Á síðastliðnum árum hefur notkun spunagreindar (e. generative AI) orðið mun almennari. Þróunin hefur átt sér stað á slíkum hraða, að nú tæpu ári frá markaðssetningu ChatGPT, þykir engin nýjung að almenningur geti látið forrit eins og ChatGPT, Bart og Claude setja saman almenna og sérhæfða texta á aðeins nokkrum sekúndum.
Á síðastliðnum árum hefur notkun spunagreindar (e. generative AI) orðið mun almennari. Þróunin hefur átt sér stað á slíkum hraða, að nú tæpu ári frá markaðssetningu ChatGPT, þykir engin nýjung að almenningur geti látið forrit eins og ChatGPT, Bart og Claude setja saman almenna og sérhæfða texta á aðeins nokkrum sekúndum.
Möguleikarnir eru margir og því eru mörg fyrirtæki farin að nýta sér aðstoð þessara forrita og annarra af sama meiði. Raunar heyrist stöðugt að nauðsynlegt sé fyrir fyrirtæki að huga að þessum málum til að tryggja að verða ekki undir í samkeppni við önnur fyrirtæki. Þrátt fyrir að auðvelt sé að koma auga á nauðsynina og tækifærin er hins vegar ekki jafn auðvelt í framkvæmd að tryggja framsýna notkun gervigreindar með ábyrgum hætti.
Nánar tiltekið vinna flest fyrirtæki með persónuupplýsingar og mestu verðmæti margra fyrirtæki liggja í hugviti. Auk þess er ekki hægt að treysta gervigreindinni í blindni og því er enn mikilvægt að yfirfara upplýsingar sem spunagreind felur í sér. Það er því nauðsynlegt að finna jafnvægi milli þess að vernda persónuupplýsingar og hugverk fyrirtækja og þess ýta undir framsýna notkun gervigreindar.
Ólögmæt miðlun persónuupplýsinga
Algengasta áskorun fyrirtækja hér á landi mun snúa að Persónuvernd en persónuverndaryfirvöld innan Evrópu og Bandaríkjanna eru stöðugt að hækka fjárhæðir sekta gagnvart smáum og stórum fyrirtækjum. Þá er einnig ljóst að ef engin takmörk eru sett gagnvart því að starfsfólk noti forrit eins og ChatGPT, Claude eða Bart, er mikil hætta á öryggisbresti.
Sem dæmi má nefna starfsmann fyrirtækis sem biður gervigreindarforrit að lesa yfir tölvupóst eða minnisblað sem inniheldur persónuupplýsingar um annað starfsfólk eða viðskiptavini. Ef þetta er gert með vitund og vilja fyrirtækisins gæti þetta jafnvel falið í sér ólögmæta miðlun persónuupplýsinga. Þessi tegund öryggisbrests er einkum slæm þar sem um leið og upplýsingarnar eru komnar inn á umrædd forrit nýta fyrirtækin þau til að þjálfa forritið sem gerir það að verkum að það er ekki mögulegt að eyða þeim. Með öðrum orðum gæti skaðinn orðið óafturkræfur.
Enn fremur hafa persónuverndaryfirvöld í fjölmörgum löndum Evrópu, sem og Evrópska persónuverndarráðið, tekið til skoðunar vinnslu á persónuupplýsingum ChatGPT. Ítalir lögðu til að mynda tímabundið bann við notkun forritsins vegna brota á persónuverndarlögum, en notkun forritsins hefur nú aftur verið leyfð með ákveðnum skilyrðum. Það er því nauðsynlegt að fræða starfsfólk um ábyrga notkun og setja þarf skýra stefnu um hver heimil notkun þessara forrita sé.
Hugverk og gervigreind
Það er er sérstaklega mikilvægt fyrir fyrirtæki sem byggja rekstur sinn á sköpun hugverka að huga að ábyrgri notkun gervigreindar. Nú þegar geta fjöldi frírra gervigreindarforrita, s.s. Tabnine og Sourcegraph Cody, skrifað kóða og má ætla að tæknin muni taka hröðum framförum. Hlutverk gervigreindar við sköpun hugverkaréttinda getur hins vegar haft áhrif á möguleika fyrirtækja til að öðlast einkarétt til notkunar verksins með höfundarétti.
Bandaríska hugverkastofnunin hefur nýlega gefið út að hún telji nauðsynlegt að taka fram ef gervigreind hefur verið notuð við sköpun verks. Þá samþykkti stofnunin nýlega höfundarétt á texta bókar sem var skrifaður af einstaklingi en hafnaði skráningu höfundarréttar á myndskreytingum í bókinni sem gervigreind hafði búið til. Í leiðbeiningum sem gefnar voru út í mars á þessu ári kemur fram að skilyrði fyrir höfundarétti væri að höfundur væri mennskur, þ.e. ekki tölva.
Samkvæmt leiðbeiningunum getur verk sem útbúið hefur verið með hjálp gervigreindar þó notið verndar ef manneskja hefur raðað saman og valið úr verkum gervigreindarinnar og fullnægt þar með kröfu um sjálfstæða sköpun. Einföld beiðni til gervigreindarhugbúnaðar fullnægir þó ekki fyrrnefndri kröfu ein og sér.
Ef ætlunin er að framfylgja einkarétti er mikilvægt að tryggja sér sönnunargögn.
Leiðbeiningarnar byggja meðal annars á frægu máli áfrýjunardómstóls Bandaríkjanna í níunda umdæmi þar sem dómurinn hafnaði því að ljósmynd sem api tók gæti verið varin af höfundarétti. Skilyrðinu um að höfundur væri mennskur var ekki fullnægt. Verk tölva, líkt og apa, njóta því ekki höfundarréttar ein og sér þótt heimilt sé að nota tölvur, alveg eins og myndavélar, við gerð höfundaréttarvarinna verka.
Ný reglugerð í farvatninu
Íslenska Hugverkastofan hefur ekki gefið út sambærilegar leiðbeiningar um höfundarétt. Hins vegar hefur Evrópska einkaleyfastofan hafnað skráningu einkaleyfa þar sem hugtakið uppfinningamaður þykir ekki eiga við um tölvur - heldur menn. Sú ákvörðun var einnig staðfest af áfrýjunarnefnd stofnunarinnar. Af þessum sökum er mikilvægt fyrir fyrirtæki sem vilja njóta einkaréttar af hugverkum sínum að tryggja mannlega aðkomu að gerð þeirra sem og tryggja sér sönnur á því hvernig verkið var búið til.
Ef ætlunin er að framfylgja einkarétti er mikilvægt að tryggja sér sönnunargögn. Þannig er hægt að tryggja verð fyrir hugverk, til dæmis við sölu fyrirtækisins, enda eru óáþreifanlegar eignir fyrirtækja almennt teknar til skoðunar í áreiðanleikakönnun. Það eru því verulegir fjármunir í húfi fyrir fyrirtæki sem treysta á eigið hugvit.
Þá kveða reglugerðardrög Evrópusambandsins, sem birt voru í apríl 2021, einnig á um strangari kröfur til gervigreindar til almennrar notkunar, s.s. ChatGPT, Bard og Claude. Samkvæmt reglugerðardrögunum er fyrirtækjum skylt að upplýsa um hvort efni þeirra hafi verið útbúið með hjálp þess konar hugbúnaðar. Drögin að reglugerðinni innihalda einnig sektarákvæði sem miðast við allt að 2-6% af veltu hverrar samsteypu. Það er því mikilvægt fyrir fyrirtæki að vera tilbúin þegar reglugerðin tekur gildi og verður innleidd inn í íslenskan rétt.
Samkvæmt framangreindu er gríðarlega mikilvægt að stjórnendur fyrirtækja stilli miðin í þessum efnum og útbúi umgjörð fyrir starfsfólk til að það geti nýtt gervigreind með ábyrgum og framsýnum hætti. Fyrirtæki geta til dæmis sett sér svokallaða gervigreindarstefnu fyrir starfsfólk og stjórnendur. Með slíkri stefnu er hægt að auka vernd hugverka og tryggja betur persónuupplýsingar starfsfólks og viðskiptavina.
Thelma Christel Kristjánsdóttir er fulltrúi á lögmannsstofunni BBA//Fjeldco og stundakennari við Háskóla Íslands. Hún er með LL.M. gráðu frá UC Berkeley í tæknirétti og starfar í ört stækkandi tækni- og hugverka- og persónuverndarteymi stofunnar.
