IMY สวีเดน: การทำให้ไม่ระบุตัวตน GDPR และมาตรฐาน Nordic
Integritetsskyddsmyndigheten (IMY) ของสวีเดนบังคับใช้ GDPR นอกจากนี้ยังกำหนดมาตรฐานทางเทคนิค คู่มือการทำให้ไม่ระบุตัวตนปี 2023 เป็นเอกสาร DPA ที่มีรายละเอียดมากที่สุดในหัวข้อนี้ในสหภาพยุโรป DPA อื่น ๆ ของสหภาพยุโรปสิบสองแห่งอ้างถึงเป็นข้อมูลอ้างอิงสำคัญ IMY ออกคำตัดสินการบังคับใช้ 28 ฉบับในปี 2024 รวมมูลค่า €8.5 ล้าน
กรอบการทำให้ไม่ระบุตัวตนของ IMY
คู่มือของ IMY ระบุกฎหลักหนึ่งข้อ: การทำให้ไม่ระบุตัวตนคือการทดสอบทางเทคนิค นโยบายและสัญญาเพียงอย่างเดียวไม่ทำให้บันทึกไม่ระบุตัวตน IMY ใช้สี่การทดสอบเพื่อตัดสินว่าบันทึกไม่ระบุตัวตนอย่างแท้จริงหรือไม่
k-anonymity: แต่ละคนต้องดูเหมือนกับอีกอย่างน้อย k-1 คนอื่นในทุกฟิลด์สำคัญ IMY กำหนด k≥5 สำหรับบันทึกการวิจัย
l-diversity: ภายในแต่ละกลุ่ม ฟิลด์ที่ละเอียดอ่อนต้องมีค่าที่แตกต่างกันอย่างน้อย l ค่า ซึ่งขัดขวางการโจมตีการอนุมานแม้ว่า k-anonymity จะถือ
Differential privacy: เพิ่ม noise ในผลลัพธ์การค้นหา ไม่สามารถตรวจจับการมีอยู่ของบุคคลใดจากผลลัพธ์ได้
Pseudonymization กับ anonymization: Pseudonymization สลับตัวระบุด้วยรหัส แต่เก็บกุญแจการกู้คืน ยังคงอยู่ภายใต้การกำกับดูแล GDPR เฉพาะบันทึกที่ผ่านสี่การทดสอบเหล่านี้เท่านั้นที่ไม่ระบุตัวตนอย่างแท้จริง
ดู คู่มือการทำให้ไม่ระบุตัวตนข้อมูลฝึก ML ที่สอดคล้องกับ GDPR ของเราเพื่อดูว่าการทดสอบเหล่านี้ใช้กับงาน AI อย่างไร
อัตราการใช้สิทธิ์ของสวีเดน
79% ของผู้ใหญ่ชาวสวีเดนใช้สิทธิ์ GDPR ของตนในแต่ละปี นั่นคืออัตราสูงสุดในสหภาพยุโรป ในรัฐสหภาพยุโรปส่วนใหญ่ คำขอสิทธิ์มาจากเรื่องร้องเรียน ในสวีเดน เป็นส่วนหนึ่งของชีวิตประจำวันปกติ
บริษัทที่มีผู้ใช้ชาวสวีเดนต้องจัดการคำขอการเข้าถึงจำนวนมาก แต่ละคำขอต้องตอบภายในหนึ่งเดือน การตอบล่าช้านำไปสู่การติดตามของ IMY ต้องการบันทึกส่วนบุคคลปัจจุบันในทุกระบบ
ความท้าทาย Personnummer ของสวีเดน
personnummer ของสวีเดนอยู่ในเอกสารทางการของสวีเดนแทบทุกฉบับ รูปแบบคือ 10 หรือ 12 หลัก (YYMMDD-XXXX) การตรวจสอบของ IMY พบว่า 45% ของเครื่องมือ NLP ทั่วไปล้มเหลวในการตรวจจับ personnummer
ความแปรผันของรูปแบบ: หมายเลขอาจปรากฏมีหรือไม่มีขีด อาจเป็น 10 หรือ 12 หลัก เครื่องมือที่สร้างสำหรับรูปแบบหนึ่งพลาดอีกรูปแบบ
การตรวจสอบ Luhn: โดยไม่มีการตรวจสอบ Luhn เครื่องมือจะตั้งค่าสตริง 10 หลักใด ๆ เป็น false positive ยังพลาดหมายเลขในรูปแบบที่ผิดปกติ
Samordningsnummer: หมายเลขนี้ใช้สำหรับผู้อยู่อาศัยต่างชาติในสวีเดน ตามรูปแบบเดียวกัน แต่เพิ่ม 60 ในหลักวันเกิด (61–91 แทน 01–31) เครื่องมือที่ตรวจจับเฉพาะ personnummer มาตรฐานจะพลาด samordningsnummer ช่องว่างนี้มีความสำคัญสำหรับบริษัทที่มีพนักงานหรือลูกค้าที่ไม่ใช่ชาวสวีเดน
ตำแหน่งของ IMY เกี่ยวกับการฝึก AI
IMY เผยแพร่คำแนะนำเกี่ยวกับบันทึกส่วนบุคคลในการฝึก AI ในปี 2024 สามประเด็นมีความสำคัญสำหรับบริษัทที่มีผู้ใช้ชาวสวีเดน
ประการแรก "การฝึก AI" ไม่ใช่วัตถุประสงค์ GDPR ที่ถูกต้องเพียงลำพัง ต้องเชื่อมโยงกับเป้าหมายสุดท้ายที่ชัดเจนและเฉพาะเจาะจง
ประการที่สอง บันทึก pseudonymized ที่ใช้สำหรับการฝึก AI ยังคงอยู่ภายใต้การกำกับดูแล GDPR เฉพาะบันทึกที่ผ่านการทดสอบของ IMY เท่านั้นที่สามารถใช้ได้โดยไม่มีฐานทางกฎหมาย
ประการที่สาม บริษัทที่ปรับแต่ง AI models บนบันทึกภาษาสวีเดนต้องพิสูจน์การทำให้ไม่ระบุตัวตนที่แท้จริง หรือบันทึกฐานทางกฎหมายที่ชัดเจน
ดู คู่มือการทำให้ไม่ระบุตัวตนข้อมูลฝึก EU AI Act ของเราเพื่อดูวิธีที่หน่วยงาน EU จัดการกับการฝึก AI ทั่วทั้งกลุ่ม
ต้นทุนการปฏิบัติตาม GDPR ของสวีเดน
ค่าใช้จ่ายเฉลี่ยการปฏิบัติตาม GDPR ขององค์กรสวีเดนอยู่ที่ €85,000 ต่อปี งานสิทธิ์การเข้าถึงและการตรวจสอบการทำให้ไม่ระบุตัวตนเป็นตัวขับเคลื่อนต้นทุนนี้ การทำให้การตรวจจับ PII เป็นอัตโนมัติตามมาตรฐานของ IMY ช่วยลดต้นทุน การตรวจสอบด้วยตนเองไม่สามารถตามทันอัตราการใช้สิทธิ์ของสวีเดนได้
กรอบของ IMY ถูกอ้างถึงทั่วสหภาพยุโรป การปฏิบัติตามมาตรฐานทำให้บริษัทอยู่ในตำแหน่งที่ดีสำหรับการตรวจสอบสหภาพยุโรปที่กว้างขึ้น