CNIL Francija: tehnicna skladnost z GDPR
Najstrozi francoski regulator zasebnosti
Francoski organ za varstvo podatkov je CNIL. Postavlja najnatancnejsa pravila zasebnosti v EU. Vecina evropskih regulatorjev pise siroke smernice. CNIL gre dlje. Objavlja natancne tehnicne specifikacije, imenovane recommandations. Te definirajo, kako izgleda dejanska skladnost z GDPR.
Drugi evropski regulatorji pogosto posnemajo delo CNIL. Kljucna besedila vkljucujejo Guide pratique de l'anonymisation iz 2023 in smernice o UI iz 2024.
Stevilke kazejo, da je organ aktiven. V letu 2023 je obravnaval 16.433 pritozb. To je 43% vec kot leta 2022. Od zacetka izvrsevannja je nakazal priblizno 150 milijonov EUR glob po GDPR.
Ucenje UI: sest vrst zapisov za ciscenje
Smernice CNIL o UI iz 2024 se nanasajo siroko. Pokrivajo vse skupine, ki ucijo UI na francoskih osebnih zapisih. Prav tako velja za tiste, ki francoskm uporabnikom sluzijo z orodji UI.
Organism navaja sest vrst zapisov, ki jih je treba pred ucenjem UI ocistiti:
- Identifiants directs (neposredni ID-ji): Imena, naslovi, stevilke osebnih izkaznic. Odstranite ali zamenjajte te pred ucenjem.
- Identifiants quasi-directs (kvazi-ID-ji): Skupki lastnosti, ki omogocajo ponovno identifikacijo. Izvedite preveritve k-anonimnosti.
- Donnees sensibles (posebne vrste): Zdravstveni, biometricni, politicni in verski zapisi. Izolirajte z dodatnimi kontrolami.
- Donnees comportementales (zapisi o uporabi): Zgodovina brskanja in vzorci uporabe. Agregirajte ali zakriijte te.
- Donnees inferees (izvedene lastnosti): Signali, izvedeni z UI iz uporabe. Uveljavljajte omejitve namena.
- Donnees relatives aux mineurs (zapisi otrok): Vsi zapisi, povezani z osebami, mlajsimi od 15 let. Izvedite preverjanje starosti in mocno ciscenje.
Uporabljate jezikovne modele, ucene na izscccrapanem vsebini? Potrebujete pisno dokazilo. Pokazite, da so bili vasi ucni zapisi pregledani in ociscceni. Si oglejte nas vodic za skladnost z GDPR za podrobnosti obsega.
Vodic za anonimizacijo: kljucna pravila
Vodic iz leta 2023 je najbolj podrobno besedilo EU na to temo. Postavlja merilo za to, kaj steje kot resnino anonimno.
Odobrene tehnike:
- k-anonimnost -- vsak zapis je podoben vsaj k-1 drugim
- l-raznolikost -- obcutljive lastnosti se razlikujejo znotraj vsake skupine
- Diferencialna zasebnost -- sum dodan k izhodnim statistikam
- Psevdonimizacija -- korak zmanjsevanja tveganja, ne prava anonimizacija
Zahtevani zapisi:
Za vsako dejavnost, ki uporablja ciscenje, CNIL pricakuje fiche d'anonymisation (zapis o anonimizaciji). Vsebovati mora:
- Uporabljeno tehniko in njene kljucne nastavitve (vrednost k, vrednost epsilon)
- Rezultat preveritve tveganja ponovne identifikacije
- Metodo validacije (testiranje ali zunanji pregled)
- Odgovornu osebo in datum pregleda
Preveritev tveganja ponovne identifikacije:
Preden oznaciite zapise kot anonimne, izvedite formalno preveritev. Vprasajte se: ali bi motivirana oseba znova identificirala to? Poglejte, katere pomozne zbirke podatkov obstajajo. Upostevajte celoten kontekst.
Francoski OOI: kaj morajo vasa orodja najti
Francioska pravila zahtevajo pokritost francoscine OOI. Vasa orodja morajo zaznati francoske specificne vrste ID-jev.
Kljucni ID-ji za pokritje:
- NIR: 15 stevilk (13 osnova + 2-mestni kljuc). To je francoska stevilka socialne varnosti.
- Stevilka Carte vitale: ID zdravstvenega zavarovalniskega kartona.
- SIRET/SIREN: Poslovni ID-ji, najdeni v osebnih datotekah.
- Numero d'ordre professionnel: Stevilke v registru za zdravnike, odvetnike in racunovodje.
- CNI (Carte nationale d'identite): Stevilka francoske nacionalne osebne izkaznice.
Francoski modeli NER morajo obvladati vzorce francoskih imen. Ti vkljucujejo sestavljena imena (Jean-Pierre), delce (de, du, des) in priimke s crtici. Si oglejte nas vodic za vecjezicno zaznavo OOI za to, kako pokriti vse jezikovne razlicice.
Izvrsevannje: kaj se globi
Globe organa sledijo jasnemu vzorcu. Ciljajo na manjkajocce tehnicne ukrepe. Slabi postopki sami po sebi redko predstavljajo glavni problem.
Clearview AI -- globa 20 mio EUR (2022): Podjetje je obdelovalo biometricne zapise Francozov brez pravne podlage. Zapisi so bili izscccrapani iz javnih spletnih virov. Primer je potrdil: mnozicno spletno scrapiranje za ucenje UI potrebuje izrecno pravno podlago.
TikTok -- preiskava zaceta 2024: Osredotocena na sisteme, ki morda sklepajo o obcutljivih vrstah iz signalov uporabe. Ta metoda je zdaj referenca EU za revizije UI.
Pregled generativne UI (2024-2025): Organ je pregledal ponudnike jezikovnih modelov v Franciji. Osredotocil se je na izvor ucne vsebine. Ponudniki brez ustreznih zapisov so morali dodati ukrepe.
Stiri koraki do skladnosti s CNIL
Obdelujete francoske osebne zapise? Potrebujete stiri stvari.
1. Zapis o anonimizaciji za vsako dejavnost
Vsaka dejavnost, ki uporablja ciscenje, potrebuje lasten zapis. Zabelezite tehniko, njene nastavitve, rezultat tveganja in datum pregleda.
2. Dnevniki predprocesiranja za UI
Evidenthirajte, katero orodje za zaznavo OOI ste uporabili. Zabelezite, katere vrste entitet je naslo. Evidenthirajte, kaj je bilo odstranjeno ali zakriijto. Te dnevnike imejte pripravljene za revizije.
3. Pokritost francoscine OOI
Preverte, ali vase orodje najde stevilke NIR, Carte vitale in CNI. Preizkusite vas francoski model NER na resnicnih francoskih imenih. Zabelezite vrzeli. Evidenthirajte ukrepe, ki ste jih uvedli za njihovo odpravo.
4. Zapisi o izvoru ucne vsebine
Za izscccrapano vsebino: dokumentirajte preveritev ciscenja vira. Za zapise uporabnikov: dokumentirajte postopek ciscenja uporabnikov. Nas pregled varnostne skladnosti pokazuje, kako to ustreza sirsemu skladu varovalnih ukrepov.
Skupine z dobrimi zapisi se hitro prebijejo skozi revizije. Ustvarite svojo dokumentacijo zdaj. Ne cakajte na inspeckcijo.