CNIL Франция: Техническо съответствие с GDPR
Най-строгият регулатор за поверителност на Франция
Френският орган за данни е CNIL. Той задава най-точните правила за поверителност в ЕС. Повечето регулатори в ЕС издават широки насоки. CNIL отива по-далеч. Публикува точни технически спецификации, наречени recommandations. Те определят как изглежда реалното съответствие с GDPR.
Други регулатори в ЕС често копират работата на CNIL. Ключови текстове включват Pratique de l'anonymisation от 2023 г. и насоките за AI от 2024 г.
Цифрите показват, че органът е активен. Обработил е 16 433 жалби през 2023 г. Това е с 43% повече от 2022 г. Той е издал около 150 милиона евро GDPR глоби от началото на правоприлагането.
AI обучение: Шест типа записи за почистване
Насоките на CNIL за AI от 2024 г. се прилагат широко. Обхващат всяка група, обучаваща AI на лични записи от Франция. Прилагат се и за тези, предоставящи AI инструменти за французки потребители.
Органът изброява шест типа записи, нуждаещи се от почистване преди AI обучение:
- Identifiants directs (преки идентификатори): Имена, адреси, идентификационни номера. Премахнете или заменете преди обучение.
- Identifiants quasi-directs (квази-идентификатори): Групи от черти, позволяващи повторна идентификация. Прилагайте проверки за k-анонимност.
- Donnees sensibles (специални типове): Здравни, биометрични, политически и религиозни записи. Изолирайте с допълнителни контроли.
- Donnees comportementales (записи за поведение): История на сърфиране и модели на използване. Агрегирайте или маскирайте.
- Donnees inferees (извлечени черти): AI-извлечени сигнали от използването. Прилагайте ограничения на целта.
- Donnees relatives aux mineurs (записи за деца): Всички записи, свързани с лица под 15 г. Правете проверки за възраст и използвайте силно почистване.
Използвате LLM, обучени върху изтеглено съдържание? Нуждаете се от писмено доказателство. Покажете, че вашите записи за обучение са прегледани и почистени. Вижте нашето ръководство за съответствие с GDPR за подробности относно обхвата.
Ръководството за анонимизация: Основни правила
Ръководството от 2023 г. е най-детайлният текст в ЕС по тази тема. То задава лентата за това какво се счита за наистина анонимно.
Одобрени техники:
- k-анонимност — всеки запис прилича поне на k-1 останали
- l-разнообразие — чувствителните черти варират в рамките на всяка група
- Диференциална поверителност — шум, добавен към изходните статистики
- Псевдонимизация — стъпка за намаляване на риска, а не истинска анонимизация
Изисквани документи:
За всяка дейност, използваща почистване, CNIL очаква fiche d'anonymisation (запис за анонимизация). Той трябва да включва:
- Използваната техника и нейните ключови настройки (стойност на k, стойност на epsilon)
- Резултата от проверката за риск от повторна идентификация
- Метода за валидиране (тестване или външен преглед)
- Отговорното лице и датата на прегледа
Проверка за риск от повторна идентификация:
Преди да маркирате записите като анонимни, направете официална проверка. Запитайте се: може ли мотивирано лице да повторно ги идентифицира? Погледнете какви спомагателни набори от данни съществуват. Вземете предвид целия контекст.
Французки лични данни: Какво трябва да намира инструментът ви
Френските правила изискват покритие на лични данни на французки език. Инструментите ви трябва да засичат французки специфични типове идентификатори.
Основни идентификатори за покриване:
- NIR: 15 цифри (13 основни + 2-цифрен ключ). Това е французкият номер за социално осигуряване.
- Номер на карта Vitale: Идентификатор на здравноосигурителната карта.
- SIRET/SIREN: Бизнес идентификатори, намиращи се в лични файлове.
- Numero d'ordre professionnel: Регистрационни номера за лекари, адвокати и счетоводители.
- CNI (Carte nationale d'identite): Номер на французката лична карта.
Френските NER модели трябва да обработват французки имена. Те включват съставни имена (Jean-Pierre), частици (de, du, des) и двойни фамилни имена. Вижте нашето ръководство за многоезично засичане на лични данни за начина, по който да покриете всички локали.
Правоприлагане: Какво се глобява
Глобите на органа следват ясен модел. Те са насочени към липсващи технически контроли. Лошият процес сам по себе си рядко е основният проблем.
Clearview AI — 20 млн. евро глоба (2022 г.): Фирмата е обработвала биометрични данни на французки граждани без правно основание. Записите са изтеглени от публични уеб източници. Случаят потвърди: масовото изтегляне от уеб за AI обучение изисква изрично правно основание.
TikTok — разследване, стартирано 2024 г.: Съсредоточено върху системи, които могат да извличат чувствителни типове от сигнали за използване. Този метод сега е референцията на ЕС за AI одити.
Преглед на генеративен AI (2024–2025 г.): Органът е прегледал доставчиците на LLM във Франция. Съсредоточен е върху произхода на съдържанието за обучение. Доставчици без правилни записи е трябвало да добавят контроли.
Четири стъпки за съответствие с CNIL
Обработвате лични данни от Франция? Нуждаете се от четири неща на място.
1. Запис за анонимизация за всяка дейност
Всяка дейност, използваща почистване, се нуждае от собствен запис. Отбележете техниката, нейните настройки, резултата от риска и датата на прегледа.
2. Регистри за предварителна обработка за AI
Регистрирайте кой инструмент за засичане на лични данни сте използвали. Отбележете кои типове обекти е намерил. Запишете какво е премахнато или маскирано. Пазете тези регистри готови за одити.
3. Покритие на лични данни на французки език
Проверете дали инструментът ви засича NIR, carte vitale и CNI номера. Тествайте французкия NER модел на реални французки имена. Отбележете пропуски. Запишете контролите, приложени за справяне с тях.
4. Записи за произход на съдържанието за обучение
За изтеглено съдържание: документирайте проверката за почистване на источника. За потребителски записи: документирайте процеса на почистване на потребители. Нашият преглед на сигурността показва как това се вписва в по-широк стек от гаранции.
Групите с добри записи преминават бързо одитите. Изградете файла си сега. Не чакайте инспекция, за да започнете.