CNIL Франция: техническое соответствие GDPR
Строжайший регулятор в области конфиденциальности Франции
Французский орган по защите данных — CNIL. Он устанавливает наиболее точные правила конфиденциальности в ЕС. Большинство регуляторов ЕС публикуют широкие рекомендации. CNIL идёт дальше. Он публикует точные технические спецификации — recommandations — которые определяют, как выглядит реальное соответствие GDPR.
Другие регуляторы ЕС нередко опираются на материалы CNIL. Ключевые тексты — Guide pratique de l'anonymisation 2023 года и руководство по ИИ 2024 года.
Цифры свидетельствуют об активности ведомства. В 2023 году оно рассмотрело 16 433 жалобы — на 43% больше, чем в 2022 году. С начала правоприменения оно выпустило штрафы на сумму около €150 миллионов.
Обучение ИИ: шесть типов записей для удаления
Руководство CNIL по ИИ 2024 года применяется широко. Оно охватывает любую организацию, обучающую ИИ на французских персональных данных. Также оно распространяется на тех, кто обслуживает французских пользователей с помощью ИИ-инструментов.
Ведомство перечисляет шесть типов записей, требующих обработки перед обучением ИИ:
- Identifiants directs (прямые идентификаторы): имена, адреса, идентификационные номера. Удалите или замените их перед обучением.
- Identifiants quasi-directs (косвенные идентификаторы): совокупности признаков, позволяющих провести повторную идентификацию. Выполните проверку на k-анонимность.
- Données sensibles (специальные категории): медицинские, биометрические, политические данные и данные о вере. Выделите их с применением дополнительных средств контроля.
- Données comportementales (данные о поведении): история просмотров и паттерны использования. Агрегируйте или маскируйте их.
- Données inférées (выводимые признаки): сигналы, полученные ИИ из паттернов использования. Применяйте ограничения целей.
- Données relatives aux mineurs (данные о несовершеннолетних): любые записи, связанные с лицами до 15 лет. Проводите проверку возраста и применяйте строгую обработку.
Используете LLM, обученные на извлечённых данных? Вам нужны письменные доказательства. Подтвердите, что ваши обучающие данные были проверены и обработаны. Подробнее о сфере применения см. в нашем руководстве по соответствию GDPR.
Руководство по анонимизации: основные правила
Руководство 2023 года — наиболее детальный документ ЕС по этой теме. Оно устанавливает стандарт подлинной анонимности.
Одобренные техники:
- k-анонимность — каждая запись похожа хотя бы на k-1 других
- l-разнообразие — чувствительные признаки варьируются внутри каждой группы
- Дифференциальная приватность — шум добавляется к выходной статистике
- Псевдонимизация — шаг снижения риска, но не подлинная анонимизация
Обязательная документация:
Для каждого вида деятельности, использующего обработку данных, CNIL ожидает fiche d'anonymisation (карту анонимизации). Она должна включать:
- Используемую технику и её ключевые параметры (значение k, значение epsilon)
- Результат проверки риска повторной идентификации
- Метод валидации (тестирование или независимая проверка)
- Ответственное лицо и дату проверки
Проверка риска повторной идентификации:
Прежде чем помечать записи как анонимные, проведите официальную проверку. Задайте вопрос: может ли мотивированное лицо повторно идентифицировать субъекта? Изучите, какие вспомогательные наборы данных существуют. Рассмотрите полный контекст.
Персональные данные во Франции: что ваши инструменты должны находить
Французские правила требуют охвата персональных данных на французском языке. Ваши инструменты должны обнаруживать типы идентификаторов, специфичных для Франции.
Основные идентификаторы для охвата:
- NIR: 15 цифр (13 базовых + ключ из 2 цифр). Это французский номер социального страхования.
- Номер карты vitale: Идентификатор карты медицинского страхования.
- SIRET/SIREN: Идентификаторы компаний, встречающиеся в личных делах.
- Numéro d'ordre professionnel: Реестровые номера врачей, юристов и бухгалтеров.
- CNI (Carte nationale d'identité): Номер французского национального удостоверения личности.
Французские NER-модели должны справляться с французскими паттернами имён: составными именами (Jean-Pierre), частицами (de, du, des) и именами с дефисом. О том, как обеспечить охват всех локалей, читайте в нашем руководстве по многоязычному обнаружению персональных данных.
Правоприменение: за что штрафуют
Штрафы ведомства следуют чёткой закономерности. Они нацелены на отсутствующие технические средства контроля. Одних лишь процессуальных нарушений редко бывает достаточно.
Clearview AI — штраф €20 млн (2022): Компания обрабатывала биометрические данные французских граждан без правового основания. Данные были извлечены из публичных веб-источников. Этот случай подтвердил: массовый веб-скрейпинг для обучения ИИ требует явного правового основания.
TikTok — расследование начато в 2024 году: Расследование сосредоточено на системах, которые могут выводить чувствительные типы из сигналов использования. Этот метод теперь служит эталоном ЕС для аудита ИИ.
Проверка генеративного ИИ (2024–2025): Ведомство проверяло поставщиков LLM во Франции. Проверка была направлена на происхождение обучающего контента. Поставщикам без надлежащей документации было предписано внедрить средства контроля.
Четыре шага к соответствию требованиям CNIL
Обрабатываете французские персональные данные? Вам необходимы четыре элемента.
1. Карта анонимизации для каждого вида деятельности
Каждый вид деятельности, использующий обработку данных, нуждается в собственной карте. Укажите технику, её параметры, результат проверки риска и дату проверки.
2. Журналы предобработки для ИИ
Записывайте, какой инструмент обнаружения персональных данных вы использовали. Указывайте, какие типы сущностей он обнаружил. Фиксируйте, что было удалено или маскировано. Держите эти журналы в готовности для аудитов.
3. Охват персональных данных на французском языке
Проверьте, обнаруживает ли ваш инструмент NIR, номер карты vitale и CNI. Протестируйте вашу французскую NER-модель на реальных французских именах. Зафиксируйте выявленные пробелы. Задокументируйте введённые средства контроля для их устранения.
4. Документы о происхождении обучающего контента
Для извлечённого контента: задокументируйте проверку источника при скрейпинге. Для пользовательских данных: задокументируйте процедуру обработки пользовательских данных. В нашем обзоре безопасности и соответствия показано, как это вписывается в более широкий стек защитных мер.
Организации с хорошей документацией быстро проходят аудиты. Формируйте своё досье сейчас. Не ждите проверки.