anonym.legal

By · Last updated 2026-03-15

Kembali ke BlogTeknologi Undang-Undang

Penganoniman Kekal: Risiko Spoliation

34.8% input ChatGPT mengandungi data sensitif (Cyberhaven). Penyelesaiannya -- penganoniman kekal -- mewujudkan risiko undang-undang tersendiri: spoliation. Artikel GDPR 4(5) memerlukan reversibiliti.

March 15, 202610 min baca
reversible encryptionspoliation risklegal discovery complianceGDPR pseudonymizationAES-256-GCM

Dikemaskini untuk 2026

Satu Penyelesaian, Dua Risiko Baharu

Banyak firma kini menghalang kebocoran AI dengan membuang nama dan ID sebelum teks mencapai pembekal AI. Pencincangan sehala, redaksi keras, atau pembuangan penuh semuanya kelihatan selamat. AI mendapat teks yang bersih. Butiran sensitif kekal dalam syarikat.

Logiknya bertahan di sisi keselamatan. Kajian Q4 2025 Cyberhaven mendapati 34.8% kandungan yang dihantar ke ChatGPT mengandungi data sensitif. Laporan Ponemon 2024 meletakkan purata kos pelanggaran AI pada $2.1 juta. Risikonya nyata dan kosnya tinggi.

Tetapi pembuangan penuh menukar satu risiko untuk yang lain: spoliation bukti.

Bagi firma yang tertakluk kepada tuntutan mahkamah atau audit, memusnahkan keupayaan untuk memulihkan rekod asal boleh dikira sebagai spoliation di bawah peraturan persekutuan dan negeri.

Skala Perkongsian AI

Penyelidikan dari eSecurity Planet dan Cyberhaven mendapati 77% kakitangan berkongsi data sensitif dengan alat AI setiap minggu. Ini merentasi undang-undang, penjagaan kesihatan, kewangan, dan teknologi.

Kandungan yang dikongsi sering termasuk:

  • Surat pelanggan dan nota kes
  • Draf kontrak dan syarat perjanjian
  • Rancangan dalaman dan rekod perniagaan
  • Model kewangan dan unjuran
  • Memo undang-undang dan nota kes
  • Rekod pesakit dan nota klinikal
  • Fail HR dan mesej kakitangan

Apabila pembuangan penuh adalah kawalan AI, setiap dokumen yang melaluinya mungkin kehilangan nilai undang-undangnya. Jika dokumen-dokumen tersebut muncul dalam tuntutan mahkamah -- sangat mungkin selama mana-mana tempoh berbilang tahun bagi firma dalam bidang yang dikawal selia -- firma itu berpotensi telah kehilangan bukti.

Lihat gambaran keseluruhan penjajaran undang-undang kami untuk cara anonym.legal memenuhi kewajipan penemuan. Anda juga boleh menyemak panduan sistem token untuk melihat cara saluran paip masking berfungsi dalam praktik.

GDPR: Reversibiliti Diperlukan

Artikel 4(5) GDPR mentakrifkan pseudonymization sebagai memproses rekod peribadi dengan cara yang bermakna ia "tidak lagi boleh dikaitkan dengan subjek data tertentu tanpa penggunaan maklumat tambahan, dengan syarat maklumat tambahan sedemikian disimpan secara berasingan."

Perkara utama: kunci tambahan yang membolehkan pemautan semula mesti disimpan. Rekod yang boleh dipautkan semula melalui kunci yang tersimpan dikira sebagai pseudonymized di bawah GDPR.

Rekod yang tidak boleh dipautkan semula langsung bukan pseudonymized. Ia dianonimkan. Jurangnya penting:

  • Rekod bermasking token mengekalkan beberapa kewajipan GDPR tetapi boleh dipulihkan untuk kegunaan undang-undang.
  • Rekod yang dipadam sepenuhnya mungkin berada di luar skop GDPR tetapi tidak boleh dipulihkan langsung.

Garis Panduan 05/2022 Lembaga Perlindungan Data Eropah mengesahkan bahawa reversibiliti adalah bahagian teras definisi tersebut. Firma yang menggunakan pembuangan sehala tidak melakukan pseudonymization GDPR. Mereka memotong keupayaan untuk memulihkan rekod.

Pelajari lebih lanjut di hab pematuhan kami dan gambaran perlindungan.

Peraturan Persekutuan: Ujian Spoliation

Di bawah Peraturan Prosedur Sivil Persekutuan, pihak-pihak mesti memelihara rekod yang mungkin relevan kepada tindakan undang-undang yang dijangkakan. Kewajipan ini bermula apabila tuntutan mahkamah dapat diramalkan secara munasabah -- bukan apabila ia difailkan.

Peraturan 37(e) membenarkan mahkamah mengenakan penalti apabila sesuatu pihak gagal memelihara rekod yang tersimpan. Penalti boleh termasuk:

  • Arahan inferens buruk
  • Pengecualian bukti
  • Sanksi yang menamatkan kes dalam kes serius

Berikut adalah cara ini berlaku. Sebuah firma menggunakan aliran kerja AI yang membuang sepenuhnya kandungan sensitif dalam perjalanan perniagaan biasa. Rekod-rekod tersebut kemudiannya menjadi relevan kepada tuntutan mahkamah. Firma telah mengubahnya supaya teks asal tidak boleh dipulihkan. Jika itu berlaku selepas kewajipan pemeliharaan melekat, pendedahan spoliation mengikuti.

Ini bukan kes pinggiran. Firma dalam bidang yang dikawal selia dengan pendedahan undang-undang yang berulang menghadapi tuntutan mahkamah yang boleh diramalkan secara berterusan merentasi jenis dokumen yang luas. Menggunakan pembuangan penuh merentasi semua aliran kerja -- tanpa ukiran untuk rekod yang berisiko -- mewujudkan risiko spoliation yang besar.

Boleh Berbalik vs. Tidak Boleh Berbalik: Perbezaan Utama

Perbezaan antara masking boleh berbalik dan sehala terletak pada rekabentuk.

Sehala: tiada jalan kembali

Pencincangan SHA-256 nama menghasilkan cincangan tetap. Nama tidak boleh diperolehi daripadanya. Redaksi keras membuang teks supaya kandungan asal hilang.

Boleh Berbalik: pemulihan adalah mungkin

Penggantian token dengan pengekalan kunci dan penyulitan AES-256-GCM kedua-duanya mengubah rekod dengan cara yang boleh dibatalkan. Nama yang digantikan dengan token boleh dipulihkan melalui jadual carian. Kandungan AES-256-GCM boleh dinyahsulit dengan kunci yang betul. Teks asal kekal boleh dicapai.

Untuk perlindungan AI, kedua-dua kaedah berfungsi dengan cara yang sama. AI memproses token dan tidak pernah melihat rekod sebenar.

Untuk kewajipan undang-undang, hanya masking token boleh berbalik yang berfungsi. Kaedah sehala memotong pemulihan dan mewujudkan risiko spoliation yang disebutkan di atas.

Baca cara sistem token kami mengendalikan ini dari awal hingga akhir. Untuk konteks yang lebih mendalam, lihat glosari dan Soalan Lazim.

Rekabentuk Dwi-Pematuhan

Rekabentuk yang memenuhi kedua-dua keselamatan AI dan kewajipan pendedahan undang-undang menggunakan masking token AES-256-GCM yang boleh berbalik:

  1. Rekod diproses sebelum ia mencapai mana-mana alat AI.
  2. Item sensitif -- nama, ID, PHI, kandungan istimewa -- ditukar dengan token berstruktur.
  3. Peta token disimpan dalam kedai berasingan dengan kawalan akses yang sepadan dengan jenis data.
  4. Pemprosesan AI berjalan pada salinan token. AI tidak pernah melihat rekod sebenar.
  5. Hasil dipulihkan menggunakan peta token untuk kegunaan perniagaan biasa.
  6. Peta token diletakkan di bawah pegangan undang-undang apabila kewajipan penemuan melekat.

Di bawah rekabentuk ini, tiada kandungan asal yang pernah hilang. Pembekal AI tidak pernah melihatnya dalam bentuk yang boleh digunakan. Peta token mengekalkan pemulihan mungkin apabila undang-undang memerlukannya. Risiko spoliation tiada -- tiada rekod yang dimusnahkan. Ia hanya dimasking dengan cara yang boleh dibatalkan.

Artikel 4(5) GDPR dipenuhi: kunci tambahan (peta token) disimpan secara berasingan dengan perlindungan teknikal dan proses yang betul. Kewajipan pemeliharaan Peraturan Persekutuan dipenuhi: rekod asal boleh dipulihkan apabila pegangan undang-undang digunakan.

Terokai pendekatan pengesanan entiti kami, gambaran perlindungan, dan pelan dan kadar untuk butiran penuh.

Pilihan Binari

Firma menghadapi persimpangan yang jelas:

  • Buang data secara kekal -- selesaikan masalah kebocoran AI tetapi wujudkan risiko undang-undang.
  • Gunakan masking token boleh berbalik -- penuhi keperluan perlindungan dan pematuhan serentak.

Kos purata pelanggaran AI $2.1 juta mendorong keputusan keselamatan. Tetapi sanksi spoliation juga tidak murah. Dalam kes dengan pertaruhan kewangan yang besar, kos boleh mencapai susunan magnitud yang sama. Kedua-dua risiko layak mendapat tempat dalam keputusan.

Dasar AI yang baik merangkumi kedua-dua hujung. Ia menghalang rekod sensitif daripada meninggalkan firma dalam bentuk yang boleh digunakan. Dan ia mengekalkan rekod-rekod yang sama boleh dicapai apabila mahkamah atau pengawal selia memintanya. Masking token boleh berbalik adalah satu-satunya kaedah yang melakukan kedua-duanya serentak.

Untuk latar belakang lanjut, lihat kenyataan pengasas kami dan kajian kes.

Sumber

  • Cyberhaven Q4 2025: Pendedahan Data dalam Alat AI -- pautan
  • IBM / Ponemon Institute: Laporan Kos Pelanggaran Data 2024 -- pautan
  • Garis Panduan EDPB 05/2022 tentang Pseudonymization -- pautan
  • Peraturan Prosedur Sivil Persekutuan Peraturan 37(e) -- pautan
  • E-Discovery LLC: Redaksi Relevan dan Piawaian Undang-Undang -- pautan

Artikel Berkaitan

Teknologi Undang-Undang

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Teknologi Undang-Undang

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Teknologi Undang-Undang

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Sedia untuk melindungi data anda?

Mulakan pengenalan PII dengan 285+ jenis entiti dalam 48 bahasa.

Mulakan Percubaan PercumaLihat Ciri-ciri

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.