Quasi-PII คืออะไร?
GDPR Article 4 ครอบคลุมข้อมูลใดๆ ที่สามารถระบุตัวตนบุคคลได้ ข้อมูลนั้นไม่จำเป็นต้องระบุชื่อโดยตรง เพียงแค่ทำให้การระบุตัวตนเป็นไปได้ผ่านขั้นตอนเพิ่มเติม
รหัสพนักงานภายในเป็นตัวอย่างที่ชัดเจน ลองพิจารณาค่า "EMP-EU-123456" สตริงนั้นไม่ได้ระบุชื่อใคร แต่ระบบ HR มีตาราง lookup ง่ายๆ EMP-EU-123456 ชี้ไปที่ Maria Schmidt วิศวกรอาวุโส มิวนิก ใครก็ตามที่เข้าถึงตารางนั้นสามารถค้นหาเธอได้ ภายใต้ GDPR รหัสนั้นคือข้อมูลส่วนบุคคล
กฎเดียวกันใช้กับรหัสภายในอื่นๆ:
- หมายเลขบัญชีลูกค้าที่เชื่อมโยงกับบันทึก CRM
- รหัสโครงการที่เชื่อมโยงกับชื่อลูกค้าในระบบสัญญา
- หมายเลขอ้างอิงคดีในไฟล์กฎหมาย
- หมายเลขเวชระเบียนที่เชื่อมโยงกับบันทึกผู้ป่วย
การลบชื่อและอีเมลเพียงอย่างเดียวไม่เพียงพอ หากรหัสภายในยังคงอยู่ในไฟล์ การระบุตัวตนใหม่อยู่ห่างออกไปเพียงสองขั้นตอน
ทำไมช่องโหว่นี้จึงนำไปสู่ค่าปรับ
34% ของค่าปรับ GDPR ทั้งหมดเกี่ยวข้องกับมาตรการทางเทคนิคที่ไม่เพียงพอภายใต้ Article 32 ตัวเลขนี้มาจากรายงานประจำปี GDPR ของ DLA Piper 2025 ความล้มเหลวในการตรวจจับรหัสประจำตัวภายในแบบ quasi-identifying อยู่ในหมวดนี้
EDPB จัดการกว่า 900 กรณีในกลไกความสอดคล้องในปี 2024 การบังคับใช้ข้ามพรมแดนหมายความว่าช่องโหว่เดียวในชุดข้อมูลที่ใช้ร่วมกันอาจนำไปสู่การดำเนินการประสานงานในหลายรัฐสมาชิก EU
เครื่องมือ PII มาตรฐานค้นหารูปแบบสากล: ชื่อ อีเมล หมายเลขโทรศัพท์ รหัสประจำชาติ พวกเขาไม่รู้รูปแบบรหัสภายในของคุณ ไม่มีเครื่องมือใดรู้จนกว่าคุณจะบอกมัน นั่นคือช่องโหว่
วิธีการทำงานของ Pattern Builder โดยไม่ต้องเขียนโค้ด
บริษัทโลจิสติกส์ทั่วโลกต้องการทำ anonymize บันทึกพนักงานสำหรับการตรวจสอบจากภายนอก รหัสพนักงานของพวกเขาใช้รูปแบบนี้: EMP-[REGION]-[6 หลัก] สามตัวอย่าง: EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678
ทีมปฏิบัติตามกรอกตัวอย่างสามตัวอย่างใน AI pattern helper AI ส่งคืน:
- Pattern:
EMP-[A-Z]{2,4}-\d{6} - ตรงกับตัวอย่างทั้งสาม
- ชื่อรหัสประจำตัวที่แนะนำ: EMPLOYEE-ID
- ขั้นตอนถัดไปที่แนะนำ: ทดสอบกับรหัสภูมิภาคเพิ่มเติม
ทีมทดสอบตัวอย่างอีก 10 ตัวอย่าง รูปแบบใช้งานได้กับทุกตัวอย่าง
พวกเขาบันทึกรหัสประจำตัวกำหนดเองลงใน GDPR preset ที่ใช้ร่วมกันของทีม เอกสาร 47 ชุดในชุดตรวจสอบถูกประมวลผลในชุดเดียว รหัสพนักงานทุกรหัสถูกแทนที่ด้วยป้ายกำกับตามบทบาท บริษัทตรวจสอบได้รับไฟล์ที่ไม่เชื่อมโยงกับบุคคลใดอีกต่อไป
ไม่ต้องการความช่วยเหลือด้านวิศวกรรม การตั้งค่าทั้งหมดใช้เวลาไม่ถึงหนึ่งชั่วโมง
ขั้นตอนถัดไป
เมื่อรหัสประจำตัวกำหนดเองถูกบันทึกลงใน preset ที่ใช้ร่วมกัน สมาชิกทีมทุกคนจะใช้การตั้งค่าเดียวกัน พนักงานใหม่ได้รับมันในวันแรก งาน batch, การเรียก API และการอัปโหลดด้วยตนเองทั้งหมดใช้รูปแบบเดียวกัน
เส้นทางการตรวจสอบแสดงว่าใช้ preset ใดสำหรับแต่ละไฟล์ หาก DPA ขอหลักฐานกระบวนการ anonymization ของคุณ คุณสามารถแสดงได้
สำหรับกระบวนการตั้งค่ารหัสประจำตัวกำหนดเองอย่างสมบูรณ์ ดู รหัส PII กำหนดเองสำหรับ anonymization ขององค์กร สำหรับการรักษาการตั้งค่านี้สอดคล้องกันในทีม ดู presets ความสอดคล้อง anonymization สำหรับการตรวจสอบ GDPR