什麼是個人身份信息 (PII)?
個人身份信息 (PII) 是單獨使用或與其他相關數據一起使用時可以識別個人身份的信息。
PII 可能包含可以唯一識別一個人的直接標識符(例如護照信息),或者可以與其他準標識符(例如出生日期)組合以成功識別個人的準標識符(例如種族)。
關鍵點
- 個人身份信息 (PII) 使用數據來確認個人的身份。
- 敏感的個人身份信息可能包括您的全名、社會安全號碼、駕駛執照、財務信息和醫療記錄。
- 非敏感的個人身份信息很容易從公共來源獲取,包括您的郵政編碼、種族、性別和出生日期。
- 護照包含個人身份信息。
- 社交媒體網站可能被視爲非敏感的個人身份信息。
瞭解個人身份信息
先進的技術平臺已經改變了企業運營、政府立法和個人關係的方式。隨着手機、互聯網、電子商務和社交媒體等數字工具的出現,各種數據的供應出現了爆炸式增長。
所謂的大數據正在由企業收集、分析和處理,並與其他公司共享。大數據提供的豐富信息使公司能夠深入瞭解如何更好地與客戶互動。
然而,大數據的出現也增加了意識到這些信息價值的實體的數據泄露和網絡攻擊的數量。因此,人們對公司如何處理消費者的敏感信息表示擔憂。監管機構正在尋求新的法律來保護消費者的數據,而用戶正在尋找更多匿名的方式來保持數字化。
敏感與非敏感個人身份信息
敏感 PII
個人身份信息 (PII) 可以是敏感的或非敏感的。敏感的個人信息包括法律統計數據,例如:
上面的列表絕不是詳盡的。共享客戶數據的公司通常使用匿名技術來加密和混淆 PII,因此它是以非個人身份識別的形式接收的。與營銷公司共享其客戶信息的保險公司將掩蓋數據中包含的敏感 PII,只留下與營銷公司目標相關的信息。
非敏感 PII
非敏感或間接 PII 可從電話簿、互聯網和公司目錄等公共資源輕鬆訪問。非敏感或間接 PII 的示例包括:
- 郵政編碼
- 種族
- 性別
- 出生日期
- 出生地
- 宗教
上面的列表包含準標識符和可以向公衆發佈的非敏感信息的示例。此類信息不能單獨用於確定個人身份。
然而,非敏感信息雖然不敏感,但可以鏈接。這意味着非敏感數據與其他個人可鏈接信息一起使用時,可以揭示個人的身份。當多組準標識符拼湊在一起並可以用來區分一個人和另一個人時,去匿名化和重新識別技術往往會成功。
監管和保護個人身份信息 (PII) 可能會成爲未來幾年個人、公司和政府的主要問題。
保護個人身份信息 (PII)
各國已通過多項數據保護法,爲收集、存儲和共享客戶個人信息的公司制定指導方針。這些法律概述的一些基本原則規定,除非在極端情況下,否則不應收集某些敏感信息。
此外,監管指南規定,如果不再需要用於其規定目的的數據,則應刪除數據,並且不應與無法保證其保護的來源共享個人信息。
網絡犯罪分子破壞數據系統以訪問 PII,然後將其出售給地下數字市場中的自願購買者。例如,2015 年,美國國稅局遭遇數據泄露,導致超過 10 萬納稅人的 PII 被盜。
使用從多個來源竊取的準信息,犯罪者能夠通過回答本應只對納稅人保密的個人驗證問題來訪問 IRS 網站應用程序。
保護 PII 可能並不總是服務提供商的唯一責任。在某些情況下,它可能會與個人共享。
世界各地的個人身份信息
構成 PII 的定義因您在世界上的居住地而異。在美國,政府在 2020 年將“個人身份識別”定義爲任何可以“用於區分或追蹤個人身份”的東西,例如姓名、SSN 和生物識別信息;單獨或與其他標識符(例如出生日期或出生地點)一起使用。
在歐盟(EU) 中,該定義擴展到包括 2018 年 5 月生效的通用數據保護條例(GDPR) 中概述的準標識符。GDPR 是一個法律框架,爲收集和處理個人信息制定規則對於居住在歐盟的人。
個人身份信息與個人數據
個人數據包含比 PII 更廣泛的上下文。例如,您的 IP 地址、設備 ID 號、瀏覽器 cookie、在線別名或基因數據。某些屬性(例如宗教、種族、性取向或病史)可能被歸類爲個人數據,但不屬於個人身份信息。
個人身份信息示例
2018 年初, Facebook Inc. (FB),即現在的 Meta,捲入了一起重大數據泄露事件。 3000 萬 Facebook 用戶的個人資料是在未經他們同意的情況下由一家名爲 Cambridge Analytica 的外部公司收集的。 Cambridge Analytica 通過在劍橋大學工作的研究人員從 Facebook 獲取數據。研究人員構建了一個用於個性測驗的 Facebook 應用程序。應用程序是在移動設備和網站上使用的軟件應用程序。
該應用程序旨在從自願爲測驗提供訪問數據的人那裏獲取信息。不幸的是,該應用程序不僅收集了測驗者的數據,而且由於 Facebook 系統的漏洞,它還能夠從測驗者的朋友和家人那裏收集數據。
結果,超過 5000 萬 Facebook 用戶在未經他們同意的情況下將他們的數據暴露給了 Cambridge Analytica。儘管 Facebook 禁止出售他們的數據,但 Cambridge Analytica 轉而出售這些數據以用於政治諮詢。 Facebook 創始人兼首席執行官馬克扎克伯格在公司 2019 年第一季度財報中發表了一份聲明:
我們專注於爲社交網絡的未來構建以隱私爲中心的願景,並通過協作解決圍繞互聯網的重要問題。
數據泄露不僅影響了 Facebook 用戶,也影響了投資者。 Facebook 的利潤在 2019 年第一季度與去年同期相比下降了 50%。該公司累積了 30 億美元的法律費用,如果沒有這些費用,每股收益將增加 1.04 美元,並指出:
我們估計這件事的損失範圍是 30 億到 50 億美元。此事仍未解決,無法保證任何最終結果的時間或條款。
第二天,也就是 2019 年 4 月 25 日,Meta 宣佈將禁止在其平臺上進行個性測驗。
毫無疑問,公司將投資於收集數據的方式,例如個人身份信息 (PII),以向消費者提供產品並實現利潤最大化。儘管如此,他們仍將在未來幾年受到更嚴格的監管。
什麼是 PII?
美國政府將個人身份信息定義爲:
“可單獨用於區分或追蹤個人身份的信息,例如他們的姓名、社會保險號、生物特徵記錄等,或者與其他與特定個人相關或可鏈接的個人信息或識別信息結合使用時,例如如出生日期和地點、母親的孃家姓等。”
什麼不是 PII?
個人數據不屬於 PII 和非個人數據,例如您工作的公司、共享數據或匿名數據。
什麼是 PII 違規?
PII 違規是非法的,通常涉及身份盜用等欺詐行爲。違規行爲也可能源於對 PII 的未經授權的訪問、使用或披露。未報告 PII 違規行爲也可能是違規行爲。
通過電子郵件發送 PII 時您必須做什麼?
因爲電子郵件並不總是安全的,所以儘量避免通過電子郵件發送 PII。如果必須,請使用加密或安全驗證技術。
哪些法律保護 PII?
各種聯邦和州消費者保護法保護 PII 並制裁其未經授權的使用;例如,聯邦貿易委員會法和 1974 年的隱私法。