logo

Stram til AI-skruen - unngå lekkasjer

Det er ingen tvil om at AI gir store muligheter. Like sikkert er det at ukritisk bruk innebærer uønsket risiko. Vi utforsker hvilken rettslig risiko bruken av slike verktøy kan innebære for konkurransesensitive fortrinn og kunnskap, og hvordan man kan navigere for å unngå dette.

En ny æra

Stadig flere virksomheter bruker kunstig intelligens (AI) for å skape, optimalisere innhold og effektivisere arbeidsflyt. Bare siden ChatGPT ble lansert for ti måneder siden, har over 80 prosent av alle Fortune 500-selskaper tatt i bruk verktøyet (ifølge OpenAI). Vi bruker selv AI i ulike former som nyttige og effektiviserende verktøy i arbeidshverdagen, og opplever at flere og flere virksomheter gjør det samme, særlig i teknologisektoren.

AI-tjenester som ChatGPT / OpenAI Codex, Midjourney, DALL-E 2, Tabnine, CodeT5, Copilot og et større og større utvalg andre tjenester kan brukes til å skape, effektivisere og optimalisere prosesser, innhold og kildekode, og effektivisere arbeidsflyt. Prosesser som tidligere var tidkrevende å utføre manuelt, kan nå ferdigstilles med bare noen tastetrykk.

De aller fleste er enige om at vi står ovenfor en ny æra, og at AI vil spille en stor rolle i samfunnsutviklingen fremover. Dette vil igjen utløse behov for tjenester som er tilpasset konfidensialitets- og sikkerhetskrav, samt sektorspesifikke behov. Men, inntil dette er på plass i den utstrekning som behøves, kan det være grunn til å stramme til – eller i det minste være bevisst – din virksomhets bruk av AI-tjenester.

Din input, andres output?

Innhenting av data er en grunnleggende forutsetning for – men også utfordring med – all AI. De fleste AI-baserte tjenester, som ChatGPT, bruker enorme mengder data for maskinlæring og prediksjon/utforming av svar. For at ChatGPT skal kunne "gjette" (for det er det den gjør) hva som bør være svaret på spørsmålet eller oppfordringen din, må den ha analysert nok eksempler for å kunne danne et brukbart svar. Ofte brukes enorme mengder allerede offentlig tilgjengelig data for dette formålet. Men også data som brukerne bidrar med, bidrar til kontinuerlig opplæring av intelligensen og kan potensielt gjenbrukes i tjenestenes output til andre brukere.

OpenAI, som tilbyr ChatGPT, og tilsvarende "direkte til sluttbruker"-tjenester påtar seg selv ingen konfidensialitetsforpliktelser overfor brukerne i sine tjenestevilkår. Den senere tiden har OpenAI imidlertid åpnet for at visse brukere delvis kan velge bort at egen input benyttes til videreopplæring av systemet.

Men uten et bevisst forhold til dette, kan det være særlig problematisk å bruke AI som arbeidsverktøy. Hvis ansatte ukritisk og uten tilstrekkelige forholdsregler deler informasjon med AI-tjenester som bruker informasjonen videre, oppstår det risiko for at konfidensiell informasjon lekker ut og tilgjengeliggjøres for andre.

Det finnes flere eksempler på at konfidensiell informasjon har lekket til AI. I vår ble det for eksempel avdekket at ingeniører hos Samsung hadde lagt inn en konfidensiell kildekode i Chat GPT for å optimalisere og kontrollere koden. Samsung har nå iverksatt tiltak for å kontrollere de ansattes bruk av ChatGPT, men hendelsen ble en dyrekjøpt lærepenge. Problemstillingen er ikke bare relevant for kildekode, men all informasjon med kommersiell verdi (Kildekode er dessuten ofte vernet av opphavsrett (copyright), som vil kunne innebære et ekstra beskyttelseslag. Opphavsrettsbeskyttet materiale kan i utgangspunktet ikke benyttes av andre enn legitime rettighetshavere selv om materialet er tilgjengeliggjøres for offentligheten).

Protect your secret sauce – vurder tilpassede tjenester

Verdifull informasjon som gir konkurransefortrinn har ofte vern mot urettmessig bruk av andre gjennom forretningshemmelighetsloven. To av vilkårene for å opprettholde dette vernet er imidlertid at informasjonen holdes hemmelig, og at det er iverksatt rimelige tiltak for hemmelighold.

Man kan reise spørsmål ved om å angi en forretningshemmelighet som input i f.eks. ChatGPT, OpenAI Codex eller Copilot kan anses som tilgjengeliggjøring av en forretningshemmelighet. Det kan også reises spørsmål ved om internrutinene knyttet til hemmelighold av slik informasjon har vært utilstrekkelige dersom ansatte fritt kan mate den inn i åpne AI-tjenester. Er svaret ja på ett av disse spørsmålene, kan det innebære at vernet som "forretningshemmelighet" oppløses og informasjonen faller i det fri for enhvers bruk. Muligheten for andre til å hente ut informasjonen fra tjenesten vil selvsagt ha stor betydning for i hvilken grad risikoen knyttet til dette, utløses. Men gitt de grunnleggende prinsippene for maskinlæring og viderebruk av data, kan det ikke utelukkes at informasjonen vil fremkomme i tjenestenes svar til andre i en eller annen form.

Vi råder bedrifter som besitter kommersiell sensitiv informasjon til å være bevisste på disse problemstillingene, og se etter AI-løsninger hvor konfidensialiteten av input ivaretas. OpenAI sine API-baserte ChatGPT løsninger bruker visstnok ikke input til å trene løsningen. OpenAI lanserer også i disse dager sin Enterprise-løsning for ChatGPT, som visstnok i større grad vil begrense tjenestens bruk av brukernes input. Det finnes også bransjespesifikke tjenester (f.eks. for advokatbransjen) som er bedre tilpasset sektorspesifikke behov for konfidensialitet og ivaretakelse av konkurransefortrinn.

Virksomheter som ønsker at ansatte tar i bruk AI-baserte tjenester bør uansett ha klare retningslinjer for bruk av disse, og hva slags informasjon selskapet tillater at brukes som input (og ikke minst krav til kritisk vurdering av output). Dette er spesielt viktig hvis selskapet forvalter andres forretningshemmeligheter og konfidensielle informasjon i tillegg til sin egen. Ukritisk bruk av AI kan i slike tilfeller medføre ansvar overfor samarbeidspartnere for brudd på konfidensialitetsforpliktelser de har påtatt seg i samarbeidet.

Cease and desist! Brudd på andres iPR?

Den andre siden av risikoen omtalt ovenfor er at ukritisk bruk av output fra AI-tjenester, kan innebære risiko for inngrep i andres immaterielle rettigheter. Et eksempel på dette finner vi i en pågående sak hvor flere ukjente rettighetshavere har gått til søksmål mot GitHub, Microsoft og OpenAI. Saksøkerne hevder at GitHub sitt AI-baserte programmeringsverktøy Copilot har brukt deres opphavsrettslige beskyttede kode til å trene Copilot sin kunstige intelligens, uten å overholde vilkårene i lisensene koden er underlagt (herunder kravet til akkreditering). Saksøkerne mener også at Copilot ulovlig reproduserer saksøkernes kode til øvrige brukere av Copilot. Andre sin bruk av denne koden, som man altså kan få tilgang til gjennom tjenestene uten å vite det, vil i prinsippet også kunne innebære selvstendige brudd på saksøkernes opphavsrett.

Selv om det vil være vanskelig å helgardere seg mot risikoen for brudd på andres immaterielle rettigheter ved bruk av AI, er det flere tiltak som langt på vei minsker risikoen. Et fornuftig første steg kan være å dobbeltsjekke koden man får som output dersom man anvender AI til å generere kildekode, herunder utføre automatiserte skanninger i forsøk på å avdekke kodens opprinnelse, og om bruk av den eventuelt er underlagt lisensvilkår.

Leverandørers bruk av AI bør avtalereguleres

I tillegg bør bedrifter som benytter seg av leverandører, konsulenter eller andre tredjeparter til å utvikle IP og programvare, avtaleregulere leverandørens muligheter til å bruke AI ved utførelse av arbeidet. På denne måten kan man på forhånd fordele eller begrense risiko for AI-relaterte rettighetsbrudd.

Dette er nok et tema som vil fremheves mer og mer i relasjon til transaksjoner knyttet til teknologitunge selskaper og virksomheter. For å gardere seg mot brudd på andres immaterielle rettigheter, kan kjøpere etter hvert f.eks. komme til å kreve at selgerne (i) stiller garantier for at det ikke er brukt AI ved generering av selskapets kildekode, eller (ii) at det inntas mer vide skadesløsholdelser for brudd på tredjeparter sine immaterielle rettigheter enn det tradisjonelt er gjort.

Skade på egen IP-portefølje

En annen risiko ved bruk av AI er at det enda er relativt uavklart hvor grensen går for når man kan få opphavsrett til kildekode og annet materiale (f.eks. video, bilder og tekst) som er utviklet ved bruk av AI. Den rådende oppfatningen i norsk rett er at innhold som utelukkende skapes av AI, ikke er opphavsrettslig beskyttet. Man vil derfor ikke få enerett til å råde over f.eks. en kildekode som skrives av AI alene.

Mer usikkert er det om man kan få opphavsrett til f.eks. kildekode som delvis er utviklet ved hjelp fra AI. Hvor stor menneskelig deltakelse kreves? Dette er det utfordrende å gi et klart svar på, og selv om det i utgangspunktet er vanskelig å sannsynliggjøre at noen har brukt AI til å skrive hele eller deler av en kildekode, vil vi anbefale at bedrifter gjør sine ansatte oppmerksomme på at omfattende bruk av AI kan gjøre det vanskeligere å hevde opphavsrett til kildekode. Dette kan påvirke selskapets konkurransefortrinn, freedom to operate og til syvende og sist verdsettelse.

Ansvarlig bruk er bra bruk

Det eneste som er sikkert, er at AI garantert har kommet for å bli. Dette bringer med seg enorme muligheter, men som det fremgår av det overnevnte, bør ikke virksomheter bruke AI ukritisk. For ikke å falle for langt bak utviklingen, bør man selvsagt utforske og lære seg til å bruke slike verktøy - men virksomheter oppfordres til å knesette prinsipper og retningslinjer for både virksomhetens og de ansattes bruk av verktøyene. Hvis ikke, risikerer man i verste fall faktisk å miste konkurransefortrinn, fremfor å skape dem.

Har du spørsmål eller trenger bistand i forbindelse med bruk av AI? Ta kontakt med våre kontaktpersoner i avdelingen for Teknologi og Innovasjon.

Nyhetsbrev

Vil du motta relevante nyheter og invitasjoner på e-post?