ANSPDCP רומניה: זיהוי CNP ובדיקות GDPR

ANSPDCP רומניה: זיהוי CNP ובדיקות GDPR

עדכון ל-2026

גוף הנתונים של רומניה הוא ANSPDCP. הערכתו לשנת 2024 מצאה ש-78% מכלי ה-PII נכשלים בזיהוי ה-Cod Numeric Personal (CNP). רובם דוחים את שלב הסכום הביקורת. פער זה יוצר סיכון ציות אמיתי. רומניה מעבדת נתוני האיחוד האירופי ללקוחות מערביים רבים. החשיפה היא רחבה.

מזהה הלאומי העשיר ביותר בנתונים של רומניה

ה-CNP הוא מזהה לאומי בן 13 ספרות. כל קבוצת ספרות מכילה נתונים אישיים:

• ספרה 1: קוד מגדר ומאה. גבר שנולד 1900–1999 = 1. אישה שנולדה 1900–1999 = 2. גבר שנולד 2000+ = 5. אישה שנולדה 2000+ = 6. תושב זר גבר = 7. תושבת זרה = 8. תושב אחר = 9.
• ספרות 2–3: שתי הספרות האחרונות של שנת הלידה.
• ספרות 4–5: חודש הלידה (01–12).
• ספרות 6–7: יום הלידה (01–31).
• ספרות 8–9: קוד מחוז. מכסה 41 מחוזות ושישה רבעים של בוקרשט (קודים 01–52).
• ספרות 10–12: סדר לידה באותו יום ומחוז.
• ספרה 13: ספרת ביקורת.

ספרה 1 לבדה חושפת מין ביולוגי. על פי סעיף 9 ל-GDPR, הדבר הופך את המספר לנתון בקטגוריה מיוחדת. הוא זקוק להגנה חזקה יותר מאשר נתונים אישיים רגילים.

כיצד עובדת ספרת הביקורת: קח את 12 הספרות הראשונות. הכפל כל אחת במשקלה (2, 7, 9, 1, 4, 6, 3, 5, 8, 2, 7, 9). חבר את התוצאות. חלק ב-11 וקח את השארית. שארית של 10 נותנת ספרת ביקורת 1. שארית של 11 אומרת שהקוד אינו תקין. כל שארית אחרת היא ספרת הביקורת.

כלים שמדלגים על בדיקה זו כשלים בשתי דרכים. ראשית, כל מחרוזת בת 13 ספרות מסומנת כהתאמה (חיוביות שווא). שנית, מספר פגום עובר בדיקת תבנית אך מכיל נתונים שגויים.

בעיות NER במסמכים בשפה הרומנית

מציאת מזהים היא רק חלק מהעבודה. טקסט רומני מוסיף קשיי זיהוי נוספים.

סימני ניקוד: הרומנית משתמשת ב-ș, ț, ă, â ו-î. כלים שאומנו בשפות אחרות לרוב מפספסים שמות עם אותיות אלה. מסמכים ישנים בקידוד Latin-2 מוסיפים עוד כשלים.

פורמטי כתובות: סוגי רחובות משתמשים בצורות מקוצרות — Str., Bd., Al., Cal. שמות ערים וכפרים פועלים לפי כללים מקומיים.

נטיית שמות: שמות משנים צורה לפי מקרה דקדוקי ברומנית. שמו של אותו אדם נראה שונה בחלקים שונים של משפט. מודלי NER חייבים להתמודד עם כך.

כיצד פרשות ANSPDCP מתפתחות

מקרי ANSPDCP מראים שלושה דפוסים.

פרשות הפרת BPO: קבצים משותפים מכילים מספרי זהות עובדים ונתוני לקוחות אירופיים ללא הצפנה. יומנים ירודים אומרים שהחברה אינה יכולה לדעת אילו רשומות נגישו.

חשיפת בריאות: קבצי מטופלים — המזהה הלאומי, מספר כרטיס הבריאות והאבחנה — מגיעים לאדם הלא נכון. כלי ה-PII לא תמך בפורמט זה. הנתונים יצאו ללא מיסוך.

כשלי העברה חוצת גבולות: חברת מיקור חוץ שולחת רשומות מקושרות-מזהה לצד שאינו ב-EEA. ללא הערכת השפעת העברה. ללא סעיפים חוזיים סטנדרטיים. המעמד לפי סעיף 9 של הנתונים הופך פער שגרתי להפרה חמורה יותר.

שלושה בקרות לעמידה ב-ANSPDCP

אלה שלושה המינימום הטכני הבסיסי:

1. זיהוי CNP עם אימות מודולו-11 — התאמת תבנית בלבד אינה מספיקה.
2. NER מודעת לסימני ניקוד — כיסוי ș, ț, ă, â ו-î בקידוד UTF-8 ו-Latin-2 כאחד.
3. זיהוי תעודת זהות — כרטיס הזהות הלאומי מופיע לצד CNP בסוגי מסמכים רבים.

מקורות

• ANSPDCP: רשות הגנת הנתונים הרומנית
• ANSPDCP: הערכה טכנית 2024