PII un Datu Privātuma Vārdnīca
Skaidras definīcijas galvenajiem privātuma, atbilstības un datu aizsardzības terminiem, kas tiek izmantoti nozarē.
Privātuma un Atbilstības Termini
Personiski identificējama informācija (PII)
Jebkuri dati, kas var identificēt konkrētu personu, piemēram, vārdi, e-pasta adreses, sociālās apdrošināšanas numuri vai tālruņa numuri.
Anonimizācija
Neatgriezenisks process, kas maina datus tā, lai indivīdus nevarētu identificēt, tieši vai netieši.
Pseidonimizācija
Identificējamu datu aizvietošana ar mākslīgiem identifikatoriem (pseidonīmiem), lai atkārtota identifikācija prasītu atsevišķi turētu atslēgu.
Datu deidentifikācija
Personisko identifikatoru noņemšana vai slēpšana no datiem, lai tos vairs nevarētu saistīt ar konkrētu personu bez papildu informācijas.
Datu subjekts
Identificēta vai identificējama fiziska persona, kuru personiskie dati tiek apstrādāti ar kontrolieri vai apstrādātāju.
Datu kontrolieris
Subjekts, kas nosaka personisko datu apstrādes mērķus un līdzekļus.
Datu apstrādātājs
Subjekts, kas apstrādā personiskos datus datu kontroliera vārdā, ievērojot kontroliera norādījumus.
Piekrišana
Brīvi sniegta, specifiska, informēta un nepārprotama datu subjekta norāde par piekrišanu savu personisko datu apstrādei.
Likumīgs pamats
Juridisks pamats, saskaņā ar kuru personisko datu apstrāde ir atļauta, piemēram, piekrišana, līguma nepieciešamība, juridiskais pienākums vai likumīgas intereses.
Datu minimizācija
Principi, ka savāktie personiskie dati jābūt atbilstošiem, saistītiem un ierobežotiem līdz tam, kas ir nepieciešams paredzētajam mērķim.
Tiesības uz dzēšanu
Datu subjekta tiesības panākt savu personisko datu dzēšanu, kad tie vairs nav nepieciešami, pazīstamas arī kā 'tiesības tikt aizmirstam' saskaņā ar GDPR.
Datu pārnesamība
Datu subjektu tiesības saņemt savus personiskos datus strukturētā, plaši izmantotā formātā un pārsūtīt tos citam kontrolierim.
Datu aizsardzības speciālists (DPO)
Noteikta persona, kas atbild par organizācijas datu aizsardzības stratēģijas uzraudzību un atbilstības nodrošināšanu privātuma noteikumiem.
Datu aizsardzības ietekmes novērtējums (DPIA)
Process, lai identificētu un samazinātu datu aizsardzības riskus projektā, kas ir nepieciešams saskaņā ar GDPR augsta riska apstrādes aktivitātēm.
Datu pārkāpums
Drošības incidents, kurā personiskie dati tiek piekļūti, atklāti, mainīti vai iznīcināti bez atļaujas.
Ēnu AI
Darbinieku neatļauta AI rīku (ChatGPT, Copilot, Gemini) izmantošana bez IT apstiprinājuma. Shadow AI ir galvenais PII datu noplūdes cēlonis, jo lietotāji ielīmē sensitīvus biznesa datus — klientu ierakstus, informāciju par pacientu, finanšu datus — tieši AI uzvednēs.
Datu minimizēšana
GDPR princips (Art. 5(1)(c)), kas pieprasa organizācijām vākt un apstrādāt tikai minimālos personas datus, kas nepieciešami konkrētam mērķim. AI sistēmās datu minimizēšana nozīmē PII anonimizāciju vai noņemšanu, pirms dati nonāk AI konveijeros, tādējādi samazinot atbilstības risku un pārkāpuma virsmu.
Regulatīvie Rāmi
GDPR (Vispārīgā datu aizsardzības regula)
ES regula, kas regulē personisko datu apstrādi indivīdiem Eiropas Ekonomikas zonā, spēkā kopš 2018. gada maija.
CCPA (Kalifornijas patērētāju privātuma akts)
Kalifornijas štata likums, kas piešķir patērētājiem tiesības uz savu personisko informāciju, ko apkopo uzņēmumi, spēkā kopš 2020. gada janvāra.
HIPAA (Veselības apdrošināšanas pārnesamības un atbildības akts)
ASV federālais likums, kas nosaka standartus, lai aizsargātu jutīgu pacientu veselības informāciju no atklāšanas bez piekrišanas.
ISO 27001
Starptautisks standarts informācijas drošības pārvaldības sistēmām (ISMS), kas nosaka prasības drošības kontroļu izveidei, īstenošanai un nepārtrauktai uzlabošanai.
SOC 2 (Sistēmu un organizāciju kontroles 2)
Audita ietvars pakalpojumu organizācijām, kas novērtē kontroli attiecībā uz drošību, pieejamību, apstrādes integritāti, konfidencialitāti un privātumu.
EU AI Act
Eiropas Savienības regula par mākslīgo intelektu (spēkā no 2026. gada augusta). Augsta riska AI sistēmām ir jāievieš datu pārvaldības pasākumi, tostarp personas datu samazināšana, dokumentēšana un DPIA. Organizācijām, kas izmanto mākslīgo intelektu, lai pieņemtu lēmumus par indivīdiem, jānodrošina, lai apmācības dati būtu anonimizēti vai pseidonimizēti.
ISO 42001
Starptautiskais AI pārvaldības sistēmu (AIMS) standarts, kas publicēts 2023. gadā. Nodrošina ietvaru atbildīgai AI izstrādei un ieviešanai, tostarp datu kvalitātei, novirzes kontrolei un privātuma aizsardzības pasākumiem. Bieži vien pārī ar ISO 27001 organizācijām, kas izmanto AI sistēmas ar personas datiem.
Indija DPDP Act
Indijas Digitālo personas datu aizsardzības likums (2023), stājies spēkā no 2025. gada. Nepieciešama skaidra piekrišana Indijas iedzīvotāju personas datu apstrādei, datu lokalizācija sensitīviem datiem un paziņojums par pārkāpumiem 72 stundu laikā. Attiecas uz organizācijām visā pasaulē, kas apstrādā Indijas pilsoņu datus.
Tehniskie Termini
Nosaukumu atpazīšana (NER)
NLP tehnika, kas identificē un klasificē nosaukumu entitātes tekstā iepriekš noteiktās kategorijās, piemēram, personu vārdi, vietas un organizācijas.
Dabas valodas apstrāde (NLP)
Mākslīgā intelekta nozare, kas ļauj datoriem saprast, interpretēt un ģenerēt cilvēku valodu.
Paraugu atpazītājs
Noteikumu balstīts detektors, kas izmanto regulāras izteiksmes un konteksta norādes, lai identificētu specifiskus datu paraugus, piemēram, kredītkartes numurus vai sociālās apdrošināšanas numurus.
Uzticības rezultāts
Skaitlisks vērtējums no 0 līdz 1, kas norāda, cik pārliecināts ir detekcijas dzinējs, ka teksta fragments atbilst konkrētam entitātes tipam.
Regulāra izteiksme (Regex)
Rakstzīmju secība, kas nosaka meklēšanas paraugu, parasti tiek izmantota, lai validētu un atklātu strukturētus datu formātus, piemēram, tālruņa numurus vai e-pasta adreses.
AES-256-GCM
Autentificēta šifrēšanas algoritms, kas izmanto 256 bitu atslēgu ar Galois/Counter režīmu, nodrošinot gan konfidencialitāti, gan integritātes pārbaudi šifrētiem datiem.
Nulles zināšanu šifrēšana
Šifrēšanas arhitektūra, kurā tikai lietotājs tur dekripcijas atslēgu, kas nozīmē, ka pat pakalpojumu sniedzējs nevar piekļūt nešifrētiem datiem.
Tokenizācija
Jutīgu datu aizvietošana ar ne-jutīgiem vietturu tokeniem, kurus var atgriezt pie oriģinālajiem datiem, izmantojot drošu meklēšanu.
Datu maskēšana
Specifisku datu slēpšana datu kopā, lai jutīga informācija tiktu paslēpta, kamēr dati paliek izmantojami testēšanai vai analīzei.
Redakcija
Jutīgas informācijas pastāvīga noņemšana no dokumenta vai datu kopas, aizstājot to ar marķieri, piemēram, [REDACTED].
Sintētiskie dati
AI ģenerēti dati, kas statistiski atdarina reālus datus, nesaturot faktiskus ierakstus. Salīdzinot ar anonimizāciju: anonimizēti dati saglabā augstāku analītisko precizitāti pakārtotajai ML; sintētiskie dati novērš atkārtotas identifikācijas risku, bet ievieš statistisko novirzi. Atgriezeniska anonimizācija ir ieteicama gadījumos, kad atbilstības auditiem var būt nepieciešami oriģinālie ieraksti.
LLM tūlītēja injekcija
Uzbrukuma paņēmiens, kurā ļaunprātīga ievade manipulē ar lielu valodas modeli, lai ignorētu norādījumus vai nopludinātu sensitīvu informāciju. PII aizsardzības kontekstā tūlītēja ievadīšana var izraisīt AI modeli, lai atklātu anonimizētus datu modeļus vai lietotāja informāciju. Ievades iepriekšēja anonimizācija, pirms tās sasniedz LLM, samazina uzbrukuma virsmu.
Konfidencialitāte pēc dizaina
GDPR Art. 25 princips, kas nosaka, ka datu aizsardzība sistēmās ir jāiebūvē no paša sākuma, nevis jāpievieno kā pārdoma. AI sistēmām privātums pēc dizaina nozīmē datu anonimizāciju, pirms tie nonāk AI cauruļvados, nulles zināšanu šifrēšanas ieviešanu un datu saglabāšanas samazināšanu.
Anonimizācijas Metodes
Aizvietot
Aizvieto atklāto PII ar vispārīgu vietturi, kas atbilst tai pašai entitātes tipam, piemēram, 'Džons Smits' ar '<PERSON>'.
Maskēt
Daļēji slēpj PII, aizvietojot rakstzīmes ar maskēšanas simboliem, piemēram, '123-45-6789' pārvēršot par '***-**-6789'.
Rediģēt
Pilnībā noņem atklāto PII no teksta, neatstājot nekādas oriģinālās vērtības pēdas.
Hash
Pārvērš PII par fiksētas garuma kriptogrāfisku hash, ļaujot konsekventu aizvietošanu, vienlaikus padarot reversēšanu aprēķināšanas ziņā neiespējamu.
Šifrēt
Pārvērš PII, izmantojot AES-256-GCM šifrēšanu ar lietotāja turētu atslēgu, ļaujot autorizētu reversēšanu (de-anonimizāciju) pēc nepieciešamības.
Biežāk Uzdotie Jautājumi
Kāda ir atšķirība starp anonimizāciju un pseidonimizāciju?
Anonimizācija neatgriezeniski noņem visu identificējošo informāciju, tāpēc atkārtota identifikācija nav iespējama. Pseidonimizācija aizvieto identifikatorus ar mākslīgiem, saglabājot atsevišķu atslēgu, kas ļauj atkārtotu identifikāciju, kad tas ir atļauts. Saskaņā ar GDPR pseidonimizētie dati joprojām tiek uzskatīti par personiskiem datiem.
Kāpēc PII atklāšana izmanto gan NLP, gan paraugu atpazītājus?
NLP modeļi atklāj konteksta atkarīgas entitātes, piemēram, personu vārdus un vietas, kurām nav fiksēta formāta. Paraugu atpazītāji izmanto regulāras izteiksmes, lai atklātu strukturētus identifikatorus, piemēram, sociālās apdrošināšanas numurus, kredītkartes numurus un tālruņa numurus. Apvienojot abus pieejas veidus, tiek maksimizēta atklāšanas precizitāte visiem entitātes tipiem.
Kas ir nulles zināšanu šifrēšana un kāpēc tā ir svarīga?
Nulles zināšanu šifrēšana nozīmē, ka tikai jūs turat dekripcijas atslēgu — pakalpojumu sniedzējs nevar izlasīt jūsu datus. Tas ir svarīgi, jo pat servera pārkāpuma gadījumā jūsu šifrētie dati paliek neizlasāmi bez jūsu atslēgas, nodrošinot visstiprāko iespējamo datu aizsardzību.
Kā reversējamā šifrēšana atšķiras no hashēšanas?
Hashēšana ir vienvirziena transformācija — kad dati ir hashēti, oriģināls nav atgūstams. Reversējamā šifrēšana (izmantojot AES-256-GCM) ļauj autorizētiem lietotājiem ar pareizo atslēgu dešifrēt un atgūt oriģinālos datus, ļaujot darba plūsmām, kurās nepieciešama de-anonimizācija.