anonym.legal

By · Last updated 2026-06-05

Tagasi BlogisseGDPR ja Vastavus

CNIL Prantsusmaa: GDPR tehniline vastavus

CNIL töötas 2023. aastal läbi 16 433 kaebust ja on trahvinud alates 2019. aastast üle 150 miljoni euro. Selle tehisintellekti juhised nõuavad dokumenteeritud anonüümsustamist treenimisandmete jaoks.

June 5, 20267 min lugemist
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL Prantsusmaa: GDPR tehniline vastavus

Prantsusmaa range privaatsusreguleerija

Prantsusmaa andmeorgan on CNIL. See kehtestab EL-i kõige täpsemad privaatsuseeskirjad. Enamik EL-i reguleerijaid kirjutab laiapõhjalisi juhiseid. CNIL läheb kaugemale. See avaldab täpseid tehnilisi spetsifikatsioone, mida nimetatakse recommandations. Need määratlevad, mis on tegelik GDPR vastavus.

Teised EL-i reguleerijad kopeerivad sageli CNIL-i tööd. Võtmetekstid hõlmavad 2023. aasta Guide pratique de l'anonymisation ja 2024. aasta tehisintellekti juhiseid.

Numbrid näitavad, et agentuur on aktiivne. See käsitles 2023. aastal 16 433 kaebust. See on 43% rohkem kui 2022. aastal. See on jõustamise algusest peale välja andnud umbes 150 miljonit eurot GDPR trahve.

Tehisintellekti treenimine: kuus andmete tüüpi, mis vajavad puhastamist

CNIL-i 2024. aasta tehisintellekti juhised kehtivad laialdaselt. Need hõlmavad kõiki rühmi, kes treenivad tehisintellekti Prantsuse isikuandmetel. Need kehtivad ka neile, kes teenindavad Prantsuse kasutajaid tehisintellekti tööriistadega.

Agentuur loetleb kuut andmete tüüpi, mis vajavad enne tehisintellekti treenimist puhastamist:

  1. Identifiants directs (otsesed identifikaatorid): Nimed, aadressid, ID-numbrid. Eemaldage või asendage need enne treenimist.
  2. Identifiants quasi-directs (kvaasi-ID-d): Omaduste rühmad, mis võimaldavad tuvastamist. Rakendage k-anonüümsuse kontrolle.
  3. Donnees sensibles (eriliigid): Tervise-, biomeetrilised, poliitilised ja usuandmed. Eraldage lisanduvate kontrollidega.
  4. Donnees comportementales (kasutusandmed): Sirvimine ja kasutusharjumused. Koondage või maskeerige need.
  5. Donnees inferees (tuletatud tunnused): Tehisintellekti poolt kasutusest tuletatud signaalid. Rakendage eesmärgi piiranguid.
  6. Donnees relatives aux mineurs (laste andmed): Kõik alla 15-aastaste isikutega seotud andmed. Tehke vanuse kontrollid ja kasutage tugevat puhastamist.

Kasutate suurtest keelemudelitest koosneva sisu peal treenitud LLM-e? Vajate kirjalikku tõendit. Näidake, et teie treenimisandmeid vaadati läbi ja puhastati. Vaadake meie GDPR vastavuse juhendit ulatuse üksikasjade jaoks.

Anonüümsustamise juhend: põhireeglid

  1. aasta juhend on EL-i kõige üksikasjalikum tekst selles teemas. See seab lati, mida loetakse tõeliselt anonüümseks.

Heakskiidetud tehnikad:

  • k-anonüümsus - iga kirje näeb välja nagu vähemalt k-1 teist
  • l-mitmekesisus - tundlikud tunnused varieeruvad igas rühmas
  • Diferentsiaalne privaatsus - müra lisatakse väljundstatistikale
  • Pseudonüümsustamine - riskivähendamise samm, mitte tõeline anonüümsustamine

Nõutavad andmed:

Iga puhastamist kasutava tegevuse jaoks ootab CNIL fiche d'anonymisation (anonüümsustamise andmelehe). See peab sisaldama:

  • Kasutatud tehnika ja selle põhiseadistused (k-väärtus, epsilon-väärtus)
  • Tuvastamisriski kontrolli tulemus
  • Valideerimismeetod (testimine või väline ülevaatus)
  • Vastutav isik ja ülevaatuse kuupäev

Tuvastamisriski kontroll:

Enne andmete anonüümseks tunnistamist tehke formaalne kontroll. Küsige: kas motiveeritud isik suudaks seda tuvastada? Vaadake, millised abiandmestikud on olemas. Arvestage kogu kontekstiga.

Prantsuse isikuandmed: mida teie tööriistad peavad leidma

Prantsuse eeskirjad nõuavad prantsuskeelset isikuandmete katvust. Teie tööriistad peavad tuvastama Prantsuse-spetsiifilisi ID tüüpe.

Peamised ID-d, mida katta:

  • NIR: 15 numbrit (13 baas + 2-kohaline võti). See on Prantsuse sotsiaalkindlustusnumber.
  • Carte vitale number: Tervisekindlustuse kaardi ID.
  • SIRET/SIREN: Äri-ID-d, mida leidub isikufailides.
  • Numero d'ordre professionnel: Registrinumbrid arstidele, advokaatidele ja raamatupidajatele.
  • CNI (Carte nationale d'identite): Prantsuse riikliku ID-kaardi number.

Prantsuse NER mudelid peavad käsitlema Prantsuse nimemustreid. Nende hulka kuuluvad liitnimed (Jean-Pierre), osakesed (de, du, des) ja sidekriipsuga perekonnanimed. Vaadake meie mitmekeelset isikuandmete tuvastamise juhendit, kuidas katta kõik lokaadid.

Jõustamine: mis saab trahvi

Agentuuri trahvid järgivad selget mustrit. Need sihivad puuduvaid tehnilisi kontrolle. Halb protsess üksinda on harva peamine küsimus.

Clearview AI - 20M euro trahv (2022): Firma töötas Prantsuse inimeste biomeetrilisi andmeid ilma õigusliku aluseta. Andmeid kraabiti avalikest veebiallikatest. Juhtum kinnitas: hulgi veebikraabimiseks tehisintellekti treenimiseks on vaja selgesõnalist õiguslikku alust.

TikTok - uurimine algatati 2024: Keskendub süsteemidele, mis võivad tuletada tundlikke tüüpe kasutussignaalidest. See meetod on nüüd EL-i viide tehisintellekti auditite jaoks.

Generatiivse tehisintellekti ülevaatus (2024-2025): Agentuur vaatas Prantsusmaal üle LLM müüjaid. Fookus oli treenimissisu päritolul. Müüjad, kellel puudusid nõuetekohased andmed, pidid lisama kontrolle.

Neli sammu CNIL vastavuseks

Käsitlete Prantsuse isikuandmeid? Vajate nelja asja.

1. Anonüümsustamise andmeleht iga tegevuse jaoks

Iga puhastamist kasutav tegevus vajab oma andmelehte. Märkige tehnika, selle seadistused, riskitulemus ja ülevaatuse kuupäev.

2. Tehisintellekti eeltöötluslogi

Logige, millist isikuandmete tuvastamistööriista kasutasite. Märkige, millised üksuste tüübid leiti. Registreerige, mis eemaldati või maskeeriti. Hoidke neid logisid auditite jaoks valmis.

3. Prantsuskeelne isikuandmete katvus

Kontrollige, kas teie tööriist leiab NIR-i, carte vitale'i ja CNI numbreid. Testige oma Prantsuse NER mudelit päris Prantsuse nimedel. Märkige lüngad. Registreerige kontrollid, mida rakendate nende kõrvaldamiseks.

4. Treenimissisu päritoluandmed

Kraabitud sisu puhul: dokumenteerige lähteallika puhastamise kontroll. Kasutajaandmete puhul: dokumenteerige kasutaja puhastamise protsess. Meie turvalisuse vastavuse ülevaade näitab, kuidas see sobib laiemasse kaitsemeetmete paketti.

Hea dokumentatsiooniga rühmad läbivad auditid kiiresti. Ehitage oma toimik nüüd. Ärge oodake inspektsiooniga alustamist.

Allikad

Seotud Artiklid

GDPR ja Vastavus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR ja Vastavus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR ja Vastavus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Kas olete valmis oma andmeid kaitsma?

Alustage PII anonüümitamist 285+ üksustüübi abil 48 keeles.

Alusta Tasuta KatsetVaata Funktsioone

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.