anonym.legal
返回博客GDPR 与合规

CNIL法国:法国数据保护当局下的GDPR合规

法国CNIL在GDPR执行中排名第二。法国的PII政策有独特的要求——特别是对AI和匿名化的。以下是如何遵守CNIL。

April 21, 20267 分钟阅读
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNIL的执行风格为什么不同于其他DPA

CNIL(法国全国信息与自由委员会)是欧盟第二大活跃的数据保护当局。

2024年的执行统计:

  • CNIL的通知:11,250份
  • BfDI德国:27,829份(领先)
  • ICO英国:2,400份
  • 其他DPA:平均5,000份

CNIL排名第二,但执行风格不同。BfDI关注技术控制和验证。CNIL关注数据最小化和法律可诉讼性。

CNIL与BfDI的执行差异

BfDI(技术重点): "显示您使用的工具、它如何部署、它如何验证有效。"

CNIL(法律重点): "证明您合法处理这些数据。您有法律依据吗?数据最小化了吗?保留期是否合理?"

CNIL的核心关注:数据最小化

CNIL对数据最小化执行严格。GDPR第5条第1款(c)要求数据"足够、相关和限于必要的"。

CNIL解释这意味着:

1. 如果您不需要它,不要收集它

CNIL对组织收集PII然后说"我们有检测工具来保护它"的做法批评严厉。

CNIL的立场:如果您不需要客户的电话号码来提供服务,不要收集它。没有检测工具可以证明不必要的数据收集。

2. 如果您收集它,不要过度保留它

CNIL期望清晰的数据保留计划:

  • 您为什么收集这个数据?
  • 您需要它多长时间?
  • 您何时删除它?

CNIL会问:"您为什么在2022年保留了一个2019年取消账户的客户的电子邮件地址?"

AI和PII下的CNIL特定要求

CNIL最近发布了关于使用生成式AI处理PII的指导。这是一个CNIL独特的关注点。

CNIL的AI + PII立场:

如果您将PII发送给AI工具(如ChatGPT、Claude、Gemini),您需要:

  1. 数据主体的明确同意(不能基于"服务条款"的默认同意)
  2. 数据处理协议(DPA)与AI供应商,明确说明他们对PII的处理
  3. 证明数据不被用于AI模型训练
  4. 数据主体可以选择退出AI处理

CNIL合规的实际步骤

步骤1:PII清单和最小化审计

创建您收集的所有PII的清单:

  • 客户数据:名称、电子邮件、电话、地址
  • 员工数据:名称、地址、紧急联系电话
  • 供应商数据:名称、电子邮件、税号

对于每个数据类型,问:

  • 我们为什么收集这个?
  • 我们需要它多长时间?
  • 我们在哪里存储它?
  • 谁可以访问它?

CNIL会要求这个清单。如果您不能清晰地解释为什么收集某些东西,CNIL会要求您删除它。

步骤2:法律依据审计

GDPR第6条列出数据处理的法律依据。CNIL检查组织是否有清晰的法律依据。

对于每个数据收集,确定法律依据:

  • 同意:用户明确同意
  • 合约:处理是交付合约所必需的
  • 法律义务:法律要求处理
  • 重要利益:保护数据主体或其他人的重要利益
  • 公共任务:执行公共任务或公共权力
  • 合法利益:组织的合法利益,不由数据主体的权利超过

CNIL会问:"您收集员工电话号码的法律依据是什么?"答案必须是这六个之一。"我们想有了" 不是答案。

步骤3:同意和合法兴趣余额

CNIL严格审查同意和合法兴趣的使用。

对于同意,CNIL要求:

  • 明确的、具体的、充分知情的、毫无歧义的
  • 不能是默认同意或隐含同意
  • 数据主体可以轻松撤回

对于合法兴趣,CNIL要求文件化余额测试:

  • 我们为什么需要这个数据?
  • 这对数据主体有什么影响?
  • 数据主体的权利是否超过我们的兴趣?

CNIL会说:"您声称有合法兴趣来处理客户的电话号码用于营销。您有文件化的余额测试吗?"如果没有,CNIL会指出你必须有一个。

步骤4:数据保留计划

CNIL期望清晰的保留时间表,不是"我们保留直到账户被删除"(太模糊)或"永远"(违反最小化)。

创建保留计划:

  • 客户数据:从最后一次订阅起3年
  • 交易数据:从交易起7年(法律要求)
  • 营销列表:从选择退出起1个月
  • 员工数据:从雇佣结束起3年

CNIL会要求这个。如果您没有,CNIL会说"您必须定义保留期"。

步骤5:AI工具的PII处理协议

CNIL对AI处理特别关注。如果您使用AI工具(即使是内部的),确保:

  1. 不向AI工具发送不必要的PII

    • 而不是:"在这个客户支持对话中发送所有信息到Claude,包括社会安全号码"
    • 做:"匿名化对话,只发送相关部分,去掉社会安全号码"

  2. 如果您发送PII给第三方AI(ChatGPT、Google等),获取数据处理协议(DPA)

    • DPA应该说"数据将不用于模型训练"
    • DPA应该说"数据将与其他AI用户分离"
    • DPA应该说"您有删除数据的权利"

  3. 获取用户的明确同意

    • 不能是"通过使用服务,您同意AI处理"
    • 必须是"您的数据将发送到AI工具以获得X目的。您同意吗?"

步骤6:审计日志和数据主体权利

CNIL期望审计日志,不是为了合规证明(如BfDI),而是为了回答数据主体请求。

必须能够回答:

  • "您对我持有什么数据?"(数据可访问性请求)
  • "您为什么持有这个数据?"(法律依据的证明)
  • "您将何时删除这个数据?"(保留期的证明)
  • "谁可以访问这个数据?"(访问控制日志)

CNIL会说:"一个数据主体要求看到所有您持有关于他们的PII。您能在30天内提供吗?"如果您没有组织的审计日志,答案是"不"。

CNIL对DPA违规的处罚

CNIL对违规罚款严厉,但通常比BfDI低(除非有大规模泄露或意图)。

典型的CNIL罚款:

  • 数据最小化违规:€10,000-50,000(如果有大规模收集)
  • 同意违规:€50,000-500,000(取决于规模)
  • 数据保留违规:€10,000-100,000(如果过度保留)
  • AI处理违规:€100,000-1,000,000(新领域,处罚可能很高)

CNIL审计准备

准备CNIL审计:

  1. 创建PII清单(所有收集的数据)
  2. 为每个数据类型记录法律依据
  3. 创建数据保留时间表
  4. 文件化同意或合法兴趣余额测试
  5. 获取第三方AI工具的DPA
  6. 创建审计日志系统回答数据主体请求
  7. 培训员工数据最小化和隐私

底线

CNIL与BfDI不同。BfDI说:"显示您的技术控制。"CNIL说:"证明您合法需要这个数据。"

在法国,GDPR合规不是关于拥有正确的工具(虽然这很好)。这是关于合理化您的PII使用、最小化您的收集和清晰地管理数据主体权利。

来源:

相关文章

GDPR 与合规

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 与合规

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 与合规

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

准备好保护您的数据了吗?

开始使用 285 种实体类型在 48 种语言中匿名化 PII。

开始免费试用查看功能