Pravidlo vzduchového oddělení
Některé sítě nemají internet. Ne z politického rozhodnutí — ale záměrně.
SCIF (Sensitive Compartmented Information Facility) je místnost stíněná Faradayovou klecí. Žádný bezdrátový signál dovnitř ani ven. ITAR (International Traffic in Arms Regulations) zakazuje odesílání chráněného technického obsahu neschváleným stranám. Cloudoví poskytovatelé nemají ITAR clearance. Pro tyto skupiny není „cloudový SaaS” rizikem, které je třeba řídit.
Pro tato pracoviště cloudové nástroje prostě nefungují.
Nástroj, který potřebuje živé síťové připojení, zde nemůže běžet. Nástroj, který volá licenční server, je zablokován. Nástroj, který odesílá soubory do cloudového API za účelem detekce, uvnitř SCIFu nemůže fungovat. Nejsou to okrajové případy. Jsou to každodenní omezení pro obranné týmy.
Případ ITAR
Dataová vědkyně v obranné firmě pracuje s personálními záznamy chráněnými ITAR. Před sdílením souborů musí odstranit jména a identifikátory. Její síť je vzduchově oddělena.
Neexistuje cloudové řešení. Jedinou cestou je nástroj běžící na lokálním zařízení. Musí lokálně uchovávat své modely. Musí produkovat čistý výstup bez externích volání.
Desktopová aplikace postavená na Tauri 2.0 toto zajišťuje. Po instalaci nedochází při běhu k žádným síťovým voláním. Modely spaCy NER a vzory regulárních výrazů běží na lokálním CPU. Výstup zůstává na zařízení, dokud ho uživatel neexportuje.
Proč záleží na reverzibilitě
Klasifikovaná práce často vyžaduje reverzibilní pseudonymizaci. Týmy nahrazují skutečná jména kódy. Záznamy zůstávají použitelné. Skutečné identity jsou chráněny.
Článek 4(5) GDPR definuje pseudonymizaci jako formální opatření na ochranu soukromí. Snižuje riziko. Pseudonymizované záznamy nesou méně právních povinností — pokud je vyhledávací token uložen odděleně od datové sady.
Výzkum IAPP (2024) zjistil, že pouze 23 % nástrojů podporuje skutečnou reverzibilitu. Většina provádí jednosměrné maskování nebo úplné nahrazení. Jakmile je záznam přepsán, je pryč.
Některé vládní týmy rozdělují svou práci podle oddělení. Jeden tým dostane pseudonymizované soubory. Provede analýzu. Druhý tým drží vyhledávací token. Re-identifikuje záznamy pouze tehdy, když to zákon vyžaduje. Toto rozdělené uspořádání je jediným bezpečným přístupem pro klasifikované workflow s více týmy.
Model nulové znalosti jde o krok dále. Vyhledávací token je vytvořen na klientském zařízení. Nikdy není odesílán ven. Pokud je dodavatel předvolán před soud, nemůže token předat. Nikdy ho neměl. To splňuje pravidla řetězce custody v mnoha klasifikovaných prostředích.
Separace tokenů EDPB
Pokyny EDPB 05/2022 říkají, že token pseudonymizace musí být uložen odděleně. Nesmí být u stejné strany, která drží pseudonymizované záznamy. Nebo musí být chráněn kontrolami, které té straně brání číst záznamy i token současně.
Tři věci dohromady toto pravidlo splňují:
- Token vytvořen na klientském zařízení — nikdy neodeslán ven
- Veškeré zpracování provedeno lokálně — nic neopustí vzduchově oddělené pracoviště
- Výstup a token exportovány odděleně — dva samostatné soubory, dvě samostatné cesty
Toto uspořádání splňuje pravidlo EDPB a omezení vzduchového oddělení zároveň.
Pro úplný přehled náš přehled bezpečnosti ukazuje, jak lokální zpracování zkracuje řetězec třetích stran. Náš průvodce souladem s předpisy pokrývá pravidla převodů GDPR. Viz naše FAQ pro pomoc s nastavením.
Desktopová aplikace anonym.legal provádí veškerou detekci osobních údajů na lokálním zařízení. Po instalaci není potřeba internet. Podporuje Windows, macOS a Linux. Přibalené modely NLP pokrývají 24 jazyků.
Aktualizováno pro rok 2026
Zdroje
- Pokyny EDPB 05/2022: Pseudonymizace a separace tokenů — VERIFIED-EXTERNAL
- IAPP 2024: Průzkum reverzibility nástrojů pro anonymizaci — FLAGGED
- LocalAI Master: Vzduchově oddělená AI pro citlivá prostředí — VERIFIED-EXTERNAL