anonym.legal
Назад к блогуGDPR и соблюдение

Соблюдение GDPR в странах ЕС: какие национальные...

Номер налоговой идентификации Германии, номер налогоплательщика Франции, код фискала Италии, NIF/NIE Испании — инструменты PII...

April 20, 20267 мин чтения
EU national identifiersSteueridentifikationsnummerCodice FiscaleNIFmultinational GDPRtax ID detection

Соблюдение GDPR в странах ЕС: какие национальные идентификаторы отсутствуют в вашем инструменте PII

Номера налоговой идентификации являются одними из самых чувствительных личных идентификаторов в любой юрисдикции. Они используются для налоговой отчетности, государственных пособий, проверки занятости и открытия финансовых счетов. В неправильных руках они позволяют совершать кражу личных данных, мошенничество и несанкционированные заявки на пособия.

GDPR классифицирует их как обычные персональные данные (не специальной категории), но их чувствительность высока, и их раскрытие создает значительный риск в реальном мире. Каждое государство-член ЕС имеет свой собственный формат национального идентификатора — и большинство инструментов PII, созданных для рынка США или Великобритании, свободно обнаруживают SSN и NINO, полностью пропуская Steueridentifikationsnummer, Codice Fiscale и BSN, которые европейские организации обрабатывают ежедневно.

Ландшафт налоговых идентификаторов в Европе

Каждое государство-член ЕС реализует национальную идентификацию по-разному:

Германия: Steueridentifikationsnummer (Steuer-ID)

  • 11 цифр, присваивается при рождении
  • Формат: первая цифра не ноль, без ведущих нулей в 10-значной части
  • Пример: 12345678901
  • Также: Steuernummer (варьируется по штатам: 10-11 цифр с форматами, специфичными для штата)

Франция: Numéro fiscal de référence (SPI)

  • 13 цифр
  • Выдается налоговой администрацией (DGFiP)
  • Часто появляется как "Identifiant fiscal" в налоговых документах

Италия: Codice Fiscale

  • 16 алфавитно-цифровых символов
  • Структура: 3 буквы (фамилия) + 3 буквы (имя) + 2 цифры (год рождения) + 1 буква (месяц) + 2 цифры (день) + 4 алфавитно-цифровых (код муниципалитета)
  • Пример: RSSMRA85M01H501Z
  • Формат с высокой специфичностью, проверяемый по контрольной сумме

Испания: NIF (Número de Identificación Fiscal)

  • Для испанских граждан: номер DNI + контрольная буква (8 цифр + буква), например, 12345678A
  • Для иностранцев: NIE (X/Y/Z + 7 цифр + буква), например, X1234567A
  • Для юридических лиц: CIF (буква + 8 цифр), например, B12345678

Нидерланды: BSN (Burgerservicenummer)

  • 9 цифр с проверкой контрольной цифры (алгоритм 11-proef)
  • Используется для всех государственных услуг и часто появляется в документах о занятости и пособиях

Польша: PESEL

  • 11 цифр, кодирующих дату рождения, пол и порядковый номер
  • Формат: YYMMDDXXXXX (дата рождения закодирована в первых 6 цифрах)

Бельгия: Numéro de registre national (RN)

  • 11 цифр, кодирующих дату рождения, последовательность и контрольные цифры

Португалия: NIF (Número de Identificação Fiscal)

  • 9 цифр с контрольной цифрой
  • Формат отличается от испанского NIF, несмотря на одинаковую аббревиатуру

Швеция: Personnummer

  • 10 или 12 цифр, кодирующих дату рождения и последовательность
  • Формат: YYYYMMDD-XXXX или YYMMDD-XXXX

Финляндия: Henkilötunnus (HETU)

  • 11 символов, кодирующих дату, разделитель, последовательность и контрольную цифру
  • Формат: DDMMYY-XXXC

Что пропускают стандартные инструменты

Инструменты обнаружения PII, созданные для рынков США/Великобритании, обычно включают:

  • SSN США (XXX-XX-XXXX)
  • NINO Великобритании (XX 99 99 99 X)
  • Номера паспортов США
  • Шаблоны водительских удостоверений США
  • Номера основных кредитных карт

Европейские национальные идентификаторы — даже такие важные, как Codice Fiscale, BSN и Steuer-ID — часто отсутствуют в стандартных конфигурациях. Инструменты, которые поддерживают стандартный набор распознавателей Presidio без расширений, специфичных для ЕС, полностью пропустят их.

Операционное воздействие для многонациональных организаций

Немецкая компания по аутсорсингу зарплат обрабатывает документы для 500 клиентских компаний. Их рабочий процесс анонимизации правильно удаляет:

  • Имена сотрудников ✓
  • Адреса электронной почты ✓
  • Номера IBAN ✓
  • Номера телефонов ✓
  • Немецкие Steueridentifikationsnummern ✗ — не в их стандартной конфигурации

Вывод аудита DPA отмечает, что PDF-файлы расчетных листков, переданные клиентским бухгалтерским отделам, содержат неразмеченные Steuer-IDs. Компания сталкивается с:

  • Стоимостью исправления для исторических документов
  • Мерами принуждения DPA (возможный штраф по статье 83 GDPR)
  • Договорной ответственностью перед клиентами, чьи данные сотрудников были раскрыты

Пробел в соблюдении не был обнаружен проактивно — его обнаружил регулятор.

Добавление национальных идентификаторов ЕС: приоритетный список

Для организаций, работающих в нескольких юрисдикциях ЕС, порядок приоритета для настройки пользовательских сущностей:

Уровень 1 (наивысший объем обработки данных):

  1. Германия: Steueridentifikationsnummer (документы с высокой занятостью)
  2. Франция: Numéro fiscal (документы по заработной плате, налоговые документы)
  3. Италия: Codice Fiscale (очень распространен, появляется во всех официальных документах)
  4. Испания: NIF/NIE (документы по заработной плате, контракты, налоговые документы)
  5. Нидерланды: BSN (занятость, государственные пособия)

Уровень 2 (значительные, но меньшие рынки): 6. Польша: PESEL (растущее значение с увеличением размера рабочей силы Польши) 7. Бельгия: RN (в Бельгии расположено много учреждений ЕС) 8. Швеция: Personnummer (высокая осведомленность о конфиденциальности, строгая реализация) 9. Португалия: NIF (растущий технологический сектор) 10. Австрия: Sozialversicherungsnummer (в контексте социального обеспечения)

Уровень 3 (конкретные случаи использования): Оставшиеся 17 государств-членов ЕС в зависимости от того, где ваша организация обрабатывает данные.

Пример реализации: добавление Steueridentifikationsnummer

Номер налоговой идентификации Германии (Steuer-ID) следует определенному формату, который можно обнаружить с высокой точностью:

Характеристики шаблона:

  • 11 цифр
  • Первая цифра: 1-9 (никогда 0)
  • Нет трех одинаковых последовательных цифр
  • Проверка контрольной цифры (пользовательский алгоритм)

Описание на простом языке для генерации шаблона: "Номера налоговой идентификации Германии: 11-значные номера, где первая цифра находится между 1 и 9, а оставшиеся 10 цифр могут включать нули"

Сгенерированный шаблон: Проверенный regex для Steueridentifikationsnummer с соответствующим контекстом (окружающий контекст налогового документа на немецком языке улучшает точность)

Проверка: Тестирование на выборке немецких расчетных листков и налоговых сертификатов. Проверка коэффициента обнаружения и уровня ложных срабатываний перед развертыванием в производстве.

Интеграция: Добавьте в вашу предустановку обработки документов на немецком языке. Если обрабатываете наборы документов на нескольких языках, комбинируйте с определением языка, чтобы применять соответствующие шаблоны национальных идентификаторов в зависимости от языка.

Обработка нескольких национальных идентификаторов в одном рабочем процессе

Для многонациональных обработчиков зарплат, работающих с документами из нескольких стран ЕС:

Вариант 1: Отдельные предустановки для каждой страны Создайте предустановку "Германия GDPR", предустановку "Франция GDPR" и т. д. Применяйте соответствующую предустановку в зависимости от происхождения документа.

Вариант 2: Объединенная предустановка ЕС Создайте одну предустановку со всеми активными шаблонами национальных идентификаторов ЕС. Более высокий риск ложных срабатываний для общего текста (11-значные номера, которые совпадают с шаблоном Steuer-ID, но не являются налоговыми идентификаторами), но проще в операционном плане. Подходит для типов документов, где национальные идентификаторы ожидаются на протяжении всего текста.

Для документов по заработной плате: Вариант 1 (предустановки, специфичные для страны) с соответствующей маршрутизацией Для смешанных наборов документов: Вариант 2 с настройкой порога

Заключение

GDPR применяется единообразно по всему ЕС, но инструменты обнаружения PII, созданные для рынков США, часто этого не делают. Codice Fiscale, BSN и Steueridentifikationsnummer столь же чувствительны, как и SSN — и так же вероятно появление в документах, которые организации обмениваются, экспортируют и анализируют.

Создание пользовательских сущностей закрывает пробел в обнаружении для любого формата национального идентификатора за считанные часы. Команды по соблюдению могут добавить шаблон Steuer-ID, протестировать его на выборке немецких расчетных листков и развернуть во все рабочие процессы обработки без ожидания, пока поставщик инструмента добавит его в свою стандартную конфигурацию.

Вывод аудита DPA, который обнаружил отсутствие обнаружения Steuer-ID, мог бы быть выявлен в ходе проактивного обзора соблюдения, который занял бы полдня.

Источники:

Связанные статьи

GDPR и соблюдение

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и соблюдение

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и соблюдение

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готовы защитить ваши данные?

Начните анонимизацию PII с 285+ типов сущностей на 48 языках.

Начать бесплатный пробный периодПосмотреть функции