Παγκόσμια Συμμόρφωση PII: Τρεις Νόμοι, Τρεις Μορφές Αναγνωριστικών
Μια βρετανική αγορά χειρίζεται έγγραφα πωλητών από 80 χώρες. Τρεις νόμοι ισχύουν ταυτόχρονα: GDPR για πωλητές ΕΕ, LGPD για Βραζιλιάνους πωλητές και ο Ινδικός Νόμος DPDP για Ινδούς πωλητές. Κάθε νόμος ονομάζει διαφορετικά εθνικά αναγνωριστικά ως προστατευόμενα. Κάθε μορφή έχει τη δική της λογική ελέγχου.
Βραζιλιάνικο CPF: Μορφή και Καθεστώς LGPD
Το CPF (Cadastro de Pessoas Físicas) είναι ο αριθμός φορολογούμενου στη Βραζιλία. Έχει 11 ψηφία στη μορφή XXX.XXX.XXX-XX. Τα δύο τελευταία ψηφία είναι ψηφία ελέγχου. Ένας μαθηματικός αλγόριθμος στα πρώτα εννέα ψηφία τα παράγει.
Το βραζιλιάνικο LGPD αντιμετωπίζει το CPF ως προστατευόμενο προσωπικό αναγνωριστικό, παρόμοιο σε ευαισθησία με ένα αμερικανικό SSN. Ένα εργαλείο που δεν γνωρίζει τη μορφή CPF δεν μπορεί να το εντοπίσει. Ένα που παραλείπει το άθροισμα ελέγχου θα επισημαίνει ψευδείς αντιστοιχίες.
Ινδικό Aadhaar: Μορφή και Κανόνες DPDP
Το Aadhaar είναι ένας 12ψήφιος αριθμός που εκδίδεται από το UIDAI της Ινδίας. Οι αριθμοί εκχωρούνται τυχαία. Το τελευταίο ψηφίο είναι ψηφίο ελέγχου Verhoeff.
Ο Ινδικός Νόμος DPDP δημιουργεί υποχρεώσεις για κάθε οργανισμό που χειρίζεται δεδομένα συνδεδεμένα με Aadhaar. Ο εντοπισμός χρειάζεται δύο βήματα. Πρώτον, αντιστοίχιση της 12ψήφιας μορφής και έλεγχος του ψηφίου Verhoeff. Δεύτερον, φιλτράρισμα βάσει πλαισίου. Δεν είναι κάθε 12ψήφια συμβολοσειρά Aadhaar.
Αμερικανικό SSN: Μια Γνωστή Δομή
Το SSN έχει εννέα ψηφία. Τα πρώτα τρία είναι ο αριθμός περιοχής. Τα επόμενα δύο είναι ο αριθμός ομάδας. Τα τελευταία τέσσερα είναι ο σειριακός αριθμός. Κάθε τμήμα έχει ορισμένους κανόνες. Η επικύρωση είναι καλά τεκμηριωμένη.
Το Κενό Μεταξύ Εργαλείων Μιας Χώρας και Παγκόσμιων Κανόνων
Αυτά τα τρία αναγνωριστικά δεν μοιράζονται καμία μορφή και κανένα κανόνα ελέγχου. Ένα εργαλείο κατασκευασμένο για αμερικανική χρήση θα εντοπίσει SSN. Μπορεί να χάσει τελείως CPF και Aadhaar.
Οι περισσότερες ομάδες ανακαλύπτουν αυτό το κενό όταν ρωτήσει ένας ρυθμιστής — όχι πριν. Το κενό δημιουργεί πραγματικό κίνδυνο υπό κάθε νόμο:
- GDPR Άρθρο 28 απαιτεί γραπτή Συμφωνία Επεξεργασίας Δεδομένων με κάθε επεξεργαστή. Μια DPIA που αναφέρει «εντοπισμός SSN» ως κύριο έλεγχο — όταν το σύνολο δεδομένων περιέχει επίσης αριθμούς CPF — έχει τεκμηριωμένο κενό. Ένας ελεγκτής μπορεί να το βρει.
- LGPD τα πρόστιμα μπορεί να φτάσουν το 2% των βραζιλιάνικων εσόδων, έως R$50M ανά παραβίαση. Ένα CPF που δεν εντοπίζεται είναι άμεση παραβίαση LGPD.
- DPDP η επιβολή είναι ακόμα νέα. Οι ομάδες που καταγράφουν τώρα την κάλυψή τους θα είναι σε καλύτερη θέση όταν οι πρώτες αποφάσεις ορίσουν το πρότυπο.
Τρία καθεστώτα προστίμων ταυτόχρονα δημιουργούν διαστρωματωμένο κίνδυνο. Εργαλεία μιας χώρας αφήνουν παγκόσμιες ομάδες εκτεθειμένες.
Τι Απαιτεί η Πλήρης Κάλυψη
Ένα εργαλείο χρειάζεται τη μορφή, τον αλγόριθμο ελέγχου και το νομικό πλαίσιο κάθε αναγνωριστικού. Το CPF χρειάζεται ένα αθροιστικό άθροισμα ελέγχου. Το Aadhaar χρειάζεται τον έλεγχο Verhoeff συν φιλτράρισμα πλαισίου. Το SSN χρειάζεται κανόνες περιοχής και ομάδας. Αυτά είναι τρία ξεχωριστά προβλήματα. Κανένα ενιαίο πρότυπο αναζήτησης δεν τα καλύπτει όλα.
Δείτε επίσης: παγκόσμιο κενό αναγνωριστικών PII: SSN, CPF, Aadhaar, οδηγός επιβολής LGPD Βραζιλίας ANPD και τεχνική συμμόρφωση νόμου απορρήτου DPDPA Ινδίας.