CNIL Fransa: Fransa'nın Veri Koruma Otoritesi Altında GDPR Uyumu — Teknik Ekiplerin Bilmesi Gerekenler

CNIL'in AB'nin En Teknik Olarak Talepkar DPA'sı Olarak Pozisyonu

Fransa'nın Commission Nationale de l'Informatique et des Libertés (CNIL) veri koruma konusunda AB'nin en ayrıntılı ve teknik olarak spesifik rehberliğini yayımlar. Çoğu AB DPA'sı genel rehberlik sağlarken, CNIL "recommandations" yayımlayarak GDPR uyumunun gerektirdiği şeylerin CNIL'in yorumunu oluşturan ayrıntılı teknik spesifikasyonlar sunar.

Bu teknik titizlik, CNIL'i gizlilik mühendisliği için AB ölçütü haline getirmiştir. Diğer AB DPA'ları sıklıkla CNIL'in teknik yayınlarına, özellikle 2023'teki "Guide pratique de l'anonymisation" (anonimleştirme için pratik rehber) ve 2024'teki üretken AI rehberliğine atıfta bulunur.

CNIL, 2023'te 16,433 şikayet işledi — bu, 2022'ye göre %43'lük bir artış — ve 2018'den bu yana yaklaşık 150 milyon € GDPR cezası vermiştir. Şikayet hacmindeki bu artış, hem artan kamu bilinci hem de CNIL'in veri sahiplerini haklarını kullanmaya teşvik eden iletişim kampanyalarını yansıtmaktadır.

CNIL'in AI Eğitim Verileri için Anonimleştirme Gereksinimleri

CNIL'in 2024 üretken AI rehberliği ("Systèmes d'IA générative"), Fransız kişisel verileri üzerinde AI modelleri eğiten veya Fransız kullanıcıların verilerini işleyen AI sistemlerini uygulayan kuruluşlar için bağlayıcı gereksinimler belirler.

Rehberlik, AI eğitim verileri için altı zorunlu anonimleştirme kategorisini tanımlar:

1. Identifiants directs (doğrudan tanımlayıcılar): İsimler, adresler, kimlik numaraları — AI eğitimi öncesinde kaldırılmalı veya değiştirilmelidir
2. Identifiants quasi-directs (yarı-tanımlayıcılar): Yeniden tanımlamayı mümkün kılan özelliklerin kombinasyonları — k-anonimlik için değerlendirilmelidir
3. Données sensibles (özel kategoriler): Sağlık, biyometrik, siyasi, dini veriler — ek anonimleştirme önlemleri ile ayrılmalıdır
4. Données comportementales (davranışsal veriler): Tarayıcı geçmişi, etkileşim kalıpları — toplulaştırılmalı veya takma adlandırılmalıdır
5. Données inférées (çıkarılan veriler): Davranışsal verilerden AI tarafından çıkarılan özellikler — amaç sınırlama kontrollerine tabi olmalıdır
6. Données relatives aux mineurs (çocuk verileri): 15 yaş altındaki kişilere ilişkin olabilecek herhangi bir veri — zorunlu yaş doğrulaması ve geliştirilmiş anonimleştirme

Web'den kazınmış verilerle eğitilen LLM'leri kullanan kuruluşlar için (yaygın bir yaklaşım), CNIL'in rehberliği, eğitim verilerinin bu altı kategoriye göre değerlendirildiğine ve uygun anonimleştirmenin uygulandığına dair belgelerin tutulmasını gerektirir.

"Guide Pratique de l'Anonymisation" Gereksinimleri

CNIL'in 2023 anonimleştirme kılavuzu, teknik olarak anonimleştirmenin neyi içerdiğine dair AB'nin en ayrıntılı resmi rehberliğidir. Ana gereksinimler:

CNIL tarafından onaylanan anonimleştirme teknikleri:

• k-anonimlik: her kaydın en az k-1 diğer kayıttan ayırt edilemez olmasını sağlamak
• l-çeşitlilik: eşdeğer sınıflar içinde hassas özelliklerde çeşitlilik gerektirmek
• Diferansiyel gizlilik: istatistiksel çıktılara kalibre edilmiş gürültü eklemek
• Takma adlandırma (açıkça anonimleştirme olarak değil, bir risk azaltma önlemi olarak belirtilmiştir)

Belgelenme gereksinimleri: CNIL'in kılavuzu, kuruluşların anonimleştirme kullanan her işlem faaliyeti için bir "fiche d'anonymisation" (anonimleştirme kaydı) tutmasını gerektirir; bu kayıt, uygulanan anonimleştirme tekniğini, kullanılan parametreleri (k-anonimlik için k değeri, diferansiyel gizlilik için epsilon değeri), kalan yeniden tanımlama riskinin değerlendirmesini ve doğrulama metodolojisini belgelemelidir.

Yeniden tanımlama risk değerlendirmesi: CNIL, kuruluşların verilerin anonimleştirildiğini iddia etmeden önce bir yeniden tanımlama risk değerlendirmesi yapmalarını gerektirir. Değerlendirme, "motivasyonlu saldırgan" testini (motivasyonu olan bir birey veriyi yeniden tanımlayabilir mi?), mevcut yardımcı veri setlerini ve verinin özel bağlamını dikkate almalıdır.

CNIL'in Fransızca PII Tespit Dikkatleri

Fransızca veri işleyen kuruluşlar için, CNIL'in rehberliği dolaylı olarak PII tespit araçlarının Fransızca PII'yi kapsamasını gerektirir. Tespit edilmesi gereken Fransızca'ya özgü varlık türleri:

• Numéro de Sécurité Sociale (NIR): Belirli format doğrulaması ile 13 haneli Fransız Sosyal Güvenlik Numarası
• Carte vitale numarası: Fransız sağlık yönetiminde kullanılan sağlık sigortası kartı tanımlayıcısı
• Numéro d'identification au répertoire (NIR): Nüfus kayıt tanımlayıcısı
• SIRET/SIREN: Kişisel iş bağlamlarında görünebilecek iş tanımlayıcıları
• Numéro d'ordre professionnel: Profesyonel kayıt numaraları (doktorlar, avukatlar, muhasebeciler)
• Carte nationale d'identité (CNI): Fransız ulusal kimlik kartı numarası

Fransızca kişi adı tespiti için Fransızca adlandırma geleneklerini de ele alacak şekilde Fransız NER modelleri geliştirilmelidir: bileşik isimler (Jean-Pierre), tireli isimler, parçalar (de, du, des) ve Fransızca'ya özgü isim kalıpları.

CNIL Uygulaması: AI Ceza Modeli

CNIL'in AI sistemlerine karşı uygulama eylemleri, AI bağlamında "yeterli teknik önlemler"in ne anlama geldiği konusunda bir emsal oluşturur:

Clearview AI (20 milyon € ceza, 2022): Yasal bir dayanağı olmadan, kamu web kaynaklarından toplanan Fransız bireylerin biyometrik verilerini işlemek. Kişisel verilerin AI eğitimi için topluca web'den kazınmasının açık bir yasal dayanak gerektirdiğini belirlemiştir.

TikTok soruşturması (2024-2025 devam ediyor): Davranışsal verilerden hassas kategorileri çıkarabilecek algoritmik öneri sistemlerine odaklanmıştır. CNIL'in soruşturma metodolojisi, AI sistem denetimleri için AB standardı haline gelmiştir.

Üretken AI incelemesi (2024-2025): CNIL, Fransa'da faaliyet gösteren LLM tedarikçilerinin sistematik incelemelerini gerçekleştirmiştir ve eğitim verilerinin kökeni ile anonimleştirmeye odaklanmıştır. Fransız kullanıcıların verileri için belgelenmiş anonimleştirme prosedürleri olmayan tedarikçilerin kontroller uygulaması gerekmektedir.

Model: CNIL uygulaması, belgelenmiş teknik kontrollerin yokluğuna — yalnızca prosedürel ihlallere değil — teknik yetersizliklere odaklanmaktadır.

CNIL Uyumlu Anonimleştirme Belgelerinin Uygulanması

Fransız kuruluşlar veya Fransız kullanıcılarına hizmet veren kuruluşlar için, CNIL uyumlu bir anonimleştirme duruşu gerektirir:

1. Her işlem faaliyeti için Fiche d'anonymisation (anonimleştirme kaydı):

• İşlem amacı ve veri kategorileri
• Uygulanan anonimleştirme tekniği (parametrelerle birlikte)
• Yeniden tanımlama risk değerlendirmesi sonucu
• Doğrulama yöntemi (test, dış inceleme)
• Sorumlu kişi ve inceleme tarihi

2. AI sistemleri için ön işleme:

• Kullanılan PII tespit aracı ve yapılandırmasını belgeleyin
• Tespit edilen ve kaldırılan/takma adlandırılan varlık türlerini kaydedin
• CNIL denetim talepleri için işlem günlüklerini tutun

3. Fransızca PII kapsamı:

• Fransızca'ya özgü tanımlayıcılar için tespit kapsamını doğrulayın (NIR, carte vitale, CNI)
• Fransız kişisel isimleri üzerinde Fransız NER modelinin performansını doğrulayın
• Kapsam boşluklarını ve telafi edici kontrolleri belgeleyin

4. Eğitim verileri kökeni:

• Web'den kazınmış verilerle eğitilen AI sistemleri için: kaynak veri setinin anonimleştirme değerlendirmesini belgeleyin
• Kullanıcı verileriyle eğitilen AI sistemleri için: kullanıcı verilerinin anonimleştirme sürecini belgeleyin

CNIL'in AI sistemleri için denetim talepleri genellikle bu belgeler için talepler içerir. Önceden belgelenmiş belgeleri olan kuruluşlar, denetim gereksinimlerini reaktif olarak değerlendirenlerden çok daha hızlı bir şekilde karşılar.

Kaynaklar:

• CNIL: Commission Nationale de l'Informatique et des Libertés
• CNIL: Guide pratique de l'anonymisation (2023)
• CNIL: Systèmes d'IA générative — recommandations (2024)