anonym.legal
חזרה לבלוגGDPR ועמידה

חוק AI של האיחוד האירופי אוגוסט 2026: אנונימיזציה של נתוני אימון לעמידה בסעיף 10

אכיפה מלאה של חוק ה-AI של האיחוד האירופי מתחילה ב-2 באוגוסט 2026. קנסות עד €35 מיליון או 7% מהמחזור הגלובלי. סעיף 10 דורש אנונימיזציה של נתוני אימון.

March 16, 20269 דקות קריאה
EU AI Acttraining dataArticle 10GDPR complianceAI regulation2026 deadlinedata governance

הספירה לאחור החלה

מעודכן ל-2026

המועד האחרון של חוק ה-AI של האיחוד האירופי הוא אמיתי. כללי סעיף 10 חלים מ2 באוגוסט 2026. אם הצוות שלך בונה או מפעיל מערכת AI בסיכון גבוה, פעל עכשיו. הזמן קצר.

הקנסות גבוהים יותר מ-GDPR. הקנס המקסימלי הוא €35 מיליון או 7% מהמחזור השנתי הגלובלי. GDPR מגביל ב-€20 מיליון או 4%. שום חוק AI אחר לא מטיל קנסות גבוהים יותר.

אילו מערכות AI הן בסיכון גבוה?

חוק ה-AI ממיין מערכות לפי סיכון. מערכות בסיכון גבוה (נספח III) מכסות AI המשמש ב:

  • חינוך — גישה לבתי ספר או ניקוד תלמידים
  • תעסוקה — סינון קורות חיים, ניקוד ראיונות, ניטור עובדים
  • שירותים מרכזיים — ניקוד אשראי, תמחור ביטוח, שיגור חירום
  • אכיפת חוק — חיזוי פשע, זיהוי ביומטרי
  • בריאות — תוכנת מכשיר רפואי, תיאום מטופלים
  • תשתיות — ניהול אנרגיה, מים, או תחבורה
  • משפט — כלי מחקר משפטי, כלי גזר דין

עובד באחד מהתחומים האלה? סעיף 10 חל עליך.

סעיף 10: ארבעה כללים מרכזיים

סעיף 10 קובע כללים למאגרי נתונים המשמשים מערכות AI בסיכון גבוה. הנה ארבעת הכללים המרכזיים.

1. ממשל כתוב

מאגרי נתונים חייבים לפעול לפי "שיטות ממשל וניהול נתונים מתאימות." אתה צריך צעדים כתובים לאיסוף, בדיקת איכות ובחינה שוטפת.

2. בדיקת הטיה

רשומות חייבות להיבדק ל"הטיות אפשריות" שעלולות לגרום לפלטים לא הוגנים. נדרשת בדיקה פעילה. הימנעות מהטיה מכוונת אינה מספיקה.

3. דיוק וכיסוי

מאגרי נתונים חייבים להיות "רלוונטיים, מייצגים מספיק, ונקיים משגיאות." סריקות רשת שמפספסות קבוצות מסוימות עלולות להיכשל בבדיקה זו.

4. סוגי רשומות מיוחדים

סעיף 10(5) הוא הכלל הישיר ביותר. כאשר מערכת בסיכון גבוה משתמשת ברשומות קטגוריה מיוחדת — בריאות, גזע, דת, פוליטיקה, ביומטריה — תוכל לעבדן רק כאשר "נחוץ בהחלט" לבדיקות הטיה. עליך גם להחיל "אמצעי הגנה מתאימים." ניקוי נתונים הוא אחד מאמצעי ההגנה החזקים ביותר שתוכל להשתמש בהם.

סיכום: רוב מאגרי נתונים של מודלי AI מכילים רשומות אישיות. סעיף 10 אומר השתמש במינימום הנחוץ, עם אמצעי הגנה טכניים חזקים.

ראה את דף הציות המשפטי ואת סקירת האבטחה שלנו לפרטים.

רמות קנס

לחוק ה-AI של האיחוד האירופי יש שלוש רמות קנס. כולן עולות על GDPR לאותו סוג הפרה:

תקנהקנס מקסימליתקרת מחזור
GDPR€20 מיליון4% מחזור גלובלי
חוק AI (סיכון גבוה)€15 מיליון3% מחזור גלובלי
חוק AI (אסור)€35 מיליון7% מחזור גלובלי

הפרות מאגר נתונים נופלות ברמת הסיכון הגבוה (€15M / 3%). אם רגולטור מוצא שהשימוש ברשומות אישיות ללא אמצעי הגנה הוא פעולה אסורה, חלה הרמה העליונה.

דוגמאות אמיתיות: מחזור €500M ב-3% = קנס €15M. מחזור €5B ב-3% = קנס €150M. אלה מספרים אמיתיים, לא תיאוריה.

מדוע ניקוי נתונים פותר את הבעיה

רשומות שנוקו כראוי נופלות מחוץ לתחום GDPR. זה מסיר את רוב הנטל של סעיף 10.

הכללים הקשים — טיפול בקטגוריה מיוחדת, בדיקות הטיה, זכויות נושא הנתונים — חלים רק כאשר מאגר נתונים מכיל רשומות אישיות. הסר את הרשומות האלה תחילה. הנטל ברובו נעלם.

ה-CNIL (הרשות הצרפתית לנתונים) הבהיר זאת בתחילת 2026. ההנחיות AI שלה אומרות: ניקוי נתונים של רשומות אישיות שאינן נחוצות לביצועי המודל הוא האמצעי הטכני הראשי לסעיף 10.

זה לא עמדה שולית. זו עמדה המרכזית של הרגולטור AI המוביל של האיחוד האירופי.

מה ניקוי נתונים אומר בפועל

ניקוי מאגרי נתונים של מודלי AI הוא לא אותו דבר כמו ניקוי רשומות פרודקשן חיות. מאגרי נתונים של מודלים יכולים להכיל:

  • מסמכים עם PII — חוזים, מיילים, דוחות, כרטיסי תמיכה
  • רשומות מובנות — טבלאות לקוחות המשמשות לבניית מודלים חזויים
  • תוכן מתוייג — תמונות או טקסט עם הערות הכוללות נתונים אישיים
  • רשומות סינתטיות — שם יצירה עלולה לשמר דפוסים אישיים

אתה חייב לזהות PII בכל הפורמטים האלה. פספוס סוג אחד חושף את כל מאגר הנתונים. חוזה עם שמות שהוסרו אך כתובות מלאות שעדיין שלמות ילמד מודל לקשר מיקום לדפוסים דמוגרפיים.

anonym.legal API מטפל בעיבוד אצווה לגדולים מאגרי נתונים AI. הוא מזהה יותר מ-285 סוגי ישויות ב-48 שפות. לחברות AI אירופאיות עם מאגרי נתונים רב-לשוניים, כיסוי חוצה-שפות הוא קריטי. פער בשפה אחת יוצר סיכון חוק AI על כל המערכת.

למידע נוסף על זיהוי ישויות, ראה את מדריך מערכת הטוקנים ואת הפניית סוגי ישויות.

צעדים מעשיים: ניקוי מאגר הנתונים שלך

שלב 1: ביקורת תחילה

הרץ pass זיהוי לפני שאתה מנקה דבר. זה מגלה לך איזה PII קיים:

curl -X POST https://anonym.legal/api/presidio/analyze \
  -H "Authorization: Bearer YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "text": "'"$(cat document.txt)"'",
    "language": "en"
  }'

התגובה מפרטת כל ישות שזוהתה עם סוגה, מיקומה וניקודה. הרץ זאת על כל הקבצים שלך כדי לראות את ההיקף המלא לפני שתתחיל.

שלב 2: ניקוי אצווה

למאגרי נתונים גדולים, השתמש בנקודת הקצה של אצווה לעיבוד קבצים רבים בבת אחת:

import requests
import os
from pathlib import Path

def scrub_batch(documents: list[dict]) -> list[dict]:
    response = requests.post(
        "https://anonym.legal/api/presidio/anonymize-batch",
        json={"items": documents, "language": "en"},
        headers={"Authorization": f"Bearer {os.environ['ANONYM_API_KEY']}"}
    )
    return response.json()["results"]

source_dir = Path("./dataset")
docs = [
    {"id": f.name, "text": f.read_text()}
    for f in source_dir.glob("*.txt")
]

batch_size = 50
for i in range(0, len(docs), batch_size):
    results = scrub_batch(docs[i:i+batch_size])
    for result in results:
        out = source_dir / "clean" / result["id"]
        out.write_text(result["text"])
        print(f"הושלם: {result['id']} — {len(result['items'])} ישויות הוסרו")

שלב 3: שמור רשומות

סעיף 10 דורש רשומות כתובות של מה שעשית. לכל מאגר נתונים, שמור:

  • מודל הזיהוי והגרסה שנמצאה בשימוש
  • אילו סוגי ישויות נמצאו וכיצד כל אחת הוחלפה
  • ספירת ישויות שהוסרו לכל מאגר נתונים
  • תאריך הניקוי וגרסת מאגר הנתונים שנמצאה בשימוש

זה עומד בדרישת "שיטות ממשל וניהול נתונים" בסעיף 10(2)(א).

שאלות נפוצות

האם ניקוי פוגע באיכות המודל?

ברוב המקרים, לא. המודל לומד דפוסים ממבנה טקסט, לא מפרטים אישיים. שמות, מספרי טלפון וכתובות ניתן להחליף ב-placeholders כגון [NAME] או [PHONE] והמודל עדיין לומד את אותם דפוסים. צוותי מחקר רבים מצאו שמאגרי נתונים שנוקו מייצרים מודלים באיכות שווה. המפתח הוא להשתמש ב-placeholders עקביים כדי שהמודל יראה דפוס ברור.

מה אם מאגר הנתונים שלי גדול מאוד?

השתמש ב-batch API. הוא מטפל בנפחים גדולים במקביל. דף התמחור מראה תוכניות לשימוש בנפח גבוה. צוותים רבים מעבדים מיליוני רשומות בחודש.

מה לגבי מאגרי נתונים שאינם באנגלית?

ה-API תומך ב-48 שפות. כל שפה משתמשת במודל זיהוי שאומן באותה שפה. זה אומר שגרמנית, צרפתית, ספרדית, יפנית ואחרות כולן מכוסות. ראה את FAQ לרשימת שפות מלאה. מאגרי נתונים רב-לשוניים נתמכים גם — ניתן לציין את השפה לכל מסמך בבקשת האצווה.

חוק AI של קולורדו: שני מועדים אחרונים

חוק AI של קולורדו נכנס לתוקף ב30 ביוני 2026 — חמישה שבועות לפני המועד האחרון של האיחוד האירופי. הוא קובע כללים דומים ל"מערכות AI בסיכון גבוה" תחת חוק מדינה. ההתמקדות העיקרית היא הטיה ואפליה.

צוותים הן באיחוד האירופי והן בקולורדו עומדים בפני שני מועדים אחרונים בבת אחת. ניקוי מאגרי הנתונים שלך עוזר לעמוד בשתי החוקים: סעיף 10 (האיחוד האירופי) וכללי נגד-הטיה של קולורדו. הצעדים הטכניים זהים.

פעל עכשיו

חמישה חודשים מספיקים — אם אתה מתחיל היום. הם לא מספיקים אם תחכה עד יוני.

לוח זמנים מעשי:

  1. שבועות 1–2: בצע ביקורת על מאגרי הנתונים שלך — גלה אילו רשומות אישיות קיימות
  2. שבועות 3–6: בנה ובדוק את pipeline הניקוי שלך
  3. שבועות 7–10: כתוב את רשומות הממשל שלך; קבל סקירה משפטית
  4. שבועות 11–16: אמת — אשר שמאגרי הנתונים שנוקו עומדים בכללי איכות סעיף 10
  5. 2 באוגוסט: תאריך האכיפה — נהלים תואמים במקום

anonym.legal API מתחבר ל-pipeline הנוכחי שלך ללא שינויים גדולים. בדוק תמחור לתוכניות נפח. ה-FAQ מכסה שאלות נפוצות על סעיף 10.

השתמש ברשימת ציות GDPR לרשומות שחופפות בין GDPR וסעיף 10.

חוק ה-AI של האיחוד האירופי מוכן לאכיפה. האם הארגון שלך יהיה מוכן עד 2 באוגוסט?

התחל עם רשימת ציות GDPR →

מגבלות ושאלות פתוחות

ניקוי נתונים לכללי חוק AI עדיין מתפתח. הנה הפערים המרכזיים.

הסף לא מוגדר. חוק ה-AI של האיחוד האירופי לא אומר איזה רמת ניקוי "מספיקה." עד שמשרד ה-AI האירופי יפרסם הנחיות, אתה עומד בפני סיכון משפטי. אולי לא תדע אם השיטה שלך תספק רגולטורים.

סיכון זיהוי מחדש נותר. מחקר מראה שמודלי שפה גדולים יכולים לשנן ולשחזר תוכן מהמאגרים שלהם. רשומות שעברו תקני ניקוי לפני פיתוח המודל עשויות עדיין להיות ניתנות לחילוץ. ניקוי לפני פיתוח לא פותר את הבעיה לחלוטין.

לרשומות סינתטיות יש מגבלות. יצירה סינתטית שומרת דפוסים סטטיסטיים אך יכולה להוסיף הטיות עדינות או להחמיץ מקרי קצה נדירים. מודלים שנבנו רק על תוכן סינתטי עלולים לבצע בצורה גרועה על קלטים אמיתיים.

סעיף 10 עדיין מתפרש. הביטוי "אמצעים טכניים מתאימים" זקוק לפרשנות. עבודה מוקדמת של DPA במדינות חברות של האיחוד האירופי לא התייצבה על תקנים ברורים. עקוב אחר הנחיות EDPB והחלטות מדינות חברות לאורך 2026.

מקורות

  • חוק AI של האיחוד האירופי, תקנה (EU) 2024/1689, סעיפים 9–17 (חובות AI בסיכון גבוה), OJ L 2024/1689
  • חוק AI של האיחוד האירופי, סעיף 10 — נתונים וממשל נתונים
  • הנחיית מאגר נתונים AI של CNIL, ינואר 2026
  • חוק AI של קולורדו, SB 205, בתוקף מ-30 ביוני 2026
  • לוח זמנים חוק AI: נהלים אסורים 2 בפברואר 2025; מערכות בסיכון גבוה 2 באוגוסט 2026

מאמרים קשורים

GDPR ועמידה

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR ועמידה

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR ועמידה

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

מוכן להגן על הנתונים שלך?

התחל לאנונימיזציה של PII עם 285+ סוגי ישויות ב-48 שפות.

התחל ניסיון חינםצפה בתכונות

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.