Globaalne isikuandmete vastavus: kolm seadust, kolm ID-vormingut
Britia turul tegutsev ettevote kasitleb myujatest dokumente 80 riigist. Korraga kehtivad kolm seadust: GDPR EL-i myujate jaoks, LGPD Brasiilia myujate jaoks ja India DPDP seadus India myujate jaoks. Iga seadus nimetab erinevad riiklikud ID-d kaitstutena. Igal vormingul on oma kontrollimisloogika.
Brasiilia CPF: vorming ja LGPD staatus
CPF (Cadastro de Pessoas Fisicas) on Brasiilia maksumaksja number. Sellel on 11 numbrit vormingus XXX.XXX.XXX-XX. Kaks viimast numbrit on kontrollinumbrid. Matemaatiline algoritm esimese uheksa numbri pohjal toodab need.
Brasiilia LGPD kasitleb CPF-i kaitstava isikliku identifikaatorina, tundlikkuselt sarnane USA SSN-iga. Toorits, mis ei tea CPF-i vormingut, ei suuda seda leida. See, mis jaatab kontrollsumma vahele, markleb valenegatiivseid.
India Aadhaar: vorming ja DPDP reeglid
Aadhaar on 12-kohaline number, mille annab valja India UIDAI. Numbrid on juhuslikult maaratletud. Viimane number on Verhoeff-i kontrollnumber.
India DPDP seadus loob kohustused igale grupile, kes kasitleb Aadhaariga seotud andmeid. Tuvastamine vajab kahte sammu. Esiteks, vastem 12-kohalise vormingu ja kontrollige Verhoeff-i numbrit. Teiseks, filtreeri konteksti jargi. Mitte iga 12-kohaline string ei ole Aadhaar.
USA SSN: tuntud struktuur
SSN-il on hheksa numbrit. Esimesed kolm on piirkonna number. Jarjargmised kaks on grupi number. Viimased neli on seeria number. Igal segmendil on kindlad reeglid. Valideerimine on hasti dokumenteeritud.
Lünk uheriiklike toriistade ja globaalsete reeglite vahel
Nendel kolmel ID-l pole uksainus uhtset vormingut ja kontrollreeglit. USA kasutamiseks loodud toorits tabab SSN-e. See voib CPF-i ja Aadhaar-i taielikult vahele jatta.
Enamik meeskondi leiab selle lünga siis, kui regulaator kusib - mitte varem. Lünk loob tegeliku riski iga seaduse alusel:
- GDPR artikkel 28 nab kirjalikku andmetootlemislepingut iga tootlejaga. DPIA, mis loetleb "SSN-i tuvastamist" peamise kontrollina - kui andmekogum sisaldab ka CPF-numbrite - on dokumenteeritud lunkidega. Audiitor saab seda leida.
- LGPD trahvid voivad ulada 2%-ni Brasiilia tulust, kuni R$50M rikkumise kohta. Tuvastamata CPF on otsene LGPD rikkumine.
- DPDP joustamine on endiselt uus. Meeskonnad, kes logige oma katvust praegu, on paremini valmis, kui esimesed otsused standardi kehtestavad.
Kolm trahvirežiimi korraga loovad kihistunud riski. Uheriiklikud toritsad jatavad globaalsed meeskonnad paljastunuks.
Mida taiskatvus eeldab
Toorits vajab iga ID vormingut, kontrollalgoritmi ja oiguslikku konteksti. CPF vajab modulaarset kontrollsummat. Aadhaar vajab Verhoeff-i kontrolli ning konteksti filtreerimist. SSN vajab piirkonna ja grupi reegleid. Need on kolm eraldiseisvat probleemi. Ukski uhtne otsingumuster ei kata koike neid.
Vaadake ka: globaalne isikuandmete identifikaatori lünk: SSN, CPF, Aadhaar, ANPD Brasiilia LGPD joustamise juhend ja DPDPA India privaatsusseaduse tehniline vastavus.