Personligt identificerbare oplysninger (PII)
Hvad er personligt identificerbare oplysninger (PII)?
Personlig identificerbar information (PII) er information, der, når den bruges alene eller sammen med andre relevante data, kan identificere en person.
PII kan indeholde direkte identifikatorer (f.eks. pasoplysninger), der kan identificere en person entydigt, eller kvasi-identifikatorer (f.eks. race), der kan kombineres med andre kvasi-identifikatorer (f.eks. fødselsdato) for at kunne genkende en person.
Forstå personligt identificerbare oplysninger
Avancerede teknologiplatforme har ændret måden, virksomheder opererer på, regeringer lovgiver og enkeltpersoner forholder sig til. Med digitale værktøjer som mobiltelefoner, internet, e-handel og sociale medier er der sket en eksplosion i udbuddet af alle former for data.
Big data,. som det kaldes, bliver indsamlet, analyseret og behandlet af virksomheder og delt med andre virksomheder. Det væld af informationer, der leveres af big data, har gjort det muligt for virksomheder at få indsigt i, hvordan de kan interagere bedre med kunderne.
Fremkomsten af big data har dog også øget antallet af databrud og cyberangreb fra enheder, der indser værdien af denne information. Som følge heraf er der blevet rejst bekymring over, hvordan virksomheder håndterer deres forbrugeres følsomme oplysninger. Reguleringsorganer søger nye love for at beskytte forbrugernes data, mens brugere leder efter mere anonyme måder at forblive digital på.
Følsomme vs. ikke-følsomme personligt identificerbare oplysninger
Følsom PII
Personligt identificerbare oplysninger (PII) kan være følsomme eller ikke-følsomme. Følsomme personoplysninger omfatter juridiske statistikker såsom:
Fulde navn
CPR-nummer (SSN)
Kørekort
Kreditkortoplysninger
Pasoplysninger
Økonomisk information
Medicinske journaler
Ovenstående liste er på ingen måde udtømmende. Virksomheder, der deler data om deres kunder, bruger normalt anonymiseringsteknikker til at kryptere og tilsløre PII, så det modtages i en ikke-personligt identificerbar form. Et forsikringsselskab, der deler sine kunders oplysninger med et markedsføringsselskab, vil maskere de følsomme PII, der er inkluderet i dataene, og kun efterlade information relateret til marketingselskabets mål.
Ikke-følsomme PII
Ikke-følsomme eller indirekte PII er let tilgængelige fra offentlige kilder som telefonbøger, internettet og virksomhedskataloger. Eksempler på ikke-følsomme eller indirekte PII omfatter:
Postnummer
Race
Køn
Fødselsdato
Fødselssted
Religion
Ovenstående liste indeholder kvasi-identifikatorer og eksempler på ikke-følsomme oplysninger, der kan frigives til offentligheden. Denne type oplysninger kan ikke bruges alene til at bestemme en persons identitet.
Ikke-følsomme oplysninger kan dog linkes, selvom de ikke er følsomme. Dette betyder, at ikke-følsomme data, når de bruges sammen med andre personlige oplysninger, der kan linkes, kan afsløre en persons identitet. De-anonymiserings- og genidentifikationsteknikker har en tendens til at være succesfulde, når flere sæt kvasi-identifikatorer er sat sammen og kan bruges til at skelne en person fra en anden.
Regulering og sikring af personligt identificerbare oplysninger (PII) vil sandsynligvis være et dominerende spørgsmål for enkeltpersoner, virksomheder og regeringer i de kommende år.
Beskyttelse af personligt identificerbare oplysninger (PII)
Flere databeskyttelseslove er blevet vedtaget af forskellige lande for at skabe retningslinjer for virksomheder, der indsamler, opbevarer og deler personlige oplysninger om kunder. Nogle af de grundlæggende principper, der er skitseret i disse love, siger, at nogle følsomme oplysninger ikke bør indsamles, medmindre det er i ekstreme situationer.
Også regulatoriske retningslinjer foreskriver, at data skal slettes, hvis de ikke længere er nødvendige til dets angivne formål, og personlige oplysninger bør ikke deles med kilder, der ikke kan garantere deres beskyttelse.
Cyberkriminelle bryder datasystemer for at få adgang til PII, som derefter sælges til villige købere på underjordiske digitale markedspladser. For eksempel led IRS i 2015 et databrud, der førte til tyveri af mere end hundrede tusinde skatteyderes PII.
Ved at bruge kvasi-information stjålet fra flere kilder, var gerningsmændene i stand til at få adgang til en IRS-webstedsapplikation ved at besvare personlige verifikationsspørgsmål, som kun burde have været offentligt tilgængelige for skatteyderne.
Beskyttelse af PII er muligvis ikke altid en tjenesteudbyders eneansvar. I nogle tilfælde kan den deles med den enkelte.
Personligt identificerbare oplysninger rundt om i verden
Definitionen af, hvad der omfatter PII, varierer afhængigt af, hvor du bor i verden. I USA definerede regeringen "personligt identificerbar" i 2020 som alt, der kan "bruges til at skelne eller spore en persons identitet" såsom navn, SSN og biometriske oplysninger; enten alene eller med andre identifikatorer såsom fødselsdato eller fødselssted.
I Den Europæiske Union (EU) udvides definitionen til at omfatte kvasi-identifikatorer som beskrevet i den generelle databeskyttelsesforordning (GDPR), der trådte i kraft i maj 2018. GDPR er en juridisk ramme, der fastsætter regler for indsamling og behandling af personlige oplysninger oplysninger til dem, der er bosat i EU.
Personligt identificerbare oplysninger vs. personlige data
Personlige data omfatter en bredere vifte af sammenhænge end PII. For eksempel din IP-adresse, enheds-id-numre, browsercookies, onlinealiasser eller genetiske data. Visse egenskaber såsom religion, etnicitet, seksuel orientering eller sygehistorie kan klassificeres som personlige data, men ikke personligt identificerbare oplysninger.
Eksempel på personligt identificerbare oplysninger
I begyndelsen af 2018 var Facebook Inc. (META), nu Meta, involveret i et stort databrud. Profilerne på 30 millioner Facebook-brugere blev indsamlet uden deres samtykke af et eksternt firma kaldet Cambridge Analytica. Cambridge Analytica fik sine data fra Facebook gennem en forsker, der arbejdede ved University of Cambridge. Forskeren byggede en Facebook-app, der var en personlighedsquiz. En app er en softwareapplikation, der bruges på mobile enheder og websteder.
Appen er designet til at tage informationen fra dem, der meldte sig frivilligt til at give adgang til deres data til quizzen. Desværre indsamlede appen ikke kun quiztagernes data, men var på grund af et smuthul i Facebooks system også i stand til at indsamle data fra quiztagernes venner og familiemedlemmer.
Som et resultat fik over 50 millioner Facebook-brugere deres data eksponeret for Cambridge Analytica uden deres samtykke. Selvom Facebook forbød salg af deres data, vendte Cambridge Analytica om og solgte dataene for at blive brugt til politisk rådgivning. Mark Zuckerberg,. Facebooks grundlægger og administrerende direktør, udgav en erklæring i virksomhedens indtjeningsmeddelelse for Q1-2019:
Vi er fokuseret på at opbygge vores privatlivsfokuserede vision for fremtiden for sociale netværk og samarbejde om at løse vigtige problemer omkring internettet.
Databruddet ramte ikke kun Facebook-brugere, men også investorer. Facebooks overskud faldt med 50 % i Q1-2019 i forhold til samme periode året før. Virksomheden optjente 3 milliarder dollars i juridiske udgifter og ville have haft en indtjening pr. aktie på 1,04 dollar højere uden udgifterne, med angivelse af:
Vi anslår, at omfanget af tab i denne sag er $3,0 milliarder til $5,0 milliarder. Sagen forbliver uløst, og der kan ikke gives sikkerhed for tidspunktet eller vilkårene for et endeligt resultat.
Den følgende dag, den 25. april 2019, meddelte Meta, at det forbyder personlighedsquizzer fra sin platform.
Virksomheder vil utvivlsomt investere i måder at høste data på, såsom personlig identificerbar information (PII), for at tilbyde produkter til forbrugerne og maksimere profitten. Alligevel vil de blive mødt med strengere regler i de kommende år.
Højdepunkter
Ikke-følsomme personligt identificerbare oplysninger er let tilgængelige fra offentlige kilder og kan omfatte dit postnummer, race, køn og fødselsdato.
Sociale medier kan betragtes som ikke-følsomme personligt identificerbare oplysninger.
Pas indeholder personligt identificerbare oplysninger.
Følsomme personligt identificerbare oplysninger kan omfatte dit fulde navn, CPR-nummer, kørekort, økonomiske oplysninger og medicinske journaler.
Personlig identificerbar information (PII) bruger data til at bekræfte en persons identitet.
Ofte stillede spørgsmål
Hvad er ikke PII?
Personlige data er ikke klassificeret som PII og ikke-personlige data, såsom den virksomhed, du arbejder for, delte data eller anonymiserede data.
Hvad kvalificerer som PII?
Personligt identificerbare oplysninger defineres af den amerikanske regering som: "Oplysninger, der kan bruges til at skelne eller spore en persons identitet, såsom deres navn, personnummer, biometriske optegnelser osv. alene, eller når de kombineres med andre personlige eller identificerende oplysninger som er knyttet til eller kan knyttes til en bestemt person, såsom fødselsdato og -sted, moderens pigenavn osv.
Hvilke love beskytter PII?
Forskellige føderale og statslige forbrugerbeskyttelseslove beskytter PII og sanktionerer dets uautoriserede brug; for eksempel Federal Trade Commission Act og Privacy Act af 1974.
Hvad skal du gøre, når du sender PII via e-mail?
Fordi e-mail ikke altid er sikker, så prøv at undgå at e-maile PII. Hvis du skal, brug kryptering eller sikre verifikationsteknikker.
Hvad er en PII-overtrædelse?
PII-overtrædelser er ulovlige og involverer ofte bedrageri såsom identitetstyveri. Overtrædelser kan også stamme fra uautoriseret adgang, brug eller offentliggørelse af PII. Undladelse af at rapportere et PII-brud kan også være en overtrædelse.
