IMY สวีเดน: Personnummer และการตรวจสอบ Luhn
อัปเดตสำหรับปี 2026
หน่วยงานข้อมูลของสวีเดนคือ IMY — Integritetsskyddsmyndigheten มันทดสอบเครื่องมือ PII ที่ใช้งานอยู่ ผล: 45% ล้มเหลวในการตรวจจับ personnummer นั่นคือ ID ประจำชาติหลักของสวีเดน และ 79% ของผู้ใหญ่ชาวสวีเดนใช้สิทธิ์ GDPR ของตนทุกปี นั่นคืออัตราที่สูงที่สุดในสหภาพยุโรป การตรวจจับที่อ่อนแอสร้างช่องว่างการปฏิบัติตามโดยตรง
รูปแบบ Personnummer และการตรวจสอบ Luhn
Personnummer มีสองรูปแบบ รูปแบบสั้น: YYMMDD-XXXX (10 หลัก) รูปแบบยาว: YYYYMMDD-XXXX (12 หลัก) หลักสุดท้ายคือหลักตรวจสอบ Luhn
การตรวจสอบ Luhn: นำหลักจากขวาไปซ้าย ทำให้ทุกหลักที่สองเป็นสองเท่า ถ้าการทำสองเท่าให้สองหลัก ให้บวกเข้าด้วยกัน รวมค่าทั้งหมด ผลลัพธ์ต้องหารด้วย 10 ลงตัว
การตรวจสอบ Luhn ยังปรากฏในบัตรเครดิตและ Canadian SIN แต่ personnummer มีวันที่อยู่ในหกหลักแรก ซึ่งสร้างข้อจำกัดที่แตกต่างจากการตรวจสอบ Luhn ทางการเงิน เครื่องมือที่ข้ามตรรกะวันที่จะได้รับ false positives
ช่องว่าง Samordningsnummer
สวีเดนให้หมายเลขประสานงานแก่ผู้อยู่อาศัยต่างชาติที่เรียกว่า samordningsnummer จำเป็นก่อนที่จะออก personnummer เต็มรูปแบบ รูปแบบเหมือนกัน ความแตกต่าง: 60 ถูกบวกเข้าไปในหลักวันเกิด
- Personnummer เกิดวันที่ 15 มกราคม: หลักวัน = 15
- Samordningsnummer วันเดียวกัน: หลักวัน = 75 (15 + 60)
ค่าวันที่ถูกต้องสำหรับ samordningsnummer อยู่ในช่วง 61 ถึง 91 เครื่องมือที่รับเฉพาะ 01 ถึง 31 จะพลาดทุกอย่าง
ผู้อยู่อาศัยที่เกิดต่างชาติคิดเป็นประมาณ 20% ของประชากรสวีเดน สำหรับบริษัทที่มีพนักงานหรือลูกค้าที่ไม่ใช่ชาวสวีเดน ช่องว่างนี้หมายความว่าบันทึกจำนวนมากไม่ถูกตรวจจับ
กฎการทำให้ไม่เปิดเผยตัวตนของ IMY
คู่มือการทำให้ไม่เปิดเผยตัวตนปี 2023 ของ IMY มีรายละเอียดมากที่สุดในบรรดาหน่วยงานข้อมูลสหภาพยุโรป DPA อื่นอีก 12 แห่งอ้างอิง
กฎสามข้อใช้กับชุดข้อมูลสวีเดน:
- k-anonymity ≥ 5 บันทึกแต่ละรายการต้องไม่สามารถแยกแยะออกจากอย่างน้อยสี่รายการอื่นในฟิลด์หลักทั้งหมด อายุ เพศ เทศบาล และงานเป็น quasi-identifiers ทั่วไป ประชากรน้อยของสวีเดนทำให้กลุ่มเล็กๆ แยกได้ง่าย
- l-diversity สำหรับข้อมูลสุขภาพและการเงิน k-anonymity เพียงอย่างเดียวไม่หยุดการโจมตีเชิงอนุมาน l-diversity กำหนดให้แต่ละกลุ่มมีค่าที่ละเอียดอ่อนที่แตกต่างกันอย่างน้อย l ค่า
- ต้องการหลักฐานทางเป็นทางการ IMY ไม่ยอมรับการปฏิบัติตามที่อ้างว่า เอกสารทางเทคนิคต้องแสดงว่าเกณฑ์ถูกตอบสนอง
อัตรา 79%: ความหมายในทางปฏิบัติ
สำหรับบริษัทที่มีผู้ใช้ชาวสวีเดน 50,000 คน 79% หมายความว่าประมาณ 39,500 คำขอสิทธิ์ต่อปี แต่ละอันต้องตอบภายใน 30 วัน
การจัดการด้วยตนเองไม่สามารถปรับขนาดได้กับปริมาณนั้น บริษัทต้องการการค้นหา PII อัตโนมัติในทุกที่จัดเก็บ: ฐานข้อมูลหลัก การสำรองข้อมูล การวิเคราะห์ และชุดข้อมูลการฝึก AI ระบบต้องค้นหา personnummer และ samordningsnummer ทั้งคู่ต้องการการตรวจสอบ Luhn และกฎ offset 60 วัน
ความแม่นยำทางเทคนิคนั้นคือข้อกำหนดพื้นฐานสำหรับการตอบสนองต่อคำขอสิทธิ์ของสวีเดนในขนาดใหญ่ หากไม่มี ระบบสินค้าคงคลังอัตโนมัติจะพลาดส่วนสำคัญของบันทึกที่ต้องค้นหาและส่งคืน
ดู คู่มือการทำให้ไม่เปิดเผยตัวตน IMY GDPR และ Nordic ของเราสำหรับกรอบการทำให้ไม่เปิดเผยตัวตนแบบเต็มและบันทึกการบังคับใช้ปี 2024 ของ IMY
สำหรับการเปรียบเทียบในรัฐสหภาพยุโรป ดู คู่มือทางเทคนิค GDPR ของ BFDI เยอรมนี