Yalnızca İngilizce KKB Araçları: GDPR Açığı
GDPR'ın Dil Tercihi Yoktur
GDPR, kişisel verileri hangi dilde olursa olsun kapsar. Almanca, Fransızca, Lehçe, İsveççe — hepsi eşit biçimde kapsam dahilindedir. Gözden kaçan bir Steuer-ID, gözden kaçan bir Sosyal Güvenlik Numarası ile aynı hukuki riski doğurur. Yasa dile bakmaz.
Kişisel veri tespit araçlarının çoğu bakar.
Önde gelen ticari ve açık kaynak araçlar İngilizce metin için geliştirilmiştir. Varlık dedektörleri bunu yansıtır. ABD Sosyal Güvenlik Numaraları, ABD sürücü ehliyetleri ve NANP telefon formatlarını iyi kapsar. İngilizce olmayan ulusal kimlik numaraları için dedektörler daha az doğrudur. Daha az bakım alır. Gerçek tanımlayıcıları daha sık gözden kaçırır.
AB üye devletlerinde faaliyet gösteren şirketler için bu bir kapsam açığı yaratır. Araç tespiti tamamlandı diye rapor eder. Ancak İngilizce olmayan tanımlayıcılar veride kalmaya devam eder. Bunlar genellikle belirli ülkelerde en büyük GDPR riskini taşıyan tanımlayıcılardır.
Veri otoriteleri bunu görür. Denetçiler bunu arar. Araç İngilizce kayıtlarda iyi çalışabilir. Ancak Almanca veya Fransızca kayıtlarda başarısız olursa uyumlu değildir. Temiz bir rapor bunu değiştirmez.
Ulusal Kimlik Numaraları Yapı Bakımından Farklıdır
İngilizce merkezli araçlar ile çok dilli araçlar arasındaki fark, daha fazla regex kalıbı eklemekle ilgili değildir. AB ulusal tanımlayıcıları birbirinden çok farklıdır. Doğru tespit için ülkeye özgü mantık gerekir.
Almanca Steuer-Identifikationsnummer (Steuer-ID): 11 rakam. Luhn formülü varyantına dayalı sağlama toplamı kullanır. Genel bir SSN regex'i bununla eşleşmez. Herhangi bir 11 rakamlı sayı için regex ise Almanca belgelerde çok fazla yanlış pozitif üretir.
Fransızca NIR (Numéro d'inscription au répertoire): 15 rakam. Format cinsiyet, doğum yılı, doğum ayı ve doğum departmanını kodlar. Ayrıca doğum sırası ve 2 basamaklı kontrol anahtarı içerir. Doğru tespit için kontrol anahtarının doğrulanması gerekir.
İsveç Personnummer: Luhn kontrol basamağıyla 10 rakam. 1990 öncesinde doğanlar - yerine + ayırıcı kullanır. Bu, tespit edilmesi gereken formatı değiştirir.
Polonya PESEL: 11 rakam. Doğum tarihi, cinsiyet ve ağırlıklı toplamlara dayalı kontrol basamağını kodlar. Doğru tespit hem format eşleşmesi hem de sağlama toplamı doğrulaması gerektirir.
Bunlar ortak bir kalıbın varyantları değildir. Her birinin farklı bir uzunluğu vardır. Her birinin farklı bir doğrulama yöntemi vardır. Her biri verileri farklı bir konum şemasında kodlar. Fransız NIR'ını gören İngilizce eğitimli bir NER modeli bunu ulusal tanımlayıcı olarak tanımaz. Görmezden gelir ya da yanlış sınıflandırır.
Pratik Uyum Riski
Bir Avrupalı BPO şirketinde uyum sorumlusunu düşünün. Aynı anda Almanya, Fransa, Polonya ve Hollanda'dan gelen verileri işliyor. Araçları başarılı KKB anonimleştirme raporu veriyor.
Ancak sonuç tam değildir. Almanca kayıtlardaki Steuer-ID'ler kalır. Fransız kayıtlarındaki NIR numaraları kalır. Polonyalı kayıtlardaki PESEL numaraları kalır. Aracın bu formatlara yönelik dedektörleri ya eksik ya da çok az doğru.
Veri kümesi daha sonra analitiğe veya araştırma ortağına gider. Veri hâlâ yeniden tanımlanabilir ulusal tanımlayıcılar içerir. GDPR sorunu aracın çıktı günlüklerinde görünmez. Bir veri sahibi erişim talebi geldiğinde ortaya çıkar. Bir veri otoritesi denetiminde ortaya çıkabilir. Bir veri ihlalinin ardından ortaya çıkabilir.
Hibrit çok dilli yaklaşımları İngilizce merkezli araçlarla karşılaştıran araştırmalar net sonuçlar ortaya koydu. Hibrit yöntemler Avrupa yerellerinde 0,60 ila 0,83 F1 puanı elde eder. Yalnızca İngilizce araçlar İngilizce olmayan ulusal kimlik formatları için sıfıra yakın puan alır.
Bu açıkların GDPR yükümlülüklerine nasıl eşlendiği için GDPR uyumluluk genel görünümümüze bakın.
Tam Kapsam Neyi Gerektirir
AB GDPR uyumluluğu için gerçek çok dilli KKB tespiti üç katman gerektirir.
Dile özgü spaCy modelleri, metnin dilinde anlamsal anlayış sağlar. Almanca metin üzerinde eğitilmiş bir model "Müller"in yaygın bir Almanca soyadı olduğunu bilir. 25 yüksek kaynaklı AB dili için modeller mevcuttur.
Stanza NLP modelleri, spaCy'de bulunmayan dillere kapsam genişletir. Daha fazla AB dil topluluğuna erişim sağlar.
Çapraz dilli transformer modelleri (XLM-RoBERTa), diller arası durumları ele alır. Fransızca cümledeki bir isim, kişi adı olarak tanınır. Motor o isimle özel olarak eğitilmemiş olsa bile bu çalışır.
Ülkeye özgü doğrulamalı Regex, yapılandırılmış ulusal tanımlayıcıları kapsar. Steuer-ID, NIR, PESEL ve Personnummer her biri kendi sağlama toplamı mantığını gerektirir. Bu yanlış pozitifleri azaltır. Ülke doğrulama kurallarını geçemeyen rakam dizileri filtrelenir.
Açık yapısaldır. Kelime listeleri veya daha fazla regex kalıbı eklemek yalnızca küçük iyileştirme sağlar. AB tanımlayıcı kapsamını en baştan inşa etmek tek güvenilir yaklaşımdır.
Mevcut Aracınızı Kontrol Edin
Satıcınızdan Almanca, Fransızca, Lehçe ve Hollandaca kayıtlar için F1 puanları isteyin. "Birden fazla dili destekler" ifadesi çoğunlukla aracın önce makine çevirisini kullandığı anlamına gelir. Bu yerli tarama değildir. GDPR uyumluluğu yerli tarama gerektirir.
Gerçek ulusal kimlik örnekleriyle test edin. Operasyonunuzdaki her kimlik türü için 10 örnekten oluşan kısa bir test kümesi oluşturun. Steuer-ID, NIR, PESEL, Personnummer. Tespit oranlarını kontrol edin. Bu tam bir F1 testinden daha hızlıdır ve açıkları hızla ortaya koyar.
anonym.legal'in bu gereksinimleri nasıl karşıladığı için güvenlik ve uyumluluk sayfamıza bakın. Varlık türü tanımları için varlıklar referansına başvurun.