Problemet med tre reguleringer
Et globalt marked basert i Storbritannia som behandler selgerverifiseringsdokumenter fra 80 land står overfor tre samtidige regulatoriske rammer: GDPR for selgere basert i EU, LGPD (Lei Geral de Proteção de Dados) for brasilianske selgere, og Indias Digital Personal Data Protection Act (DPDP) for indiske selgere. Hver rammeverk betegner forskjellige nasjonale identifikatorer som beskyttede personopplysninger som krever spesifikk håndtering.
Brasiliansk CPF (Cadastro de Pessoas Fisicas): Det 11-sifrede individuelle skatteidentifikasjonsnummeret med formatet XXX.XXX.XXX-XX. De to siste sifrene er kontrollsifre avledet fra en spesifikk modulær aritmetisk algoritme. Brasiliansk LGPD behandler CPF som en unik identifikator for fysiske personer — tilsvarende SSN når det gjelder sensitivitet. Et verktøy som ikke kjenner CPF-formatet og sjekkalgoritmen kan ikke oppdage det.
Indisk Aadhaar: Det 12-sifrede biometriske identitetsnummeret utstedt av Unique Identification Authority of India. I motsetning til CPF og SSN, blir Aadhaar-numre tilfeldig tildelt med et Verhoeff-algoritme kontrollsiffer. Indias DPDP-lov pålegger forpliktelser på organisasjoner som behandler Aadhaar-knyttede data. Deteksjon krever formatgjenkjenning (12 sammenhengende sifre med Verhoeff-sjekk) og kontekstbevisst undertrykkelse (ikke hvert 12-sifret nummer er en Aadhaar).
US SSN: Det 9-sifrede Social Security Number med dokumenterte områdenummerbegrensninger (de første 3 sifrene), gruppenummerstruktur (de midterste 2 sifrene), og serienummerområde (de siste 4 sifrene). Valideringsalgoritmer er etablerte og godt dokumenterte.
Disse tre identifikatorene har forskjellige formater, forskjellige valideringsalgoritmer, og forskjellige regulatoriske kontekster. Et overholdelsessystem som behandler dokumenter fra Brasil, India, og USA samtidig kan ikke stole på noe enkelt verktøy bygget for ett lands format.
Gapet mellom flere reguleringer i praksis
Gapet mellom SSN-detektering og global dekning er større enn de fleste overholdelsesteamene innser. Organisasjoner som verifiserer "vårt PII-verktøy fungerer" ved å teste det mot amerikanske data oppdager aldri at det feiler på ikke-amerikanske formater før en regulatorisk hendelse avdekker feilen.
GDPR Artikkel 28 krever en skriftlig databehandleravtale med hver databehandler. DPIA for anonymiseringsverktøyet må adressere om verktøyet dekker alle identifikatorformater som er til stede i dataene som behandles. En DPIA som lister "SSN-detektering" som den primære PII-kontrollen for et datasett som inneholder brasilianske selgere med CPF-numre inneholder et dokumentert overholdelsesgap — et som kan identifiseres i en regulatorisk revisjon.
Kombinasjonen av GDPRs 4% globale årlige inntektsmaksimalbot, LGPDs tilsvarende bestemmelser, og DPDPs fremvoksende håndheving skaper sammensatt regulatorisk risiko for globale organisasjoner som er avhengige av enkeltlands PII-detekteringsverktøy.
Kilder: