การปฏิบัติตาม GDPR ทั่วประเทศสมาชิก EU: ตัวระบุระดับชาติใดที่เครื่องมือ PII ของคุณพลาด
หมายเลขประจำตัวผู้เสียภาษีเป็นหนึ่งในตัวระบุส่วนบุคคลที่ละเอียดอ่อนที่สุดในทุกเขตอำนาจ ใช้สำหรับการรายงานภาษี สวัสดิการรัฐบาล การยืนยันการจ้างงาน และการเปิดบัญชีทางการเงิน
GDPR จัดประเภทเป็นข้อมูลส่วนบุคคลทั่วไป (ไม่ใช่ประเภทพิเศษ) แต่ความละเอียดอ่อนสูงและการเปิดเผยสร้างความเสี่ยงในโลกจริงที่มีนัยสำคัญ ประเทศสมาชิก EU แต่ละประเทศมีรูปแบบตัวระบุระดับชาติของตนเอง — และเครื่องมือ PII ส่วนใหญ่ที่สร้างสำหรับตลาด US หรือ UK ตรวจจับ SSN และ NINO ได้คล่องในขณะที่พลาด Steueridentifikationsnummer, Codice Fiscale และ BSN ที่องค์กรในยุโรปประมวลผลทุกวัน
ภูมิทัศน์ Tax ID ของยุโรป
ประเทศสมาชิก EU แต่ละประเทศดำเนินการระบุตัวตนระดับชาติแตกต่างกัน:
เยอรมนี: Steueridentifikationsnummer (Steuer-ID)
- 11 หลัก กำหนดตั้งแต่แรกเกิด
- รูปแบบ: หลักแรกไม่ใช่ศูนย์
- ตัวอย่าง: 12345678901
- นอกจากนี้: Steuernummer (แตกต่างตามรัฐ: 10-11 หลักพร้อมรูปแบบเฉพาะรัฐ)
ฝรั่งเศส: Numéro fiscal de référence (SPI)
- 13 หลัก
- ออกโดยกรมสรรพากร (DGFiP)
- มักปรากฏเป็น "Identifiant fiscal" ในเอกสารภาษี
อิตาลี: Codice Fiscale
- 16 ตัวอักษรผสม
- โครงสร้าง: 3 ตัวอักษร (นามสกุล) + 3 ตัวอักษร (ชื่อ) + 2 หลัก (ปีเกิด) + 1 ตัวอักษร (เดือน) + 2 หลัก (วัน) + 4 ตัวอักษรผสม (รหัสเทศบาล)
- ตัวอย่าง: RSSMRA85M01H501Z
- รูปแบบความจำเพาะสูง ตรวจสอบได้ด้วย checksum
สเปน: NIF (Número de Identificación Fiscal)
- สำหรับพลเมืองสเปน: หมายเลข DNI + ตัวอักษรตรวจสอบ (8 หลัก + ตัวอักษร) เช่น 12345678A
- สำหรับชาวต่างชาติ: NIE (X/Y/Z + 7 หลัก + ตัวอักษร) เช่น X1234567A
เนเธอร์แลนด์: BSN (Burgerservicenummer)
- 9 หลักพร้อมการตรวจสอบ check digit (อัลกอริทึม 11-proef)
โปแลนด์: PESEL
- 11 หลักเข้ารหัสวันเกิด เพศ และหมายเลขลำดับ
เบลเยียม: Numéro de registre national (RN)
- 11 หลักเข้ารหัสวันเกิด ลำดับ และ check digits
สวีเดน: Personnummer
- 10 หรือ 12 หลักเข้ารหัสวันเกิดและลำดับ
ฟินแลนด์: Henkilötunnus (HETU)
- 11 ตัวอักษรเข้ารหัสวันที่ ตัวคั่น ลำดับ และ check digit
- รูปแบบ: DDMMYY-XXXC
สิ่งที่เครื่องมือมาตรฐานพลาด
เครื่องมือตรวจจับ PII ที่สร้างสำหรับตลาด US/UK มักรวม:
- US SSN (XXX-XX-XXXX)
- UK NINO (XX 99 99 99 X)
- หมายเลขหนังสือเดินทาง US
- รูปแบบใบอนุญาตขับขี่ US
- หมายเลขบัตรเครดิตหลัก
ตัวระบุระดับชาติของยุโรป — แม้แต่ Codice Fiscale, BSN และ Steuer-ID ที่สำคัญ — มักไม่มีในการกำหนดค่าเริ่มต้น
ผลกระทบในการดำเนินงานสำหรับองค์กรข้ามชาติ
บริษัทจัดการเงินเดือนของเยอรมนีประมวลผลเอกสารสำหรับบริษัทลูกค้า 500 แห่ง กระบวนการทำข้อมูลนิรนามของพวกเขาลบออกอย่างถูกต้อง:
- ชื่อพนักงาน ✓
- ที่อยู่อีเมล ✓
- หมายเลข IBAN ✓
- หมายเลขโทรศัพท์ ✓
- Steueridentifikationsnummern ✗ — ไม่อยู่ในการกำหนดค่ามาตรฐานของพวกเขา
การค้นพบการตรวจสอบ DPA ระบุว่า PDF ของสลิปเงินเดือนที่แชร์กับแผนกบัญชีของลูกค้ามี Steuer-ID ที่ไม่ได้ปิดบัง
รายการลำดับความสำคัญสำหรับการเพิ่มตัวระบุระดับชาติ EU
ระดับ 1 (ปริมาณการประมวลผลข้อมูลสูงสุด):
- เยอรมนี: Steueridentifikationsnummer
- ฝรั่งเศส: Numéro fiscal
- อิตาลี: Codice Fiscale
- สเปน: NIF/NIE
- เนเธอร์แลนด์: BSN
ระดับ 2 (ตลาดสำคัญแต่เล็กกว่า): 6. โปแลนด์: PESEL 7. เบลเยียม: RN 8. สวีเดน: Personnummer 9. โปรตุเกส: NIF 10. ออสเตรีย: Sozialversicherungsnummer
ตัวอย่างการนำไปใช้: การเพิ่ม Steueridentifikationsnummer
ลักษณะ Pattern:
- 11 หลัก
- หลักแรก: 1-9 (ไม่ใช่ 0 เลย)
- ไม่มีสามหลักเหมือนกันติดต่อกัน
- การตรวจสอบ check digit (อัลกอริทึมกำหนดเอง)
คำอธิบายภาษาธรรมดาสำหรับการสร้าง pattern: "หมายเลขประจำตัวผู้เสียภาษีของเยอรมนี: ตัวเลข 11 หลักที่หลักแรกอยู่ระหว่าง 1 และ 9 และ 10 หลักที่เหลือสามารถรวมศูนย์ได้"
การตรวจสอบ: ทดสอบกับชุดตัวอย่างของสลิปเงินเดือนและใบรับรองภาษีของเยอรมนี ยืนยันอัตราการตรวจจับและอัตรา false positive ก่อนการปรับใช้ในการผลิต
สรุป
GDPR ใช้บังคับอย่างสม่ำเสมอทั่ว EU แต่เครื่องมือตรวจจับ PII ที่สร้างสำหรับตลาด US มักไม่ทำ Codice Fiscale, BSN และ Steueridentifikationsnummer ละเอียดอ่อนเท่า SSN — และมีโอกาสปรากฏในเอกสารที่องค์กรแชร์ export และวิเคราะห์เท่าๆ กัน
การสร้าง custom entity ปิดช่องว่างการตรวจจับสำหรับรูปแบบตัวระบุระดับชาติใดๆ ในชั่วโมง
แหล่งข้อมูล: