Quasi-PII Là Gì?
Điều 4 GDPR bao gồm bất kỳ dữ liệu nào có thể nhận dạng một người. Dữ liệu không cần phải nêu tên ai đó trực tiếp. Chỉ cần làm cho việc nhận dạng có thể thực hiện qua các bước bổ sung.
ID nhân viên nội bộ là ví dụ rõ ràng. Lấy giá trị "EMP-EU-123456." Chuỗi đó không đặt tên ai. Nhưng hệ thống HR giữ một bảng tra cứu đơn giản. EMP-EU-123456 ánh xạ tới Maria Schmidt, Kỹ sư Cấp cao, Munich. Bất kỳ ai có quyền truy cập bảng đó đều có thể tìm thấy cô ấy. Theo GDPR, ID là dữ liệu cá nhân.
Quy tắc tương tự áp dụng cho các mã nội bộ khác:
- Số tài khoản khách hàng liên kết đến hồ sơ CRM
- Mã dự án liên kết đến tên khách hàng trong hệ thống hợp đồng
- Số tham chiếu trường hợp trong hồ sơ pháp lý
- Số hồ sơ bệnh nhân liên kết đến hồ sơ bệnh nhân
Việc xóa tên và email là chưa đủ. Nếu ID nội bộ vẫn còn trong tệp, việc tái nhận dạng chỉ cách hai bước.
Tại Sao Khoảng Trống Này Dẫn Đến Tiền Phạt
34% tất cả tiền phạt GDPR liên quan đến biện pháp kỹ thuật không đầy đủ theo Điều 32. Con số đó đến từ Báo cáo Thường niên GDPR 2025 của DLA Piper. Việc không phát hiện định danh nội bộ quasi-PII thuộc danh mục này.
EDPB đã xử lý hơn 900 trường hợp cơ chế nhất quán vào năm 2024. Thực thi xuyên biên giới có nghĩa là một khoảng trống trong bộ dữ liệu được chia sẻ có thể dẫn đến hành động phối hợp trên nhiều quốc gia thành viên EU.
Các công cụ PII tiêu chuẩn tìm thấy các mẫu phổ quát: tên, email, số điện thoại, định danh quốc gia. Chúng không biết định dạng ID nội bộ của bạn. Không có công cụ nào biết cho đến khi bạn nói với nó. Đó là khoảng trống.
Cách Trình Tạo Mẫu Không Code Hoạt Động
Một công ty logistics toàn cầu cần ẩn danh hóa hồ sơ nhân viên cho một cuộc kiểm toán bên ngoài. ID nhân viên của họ sử dụng định dạng này: EMP-[KHU VỰC]-[6 chữ số]. Ba ví dụ: EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678.
Nhóm tuân thủ nhập ba ví dụ vào trợ lý mẫu AI. AI trả về:
- Mẫu:
EMP-[A-Z]{2,4}-\d{6} - Khớp cả ba ví dụ
- Tên thực thể gợi ý: EMPLOYEE-ID
- Bước tiếp theo được khuyến nghị: kiểm tra với nhiều mã khu vực hơn
Nhóm kiểm tra thêm mười mẫu nữa. Mẫu hoạt động với tất cả.
Họ lưu thực thể tùy chỉnh vào cài đặt GDPR chung của nhóm. Tất cả 47 tài liệu trong gói kiểm toán được xử lý theo một đợt. Mỗi ID nhân viên được thay thế bằng nhãn dựa trên vai trò. Công ty kiểm toán nhận được các tệp không còn liên kết đến bất kỳ cá nhân nào.
Không cần hỗ trợ kỹ thuật. Toàn bộ thiết lập mất chưa đến một giờ.
Điều Gì Xảy Ra Tiếp Theo
Khi thực thể tùy chỉnh được lưu vào cài đặt chung, tất cả thành viên nhóm sử dụng cùng thiết lập. Nhân viên mới nhận được nó ngay từ ngày đầu. Công việc theo lô, lệnh gọi API và tải lên thủ công đều áp dụng cùng mẫu.
Nhật ký kiểm toán hiển thị cài đặt nào được sử dụng cho mỗi tệp. Nếu DPA yêu cầu bằng chứng về quy trình ẩn danh hóa của bạn, bạn có thể chứng minh.
Để biết quy trình thiết lập thực thể tùy chỉnh đầy đủ, xem định danh PII tùy chỉnh cho ẩn danh hóa tổ chức. Để duy trì thiết lập nhất quán giữa các nhóm, xem cài đặt nhất quán ẩn danh hóa cho kiểm toán GDPR.