Глобално PII съответствие: Три закона, три формата на идентификатори
Британски пазар обработва документи на продавачи от 80 страни. Три закона се прилагат едновременно: GDPR за продавачи от EU, LGPD за бразилски продавачи и индийският DPDP Act за индийски продавачи. Всеки закон назовава различни национални идентификатори като защитени. Всеки формат има своя собствена логика за проверка.
Бразилски CPF: Формат и статут по LGPD
CPF (Cadastro de Pessoas Fisicas) е бразилският данъчен номер. Той има 11 цифри във формата XXX.XXX.XXX-XX. Последните две цифри са контролни цифри. Математически алгоритъм върху първите девет цифри ги генерира.
Бразилският LGPD третира CPF като защитен личен идентификатор, подобен по чувствителност на американски SSN. Инструмент, който не познава формата на CPF, не може да го открие. Такъв, който пропуска контролната сума, ще маркира фалшиви съвпадения.
Индийски Aadhaar: Формат и правила по DPDP
Aadhaar е 12-цифрен номер, издаден от индийския UIDAI. Номерата се присвояват произволно. Последната цифра е контролна цифра по Verhoeff.
Индийският DPDP Act създава задължения за всяка организация, обработваща данни, свързани с Aadhaar. Разпознаването изисква две стъпки. Първо, съответствие с 12-цифрения формат и проверка на цифрата по Verhoeff. Второ, филтриране по контекст. Не всеки 12-цифрен низ е Aadhaar.
US SSN: Позната структура
SSN е девет цифри. Първите три са номерът на зоната. Следващите две са номерът на групата. Последните четири са серийният номер. Всеки сегмент има установени правила. Валидирането е добре документирано.
Пропастта между инструментите за една страна и глобалните правила
Трите идентификатора не споделят нито формат, нито правило за проверка. Инструмент, създаден за американска употреба, ще улавя SSN. Може да пропусне напълно CPF и Aadhaar.
Повечето екипи откриват тази пропаст, когато регулатор попита -- не преди това. Пропастта създава реален риск съгласно всеки закон:
- Член 28 от GDPR изисква писмено Споразумение за обработка на данни с всеки обработващ. DPIA, която изброява "разпознаване на SSN" като основен контрол -- когато наборът от данни съдържа и CPF номера -- има документирана пропаст. Одиторът може да я открие.
- LGPD глобите могат да достигнат 2% от бразилския приход, до R$50M за нарушение. CPF, останал неоткрит, е пряко нарушение на LGPD.
- DPDP правоприлагането е все още ново. Екипи, които документират покритието си сега, ще бъдат в по-добра позиция, когато ранните решения установят стандарта.
Три режима на глоби едновременно създават многопластов риск. Инструментите за една страна оставят глобалните екипи изложени.
Какво изисква пълното покритие
Инструментът се нуждае от формата, алгоритъма за проверка и правния контекст на всеки идентификатор. CPF изисква модулна контролна сума. Aadhaar изисква проверка по Verhoeff плюс контекстно филтриране. SSN изисква правила за зона и група. Това са три отделни проблема. Нито един единствен шаблон за търсене не ги покрива всичките.
Вижте също: глобална пропаст в PII идентификаторите: SSN, CPF, Aadhaar, ръководство за правоприлагане на ANPD Бразилия LGPD и техническо съответствие с DPDPA Индия.