세 가지 규제 문제
영국에 본사를 둔 글로벌 마켓플레이스는 80개국의 판매자 검증 문서를 처리하면서 세 가지 동시에 적용되는 규제 프레임워크에 직면해 있습니다: EU 기반 판매자를 위한 GDPR, 브라질 판매자를 위한 LGPD(Lei Geral de Proteção de Dados), 인도 판매자를 위한 인도의 디지털 개인 데이터 보호법(DPDP). 각 프레임워크는 특정 처리가 필요한 보호된 개인 데이터로서 서로 다른 국가 식별자를 지정합니다.
브라질 CPF (Cadastro de Pessoas Fisicas): 형식 XXX.XXX.XXX-XX를 가진 11자리 개인 납세자 식별 번호. 마지막 두 자리는 특정 모듈러 산술 알고리즘에서 파생된 체크 숫자입니다. 브라질 LGPD는 CPF를 자연인의 고유 식별자로 간주하며, 민감도 측면에서 SSN과 동등합니다. CPF 형식과 체크섬 알고리즘을 모르는 도구는 이를 탐지할 수 없습니다.
인도 Aadhaar: 인도 고유 식별 당국에서 발급한 12자리 생체 인식 신원 번호. CPF와 SSN과는 달리, Aadhaar 번호는 Verhoeff 알고리즘 체크 숫자가 있는 무작위로 할당됩니다. 인도의 DPDP 법은 Aadhaar와 연결된 데이터를 처리하는 조직에 의무를 부과합니다. 탐지에는 형식 인식(Verhoeff 체크가 있는 12자리 연속 숫자)과 맥락 인식 억제가 필요합니다(모든 12자리 숫자가 Aadhaar는 아닙니다).
미국 SSN: 문서화된 지역 번호 제약(첫 3자리), 그룹 번호 구조(중간 2자리) 및 일련 번호 범위(마지막 4자리)를 가진 9자리 사회 보장 번호. 검증 알고리즘은 확립되어 있으며 잘 문서화되어 있습니다.
이 세 가지 식별자는 서로 다른 형식, 서로 다른 검증 알고리즘 및 서로 다른 규제 맥락을 가지고 있습니다. 브라질, 인도 및 미국의 문서를 동시에 처리하는 준수 시스템은 한 국가의 형식에 맞춰 구축된 단일 도구에 의존할 수 없습니다.
실천에서의 다중 규제 격차
SSN 탐지와 글로벌 범위 간의 격차는 대부분의 준수 팀이 인식하는 것보다 더 큽니다. "우리 PII 도구가 작동하고 있다"고 확인하는 조직은 미국 데이터를 테스트할 때 비미국 형식에서 실패한다는 사실을 규제 사건이 발생할 때까지 발견하지 못합니다.
GDPR 제28조는 모든 데이터 처리자와 서면 데이터 처리 계약을 요구합니다. 익명화 도구에 대한 DPIA는 도구가 처리되는 데이터에 존재하는 모든 식별자 형식을 포함하는지 여부를 다루어야 합니다. 브라질 판매자의 CPF 번호가 포함된 데이터 세트에 대해 "SSN 탐지"를 주요 PII 통제로 나열하는 DPIA는 문서화된 준수 격차를 포함하고 있으며, 이는 규제 감사에서 식별될 수 있습니다.
GDPR의 4% 글로벌 연간 수익 최대 벌금, LGPD의 동등한 조항 및 DPDP의 새로운 집행이 결합되어 단일 국가 PII 탐지 도구에 의존하는 글로벌 조직에 대한 복합적인 규제 위험을 생성합니다.
출처: