Проблема трех регуляций
Глобальная торговая площадка, расположенная в Великобритании и обрабатывающая документы для проверки продавцов из 80 стран, сталкивается с тремя одновременно действующими регуляторными рамками: GDPR для продавцов из ЕС, LGPD (Lei Geral de Proteção de Dados) для бразильских продавцов и Закон о цифровой защите персональных данных Индии (DPDP) для индийских продавцов. Каждая рамка обозначает разные национальные идентификаторы как защищенные персональные данные, требующие специфического обращения.
Бразильский CPF (Cadastro de Pessoas Fisicas): 11-значный номер индивидуального налогоплательщика с форматом XXX.XXX.XXX-XX. Последние две цифры являются контрольными цифрами, полученными из специфического алгоритма модульной арифметики. Бразильский LGPD рассматривает CPF как уникальный идентификатор для физических лиц — эквивалентный SSN с точки зрения чувствительности. Инструмент, который не знает формат CPF и алгоритм контрольной суммы, не может его обнаружить.
Индийский Aadhaar: 12-значный биометрический идентификационный номер, выданный Управлением уникальной идентификации Индии. В отличие от CPF и SSN, номера Aadhaar назначаются случайным образом с контрольной цифрой по алгоритму Вергоффа. Закон DPDP Индии накладывает обязательства на организации, обрабатывающие данные, связанные с Aadhaar. Обнаружение требует распознавания формата (12 последовательных цифр с контрольной цифрой Вергоффа) и контекстно-зависимого подавления (не каждое 12-значное число является Aadhaar).
Американский SSN: 9-значный номер социального страхования с документированными ограничениями по номеру области (первые 3 цифры), структурой номера группы (средние 2 цифры) и диапазоном серийного номера (последние 4 цифры). Алгоритмы валидации установлены и хорошо задокументированы.
Эти три идентификатора имеют разные форматы, разные алгоритмы валидации и разные регуляторные контексты. Система соблюдения, обрабатывающая документы из Бразилии, Индии и США одновременно, не может полагаться на какой-либо единственный инструмент, созданный для формата одной страны.
Пробел в многоуровневом регулировании на практике
Пробел между обнаружением SSN и глобальным охватом больше, чем осознают большинство команд по соблюдению. Организации, которые проверяют "наш инструмент PII работает", тестируя его на данных из США, никогда не обнаруживают, что он не справляется с неамериканскими форматами, пока не возникнет регуляторное событие, выявляющее эту неудачу.
Статья 28 GDPR требует письменного соглашения о обработке данных с каждым обработчиком данных. Оценка воздействия на защиту данных (DPIA) для инструмента анонимизации должна учитывать, охватывает ли инструмент все форматы идентификаторов, присутствующие в обрабатываемых данных. DPIA, в которой "обнаружение SSN" указано как основной контроль PII для набора данных, содержащего бразильских продавцов с номерами CPF, содержит документированный пробел в соблюдении — тот, который может быть выявлен в регуляторном аудите.
Сочетание максимального штрафа в 4% от глобального годового дохода по GDPR, эквивалентных положений LGPD и возникающего принуждения DPDP создает нарастающий регуляторный риск для глобальных организаций, которые полагаются на инструменты обнаружения PII одной страны.
Источники: