什么是个人身份信息 (PII)?
个人身份信息 (PII) 是单独使用或与其他相关数据一起使用时可以识别个人身份的信息。
PII 可能包含可以唯一识别一个人的直接标识符(例如护照信息),或者可以与其他准标识符(例如出生日期)组合以成功识别个人的准标识符(例如种族)。
概要
- 个人身份信息 (PII) 使用数据来确认个人的身份。
- 敏感的个人身份信息可能包括您的全名、社会安全号码、驾驶执照、财务信息和医疗记录。
- 非敏感的个人身份信息很容易从公共来源获取,包括您的邮政编码、种族、性别和出生日期。
- 护照包含个人身份信息。
- 社交媒体网站可能被视为非敏感的个人身份信息。
了解个人身份信息
先进的技术平台已经改变了企业运营、政府立法和个人关系的方式。随着手机、互联网、电子商务和社交媒体等数字工具的出现,各种数据的供应出现了爆炸式增长。
所谓的大数据正在由企业收集、分析和处理,并与其他公司共享。大数据提供的丰富信息使公司能够深入了解如何更好地与客户互动。
然而,大数据的出现也增加了意识到这些信息价值的实体的数据泄露和网络攻击的数量。因此,人们对公司如何处理消费者的敏感信息表示担忧。监管机构正在寻求新的法律来保护消费者的数据,而用户正在寻找更多匿名的方式来保持数字化。
敏感与非敏感个人身份信息
敏感 PII
个人身份信息 (PII) 可以是敏感的或非敏感的。敏感的个人信息包括法律统计数据,例如:
上面的列表绝不是详尽的。共享客户数据的公司通常使用匿名技术来加密和混淆 PII,因此它是以非个人身份识别的形式接收的。与营销公司共享其客户信息的保险公司将掩盖数据中包含的敏感 PII,只留下与营销公司目标相关的信息。
非敏感 PII
非敏感或间接 PII 可从电话簿、互联网和公司目录等公共资源轻松访问。非敏感或间接 PII 的示例包括:
- 邮政编码
- 种族
- 性别
- 出生日期
- 出生地
- 宗教
上面的列表包含准标识符和可以向公众发布的非敏感信息的示例。此类信息不能单独用于确定个人身份。
然而,非敏感信息虽然不敏感,但可以链接。这意味着非敏感数据与其他个人可链接信息一起使用时,可以揭示个人的身份。当多组准标识符拼凑在一起并可以用来区分一个人和另一个人时,去匿名化和重新识别技术往往会成功。
监管和保护个人身份信息 (PII) 可能会成为未来几年个人、公司和政府的主要问题。
保护个人身份信息 (PII)
各国已通过多项数据保护法,为收集、存储和共享客户个人信息的公司制定指导方针。这些法律概述的一些基本原则规定,除非在极端情况下,否则不应收集某些敏感信息。
此外,监管指南规定,如果不再需要用于其规定目的的数据,则应删除数据,并且不应与无法保证其保护的来源共享个人信息。
网络犯罪分子破坏数据系统以访问 PII,然后将其出售给地下数字市场中的自愿购买者。例如,2015 年,美国国税局遭遇数据泄露,导致超过 10 万纳税人的 PII 被盗。
使用从多个来源窃取的准信息,犯罪者能够通过回答本应只对纳税人保密的个人验证问题来访问 IRS 网站应用程序。
保护 PII 可能并不总是服务提供商的唯一责任。在某些情况下,它可能会与个人共享。
世界各地的个人身份信息
构成 PII 的定义因您在世界上的居住地而异。在美国,政府在 2020 年将“个人身份识别”定义为任何可以“用于区分或追踪个人身份”的东西,例如姓名、SSN 和生物识别信息;单独或与其他标识符(例如出生日期或出生地点)一起使用。
在欧盟(EU) 中,该定义扩展到包括 2018 年 5 月生效的通用数据保护条例(GDPR) 中概述的准标识符。GDPR 是一个法律框架,为收集和处理个人信息制定规则对于居住在欧盟的人。
个人身份信息与个人数据
个人数据包含比 PII 更广泛的上下文。例如,您的 IP 地址、设备 ID 号、浏览器 cookie、在线别名或基因数据。某些属性(例如宗教、种族、性取向或病史)可能被归类为个人数据,但不属于个人身份信息。
个人身份信息示例
2018 年初, Facebook Inc. (FB),即现在的 Meta,卷入了一起重大数据泄露事件。 3000 万 Facebook 用户的个人资料是在未经他们同意的情况下由一家名为 Cambridge Analytica 的外部公司收集的。 Cambridge Analytica 通过在剑桥大学工作的研究人员从 Facebook 获取数据。研究人员构建了一个用于个性测验的 Facebook 应用程序。应用程序是在移动设备和网站上使用的软件应用程序。
该应用程序旨在从自愿为测验提供访问数据的人那里获取信息。不幸的是,该应用程序不仅收集了测验者的数据,而且由于 Facebook 系统的漏洞,它还能够从测验者的朋友和家人那里收集数据。
结果,超过 5000 万 Facebook 用户在未经他们同意的情况下将他们的数据暴露给了 Cambridge Analytica。尽管 Facebook 禁止出售他们的数据,但 Cambridge Analytica 转而出售这些数据以用于政治咨询。 Facebook 创始人兼首席执行官马克扎克伯格在公司 2019 年第一季度财报中发表了一份声明:
我们专注于为社交网络的未来构建以隐私为中心的愿景,并通过协作解决围绕互联网的重要问题。
数据泄露不仅影响了 Facebook 用户,也影响了投资者。 Facebook 的利润在 2019 年第一季度与去年同期相比下降了 50%。该公司累积了 30 亿美元的法律费用,如果没有这些费用,每股收益将增加 1.04 美元,并指出:
我们估计这件事的损失范围是 30 亿到 50 亿美元。此事仍未解决,无法保证任何最终结果的时间或条款。
第二天,也就是 2019 年 4 月 25 日,Meta 宣布将禁止在其平台上进行个性测验。
毫无疑问,公司将投资于收集数据的方式,例如个人身份信息 (PII),以向消费者提供产品并实现利润最大化。尽管如此,他们仍将在未来几年受到更严格的监管。
什么是 PII?
美国政府将个人身份信息定义为:
“可单独用于区分或追踪个人身份的信息,例如他们的姓名、社会保险号、生物特征记录等,或者与其他与特定个人相关或可链接的个人信息或识别信息结合使用时,例如如出生日期和地点、母亲的娘家姓等。”
什么不是 PII?
个人数据不属于 PII 和非个人数据,例如您工作的公司、共享数据或匿名数据。
什么是 PII 违规?
PII 违规是非法的,通常涉及身份盗用等欺诈行为。违规行为也可能源于对 PII 的未经授权的访问、使用或披露。未报告 PII 违规行为也可能是违规行为。
通过电子邮件发送 PII 时您必须做什么?
因为电子邮件并不总是安全的,所以尽量避免通过电子邮件发送 PII。如果必须,请使用加密或安全验证技术。
哪些法律保护 PII?
各种联邦和州消费者保护法保护 PII 并制裁其未经授权的使用;例如,联邦贸易委员会法和 1974 年的隐私法。