anonym.legal

By · Last updated 2026-06-05

Atgal į BlogąGDPR ir Atitiktis

CNIL Prancūzija: BDAR techninis atitiktis

CNIL išnagrinejo 16 433 skundus 2023 m. ir skyrė 150 mln. euro baudų nuo 2019 m. Jos DI gairės reikalauja dokumentuoto anoniminizavimo mokymo duomenims.

June 5, 20267 min skaityti
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL Prancūzija: BDAR techninis atitiktis

Prancūzijos griežčiausia privatumo institucija

Prancūzijos duomenų institucija yra CNIL. Ji nustato ES tiksliausias privatumo taisykles. Dauguma ES reguliuotojų rašo bendras gaires. CNIL eina toliau. Ji skelbia tikslias technines specifikacijas, vadinamas rekomendacijomis. Šios apibrėžia, kaip atrodo tikra BDAR atitiktis.

Kiti ES reguliuotojai dažnai kopijuoja CNIL darbą. Pagrindiniai tekstai apima 2023 m. anoniminizavimo praktinį vadovą ir 2024 m. DI gaires.

Skaičiai rodo, kad agentūra yra aktyvi. Ji išnagrinejo 16 433 skundus 2023 m. Tai yra 43% daugiau nei 2022 m. Ji skyrė apie 150 mln. euro BDAR baudų nuo vykdymo pradžios.

DI mokymas: Šeši įrašų tipai, kuriuos reikia valyti

CNIL 2024 m. DI gairės taikomos plačiai. Jos apima bet kurią grupę, kuri moko DI naudodama Prancūzijos asmens duomenis. Ji taip pat taikoma tiems, kurie aptarnauja Prancūzijos vartotojus DI įrankiais.

Agentūra išvardija šešis įrašų tipus, kuriuos reikia valyti prieš DI mokymą:

  1. Identifiants directs (tiesioginiai ID): Vardai, adresai, asmens tapatybės numeriai. Pašalinkite arba pakeiskite juos prieš mokymą.
  2. Identifiants quasi-directs (kvaziID): Savybių grupės, leidžiančios atpažinimą. Taikykite k-anoniminiuosius tikrinimus.
  3. Données sensibles (ypatingi tipai): Sveikatos, biometriniai, politiniai ir tikėjimo įrašai. Izoliuokite su papildomomis kontrolėmis.
  4. Données comportementales (naudojimo įrašai): Naršymo istorija ir naudojimo modeliai. Agreguokite arba uzdenokite šiuos.
  5. Données inférées (išvestos savybės): DI gauti signalai iš naudojimo. Taikykite tikslo apribojimus.
  6. Données relatives aux mineurs (vaikų įrašai): Bet kokie įrašai, susieti su asmenimis iki 15 metų. Vykdykite amžiaus tikrinimus ir naudokite stiprų valymą.

Naudojate LLM, apmokytus ant nuskrabuotų turinio? Jums reikia rašytinių įrodymų. Parodykite, kad jūsų mokymo įrašai buvo peržiūrėti ir išvalyti. Žr. mūsų BDAR atitikties vadovą dėl apimties detalių.

Anoniminizavimo vadovas: Pagrindinės taisyklės

2023 m. vadovas yra ES detaliausiasis tekstas šia tema. Jis nustato, kas laikoma tikrai anoniminimu.

Patvirtinti metodai:

  • k-anoniminiumas - kiekvienas įrašas atrodo kaip bent k-1 kiti
  • l-įvairovė - jautrios savybės varijuoja kiekvienoje grupėje
  • Diferencinis privatumas - triukšmas pridedamas prie išvesties statistikos
  • Pseudoniminimas - rizikos mažinimo žingsnis, o ne tikras anoniminizavimas

Reikalingi įrašai:

Kiekvienai veiklai, kuri naudoja valymą, CNIL tikisi anoniminizavimo dokumento (fiche d'anonymisation). Jame turi būti:

  • Naudota technika ir jos pagrindinės nuostatos (k reikšmė, epsilon reikšmė)
  • Atpažinimo rizikos tikrinimo rezultatas
  • Patvirtinimo metodas (bandymas arba išorinė peržiūra)
  • Atsakingas asmuo ir peržiūros data

Atpažinimo rizikos tikrinimas:

Prieš žymint įrašus kaip anoniminius, atlikite formalų tikrinimą. Paklauskite: ar galėtų motyvuotas asmuo atpažinti šiuos duomenis? Pažvelkite, kokie pagalbiniai duomenų rinkiniai egzistuoja. Apsvarstykite visą kontekstą.

Prancūziški asmens duomenys: Ką jūsų įrankiai turi rasti

Prancūziškos taisyklės reikalauja Prancūziškos kalbos asmens duomenų aprėpties. Jūsų įrankiai turi aptikti Prancūzijai būdingus ID tipus.

Pagrindiniai ID, kuriuos reikia apimti:

  • NIR: 15 skaitmenų (13 pagrindinių + 2 skaitmenų raktas). Tai yra Prancūzijos socialinio draudimo numeris.
  • Carte vitale numeris: Sveikatos draudimo kortelės ID.
  • SIRET/SIREN: Verslo ID, randami asmens failuose.
  • Numéro d'ordre professionnel: Registro numeriai gydytojams, teisininkams ir buhalteriams.
  • CNI (Carte nationale d'identite): Prancūzijos nacionalinės tapatybės kortelės numeris.

Prancūziški NER modeliai turi tvarkyti Prancūzijos vardų modelius. Tai apima sudėtinius vardus (Jean-Pierre), daleles (de, du, des) ir brūkšnelius pavardėse. Žr. mūsų daugiakalbio asmens duomenų aptikimo vadovą, kaip apimti visas lokalias.

Vykdymas: Už ką skiriamos baudos

Agentūros baudos seka aiškų modelį. Jos taikosi prie trūkstamų techninių kontrolių. Prasta procedūra viena retai yra pagrindinė problema.

Clearview AI - 20 mln. euro bauda (2022 m.): Firma apdorojo Prancūzijos gyventojų biometrinius įrašus be teisinio pagrindo. Įrašai buvo nuskrabuoti iš viešų interneto šaltinių. Šis atvejis patvirtino: masinis tinklo nuskabymas DI mokymo tikslais reikalauja aiškaus teisinio pagrindo.

TikTok - tyrimas pradėtas 2024 m.: Sutelktas ties sistemomis, galinčiomis daryti išvadas apie jautrius tipus iš naudojimo signalų. Šis metodas dabar yra ES DI auditų etalonas.

Generatyvaus DI peržiūra (2024-2025 m.): Agentūra peržiūrėjo Prancūzijoje veikiančius LLM tiekėjus. Ji sutelkė dėmesį į mokymo turinio kilmę. Tiekėjai be tinkamų įrašų turėjo pridėti kontrolių.

Keturi žingsniai CNIL atitikčiai

Tvarkote Prancūziškus asmens duomenis? Jums reikia keturių dalykų.

1. Anoniminizavimo dokumentas kiekvienai veiklai

Kiekviena veikla, naudojanti valymą, turi turėti savo įrašą. Nurodykite metodą, jo nuostatas, rizikos rezultatą ir peržiūros datą.

2. Išankstinio apdorojimo žurnalai DI

Užregistruokite, kurį asmens duomenų aptikimo įrankį naudojote. Nurodykite, kuriuos objektų tipus jis rado. Užfiksuokite, kas buvo pašalinta arba paslėpta. Laikykite šiuos žurnalus paruoštus auditams.

3. Prancūziškos kalbos asmens duomenų aprėptis

Patikrinkite, ar jūsų įrankis randa NIR, carte vitale ir CNI numerius. Išbandykite savo Prancūzišką NER modelį tikrais Prancūzijos vardais. Pastebėkite bet kokias spragas. Užregistruokite kontroles, kurias taikote joms spręsti.

4. Mokymo turinio kilmės įrašai

Nuskabyto turinio atveju: dokumentuokite šaltinio valymo tikrinimą. Vartotojų įrašų atveju: dokumentuokite vartotojų valymo procesą. Mūsų saugumo atitikties apžvalga rodo, kaip tai dera į platesnę apsaugos struktūrą.

Grupės, turinčios gerus įrašus, greičiau praeina auditus. Sudarykite savo bylą dabar. Nelaukite inspekcijos, kad pradėtumėte.

Šaltiniai

Susiję Straipsniai

GDPR ir Atitiktis

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR ir Atitiktis

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR ir Atitiktis

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pasiruošę apsaugoti savo duomenis?

Pradėkite anonimizuoti PII su 285+ subjektų tipais 48 kalbomis.

Pradėti Nemokamą Bandomąją VersijąPeržiūrėti Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.