Проблема трёх регуляторных режимов
Британский международный маркетплейс, обрабатывающий верификационные документы продавцов из 80 стран, одновременно работает в трёх регуляторных системах: GDPR — для продавцов из ЕС, LGPD (Lei Geral de Proteção de Dados) — для бразильских продавцов, и индийский Закон о защите цифровых персональных данных (DPDP) — для продавцов из Индии. Каждый режим определяет собственные национальные идентификаторы как охраняемые персональные данные, требующие специального обращения.
Бразильский CPF (Cadastro de Pessoas Fisicas): 11-значный индивидуальный налоговый идентификатор формата XXX.XXX.XXX-XX. Последние две цифры — контрольные, вычисленные по алгоритму модульной арифметики. Бразильский LGPD рассматривает CPF как уникальный идентификатор физического лица — по чувствительности он сопоставим с американским SSN. Инструмент, не знающий формата и алгоритма проверки CPF, не способен его обнаружить.
Индийский Aadhaar: 12-значный биометрический идентификатор, выдаваемый Unique Identification Authority of India. В отличие от CPF и SSN, номера Aadhaar присваиваются случайно, а контрольная цифра вычисляется по алгоритму Верхоффа. Индийский DPDP накладывает обязательства на организации, обрабатывающие данные, привязанные к Aadhaar. Обнаружение требует распознавания формата (12 последовательных цифр с контрольной по Верхоффу) и контекстной фильтрации (не каждая последовательность из 12 цифр — Aadhaar).
Американский SSN: 9-значный номер социального страхования с задокументированными ограничениями на коды регионов (первые 3 цифры), структуру групп (средние 2 цифры) и диапазон серийных номеров (последние 4 цифры). Алгоритмы валидации хорошо известны.
Эти три идентификатора имеют разные форматы, разные алгоритмы валидации и разные регуляторные контексты. Система соответствия, одновременно обрабатывающая документы из Бразилии, Индии и США, не может полагаться на инструмент, созданный для одной страны.
Глобальный пробел в покрытии на практике
Разрыв между обнаружением SSN и глобальным покрытием больше, чем большинство команд соответствия себе представляют. Организации, которые проверяют «работоспособность» своего инструмента исключительно на американских данных, не обнаруживают сбоев на неамериканских форматах — до тех пор, пока их не выявит регуляторное событие.
Статья 28 GDPR требует заключения Соглашения об обработке данных с каждым обработчиком. Оценка воздействия на защиту данных (DPIA) инструмента анонимизации должна учитывать, охватывает ли инструмент все форматы идентификаторов, присутствующих в обрабатываемых данных. DPIA, фиксирующая «обнаружение SSN» в качестве основного контроля персональных данных для датасета с бразильскими продавцами, имеющими CPF, содержит задокументированный пробел в соответствии — тот, который может быть выявлен в ходе регуляторного аудита.
Сочетание максимального штрафа GDPR в размере 4% мирового годового оборота, аналогичных положений LGPD и формирующегося правоприменения DPDP создаёт кумулятивный регуляторный риск для глобальных организаций, полагающихся на инструменты обнаружения персональных данных одной страны.
Источники: