anonym.legal
Powrót do blogaGDPR i zgodność

Poza numerami SSN i adresami e-mail...

Każda organizacja ma wewnętrzne identyfikatory — identyfikatory pracowników, numery kont, identyfikatory zamówień...

April 19, 20267 min czytania
custom PII detectionorganizational identifiersre-identification riskGDPR pseudonymizationcustom entity

Poza numerami SSN i adresami e-mail: Anonimizacja niestandardowych identyfikatorów Twojej organizacji

Twoje narzędzie do anonimizacji zgodne z RODO wykrywa adresy e-mail. Wykrywa numery telefonów. Wykrywa imiona i numery ubezpieczenia społecznego. Przesyłasz swoje eksporty zgłoszeń wsparcia przez nie, pobierasz zanonimizowany wynik i dzielisz się nim z zespołem analitycznym.

Twoje numery kont klientów (format ACC-XXXXXXXX-XX) wciąż znajdują się w każdym zgłoszeniu. Twoje identyfikatory zamówień (ORD-XXXXXXX) są nadal obecne. Twoje wewnętrzne identyfikatory użytkowników są wciąż tam.

Te identyfikatory są pseudonimowe w izolacji — nie identyfikują bezpośrednio osoby bez dostępu do tabeli wyszukiwania. Ale Twój zespół analityczny ma dostęp do tej tabeli wyszukiwania. Twoja baza danych wsparcia ma ją. Twój CRM ma ją. Zanonimizowany eksport może być zre-identyfikowany w ciągu sekund przez każdego, kto ma dostęp do któregokolwiek z tych systemów.

To jest niepowodzenie pseudonimizacji zgodnie z RODO — nie dlatego, że narzędzie przegapiło standardowe PII, ale dlatego, że nie mogło wiedzieć o identyfikatorach specyficznych dla Twojej organizacji.

Co wykrywają standardowe narzędzia PII

Standardowe narzędzia wykrywania PII — w tym podstawowe konfiguracje Microsoft Presidio — są zbudowane wokół uniwersalnych formatów identyfikatorów:

Co jest objęte:

  • Numery ubezpieczenia społecznego (SSN w USA, NINO w UK, formaty krajowych ID w UE)
  • Adresy e-mail (format RFC 5322)
  • Numery telefonów (formaty E.164 i krajowe)
  • Numery kart kredytowych (walidacja algorytmem Luhna)
  • Imiona (wykrywanie oparte na modelu NER)
  • Numery paszportów/praw jazdy (formaty specyficzne dla kraju)

Co nie jest objęte:

  • Twój format identyfikatora pracownika (EMP-XXXXX)
  • Twój format numeru konta klienta (ACC-XXXXXXXX-XX)
  • Twój format identyfikatora zamówienia (ORD-XXXXXXX)
  • Twój wewnętrzny identyfikator użytkownika (format UUID lub niestandardowy)
  • Twoje wewnętrzne kody referencyjne
  • Identyfikatory specyficzne dla partnerów

Standardowe narzędzia wykrywają to, co jest uniwersalne. Identyfikatory specyficzne dla organizacji są z definicji nieuniwersalne. Wymagają niestandardowej konfiguracji.

Ryzyko re-identyfikacji w praktyce

Firma świadcząca usługi finansowe przetwarza zgłoszenia wsparcia klientów w celu analizy jakości. Ich standardowy proces anonimizacji PII usuwa:

  • Imiona klientów ✓
  • Adresy e-mail ✓
  • Numery telefonów ✓
  • Numery kont (format ACC-XXXXXXXX-XX) ✗ — nie wykryte

Eksport zgłoszeń trafia do zespołu analitycznego. Analityk danych łączy tabelę zgłoszeń z bazą danych klientów na podstawie numeru konta. Re-identyfikacja jest natychmiastowa i pełna.

Nie wymaga to wyrafinowanych technik ataku. To rutynowe połączenie SQL, które każdy analityk wykonałby, aby dodać kontekst demograficzny klienta do analizy zgłoszeń wsparcia. Eksport "anonimizowany" nie był anonimowy.

Artykuł 4(5) RODO definiuje pseudonimizację jako "przetwarzanie danych osobowych w taki sposób, że dane osobowe nie mogą już być przypisane do konkretnego podmiotu danych bez użycia dodatkowych informacji." Numery kont nie przechodzą tego testu, gdy dodatkowe informacje (baza danych klientów) są łatwo dostępne.

Tworzenie wzorców niestandardowych encji

Tworzenie niestandardowych encji podąża za prostym procesem dla nietechnicznych zespołów ds. zgodności:

Krok 1: Zidentyfikuj format identyfikatora Udokumentuj identyfikatory specyficzne dla Twojej organizacji i ich formaty:

  • Konto klienta: ACC-XXXXXXXX-XX (prefiks ACC, 8-cyfrowy numer, 2-znakowy sufiks)
  • Identyfikator zamówienia: ORD-XXXXXXX (prefiks ORD, 7-cyfrowy numer)
  • Identyfikator pracownika: EMP-XXXXX (prefiks EMP, 5-cyfrowy numer)
  • Wewnętrzny identyfikator użytkownika: format UUID (8-4-4-4-12 szesnastkowy)

Krok 2: Wygeneruj wzór wykrywania Opisz format w prostych słowach: "Numery kont, które zaczynają się od ACC, następnie myślnik, następnie 8 cyfr, następnie myślnik, następnie 2 wielkie litery."

Generowanie wzoru wspomaganego przez AI produkuje: ACC-d{8}-[A-Z]{2}

Krok 3: Walidacja na podstawie danych próbnych Prześlij 20-30 dokumentów zawierających identyfikator. Zweryfikuj:

  • Wszystkie przypadki są wykrywane (brak fałszywych negatywów)
  • Brak fałszywych pozytywów (tekst nieidentyfikujący błędnie oznaczony)

Krok 4: Skonfiguruj metodę anonimizacji Dla identyfikatorów używanych jako klucze łączenia (identyfikatory zamówień, które pojawiają się w wielu systemach i muszą być spójne dla analizy):

  • Pseudonimizuj: Zastąp ACC-00123456-AB konsekwentnie ACC-99876543-XY we wszystkich dokumentach. Zastąpienie jest spójne — ten sam input zawsze produkuje ten sam output — więc analityczne połączenia wciąż działają. Oryginalna wartość nie jest możliwa do odzyskania bez klucza.

Dla identyfikatorów, które nie są potrzebne do analizy:

  • Redaguj: Zastąp [REDACTED]. Prostsze, nieodwracalne.

Krok 5: Zapisz jako preset Niestandardowa encja (lub wiele niestandardowych encji) zapisana jako preset zespołu stosuje się konsekwentnie we wszystkich procesach — przesyłanie wsadowe, wywołania API, interfejs przeglądarki. Nowi członkowie zespołu automatycznie otrzymują pełną konfigurację.

Studium przypadku: 180,000 zgłoszeń wsparcia

Firma świadcząca usługi finansowe ma numery kont klientów (format ACC-XXXXXXXX-XX) pojawiające się w całej historii eksportów zgłoszeń wsparcia. Standardowe narzędzia PII całkowicie je przegapiły.

Zidentyfikowana luka: Po przeglądzie zgodności zespół zdał sobie sprawę, że 180,000 historycznych zgłoszeń wsparcia w ich magazynie analitycznym zawierało nieocenzurowane numery kont obok (już zanonimizowanych) imion i e-maili.

Harmonogram rozwiązania:

  1. Oficer ds. zgodności definiuje wzór ACC (15 minut)
  2. Test na podstawie 30 próbnych zgłoszeń (20 minut)
  3. Potwierdzenie dokładności wzoru (10 minut)
  4. Przetwarzanie 180,000 zgłoszeń w nocnej partii
  5. Zastąpienie tabel magazynu zre-anonimizowanymi wersjami

Całkowity czas na zamknięcie luki w zgodności: 45 minut czasu oficera ds. zgodności + nocna partia. Bez tworzenia niestandardowych encji wymagałoby to zgłoszenia inżynieryjnego, czasu rozwoju, przeglądu kodu i wdrożenia — tygodnie, a nie godziny.

Poza zgłoszeniami wsparcia: Gdzie pojawiają się niestandardowe identyfikatory

Niestandardowe identyfikatory organizacyjne pojawiają się w większej liczbie typów dokumentów, niż większość zespołów ds. zgodności zdaje sobie sprawę:

Dokumenty wewnętrzne:

  • Notatki ze spotkań odnoszące się do numerów kont lub identyfikatorów zamówień
  • Wątki e-mailowe z odniesieniami do klientów
  • Prezentacje z danymi z badań przypadków

Udostępniane stronom trzecim:

  • Raporty do organów regulacyjnych z numerami referencyjnymi spraw
  • Dane udostępniane audytorom
  • Dokumenty dostawców z odniesieniami do klientów

Badania i analizy:

  • Zbiory danych analizy ścieżki klienta
  • Zbiory danych przeglądu jakości wsparcia
  • Dane szkoleniowe dla wewnętrznych modeli ML

Każdy z tych przypadków wymaga tej samej konfiguracji niestandardowej encji, aby uzyskać naprawdę anonimowy wynik.

Pseudonimizacja a anonimizacja zgodnie z RODO: Techniczna różnica

RODO rozróżnia:

Pseudonimizację: Dane, które mogą być zre-identyfikowane przy dostępie do dodatkowych informacji. Dane pseudonimizowane są nadal danymi osobowymi zgodnie z RODO. Regulacja zachęca do pseudonimizacji jako środka redukcji ryzyka, ale nie znosi obowiązków RODO.

Anonimizację: Dane, które nie mogą być rozsądnie zre-identyfikowane. Dane anonimowe nie są danymi osobowymi i nie podlegają RODO.

Numery kont, identyfikatory zamówień i identyfikatory pracowników są pseudonimowe — nie anonimowe — gdy istnieją tabele wyszukiwania. Zastąpienie ich spójnymi pseudonimami (pseudonimizacja) zmniejsza ryzyko, ale nie eliminuje obowiązków RODO. Zastąpienie ich losowymi tokenami (anonimizacja przez zniszczenie klucza) eliminuje obowiązki RODO, ale łamie połączenia.

Dla udostępniania stronom trzecim, które nie mają dostępu do Twoich tabel wyszukiwania: pseudonimizacja może być wystarczająca (nie mogą zre-identyfikować bez klucza). Dla analizy wewnętrznej: pełna anonimizacja lub kontrola dostępu do klucza są konieczne.

Podsumowanie

Luka w wykrywaniu standardowego PII nie jest techniczną ograniczeniem algorytmów wykrywania — to luka w konfiguracji. Żadne narzędzie wykrywające nie może znać formatu numeru konta Twojej organizacji, chyba że mu to powiesz.

Tworzenie niestandardowych encji zamyka tę lukę w ciągu godzin, a nie tygodni. Zespoły ds. zgodności — bez wsparcia inżynieryjnego — mogą definiować wzory specyficzne dla organizacji, walidować je na podstawie danych próbnych i stosować je konsekwentnie we wszystkich trybach przetwarzania.

180,000 nieocenzurowanych numerów kont odkrytych w studium przypadku nie było tam z powodu awarii narzędzia. Były tam, ponieważ narzędzie nigdy nie zostało poinformowane, aby ich szukać.

Źródła:

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje