Почему офлайн-анонимизация важнее, чем кажется

Поищите «анонимизировать документ» — и в выдаче будут в основном SaaS-инструменты. Перетащил файл в браузер, сервер убрал ПДн, скачал чистую версию. Готово. Приватность решена.

Но это не так. Вы только что отправили исходный, неотредактированный файл на чужой сервер. Именно то, чего вы пытались избежать, и происходит.

Что на самом деле делает облачная анонимизация

Когда вы загружаете документ в облачный анонимизатор, оригинал проходит через их серверы. Он лежит у них в памяти, может попасть в логи для отладки, может закешироваться, может быть увиден дежурным инженером при инциденте. Они почти наверняка пишут «удаляем после обработки» — и, скорее всего, говорят правду. Но вы доверяете их персоналу, их инфраструктуре, их бэкапам, их реагированию на инциденты.

А ведь именно эту модель угроз анонимизация и должна закрывать: не показывать ПДн недоверенным сторонам. Облачные анонимизаторы заменяют одну недоверенную сторону (ИИ-провайдер) на другую (себя) — плюс ИИ-провайдер дальше по цепочке. Две недоверенные стороны — это больше, а не меньше.

Альтернатива на устройстве

Локальный инструмент обрабатывает файл прямо на вашем компьютере. Никакой загрузки. Никаких серверных логов. Персональные данные физически не покидают устройство. На выходе — только анонимизированный текст, который вы можете прочитать, скопировать, отправить.

Вам не нужно доверять разработчику, его бэкапам или его процессам реагирования — потому что они в принципе не контактируют с вашими сырыми данными. Проверить просто: правильный офлайн-анонимизатор за время обработки делает ноль исходящих соединений.

«Но в облаке точнее»

Раньше так и было. Пять лет назад топовые NLP-модели не помещались в ноутбук. Сейчас — помещаются. Современный анонимизатор спокойно работает на любой машине из последних пяти лет, с качеством детекции, сравнимым с облачными аналогами — и без экспорта ваших данных.

Для задачи поиска ПДн разрыв между облаком и локалью практически исчез. Честный компромисс уже не точность. Это удобство: SaaS работает без установки. Это удобство стоит передачи приватных данных третьей стороне.

Когда офлайн действительно обязателен

• Всё, что закрыто профессиональной тайной. Медкарты, адвокатские дела, финансовые отчёты, кадровые материалы.
• Всё, что закрыто отраслевой регуляторикой. Медицинские данные, банковские данные, данные сотрудников.
• Всё, что вы не отправили бы по email незнакомому человеку. Если «нет, это приватное» — загрузка в облачный анонимизатор это не меняет.
• Всё, что у вас в большом объёме. Один договор в облачном сервисе — может, и нормально. Тысяча договоров в месяц — другая модель риска.

Как это устроено в Anonymaze

Десктопное приложение Anonymaze работает на 100% офлайн. Во время обработки — ноль сетевых соединений, что подтвердит любой сниффер. Движок детекции встроен в само приложение; ничто из вашего файла никуда не уходит.

Есть и онлайн-демо на anonymaze.ai/app. Мы прямо пишем, что он делает: текст отправляется на наш сервер, обрабатывается, удаляется при ответе. Удобно для быстрых тестов. Это не правильный инструмент для чувствительных документов — и мы говорим это прямо на странице.

Скачать десктопную версию

Anonymaze бесплатен для личного использования (файлы до 10 МБ, без регистрации). Скачать для Mac. Pro добавляет OCR для сканов, большие файлы и обратимость (9,99 $/мес или 89,99 $/год; Stripe Tax по стране).