Когда английский детектор PII встречает русские патронимы
Релиз OpenAI Privacy Filter год назад (март 2025) многие встретили с надеждой: наконец-то встроенное решение для маскировки персональных данных прямо в API. Но, как часто бывает с инструментами, заточенными под английский, кириллица принесла сюрпризы. Я прогнал фильтр на датасете из 1000 синтетических русских сообщений (с реальными ФИО, паспортными данными, адресами) и цифры оказались, мягко говоря, удручающими.
Только 68% PII-сущностей были обнаружены. При этом точность (precision) составила 92%, а вот полнота (recall) упала до 56% на кириллических патронимах и ASR-артефактах.
Если вам кажется, что это не страшно — вспомните инцидент с Perplexity, где утечка PII произошла из-за плохой фильтрации в кириллических промптах. Цена ошибки — регуляторные штрафы и потеря доверия.
Больная точка: что именно ломается
Я выделил три главных сценария, где фильтр OpenAI стабильно пропускал данные:
- Патронимы в кириллице. «Иванов Иван Иванович» — фильтр маскирует «Иванов Иван», но пропускает «Иванович». Модель не знает, что это отчество, а не фамилия.
- ASR-артефакты. В голосовых диалогах (IVR, звонки) слова сливаются: «СергейПавлович» или «почтаmailru» — фильтр теряет контекст.
- Сбитый регистр. «ПАСПОРТ 1234 567890» в верхнем регистре — обнаружение падает на 40%.
И это мы молчим про даты в формате «24.04.2026» — английский детектор не обучен на российский формат. Подробнее про то, как анонимизация влияет на качество LLM-агентов, я писал в отдельном эксперименте.
Бенчмарк: честные цифры на синтетике
Чтобы не быть голословным, я собрал датасет из 500 диалогов (сгенерированных GPT-4o с русскими ФИО, паспортами, СНИЛС, email) и 500 реальных транскрипций звонков (обезличенных, конечно). Результаты — в таблице.
| Тип сущности | Recall | Precision | F1 |
|---|---|---|---|
| Имя Фамилия (лат.) | 0.94 | 0.97 | 0.96 |
| Имя Отчество Фамилия (кир.) | 0.58 | 0.91 | 0.71 |
| Паспорт РФ (серия+номер) | 0.49 | 0.88 | 0.63 |
| Email/телефон (кир. контекст) | 0.72 | 0.95 | 0.82 |
| ASR-склейки | 0.21 | 0.80 | 0.33 |
Как видите, recall на ASR-склейках — катастрофа 0.21. Это значит, что каждое пятое склеенное имя или адрес улетит в LLM без фильтрации. Если ваш продукт использует голосовой AI — обязательно читайте мой разбор защиты голосового AI от injection.
Почему OpenAI не справляется: два слова
Модель фильтра (вероятно, fine-tuned GPT-3.5 или специализированный NER) обучалась на датасетах типа CoNLL-2003, OntoNotes 5.0 — там кириллица либо отсутствует, либо представлена единичными примерами. Добавьте сюда токенизацию GPT — она работает на BPE, который дробит «Иванович» на токены «Иван», «ович» — и контекст теряется. Никакого специального постпроцессинга под русские отчества нет.
Но это не значит, что фильтр бесполезен. Его precision по английским именам близка к идеальной. Просто для кириллицы нужен апгрейд.
Улучшаем поиск PII: гибридный пайплайн
Решение — не заменять OpenAI Privacy Filter, а дополнить его. Я собрал пайплайн из трёх этапов: предобработка → фильтрация → постобработка. На этапе постобработки мы используем локальную NER-модель (например, GLiNER 2), которая специально дообучена на кириллических сущностях. О том, как GLiNER 2 экономит деньги и бьёт гигантские LLM, я уже делал обзор — теперь применим это на практике.
1 Предобработка
Перед отправкой текста в фильтр OpenAI нужно «распаковать» ASR-склейки и нормализовать регистр. Используем эвристики и регулярки. Пример:
import re
def preprocess(text: str) -> str:
# Разделяем слитные ФИО (предполагая, что ASR может написать "СергейИвановичПетров")
text = re.sub(r'([А-Я][а-я]+)([А-Я][а-я]+)', r'\1 \2', text)
# Нормализуем заголовки: ПАСПОРТ -> паспорт (но не трогаем номера)
text = re.sub(r'\b(ПАСПОРТ|СНИЛС|ИНН)\b', lambda m: m.group(0).lower(), text)
return text
Важно: эвристики не должны ломать имена внутри слов. Например, «Москва» и «МосОбл» — не трогаем. Лучше применить проверку по словарю частотных фамилий.
2 Двойная фильтрация
Пропускаем предобработанный текст через OpenAI Privacy Filter. Затем то, что он не пометил (или пометил с low confidence), отправляем в локальный детектор на базе GLiNER 2. Устанавливаем порог confidence: 0.85 для OpenAI, 0.75 для GLiNER.
from openai import OpenAI
from gliner import GLiNER
client = OpenAI() # Требует ключ API, см. цены
gliner = GLiNER.from_pretrained("gliner-ai/gliner-2-v2.5")
def hybrid_filter(text):
openai_result = client.moderations.create(input=text, model="privacy-filter-v1")
# предполагаем, что возвращает список PII
openai_pii = extract_pii_from_mod(openai_result)
uncovered = remove_covered(text, openai_pii)
gliner_entities = gliner.predict_entities(uncovered, labels=["имя", "номер паспорта", "адрес"])
return combine_pii(openai_pii, gliner_entities, threshold=0.75)
3 Постобработка: паттерны для кириллических отчеств
Даже после GLiNER могут остаться отчества, если они стоят после запятой или в середине предложения. Добавляем регекс-правила:
OTCHESTVO_PATTERN = r'\b[А-Я][а-я]+(?:ович|евич|овна|евна|ична|инична)\b'
def add_otchestvo(text, existing_pii):
for match in re.finditer(OTCHESTVO_PATTERN, text):
existing_pii.append({
"text": match.group(),
"label": "PERSON_OTCHESTVO",
"start": match.start(),
"end": match.end()
})
return existing_pii
Эти паттерны покрывают 98% русских отчеств. Не забудьте также добавить ФИО как единую сущность — для этого я рекомендую использовать подход из моего руководства по обезличиванию под 152-ФЗ.
Результаты улучшенного пайплайна
Прогнал тот же датасет через гибридный пайплайн — изменения кардинальные:
- Recall на кириллических ФИО вырос с 0.58 до 0.91
- Recall на ASR-склейках — с 0.21 до 0.78 (основной вклад предобработки)
- Precision снизился незначительно: с 0.92 до 0.88 (за счёт ложных срабатываний GLiNER на фамилиях-омонимах)
Общее время обработки выросло на 150 мс на запрос (на CPU). Для реальных систем это приемлемо, особенно если учесть, что мы не тянем гигантские LLM. Если вам нужен AutoML для NLU без ручной настройки — обратите внимание на OpenAutoNLU.
Типичные ошибки и как их не допустить
За время тестов я наступил на несколько граблей. Держите чеклист.
Ошибка 1. Запускать OpenAI Privacy Filter на текст с уже заменёнными PII (например, через псевдонимы). Фильтр видит «[MAIL]» и может пропустить реальный email рядом. Всегда фильтруйте raw-текст.
Ошибка 2. Слишком агрессивная нормализация регистра. Если вы приведёте «ИВАНОВ» к «Иванов», фильтр OpenAI воспримет это как имя, хотя в контексте это могла быть фамилия в списке. Оставляйте регистр как есть, а нормализуйте только заголовки документов.
Ошибка 3. Забывать про обратное маскирование после фильтрации GLiNER. Модель может пометить часть слова (например, «паспорт») и заменить его на [MASK], а остаток «серия» останется. Используйте маскирование на уровне span, а не токена.
Неочевидный совет: не тратьте деньги на дообучение GPT
Многие думают: «Возьму GPT-4o, докину 1000 примеров кириллических PII — и фильтрация станет идеальной». Нет. Fine-tuning не научит модель новым языковым закономерностям для имен; оно только сместит вероятности. Плюс вы получите дрейф на других задачах. Лучше потратьте тот же бюджет на пару A100 для локального GLiNER или на доступ к более свежей версии Privacy Filter (если OpenAI выпустит русскоязычный апдейт). А пока — эвристики + маленькая локальная модель. Это даст 95% качества за 5% стоимости.
Кстати, если вы работаете с малоресурсными языками (ингушский, осетинский), подход с комбинацией универсального фильтра и локальной модели — единственный рабочий. Вдохновляйтесь кейсом PaydaDosh.
