نشرت الهيئة الوطنية الرومانية للإشراف على معالجة البيانات ذات الطابع الشخصي (ANSPDCP) تقييماً تقنياً لعام 2024 أثار تساؤلاً مقلقاً: 78% من أدوات اكتشاف البيانات الشخصية المنتشرة في عمليات الاستعانة بمصادر خارجية الرومانية تُخفق في اكتشاف Cod Numeric Personal (CNP) مع التحقق الصحيح من المجموع. بالنسبة لدولة تعالج بيانات مواطني الاتحاد الأوروبي على نطاق واسع لصالح العملاء الأوروبيين الغربيين، يخلق هذا تعرضاً منهجياً للمخاطر القانونية.
CNP: المعرّف الشخصي الأغنى في رومانيا
CNP هو رقم التعريف الوطني المكوّن من 13 رقماً:
- الرقم 1: رمز الجنس والقرن (1=ذكر 1900-1999، 2=أنثى 1900-1999، 5=ذكر 2000+، 6=أنثى 2000+، 7=مقيم أجنبي ذكر، 8=مقيمة أجنبية، 9=مقيم آخر)
- الأرقام 2-3: آخر رقمين من سنة الميلاد
- الأرقام 4-5: شهر الميلاد (01-12)
- الأرقام 6-7: يوم الميلاد (01-31)
- الأرقام 8-9: رمز المحافظة (01-52، يقابل المحافظات الـ 41 في رومانيا + أقسام بوخارست)
- الأرقام 10-12: رقم ميلاد تسلسلي داخل اليوم والمحافظة
- الرقم 13: رقم تحقق (مجموع موزون modulus 11)
يُرمّز CNP الجنس وتاريخ الميلاد الكامل ومحافظة الميلاد وحالة المواطنة — مما يجعله أحد أكثر المعرّفات الوطنية الأوروبية غنىً بالمعلومات. ترميز الجنس في الرقم 1 يجعل CNP مؤشراً ضمنياً للفئات الخاصة وفق المادة 9 من GDPR (الكاشف عن الجنس البيولوجي)، مما يستلزم حمايةً معززة.
التحقق من المجموع: تضرب خوارزمية رقم التحقق أول 12 رقماً في أوزان (2,7,9,1,4,6,3,5,8,2,7,9)، تجمع الحاصلات، تأخذ modulo 11. إن كانت النتيجة 10، فرقم التحقق هو 1. إن كانت النتيجة 11، فالـ CNP غير صالح. وإلا فرقم التحقق يساوي النتيجة.
78% من الأدوات تُفوّت هذا التحقق — مولّدةً إيجابيات زائفة (يُشار إلى أي رقم مكوّن من 13 رقماً) وسلبيات زائفة في آنٍ واحد.
NER باللغة الرومانية: الطبقة المفقودة
ما وراء CNP، تخلق المعالجة باللغة الرومانية تحديات محددة للتعرف على الكيانات المسماة:
العلامات التشكيلية الرومانية: تستخدم الرومانية الأحرف ș (s مع شرطة)، ț (t مع شرطة)، ă، â، وî. قد تخفق الأدوات المدرّبة على نصوص غير رومانية في التعرف على الأسماء الرومانية التي تحتوي هذه الأحرف. مشاكل الترميز (UTF-8 مقابل Latin-2) في الوثائق الرومانية القديمة تخلق تحديات اكتشاف إضافية.
تنسيقات العناوين الرومانية: "Strada" (مختصر "Str.")، "Bulevardul" (مختصر "Bd.")، "Aleea" (مختصر "Al.")، "Calea" (مختصر "Cal.") لأنواع الشوارع. تشمل المحليات الرومانية المدن (municipii) والبلديات (comune) بتقاليد تسمية مختلفة عن تنسيقات العناوين الأوروبية الغربية.
أنماط الأسماء الرومانية: تتبع الأسماء الرومانية تقاليد نسبية وقواعد نحوية محددة. يظهر الاسم ذاته في حالات نحوية مختلفة حسب دوره في الجملة (المبتدأ، والمضاف، والمفعول به). يجب أن تتعامل نماذج NER مع تنوّع الحالات للتعرف الصحيح على الأسماء الرومانية عبر سياقات الوثائق.
نمط التطبيق لـ ANSPDCP
تتبع حالات تطبيق ANSPDCP نمطاً متسقاً يكشف عن الإخفاقات التقنية المحددة المفضية إلى الانتهاكات:
حالات اختراق بيانات BPO: تتعرض منظمات مراكز الاتصال أو الدعم التقني لاختراق بيانات. يكشف التحقيق أن الملفات المشتركة التي تحتوي أرقام CNP للموظفين الرومانيين والبيانات الشخصية للعملاء الأوروبيين خُزّنت دون تشفير كافٍ. يُعيق تقييم نطاق الاختراق التسجيل غير الكافي — لا تستطيع المنظمة تحديد السجلات التي جرى الوصول إليها بدقة.
تسرب بيانات الرعاية الصحية: تُشارَك سجلات المرضى التي تحتوي أرقام CNP وأرقام بطاقات الصحة ومعلومات التشخيص عن غير قصد مع أطراف غير مرخصة (إرسالها إلى متلقٍّ خاطئ، نشرها في مجلد سحابي غير صحيح). لم تُكتشَف أرقام CNP ولم تُخفَ هويتها قبل المشاركة لأن أداة اكتشاف البيانات الشخصية للمنظمة لم تتضمن دعم المعرّفات الرومانية.
النقل عبر الحدود دون ضمانات: تنقل منظمة BPO رومانية بيانات العملاء الأوروبيين (بما في ذلك السجلات المرتبطة بـ CNP) إلى معالج من الباطن هندي للإدخال أو المعالجة، دون تقييم كافٍ لأثر النقل وبنود عقدية قياسية. أرقام CNP في الملفات المنقولة تخلق تعرضاً لنقل الفئات الخاصة وفق GDPR.
للامتثال للـ GDPR الروماني: اكتشاف CNP مع التحقق من المجموع modulo-11، ومعالجة NER للرومانية مع دعم العلامات التشكيلية، واكتشاف بطاقة الهوية الوطنية الرومانية تمثّل الخط الأساسي التقني الذي يُظهر سجل تطبيق ANSPDCP أنه مطلوب.
المصادر: