如何在生成式人工智能技术环境中保护商业秘密？

图片来源@视觉中国

文 | InternetLawReview，作者 | Anthony M. Insogna等律师，众达律师事务所（Jones Day）知识产权部，翻译：《互联网法律评论》编辑部

2023年4月，三星员工因使用ChatGPT 处理工作发生三起绝密数据泄露的事件，而且均发生在三星电子半导体暨装置解决方案项目上。出于安全考虑，三星电子决定禁止员工使用ChatGPT、Google Bard和Bing等流行的生成式AI工具，并准备推出内部工具。

员工因使用生成式 AI 应用程序可能导致泄露敏感信息威胁公司的商业机密，这导致一些公司禁止员工在工作中使用这些应用程序。据此前媒体报道，摩根大通、美国银行和花旗等华尔街大行已禁止或限制使用ChatGPT。

虽然禁用是一种解决方案，但有没有既可以合理保护商业秘密同时还享受利用生成式人工智能便利的解决方案？《互联网法律评论》今日刊载众达律师事务所（Jones Day）知识产权部律师们的一篇文章，看看他们的建议。

大型语言模型等生成式 AI 应用程序已成为所有行业分析数据和生成工作产品的突破性工具。然而，正如最近的新闻所显示的那样，这些工具对公司的商业秘密构成了独特的威胁：这些应用程序捕获并存储他们的输入以训练他们的模型；一旦被捕获，输入到这些应用程序中的信息通常无法被用户删除，而且很可能会被应用程序使用、被AI背后的公司进行审查。如果员工将公司的商业秘密输入到 AI中，公司可能会面临无法保护其商业秘密的风险。 

为避免因使用人工智能系统而导致的任何披露后果，公司必须确保他们采取合理措施保护其商业秘密。本文分析了保护公司商业秘密免受员工使用生成式 AI 应用程序影响的潜在措施。

生成式人工智能无意中泄露商业秘密的可能性

生成式 AI 应用程序具有为各行各业的公司提高生产力和创建创新解决方案的巨大潜力。例如，在软件行业中，越来越多的应用程序可以解析自然和编程语言输入以生成或测试源代码。在生命科学领域，人工智能应用程序可以获取氨基酸序列并预测蛋白质结构。随着生成人工智能领域的不断创新，此类工具的潜力和使用只会继续增长。

生成式人工智能应用程序能够通过从公共来源和接收到的大量数据中推断信息、自主创建原创内容。收集的数据通常保留在支持生成人工智能应用程序的公司控制的服务器上。但是，此数据收集过程涉及使用这些应用程序的公司的各种商业秘密问题。在使用生成人工智能平台后敏感信息被泄露给第三方的报道之后，许多企业已经全面禁止和限制在工作中使用生成人工智能以保护他们的专有信息。

员工输入公司机密或其他敏感信息作为生成 AI 应用程序的提示存在三个主要问题：

1. 根据相应的最终用户许可协议的条款，支持的公司生成式 AI 应用程序可能会审查、发布或出售该敏感信息；

2. 应用程序本身可以通过使用敏感信息训练其响应来为第三方重用此敏感信息；

3. 如果支持生成人工智能应用程序的公司存在安全漏洞，第三方可能会访问敏感信息。此外，如果发生泄露，员工用户无法检索或删除输入到应用程序中并存储在应用程序中的敏感信息。

目前，可以做更多的工作来保护公司的商业秘密不被员工泄露。根据调研信息，使用生成式 AI 工具的员工中有 70% 没有向雇主报告此类使用情况。这种情况反映出许多公司在生成人工智能热潮之后尚未实施严格的政策。通过实施更新的商业秘密保护政策，公司可以更好地为日益增长的生成人工智能应用程序做好准备。 

五种使用生成式AI的防泄密策略分析 

除了公司保护其商业秘密的标准政策外，还有几种解决方案可以通过使用生成式AI进一步防止商业秘密泄露：

1、一揽子禁令

从大型跨国公司最近的一些公告中可以看出，防止通过生成式AI泄露商业秘密的一种解决方案是完全禁止将生成式AI用于与工作相关的任务。

实施此解决方案的一种方法是阻止员工下载软件和访问 Web 应用程序，这将阻止大多数员工使用它。另一种实施方式是简单地指示员工不要使用该软件，这种实施方式更简单，但在防止员工使用该软件方面效果较差。定期监控和审计有助于发现和防止潜在的违规行为。但是，这两种情况都需要不断的维护和监督才能有效。随着生成式AI的使用激增，这可能变得不切实际。

2、强大的访问控制

全面禁止生成人工智能的替代方法是限制其访问和使用。

大部分公司应该已经建立了某些协议，来限制对敏感数据的访问。同样，公司应该考虑建立协议来限制谁可以操作生成式AI系统并与之交互。除了限制谁有权访问外，公司还应考虑限制或审查可用作生成式 AI 应用程序输入的内容。例如，可以使用软件来防止将某些关键词或短语用作输入。与全面禁止一样，定期监控和审计也有助于发现和防止潜在的违规行为。相应的最终用户许可协议(end-user license agreements, EULA) 也可以告知这些注意事项。

3、企业许可证

选择允许使用生成式 AI 的公司应考虑获得企业许可证，该许可证对 AI 提供商可以对系统提示或其他输入进行的操作施加限制。例如，个人用户订阅的 EULA 可能指定输入可用于训练底层模型以供第三方使用。相比之下，企业许可证可能规定输入要么不能用于训练基础模型，要么只能由公司使用（排除第三方）。 

4、第三方保护

除了员工可能使用生成式 AI 之外，承包商和其他第三方也可能使用生成式 AI。公司必须审查其现有合同，并考虑是否对这些第三方实施上述任何政策。

5、员工教育和意识

无论公司是否禁止、限制甚至鼓励使用生成式 AI，提高员工对商业秘密保护的重要性以及与生成式 AI 相关的风险的认识至关重要。法院一直认为，公司已采取合理措施通过保持最新的员工协议和政策来保护其商业秘密。因此，公司应更新其员工手册、协议和政策以解决生成人工智能的使用问题，并开展培训计划以教育员工处理敏感信息，强调围绕商业秘密的法律和道德义务。

结论 

生成式AI的出现带来了巨大的机遇，但也为保护公司机密信息和商业秘密带来了挑战。无论公司选择禁止、限制还是允许使用生成式AI，他们都应该实施稳健的安全措施、制定明确的政策并培养意识文化以降低风险。通过积极应对这些挑战，企业可以保护其宝贵的知识产权资产，并在不断发展的人工智能领域保持竞争优势。

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App

​Read More