Суперечливі правила KYC
Правила «Знай свого клієнта» (KYC) створюють реальне протиріччя для фінтех-компаній. Регулятори хочуть ретельних перевірок особи. Вони вимагають від компаній збирати та перевіряти особисті документи. Але закони про захист даних діють у зворотному напрямку. Вони вимагають від компаній мінімізувати ці дані після того, як вони зібрані.
Банк, що відкриває новий рахунок, збирає багато документів. Серед них — національні посвідчення особи, паспорти та водійські права. Також — докази адреси та фінансові документи. Ці файли містять щільні персональні дані. GDPR, правила щодо протидії відмиванню грошей та банківські регулятори — всі вони вимагають суворого поводження з ними.
Коли ці дані переходять до систем виявлення шахрайства або аналітики, застосовуються додаткові правила. Набирає чинності законодавство GDPR про мінімізацію даних. Персональні дані повинні бути замасковані або деідентифіковані перед будь-яким повторним використанням.
Проблема дводенного відставання
Цифровий банк обробляв 5 000 KYC-заявок щодня по 15 країнах ЄС. Їхній крок сканування PII спричинив серйозну проблему. Рівень хибних спрацювань був надто високим. Черги перевірки зростали до двох днів відставання.
Корінна причина була зрозумілою. Їхній ML-інструмент позначав приблизно 8% тексту, що не є PII, як персональні дані. Кожен файл мав багато сторінок. Щоденний обсяг хибних спрацювань був надто великим для команди, щоб обробити за один день. Вони постійно відставали.
Хибні спрацювання розподілились на три групи:
- Назви компаній позначалися як імена осіб (модель плутала власні назви)
- Контрольні коди позначалися як ідентифікаційні номери (перевірка контрольної суми не використовувалася)
- Поширені імена на кшталт «Chase» в назвах банків позначалися як PII особистих імен
Кожне хибне спрацювання вимагало перевірки людиною. При 8% з 5 000 щоденних файлів це давало тисячі щоденних завдань. Жодне з них не можна було автоматизувати.
Що показують дослідження ACL
Дослідження ACL 2024 тестувало багатомовні NLP-моделі для виявлення PII. Висновок виявився разючим. Лише 5% багатомовних NLP-моделей досягають F1-оцінки вище 85% для PII нeanглійською мовою по всіх 24 мовах ЄС.
F1-оцінка поєднує точність та повноту. Низька точність означає багато хибних спрацювань. Низька повнота означає багато пропущених елементів. Обидва результати мають низькі оцінки. Рівень відмов 95% при досягненні 85% F1 показує, наскільки складним є крос-лінгвальне сканування PII на практиці.
Натомість XLM-RoBERTa досягає 91,4% крос-лінгвального F1 для задач PII. Ця цифра взята з бенчмарку HuggingFace 2024. Розрив між 91,4% та медіанною моделлю пояснює, чому готові інструменти дають збій у багатомовному KYC.
Гібридна архітектура для KYC великого обсягу
Проблема хибних спрацювань є вирішуваною. Три архітектурні рішення виправляють її.
Регулярні вирази з перевіркою контрольної суми: Національні ідентифікаційні номери мають фіксовані правила. Німецький Steuer-ID, нідерландський BSN та польський PESEL — кожен використовує математику контрольної суми. Якщо номер не проходить перевірку контрольної суми, це не національний ID. Формат плюс контрольна сума дають майже нульовий рівень хибних спрацювань для таких ідентифікаторів.
Контекстно-залежний NLP для імен: Імена осіб у KYC-файлах з'являються у відомих місцях. Серед них — поля «Ім'я:», «Прізвище:» та встановлені поля форм. Вимога наявності контекстного слова перед позначенням імені скорочує хибні спрацювання. Це зупиняє назви фірм від активації попереджень для імен осіб.
Налаштування порогових значень за типом файлу: KYC-файли відрізняються від листів підтримки або медичних нотаток. Кожен тип має різну суміш PII. Встановлення порогових значень для кожного типу файлу дозволяє командам налаштовуватися під свої потреби. KYC великого обсягу отримує вищу точність. Медична деідентифікація отримує вищу повноту.
Дводенне відставання — це не неминуча ціна сканування PII. Це ціна використання узагальнених інструментів для специфічного робочого процесу. Виправлення полягає в налаштуванні, а не в більшій команді.
Наш посібник з відповідності GDPR охоплює правила мінімізації даних. Наш огляд безпеки та відповідності пояснює технічні засоби управління, що підтримують відповідні KYC-робочі процеси.