프랑스 CNIL: GDPR 기술 준수 가이드
EU에서 가장 엄격한 개인정보 규제 기관
프랑스의 개인정보 보호 기관은 CNIL입니다. CNIL은 EU에서 가장 정밀한 개인정보 보호 규정을 수립합니다. 대부분의 EU 규제 기관은 폭넓은 지침을 발표하지만, CNIL은 한 발 더 나아갑니다. recommandations라는 이름의 정밀한 기술 사양을 발표하여 실질적인 GDPR 준수가 어떠해야 하는지 정의합니다.
다른 EU 규제 기관들이 CNIL의 작업을 자주 인용합니다. 주요 문서로는 2023년 Guide pratique de l'anonymisation과 2024년 AI 지침이 있습니다.
기관의 활동성은 수치로 확인됩니다. 2023년 16,433건의 민원을 처리했으며, 이는 2022년 대비 43% 증가한 수치입니다. 집행 시작 이후 약 1억 5천만 유로의 GDPR 과징금을 부과했습니다.
AI 학습: 정제가 필요한 여섯 가지 데이터 유형
CNIL의 2024년 AI 지침은 광범위하게 적용됩니다. 프랑스 개인정보를 AI 학습에 사용하는 모든 기관에 적용되며, AI 도구를 통해 프랑스 사용자에게 서비스를 제공하는 기관에도 해당합니다.
기관은 AI 학습 전에 정제가 필요한 여섯 가지 데이터 유형을 제시합니다:
- Identifiants directs(직접 식별자): 이름, 주소, ID 번호. 학습 전 삭제하거나 대체해야 합니다.
- Identifiants quasi-directs(준식별자): 재식별을 가능하게 하는 특성 조합. k-익명성 검사를 적용해야 합니다.
- Données sensibles(특수 범주): 건강, 생체인식, 정치, 종교 관련 데이터. 추가 통제와 함께 격리해야 합니다.
- Données comportementales(행동 데이터): 브라우징 이력 및 사용 패턴. 집계하거나 마스킹해야 합니다.
- Données inférées(추론된 특성): 사용 패턴에서 AI가 도출한 신호. 목적 제한을 적용해야 합니다.
- Données relatives aux mineurs(미성년자 데이터): 15세 미만 개인과 관련된 모든 데이터. 연령 확인 절차와 강력한 정제를 실시해야 합니다.
수집된 콘텐츠로 학습된 LLM을 사용하는 경우 서면 증빙이 필요합니다. 학습 데이터가 검토되고 정제되었음을 입증해야 합니다. 적용 범위에 대한 자세한 내용은 GDPR 준수 가이드를 참조하십시오.
익명화 가이드: 핵심 규칙
2023년 가이드는 이 주제에 관한 EU 최고 수준의 상세 문서입니다. 무엇이 진정한 익명화인지에 대한 기준을 제시합니다.
승인된 기술:
- k-익명성 — 각 기록이 적어도 k-1개의 다른 기록과 동일하게 보이도록 처리
- l-다양성 — 각 그룹 내에서 민감한 특성이 다양하게 분포
- 차등 개인정보 보호(Differential Privacy) — 출력 통계에 노이즈를 추가
- 가명처리 — 위험 감소 단계이며, 진정한 익명화는 아님
필수 기록:
정제 작업을 사용하는 각 활동에 대해 CNIL은 fiche d'anonymisation(익명화 기록)을 요구합니다. 다음 내용이 포함되어야 합니다:
- 사용된 기술 및 핵심 설정(k값, 엡실론값)
- 재식별 위험 평가 결과
- 검증 방법(테스트 또는 외부 검토)
- 담당자 및 검토 일자
재식별 위험 평가:
데이터를 익명으로 표시하기 전에 공식적인 평가를 실시하십시오. 다음을 자문하십시오: 의도를 가진 사람이 이를 재식별할 수 있는가? 어떤 보조 데이터셋이 존재하는지 파악하고, 전체 맥락을 고려하십시오.
프랑스 개인정보: 도구가 탐지해야 하는 항목
프랑스 규정은 프랑스어 개인정보에 대한 탐지 범위를 요구합니다. 도구는 프랑스 특유의 식별자 유형을 탐지할 수 있어야 합니다.
탐지가 필요한 주요 식별자:
- NIR: 15자리(13자리 기본 + 2자리 키). 프랑스 사회보장번호입니다.
- Carte vitale 번호: 건강보험카드 식별자.
- SIRET/SIREN: 개인 서류에서 발견되는 사업자 번호.
- Numéro d'ordre professionnel: 의사, 변호사, 회계사의 등록 번호.
- CNI(Carte nationale d'identité): 프랑스 주민등록증 번호.
프랑스 NER 모델은 프랑스식 이름 패턴을 처리해야 합니다. 복합 이름(Jean-Pierre), 관사 입자(de, du, des), 하이픈 성씨 등이 포함됩니다. 전체 언어권 탐지 방법은 다국어 개인정보 탐지 가이드를 참조하십시오.
집행: 무엇이 과징금 대상이 되는가
기관의 과징금 부과는 명확한 패턴을 따릅니다. 기술적 통제의 부재를 주로 겨냥하며, 절차 미흡 단독으로는 주요 쟁점이 되는 경우가 드뭅니다.
Clearview AI — 2,000만 유로(2022년): 법적 근거 없이 프랑스 사람들의 생체인식 데이터를 처리했습니다. 공개 웹 소스에서 데이터를 수집했으며, 이 사건은 AI 학습을 위한 대규모 웹 스크래핑에는 명시적 법적 근거가 필요함을 확인했습니다.
TikTok — 2024년 조사 개시: 사용 신호에서 민감한 유형을 추론할 수 있는 시스템에 집중했습니다. 이 방법은 현재 AI 감사의 EU 기준이 되었습니다.
생성형 AI 검토(2024-2025년): 기관은 프랑스 내 LLM 공급업체를 검토했습니다. 학습 콘텐츠의 출처에 초점을 맞추었으며, 적절한 기록이 없는 공급업체는 통제 수단을 추가해야 했습니다.
CNIL 준수를 위한 네 가지 단계
프랑스 개인정보를 처리하는 경우 다음 네 가지를 갖추어야 합니다.
1. 각 활동별 익명화 기록
정제 작업을 사용하는 각 활동에는 별도의 기록이 필요합니다. 기술, 설정, 위험 평가 결과, 검토 일자를 기록하십시오.
2. AI를 위한 전처리 로그
사용한 개인정보 탐지 도구를 기록하고, 발견된 개인정보 유형, 삭제 또는 마스킹된 항목을 기재하십시오. 이 로그는 감사에 대비하여 보관하십시오.
3. 프랑스어 개인정보 탐지 범위
도구가 NIR, carte vitale, CNI 번호를 탐지할 수 있는지 확인하십시오. 실제 프랑스어 이름으로 프랑스어 NER 모델을 테스트하고, 공백을 파악하여 이를 해결하기 위해 마련한 통제 수단을 기록하십시오.
4. 학습 콘텐츠 출처 기록
수집된 콘텐츠의 경우: 소스 정제 확인을 문서화하십시오. 사용자 데이터의 경우: 사용자 정제 과정을 문서화하십시오. 보안 준수 개요에서 이것이 더 넓은 보호 체계에 어떻게 맞는지 확인할 수 있습니다.
철저한 기록을 갖춘 기관은 감사를 빠르게 통과합니다. 지금 바로 문서를 준비하십시오. 감사가 시작된 후에 서두르지 마십시오.