西班牙AEPD:DNI、NIE与拉丁美洲身份标识
西班牙数据保护机构AEPD(西班牙个人数据保护局)于2023年发出847项执法决议,是欧盟执法决议数量最多的监管机构。单项罚款金额通常低于爱尔兰DPC或荷兰AP的水平,但高频率的执法行动对任何在西班牙开展业务的企业都构成切实风险。
AEPD的AI执法框架
西班牙监管机构发布了欧盟最为详尽的数据保护AI专项指南,覆盖两个核心领域。
**《AI与GDPR指南》(2020年,2024年更新):**该指南要求对处理个人数据的任何AI系统开展数据保护影响评估(DPIA),即便未达到GDPR第35条规定的启动门槛,这是欧盟覆盖范围最广的DPIA要求之一。所有在西班牙数据上运行AI的企业须在上线前完成DPIA。
**西班牙《人工智能法》落地实施:**西班牙是欧盟最早建立高风险AI系统国家注册制度的成员国之一。AEPD与西班牙AI监管机构协同工作,共同执行AI法和GDPR规则。企业面临双重监管机构的审计风险。
西班牙国家身份标识:检测缺口
通用NLP工具对西班牙语文件中DNI和NIE的检测准确率仅为34%,AEPD在其2024年报告中披露了这一数据。每种身份标识的结构特点,解释了通用工具失效的原因。
**DNI(国家身份证号码):**八位数字加一个控制字母,控制字母由数字被23除所得余数按固定字母序列映射得出。部分字母被排除在映射表之外,并非完整的A至Z序列。这是西班牙特有的算法,通用工具无法处理。仅检查数字格式而跳过模运算步骤的工具会产生错误结果。
**NIE(外国人身份号码):**一个前缀字母(X、Y或Z)、七位数字,再加一个控制字母。NIE面向在西班牙的外籍人士,用于税务和行政管理。每个前缀字母对应不同的发证时期。控制字母与DNI采用相同的算法。NIE出现在劳动合同、税务申报和居留文件中。
**CIF(企业税务身份号码):**一个字母加七位数字再加一个控制字符,首字母标识企业类型,控制字符采用与DNI/NIE不同的独立算法。
**健康卡:**西班牙健康卡格式因地区而异,每个自治区使用各自的格式,自动检测难度远高于全国统一标准的情形。
有关欧盟各国身份标识检测缺口的详细分析,请参阅我们的欧盟身份标识缺口指南。
拉丁美洲身份标识:跨市场合规
西班牙与拉丁美洲的紧密联系将合规要求延伸至西班牙以外。服务西班牙语市场的企业需要更广泛的个人身份信息覆盖能力。
**墨西哥:**CURP是18位字母数字混合编码,包含出生日期、性别、出生州和姓名首字母信息。RFC是个人13位、企业12位的税务身份号码,两者均出现在就业和税务文件中。
**阿根廷:**CUIL是11位数字加校验位的编号,CUIT采用相同格式。阿根廷国家身份证(DNI)为7至8位数字。三者均出现在薪资单、银行和政府文件中。
**智利:**RUT和RUN格式为7至9位数字、一个连字符和一个校验位,校验采用模11算法。智利每位个人和每家企业均持有一个RUT/RUN,检测须实现校验位步骤以避免误匹配。
**哥伦比亚:**国家身份证(Cédula)为8至10位数字,NIT为九位数字加校验位,适用于企业主体。
覆盖西班牙语市场须同时具备西班牙欧盟身份标识和拉丁美洲国家身份标识的检测能力。我们的全球PII身份标识指南将这些标识与美国SSN、印度Aadhaar及其他国家身份证号码进行了详细对比。
AEPD 2024年执法案例分布
847项执法决议是欧盟最高纪录。西班牙监管机构通过高投诉受理量和主动行业专项检查实现了这一规模。案例按行业分布如下:
**电信和金融服务:**占决议总量的42%,主要问题包括:未经授权的信用调查、数据过度保留和营销缺乏同意。
**医疗和保险:**占22%,问题包括:未经同意共享健康数据、研究用数据去标识化不足、预约系统采用生物特征处理。
**劳动就业:**占19%,问题包括:员工监控、社交媒体筛查和未提供适当告知的视频监控。
**AI系统:**属于增长中的类别,监管机构发现多家西班牙企业在未完成DPIA的情况下运行AI系统,违反了AEPD自身的AI指南。
西班牙个人身份信息合规的技术基线是:具备控制字母验证的DNI和NIE检测。在此基础上增加西班牙语命名实体识别。再进一步加入CURP、RUT、CUIL和国家身份证号码检测,即可实现对拉丁美洲市场的全面覆盖。
有关西班牙规则下完整DPIA流程,请参阅我们的AEPD AI DPIA合规指南。