AI och dataskydd – Jämförelse mellan ChatGPT, DeepSeek R1 och Microsoft 365 Copilot

Populära AI-tjänster som ChatGPT, DeepSeek R1 och Microsoft 365 Copilot erbjuder attraktiva verktyg för både privatpersoner och företag.

Men hur säkra är de ur användarens och företagets perspektiv när det gäller dataskydd och säkerhet?

Microsoft 365 Copilot framstår som det starkaste alternativet eftersom det följer Microsoft 365:s säkerhetsåtaganden, medan DeepSeek R1 och ChatGPT väcker många frågor kring dataskydd.

Som en allmän princip gäller att "gratis" tjänster ofta kan innebära att användarens data utnyttjas på något sätt.

ChatGPT (OpenAI)

• Samlar in användarinnehåll och teknisk information som lagras i USA.
• Delar data med reklampartners, analysföretag och myndigheter.
• Rekommenderas inte för uppladdning av känslig information eftersom det är oklart hur datan utnyttjas.
• Bra för exempelvis översättningar, textgenerering och idéskapande.
• Betalversion rekommenderas, där det är möjligt att neka datainsamling för modellträning.

DeepSeek R1

• Samlar omfattande användardata och innehåll som lagras i Kina.
• Delar information med reklampartners, analysföretag och myndigheter.
• Stora risker för dataskydd om modellen inte används på en egen server.
• Lämplig för samma typer av uppgifter som ChatGPT.
• Rekommenderas endast om tjänsten kan drivas på en egen server – annars inte.

Microsoft 365 Copilot

• Följer Microsofts företagsanpassade dataskyddspolicy och GDPR.
• Behåller data inom organisationens kontroll och använder inte information för modellträning utan samtycke.
• Integreras med Microsoft 365-miljön och kan använda data som lagras i företagets system.
• Svarens kvalitet och hastighet är inte helt i nivå med ChatGPT:s senaste modeller (t.ex. GPT-4o), men betalversionen erbjuder omfattande användningsmöjligheter i Microsofts appar.
• Bästa valet för företag som behöver en säker AI-lösning integrerad i Microsoft 365.

Mer information om dataskydd i AI-tjänster

Dataskydd i OpenAI ChatGPT

OpenAI:s sekretesspolicy framhäver omfattande datainsamling, användning av data för modellutveckling, dataöverföring till USA och delning med tredje parter. Användare bör noggrant överväga om tjänsten uppfyller deras krav på dataskydd och vilken information de delar.

• Omfattande datainsamling: OpenAI samlar in användarinnehåll (t.ex. inmatningar och bilder) samt teknisk information (IP-adresser och enhetsdata). Användningsdata kan skapa detaljerade användarprofiler som kan kopplas till personlig information.
• Dataanvändning för modellträning: Användargenererat innehåll kan användas för att utveckla modeller, vilket innebär en risk för känslig information. Att avböja detta kräver en separat inställning i tjänsten.
• Delning av information: Personlig data delas med tredje parter, såsom analys- och säkerhetspartners, vilket ökar riskerna för dataskydd. Data kan även delas med myndigheter vid behov eller enligt lag.
• Lagring av information: Data lagras under obestämd tid, och borttagning kan vara komplicerat.
• Överföring av data till USA: Data hanteras ofta utanför EES, där skyddsnivån kan vara lägre, trots säkerhetsåtgärder.
• Barn: Tjänsten är inte avsedd för barn under 13 år, och 13–18-åringar behöver förälders godkännande, men missbruk kan vara svårt att upptäcka.
• Begränsningar i cybersäkerhet: OpenAI garanterar inte fullständig säkerhet, vilket innebär att en del av ansvaret ligger hos användaren.
• Juridisk användning av data: OpenAI kan använda data för juridiska ändamål, såsom bedrägeribekämpning och rättsliga krav.

Läs OpenAI:s sekretesspolicy: OpenAI Privacy Policy

Dataskydd i DeepSeek R1

Den nyligen lanserade kinesiska modellen DeepSeek R1 har utmanat västerländska AI-modeller som OpenAI:s GPT. DeepSeeks dataskyddspolicy ger breda rättigheter till användardata, särskilt för insamling, analys och delning. Användare bör vara försiktiga med vilken information de delar eftersom tjänsten medför betydande dataskydds- och säkerhetsrisker.

• Omfattande datainsamling: Samlar in stora mängder information, inklusive inmatningar, chattloggar, IP-adresser och tangentbordsbeteenden. Detta möjliggör detaljerad profilering och integritetsintrång.
• Delning av information: Användardata delas med reklam- och analysföretag samt i affärstransaktioner, vilket kan äventyra integriteten.
• Lagring i Kina: Data lagras i Kina, vilket väcker oro eftersom den lokala lagstiftningen ger myndigheter tillgång till information.
• Begränsade användarrättigheter: Användarens rättigheter kan vara svåra att genomföra och kan leda till begränsningar i användningen av tjänsten.
• Obestämda lagringstider: Data lagras på obestämd tid, även vid brott mot villkor, trots att användaren raderar sitt konto.
• Breda användarrättigheter: Användares inmatningar och chattloggar används för att förbättra tjänsten, vilket kan inkludera känslig information.
• Barns integritet: Tjänsten tillåter 14–18-åringar att använda den med förälders samtycke, men många föräldrar förstår kanske inte dataskyddsriskerna.
• Säkerhetsbrister: Tjänsten garanterar inte fullständig säkerhet, vilket innebär att en del av ansvaret ligger hos användaren.
• Tredjepartsinnehåll: Delning av data med tredje parter kan utsätta användare för integritetsbrott, och DeepSeek ansvarar inte för deras handlingar.

DeepSeek är öppen källkod, vilket gör det möjligt att ladda ner och anpassa den för egna syften. Genom att köra DeepSeek på en egen server kan man:

• Eliminera de största riskerna med datalagring i Kina och delning med tredje parter
• Förbättra dataskyddet genom att själv kontrollera insamling, lagring och delning av data

Kvarstående risker rör dold kod, pålitlighet i uppdateringar och att all säkerhetshantering blir användarens ansvar. Säkerheten beror på hur väl tjänsten fungerar utan externa anslutningar.

Läs DeepSeek R1:s sekretesspolicy: DeepSeek Privacy Policy

Dataskydd i Microsoft 365 Copilot

Microsoft 365 Copilot erbjuder de starkaste säkerhetsrutinerna, i enlighet med Microsoft 365:s åtaganden för dataskydd, såsom GDPR. Den utnyttjar organisationsspecifika behörigheter och datakryptering. Användarnas data förblir inom tjänsten och används inte för modellträning utan samtycke.

1. Datainsamling och användning

Microsoft 365 Copilot använder stora språkmodeller (LLM) och Microsoft Graph för att bearbeta användarens inmatningar och generera svar. Användarens inmatningar, de svar som genereras samt den data som hämtas via Microsoft Graph förblir inom Microsoft 365:s tjänstegränser och följer befintliga åtaganden för dataskydd och säkerhet. Dessa data används inte för grundmodellernas träning utan användarens uttryckliga samtycke.

2. Informationsdelning och lagring

Copilot följer Microsoft 365:s befintliga åtaganden för dataskydd, cybersäkerhet och efterlevnad, inklusive den allmänna dataskyddsförordningen (GDPR) och EU:s datagränser. Användarens inmatningar och Copilot-svar lagras och skyddas med kryptering, både i vila och under överföring. Organisationens administratörer kan hantera lagringspolicyer för dessa data.

3. Användarrättigheter och säkerhet

Copilot följer organisationens behörighetsmodell och ser till att användare endast har åtkomst till den information de har behörighet för. Dessutom respekterar Copilot de behörigheter och krypteringar som administratörerna har definierat. Microsoft är engagerat i ansvarsfull AI-användning och har implementerat skyddsåtgärder för att förhindra skadligt innehåll samt skydd mot prompt-injektioner (jailbreak-attacker).

4. Dataöverföring och lagring

Microsoft 365 Copilot följer åtaganden om datalagring, inklusive EU:s datagränser. Trafik från EU-användare hålls inom EU, medan global trafik kan omdirigeras till EU och andra regioner för LLM-bearbetning. Copilots anrop till LLM hanteras via de närmaste regionala datacentren, men kan också använda andra områden beroende på kapacitet.

Läs mer om Microsoft 365 Copilot och dataskydd:
Microsoft 365 Copilot Privacy