PII & Adatvédelmi Szótár
Világos definíciók a kulcsfontosságú adatvédelmi, megfelelőségi és adatvédelmi kifejezésekről, amelyek az iparban használatosak.
Adatvédelmi & Megfelelőségi Kifejezések
Személyesen Azonosítható Információ (PII)
Bármilyen adat, amely képes azonosítani egy konkrét egyént, például nevek, e-mail címek, társadalombiztosítási számok vagy telefonszámok.
Anonimizálás
Az adatok megváltoztatásának visszafordíthatatlan folyamata, hogy az egyének közvetlenül vagy közvetve ne legyenek azonosíthatók.
Pszichonimizálás
Az azonosítható adatok mesterséges azonosítókkal (pszichonimákkal) való helyettesítése, így az újraazonosításhoz külön kulcs szükséges.
De-azonosítás
Személyes azonosítók eltávolítása vagy elhomályosítása az adatokból, hogy azok ne legyenek többé összekapcsolhatók egy konkrét egyénnel további információk nélkül.
Adat Tárgy
Egy azonosított vagy azonosítható természetes személy, akinek a személyes adatait egy adatkezelő vagy adatfeldolgozó kezeli.
Adatkezelő
Az a szerv, amely meghatározza a személyes adatok kezelésének céljait és eszközeit.
Adatfeldolgozó
Olyan szerv, amely személyes adatokat kezel egy adatkezelő nevében, az adatkezelő utasításainak megfelelően.
Hozzájárulás
Egy szabadon adott, konkrét, tájékozott és egyértelmű jelzése az adat tárgyának, hogy egyetértene a személyes adatainak kezelésével.
Jogi Alap
Olyan jogi alap, amely alapján a személyes adatok kezelése megengedett, például hozzájárulás, szerződés szükségessége, jogi kötelezettség vagy jogos érdek.
Adatminimalizálás
Az az elv, hogy a gyűjtött személyes adatoknak megfelelőnek, relevánsnak és korlátozottnak kell lenniük ahhoz, ami a tervezett célhoz szükséges.
Törléshez való Jog
Az adat tárgyának joga, hogy a személyes adatait töröljék, amikor már nincs rá szükség, más néven a 'feledéshez való jog' a GDPR alatt.
Adatátvitel
Az adat tárgyainak joga, hogy megkapják személyes adataikat strukturált, általánosan használt formátumban, és átvihetik azt egy másik adatkezelőhöz.
Adatvédelmi Tisztviselő (DPO)
Olyan kijelölt személy, aki felelős egy szervezet adatvédelmi stratégiájának felügyeletéért és a jogszabályoknak való megfelelés biztosításáért.
Adatvédelmi Hatásvizsgálat (DPIA)
Olyan folyamat, amely azonosítja és minimalizálja egy projekt adatvédelmi kockázatait, amely a GDPR szerint kötelező a magas kockázatú feldolgozási tevékenységek esetén.
Adatszivárgás
Olyan biztonsági esemény, amikor a személyes adatokhoz jogosulatlanul hozzáférnek, nyilvánosságra hozzák, megváltoztatják vagy megsemmisítik azokat.
Shadow AI
AI eszközök (ChatGPT, Copilot, Gemini) illetéktelen használata az alkalmazottak részéről informatikai jóváhagyás nélkül. A Shadow AI a személyazonosításra alkalmas adatok kiszivárgásának egyik vezető oka, mivel a felhasználók érzékeny üzleti adatokat – ügyfélrekordokat, beteginformációkat, pénzügyi adatokat – közvetlenül beillesztenek az AI-kérésekbe.
Adatminimalizálás
A GDPR elv (5. cikk (1) bekezdés c) pont), amely megköveteli a szervezetektől, hogy csak a meghatározott célhoz szükséges minimális személyes adatokat gyűjtsék és dolgozzák fel. A mesterséges intelligencia rendszerekben az adatminimalizálás a személyazonosításra alkalmas adatok anonimizálását vagy eltávolítását jelenti, mielőtt az adatok bekerülnének a mesterséges intelligencia folyamataiba, csökkentve ezzel a megfelelési kockázatot és a jogsértések felületét.
Szabályozási Keretek
GDPR (Általános Adatvédelmi Rendelet)
Az EU rendelete, amely szabályozza a személyes adatok kezelését az Európai Gazdasági Térségben élő egyének esetében, 2018 májusa óta hatályos.
CCPA (Kaliforniai Fogyasztói Adatvédelmi Törvény)
Egy kaliforniai állami törvény, amely jogokat biztosít a fogyasztóknak a vállalatok által gyűjtött személyes információik felett, 2020 januárja óta hatályos.
HIPAA (Egészségbiztosítási Mobilitási és Felelősségi Törvény)
Egy amerikai szövetségi törvény, amely szabványokat állít fel a betegek érzékeny egészségügyi információinak védelmére, a hozzájárulás nélküli nyilvánosságra hozatal ellen.
ISO 27001
Nemzetközi szabvány az információbiztonsági irányítási rendszerek (ISMS) számára, amely meghatározza a biztonsági intézkedések létrehozásához, végrehajtásához és folyamatos fejlesztéséhez szükséges követelményeket.
SOC 2 (Rendszer- és Szervezeti Ellenőrzések 2)
Olyan audit keretrendszer, amely a szolgáltató szervezetek biztonsággal, elérhetőséggel, feldolgozási integritással, titkossággal és adatvédelemmel kapcsolatos ellenőrzéseit értékeli.
EU AI Act
Az Európai Unió mesterséges intelligenciára vonatkozó szabályozása (2026 augusztusától érvényes). A magas kockázatú mesterséges intelligencia rendszereknek adatkezelési intézkedéseket kell végrehajtaniuk, beleértve a személyes adatok minimalizálását, a dokumentációt és a DPIA-t. Azoknak a szervezeteknek, amelyek mesterséges intelligenciát használnak az egyénekre vonatkozó döntéshozatalhoz, gondoskodniuk kell arról, hogy a képzési adatokat anonimizálják vagy álnevek legyenek.
ISO 42001
Az AI Management Systems (AIMS) nemzetközi szabványa, amelyet 2023-ban tettek közzé. Keretrendszert biztosít a felelős mesterséges intelligencia fejlesztéshez és telepítéshez, beleértve az adatminőséget, az elfogultság ellenőrzését és az adatvédelmi biztosítékokat. Gyakran párosítva a ISO 27001-del a személyes adatokkal rendelkező mesterséges intelligenciarendszereket üzemeltető szervezetek számára.
India DPDP Act
India digitális személyes adatok védelméről szóló törvény (2023), 2025-től hatályos. Az indiai lakosok személyes adatainak feldolgozásához kifejezett hozzájárulás szükséges, az érzékeny adatok esetében az adatok lokalizálása, valamint a jogsértésről szóló 72 órán belüli értesítés. Az indiai állampolgárok adatait feldolgozó globális szervezetekre vonatkozik.
Technikai Kifejezések
Név Entitás Felismerés (NER)
Olyan NLP technika, amely azonosítja és osztályozza a szövegben található név entitásokat előre meghatározott kategóriákba, mint például személynevek, helyszínek és szervezetek.
Természetes Nyelvfeldolgozás (NLP)
A mesterséges intelligencia egy ága, amely lehetővé teszi a számítógépek számára, hogy megértsék, értelmezzék és generálják az emberi nyelvet.
Minta Felismerő
Olyan szabályalapú detektor, amely reguláris kifejezéseket és kontextuális nyomokat használ a konkrét adatminták, például hitelkártya számok vagy társadalombiztosítási számok azonosítására.
Bizonyossági Pontszám
0 és 1 közötti numerikus érték, amely jelzi, hogy a detektáló motor mennyire biztos abban, hogy egy szövegrészlet megfelel egy adott entitás típusának.
Reguláris Kifejezés (Regex)
Karakterek sorozata, amely keresési mintát definiál, általában strukturált adatformátumok, például telefonszámok vagy e-mail címek érvényesítésére és észlelésére használják.
AES-256-GCM
Egy hitelesített titkosítási algoritmus, amely 256 bites kulcsot használ Galois/Counter módban, biztosítva az adat titkosságát és integritásának ellenőrzését.
Nulla Tudás Titkosítás
Olyan titkosítási architektúra, ahol csak a felhasználó birtokolja a dekódoló kulcsot, így még a szolgáltató sem férhet hozzá a nyers adatokhoz.
Tokenizálás
Érzékeny adatok helyettesítése nem érzékeny helyettesítő tokenekkel, amelyek biztonságos keresés útján visszaállíthatók az eredeti adatokra.
Adatmaszkálás
Konkrét adatok elhomályosítása egy adatállományban, így az érzékeny információk rejtve maradnak, miközben az adatok tesztelésre vagy elemzésre használhatók.
Törlés
Érzékeny információk végleges eltávolítása egy dokumentumból vagy adatállományból, amelyet egy jelölővel, például [REDACTED] helyettesítenek.
Szintetikus adatok
AI által generált adatok, amelyek statisztikailag utánozzák a valós adatokat anélkül, hogy tényleges rekordokat tartalmaznának. Az anonimizáláshoz képest: az anonimizált adatok nagyobb analitikai pontosságot biztosítanak a downstream ML esetében; A szintetikus adatok kiküszöbölik az újraazonosítás kockázatát, de statisztikai eltolódást vezetnek be. A visszafordítható anonimizálást részesítjük előnyben, ha eredeti rekordokra lehet szükség a megfelelőségi ellenőrzésekhez.
LLM azonnali befecskendezés
Olyan támadási technika, amelyben a rosszindulatú bevitel manipulál egy nagy nyelvi modellt, hogy figyelmen kívül hagyja az utasításokat vagy érzékeny információkat szivárogtasson ki. Személyazonosításra alkalmas adatok védelmi kontextusában az azonnali beillesztés hatására egy mesterséges intelligencia modell névtelen adatmintákat vagy felhasználói információkat tárhat fel. A bemenetek előzetes anonimizálása, mielőtt azok elérnék az LLM-eket, csökkenti a támadási felületet.
Tervezett adatvédelem
A GDPR Cikksz. 25 elv, amely megköveteli, hogy az adatvédelmet az alapoktól kezdve beépítsék a rendszerekbe, nem pedig utólagos gondolatként. A mesterséges intelligencia rendszerek esetében a beépített adatvédelem az adatok anonimizálását jelenti, mielőtt azok bekerülnének a mesterséges intelligencia folyamatokba, a tudás nélküli titkosítás megvalósítását és az adatmegőrzés minimálisra csökkentését jelenti.
Anonimizálási Módszerek
Helyettesít
A detektált PII-t egy általános helyettesítővel helyettesíti, amely ugyanazon entitás típusú, például 'John Smith' helyett '<PERSON>'.
Maszk
Részben elhomályosítja a PII-t azáltal, hogy a karaktereket maszkoló szimbólumokkal helyettesíti, például '123-45-6789' átalakítása '***-**-6789'-re.
Töröl
Teljesen eltávolítja a detektált PII-t a szövegből, nem hagyva nyomot az eredeti értékről.
Hash
A PII-t egy fix hosszúságú kriptográfiai hash-sé alakítja, lehetővé téve a következetes helyettesítést, miközben a visszaállítás számításilag megvalósíthatatlan.
Titkosít
A PII-t AES-256-GCM titkosítással alakítja át felhasználói birtokában lévő kulccsal, lehetővé téve a jogosult visszaállítást (de-anonimizálást) szükség esetén.
Gyakran Ismételt Kérdések
Mi a különbség az anonimizálás és a pszichonimizálás között?
Az anonimizálás visszafordíthatatlanul eltávolít minden azonosító információt, így az újraazonosítás lehetetlenné válik. A pszichonimizálás az azonosítókat mesterségesekkel helyettesíti, miközben egy külön kulcsot tart fenn, amely lehetővé teszi az újraazonosítást, ha jogosult. A GDPR szerint a pszichonimizált adatok még mindig személyes adatoknak számítanak.
Miért használ a PII észlelés NLP-t és minta felismerőket is?
Az NLP modellek a kontextusfüggő entitásokat, mint például a személyneveket és helyszíneket észlelik, amelyeknek nincs fix formátuma. A minta felismerők reguláris kifejezéseket használnak a strukturált azonosítók, például társadalombiztosítási számok, hitelkártya számok és telefonszámok észlelésére. A két megközelítés kombinálása maximalizálja az észlelési pontosságot minden entitás típus esetében.
Mi az a nulla tudás titkosítás, és miért fontos?
A nulla tudás titkosítás azt jelenti, hogy csak Ön birtokolja a dekódoló kulcsot - a szolgáltató nem tudja olvasni az adatait. Ez fontos, mert még egy szerver megsértése esetén is az Ön titkosított adatai olvashatatlanok maradnak a kulcsa nélkül, biztosítva a lehető legszigorúbb adatvédelmet.
Hogyan különbözik a visszafordítható titkosítás a hash-eléstől?
A hash-elés egyirányú átalakítás - miután az adatokat hash-elték, az eredeti nem állítható vissza. A visszafordítható titkosítás (AES-256-GCM használatával) lehetővé teszi a jogosult felhasználók számára, hogy a megfelelő kulccsal dekódolják és visszaállítsák az eredeti adatokat, lehetővé téve azokat a munkafolyamatokat, ahol a de-anonimizálás szükséges.