तीन-नियामक समस्या
एक UK-आधारित वैश्विक मार्केटप्लेस जो 80 देशों से विक्रेता सत्यापन दस्तावेज़ों को संसाधित करता है, तीन समानांतर नियामक ढांचों का सामना करता है: EU-आधारित विक्रेताओं के लिए GDPR, ब्राज़ील के विक्रेताओं के लिए LGPD (Lei Geral de Proteção de Dados), और भारत के विक्रेताओं के लिए भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (DPDP)। प्रत्येक ढांचा विभिन्न राष्ट्रीय पहचानकर्ताओं को संरक्षित व्यक्तिगत डेटा के रूप में नामित करता है, जिन्हें विशेष प्रबंधन की आवश्यकता होती है।
ब्राज़ीलियन CPF (Cadastro de Pessoas Fisicas): 11-अंकों की व्यक्तिगत करदाता पहचान संख्या जिसका प्रारूप XXX.XXX.XXX-XX है। अंतिम दो अंक एक विशिष्ट मौड्यूलर अंकगणितीय एल्गोरिदम से निकाले गए चेक अंक हैं। ब्राज़ीलियन LGPD CPF को प्राकृतिक व्यक्तियों के लिए एक अद्वितीय पहचानकर्ता के रूप में मानता है — संवेदनशीलता के मामले में SSN के समकक्ष। एक उपकरण जो CPF प्रारूप और चेकसम एल्गोरिदम को नहीं जानता, उसे पहचान नहीं सकता।
भारतीय आधार: 12-अंकों की बायोमेट्रिक पहचान संख्या जो भारत की अद्वितीय पहचान प्राधिकरण द्वारा जारी की जाती है। CPF और SSN के विपरीत, आधार नंबर यादृच्छिक रूप से वेरहॉफ एल्गोरिदम चेक अंक के साथ सौंपे जाते हैं। भारत का DPDP अधिनियम आधार से जुड़े डेटा को संसाधित करने वाले संगठनों पर दायित्व लगाता है। पहचान के लिए प्रारूप मान्यता (12 लगातार अंक वेरहॉफ चेक के साथ) और संदर्भ-सचेत दमन (हर 12-अंकीय संख्या आधार नहीं होती) की आवश्यकता होती है।
US SSN: 9-अंकों की सामाजिक सुरक्षा संख्या जिसमें दस्तावेजित क्षेत्र संख्या सीमाएँ (पहले 3 अंक), समूह संख्या संरचना (बीच के 2 अंक), और अनुक्रम संख्या सीमा (अंतिम 4 अंक) होती हैं। मान्यता एल्गोरिदम स्थापित और अच्छी तरह से दस्तावेजित हैं।
इन तीन पहचानकर्ताओं के विभिन्न प्रारूप, विभिन्न मान्यता एल्गोरिदम, और विभिन्न नियामक संदर्भ हैं। एक अनुपालन प्रणाली जो ब्राज़ील, भारत, और US से दस्तावेज़ों को एक साथ संसाधित करती है, किसी एक देश के प्रारूप के लिए निर्मित किसी भी एकल उपकरण पर निर्भर नहीं रह सकती।
व्यावहारिकता में बहु-नियामक अंतर
SSN पहचान और वैश्विक कवरेज के बीच का अंतर अधिकांश अनुपालन टीमों को यह एहसास नहीं होता है। संगठन जो "हमारा PII उपकरण काम कर रहा है" यह सत्यापित करते हैं कि यह US डेटा के खिलाफ परीक्षण करके कभी नहीं पता लगाते कि यह गैर-US प्रारूपों पर विफल हो जाता है जब तक कि एक नियामक घटना विफलता को सामने नहीं लाती।
GDPR अनुच्छेद 28 हर डेटा प्रोसेसर के साथ एक लिखित डेटा प्रोसेसिंग समझौते की आवश्यकता करता है। अनामकरण उपकरण के लिए DPIA को यह संबोधित करना चाहिए कि क्या उपकरण उन सभी पहचानकर्ता प्रारूपों को कवर करता है जो संसाधित डेटा में मौजूद हैं। एक DPIA जो "SSN पहचान" को एक डेटा सेट के लिए प्राथमिक PII नियंत्रण के रूप में सूचीबद्ध करता है जिसमें ब्राज़ीलियन विक्रेताओं के CPF नंबर होते हैं, एक दस्तावेजित अनुपालन अंतर रखता है — जिसे एक नियामक ऑडिट में पहचाना जा सकता है।
GDPR के 4% वैश्विक वार्षिक राजस्व अधिकतम जुर्माना, LGPD के समकक्ष प्रावधान, और DPDP के उभरते प्रवर्तन का संयोजन वैश्विक संगठनों के लिए संकुचन नियामक जोखिम उत्पन्न करता है जो एकल-देश PII पहचान उपकरणों पर निर्भर करते हैं।
स्रोत: