CNIL Франція: технічна відповідність GDPR
Найсуворіший регулятор конфіденційності Франції
Французький орган захисту даних — CNIL. Він встановлює найточніші правила конфіденційності в ЄС. Більшість регуляторів ЄС видають загальні настанови. CNIL іде далі. Він публікує точні технічні специфікації, що називаються recommandations. Вони визначають, як виглядає реальна відповідність GDPR.
Інші регулятори ЄС часто запозичують роботу CNIL. До ключових текстів належать Guide pratique de l'anonymisation 2023 року та настанови щодо ШІ 2024 року.
Цифри свідчать про активність агентства. Воно обробило 16 433 скарги у 2023 році. Це на 43% більше, ніж у 2022 році. З початку правозастосування воно наклало штрафи на загальну суму близько 150 мільйонів євро за GDPR.
Навчання ШІ: шість типів записів для очищення
Настанови CNIL щодо ШІ 2024 року мають широке застосування. Вони поширюються на всіх, хто навчає ШІ на французьких персональних записах. А також на тих, хто обслуговує французьких користувачів інструментами ШІ.
Агентство перелічує шість типів записів, які потребують очищення до навчання ШІ:
- Identifiants directs (прямі ідентифікатори): імена, адреси, ідентифікаційні номери. Видаліть або замініть їх до навчання.
- Identifiants quasi-directs (квазі-ідентифікатори): сукупності ознак, що дозволяють повторну ідентифікацію. Застосуйте перевірки k-анонімності.
- Données sensibles (спеціальні категорії): медичні, біометричні, політичні та релігійні записи. Ізолюйте з додатковими засобами контролю.
- Données comportementales (записи про поведінку): історія перегляду та шаблони використання. Агрегуйте або маскуйте їх.
- Données inférées (виведені ознаки): сигнали, отримані ШІ з даних використання. Застосуйте обмеження мети.
- Données relatives aux mineurs (записи про дітей): будь-які записи, пов'язані з особами молодше 15 років. Проводьте перевірку віку та застосовуйте суворе очищення.
Використовуєте LLM, навчені на зібраному контенті? Вам потрібні письмові докази. Покажіть, що ваші навчальні записи були перевірені й очищені. Читайте наш посібник з відповідності GDPR для отримання детальної інформації.
Посібник з анонімізації: основні правила
Посібник 2023 року є найдетальнішим текстом ЄС на цю тему. Він встановлює планку для того, що вважається справді анонімним.
Затверджені методи:
- k-анонімність — кожен запис виглядає принаймні як k-1 інших
- l-різноманіття — чутливі ознаки варіюються всередині кожної групи
- Диференційна конфіденційність — шум додається до вихідної статистики
- Псевдонімізація — крок зниження ризику, а не справжня анонімізація
Обов'язкові записи:
Для кожної діяльності, що передбачає очищення, CNIL очікує fiche d'anonymisation (картку анонімізації). Вона має містити:
- Використаний метод та його ключові налаштування (значення k, значення epsilon)
- Результат перевірки ризику повторної ідентифікації
- Метод валідації (тестування або зовнішній перегляд)
- Відповідальну особу та дату перегляду
Перевірка ризику повторної ідентифікації:
Перед позначенням записів як анонімних проведіть формальну перевірку. Запитайте: чи може мотивована особа повторно ідентифікувати ці дані? Розгляньте наявні допоміжні набори даних. Врахуйте повний контекст.
Французькі ПДн: що ваші інструменти мають виявляти
Французькі правила вимагають охоплення ПДн французькою мовою. Ваші інструменти повинні виявляти ідентифікатори, специфічні для Франції.
Ключові ідентифікатори для охоплення:
- NIR: 15 цифр (13 базових + 2-значний ключ). Це французький номер соціального страхування.
- Номер carte vitale: ідентифікатор картки медичного страхування.
- SIRET/SIREN: бізнес-ідентифікатори, що зустрічаються в особистих файлах.
- Numéro d'ordre professionnel: реєстраційні номери для лікарів, юристів та бухгалтерів.
- CNI (Carte nationale d'identité): номер французького національного посвідчення особи.
Французькі моделі NER мають обробляти французькі шаблони імен. Це включає складні імена (Jean-Pierre), частки (de, du, des) та подвійні прізвища. Читайте наш посібник з багатомовного виявлення ПДн про охоплення всіх локалей.
Правозастосування: за що накладають штрафи
Штрафи агентства слідують чіткій закономірності. Вони спрямовані проти відсутності технічних засобів контролю. Проблеми лише з процесами рідко є основним предметом.
Clearview AI — штраф 20 млн євро (2022): Компанія обробляла біометричні записи французьких громадян без правової підстави. Записи були зібрані з публічних веб-джерел. Ця справа підтвердила: масове збирання даних з інтернету для навчання ШІ потребує явної правової підстави.
TikTok — розслідування розпочато у 2024 році: Зосереджено на системах, що можуть виводити чутливі категорії із сигналів використання. Цей метод тепер є еталонним для аудитів ШІ в ЄС.
Перевірка генеративного ШІ (2024–2025): Агентство перевіряло постачальників LLM у Франції. Увага зосереджувалась на походженні навчального контенту. Постачальники без належних записів були змушені додати засоби контролю.
Чотири кроки до відповідності вимогам CNIL
Обробляєте французькі персональні записи? Вам потрібні чотири речі.
1. Картка анонімізації для кожного виду діяльності
Кожен вид діяльності, що передбачає очищення, потребує власної картки. Зазначте метод, його налаштування, результат перевірки ризику та дату перегляду.
2. Журнали попередньої обробки для ШІ
Записуйте, який інструмент виявлення ПДн ви використовували. Зазначте, які типи сутностей він знайшов. Фіксуйте, що було видалено або замасковано. Тримайте ці журнали готовими для аудитів.
3. Охоплення ПДн французькою мовою
Перевірте, що ваш інструмент знаходить номери NIR, carte vitale та CNI. Протестуйте свою французьку модель NER на реальних французьких іменах. Зафіксуйте будь-які прогалини. Задокументуйте засоби контролю, що ви запровадили для їх усунення.
4. Записи про походження навчального контенту
Для зібраного контенту: задокументуйте перевірку очищення джерела. Для записів користувачів: задокументуйте процес очищення записів користувачів. Наш огляд відповідності вимогам безпеки показує, як це вписується в ширший стек захисних заходів.
Організації з належними записами проходять аудити швидко. Підготуйте свою документацію зараз. Не чекайте перевірки.