주메뉴바로가기본문바로가기
비즈한국 비즈한국

OpenAI首次進行國內資訊保護公示:“投資額、人力等核心資料不公開”

本文由AI自動翻譯。與韓語原文相比可能存在誤差。  Read original in Korean →

[비즈한국] 運營生成式人工智慧(AI)服務ChatGPT的OpenAI,今年首次被列入韓國“資訊保護公示”義務物件,並公開了其資訊保護現狀。儘管該公司對網路安全投資、基於AI的防護體系及組織運營等內容進行了較為詳細的說明,但並未披露資訊科技(IT)與資訊保護投資規模、專職人力等核心定量指標。雖然OpenAI遵循了全球企業通用的“按全球標準運營”邏輯,但有評價認為,資訊保護的透明度仍是一個待解決的課題。

OpenAI今年首次被列入韓國“資訊保護公示”義務物件,並公開了其資訊保護現狀。圖為OpenAI首席戰略官Jason Kwon去年在OpenAI韓國法人成立釋出會上發言。圖片來源=OpenAI
OpenAI今年首次被列入韓國“資訊保護公示”義務物件,並公開了其資訊保護現狀。圖為OpenAI首席戰略官Jason Kwon去年在OpenAI韓國法人成立釋出會上發言。圖片來源=OpenAI

像AI企業一樣詳細公示安全活動

OpenAI在上月30日透過首次國內資訊保護公示,公開了其基於AI的安全體系、運營方式以及網路安全研究活動等。其董事會下屬的安全與保護委員會、24小時全天候運營的安全控制中心(SOC),以及與安全專業企業SpecterOps進行的常態化紅隊(Red Team)評估等內容也首次被公開。然而,使用者能夠客觀對比的核心數值最終仍難以確認。

韓國網際網路振興院(KISA)的資訊保護公示制度,是根據《資訊保護產業振興法》,要求企業公開資訊保護投資規模、專職人力及資訊保護活動現狀等的制度。使用者可以透過該制度確認企業的資訊保護水平。今年公示義務物件為693家企業,較去年增加了27家。目標企業根據業務領域、銷售額、使用者數等法定標準每年進行選定。

KISA相關人士解釋稱:“義務公示物件是根據法律規定的標準選定的,OpenAI也符合該標準,因此被列入今年的公示物件。”根據Mobile Index的資料,截至今年1月,ChatGPT在韓國的月活躍使用者數(MAU)已達到約1430萬人。OpenAI也多次強調韓國市場的重要性。OpenAI首席戰略官(CSO) Jason Kwon在去年9月韓國法人成立時曾表示:“韓國是亞太地區ChatGPT使用者最多的國家。”

OpenAI的資訊保護活動重點在於支援AI安全生態系統及加強內部控制體系。透過2023年啟動的網路安全補貼計劃,支援基於AI的安全技術研究;今年進一步擴大了支援範圍,涵蓋了提示詞注入(Prompt Injection)防禦和智慧體安全(Agentic Security)等生成式AI特化領域。提示詞注入是一種透過惡意輸入誘導AI執行非預期指令的攻擊手段。向發現安全漏洞的研究人員發放的漏洞賞金也提升至最高10萬美元(約合1.5億韓元)。

安全治理也得到了加強。該公司表示,去年在董事會下屬新設了安全與保護委員會,對主要AI模型的安全性與保護性進行審查,並在必要時可推遲釋出。此外,透過全天候運營的安全控制中心和與外部安全企業的紅隊評估,已建立常態化響應體系。

同時,OpenAI還表示正在維持國際安全認證,並執行基於零信任(Zero Trust)的安全設計、年度滲透測試及員工安全培訓。資訊保護活動專案中還包括對網路安全初創企業Adaptive Security的投資、釋出分析AI濫用案例的威脅報告(Threat Report)、以及針對開源軟體漏洞的檢測與補救研究等。

OpenAI Daybreak GPT-5.5-Cyber CyberGym基準效能對比。圖片來源=OpenAI
OpenAI Daybreak GPT-5.5-Cyber CyberGym基準效能對比。圖片來源=OpenAI

另一方面,有關投資現狀和人力現狀的內容,均以“本公司的投資遵循全球標準”這一特記事項作為說明。資訊科技投資額、資訊保護投資額、總員工數、資訊科技部門人力、資訊保護專職人力等項均為空白,僅公開了首席資訊保護官(CISO)和個人資訊保護官(CPO)的職務、是否為高管、是否兼職等資訊。

定性資訊較為詳盡……重要資訊稱“遵循全球標準”

核心資料為空白的公示方式並非OpenAI獨有。多年來一直進行資訊保護公示的谷歌、Meta、亞馬遜雲科技(AWS)、TikTok、阿里巴巴、全球速賣通(AliExpress)、騰訊、X(原推特)等,也多以“在全球層面運營”為由,用特記事項替代或解釋稱難以進行單獨測算。取而代之的是,以全球層面的安全政策、認證及資訊保護活動為中心撰寫公示內容,這已成為常見做法。

不過,並非所有全球企業公開的資訊水平都相同。Netflix在解釋難以單獨測算韓國法人資料的情況下,仍具體公開了以集團整體為基準的資訊科技投資額4.8264萬億韓元、資訊保護投資額2587億韓元、總員工1.6萬人、資訊科技人力5534人、資訊保護專職人力269人等資料。同時也說明了其中央資訊保護組織負責包括韓國服務在內的全球安全業務。

微軟(Microsoft)的韓國法人也表示難以單獨測算投資額,但公開了母公司全球全職員工22.8萬人、網路安全專職工程師3.4萬人以上,以及韓國法人員工81人等資料。同時較為詳細地說明了韓國法人的CISO角色、全球CISO組織體系以及CPO的職責。

隨著國內生成式AI利用率的快速擴散,以OpenAI為開端,未來Anthropic等主要AI運營商也被提出可能被列入資訊保護公示物件,圍繞全球AI企業資訊保護透明度的討論預計將進一步擴大。圖片來源=BizKorea DB
隨著國內生成式AI利用率的快速擴散,以OpenAI為開端,未來Anthropic等主要AI運營商也被提出可能被列入資訊保護公示物件,圍繞全球AI企業資訊保護透明度的討論預計將進一步擴大。圖片來源=BizKorea DB

僅從定性資訊來看,OpenAI的首次公示在全球企業中已屬於較為詳盡的範疇。但另一方面,使用者衡量企業資訊保護水平最直接的指標——投資規模和專職人力,依然難以確認。由於相當多全球企業不公開這些專案,業界持續有聲音指出資訊保護公示的實效性受到了限制。

特別是OpenAI在國內使用者佔比高,且將業務文件、原始碼、個人資訊等敏感資料輸入生成式AI的情況日益增多,因此相比一般全球平臺,其在資訊保護方面的社會關注度更高。正因如此,有意見認為,不應僅以“全球標準”作為藉口掩蓋核心指標,企業應更積極地公開使用者可參考程度的資訊。

此外,隨著OpenAI今年首次被納入公示物件,未來其他生成式AI運營商是否承擔公示義務也備受關注。近期生成式AI市場從以OpenAI為中心轉向多元化,Anthropic的Claude和谷歌Gemini在國內的使用者數也在快速增長。Meta、TikTok、X是根據國內使用者數標準,騰訊則是根據雲服務提供商標準被納入公示物件。微軟則同時滿足雲服務提供商和使用者數標準,已在進行公示。

根據Mindlogic基於使用者資料的分析,GPT模型的使用比重從去年9月的85.7%降至今年5月的34.8%,而同期Claude的比重則從5.7%升至36%。Gemini也保持在20%左右的使用比重。未來AI運營商若滿足使用者數等法定標準,是否會被納入資訊保護公示物件,值得關注。

KISA相關人士表示:“全球企業往往難以單獨測算韓國法人基準的投資規模或人力,因此經與科學技術資訊通訊部協商,引導全球經營者以資訊保護活動為中心進行公示。”並補充道:“雖然難以確認全球企業的定量投資規模,但透過公示可以確認資訊保護認證和安全活動等定性資訊。”

本文由AI自動翻譯。與韓語原文相比可能存在誤差。
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지