Шведският Integritetsskyddsmyndigheten (IMY) е както правоприлагащ орган, така и лидер по технически стандарти. Неговите насоки за анонимизиране за 2023 г. са най-изчерпателният технически документ, издаден от DPA относно анонимизирането в ЕС — цитиран от 12 други DPA на ЕС като референтен стандарт. IMY издаде 28 решения за принудително изпълнение през 2024 г. на обща стойност 8,5 милиона евро.
IMY's Framework за анонимизиране
Ръководството за анонимизиране на IMY изрично посочва, че анонимизирането е технически въпрос, а не договорен или организационен. Техническите прагове IMY оценява:
k-анонимност: Всеки индивид в набор от данни трябва да бъде неразличим от поне k-1 други по всички квази-идентифициращи атрибути. IMY препоръчва k≥5 за изследователски набори от данни.
l-разнообразие: Чувствителните атрибути във всеки клас на еквивалентност трябва да имат поне l отделни стойности — предотвратявайки атаки с извод дори когато k-анонимността е удовлетворена.
Диференциална поверителност: Добавен е статистически шум, така че присъствието или отсъствието на който и да е индивид да не може да бъде определено от резултатите от заявката.
Псевдонимизиране срещу анонимизиране: IMY предоставя ясни технически критерии, разграничаващи регулираните от GDPR псевдонимизирани данни от истински анонимни данни. Псевдонимизацията — замяна на идентификатори с изкуствени кодове при запазване на ключ за повторна идентификация — остава изцяло регулирана от GDPR. Само данните, които отговарят на техническите прагове за необратимост, са наистина анонимни.
Шведският феномен на правата на субектите на данни
79% от шведските субекти на данни упражняват GDPR права годишно — най-високият процент в ЕС. Това създава предизвикателство за оперативно съответствие, което се различава от другите юрисдикции на ЕС:
В повечето страни от ЕС упражняването на правата се основава предимно на жалби. В Швеция упражняването на права е нормализирано цифрово гражданство. Организациите, обработващи шведски лични данни, трябва да бъдат оперативно подготвени за голям обем заявки за достъп (на всяка трябва да се отговори в рамките на един месец), последващи ескалации до IMY и изчерпателни инвентаризации на лични данни, които могат да отговорят на заявки за право на достъп във всички системи.
Personnummer: Предизвикателството на шведския идентификатор
Шведският personnummer (10 или 12-цифрен, формат YYMMDD-XXXX) се появява в почти всеки шведски официален документ. Техническата оценка на IMY установи, че 45% от общите инструменти NLP не успяват да идентифицират правилно personnummer:
Вариант на формата: Показва се със или без разделител за тире и с 10 или 12 цифри в зависимост от контекста. Инструменти, съвпадащи само с един формат, провалят другия.
Проверка на Luhn: Без прилагане на проверка на алгоритъма на Luhn, инструментите генерират фалшиви положителни резултати от всяко 10-цифрено число и пропускат personnummer в необичайно форматиране.
Samordningsnummer: Координационният номер за чуждестранни жители използва същия формат, но добавя 60 към цифрите на деня на раждане (61-91 вместо 01-31). Инструментите, които разпознават само стандартен формат personnummer, пропускат samordningsnummer в документи, включващи чуждестранни граждани — значителна празнина за мултинационалните работодатели.
IMY's AI Training Data Position
IMY издаде насоки от 2024 г. специално за личните данни в обучението за ИИ. Основни констатации:
- „Обучението на AI“ само по себе си не е законна цел на GDPR — то трябва да бъде обвързано с конкретна цел надолу по веригата, която е пропорционална
- Псевдонимизираните данни, използвани за обучение на AI, остават регулирани от GDPR; само истински анонимизирани данни (отговарящи на техническите прагове на IMY) могат да се използват без конкретно правно основание
- Организациите, използващи шведски лични данни за фина настройка на AI модели, трябва или да демонстрират истинска анонимност, или да разчитат на изрично легитимно основание
За организации с операции в Швеция, използващи AI инструменти, обучени на или фино настроени с шведски данни за клиенти или служители, стандартът на IMY представлява текущото състояние на техниката за съответствие на данните за обучение на AI в целия ЕС.
Съответствието със GDPR на шведското предприятие струва средно 85 000 евро на година — водено от управление на правата за достъп и документирани изисквания за анонимизиране. Организациите, внедряващи инструменти за PII, отговарящи на техническите стандарти на IMY, намаляват тези разходи чрез автоматизация.
Източници: