Liikesalaisuuden suoja tekoälyn aikakaudella

Generatiiviset tekoälytyökalut muodostavat mahdollisen uhan yritysten liikesalaisuuksille.

Työtehtävissään generatiivista tekoälyä hyödyntävä työntekijä saattaa huolimattomuuttaan paljastaa yrityksen arkaluonteista tietoa työpaikan ulkopuolisille, mikä puolestaan voi johtaa siihen, että työnantaja kieltää tekoälytyökalujen käytön työpaikalla kokonaan. Käsillä olevaan ongelmaan on tekoälyn kieltämisen lisäksi myös muita ratkaisuja, joiden avulla yritykset voivat suojella liikesalaisuuksiaan samalla, kun tekoälyn hyödyistä otetaan kaikki irti. Euroopan unionissa (EU) ongelmaan on havahtunut myös lainsäätäjä, ja liikesalaisuuden suojan suhdetta tekoälyyn sivutaankin EU:n tulevassa tekoälyasetuksessa (Euroopan parlamentin ja neuvoston asetus tekoälyä koskevista yhdenmukaistetuista säännöistä ja tiettyjen unionin säädösten muuttamisesta).

Kun työntekijä syöttää yrityksen luottamuksellista tietoa kehotteena generatiiviseen tekoälypalveluun, on liikesalaisuuksien suojan kannalta käsillä kolme ensisijaista huolenaihetta: Ensinnäkin tekoälysovelluksen takana oleva yritys voi mahdollisesti tarkastella, luovuttaa tai myydä kyseisiä tietoja eteenpäin. Toiseksi sovellus saattaa käyttää tietoja tekoälyn kouluttamiseen ja sitten jakaa niitä muille tekoälyn käyttäjille palvelun antamien vastausten muodossa. Kolmanneksi salaisiin tietoihin saatetaan päästä käsiksi, jos generatiivista tekoälypalvelua tarjoavaan yritykseen tehdään tietoturvaloukkaus.

Liikesalaisuudesta immateriaalioikeutena

Liikesalaisuuksien salassapito on erityisen tärkeää, jotta yritys voi säilyttää erottuvuutensa ja kilpailuetunsa markkinoilla. Suomessa liikesalaisuuden määritelmä on kirjattu liikesalaisuusdirektiivin (2016/943/EY) perusteella vuonna 2018 säädettyyn liikesalaisuuslakiin. Lain 2 §:n 1 kohdan mukaan liikesalaisuudella tarkoitetaan tietoa, joka on salaista, jolla on taloudellista arvoa, ja jota tosiasiallisesti pidetään salassa. Jotta kyseessä on liikesalaisuus, on kaikkien kolmen kriteerin täytyttävä. EU:n tasolla liikesalaisuutta suojataan perusoikeutena: Teollis- ja tekijänoikeuksien turvaaminen on kirjattu EU:n perusoikeuskirjan (2000/C 364/01) 17 artiklan 2 kohtaan.

Liikesalaisuus ei ole immateriaalioikeus termin perinteisessä merkityksessä. Liikesalaisuuden suoja eroaa muista immateriaalioikeuksista siten, ettei se tuota haltijalleen yksinoikeutta oikeuden kohteena olevaan liikesalaisuuteen, vaan sen sijaan estää liikesalaisuudeksi katsottavan tiedon siirtymisen toiselle moraalisesti tuomittavalla tavalla. Liikesalaisuuslain mukaan kiellettyä on liikesalaisuuden oikeudeton hankkiminen, ilmaiseminen ja käyttäminen. Jotta vapaa kilpailu toimisi, myös muilla yrityksillä tulee olla oikeus saman salaisen tiedon hankkimiseen laillisesti, kuten itsenäisen kehitystyön tai käänteismallinnuksen keinoin. Jos työntekijä ilmaisee liikesalaisuuden vahingossa, ei teko ole rikosoikeudellisesti rangaistava, joskin siitä saattaa seurata siviilioikeudellisia seuraamuksia.

Mitä liikesalaisuudelle tapahtuu, kun se syötetään generatiiviseen tekoälypalveluun?

Kun liikesalaisuuksina pidettäviä tietoja syötetään generatiiviseen tekoälypalveluun, menettävät ne mitä luultavimmin asemansa liikesalaisuuksina. Tällöin liikesalaisuuden määritelmän täyttymisen edellyttämä salaisuusvaatimus ei enää toteudu. Tekoälypalveluiden tarjoajat, kuten OpenAI ja vastikään Suomeen rantautuneen kielimalli Bardin kehittänyt Google varoittavatkin käyttäjiään jakamasta palveluihinsa arkaluonteisia tai henkilökohtaisia tietoja.

OpenAI kertoo nettisivuillaan käyttävänsä kielimalli ChatGPT:hen ja kuvageneraattori DALL-E:en syötettyä ja tekoälyn sen perusteella tuottamaa sisältöä palveluidensa parantamiseen, ellei käyttäjä tästä nimenomaisesti kieltäydy. OpenAI:n tekoälykouluttajat voivat siis tarkastella käyttäjien keskusteluja ja hyödyntää niiden sisältöä tekoälytyökalujensa kouluttamisessa. Tekoälypalveluiden hyödyntämä sisältö muodostuu palveluun syötetyistä kehotuksista ja tekoälyn niihin antamista vastauksista sekä palveluun ladatuista ja tekoälyn tuottamista kuvista.

OpenAI toteaa, ettei se hyödynnä API-alustalle (Application programming interface) syötettyjä ja alustan tuottamia tietoja tekoälymallien kouluttamiseen tai palvelutarjonnan parantamiseen, ellei käyttäjä nimenomaisesti päätä jakaa tietojaan kyseistä tarkoitusta varten. API:lla tarkoitetaan kehittäjille ja yrityksille suunnattua ohjelmointirajapintaa, joka sisältää useita OpenAI:n kehittämiä tekoälymalleja.

OpenAI:n mukaan yritys ei hyödynnä käyttäjien tietoja myöskään palveluiden myymiseen, mainontaan tai henkilöprofiilien luomiseen. ChatGPT mahdollistaa keskusteluhistorian poistamisen tilanteissa, joissa käyttäjä on nimenomaisesti kieltäytynyt tietojensa hyödyntämisestä palvelun kehittämistarkoituksiin. Muutoin ainoastaan keskustelun tunnistetietojen poistaminen on mahdollista. Yksittäisiä kehotuksia ei voi poistaa. OpenAI kertoo jakavansa sisältöä kolmansien palveluntarjoajien kanssa.

ChatGPT:hen ja DALL-E:en syötettyä tietoa voidaan siis tarkastella, jakaa eteenpäin kolmansille palveluntarjoajille ja hyödyntää palvelun kehittämisessä tekoälymallia kouluttamalla, ellei käyttäjä ole nimenomaisesti tästä kieltäytynyt.

EU:ssa generatiivisten tekoälypalveluiden tuottajilta tullaan todennäköisesti tulevaisuudessa vaatimaan tiettyjen toiminnan läpinäkyvyyttä koskevien vaatimusten täyttymistä. EU:n parlamentin kesäkuussa 2023 julkaisemassa ehdotuksessa tekoälyasetukseksi edellytetään, että generatiivisen tai sisältöä tuottavan tekoälypalvelun tarjoajan on kerrottava käyttäjilleen, että sisällön on tuottanut tekoäly, kehitettävä järjestelmää siten, että laittoman sisällön tuottaminen estetään ja julkaistava yhteenvetoja tekoälyn kouluttamiseen käytettävästä tekijänoikeuksin suojatusta datasta.

Miten yritykset ovat reagoineet tekoälyn käyttöön työpaikoillaan?

Kevään aikana on uutisoitu teknologiyritysten, kuten Samsungin ja Applen päätöksistä rajoittaa ChatGPT:n ja muiden generatiivisten tekoälytyökalujen käyttöä työpaikoillaan. Taustalla vaikuttaa pelko liikesalaisuuksien vuotamisesta julkisuuteen. Samsungin kohdalla näin tapahtuikin; työntekijät käyttivät ChatGPT:tä apuna työtehtäviensä suorittamisessa ja jakoivat samalla yrityksen liikesalaisuuksina pidettäviä tietoja OpenAI:lle.

Kolmessa erillisessä tapauksessa Samsungin työntekijät liittivät luottamuksellisen lähdekoodin ChatGPT:hen tarkoituksenaan tarkistaa, onko koodissa virheitä, jakoivat tekoälypalvelulle koodia sen optimointitarkoituksessa sekä latasivat palvelulle kokousnauhoituksen tarkoituksenaan luoda sen pohjalta muistiinpanot esitystä varten. Tapahtumien seurauksena teknologiayritys päätti rajoittaa generatiivisten tekoälytyökalujen käyttöä yrityksen omistamissa laitteissa sekä kaikissa laitteissa, joilla on pääsy sisäisiin verkkoihin. Tällä hetkellä Samsung harkitsee oman sisäisen tekoälychatbottinsa rakentamista.

Apple on seurannut Samsungin jalanjälkiä ja rajoittanut sekin ChatGPT:n ja muiden ulkoisten tekoälytyökalujen käyttöä työpaikoillaan. OpenAI:n ChatGPT:n ohella Apple on kieltänyt työntekijöitään käyttämästä Microsoftin omistaman GitHubin Copilotia, joka kirjoittaa koodia ohjelmistokehittäjien puolesta. Myös JPMorgan Chase -pankki ja Verizon-teleoperaattori ovat rajoittaneet ChatGPT:n kaltaisia palveluita työpaikoillaan samalla, kun Amazon on kehottanut työntekijöitään hyödyntämään työssään talon sisäisiä tekoälytyökaluja ulkoisten sijaan.

Yhdysvaltalaisen eri alojen ammattilaisille suunnatun sosiaalisen verkosto Fishbowlin maaliskuussa tuottaman tutkimuksen mukaan jopa 70 prosenttia ChatGPT:tä tai muita tekoälytyökaluja työssään käyttävistä työntekijöistä ei ilmoita käytöstä työnantajalleen. Kyselyyn vastasi yli 11 700 Fishbowl-alustan käyttäjää, joiden joukossa oli esimerkiksi sellaisten suurten yritysten, kuten Amazonin, Googlen ja Twitterin työntekijöitä. Kyselyyn vastanneista 43 prosenttia ilmoitti käyttävänsä generatiivisia tekoälytyökaluja apuna työhönsä liittyvissä tehtävissä, kun tammikuussa vastaava osuus oli 27 prosenttia.

Yhdysvaltalaistutkimuksen tulokset osoittavat, että generatiivisten tekoälypalveluiden käyttö työpaikoilla yleistyy. Työnantajan tietämättömyys tekoälytyökalujen käytöstä kuitenkin viestii yritysten sisäisen sääntelyn puutteesta. Kun yritykset eivät ole määritelleet työpaikoillaan selkeitä tekoälypalveluita koskevia toimintamalleja, kasvaa riski tekoälypalveluiden kautta tapahtuvasta liikesalaisuuksien vuodosta.

Kieltää, rajoittaa vai sallia?

Työnantajalla on käytössään useita eri keinoja, joilla liikesalaisuuksia voidaan pyrkiä suojaamaan tekoälyn aikakaudella. Ensinnäkin generatiivisen tekoälyn käyttö voidaan kieltää tai sitä voidaan rajoittaa. Työntekijöitä voidaan estää lataamasta tekoälyohjelmistoa koneelleen ja käyttämästä palveluiden verkkoversioita. Mahdollista on myös kieltää työkalujen käyttö pelkällä ohjeistuksella. Tekoälypalveluiden kieltäminen kokonaan saattaa kuitenkin asettaa yrityksen epäedulliseen kilpailuasemaan tekoälyä hyödyntäviin yrityksiin nähden. Vaihtoehtoisesti yritykset voivat rajoittaa sitä, kuka generatiivista tekoälyä voi ylipäätään käyttää sekä sitä, mitä tietoa tekoälypalveluun voidaan syöttää. Esimerkiksi tiettyjen avainsanojen tai –lauseiden käyttö voidaan estää.

Liikesalaisuuksien suojaamiseksi yritykset voivat pyrkiä hyödyntämään talon sisäisiä tekoälypalveluita ulkoisten sijaan. Yrityksillä voi myös olla mahdollisuus hankkia yrityslisenssi generatiivisen tekoälypalvelun tarjoajalta. Lisenssi asettaa rajoituksia sille, mitä tekoälyn tarjoaja voi tehdä kehotteilla tai muilla järjestelmään syötetyillä tiedoilla. Yrityslisensseillä voidaan esimerkiksi määrätä, ettei syötteitä voida käyttää taustalla olevien mallien kouluttamiseen.

Viimeisempänä, muttei suinkaan vähäisimpänä työnantajan keinona liikesalaisuuksien varjelemisessa voidaan pitää työntekijöiden kouluttamista. Yritysten tulisi päivittää työntekijöitään koskeva ohjeistus, sopimukset ja toimintaperiaatteet siten, että niissä käsitellään generatiivisen tekoälyn käyttöä sekä kouluttaa henkilöstöä arkaluonteisten tietojen käsittelystä ja liikesalaisuuksiin liittyvistä oikeudellisista ja eettisistä velvoitteista.

Tekoälyasetuksen merkitys liikesalaisuuden suojalle

EU:n tuleva tekoälyasetus on voimaan astuessaan maailman ensimmäinen kattava tekoälylaki. Asetuksessa käsitellään muun muassa tekoälyn käytön ja siihen liittyvien erityispiirteiden suhdetta EU:n perusoikeuskirjassa vahvistettuihin perusoikeuksiin, joihin liikesalaisuuden suoja lukeutuu. Tuleva tekoälyasetus pyrkii varmistamaan perusoikeuksien suojelun korkean tason ja puuttumaan eri riskilähteisiin riskiperusteisen lähestymistavan avulla. Tällä hetkellä asetusehdotuksesta omat versionsa tehneet Euroopan komissio, Eurooppa-neuvosto ja Euroopan parlamentti neuvottelevat lopullisen asetuksen sisällöstä.

Komission asetusehdotuksen luottamuksellisuutta käsittelevän 70 artiklan mukaan asetuksen soveltamiseen osallistuvien luonnollisten henkilöiden ja oikeushenkilöiden on toiminnassaan pyrittävä liikesalaisuuksien suojelemiseen. Luottamuksellisia liiketoimintatietoja ja liikesalaisuuksia tulee suojella teollis- ja tekijänoikeuksien noudattamisen varmistamisesta annetun direktiivin (2004/48/EY) ja liikesalaisuusdirektiivin (2016/943/EY) säännösten mukaisesti.

Tekoälyyn liittyvät erityispiirteet, kuten läpinäkymättömyys, voivat vaikuttaa perusoikeuksiin kielteisesti, minkä vuoksi esimerkiksi generatiivisilta tekoälypalveluilta edellytetään jo edellä mainittujen läpinäkyvyysvaatimusten täyttymistä. Komission asetusehdotuksen mukaan nämä läpinäkyvyyttä lisäävät velvoitteet eivät kuitenkaan vaikuta suhteettomasti teollis- ja tekijänoikeuksien suojaa koskevaan oikeuteen, sillä ne koskevat ainoastaan sellaisia vähimmäistietoja, joita tarvitaan oikeussuojakeinojen tehokkaaseen käyttöön ja valvonta- ja täytäntöönpanoviranomaisten toiminnan tarvittavan läpinäkyvyyden takaamiseen.

Sitovien oikeusohjeiden lisäksi tekoälyä koskeva, liikesalaisuuden suojaan vaikuttava sääntely voi olla myös vapaaehtoista. Esimerkkinä tästä voidaan pitää maailmanlaajuisen tekoälyasiantuntijoiden ja datatieteilijöiden muodostaman World Ethical Data Foundation -nimisen säätiön heinäkuussa julkaisemaa tekoälytuotteiden turvalliseen kehittämiseen tähtäävää viitekehystä, jonka 84 kysymystä sisältävää tarkastuslistaa tekoälytuotteiden kehittäjät voivat työssään hyödyntää. Kysymyksissä käsitellään muun muassa eri alueiden tietosuojalainsäädäntöä, tilanteita, joissa tekoälyn tuotos johtaa lain rikkomiseen ja sitä, onko käyttäjälle selvää, että hän on tekoälyn kanssa vuorovaikutuksessa.

Lopuksi

Generatiiviset tekoälypalvelut ovat osoittautuneet uraauurtaviksi työkaluiksi lähes kaikilla toimialoilla. Kuten viimeaikaisista uutisista ilmenee, muodostavat nämä tekoälytyökalut mahdollisen uhan yritysten liikesalaisuuksille. EU:n tekoälyasetus pyrkii osaltaan varmistamaan perusoikeutena turvatun liikesalaisuuden suojan toteutumisen asetusta soveltavien tahojen osalta. Yritysten tämänhetkiset tekoälyä koskevat toimintamallit vaikuttavat olevan vielä puutteellisia, ja liikesalaisuuksien suojan kannalta yritysten sisäisen ohjeistuksen ajantasaistaminen onkin tärkeää. Valitsee yritys sitten kieltää, rajoittaa tai sallia tekoälytyökalujen käytön työpaikoillaan, parhaiten liikesalaisuuksia suojataan ennakoimalla.

Kuva: iStock/PhonlamaiPhoto