CNIL Fransa: DPA KKB Araç Gereksinimleri

CNIL Fransa: DPA KKB Araç Gereksinimleri

Fransa'nın CNIL'i, AB'nin en talepkâr veri kuruludur. Çoğu AB düzenleyicisi geniş kurallar yazar. CNIL daha da ileri gider. Recommandations adı verilen hassas teknik kılavuzlar yayımlar. Bu kılavuzlar, anonimleştirme ve yapay zeka veri kullanımı için kesin standartlar belirler.

2024'teki CNIL bildirimleri sıklıkla yapay zeka sistemlerindeki zayıf anonimleştirmeyi konu aldı. Kurum 2023'te 16.433 şikayet aldı; bu, 2022'ye kıyasla %43 daha fazladır.

CNIL Kılavuzu AB Politikasını Şekillendiriyor

CNIL'in teknik metinleri, diğer AB DPA'ları tarafından yaygın biçimde atıflanıyor. İki kılavuz özellikle önemlidir.

Guide pratique de l'anonymisation (2023): Bu kılavuz k-anonimlik, l-çeşitlilik ve diferansiyel gizliliği ele alır. Her yöntemin Fransız verileri üzerinde nasıl uygulanacağını gösterir. İsveç IMY ve diğer AB kuruluşları bunu kendi kurallarında referans göstermektedir.

Yapay zeka sistemleri kılavuzu (2024): CNIL, yapay zeka eğitiminde ele alınması gereken altı veri türünü listeler. Hiçbir AB DPA'sı yapay zeka konusunda bu kadar ileri gitmemiştir.

Çerez kuralları: CNIL'in çerez kılavuzu, AB'deki rıza araçları için en yüksek teknik standardı belirler. Sık sık güncellenir.

NIR: Fransa'nın En Hassas Tanımlayıcısı

Numéro d'Inscription au Répertoire (NIR) — ya da numéro de sécurité sociale olarak da bilinir — 15 haneli bir Fransız sosyal güvenlik numarasıdır.

Formatı: S AA MM DD CCC OOO K

• S — 1 hane: cinsiyet
• AA — doğum yılı
• MM — doğum ayı
• DD — doğum departmanı (01–95, Korsika için 2A/2B, yurt dışı için 97–99, yabancılar için 99)
• CCC — belediye kodu
• OOO — doğum sırası
• K — 2 haneli kontrol anahtarı (97 − (NIR mod 97))

NIR, cinsiyet, doğum tarihi ve doğum yerini tek bir numarada barındırır. CNIL bunu yüksek riskli kabul eder. GDPR Madde 9 kapsamındaki özel kategori verilerle aynı özeni gerektirmektedir.

Araçların NIR'i neden kaçırdığı: Genel amaçlı NLP araçları üç nedenden ötürü NIR'de başarısız olur. Birincisi, 15 hane (çoğunlukla boşluksuz yazılır) diğer uzun sayılara benzer. İkincisi, 7–11. haneler bir departman kodu içerir; mod-97 kontrolünü atlayan araçlar yanlış pozitiflere yol açar. Üçüncüsü, Korsika departmanları saf rakamlar yerine 2A ve 2B kullanır; yalnızca sayısal kalıplar için oluşturulmuş araçlar burada başarısız olur.

İyi NIR tespiti üç şey gerektirir: mod-97 anahtar kontrolü, bir coğrafi kod defteri ve Korsika'ya duyarlı kurallar.

Tanımlayıcı kapsamının GDPR güvence yığınına nasıl uyduğunu görmek için güvenlik uyumluluk genel bakışımıza bakın.

SIREN ve SIRET: Kişisel Dosyalardaki İşletme Kimlikleri

SIREN: Luhn kontrol hanesiyle 9 haneli Fransız şirket kimliği. Tüm Fransız ticari belgelerinde görünür.

SIRET: SIREN'den (9 hane) artı kuruluş kodundan (5 hane) oluşan 14 haneli numara. SIRET bir siteyi, SIREN ise şirketi tanımlar.

İş dosyaları çoğunlukla SIRET numaralarını personel adlarının yanına ekler. CNIL, SIRET artı bir ismi kişisel veri olarak değerlendirir. Bu ikili, ayrı bir kişisel veri alanı olmaksızın dahi GDPR kurallarını devreye sokar.

Yapay Zeka Eğitimi için Altı Anonimleştirme Adımı

CNIL'in 2024 yapay zeka kılavuzu altı veri türünü kapsar. Her birinin Fransız kişisel kayıtları yapay zeka eğitiminde kullanılmadan önce ele alınması gerekir:

1. Doğrudan tanımlayıcıları kaldırın — Adlar, NIR, SIREN değiştirilmeli ya da silinmelidir
2. Yarı tanımlayıcıları genelleştirin — Yaş, departman ve meslek birleşerek kişileri yeniden tanımlayabilir; hassasiyetlerini azaltın
3. Sayısal alanlara gürültü ekleyin — Sayısal alanlar çıkarım saldırılarını engellemek için kalibre edilmiş gürültü gerektirir
4. k-anonimliği kontrol edin — Her kişi en az k-1 başkasına benzemelidir; CNIL k ≥ 5'i işaret eder
5. l-çeşitliliği kontrol edin — Hassas nitelikler her grup içinde çeşitlilik göstermelidir
6. Yeniden tanımlama riski kontrolü yapın — Herhangi bir veri yayımlanmadan önce belgelenmiş bir yöntem kullanın

Yalnızca NIR ve tam adı kaldırmak yeterli değildir. CNIL bunu uygulama sürecinde tespit etmiştir. Posta kodu ve tıp uzmanlığı gibi yarı tanımlayıcılar da işleme tabi tutulmalıdır.

GDPR uyumluluk kılavuzumuz, Fransız DPA denetimlerinin beklediği kayıtları kapsamaktadır.

Fransız KKB Tespiti için Dil Bağlamı

Fransa, tespiti etkileyen birkaç dil bağlamına sahiptir.

Standart Fransızca, tüm resmi belgelerin dilidir. NER modelleri aksanlı harfleri işleyebilmelidir: é, è, ê, ë, à, â, î, ô, û, ç, œ.

Yurt dışı topraklar (DOM-TOM): Martinik, Guadeloupe, Réunion, Guyana ve Mayotte, 97–98 aralığında NIR kodları kullanır. Yerel isim kalıpları anakarada Fransa'dan farklıdır.

Alsace-Moselle: Almanca kökenli isimler ve bazı Almanca belge formatları Fransız kayıtlarında görünür. Yalnızca standart Fransızca üzerinde eğitilmiş modeller bunları kaçırabilir.

Sınır ötesi kullanım: Belçika Fransızcası farklı bir kimlik formatı kullanır. Fransa ve Belçika'da kullanılan araçların her biri için ayrı kurallara ihtiyacı vardır.

Aracınızın Karşılaması Gerekenler

Fransız uyumluluğu dört teknik yetkinlik gerektirir:

1. Mod-97 kontrolüyle NIR — Yalnızca kalıp eşleştirmesi başarısız olur. Araçlar anahtar kontrolünü çalıştırmalı ve 2A/2B kodlarını işleyebilmelidir.
2. Luhn kontrolüyle SIREN/SIRET — İşletme kimlikleri kişisel dosyalarda görünür ve GDPR kapsamında isim kombinasyonları oluşturur.
3. Tam aksanlı destek sunan Fransız NER — Bileşik isimleri (Jean-Pierre), partikülleri (de, du, des) ve aksanlı karakterleri işleyebilmelidir.
4. Belgelenmiş altı adımlı süreç — Fransız verileri üzerindeki herhangi bir yapay zeka eğitim hattı, her anonimleştirme faaliyeti için yazılı kayıt gerektirmektedir.

Kaynaklar

• CNIL: Commission Nationale de l'Informatique et des Libertés
• CNIL: Guide pratique de l'anonymisation (2023)
• CNIL: Yapay Zeka Yönetişim Kılavuzu (2024)