如何在生成式人工智能技術環境中保護商業秘密?
2023年4月,三星員工因使用ChatGPT 處理工作發生三起絕密數據泄露的事件,而且均發生在三星電子半導體暨裝置解決方案項目上。出於安全考慮,三星電子決定禁止員工使用ChatGPT、Google Bard和Bing等流行的生成式AI工具,並準備推出內部工具。
員工因使用生成式 AI 應用程序可能導致泄露敏感信息威脅公司的商業機密,這導致一些公司禁止員工在工作中使用這些應用程序。據此前媒體報道,摩根大通、美國銀行和花旗等華爾街大行已禁止或限制使用ChatGPT。
雖然禁用是一種解決方案,但有沒有既可以合理保護商業秘密同時還享受利用生成式人工智能便利的解決方案?《互聯網法律評論》今日刊載眾達律師事務所(Jones Day)知識產權部律師們的一篇文章,看看他們的建議。
大型語言模型等生成式 AI 應用程序已成為所有行業分析數據和生成工作產品的突破性工具。然而,正如最近的新聞所顯示的那樣,這些工具對公司的商業秘密構成了獨特的威脅:這些應用程序捕獲並存儲他們的輸入以訓練他們的模型;一旦被捕獲,輸入到這些應用程序中的信息通常無法被用戶刪除,而且很可能會被應用程序使用、被AI背後的公司進行審查。如果員工將公司的商業秘密輸入到 AI中,公司可能會面臨無法保護其商業秘密的風險。
為避免因使用人工智能系統而導致的任何披露後果,公司必須確保他們採取合理措施保護其商業秘密。本文分析了保護公司商業秘密免受員工使用生成式 AI 應用程序影響的潛在措施。
生成式人工智能無意中泄露商業秘密的可能性
生成式 AI 應用程序具有為各行各業的公司提高生產力和創建創新解決方案的巨大潛力。例如,在軟件行業中,越來越多的應用程序可以解析自然和編程語言輸入以生成或測試源代碼。在生命科學領域,人工智能應用程序可以獲取氨基酸序列並預測蛋白質結構。隨着生成人工智能領域的不斷創新,此類工具的潛力和使用只會繼續增長。
生成式人工智能應用程序能夠通過從公共來源和接收到的大量數據中推斷信息、自主創建原創內容。收集的數據通常保留在支持生成人工智能應用程序的公司控制的服務器上。但是,此數據收集過程涉及使用這些應用程序的公司的各種商業秘密問題。在使用生成人工智能平台後敏感信息被泄露給第三方的報道之後,許多企業已經全面禁止和限制在工作中使用生成人工智能以保護他們的專有信息。
員工輸入公司機密或其他敏感信息作為生成 AI 應用程序的提示存在三個主要問題:
1. 根據相應的最終用戶許可協議的條款,支持的公司生成式 AI 應用程序可能會審查、發布或出售該敏感信息;
2. 應用程序本身可以通過使用敏感信息訓練其響應來為第三方重用此敏感信息;
3. 如果支持生成人工智能應用程序的公司存在安全漏洞,第三方可能會訪問敏感信息。此外,如果發生泄露,員工用戶無法檢索或刪除輸入到應用程序中並存儲在應用程序中的敏感信息。
目前,可以做更多的工作來保護公司的商業秘密不被員工泄露。根據調研信息,使用生成式 AI 工具的員工中有 70% 沒有向雇主報告此類使用情況。這種情況反映出許多公司在生成人工智能熱潮之後尚未實施嚴格的政策。通過實施更新的商業秘密保護政策,公司可以更好地為日益增長的生成人工智能應用程序做好準備。
五種使用生成式AI的防泄密策略分析
除了公司保護其商業秘密的標準政策外,還有幾種解決方案可以通過使用生成式AI進一步防止商業秘密泄露:
1、一攬子禁令
從大型跨國公司最近的一些公告中可以看出,防止通過生成式AI泄露商業秘密的一種解決方案是完全禁止將生成式AI用於與工作相關的任務。
實施此解決方案的一種方法是阻止員工下載軟件和訪問 Web 應用程序,這將阻止大多數員工使用它。另一種實施方式是簡單地指示員工不要使用該軟件,這種實施方式更簡單,但在防止員工使用該軟件方面效果較差。定期監控和審計有助於發現和防止潛在的違規行為。但是,這兩種情況都需要不斷的維護和監督才能有效。隨着生成式AI的使用激增,這可能變得不切實際。
2、強大的訪問控制
全面禁止生成人工智能的替代方法是限制其訪問和使用。
大部分公司應該已經建立了某些協議,來限制對敏感數據的訪問。同樣,公司應該考慮建立協議來限制誰可以操作生成式AI系統並與之交互。除了限制誰有權訪問外,公司還應考慮限制或審查可用作生成式 AI 應用程序輸入的內容。例如,可以使用軟件來防止將某些關鍵詞或短語用作輸入。與全面禁止一樣,定期監控和審計也有助於發現和防止潛在的違規行為。相應的最終用戶許可協議(end-user license agreements, EULA) 也可以告知這些注意事項。
3、企業許可證
選擇允許使用生成式 AI 的公司應考慮獲得企業許可證,該許可證對 AI 提供商可以對系統提示或其他輸入進行的操作施加限制。例如,個人用戶訂閱的 EULA 可能指定輸入可用於訓練底層模型以供第三方使用。相比之下,企業許可證可能規定輸入要麼不能用於訓練基礎模型,要麼只能由公司使用(排除第三方)。
4、第三方保護
除了員工可能使用生成式 AI 之外,承包商和其他第三方也可能使用生成式 AI。公司必須審查其現有合同,並考慮是否對這些第三方實施上述任何政策。
5、員工教育和意識
無論公司是否禁止、限制甚至鼓勵使用生成式 AI,提高員工對商業秘密保護的重要性以及與生成式 AI 相關的風險的認識至關重要。法院一直認為,公司已採取合理措施通過保持最新的員工協議和政策來保護其商業秘密。因此,公司應更新其員工手冊、協議和政策以解決生成人工智能的使用問題,並開展培訓計劃以教育員工處理敏感信息,強調圍繞商業秘密的法律和道德義務。
結論
生成式AI的出現帶來了巨大的機遇,但也為保護公司機密信息和商業秘密帶來了挑戰。無論公司選擇禁止、限制還是允許使用生成式AI,他們都應該實施穩健的安全措施、制定明確的政策並培養意識文化以降低風險。通過積極應對這些挑戰,企業可以保護其寶貴的知識產權資產,並在不斷發展的人工智能領域保持競爭優勢。
-[文:InternetLawReview*作者:Anthony M. Insogna等律師,眾達律師事務所(Jones Day)知識產權部*翻譯:互聯網法律評論編輯部/鈦媒體]