ANSPDCP Romania: Phát Hiện CNP và Kiểm Tra GDPR
Cập nhật cho năm 2026
Cơ quan dữ liệu của Romania là ANSPDCP. Đánh giá năm 2024 của cơ quan phát hiện rằng 78% công cụ PII không phát hiện được Cod Numeric Personal (CNP). Hầu hết bỏ qua bước checksum. Khoảng cách đó tạo ra rủi ro tuân thủ thực sự. Romania xử lý dữ liệu EU cho nhiều khách hàng phương Tây. Phạm vi phơi lộ rất rộng.
ID Quốc Gia Giàu Dữ Liệu Nhất của Romania
CNP là mã định danh quốc gia gồm 13 chữ số. Mỗi nhóm chữ số chứa dữ liệu cá nhân:
- Chữ số 1: Mã giới tính và thế kỷ. Nam sinh 1900–1999 = 1. Nữ sinh 1900–1999 = 2. Nam sinh 2000+ = 5. Nữ sinh 2000+ = 6. Nam cư trú nước ngoài = 7. Nữ cư trú nước ngoài = 8. Cư dân khác = 9.
- Chữ số 2–3: Hai chữ số cuối của năm sinh.
- Chữ số 4–5: Tháng sinh (01–12).
- Chữ số 6–7: Ngày sinh (01–31).
- Chữ số 8–9: Mã tỉnh. Bao gồm 41 tỉnh và sáu quận của Bucharest (mã 01–52).
- Chữ số 10–12: Thứ tự sinh trong ngày và tỉnh đó.
- Chữ số 13: Chữ số kiểm tra.
Chỉ riêng chữ số 1 đã tiết lộ giới tính sinh học. Theo Điều 9 GDPR, điều này làm cho số này trở thành dữ liệu thuộc danh mục đặc biệt. Nó cần bảo vệ mạnh hơn so với dữ liệu cá nhân thông thường.
Cách checksum hoạt động: Lấy 12 chữ số đầu. Nhân từng chữ số với trọng số của nó (2, 7, 9, 1, 4, 6, 3, 5, 8, 2, 7, 9). Cộng các kết quả. Chia cho 11 và lấy phần dư. Phần dư bằng 10 cho chữ số kiểm tra là 1. Phần dư bằng 11 có nghĩa là mã không hợp lệ. Bất kỳ phần dư nào khác là chữ số kiểm tra.
Các công cụ bỏ qua kiểm tra này có hai chế độ lỗi. Đầu tiên, bất kỳ chuỗi 13 chữ số nào đều bị cắm cờ như một kết quả khớp (dương tính giả). Thứ hai, một số bị hỏng vượt qua kiểm tra mẫu nhưng chứa dữ liệu xấu. Dữ liệu đó cần xem xét và bị bỏ sót (âm tính giả).
Vấn Đề NER trong Tài Liệu Tiếng Romania
Tìm kiếm định danh chỉ là một phần của công việc. Văn bản tiếng Romania thêm nhiều rào cản phát hiện hơn.
Dấu diacritical: Tiếng Romania sử dụng ș, ț, ă, â và î. Các công cụ được huấn luyện bằng ngôn ngữ khác thường bỏ sót tên có các ký tự này. Tài liệu cũ được mã hóa Latin-2 gây thêm lỗi.
Định dạng địa chỉ: Các loại đường phố sử dụng dạng viết tắt — Str., Bd., Al., Cal. Tên thành phố và xã theo quy tắc địa phương. Các bộ phân tích địa chỉ xây dựng cho tiếng Pháp hay tiếng Đức hoạt động kém ở đây.
Biến cách tên: Tên thay đổi hình thức theo cách biến cách ngữ pháp trong tiếng Romania. Tên của cùng một người trông khác nhau ở các phần khác nhau của câu. Các mô hình NER phải xử lý điều này để liên kết tên trong toàn bộ tài liệu.
Xem hướng dẫn phát hiện PII APAC của chúng tôi về cách khoảng cách ngôn ngữ ảnh hưởng đến phát hiện trên các chữ viết không phải phương Tây.
Các Vụ ANSPDCP Phát Triển Như Thế Nào
Các vụ ANSPDCP cho thấy ba mẫu hình.
Vụ vi phạm BPO: Các tệp chia sẻ chứa số ID nhân viên và dữ liệu khách hàng EU không có mã hóa. Nhật ký kém có nghĩa là công ty không thể cho biết hồ sơ nào đã được truy cập. Điều đó kéo dài cuộc điều tra và tăng khoản phạt.
Phơi lộ chăm sóc sức khỏe: Hồ sơ bệnh nhân — ID quốc gia, ID thẻ y tế và chẩn đoán — đến tay người sai. Công cụ PII không hỗ trợ định dạng này. Dữ liệu thoát ra mà không được che giấu.
Lỗi chuyển dữ liệu xuyên biên giới: Một công ty gia công gửi hồ sơ có liên kết định danh đến bên ngoài EEA. Không có Đánh giá Tác động Chuyển dữ liệu. Không có Điều khoản Hợp đồng Chuẩn. Trạng thái Điều 9 của dữ liệu biến một lỗ hổng thông thường thành vi phạm nghiêm trọng hơn.
Ba Biện Pháp Kiểm Soát Tuân Thủ ANSPDCP
Ba điều này tạo thành đường cơ sở kỹ thuật tối thiểu:
- Phát hiện CNP với xác thực modulo-11 — chỉ khớp mẫu là không đủ.
- NER nhận biết dấu diacritical — bao phủ ș, ț, ă, â và î trong cả nguồn UTF-8 và Latin-2.
- Phát hiện thẻ ID — thẻ quốc gia xuất hiện cùng CNP trong nhiều loại tài liệu.
Để có góc nhìn rộng hơn về cách ID quốc gia tạo ra rủi ro GDPR, xem hướng dẫn phát hiện mã số thuế quốc gia EU của chúng tôi.