Kolmen sääntelyn ongelma
UK:ssa sijaitseva globaali markkinapaikka, joka käsittelee myyjäverifiointiasiakirjoja 80 maasta, kohtaa kolme samanaikaista sääntelykehystä: GDPR EU:ssa sijaitseville myyjille, LGPD (Lei Geral de Proteção de Dados) brasilialaisille myyjille ja Intian digitaalisen henkilötietojen suojaamisen lain (DPDP) intialaisille myyjille. Jokainen kehys määrittelee erilaiset kansalliset tunnisteet suojatuiksi henkilötiedoiksi, jotka vaativat erityistä käsittelyä.
Brasilian CPF (Cadastro de Pessoas Fisicas): 11-numeroinen yksittäinen veronmaksajatunnus muodossa XXX.XXX.XXX-XX. Viimeiset kaksi numeroa ovat tarkistusnumeroita, jotka on johdettu tietystä modulaarisesta aritmeettisesta algoritmista. Brasilian LGPD pitää CPF:tä ainutlaatuisena tunnisteena luonnollisille henkilöille — vastaava kuin SSN herkkyyden osalta. Työkalu, joka ei tunne CPF:n muotoa ja tarkistusalgoritmia, ei voi tunnistaa sitä.
Intian Aadhaar: 12-numeroinen biometrinen henkilötunnus, jonka myöntää Intian ainutkertainen tunnistusviranomainen. Toisin kuin CPF ja SSN, Aadhaar-numerot on satunnaisesti määritetty Verhoeff-algoritmin tarkistusnumerolla. Intian DPDP-laki asettaa velvoitteita Aadhaar-yhteyksissä käsitteleville organisaatioille. Tunnistaminen vaatii muodon tunnistamista (12 peräkkäistä numeroa Verhoeff-tarkistuksella) ja kontekstitietoista tukahduttamista (ei jokainen 12-numeroinen luku ole Aadhaar).
Yhdysvaltojen SSN: 9-numeroinen sosiaaliturvatunnus, jossa on asiakirjoihin perustuvia alueenumerorajoituksia (ensimmäiset 3 numeroa), ryhmänumerorakenne (keskimmäiset 2 numeroa) ja sarjanumeroväli (viimeiset 4 numeroa). Validointialgoritmit ovat vakiintuneita ja hyvin dokumentoituja.
Nämä kolme tunnistetta ovat erilaisissa muodoissa, erilaisissa validointialgoritmeissa ja erilaisissa sääntelykonteksteissa. Yhteensopivuusjärjestelmä, joka käsittelee asiakirjoja Brasiliasta, Intiasta ja Yhdysvalloista samanaikaisesti, ei voi luottaa mihinkään yksittäiseen työkaluun, joka on rakennettu yhden maan muotoa varten.
Monisääntelyaukko käytännössä
Aukko SSN-tunnistuksen ja globaalin kattavuuden välillä on suurempi kuin useimmat yhteensopivuustiimit ymmärtävät. Organisaatiot, jotka vahvistavat "PII-työkalumme toimii" testaamalla sitä Yhdysvaltojen tietojen perusteella, eivät koskaan huomaa, että se epäonnistuu ei-yhdysvaltalaisissa muodoissa ennen kuin sääntelytapahtuma tuo epäonnistumisen esiin.
GDPR:n artikla 28 vaatii kirjallisen tietojenkäsittelysopimuksen jokaisen tietojenkäsittelijän kanssa. Anonymisointityökalun DPIA:n on käsiteltävä, katetaanko työkalu kaikki tunnistemuodot, jotka ovat läsnä käsiteltävissä tiedoissa. DPIA, joka luettelee "SSN-tunnistus" ensisijaisena PII-valvontana datasetissä, joka sisältää brasilialaisia myyjiä, joilla on CPF-numerot, sisältää dokumentoidun yhteensopivuusaukon — sellaisen, joka voidaan tunnistaa sääntelytarkastuksessa.
Yhdistelmä GDPR:n 4 %:n globaali vuotuinen enimmäissakko, LGPD:n vastaavat määräykset ja DPDP:n kehittyvä täytäntöönpano luo moninkertaista sääntelyriskiä globaaleille organisaatioille, jotka luottavat yhden maan PII-tunnistustyökaluihin.
Lähteet: