Informacje umożliwiające identyfikację osoby (PII)
Co to są informacje umożliwiające identyfikację osoby (PII)?
Informacje umożliwiające identyfikację osoby (PII) to informacje, które użyte samodzielnie lub z innymi istotnymi danymi mogą zidentyfikować daną osobę.
Dane osobowe mogą zawierać identyfikatory bezpośrednie (np. informacje paszportowe), które mogą jednoznacznie identyfikować osobę, lub quasi-identyfikatory (np. rasa), które można łączyć z innymi quasi-identyfikatorami (np. datą urodzenia) w celu pomyślnego rozpoznania osoby.
Zrozumienie informacji umożliwiających identyfikację osoby
Rozwijające się platformy technologiczne zmieniły sposób, w jaki działają przedsiębiorstwa, rządy stanowią prawo, a osoby fizyczne odnoszą się do nich. Dzięki narzędziom cyfrowym, takim jak telefony komórkowe, Internet, handel elektroniczny i media społecznościowe, nastąpiła eksplozja podaży wszelkiego rodzaju danych.
Big data,. jak to się nazywa, są gromadzone, analizowane i przetwarzane przez firmy oraz udostępniane innym firmom. Bogactwo informacji dostarczanych przez duże zbiory danych umożliwiło firmom uzyskanie wglądu w lepsze interakcje z klientami.
Jednak pojawienie się big data zwiększyło również liczbę naruszeń danych i cyberataków przez podmioty, które zdają sobie sprawę z wartości tych informacji. W rezultacie pojawiły się obawy dotyczące sposobu, w jaki firmy traktują poufne informacje swoich konsumentów. Organy regulacyjne poszukują nowych przepisów chroniących dane konsumentów, podczas gdy użytkownicy szukają bardziej anonimowych sposobów na pozostanie cyfrowym.
Wrażliwe a Niewrażliwe informacje umożliwiające identyfikację użytkownika
Wrażliwe dane osobowe
Informacje umożliwiające identyfikację osoby (PII) mogą być wrażliwe lub niewrażliwe. Wrażliwe dane osobowe obejmują statystyki prawne, takie jak:
Imię i nazwisko
Prawo jazdy
Informacje o karcie kredytowej
Informacje paszportowe
Informacje finansowe
Dokumentacja medyczna
Powyższa lista w żadnym wypadku nie jest wyczerpująca. Firmy, które udostępniają dane o swoich klientach, zwykle używają technik anonimizacji do szyfrowania i zaciemniania informacji umożliwiających identyfikację, dzięki czemu są one odbierane w formie, która nie umożliwia identyfikacji użytkownika. Firma ubezpieczeniowa, która udostępnia informacje o swoich klientach firmie marketingowej, zamaskuje wrażliwe PII zawarte w danych i pozostawi tylko informacje związane z celem firmy marketingowej.
Niewrażliwe dane osobowe
Niewrażliwe lub pośrednie dane osobowe są łatwo dostępne ze źródeł publicznych, takich jak książki telefoniczne, Internet i katalogi firmowe. Przykłady niewrażliwych lub pośrednich informacji umożliwiających identyfikację obejmują:
Kod pocztowy
Wyścig
Płeć
Data urodzenia
Miejsce urodzenia
Religia
Powyższa lista zawiera quasi-identyfikatory i przykłady niewrażliwych informacji, które mogą zostać ujawnione opinii publicznej. Tego typu informacji nie można wykorzystać samodzielnie do określenia tożsamości osoby.
Jednak informacje niewrażliwe, choć nie delikatne, można połączyć. Oznacza to, że dane niewrażliwe, gdy są używane z innymi danymi osobowymi, które można powiązać, mogą ujawnić tożsamość osoby. Techniki deanonimizacji i ponownej identyfikacji zwykle są skuteczne, gdy zestawia się wiele zestawów quasi-identyfikatorów i można ich użyć do odróżnienia jednej osoby od drugiej.
Regulacja i ochrona informacji umożliwiających identyfikację osób (PII) będzie prawdopodobnie dominującym problemem dla osób fizycznych, korporacji i rządów w nadchodzących latach.
Ochrona danych osobowych (PII)
W różnych krajach przyjęto wiele przepisów dotyczących ochrony danych, aby stworzyć wytyczne dla firm, które gromadzą, przechowują i udostępniają dane osobowe klientów. Niektóre z podstawowych zasad określonych w tych przepisach stanowych, zgodnie z którymi niektóre poufne informacje nie powinny być gromadzone, chyba że w sytuacjach ekstremalnych.
Ponadto wytyczne regulacyjne stanowią, że dane powinny zostać usunięte, jeśli nie są już potrzebne do określonego celu, a dane osobowe nie powinny być udostępniane źródłom, które nie mogą zagwarantować ich ochrony.
Cyberprzestępcy włamują się do systemów danych, aby uzyskać dostęp do danych osobowych, które są następnie sprzedawane chętnym nabywcom na podziemnych rynkach cyfrowych. Na przykład w 2015 r. w IRS doszło do naruszenia danych, które doprowadziło do kradzieży danych osobowych ponad stu tysięcy podatników.
Wykorzystując quasi-informacje wykradzione z wielu źródeł, sprawcy mogli uzyskać dostęp do aplikacji internetowej IRS, odpowiadając na osobiste pytania weryfikacyjne, które powinny być dostępne tylko dla podatników.
Ochrona danych osobowych nie zawsze może być wyłączną odpowiedzialnością usługodawcy. W niektórych przypadkach może być udostępniony danej osobie.
Informacje umożliwiające identyfikację osób na całym świecie
Definicja tego, co składa się na dane osobowe, różni się w zależności od tego, gdzie mieszkasz na świecie. W Stanach Zjednoczonych w 2020 r. rząd zdefiniował „możliwość identyfikacji osobistej” jako wszystko, co można „wykorzystać do odróżnienia lub śledzenia tożsamości osoby”, takie jak imię i nazwisko, numer SSN i dane biometryczne; samodzielnie lub z innymi identyfikatorami, takimi jak data urodzenia lub miejsce urodzenia.
W Unii Europejskiej (UE) definicja rozszerza się o quasi-identyfikatory określone w ogólnym rozporządzeniu o ochronie danych (RODO), które weszło w życie w maju 2018 r. RODO to ramy prawne określające zasady gromadzenia i przetwarzania danych osobowych informacje dla osób mieszkających w UE.
Informacje umożliwiające identyfikację osoby a dane osobiste
Dane osobowe obejmują szerszy zakres kontekstów niż PII. Na przykład adres IP, numery identyfikacyjne urządzenia, pliki cookie przeglądarki, aliasy internetowe lub dane genetyczne. Niektóre atrybuty, takie jak religia, pochodzenie etniczne, orientacja seksualna lub historia medyczna, mogą być klasyfikowane jako dane osobowe, ale nie informacje umożliwiające identyfikację.
Przykład informacji umożliwiających identyfikację osoby
Na początku 2018 r. Facebook Inc. (META), obecnie Meta, została uwikłana w poważny wyciek danych. Profile 30 milionów użytkowników Facebooka zostały zebrane bez ich zgody przez zewnętrzną firmę Cambridge Analytica. Cambridge Analytica uzyskała swoje dane z Facebooka za pośrednictwem badacza, który pracował na Uniwersytecie Cambridge. Badacz zbudował aplikację na Facebooka, która była quizem osobowości. Aplikacja to aplikacja używana na urządzeniach mobilnych i stronach internetowych.
Aplikacja została zaprojektowana tak, aby zebrać informacje od osób, które zgłosiły się na ochotnika do udostępnienia swoich danych w quizie. Niestety, aplikacja zbierała nie tylko dane osób biorących udział w quizie, ale z powodu luki w systemie Facebooka była również w stanie zebrać dane od znajomych i członków rodziny osób biorących udział w quizie.
W rezultacie ponad 50 milionów użytkowników Facebooka udostępniło swoje dane Cambridge Analytica bez ich zgody. Chociaż Facebook zabronił sprzedaży ich danych, Cambridge Analytica odwrócił się i sprzedał dane do wykorzystania w konsultacjach politycznych. Mark Zuckerberg,. założyciel i dyrektor generalny Facebooka, opublikował oświadczenie w komunikacie wyników firmy za I kwartał 2019 r.:
Koncentrujemy się na budowaniu naszej skoncentrowanej na prywatności wizji przyszłości sieci społecznościowych i wspólnej pracy nad rozwiązywaniem ważnych problemów w Internecie.
Naruszenie danych dotknęło nie tylko użytkowników Facebooka, ale także inwestorów. Zyski Facebooka spadły o 50% w I kwartale 2019 r. w porównaniu z tym samym okresem rok wcześniej. Firma zgromadziła 3 miliardy dolarów kosztów prawnych i miałaby zysk na akcję wyższy o 1,04 dolara bez tych kosztów, stwierdzając:
Szacujemy, że rozpiętość strat w tej sprawie wynosi od 3,0 mld USD do 5,0 mld USD. Sprawa pozostaje nierozstrzygnięta i nie ma pewności co do terminu lub warunków ostatecznego wyniku.
Następnego dnia, 25 kwietnia 2019 r., Meta ogłosiła, że zakazuje quizów osobowościowych na swojej platformie.
Firmy niewątpliwie zainwestują w sposoby zbierania danych, takich jak informacje umożliwiające identyfikację osoby (PII), aby oferować produkty konsumentom i maksymalizować zyski. Jednak w nadchodzących latach spotkają się z bardziej rygorystycznymi przepisami.
##Przegląd najważniejszych wydarzeń
Niewrażliwe informacje umożliwiające identyfikację są łatwo dostępne ze źródeł publicznych i mogą obejmować kod pocztowy, rasę, płeć i datę urodzenia.
Witryny mediów społecznościowych mogą być uważane za niewrażliwe informacje umożliwiające identyfikację.
Paszporty zawierają informacje umożliwiające identyfikację.
Poufne informacje umożliwiające identyfikację osoby mogą obejmować imię i nazwisko, numer ubezpieczenia społecznego, prawo jazdy, informacje finansowe i dokumentację medyczną.
Informacje umożliwiające identyfikację osoby (PII) wykorzystują dane w celu potwierdzenia tożsamości osoby.
##FAQ
Co nie jest informacjami umożliwiającymi identyfikację?
Dane osobowe nie są klasyfikowane jako dane umożliwiające identyfikację i dane nieosobowe, takie jak firma, w której pracujesz, dane udostępnione lub dane zanonimizowane.
Co kwalifikuje się jako PII?
Informacje umożliwiające identyfikację osoby są definiowane przez rząd Stanów Zjednoczonych jako: „Informacje, które można wykorzystać do odróżnienia lub śledzenia tożsamości osoby, takie jak imię i nazwisko, numer ubezpieczenia społecznego, dane biometryczne itp. samodzielnie lub w połączeniu z innymi danymi osobowymi lub identyfikującymi, które są powiązane lub można je powiązać z konkretną osobą, takimi jak data i miejsce urodzenia, nazwisko panieńskie matki itp.”
Jakie przepisy chronią dane osobowe?
Różne federalne i stanowe przepisy dotyczące ochrony konsumentów chronią dane osobowe i sankcjonują ich nieautoryzowane użycie; na przykład Ustawa o Federalnej Komisji Handlu i Ustawa o Prywatności z 1974 roku.
Co musisz zrobić, gdy wysyłasz e-maile do informacji umożliwiających identyfikację?
Ponieważ poczta e-mail nie zawsze jest bezpieczna, staraj się unikać wysyłania informacji umożliwiających identyfikację. Jeśli musisz, użyj szyfrowania lub bezpiecznych technik weryfikacji.
Co to jest naruszenie PII?
Naruszenia PII są nielegalne i często wiążą się z oszustwami, takimi jak kradzież tożsamości. Naruszenia mogą również wynikać z nieautoryzowanego dostępu, wykorzystania lub ujawnienia PII. Niezgłoszenie naruszenia PII może również stanowić naruszenie.