Problemet med tre regleringar
En global marknadsplats baserad i Storbritannien som bearbetar säljarverifieringsdokument från 80 länder står inför tre samtidiga regleringsramar: GDPR för EU-baserade säljare, LGPD (Lei Geral de Proteção de Dados) för brasilianska säljare och Indiens Digital Personal Data Protection Act (DPDP) för indiska säljare. Varje ram anger olika nationella identifierare som skyddade personuppgifter som kräver specifik hantering.
Brasiliansk CPF (Cadastro de Pessoas Fisicas): Det 11-siffriga individuella skatteidentifikationsnumret med formatet XXX.XXX.XXX-XX. De sista två siffrorna är kontrollsiffror härledda från en specifik modulär aritmetisk algoritm. Brasiliansk LGPD behandlar CPF som en unik identifierare för fysiska personer — motsvarande SSN när det gäller känslighet. Ett verktyg som inte känner till CPF-formatet och kontrollsifferalgoritmen kan inte upptäcka det.
Indisk Aadhaar: Det 12-siffriga biometriska identitetsnumret som utfärdas av Unique Identification Authority of India. Till skillnad från CPF och SSN tilldelas Aadhaar-nummer slumpmässigt med en Verhoeff-algoritm kontrollsiffra. Indiens DPDP-lag ålägger skyldigheter på organisationer som bearbetar Aadhaar-kopplade data. Detektion kräver formatigenkänning (12 på varandra följande siffror med Verhoeff-kontroll) och kontextmedveten undertryckning (inte varje 12-siffrigt nummer är en Aadhaar).
US SSN: Det 9-siffriga socialförsäkringsnumret med dokumenterade områdesnummerbegränsningar (de första 3 siffrorna), gruppnummerstruktur (mitten 2 siffror) och serienummerintervall (de sista 4 siffrorna). Valideringsalgoritmer är etablerade och väldokumenterade.
Dessa tre identifierare har olika format, olika valideringsalgoritmer och olika regleringskontexter. Ett efterlevnadssystem som bearbetar dokument från Brasilien, Indien och USA samtidigt kan inte förlita sig på något enda verktyg byggt för ett lands format.
Klyftan mellan flera regleringar i praktiken
Klyftan mellan SSN-detektering och global täckning är större än vad de flesta efterlevnadsteam inser. Organisationer som verifierar "vårt PII-verktyg fungerar" genom att testa det mot amerikanska data upptäcker aldrig att det misslyckas med icke-amerikanska format förrän en regleringshändelse avslöjar felet.
GDPR Artikel 28 kräver ett skriftligt databehandlingsavtal med varje databehandlare. DPIA för anonymiseringsverktyget måste ta upp huruvida verktyget täcker alla identifierarformat som finns i de data som bearbetas. En DPIA som listar "SSN-detektering" som den primära PII-kontrollen för en dataset som innehåller brasilianska säljare med CPF-nummer innehåller en dokumenterad efterlevnadsklyfta — en som kan identifieras i en regleringsrevision.
Kombinationen av GDPR:s maximala böter på 4% av den globala årliga intäkten, LGPD:s motsvarande bestämmelser och DPDP:s framväxande verkställighet skapar en sammansatt regleringsrisk för globala organisationer som förlitar sig på verktyg för PII-detektering från ett enda land.
Källor: