Румънският Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) публикува техническа оценка от 2024 г. с поразителна констатация: 78% от инструментите за лична информация, използвани в румънските аутсорсинг операции, не успяват да открият Cod Numeric Personal (CNP) с правилно валидиране на контролната сума. За държава, обработваща данни на граждани на ЕС в мащаб за западноевропейски клиенти, това създава системно излагане на съответствие.
CNP: Най-богатият личен идентификатор в Румъния
CNP е 13-цифрен национален идентификационен номер:
- Цифра 1: Код за пол и век (1=мъж 1900-1999, 2=жена 1900-1999, 5=мъж 2000+, 6=жена 2000+, 7=мъж чужденец, 8=жена чужденец, 9=друг жител)
- Цифри 2-3: Последните две цифри от годината на раждане
- Цифри 4-5: Месец на раждане (01-12)
- Цифри 6-7: Рожден ден (01-31)
- Цифри 8-9: Код на окръг (01-52, съответстващ на 41 окръга на Румъния + сектори на Букурещ)
- Цифри 10-12: Пореден рожден номер в рамките на ден и окръг
- Цифра 13: Контролна цифра (претеглен сборен модул 11)
CNP кодира пол, дата на раждане (пълна), държава на раждане и статус на гражданство — което го прави един от най-богатите на информация национални идентификатори в Европа. Кодирането на пола в цифра 1 прави CNP де факто индикатор за специална категория съгласно GDPR член 9 (разкриващ биологичен пол), изискващ повишена защита.
Проверка на контролна сума: Алгоритъмът за контролна цифра умножава първите 12 цифри по тегла (2,7,9,1,4,6,3,5,8,2,7,9), сумира продуктите, взема модул 11. Ако резултатът е 10, контролната цифра е 1. Ако резултатът е 11, CNP е невалиден. В противен случай контролната цифра е равна на резултата.
78% от инструментите пропускат тази проверка — генерират както фалшиви положителни резултати (всяко 13-цифрено число се маркира), така и фалшиви отрицателни (повредени CNP числа преминават съвпадение на шаблони, но не успяват да преминат контролни суми и следователно се пропускат като потенциално невалидни данни, изискващи преглед).
Румънски език NER: Липсващият слой
Освен CNP, обработката на румънски език създава специфични NER предизвикателства:
Румънски диакритични знаци: Румънският използва знаци ș (s-седила), ț (т-седила), ă, â и î. Инструментите, обучени на нерумънски текст, може да не успеят да разпознаят румънски имена, които съдържат тези знаци. Проблемите с кодирането (UTF-8 срещу Latin-2) в наследени румънски документи създават допълнителни предизвикателства при откриване.
Румънски адресни формати: „Strada“ (съкратено „Str.“), „Bulevardul“ (съкратено „Bd.“), „Aleea“ (съкратено „Al.“), „Calea“ (съкратено „Cal.“) за типове улици. Румънските населени места включват както градове (municipii), така и общини (comune) с конвенции за именуване, различни от западноевропейските адресни формати.
**Румънски модели на имена: ** Румънските имена следват специфични бащини и граматически конвенции. Едно и също име се появява в различни граматични падежи в зависимост от граматичната му роля в изречението (именителен падеж, родителен падеж). NER моделите трябва да обработват вариации на главни и малки букви, за да идентифицират правилно румънските имена в контекста на документа.
Моделът за прилагане на ANSPDCP
Случаите за изпълнение на ANSPDCP следват последователен модел, който разкрива специфичните технически повреди, водещи до нарушения:
**Случаи на нарушаване на данните на BPO: ** Център за обаждания или организации за ИТ поддръжка страдат от нарушение на данните. Разследването разкрива, че споделени файлове, съдържащи CNP номера на румънски служители и лични данни на клиенти от ЕС, са били съхранявани без подходящо криптиране. Оценката на обхвата на нарушението е възпрепятствана от неадекватно регистриране — организацията не може да определи точно кои записи е имало достъп.
Излагане на здравни данни: Досиета на пациенти, съдържащи CNP номера, номера на здравни карти и информация за диагнозата, се споделят по невнимание с неоторизирани страни (изпращат се по имейл до грешен получател, публикуват се в неправилна облачна папка). Номерата на CNP не бяха открити или псевдонимизирани преди споделянето, тъй като инструментът за PII на организацията не включва поддръжка на румънски идентификатор.
Трансграничен трансфер без предпазни мерки: Румънска BPO организация прехвърля клиентски данни от ЕС (включително свързани с CNP записи) към индийски подобработващ за въвеждане или обработка на данни, без адекватна оценка на въздействието на трансфера и стандартни договорни клаузи. CNP номерата в прехвърлените файлове създават GDPR излагане на прехвърляне на специална категория.
За съответствие с румънския GDPR: откриване на CNP с валидиране на контролна сума по модул-11, NER на румънски език с обработка, съобразена с диакритични знаци, и откриване на румънска национална лична карта са техническата основа, която записът за прилагане на ANSPDCP показва, че се изисква.
Източници: