Henkilökohtaiset tunnistetiedot (PII)

Mitä ovat henkilökohtaiset tunnistetiedot (PII)?

Henkilökohtaiset tunnistetiedot (PII) ovat tietoja, jotka yksinään tai muiden asiaankuuluvien tietojen kanssa käytettynä voivat tunnistaa henkilön.

Henkilökohtaiset tunnisteet voivat sisältää suoria tunnisteita (esim. passitietoja), jotka voivat tunnistaa henkilön yksilöllisesti, tai kvasitunnisteita (esim. rotu), jotka voidaan yhdistää muihin kvasitunnisteisiin (esim. syntymäaika) yksilön tunnistamiseksi.

Henkilökohtaisten tunnistetietojen ymmärtäminen

Kehittyvät teknologia-alustat ovat muuttaneet tapaa, jolla yritykset toimivat, hallitukset säätelevät lainsäädäntöä ja ihmiset ovat yhteydessä toisiinsa. Digitaalisten työkalujen, kuten matkapuhelimien, Internetin, sähköisen kaupankäynnin ja sosiaalisen median, myötä kaikenlaisen datan tarjonta on kasvanut räjähdysmäisesti.

big dataa,. kuten sitä kutsutaan, ja jakavat sitä muiden yritysten kanssa. Big datan tarjoama runsas tieto on auttanut yrityksiä saamaan käsityksen siitä, miten paremmin vuorovaikuttaa asiakkaiden kanssa.

Big datan ilmaantuminen on kuitenkin lisännyt myös tietomurtojen ja kyberhyökkäyksiä niiden tahojen toimesta, jotka ymmärtävät tämän tiedon arvon. Tämän seurauksena on herättänyt huolta siitä, kuinka yritykset käsittelevät kuluttajien arkaluonteisia tietoja. Sääntelyelimet etsivät uusia lakeja kuluttajien tietojen suojaamiseksi, kun taas käyttäjät etsivät anonyymeimpiä tapoja pysyä digitaalisena.

Herkkä vs. Ei-arkaluonteiset henkilökohtaiset tunnistetiedot

Arkaluonteiset henkilötiedot

Henkilökohtaiset tunnistetiedot (PII) voivat olla arkaluonteisia tai ei-arkaluonteisia. Arkaluontoiset henkilötiedot sisältävät oikeudellisia tilastoja, kuten:

Koko nimi
sosiaaliturvatunnus (SSN)
Ajokortti

-postiosoite _

Luottokortin tiedot
Passitiedot
taloustiedot
Potilastiedot

Yllä oleva luettelo ei ole mitenkään tyhjentävä. Yritykset, jotka jakavat tietoja asiakkaistaan, käyttävät yleensä anonymisointitekniikoita henkilökohtaisten tunnistetietojen salaamiseen ja hämärtämiseen, joten ne vastaanotetaan ei-henkilökohtaisessa muodossa. Vakuutusyhtiö, joka jakaa asiakkaidensa tietoja markkinointiyhtiön kanssa, peittää tiedoissa olevat arkaluontoiset henkilötiedot ja jättää vain markkinointiyhtiön tavoitteeseen liittyvät tiedot.

Ei-arkaluonteiset henkilötiedot

Ei-arkaluonteiset tai epäsuorat henkilötiedot ovat helposti saatavilla julkisista lähteistä, kuten puhelinluetteloista, Internetistä ja yrityshakemistoista. Esimerkkejä ei-arkaluonteisista tai epäsuorista henkilökohtaisista tunnistetiedoista ovat:

Postinumero
Kisa
Sukupuoli
Syntymäaika
Syntymäpaikka
Uskonto

Yllä oleva luettelo sisältää kvasitunnisteita ja esimerkkejä ei-arkaluonteisista tiedoista, jotka voidaan luovuttaa yleisölle. Tämäntyyppisiä tietoja ei voida käyttää yksinään yksilön henkilöllisyyden määrittämiseen.

Ei-arkaluonteiset tiedot ovat kuitenkin linkitettävissä, vaikka ne eivät ole herkkiä. Tämä tarkoittaa, että ei-arkaluonteiset tiedot voivat paljastaa henkilön henkilöllisyyden, kun niitä käytetään muiden henkilökohtaisten linkitettävissä olevien tietojen kanssa. Anonymisoinnin poistaminen ja uudelleentunnistustekniikat ovat yleensä onnistuneita, kun useita kvasitunnisteita kootaan yhteen ja niitä voidaan käyttää erottamaan yksi henkilö toisesta.

Henkilökohtaisten tunnistetietojen (PII) säänteleminen ja suojaaminen on todennäköisesti hallitseva kysymys yksityishenkilöille, yrityksille ja hallituksille tulevina vuosina.

Henkilökohtaisten tunnistetietojen (PII) suojaaminen

Eri maat ovat hyväksyneet useita tietosuojalakeja luodakseen ohjeita yrityksille, jotka keräävät, tallentavat ja jakavat asiakkaiden henkilötietoja. Jotkut näiden osavaltioiden lakien määrittelemistä perusperiaatteista, joiden mukaan tiettyjä arkaluonteisia tietoja ei pidä kerätä paitsi äärimmäisissä tilanteissa.

Sääntelyohjeissa määrätään myös, että tiedot on poistettava, jos niitä ei enää tarvita ilmoitettuun tarkoitukseen, eikä henkilötietoja saa jakaa lähteille, jotka eivät voi taata niiden suojaa.

Kyberrikolliset murtautuvat tietojärjestelmiin päästäkseen käsiksi henkilökohtaisiin tunnistetietoihin, jotka sitten myydään halukkaille ostajille maanalaisilla digitaalisilla kauppapaikoilla. Esimerkiksi vuonna 2015 veroviranomainen joutui tietomurtoon, joka johti yli sadan tuhannen veronmaksajien henkilötietojen varkaukseen.

Käyttäen useista lähteistä varastettuja näennäisiä tietoja, tekijät pääsivät IRS:n verkkosivustosovellukseen vastaamalla henkilökohtaisiin varmistuskysymyksiin, joiden olisi pitänyt olla vain veronmaksajien tiedossa.

Henkilökohtaisten tunnistetietojen turvaaminen ei välttämättä aina ole yksin palveluntarjoajan vastuulla. Joissakin tapauksissa se voidaan jakaa henkilön kanssa.

Henkilökohtaisia tunnistetietoja ympäri maailmaa

PII:n määritelmä vaihtelee sen mukaan, missä päin maailmaa asut. Yhdysvalloissa hallitus määritteli vuonna 2020 "henkilökohtaisesti tunnistettavissa olevaksi" kaikeksi, mitä voidaan käyttää "henkilön henkilöllisyyden erottamiseen tai jäljittämiseen", kuten nimi, SSN ja biometriset tiedot; joko yksin tai muiden tunnisteiden, kuten syntymäajan tai syntymäpaikan, kanssa.

Euroopan unionissa (EU) määritelmä laajenee kattamaan kvasitunnisteet, jotka on määritelty yleisessä tietosuoja-asetuksessa ( GDPR), joka tuli voimaan toukokuussa 2018. GDPR on oikeudellinen kehys, joka asettaa säännöt henkilötietojen keräämiselle ja käsittelylle. tietoa EU:ssa asuville.

Henkilökohtaiset tunnistetiedot vs. henkilökohtaiset tiedot

Henkilötiedot kattavat laajemman kontekstin kuin henkilötiedot. Esimerkiksi IP-osoitteesi, laitetunnusnumerosi, selaimen evästeet, online-aliakset tai geneettiset tiedot. Tietyt attribuutit, kuten uskonto, etninen alkuperä, seksuaalinen suuntautuminen tai sairaushistoria, voidaan luokitella henkilötiedoiksi, mutta ei henkilötiedoiksi.

Esimerkki henkilökohtaisista tunnistetiedoista

Vuoden 2018 alussa Facebook Inc. (META), nyt Meta, oli sekaantunut suureen tietomurtoon. Ulkopuolinen Cambridge Analytica -niminen yhtiö keräsi 30 miljoonan Facebook-käyttäjän profiilit ilman heidän suostumustaan. Cambridge Analytica sai tietonsa Facebookista Cambridgen yliopistossa työskennellyn tutkijan kautta. Tutkija rakensi Facebook-sovelluksen, joka oli persoonallisuustesti. Sovellus on ohjelmistosovellus, jota käytetään mobiililaitteissa ja verkkosivustoilla.

Sovellus on suunniteltu ottamaan tiedot niiltä, jotka vapaaehtoisesti antoivat pääsyn tietoihinsa tietokilpailua varten. Valitettavasti sovellus ei kerännyt pelkästään tietokilpailun tekijöiden tietoja, vaan se pystyi Facebookin järjestelmässä olevan porsaanreiän vuoksi keräämään tietoja myös tietokilpailun tekijöiden ystäviltä ja perheenjäseniltä.

Tämän seurauksena yli 50 miljoonan Facebook-käyttäjän tiedot paljastettiin Cambridge Analyticalle ilman heidän suostumustaan. Vaikka Facebook kielsi heidän tietojensa myynnin, Cambridge Analytica kääntyi ja myi tiedot käytettäväksi poliittiseen konsultointiin. Mark Zuckerberg,. Facebookin perustaja ja toimitusjohtaja, julkaisi lausunnon yhtiön Q1-2019 tulostiedotteessa:

Keskitymme rakentamaan yksityisyyteen keskittyvää visioamme sosiaalisen verkostoitumisen tulevaisuudesta ja työskentelemme yhdessä ratkaistaksemme tärkeitä Internetin ympärillä olevia kysymyksiä.

Tietomurto ei koskenut vain Facebookin käyttäjiä, vaan myös sijoittajia. Facebookin voitot laskivat 50 % vuoden 2019 ensimmäisellä neljänneksellä verrattuna vastaavaan ajanjaksoon vuotta aiemmin. Yritykselle kertyi 3 miljardia dollaria oikeuskuluja, ja sen osakekohtainen tulos olisi ollut 1,04 dollaria suurempi ilman kuluja.

Arvioimme, että tappiot ovat tässä asiassa 3,0–5,0 miljardia dollaria. Asia on edelleen ratkaisematta, eikä lopputuloksen ajoituksesta tai ehdoista voi olla varmuutta.

Seuraavana päivänä, 25. huhtikuuta 2019, Meta ilmoitti kieltävänsä persoonallisuustestit alustaltaan.

Yritykset investoivat epäilemättä tapoihin kerätä tietoja, kuten henkilökohtaisia tunnistetietoja (PII), tarjotakseen tuotteita kuluttajille ja maksimoidakseen tuottoja. Silti niihin kohdataan tulevina vuosina tiukemmat määräykset.

##Kohokohdat

Ei-arkaluonteiset henkilökohtaiset tunnistetiedot ovat helposti saatavilla julkisista lähteistä, ja ne voivat sisältää postinumerosi, rodusi, sukupuolesi ja syntymäaikasi.
Sosiaalisen median sivustoja voidaan pitää ei-arkaluonteisina henkilötiedoina.
Passit sisältävät henkilötietoja.
Arkaluontoisia henkilökohtaisia tietoja voivat olla koko nimesi, sosiaaliturvatunnus, ajokortti, taloudelliset tiedot ja sairaustiedot.
Henkilökohtaiset tunnistetiedot (PII) käyttävät tietoja henkilön henkilöllisyyden vahvistamiseen.

##UKK

Mikä ei ole PII?

Henkilötietoja ei luokitella henkilökohtaisiksi tunnistetiedoiksi eikä ei-henkilökohtaisiksi tiedoiksi, kuten yrityksesi, jossa työskentelet, jaetut tiedot tai anonymisoidut tiedot.

Mikä on henkilökohtaista tunnistetta?

Yhdysvaltain hallitus määrittelee henkilötiedot seuraavasti: "Tiedot, joita voidaan käyttää yksilön henkilöllisyyden erottamiseen tai jäljittämiseen, kuten nimi, sosiaaliturvatunnus, biometriset tiedot jne. yksinään tai yhdistettynä muihin henkilötietoihin tai tunnistetietoihin, jotka liittyvät tai voidaan yhdistää tiettyyn henkilöön, kuten syntymäaika ja -paikka, äidin tyttönimi jne.

Mitkä lait suojaavat henkilökohtaisia tunnistetietoja?

Useat liittovaltion ja osavaltioiden kuluttajansuojalainsäädäntö suojaa henkilökohtaisia tunnistetietoja ja määrää sen luvattoman käytön; esimerkiksi Federal Trade Commission Act -laki ja vuoden 1974 tietosuojalaki.

Mitä sinun tulee tehdä, kun lähetät henkilökohtaisia tunnistetietoja sähköpostitse?

Koska sähköposti ei ole aina suojattu, yritä välttää henkilökohtaisten tunnistetietojen lähettämistä sähköpostitse. Käytä tarvittaessa salausta tai suojattuja vahvistustekniikoita.

Mikä on henkilökohtaisten tunnistetietojen rikkominen?

PII-rikkomukset ovat laittomia, ja niihin liittyy usein petoksia, kuten identiteettivarkauksia. Rikkomukset voivat johtua myös henkilökohtaisten tunnistetietojen luvattomasta käytöstä, käytöstä tai paljastamisesta. Henkilötietojen rikkomuksesta ilmoittamatta jättäminen voi myös olla rikkomus.