주메뉴바로가기본문바로가기
비즈한국 비즈한국

OpenAI首次进行国内信息保护公示:“投资额、人力等核心数据不公开”

本文由AI自动翻译。与韩语原文相比可能存在误差。  Read original in Korean →

[비즈한국] 运营生成式人工智能(AI)服务ChatGPT的OpenAI,今年首次被列入韩国“信息保护公示”义务对象,并公开了其信息保护现状。尽管该公司对网络安全投资、基于AI的防护体系及组织运营等内容进行了较为详细的说明,但并未披露信息技术(IT)与信息保护投资规模、专职人力等核心定量指标。虽然OpenAI遵循了全球企业通用的“按全球标准运营”逻辑,但有评价认为,信息保护的透明度仍是一个待解决的课题。

OpenAI今年首次被列入韩国“信息保护公示”义务对象,并公开了其信息保护现状。图为OpenAI首席战略官Jason Kwon去年在OpenAI韩国法人成立发布会上发言。图片来源=OpenAI
OpenAI今年首次被列入韩国“信息保护公示”义务对象,并公开了其信息保护现状。图为OpenAI首席战略官Jason Kwon去年在OpenAI韩国法人成立发布会上发言。图片来源=OpenAI

像AI企业一样详细公示安全活动

OpenAI在上月30日通过首次国内信息保护公示,公开了其基于AI的安全体系、运营方式以及网络安全研究活动等。其董事会下属的安全与保护委员会、24小时全天候运营的安全控制中心(SOC),以及与安全专业企业SpecterOps进行的常态化红队(Red Team)评估等内容也首次被公开。然而,用户能够客观对比的核心数值最终仍难以确认。

韩国互联网振兴院(KISA)的信息保护公示制度,是根据《信息保护产业振兴法》,要求企业公开信息保护投资规模、专职人力及信息保护活动现状等的制度。用户可以通过该制度确认企业的信息保护水平。今年公示义务对象为693家企业,较去年增加了27家。目标企业根据业务领域、销售额、用户数等法定标准每年进行选定。

KISA相关人士解释称:“义务公示对象是根据法律规定的标准选定的,OpenAI也符合该标准,因此被列入今年的公示对象。”根据Mobile Index的数据,截至今年1月,ChatGPT在韩国的月活跃用户数(MAU)已达到约1430万人。OpenAI也多次强调韩国市场的重要性。OpenAI首席战略官(CSO) Jason Kwon在去年9月韩国法人成立时曾表示:“韩国是亚太地区ChatGPT用户最多的国家。”

OpenAI的信息保护活动重点在于支持AI安全生态系统及加强内部控制体系。通过2023年启动的网络安全补贴计划,支持基于AI的安全技术研究;今年进一步扩大了支持范围,涵盖了提示词注入(Prompt Injection)防御和智能体安全(Agentic Security)等生成式AI特化领域。提示词注入是一种通过恶意输入诱导AI执行非预期指令的攻击手段。向发现安全漏洞的研究人员发放的漏洞赏金也提升至最高10万美元(约合1.5亿韩元)。

安全治理也得到了加强。该公司表示,去年在董事会下属新设了安全与保护委员会,对主要AI模型的安全性与保护性进行审查,并在必要时可推迟发布。此外,通过全天候运营的安全控制中心和与外部安全企业的红队评估,已建立常态化响应体系。

同时,OpenAI还表示正在维持国际安全认证,并运行基于零信任(Zero Trust)的安全设计、年度渗透测试及员工安全培训。信息保护活动项目中还包括对网络安全初创企业Adaptive Security的投资、发布分析AI滥用案例的威胁报告(Threat Report)、以及针对开源软件漏洞的检测与补救研究等。

OpenAI Daybreak GPT-5.5-Cyber CyberGym基准性能对比。图片来源=OpenAI
OpenAI Daybreak GPT-5.5-Cyber CyberGym基准性能对比。图片来源=OpenAI

另一方面,有关投资现状和人力现状的内容,均以“本公司的投资遵循全球标准”这一特记事项作为说明。信息技术投资额、信息保护投资额、总员工数、信息技术部门人力、信息保护专职人力等项均为空白,仅公开了首席信息保护官(CISO)和个人信息保护官(CPO)的职务、是否为高管、是否兼职等信息。

定性信息较为详尽……重要信息称“遵循全球标准”

核心数据为空白的公示方式并非OpenAI独有。多年来一直进行信息保护公示的谷歌、Meta、亚马逊云科技(AWS)、TikTok、阿里巴巴、全球速卖通(AliExpress)、腾讯、X(原推特)等,也多以“在全球层面运营”为由,用特记事项替代或解释称难以进行单独测算。取而代之的是,以全球层面的安全政策、认证及信息保护活动为中心撰写公示内容,这已成为常见做法。

不过,并非所有全球企业公开的信息水平都相同。Netflix在解释难以单独测算韩国法人数据的情况下,仍具体公开了以集团整体为基准的信息技术投资额4.8264万亿韩元、信息保护投资额2587亿韩元、总员工1.6万人、信息技术人力5534人、信息保护专职人力269人等数据。同时也说明了其中央信息保护组织负责包括韩国服务在内的全球安全业务。

微软(Microsoft)的韩国法人也表示难以单独测算投资额,但公开了母公司全球全职员工22.8万人、网络安全专职工程师3.4万人以上,以及韩国法人员工81人等数据。同时较为详细地说明了韩国法人的CISO角色、全球CISO组织体系以及CPO的职责。

随着国内生成式AI利用率的快速扩散,以OpenAI为开端,未来Anthropic等主要AI运营商也被提出可能被列入信息保护公示对象,围绕全球AI企业信息保护透明度的讨论预计将进一步扩大。图片来源=BizKorea DB
随着国内生成式AI利用率的快速扩散,以OpenAI为开端,未来Anthropic等主要AI运营商也被提出可能被列入信息保护公示对象,围绕全球AI企业信息保护透明度的讨论预计将进一步扩大。图片来源=BizKorea DB

仅从定性信息来看,OpenAI的首次公示在全球企业中已属于较为详尽的范畴。但另一方面,用户衡量企业信息保护水平最直接的指标——投资规模和专职人力,依然难以确认。由于相当多全球企业不公开这些项目,业界持续有声音指出信息保护公示的实效性受到了限制。

特别是OpenAI在国内用户占比高,且将业务文档、源代码、个人信息等敏感数据输入生成式AI的情况日益增多,因此相比一般全球平台,其在信息保护方面的社会关注度更高。正因如此,有意见认为,不应仅以“全球标准”作为借口掩盖核心指标,企业应更积极地公开用户可参考程度的信息。

此外,随着OpenAI今年首次被纳入公示对象,未来其他生成式AI运营商是否承担公示义务也备受关注。近期生成式AI市场从以OpenAI为中心转向多元化,Anthropic的Claude和谷歌Gemini在国内的用户数也在快速增长。Meta、TikTok、X是根据国内用户数标准,腾讯则是根据云服务提供商标准被纳入公示对象。微软则同时满足云服务提供商和用户数标准,已在进行公示。

根据Mindlogic基于用户数据的分析,GPT模型的使用比重从去年9月的85.7%降至今年5月的34.8%,而同期Claude的比重则从5.7%升至36%。Gemini也保持在20%左右的使用比重。未来AI运营商若满足用户数等法定标准,是否会被纳入信息保护公示对象,值得关注。

KISA相关人士表示:“全球企业往往难以单独测算韩国法人基准的投资规模或人力,因此经与科学技术信息通信部协商,引导全球经营者以信息保护活动为中心进行公示。”并补充道:“虽然难以确认全球企业的定量投资规模,但通过公示可以确认信息保护认证和安全活动等定性信息。”

本文由AI自动翻译。与韩语原文相比可能存在误差。
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지