CNIL Fransa: GDPR Teknik Uyumluluk
Fransa'nın En Sıkı Gizlilik Düzenleyicisi
Fransa'nın veri kurumu CNIL'dir. AB'nin en kesin gizlilik kurallarını belirler. AB düzenleyicilerinin çoğu geniş kapsamlı kılavuz yayımlar. CNIL daha ileri gider. Recommandations adı verilen hassas teknik spesifikasyonlar yayımlar. Bunlar gerçek GDPR uyumluluğunun nasıl göründüğünü tanımlar.
Diğer AB düzenleyicileri çoğunlukla CNIL'in çalışmalarını takip eder. Önemli metinler arasında 2023 Guide pratique de l'anonymisation ve 2024 yapay zeka kılavuzu yer alır.
Rakamlar kurumun aktif olduğunu göstermektedir. 2023'te 16.433 şikayeti işledi. Bu, 2022'den %43 daha fazladır. Yaptırım başladığından bu yana yaklaşık 150 milyon Euro GDPR para cezası kesmiştir.
Yapay Zeka Eğitimi: Temizlenmesi Gereken Altı Kayıt Türü
CNIL'in 2024 yapay zeka kılavuzu geniş kapsamlıdır. Fransız kişisel kayıtlar üzerinde yapay zeka eğiten her grubu kapsar. Ayrıca yapay zeka araçlarıyla Fransız kullanıcılara hizmet edenleri de kapsar.
Kurum, yapay zeka eğitiminden önce temizlenmesi gereken altı kayıt türü listelemektedir:
- Identifiants directs (doğrudan tanımlayıcılar): Adlar, adresler, kimlik numaraları. Bunları eğitimden önce kaldırın veya değiştirin.
- Identifiants quasi-directs (yarı doğrudan tanımlayıcılar): Yeniden kimlik tespitine olanak tanıyan özellik grupları. k-anonimlik kontrolleri uygulayın.
- Données sensibles (özel türler): Sağlık, biyometrik, siyasi ve inanç kayıtları. Ek kontrollerle izole edin.
- Données comportementales (kullanım kayıtları): Tarama geçmişi ve kullanım kalıpları. Bunları toplayın veya maskeleyin.
- Données inférées (çıkarımlı özellikler): Kullanımdan türetilmiş yapay zeka sinyalleri. Amaç sınırlamaları uygulayın.
- Données relatives aux mineurs (çocuk kayıtları): 15 yaş altı kişilerle bağlantılı herhangi bir kayıt. Yaş kontrolleri yapın ve güçlü temizleme kullanın.
Scraped içerik üzerinde eğitilmiş büyük dil modelleri kullanıyor musunuz? Yazılı kanıta ihtiyacınız var. Eğitim kayıtlarınızın incelendiğini ve temizlendiğini gösterin. Kapsam ayrıntıları için GDPR uyumluluk kılavuzumuza bakın.
Anonimleştirme Kılavuzu: Temel Kurallar
2023 kılavuzu, bu konudaki AB'nin en ayrıntılı metnidir. Gerçek anlamda anonim sayılanın çıtasını belirler.
Onaylı teknikler:
- k-anonimlik — her kayıt en az k-1 diğerine benzer
- l-çeşitlilik — hassas özellikler her grup içinde değişir
- Diferansiyel gizlilik — çıktı istatistiklerine gürültü eklenir
- Takma adlandırma — risk azaltma adımı; gerçek anonimleştirme değil
Gerekli kayıtlar:
Temizleme kullanan her faaliyet için CNIL bir fiche d'anonymisation (anonimleştirme kaydı) bekler. Şunları içermelidir:
- Kullanılan teknik ve temel ayarları (k değeri, epsilon değeri)
- Yeniden kimlik riski kontrolü sonucu
- Doğrulama yöntemi (test veya harici inceleme)
- Sorumlu kişi ve gözden geçirme tarihi
Yeniden kimlik riski kontrolü:
Kayıtları anonim olarak işaretlemeden önce resmi bir kontrol yapın. Soru şu: motive bir kişi yeniden kimlik tespit edebilir mi? Mevcut yardımcı veri kümelerine bakın. Tam bağlamı değerlendirin.
Fransız KKB: Araçlarınızın Bulması Gerekenler
Fransız kuralları, Fransızca KKB kapsamını zorunlu kılar. Araçlarınız Fransa'ya özgü kimlik türlerini algılayabilmelidir.
Kapsanması gereken temel kimlikler:
- NIR: 15 basamak (13 taban + 2 basamaklı anahtar). Fransız Sosyal Güvenlik Numarasıdır.
- Carte vitale numarası: Sağlık sigortası kart kimliği.
- SIRET/SIREN: Kişisel dosyalarda bulunan işletme kimlikleri.
- Numéro d'ordre professionnel: Doktorlar, avukatlar ve muhasebeciler için sicil numaraları.
- CNI (Carte nationale d'identité): Fransız ulusal kimlik kart numarası.
Fransız NER modelleri, Fransız ad kalıplarını işleyebilmelidir. Bunlar bileşik adları (Jean-Pierre), partikülleri (de, du, des) ve kısa çizgili soyadlarını içerir. Tüm yerel ayarları nasıl kapsayacağınızı öğrenmek için bkz. çok dilli KKB algılama kılavuzumuz.
Yaptırım: Neye Para Cezası Veriliyor
Kurumun para cezaları net bir model izliyor. Eksik teknik kontrolleri hedef alıyor. Yalnızca yetersiz süreç nadiren ana sorun oluyor.
Clearview AI — 20M € para cezası (2022): Firma, Fransız insanların biyometrik kayıtlarını yasal dayanak olmaksızın işledi. Kayıtlar açık web kaynaklarından scrapelendi. Dava, yapay zeka eğitimi için toplu web scraping'in açık bir yasal dayanağa ihtiyaç duyduğunu teyit etti.
TikTok — 2024 soruşturması başlatıldı: Kullanım sinyallerinden hassas türleri çıkarabilecek sistemlere odaklandı. Bu yöntem artık yapay zeka denetimleri için AB referansı haline geldi.
Üretken yapay zeka incelemesi (2024–2025): Kurum, Fransa'daki büyük dil modeli satıcılarını inceledi. Eğitim içeriğinin kökenine odaklandı. Uygun kayıtlara sahip olmayan satıcılar kontrol eklemek zorunda kaldı.
CNIL Uyumluluğu İçin Dört Adım
Fransız kişisel kayıtları işliyor musunuz? Dört şeyin yerinde olması gerekir.
1. Her faaliyet için bir anonimleştirme kaydı
Temizleme kullanan her faaliyetin kendi kaydına ihtiyacı vardır. Tekniği, ayarlarını, bir risk sonucunu ve bir gözden geçirme tarihini not edin.
2. Yapay zeka için ön işleme günlükleri
Hangi KKB algılama aracını kullandığınızı kaydedin. Hangi varlık türlerini bulduğunu not edin. Neyin kaldırıldığını veya maskelendiğini kaydedin. Bu günlükleri denetimler için hazır tutun.
3. Fransızca KKB kapsamı
Aracınızın NIR, carte vitale ve CNI numaralarını bulduğunu kontrol edin. Fransız NER modelinizi gerçek Fransız isimleri üzerinde test edin. Boşlukları not edin. Bunları gidermek için uyguladığınız kontrolleri kaydedin.
4. Eğitim içeriği için kaynak kayıtları
Scraped içerik için: kaynak temizleme kontrolünü belgeleyin. Kullanıcı kayıtları için: kullanıcı temizleme sürecini belgeleyin. Güvenlik uyumluluk genel bakışımız, bunun daha geniş bir güvence yığınına nasıl uyduğunu gösteriyor.
İyi kayıtlara sahip gruplar denetimleri hızlıca geçirir. Dosyanızı şimdi oluşturun. Bir inceleme başlayana kadar beklemeyin.