За пределами номеров социального страхования и...

За пределами номеров социального страхования и адресов электронной почты: анонимизация пользовательских идентификаторов вашей организации

Ваш инструмент анонимизации GDPR обнаруживает адреса электронной почты. Он обнаруживает номера телефонов. Он обнаруживает имена и номера социального страхования. Вы пропускаете ваши экспорты тикетов поддержки через него, загружаете анонимизированный вывод и делитесь им с вашей аналитической командой.

Ваши номера учетных записей клиентов (формат ACC-XXXXXXXX-XX) все еще присутствуют в каждом тикете. Ваши идентификаторы заказов (ORD-XXXXXXX) все еще имеются. Ваши внутренние идентификаторы пользователей все еще там.

Эти идентификаторы являются псевдонимными в изоляции — они не идентифицируют человека напрямую без доступа к таблице сопоставления. Но ваша аналитическая команда имеет доступ к этой таблице сопоставления. Ваша база данных поддержки имеет ее. Ваш CRM имеет ее. Анонимизированный экспорт может быть повторно идентифицирован за секунды любым, у кого есть доступ к любой из этих систем.

Это провал псевдонимизации по GDPR — не потому, что инструмент пропустил стандартные PII, а потому, что он не мог знать о идентификаторах, специфичных для вашей организации.

Что обнаруживают стандартные инструменты PII

Стандартные инструменты обнаружения PII — включая базовые конфигурации Microsoft Presidio — построены вокруг универсальных форматов идентификаторов:

Что охватывается:

• Номера социального страхования (SSN США, NINO Великобритании, национальные форматы ID ЕС)
• Адреса электронной почты (формат RFC 5322)
• Номера телефонов (форматы E.164 и национальные)
• Номера кредитных карт (валидация алгоритма Луна)
• Имена (обнаружение на основе модели NER)
• Номера паспортов/водительских удостоверений (форматы, специфичные для страны)

Что не охватывается:

• Ваш формат идентификатора сотрудника (EMP-XXXXX)
• Ваш формат номера учетной записи клиента (ACC-XXXXXXXX-XX)
• Ваш формат идентификатора заказа (ORD-XXXXXXX)
• Ваш внутренний идентификатор пользователя (UUID или пользовательский формат)
• Ваши внутренние коды ссылок
• Идентификаторы, специфичные для партнеров

Стандартные инструменты обнаруживают то, что является универсальным. Идентификаторы, специфичные для организации, по определению не являются универсальными. Они требуют пользовательской настройки.

Риск повторной идентификации на практике

Финансовая компания обрабатывает тикеты поддержки клиентов для анализа качества. Их стандартный рабочий процесс анонимизации PII удаляет:

• Имена клиентов ✓
• Адреса электронной почты ✓
• Номера телефонов ✓
• Номера счетов (формат ACC-XXXXXXXX-XX) ✗ — не обнаружены

Экспорт тикетов отправляется аналитической команде. Аналитик данных соединяет таблицу тикетов с базой данных клиентов по номеру счета. Повторная идентификация немедленна и полна.

Это не требует сложных атакующих техник. Это рутинное SQL-соединение, которое любой аналитик выполнит, чтобы добавить демографический контекст клиентов к анализу тикетов поддержки. "Анонимизированный" экспорт не был анонимным.

Статья 4(5) GDPR определяет псевдонимизацию как "обработку персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации." Номера счетов не проходят этот тест, когда дополнительная информация (база данных клиентов) доступна.

Создание пользовательских шаблонов сущностей

Создание пользовательских сущностей следует простому рабочему процессу для непрофессиональных команд по соблюдению норм:

Шаг 1: Определите формат идентификатора Задокументируйте ваши идентификаторы, специфичные для организации, и их форматы:

• Учетная запись клиента: ACC-XXXXXXXX-XX (префикс ACC, 8-значное число, 2-символьный суффикс)
• Идентификатор заказа: ORD-XXXXXXX (префикс ORD, 7-значное число)
• Идентификатор сотрудника: EMP-XXXXX (префикс EMP, 5-значное число)
• Внутренний идентификатор пользователя: формат UUID (8-4-4-4-12 шестнадцатеричных)

Шаг 2: Сгенерируйте шаблон обнаружения Опишите формат простым языком: "Номера счетов, которые начинаются с ACC, затем дефис, затем 8 цифр, затем дефис, затем 2 заглавные буквы."

Сгенерированный с помощью ИИ шаблон производит: ACC-d{8}-[A-Z]{2}

Шаг 3: Проверьте на образцах данных Загрузите 20-30 документов, содержащих идентификатор. Проверьте:

• Все экземпляры обнаружены (нет ложных отрицательных)
• Нет ложных положительных (текст, не являющийся идентификатором, неправильно отмечен)

Шаг 4: Настройте метод анонимизации Для идентификаторов, используемых в качестве ключей соединения (идентификаторы заказов, которые появляются в нескольких системах и должны быть согласованными для анализа):

• Псевдонимизировать: Замените ACC-00123456-AB последовательно на ACC-99876543-XY во всех документах. Замена последовательна — тот же ввод всегда производит тот же вывод — поэтому аналитические соединения все еще работают. Исходное значение не может быть восстановлено без ключа.

Для идентификаторов, не нужных для анализа:

• Редактировать: Замените на [REDACTED]. Проще, необратимо.

Шаг 5: Сохраните как предустановку Пользовательская сущность (или несколько пользовательских сущностей), сохраненная как предустановка команды, применяется последовательно ко всем процессам — пакетным загрузкам, API-вызовам, интерфейсу браузера. Новые члены команды автоматически получают полную конфигурацию.

Кейс: 180,000 тикетов поддержки

Финансовая компания имеет номера учетных записей клиентов (формат ACC-XXXXXXXX-XX), которые появляются в исторических экспортных тикетах поддержки. Стандартные инструменты PII полностью их пропустили.

Обнаруженный разрыв: После проверки соблюдения норм команда поняла, что 180,000 исторических тикетов поддержки в их аналитическом хранилище содержат неотредактированные номера счетов наряду с (уже анонимизированными) именами и электронными адресами.

Сроки разрешения:

1. Специалист по соблюдению норм определяет шаблон ACC (15 минут)
2. Тест на 30 образцах тикетов (20 минут)
3. Подтверждение точности шаблона (10 минут)
4. Обработка 180,000 тикетов в ночной пакетной обработке
5. Замена таблиц хранилища на переанонимизированные версии

Общее время для закрытия разрыва в соблюдении норм: 45 минут времени специалиста по соблюдению норм + ночная пакетная обработка. Без создания пользовательских сущностей это потребовало бы тикет на инженерные работы, время разработки, проверку кода и развертывание — недели, а не часы.

За пределами тикетов поддержки: где появляются пользовательские идентификаторы

Пользовательские организационные идентификаторы распространяются на большее количество типов документов, чем большинство команд по соблюдению норм осознает:

Внутренние документы:

• Записи встреч, упоминающие номера счетов или идентификаторы заказов
• Электронные переписки с упоминаниями клиентов
• Презентации с данными из кейс-стадей

Делятся с третьими сторонами:

• Отчеты для регуляторов с номерами ссылок по делам
• Данные, переданные аудиторам
• Документы поставщиков с упоминаниями клиентов

Исследования и аналитика:

• Наборы данных анализа пути клиента
• Наборы данных обзора качества поддержки
• Данные для обучения внутренних моделей машинного обучения

Каждый из этих случаев требует той же пользовательской конфигурации сущностей для получения действительно анонимного вывода.

Псевдонимизация GDPR против анонимизации: техническое различие

GDPR различает:

Псевдонимизация: Данные, которые могут быть повторно идентифицированы при доступе к дополнительной информации. Псевдонимизированные данные все еще являются персональными данными по GDPR. Регламент поощряет псевдонимизацию как меру снижения рисков, но не снимает обязательства по GDPR.

Анонимизация: Данные, которые нельзя разумно повторно идентифицировать. Анонимные данные не являются персональными данными и не подлежат GDPR.

Номера счетов, идентификаторы заказов и идентификаторы сотрудников являются псевдонимными — не анонимными — когда существуют таблицы сопоставления. Замена их на последовательные псевдонимы (псевдонимизация) снижает риск, но не устраняет обязательства по GDPR. Замена их на случайные токены (анонимизация путем уничтожения ключа) устраняет обязательства по GDPR, но нарушает соединения.

Для обмена с третьими сторонами, которые не имеют доступа к вашим таблицам сопоставления: псевдонимизация может быть достаточной (они не могут повторно идентифицировать без ключа). Для внутренней аналитики: полная анонимизация или контроль доступа к ключу необходимы.

Заключение

Разрыв в стандартном обнаружении PII не является техническим ограничением алгоритмов обнаружения — это разрыв в конфигурации. Ни один инструмент обнаружения не может знать формат номера счета вашей организации, если вы ему не скажете.

Создание пользовательских сущностей закрывает этот разрыв за часы, а не недели. Команды по соблюдению норм — без инженерной поддержки — могут определить специфические для организации шаблоны, проверить их на образцах данных и применять их последовательно ко всем режимам обработки.

180,000 неотредактированных номеров счетов, обнаруженных в кейс-стадии, не были там из-за сбоя инструмента. Они были там, потому что инструмент никогда не был проинструктирован искать их.

Источники:

• Статьи 4(5), 5(1)(e) GDPR: Псевдонимизация и минимизация данных
• WP29/EDPB: Мнение 05/2014 о техниках анонимизации
• Microsoft Presidio: Документация по пользовательским распознавателям