वैश्विक PII अनुपालन: तीन कानून, तीन ID प्रारूप
एक UK marketplace 80 देशों के विक्रेता दस्तावेज संभालती है। एक साथ तीन कानून लागू होते हैं: EU विक्रेताओं के लिए GDPR, ब्राजीलियाई विक्रेताओं के लिए LGPD, और भारतीय विक्रेताओं के लिए भारत का DPDP Act। प्रत्येक कानून अलग राष्ट्रीय ID को संरक्षित बताता है। प्रत्येक प्रारूप का अपना check logic है।
ब्राजीलियाई CPF: प्रारूप और LGPD स्थिति
CPF (Cadastro de Pessoas Físicas) ब्राजील का करदाता नंबर है। इसमें XXX.XXX.XXX-XX प्रारूप में 11 अंक होते हैं। अंतिम दो अंक check digits हैं। पहले नौ अंकों पर एक गणितीय एल्गोरिदम उन्हें उत्पन्न करता है।
ब्राजील का LGPD CPF को एक संरक्षित व्यक्तिगत पहचानकर्ता मानता है, जो संवेदनशीलता में अमेरिकी SSN के समान है। जो टूल CPF प्रारूप नहीं जानता वह उसे नहीं ढूंढ सकता। जो checksum छोड़ देता है वह गलत मिलान flag करेगा।
भारतीय Aadhaar: प्रारूप और DPDP नियम
Aadhaar भारत के UIDAI द्वारा जारी 12-अंकीय नंबर है। नंबर यादृच्छिक रूप से असाइन किए जाते हैं। अंतिम अंक एक Verhoeff check digit है।
भारत का DPDP Act Aadhaar-linked डेटा संभालने वाले किसी भी समूह के लिए दायित्व बनाता है। डिटेक्शन के लिए दो चरण चाहिए। पहले, 12-अंकीय प्रारूप से मिलान करें और Verhoeff digit जांचें। दूसरे, संदर्भ के अनुसार फ़िल्टर करें। हर 12-अंकीय string Aadhaar नहीं है।
अमेरिकी SSN: एक ज्ञात संरचना
SSN नौ अंकों का है। पहले तीन area number हैं। अगले दो group number हैं। अंतिम चार serial number हैं। प्रत्येक segment में निर्धारित नियम हैं। सत्यापन अच्छी तरह से documented है।
एकल-देश टूल और वैश्विक नियमों के बीच अंतराल
इन तीन ID में कोई प्रारूप और कोई check नियम साझा नहीं हैं। अमेरिकी उपयोग के लिए बना टूल SSN पकड़ेगा। वह CPF और Aadhaar पूरी तरह से छोड़ सकता है।
अधिकांश टीमें इस अंतराल को तब पाती हैं जब एक नियामक पूछता है — पहले नहीं। यह अंतराल प्रत्येक कानून के तहत वास्तविक जोखिम पैदा करता है:
- GDPR Article 28 को प्रत्येक processor के साथ एक लिखित Data Processing Agreement की आवश्यकता है। एक DPIA जो मुख्य नियंत्रण के रूप में "SSN detection" सूचीबद्ध करती है — जब dataset में CPF numbers भी हों — में एक documented अंतराल है। एक ऑडिटर उसे ढूंढ सकता है।
- LGPD जुर्माने ब्राजीलियाई राजस्व के 2% तक, प्रति उल्लंघन R$50M तक पहुंच सकते हैं। एक CPF जो अनपहचाना रहता है वह LGPD का सीधा उल्लंघन है।
- DPDP प्रवर्तन अभी नया है। जो टीमें अभी अपना कवरेज log करती हैं वे तब बेहतर स्थिति में होंगी जब शुरुआती फैसले मानक निर्धारित करेंगे।
एक साथ तीन जुर्माना व्यवस्थाएं स्तरित जोखिम पैदा करती हैं। एकल-देश टूल्स वैश्विक टीमों को उजागर छोड़ते हैं।
पूर्ण कवरेज के लिए क्या चाहिए
एक टूल को प्रत्येक ID के प्रारूप, check एल्गोरिदम और कानूनी संदर्भ की आवश्यकता है। CPF को modular checksum चाहिए। Aadhaar को Verhoeff check के साथ context filtering चाहिए। SSN को area और group नियम चाहिए। ये तीन अलग समस्याएं हैं। कोई एकल खोज पैटर्न उन सभी को कवर नहीं करता।
यह भी देखें: वैश्विक PII पहचानकर्ता अंतराल: SSN, CPF, Aadhaar, ANPD Brazil LGPD enforcement guide और DPDPA भारत privacy law तकनीकी अनुपालन।