Global na Pagsunod sa PII: Tatlong Batas, Tatlong Format ng ID
Isang UK marketplace ang humahawak ng mga dokumento ng nagbebenta mula sa 80 bansa. Tatlong batas ang naaangkop nang sabay-sabay: GDPR para sa mga nagbebenta sa EU, LGPD para sa mga nagbebenta sa Brazil, at India's DPDP Act para sa mga nagbebenta sa India. Bawat batas ay nagtatawag ng iba't ibang national ID bilang protektado. Bawat format ay may sariling check logic.
Brazilian CPF: Format at Status sa LGPD
Ang CPF (Cadastro de Pessoas Fisicas) ay ang taxpayer number ng Brazil. Mayroon itong 11 na digit sa format na XXX.XXX.XXX-XX. Ang huling dalawang digit ay mga check digit. Isang mathematical algorithm sa unang siyam na digit ang gumagawa sa kanila.
Tinatrato ng LGPD ng Brazil ang CPF bilang isang protektadong personal identifier, katulad ng sensitivity ng US SSN. Ang isang tool na hindi nakakaalam ng format ng CPF ay hindi ito mahahanap. Ang isa na lumalaktaw sa checksum ay magtatambal ng mga maling tugma.
Indian Aadhaar: Format at mga Patakaran ng DPDP
Ang Aadhaar ay isang 12-digit na numero na inilabas ng UIDAI ng India. Ang mga numero ay itinalaga nang random. Ang huling digit ay isang Verhoeff check digit.
Lumilikha ang DPDP Act ng India ng mga tungkulin para sa sinumang grupo na humahawak ng Aadhaar-linked na datos. Ang pagtukoy ay nangangailangan ng dalawang hakbang. Una, itugma ang 12-digit na format at suriin ang Verhoeff digit. Pangalawa, mag-filter ayon sa konteksto. Hindi lahat ng 12-digit na string ay Aadhaar.
US SSN: Isang Kilalang Istraktura
Ang SSN ay siyam na digit. Ang unang tatlo ay ang area number. Ang susunod na dalawa ay ang group number. Ang huling apat ay ang serial number. Bawat segment ay may nakatakdang mga patakaran. Malinaw na naka-dokumento ang validation.
Ang Agwat sa Pagitan ng Single-Country na Tool at Global na Mga Patakaran
Ang tatlong ID na ito ay walang parehong format at walang parehong check rule. Ang isang tool na ginawa para sa paggamit sa US ay mahuhuli ang mga SSN. Maaari nitong palampasin ang CPF at Aadhaar nang buo.
Karamihan sa mga koponan ay natutuklasan ang agwat na ito kapag tinanong ng regulator -- hindi bago. Ang agwat ay lumilikha ng tunay na panganib sa ilalim ng bawat batas:
- Ang GDPR Article 28 ay nangangailangan ng nakasulat na Data Processing Agreement sa bawat processor. Ang DPIA na naglilista ng "SSN detection" bilang pangunahing kontrol -- kapag ang dataset ay naglalaman din ng mga CPF number -- ay may dokumentadong agwat. Mahahanap ito ng isang auditor.
- Ang LGPD ay may multa na maaaring umabot sa 2% ng Brazilian na kita, hanggang R$50M bawat paglabag. Ang isang CPF na hindi natukoy ay isang direktang paglabag sa LGPD.
- Ang DPDP enforcement ay bago pa. Ang mga koponan na nagtatala ng kanilang coverage ngayon ay mas magiging handa kapag nagtakda ng pamantayan ang mga maagang pagpapasya.
Ang tatlong rehimeng multa nang sabay-sabay ay lumilikha ng layered na panganib. Inilalagay ng mga single-country na tool ang mga global na koponan sa alanganin.
Ano ang Kailangan para sa Ganap na Coverage
Kailangan ng isang tool ang format ng bawat ID, check algorithm, at legal na konteksto. Ang CPF ay nangangailangan ng modular checksum. Ang Aadhaar ay nangangailangan ng Verhoeff check kasama ang context filtering. Ang SSN ay nangangailangan ng mga patakaran ng area at group. Tatlong magkahiwalay na problema ito. Walang iisang pattern ng paghahanap ang sumasaklaw sa lahat ng ito.
Tingnan din: global PII identifier gap: SSN, CPF, Aadhaar, ANPD Brazil LGPD enforcement guide, at DPDPA India privacy law technical compliance.