Проблемът с трите регулации
Базиран в Обединеното кралство глобален пазар, обработващ документи за проверка на продавачи от 80 държави, се сблъсква с три едновременни регулаторни рамки: GDPR за базирани в ЕС продавачи, LGPD (Lei Geral de Proteção de Dados) за бразилски продавачи и Закон за защита на личните данни в цифров вид (DPDP) за индийски продавачи. Всяка рамка определя различни национални идентификатори като защитени лични данни, изискващи специфична обработка.
Бразилски CPF (Cadastro de Pessoas Fisicas): 11-цифрен индивидуален идентификационен номер на данъкоплатеца във формат XXX.XXX.XXX-XX. Последните две цифри са контролни цифри, получени от специфичен модулен аритметичен алгоритъм. Бразилският LGPD третира CPF като уникален идентификатор за физически лица — еквивалентен на SSN по отношение на чувствителността. Инструмент, който не познава CPF формата и алгоритъма за контролна сума, не може да го открие.
Indian Aadhaar: 12-цифрен биометричен идентификационен номер, издаден от Уникалния идентификационен орган на Индия. За разлика от CPF и SSN, номерата на Aadhaar се присвояват на случаен принцип с контролна цифра на алгоритъма на Verhoeff. Законът DPDP на Индия налага задължения на организациите, обработващи данни, свързани с Aadhaar. Откриването изисква разпознаване на формат (12 последователни цифри с проверка на Verhoeff) и контекстно потискане (не всяко 12-цифрено число е Aadhaar).
SSN в САЩ: 9-цифреният социалноосигурителен номер с документирани ограничения за номера на района (първите 3 цифри), структура на номера на групата (средните 2 цифри) и диапазон на серийния номер (последните 4 цифри). Алгоритмите за валидиране са установени и добре документирани.
Тези три идентификатора имат различни формати, различни алгоритми за валидиране и различни регулаторни контексти. Система за съответствие, обработваща документи от Бразилия, Индия и САЩ едновременно, не може да разчита на нито един инструмент, създаден за формат на една държава.
Многорегулаторната празнина на практика
Разликата между откриването на SSN и глобалното покритие е по-голяма, отколкото осъзнават повечето екипи за съответствие. Организациите, които потвърждават, че „нашият инструмент за лична информация работи“, като го тестват спрямо данни от САЩ, никога не откриват, че се проваля във формати извън САЩ, докато регулаторно събитие не разкрие повредата.
GDPR Член 28 изисква писмено споразумение за обработка на данни с всеки обработващ данни. DPIA за инструмента за анонимизиране трябва да се отнася дали инструментът покрива всички формати на идентификатори, налични в обработваните данни. DPIA, който изброява „откриването на SSN“ като основен контрол на PII за набор от данни, съдържащ бразилски продавачи с CPF номера, съдържа документиран пропуск в съответствие — такъв, който може да бъде идентифициран при регулаторен одит.
Комбинацията от максималната глоба от глобален годишен приход от 4% на GDPR, еквивалентните разпоредби на LGPD и нововъзникващото правоприлагане на DPDP създава усложняващ се регулаторен риск за глобалните организации, които разчитат на инструменти за откриване на PII в една държава.
Източници:
- [LGPD: бразилски общ закон за защита на данните и изисквания за CPF идентификатор] (https://www.gov.br/anpd)
- [Закон DPDP на Индия от 2023 г.: Изисквания на Закона за защита на личните данни в цифров вид] (https://digitalindia.gov.in)
- [GDPR Член 28: Изисквания към обработващия данни и задължения на DPA] (https://gdpr-info.eu/art-28-gdpr/)