CNIL: DPA ที่มีข้อกำหนดทางเทคนิคสูงสุดในสหภาพยุโรป
Commission Nationale de l'Informatique et des Libertés (CNIL) ของฝรั่งเศสเผยแพร่แนวทางที่มีรายละเอียดและเฉพาะเจาะจงทางเทคนิคสูงสุดในสหภาพยุโรปเรื่องการคุ้มครองข้อมูล ในขณะที่ DPA ส่วนใหญ่ออกแนวทางทั่วไป CNIL เผยแพร่ "recommandations" — ข้อกำหนดทางเทคนิคโดยละเอียดที่ถือเป็นการตีความของ CNIL ว่า GDPR ต้องการอะไรในทางปฏิบัติ
คำแนะนำ AI ปี 2024 ของ CNIL
ในปี 2024 CNIL เผยแพร่ชุดคำแนะนำ AI ที่ครอบคลุม ซึ่งสร้างข้อกำหนดใหม่สำหรับการฝึกสอนโมเดล AI:
ข้อกำหนดการทำให้ไม่ระบุตัวตนของข้อมูลฝึกสอน:
- ข้อมูลส่วนตัวที่ใช้ฝึกสอนโมเดล AI ต้องได้รับการทำให้ไม่ระบุตัวตนก่อนการใช้งาน
- การทำให้ไม่ระบุตัวตนต้อง "ไม่สามารถย้อนกลับได้" ตามมาตรฐาน CNIL — pseudonymization ไม่เพียงพอสำหรับข้อมูลฝึกสอน
- บันทึกการทำให้ไม่ระบุตัวตนต้องรักษาไว้สำหรับการตรวจสอบ CNIL
ข้อกำหนดความโปร่งใสของโมเดล:
- องค์กรต้องสามารถสาธิตว่าข้อมูลฝึกสอนผ่านกระบวนการทำให้ไม่ระบุตัวตนที่มีเอกสาร
- โมเดล AI ที่ฝึกสอนบน PII ที่ไม่ได้รับการทำให้ไม่ระบุตัวตนถือเป็นการละเมิด GDPR
สถิติการบังคับใช้ CNIL
- ประมวลผลร้องเรียน 16,433 รายการในปี 2023
- ค่าปรับรวมกว่า €150 ล้าน ตั้งแต่ปี 2019
- ค่าปรับที่โดดเด่น: Google (€150M), Facebook (€60M), Amazon (€35M)
NIR: หมายเลขประกันสังคมของฝรั่งเศส
Numéro d'inscription au répertoire (NIR) หรือ numéro de sécurité sociale คือตัวระบุหลักของฝรั่งเศส มี 15 หลักรวมเพศ วันเดือนปีเกิด รหัสจังหวัด รหัสเทศบาล และหลักตรวจสอบ
ข้อกำหนดการตรวจจับ NIR:
- NIR ปรากฏในเอกสารทางการแพทย์ บัญชีเงินเดือน และสัญญาจ้างงานทุกฉบับ
- CNIL กำหนดให้ทำให้ NIR ไม่ระบุตัวตนในระบบที่ไม่ต้องการตัวระบุนั้น
- การใช้ NIR นอกจุดประสงค์ที่กำหนดถือเป็นการละเมิด GDPR ตาม CNIL
แนวทาง CNIL สำหรับโมเดล AI และการทำให้ไม่ระบุตัวตน
CNIL กำหนดสามสถานการณ์:
สถานการณ์ 1: AI ฝึกสอนบนข้อมูลสาธารณะ — กำหนดให้ตรวจสอบว่าข้อมูลสาธารณะไม่มี PII ที่ต้องปกป้อง
สถานการณ์ 2: AI ฝึกสอนบนข้อมูลภายใน — กำหนดให้ทำให้ PII ไม่ระบุตัวตนก่อนการฝึกสอน
สถานการณ์ 3: AI ที่ประมวลผล PII ตามเวลาจริง — กำหนดให้มี legal basis, records of processing (ROPA), และ DPIA
แหล่งที่มา: