การปฏิบัติตาม PII ทั่วโลก: กฎหมายสามฉบับ รูปแบบ ID สามแบบ
ตลาดออนไลน์ในสหราชอาณาจักรจัดการเอกสารผู้ขายจาก 80 ประเทศ กฎหมายสามฉบับบังคับใช้พร้อมกัน: GDPR สำหรับผู้ขาย EU, LGPD สำหรับผู้ขายบราซิล และ DPDP Act ของอินเดียสำหรับผู้ขายอินเดีย แต่ละกฎหมายระบุรหัสประจำชาติที่ต่างกันว่าได้รับการคุ้มครอง แต่ละรูปแบบมีตรรกะการตรวจสอบของตัวเอง
Brazilian CPF: รูปแบบและสถานะภายใต้ LGPD
CPF (Cadastro de Pessoas Físicas) คือหมายเลขผู้เสียภาษีของบราซิล มี 11 หลักในรูปแบบ XXX.XXX.XXX-XX สองหลักสุดท้ายเป็นหลักตรวจสอบ อัลกอริทึมทางคณิตศาสตร์บนเก้าหลักแรกสร้างมัน
LGPD ของบราซิลถือว่า CPF เป็นรหัสประจำตัวส่วนบุคคลที่ได้รับการคุ้มครอง มีความละเอียดอ่อนใกล้เคียงกับ US SSN เครื่องมือที่ไม่รู้รูปแบบ CPF ไม่สามารถค้นหามันได้ เครื่องมือที่ข้ามผลรวมตรวจสอบจะตรวจพบผลบวกปลอม
Indian Aadhaar: รูปแบบและกฎ DPDP
Aadhaar คือหมายเลข 12 หลักที่ออกโดย UIDAI ของอินเดีย หมายเลขถูกกำหนดแบบสุ่ม หลักสุดท้ายเป็น Verhoeff check digit
DPDP Act ของอินเดียสร้างหน้าที่สำหรับกลุ่มใดๆ ที่จัดการข้อมูลที่เชื่อมโยงกับ Aadhaar การตรวจจับต้องการสองขั้นตอน ขั้นแรก จับคู่รูปแบบ 12 หลักและตรวจสอบ Verhoeff digit ขั้นที่สอง กรองตามบริบท ไม่ใช่ทุกสตริง 12 หลักที่เป็น Aadhaar
US SSN: โครงสร้างที่รู้จักกันดี
SSN มีเก้าหลัก สามหลักแรกคือหมายเลขพื้นที่ สองหลักถัดมาคือหมายเลขกลุ่ม สี่หลักสุดท้ายคือหมายเลขซีเรียล แต่ละส่วนมีกฎที่กำหนดไว้ การตรวจสอบมีเอกสารประกอบครบถ้วน
ช่องว่างระหว่างเครื่องมือแบบประเทศเดียวและกฎทั่วโลก
รหัสทั้งสามนี้ไม่มีรูปแบบเดียวกันและไม่มีกฎการตรวจสอบเดียวกัน เครื่องมือที่สร้างขึ้นสำหรับการใช้งานในสหรัฐฯ จะจับ SSN ได้ แต่อาจพลาด CPF และ Aadhaar ไปอย่างสมบูรณ์
ทีมส่วนใหญ่พบช่องว่างนี้เมื่อหน่วยงานกำกับดูแลถาม — ไม่ใช่ก่อนหน้านั้น ช่องว่างสร้างความเสี่ยงจริงภายใต้กฎหมายแต่ละฉบับ:
- GDPR Article 28 กำหนดให้มีข้อตกลงการประมวลผลข้อมูลเป็นลายลักษณ์อักษรกับผู้ประมวลผลแต่ละราย DPIA ที่ระบุ "การตรวจจับ SSN" เป็นมาตรการควบคุมหลัก — เมื่อชุดข้อมูลยังมีหมายเลข CPF — มีช่องว่างที่มีเอกสาร ผู้ตรวจสอบสามารถค้นพบมัน
- LGPD ค่าปรับสูงถึง 2% ของรายได้บราซิล สูงสุด R$50M ต่อการละเมิด CPF ที่ไม่ถูกตรวจพบคือการละเมิด LGPD โดยตรง
- DPDP การบังคับใช้ยังใหม่อยู่ ทีมที่บันทึกความครอบคลุมในขณะนี้จะอยู่ในตำแหน่งที่ดีกว่าเมื่อคำตัดสินแรกกำหนดมาตรฐาน
ระบอบค่าปรับสามแบบพร้อมกันสร้างความเสี่ยงหลายชั้น เครื่องมือแบบประเทศเดียวทำให้ทีมทั่วโลกเสี่ยงภัย
ความครอบคลุมอย่างสมบูรณ์ต้องการอะไร
เครื่องมือต้องการรูปแบบ อัลกอริทึมการตรวจสอบ และบริบททางกฎหมายของแต่ละรหัส CPF ต้องการผลรวมตรวจสอบแบบโมดูลาร์ Aadhaar ต้องการการตรวจสอบ Verhoeff บวกกับการกรองบริบท SSN ต้องการกฎพื้นที่และกลุ่ม นี่คือสามปัญหาที่แยกกัน ไม่มีรูปแบบการค้นหาเดียวที่ครอบคลุมทั้งหมด
ดูเพิ่มเติม: ช่องว่าง PII identifier ทั่วโลก: SSN, CPF, Aadhaar, คู่มือการบังคับใช้ ANPD Brazil LGPD และ การปฏิบัติตามกฎหมายความเป็นส่วนตัว DPDPA India ทางเทคนิค