Шведское Integritetsskyddsmyndigheten (IMY) является одновременно органом правоприменения и лидером в области технических стандартов. Его руководство по анонимизации 2023 года является наиболее полным технически документом, изданным DPA в ЕС об анонимизации — на него ссылаются 12 других DPA ЕС как на эталонный стандарт. IMY выдало 28 решений о правоприменении в 2024 году на общую сумму €8,5 млн.
Структура анонимизации IMY
Руководство IMY по анонимизации прямо указывает, что анонимизация — это технический вопрос, а не договорный или организационный. Технические пороги, оцениваемые IMY:
k-анонимность: Каждое лицо в наборе данных должно быть неотличимо как минимум от k-1 других по всем квазиидентифицирующим атрибутам. IMY рекомендует k≥5 для исследовательских наборов данных.
l-разнообразие: Чувствительные атрибуты в каждом классе эквивалентности должны иметь как минимум l различных значений — предотвращая атаки вывода даже при соблюдении k-анонимности.
Дифференциальная конфиденциальность: Статистический шум, добавленный так, чтобы присутствие или отсутствие любого лица не могло быть определено из результатов запроса.
Псевдонимизация против анонимизации: IMY предоставляет чёткие технические критерии, различающие псевдонимизированные данные, регулируемые GDPR, и подлинно анонимные данные. Псевдонимизация — замена идентификаторов искусственными кодами при сохранении ключа повторной идентификации — остаётся полностью регулируемой GDPR. Только данные, отвечающие техническим порогам необратимости, являются подлинно анонимными.
Феномен прав субъектов данных в Швеции
79% шведских субъектов данных ежегодно реализуют права GDPR — наибольший показатель в ЕС. Это создаёт операционную проблему соответствия, отличающуюся от других юрисдикций ЕС:
В большинстве стран ЕС реализация прав в основном осуществляется по жалобам. В Швеции реализация прав является нормализованным цифровым гражданством. Организации, обрабатывающие шведские персональные данные, должны быть операционно подготовлены к высокообъёмным запросам на доступ (каждый должен быть обработан в течение одного месяца), последующим эскалациям к IMY и всесторонним инвентаризациям персональных данных, способным отвечать на запросы о праве доступа во всех системах.
Personnummer: шведский вызов идентификации
Шведский personnummer (10 или 12 цифр, формат GGMMDD-XXXX) появляется практически в каждом шведском официальном документе. Техническая оценка IMY выявила, что 45% общих инструментов NLP неправильно идентифицируют personnummer:
Вариация формата: Появляется с дефисом или без него, а также с 10 или 12 цифрами в зависимости от контекста. Инструменты, распознающие только один формат, пропускают другой.
Валидация Луна: Без реализации алгоритма Луна инструменты генерируют ложноположительные результаты из любого 10-значного числа и пропускают personnummer в нестандартном форматировании.
Samordningsnummer: Координационный номер для иностранных резидентов использует тот же формат, но добавляет 60 к цифрам дня рождения (61–91 вместо 01–31). Инструменты, распознающие только стандартный формат personnummer, пропускают samordningsnummer в документах с иностранными гражданами — значительный пробел для многонациональных работодателей.
Позиция IMY по обучающим данным ИИ
IMY выпустил руководство 2024 года специально о персональных данных в обучении ИИ. Ключевые выводы:
- «Обучение ИИ» само по себе не является законной целью GDPR — оно должно быть привязано к конкретной последующей цели, которая является соразмерной
- Псевдонимизированные данные, используемые для обучения ИИ, остаются регулируемыми GDPR; только подлинно анонимизированные данные (отвечающие техническим порогам IMY) могут использоваться без конкретного правового основания
- Организации, использующие шведские персональные данные для тонкой настройки моделей ИИ, должны либо продемонстрировать подлинную анонимизацию, либо опираться на явное законное основание
Для организаций со шведскими операциями, использующими ИИ-инструменты, обученные или тонко настроенные на шведских данных клиентов или сотрудников, стандарт IMY представляет текущее состояние ЕС в области соответствия обучающих данных ИИ.
Средние затраты шведских предприятий на соответствие GDPR составляют €85 000 в год — обусловленные управлением правами доступа и задокументированными требованиями к анонимизации. Организации, развёртывающие инструменты PII, отвечающие техническим стандартам IMY, сокращают эти затраты за счёт автоматизации.
Источники: