Eines de PII nomes en angles: la bretxa del RGPD
El RGPD no te preferencia de llengua
El RGPD cobreix dades personals en qualsevol llengua. Alemany, frances, polones, suec — tots estan coberts per igual. Un Steuer-ID no detectat crea el mateix risc legal que un numero de la Seguretat Social no detectat. La llei no es preocupa per la llengua.
La majoria d'eines de detecció de PII, sí.
Les eines comercials i de codi obert lideres van ser creades per a text en angles. Els seus detectors d'entitats ho reflecteixen. Cobreixen bé els numeros de la Seguretat Social dels EUA, els permisos de conduir dels EUA i els formats de telefon NANP. Els detectors per a identificadors nacionals no anglesos son menys precisos. Estan menys ben mantinguts. Passen per alt identificadors reals amb mes frequencia.
Per a empreses dels estats membres de la UE, aixo crea una bretxa de cobertura. L'eina diu que la detecció es completa. Pero els identificadors no anglesos romanen a les dades. Sovint son els identificadors amb major exposició al RGPD en determinats países.
Les autoritats de dades ho veuen. Els auditors hi busquen. Una eina pot funcionar bé en registres en angles. Pero si falla en registres alemanys o francesos, no es compliant. Un informe net no ho canvia.
Els identificadors nacionals difereixen en estructura
La bretxa entre eines centrades en l'angles i eines multilingues no es tracta d'afegir mes patrons regex. Els identificadors nacionals de la UE son molt diferents entre si. Necessiten lògica específica de cada país per ser detectats correctament.
Steuer-Identifikationsnummer alemany (Steuer-ID): 11 dígits. Utilitza una suma de verificació basada en una variant de la formula de Luhn. Un regex generic de SSN no el detectara. Un regex per a qualsevol numero d'11 dígits crea massa falsos positius en documents alemanys.
NIR frances (Numero d'inscription au repertoire): 15 dígits. El format codifica el sexe, l'any de naixement, el mes de naixement i el departament de naixement. Tambe inclou l'ordre de naixement i una clau de control de 2 dígits. La clau de control s'ha de validar per a una detecció correcta.
Personnummer suec: 10 dígits amb un dígit de verificació de Luhn. Les persones nascudes abans de 1990 utilitzen un separador + en lloc de -. Aixo canvia el format que s'ha de detectar.
PESEL polones: 11 dígits. Codifica la data de naixement, el genere i un dígit de verificació basat en sumes ponderades. La detecció correcta necessita tant la coincidencia de format com la validació de la suma de verificació.
No son variants d'un patró comu. Cadascun te una longitud diferent. Cadascun utilitza un metode de verificació diferent. Cadascun codifica dades en un esquema de posicions diferent. Un model NER entrenat en angles que vegi un NIR frances no el reconeixera com un identificador nacional. L'ignorara o el classificara malament.
El risc de conformitat practic
Considereu un responsable de conformitat en un BPO europeu. Processa dades d'Alemanya, Franca, Polonia i els Països Baixos alhora. La seva eina informa d'una anonimització de PII correcta.
Pero el resultat no es complet. Els Steuer-IDs en registres alemanys romanen. Els numeros NIR en registres francesos romanen. Els numeros PESEL en registres polonesos romanen. Els detectors de l'eina per a aquests formats son absents o massa imprecisos.
Mes tard, el conjunt de dades va a analítiques o a un soci d'investigació. Les dades encara contenen identificadors nacionals reidentificables. El problema amb el RGPD no apareix als registres de sortida de l'eina. Apareix quan arriba una sol·licitud d'accés d'un interessat. Pot apareixer durant una auditoria d'una autoritat de dades. Pot apareixer despres d'una bretxa de dades.
Una investigació que compara enfocaments híbrids multilingues amb eines centrades en l'angles va trobar resultats clars. Els metodes híbrids assoleixen puntuacions F1 de 0,60 a 0,83 en locales europeus. Les eines nomes en angles puntuen gairebé zero per als formats d'identificadors nacionals no anglesos.
Vegeu la nostra visió general de conformitat amb el RGPD per saber com aquestes bretxes es relacionen amb les obligacions del RGPD.
El que requereix la cobertura completa
La detecció de PII multilingue veritable per al compliment del RGPD de la UE necessita tres capes.
Models spaCy natius de cada llengua proporcionen comprensió semantica en la llengua del text. Un model entrenat en text alemany sap que "Muller" es un cognom alemany comu. Existeixen models per a 25 llengues de la UE amb molts recursos.
Els models NLP de Stanza amplien la cobertura a les llengues que no estan a spaCy. Aixo afegeix abast per a mes comunitats lingüístiques de la UE.
Els models transformer multilingues (XLM-RoBERTa) gestionen els casos entre idiomes. Un nom en una frase francesa es reconeix com un nom de persona. Funciona fins i tot si el motor no va ser entrenat en aquell nom específic.
Regex amb validació específica de cada país cobreix identificadors nacionals estructurats. Steuer-ID, NIR, PESEL i Personnummer necessiten cadascun la seva pròpia lògica de suma de verificació. Aixo redueix els falsos positius. Les sequencies de dígits que no superen les normes de validació del país es filtren.
La bretxa es estructural. Afegir llistes de paraules o mes patrons regex dona nomes una millora menor. Incorporar la cobertura d'identificadors de la UE des del principi es l'unic enfocament fiable.
Comproveu la vostra eina actual
Demana al vostre proveïdor les puntuacions F1 en registres alemanys, francesos, polonesos i neerlandesos. "Admet multiples llengues" sovint significa que l'eina utilitza primer la traducció. Aixo no es l'escanejat natiu. El compliment del RGPD requereix l'escanejat natiu.
Feu proves amb mostres reals d'identificadors nacionals. Creeu un conjunt de proves curt amb 10 exemples de cada tipus d'identificació en les vostres operacions. Steuer-ID, NIR, PESEL, Personnummer. Comproveu les taxes de detecció. Aixo es mes rapid que una prova F1 completa i mostra les bretxes rapidament.
Vegeu la nostra pagina de seguretat i conformitat per saber com anonym.legal aborda aquests requisits. Per a les definicions de tipus d'entitat, visiteu la referencia d'entitats.