakin riskejä. Henkilötietojen ohella yritysten intressissä on suojata liikesalaisuuksiaan. Tällaisten tietojen syöttäminen sovellukseen on riskialtista tietoturvan näkökulmasta. Tekoälyn kaltaiseen uuteen teknologiaan liittyy riski toistaiseksi tuntemattomien haavoittuvuuksien rikollisesta hyödyntämisestä sekä suojaustoimenpiteiden pettämisestä. Sovelluksessa voi olla tietoturva-aukkoja, jotka altistavat syötettävän materiaalin tietomurroille ja tietovuodoille. Vaikka OpenAI on toteuttanut tietoturvaan liittyviä toimenpiteitä, kuten tietojen anonymisointia, tietoturvariskejä ei voida täysin poissulkea, sillä tekniikka on aina jossain määrin haavoittuvaista. ChatGPT:n käyttäjän onkin syytä noudattaa varovaisuutta ja harkita huolellisesti, millaista tietoa sovellukseen syöttää.
Tietojen käyttöä koskevan kritiikin vuoksi OpenAI on hiljattain lisännyt käyttäjien toimintamahdollisuuksia tarjoamalla kattavammin tietojen käyttöä koskevia vaihtoehtoja. Käyttäjä voi nyt poistaa ChatGPT:n kanssa käymänsä keskusteluhistorian ja kieltää syöttämänsä datan käytön tekoälyn koulutustarkoituksiin. Nämä vaihtoehdot ovat tarjolla kaikille sovelluksen käyttäjille. Vaikka riski tietojen vuotamiseen ei muutosten johdosta olekaan enää yhtä merkittävä kuin aiemmin, ei sovellukseen kannata syöttää liikesalaisuuksia. Tilannetta voi olla aiheellista arvioida uudelleen, kun OpenAI julkaisee ChatGPT Business -palvelun ja sen täsmällinen sisältö käyttöehtoineen selviää.
Moni työntekijä otti heti alkuvuodesta ChatGPT:n innolla käyttöön huomioimatta erilaisten tietojen käsittelyn turvallisuutta. Useissa yrityksissä sovelluksen varomaton käyttö johtikin kevään aikana toimenpiteisiin. Eräät Wall Street -pankit sekä muut suuret yritykset kuten Samsung ja Apple kielsivät työntekijöiltään ChatGPT:n käytön. Samsung kielsi tekoälysovellusten käytön, kun selvisi, että yrityksen työntekijä oli syöttänyt liikesalaisuudeksi katsottavaa koodia ChatGPT:n alustalle. Monissa muissa yrityksissä tekoälysovellukset on puolestaan kielletty ennaltaehkäisevänä toimenpiteenä. Näin radikaaleihin toimenpiteisiin ei välttämättä ole tarkoituksenmukaista ryhtyä, sillä tekoälysovellukset tarjoavat paljon mahdollisuuksia tehostaa yrityksen toimintaa. Jos niiden käyttö sallitaan, on henkilökunnalle tärkeää laatia selkeä ohjeistus sovellusten tietoturvallisesta käytöstä.
Muistilista yrityksille
Jos riskeistä huolimatta haluat kokeilla ChatGPT:n käyttöä, kiinnitä huomiota ainakin seuraaviin:
Noudata yleistä varovaisuutta ja ota käyttöön OpenAI:n tarjoamia vaikutusmahdollisuuksia, jos et halua, että dataa käytetään tekoälyn koulutustarkoituksiin
Laadi henkilökunnalle selkeä ohjeistus ChatGPT:n yksityisestä käytöstä
Harkitse ChatGPT Business -palvelun käyttöönottoa, kun se tulee saataville
Jos käsittelet sovelluksessa henkilötietoja (vain yrityspalvelut), huomioi tietosuojalainsäädännön vaatimukset, kuten esimerkiksi rekisteröityjen informointi sekä mahdollinen tietosuojaa koskeva vaikutustenarviointi uutta teknologiaa käyttöön ottaessa
Lainsäätäjät ryhtyneet toimenpiteisiin
Yritysten ohella myös viranomaiset ja lainsäätäjät ovat huolestuneet ChatGPT:n riskeistä. Maaliskuussa tietoturvariskien olemassaolo realisoitui, kun ChatGPT:hen kohdistui tietomurto, jonka seurauksena käyttäjien keskusteluhistorian otsikoita, joidenkin keskustelujen yksittäisiä viestejä sekä käyttäjien maksutietoja vaarantui. Muitakin ChatGPT:hen liittyviä haavoittuvuuksia on ajoittain raportoitu.
Tietomurron jälkeen Italian tietosuojaviranomainen kielsi ChatGPT:n käytön. Kiellon perusteena olivat ensinnäkin tietovuodon aiheuttamat tietosuojarikkomukset, minkä lisäksi OpenAI:lla ei nähty olleen perustetta käsitellä tietoja. Yhtiö ei myöskään informoinut käyttäjiä riittävästi henkilötietojen käsittelystä tai estänyt alle 13-vuotiaiden pääsyä palveluun. Huhtikuun lopulla Italia salli sovelluksen jatkaa toimintaansa OpenAI:n ilmoitettua tiedottavansa jatkossa avoimemmin henkilötietojen käsittelyprosessistaan, varmistavansa käyttäjien iän sekä lisäävänsä käyttäjien mahdollisuuksia vaikuttaa tietojen käyttöön.
Keskusteltuaan Italian tietosuojaviranomaisen toimista Euroopan tietosuojaneuvosto perusti ChatGPT:tä koskevan työryhmän. Sen tarkoituksena on edistää yhteistyötä ja vaihtaa tietoja mahdollisista tietosuojaviranomaisten ChatGPT:hen liittyvistä toimista. Vastaavasti EU:n lainsäädäntöelimissä on keskusteltu tekoälyä koskevan lainsäädännön tarpeesta. Merkittävin edistysaskel tällä saralla on EU-parlamentissa parhaillaan käsiteltävänä oleva EU:n tekoälysäädös (EU AI Act). Tätä ja muita EU:n digisääntelyhankkeita käsittelemme myöhemmissä artikkeleissamme.
Susanna Kesseli
Junior Counsel
+358 40 071 7794
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.