anonym.legal

By · Last updated 2026-06-06

Quay lại BlogGDPR & Tuân Thủ

CNIL Pháp: Tuân Thủ Kỹ Thuật GDPR

CNIL đã xử lý 16.433 khiếu nại vào năm 2023 và phạt hơn €150M kể từ năm 2019. Hướng dẫn AI của họ bắt buộc phải có ẩn danh hóa được ghi chép cho dữ liệu đào tạo.

June 6, 20267 phút đọc
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL Pháp: Tuân Thủ Kỹ Thuật GDPR

Cơ Quan Quản Lý Bảo Mật Nghiêm Ngặt Nhất EU

Cơ quan dữ liệu của Pháp là CNIL. Nó đặt ra các quy tắc bảo mật chính xác nhất của EU. Hầu hết các nhà quản lý EU viết hướng dẫn rộng. CNIL đi xa hơn. Nó xuất bản các thông số kỹ thuật chính xác gọi là recommandations. Các tài liệu này xác định tuân thủ GDPR thực sự trông như thế nào.

Các nhà quản lý EU khác thường sao chép công việc của CNIL. Các văn bản chính bao gồm Guide pratique de l'anonymisation năm 2023 và hướng dẫn AI năm 2024.

Con số cho thấy cơ quan này năng động. Nó đã xử lý 16.433 khiếu nại vào năm 2023. Đó là tăng 43% so với năm 2022. Nó đã ban hành khoảng €150 triệu tiền phạt GDPR kể từ khi thực thi bắt đầu.

Đào Tạo AI: Sáu Loại Hồ Sơ Cần Làm Sạch

Hướng dẫn AI năm 2024 của CNIL áp dụng rộng rãi. Nó bao phủ bất kỳ nhóm nào đào tạo AI trên hồ sơ cá nhân của Pháp. Nó cũng áp dụng cho những người phục vụ người dùng Pháp bằng các công cụ AI.

Cơ quan liệt kê sáu loại hồ sơ cần làm sạch trước khi đào tạo AI:

  1. Identifiants directs (ID trực tiếp): Tên, địa chỉ, số ID. Loại bỏ hoặc thay thế chúng trước khi đào tạo.
  2. Identifiants quasi-directs (ID gần trực tiếp): Các nhóm đặc điểm cho phép tái định danh. Áp dụng kiểm tra k-anonymity.
  3. Données sensibles (loại đặc biệt): Hồ sơ sức khỏe, sinh trắc học, chính trị và tôn giáo. Cô lập với kiểm soát bổ sung.
  4. Données comportementales (hồ sơ sử dụng): Lịch sử duyệt web và mẫu sử dụng. Tổng hợp hoặc che dấu chúng.
  5. Données inférées (đặc điểm được suy luận): Tín hiệu được AI suy luận từ việc sử dụng. Áp dụng giới hạn mục đích.
  6. Données relatives aux mineurs (hồ sơ của trẻ em): Bất kỳ hồ sơ nào liên quan đến người dưới 15 tuổi. Chạy kiểm tra độ tuổi và sử dụng làm sạch mạnh.

Sử dụng LLM được đào tạo trên nội dung được thu thập? Bạn cần bằng chứng bằng văn bản. Cho thấy hồ sơ đào tạo của bạn đã được xem xét và làm sạch. Xem hướng dẫn tuân thủ GDPR của chúng tôi để biết chi tiết phạm vi.

Hướng Dẫn Ẩn Danh Hóa: Các Quy Tắc Cốt Lõi

Hướng dẫn năm 2023 là văn bản chi tiết nhất của EU về chủ đề này. Nó đặt ra tiêu chuẩn cho những gì được coi là thực sự ẩn danh.

Kỹ thuật được chấp thuận:

  • k-anonymity — mỗi hồ sơ trông giống ít nhất k-1 hồ sơ khác
  • l-diversity — các đặc điểm nhạy cảm thay đổi trong mỗi nhóm
  • Differential privacy — nhiễu được thêm vào thống kê đầu ra
  • Pseudonymization — bước giảm rủi ro, không phải ẩn danh hóa thực sự

Hồ sơ bắt buộc:

Đối với mỗi hoạt động sử dụng làm sạch, CNIL kỳ vọng một fiche d'anonymisation (hồ sơ ẩn danh hóa). Nó phải bao gồm:

  • Kỹ thuật được sử dụng và cài đặt chính của nó (giá trị k, giá trị epsilon)
  • Kết quả kiểm tra rủi ro tái định danh
  • Phương pháp xác nhận (kiểm tra hoặc xem xét bên ngoài)
  • Người phụ trách và ngày xem xét

Kiểm tra rủi ro tái định danh:

Trước khi đánh dấu hồ sơ là ẩn danh, hãy chạy kiểm tra chính thức. Hỏi: liệu một người có động cơ có thể tái định danh điều này không? Xem xét các tập dữ liệu phụ trợ nào tồn tại. Xem xét toàn bộ bối cảnh.

PII Pháp: Những Gì Công Cụ Của Bạn Phải Tìm

Các quy tắc Pháp yêu cầu bao phủ PII bằng tiếng Pháp. Công cụ của bạn phải phát hiện các loại ID đặc thù của Pháp.

Các ID chính cần bao phủ:

  • NIR: 15 chữ số (13 cơ sở + khóa 2 chữ số). Đây là Số An sinh Xã hội của Pháp.
  • Số thẻ carte vitale: ID thẻ bảo hiểm y tế.
  • SIRET/SIREN: ID doanh nghiệp được tìm thấy trong hồ sơ cá nhân.
  • Numéro d'ordre professionnel: Số đăng ký cho bác sĩ, luật sư và kế toán.
  • CNI (Carte nationale d'identité): Số thẻ ID quốc gia Pháp.

Các mô hình NER tiếng Pháp phải xử lý các mẫu tên Pháp. Chúng bao gồm tên ghép (Jean-Pierre), hạt từ (de, du, des) và họ có gạch nối. Xem hướng dẫn phát hiện PII đa ngôn ngữ của chúng tôi để biết cách bao phủ tất cả các ngôn ngữ.

Thực Thi: Những Gì Bị Phạt

Các khoản phạt của cơ quan tuân theo một mẫu rõ ràng. Chúng nhắm vào các kiểm soát kỹ thuật bị thiếu. Quy trình kém một mình hiếm khi là vấn đề chính.

Clearview AI — phạt €20M (2022): Công ty đã xử lý hồ sơ sinh trắc học của người Pháp mà không có cơ sở pháp lý. Hồ sơ được thu thập từ các nguồn web công khai. Trường hợp này xác nhận: thu thập web hàng loạt để đào tạo AI cần cơ sở pháp lý rõ ràng.

TikTok — điều tra ra mắt năm 2024: Tập trung vào các hệ thống có thể suy luận các loại nhạy cảm từ tín hiệu sử dụng. Phương pháp này hiện là tài liệu tham khảo EU cho các cuộc kiểm toán AI.

Xem xét AI tổng quát (2024–2025): Cơ quan đã xem xét các nhà cung cấp LLM ở Pháp. Nó tập trung vào nguồn gốc nội dung đào tạo. Các nhà cung cấp không có hồ sơ đúng phải thêm kiểm soát.

Bốn Bước Để Tuân Thủ CNIL

Xử lý hồ sơ cá nhân Pháp? Bạn cần bốn thứ được thiết lập sẵn.

1. Hồ sơ ẩn danh hóa cho mỗi hoạt động

Mỗi hoạt động sử dụng làm sạch cần hồ sơ riêng. Ghi chú kỹ thuật, cài đặt của nó, kết quả rủi ro và ngày xem xét.

2. Nhật ký tiền xử lý cho AI

Ghi nhật ký công cụ phát hiện PII bạn đã sử dụng. Ghi chú các loại thực thể nào được tìm thấy. Ghi lại những gì đã được loại bỏ hoặc che dấu. Giữ các nhật ký này sẵn sàng để kiểm toán.

3. Bao phủ PII tiếng Pháp

Kiểm tra xem công cụ của bạn có tìm thấy số NIR, carte vitale và CNI không. Kiểm tra mô hình NER tiếng Pháp của bạn trên các tên Pháp thực tế. Ghi chú mọi khoảng trống. Ghi lại các kiểm soát bạn đặt vào để giải quyết chúng.

4. Hồ sơ nguồn gốc cho nội dung đào tạo

Đối với nội dung được thu thập: ghi lại kiểm tra làm sạch nguồn. Đối với hồ sơ người dùng: ghi lại quy trình làm sạch người dùng. Tổng quan tuân thủ bảo mật của chúng tôi cho thấy cách điều này phù hợp với stack bảo vệ rộng hơn.

Các nhóm có hồ sơ tốt di chuyển qua các cuộc kiểm toán nhanh hơn. Xây dựng tệp của bạn ngay bây giờ. Đừng đợi đến khi kiểm tra để bắt đầu.

Nguồn Tham Khảo

Các Bài viết Liên quan

GDPR & Tuân Thủ

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Tuân Thủ

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Tuân Thủ

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Sẵn sàng bảo vệ dữ liệu của bạn?

Bắt đầu ẩn danh PII với 285+ loại thực thể trên 48 ngôn ngữ.

Bắt đầu Dùng Thử Miễn PhíXem Tính Năng

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.