Problemet med de Tre Regler
Et UK-baseret globalt marked, der behandler sælgerverifikationsdokumenter fra 80 lande, står over for tre samtidige reguleringsrammer: GDPR for EU-baserede sælgere, LGPD (Lei Geral de Proteção de Dados) for brasilianske sælgere og Indiens Digital Personal Data Protection Act (DPDP) for indiske sælgere. Hver ramme angiver forskellige nationale identifikatorer som beskyttede personoplysninger, der kræver specifik håndtering.
Brasiliansk CPF (Cadastro de Pessoas Fisicas): Det 11-cifrede individuelle skatteyderidentifikationsnummer med formatet XXX.XXX.XXX-XX. De sidste to cifre er kontrolcifre afledt af en specifik modulær aritmetisk algoritme. Brasiliansk LGPD betragter CPF som en unik identifikator for fysiske personer — svarende til SSN med hensyn til følsomhed. Et værktøj, der ikke kender CPF-formatet og kontrolsum-algoritmen, kan ikke opdage det.
Indisk Aadhaar: Det 12-cifrede biometriske identitetsnummer udstedt af Unique Identification Authority of India. I modsætning til CPF og SSN tildeles Aadhaar-numre tilfældigt med en Verhoeff-algoritme kontrolciffer. Indiens DPDP-lov pålægger forpligtelser for organisationer, der behandler Aadhaar-relaterede data. Detektion kræver formatgenkendelse (12 på hinanden følgende cifre med Verhoeff-kontrol) og kontekstbevidst undertrykkelse (ikke hvert 12-cifret nummer er en Aadhaar).
US SSN: Det 9-cifrede Social Security Number med dokumenterede område nummer begrænsninger (de første 3 cifre), gruppenummerstruktur (midterste 2 cifre) og serienummerområde (sidste 4 cifre). Valideringsalgoritmer er etablerede og veldokumenterede.
Disse tre identifikatorer har forskellige formater, forskellige valideringsalgoritmer og forskellige reguleringskontekster. Et overholdelsessystem, der behandler dokumenter fra Brasilien, Indien og USA samtidig, kan ikke stole på noget enkelt værktøj bygget til ét lands format.
Det Multi-Regulatoriske Gap i Praksis
Gabet mellem SSN-detektion og global dækning er større, end de fleste overholdelsesteams indser. Organisationer, der verificerer "vores PII-værktøj fungerer" ved at teste det mod amerikanske data, opdager aldrig, at det fejler på ikke-amerikanske formater, før en reguleringshændelse afslører fejlen.
GDPR Artikel 28 kræver en skriftlig Data Processing Agreement med hver databehandler. DPIA'en for anonymiseringsværktøjet skal adressere, om værktøjet dækker alle identifikatorformater, der er til stede i de behandlede data. En DPIA, der angiver "SSN-detektion" som den primære PII-kontrol for et datasæt, der indeholder brasilianske sælgere med CPF-numre, indeholder et dokumenteret overholdelsesgap — et, der kan identificeres i en reguleringsrevision.
Kombinationen af GDPR's 4% globale årlige indtægtsmaksimalbøde, LGPD's ækvivalente bestemmelser og DPDP's fremvoksende håndhævelse skaber en sammensat reguleringsrisiko for globale organisationer, der er afhængige af enkeltlands PII-detekteringsværktøjer.
Kilder: