Kas ir personiski identificējama informācija (PII)?
Personīgi identificējama informācija (PII) ir informācija, kas, ja to lieto atsevišķi vai kopā ar citiem būtiskiem datiem, var identificēt personu. PII var saturēt tiešus identifikatorus (piemēram, informāciju par pasi), kas var identificēt personu unikāli, vai kvazi-identifikatorus (piemēram, rasi), ko var apvienot ar citiem kvazidendentiem (piemēram, dzimšanas datums), lai veiksmīgi atpazītu indivīdu.
Izpratne par personiski identificējamu informāciju (PII)
Jaunākās tehnoloģiju platformas ir mainījušas uzņēmējdarbību, valdības likumus un privātpersonas. Izmantojot tādus digitālos rīkus kā mobilie tālruņi, internets, e-komercija un sociālie mediji, ir notikusi eksplozija visu veidu datu piegādē.
Lielie dati, kā to sauc, uzņēmumi tiek apkopoti, analizēti un apstrādāti, un tie tiek koplietoti ar citiem uzņēmumiem. Lielo datu sniegtā informācijas bagātība ļāva uzņēmumiem gūt ieskatu par to, kā labāk mijiedarboties ar klientiem.
Tomēr lielo datu parādīšanās ir palielinājusi arī datu pārkāpumu un kiberuzbrukumu skaitu subjektiem, kuri apzinās šīs informācijas vērtību. Tā rezultātā ir radušās bažas par to, kā uzņēmumi rīkojas ar sensitīvu informāciju par patērētājiem. Regulatīvās iestādes meklē jaunus likumus, lai aizsargātu patērētāju datus, savukārt lietotāji meklē anonīmākus veidus, kā palikt digitāli.
Taustiņu izņemšana
- Personīgi identificējama informācija (PII) ir informācija, kas, ja to lieto atsevišķi vai kopā ar citiem būtiskiem datiem, var identificēt personu. Jutīgā personiski identificējamā informācija var ietvert jūsu vārdu, uzvārdu, sociālās apdrošināšanas numuru, autovadītāja apliecību, finanšu informāciju un medicīniskos ierakstus.Nav sensitīva, personiski identificējama informācija ir viegli pieejama no publiskiem avotiem, un tajā var ietvert jūsu pasta indeksu, rasi, dzimumu un dzimšanas datumu.
Jutīgs pret nejūtīgu PII
Personīgi identificējama informācija (PII) var būt slepena vai nenozīmīga. Jutīgā personīgā informācija ietver juridisko statistiku, piemēram:
- Pilns nosaukumsKreditkartes informācijaPasas informācija
Iepriekš minētais saraksts nekādā ziņā nav izsmeļošs. Uzņēmumi, kas apmainās ar datiem par saviem klientiem, parasti izmanto anonimizācijas paņēmienus, lai šifrētu un aizklātu PII, tāpēc tas tiek saņemts neidentificējamā formā. Apdrošināšanas kompānija, kas dalās ar klientu informāciju ar mārketinga kompāniju, maskēs datos iekļauto sensitīvo PII un atstās tikai informāciju, kas saistīta ar mārketinga kompānijas mērķi.
Nejutīga vai netieša PII ir viegli pieejama no publiskiem avotiem, piemēram, tālruņu grāmatām, interneta un korporatīvajiem direktorijiem. Nejutīga vai netieša PII piemēri:
- Pasta indekssRaceGenderDzimšanas datumsPiedzimšanas vietaReligija
Iepriekš minētajā sarakstā ir kvazi-identifikatori un tādas sensitīvas informācijas piemēri, ko var publiskot. Šāda veida informāciju nevar izmantot atsevišķi, lai noteiktu personas identitāti.
Tomēr informācija, kas nav sensitīva, lai arī tā nav delikāta, ir saistīta. Tas nozīmē, ka sensitīvi dati, ja tos izmanto kopā ar citu personiski saistītu informāciju, var atklāt personas identitāti. Deanonimizācijas un atkārtotas identifikācijas paņēmieni parasti ir veiksmīgi, ja kopā ir salikti vairāki kvazi-identifikatoru komplekti, un tos var izmantot, lai atšķirtu vienu personu no citas.
PII aizsardzība
Dažādās valstīs ir pieņemti vairāki datu aizsardzības likumi, lai izveidotu vadlīnijas uzņēmumiem, kas apkopo, uzglabā un apmainās ar klientu personisko informāciju. Daži no šajos likumos izklāstītajiem pamatprincipiem nosaka, ka sensitīvu informāciju drīkst vākt tikai ārkārtas situācijās.
Normatīvās vadlīnijas arī nosaka, ka dati ir jāsvītro, ja tie vairs nav nepieciešami norādītajam mērķim, un personisko informāciju nedrīkst dalīties ar avotiem, kas nevar garantēt to aizsardzību.
Kibernoziedznieki pārkāpj datu sistēmas, lai piekļūtu PII, kas pēc tam tiek pārdots labprātīgiem pircējiem pazemes digitālās tirdzniecības vietās. Piemēram, 2015. gadā IRS cieta datu pārkāpumu, kas izraisīja vairāk nekā simts tūkstošu nodokļu maksātāju PII zādzību. Izmantojot kvazi-informāciju, kas nozagta no vairākiem avotiem, vainīgajiem bija iespēja piekļūt IRS tīmekļa vietnes lietojumprogrammai, atbildot uz personas verifikācijas jautājumiem, kuriem bija jābūt slepeniem tikai nodokļu maksātājiem.
Personīgi identificējamas informācijas regulēšana un aizsardzība nākamajos gados, iespējams, būs dominējošs jautājums indivīdiem, korporācijām un valdībām.
PII visā pasaulē
PII definīcija atšķiras atkarībā no tā, kur jūs dzīvojat pasaulē. Amerikas Savienotajās Valstīs valdība 2007. gadā definēja "personīgi identificējamu" kā jebko, ko "var izmantot, lai atšķirtu vai izsekotu personas identitāti", piemēram, vārdu, SSN, biometrisko informāciju - atsevišķi vai ar citiem identifikatoriem, piemēram, dzimšanas datumu, vai dzimšanas vieta.
Eiropas Savienībā (ES) definīcija tiek paplašināta, iekļaujot kvazi-identifikatorus, kā aprakstīts Vispārējā datu aizsardzības regulā (GDPR), kas stājās spēkā 2018. gada maijā. GDPR ir tiesiskais regulējums, kas nosaka noteikumus personas informācijas vākšanai un apstrādei. tiem, kas dzīvo ES.
PII piemērs
2018. gada sākumā Facebook Inc. (FB) tika iestrādāts nopietnā datu pārkāpumā. 50 miljonu Facebook lietotāju profilus bez viņu piekrišanas apkopoja neatkarīga kompānija ar nosaukumu Cambridge Analytica, kā ziņo The Guardian.
Cambridge Analytica ieguva savus datus no Facebook caur pētnieku, kurš strādāja Kembridžas universitātē. Pētnieks izveidoja Facebook lietotni, kas bija personības viktorīna. Lietotne ir programmatūras lietojumprogramma, ko izmanto mobilajās ierīcēs un vietnēs.
Lietotne tika izstrādāta, lai ņemtu informāciju no tiem, kas brīvprātīgi piešķīra piekļuvi viņu viktorīnas datiem. Diemžēl lietotne apkopoja ne tikai viktorīnas dalībnieku datus, bet nepilnību dēļ Facebook sistēmā varēja savākt datus arī no viktorīnas dalībnieku draugiem un ģimenes locekļiem.
Tā rezultātā vairāk nekā 50 miljoniem Facebook lietotāju bez viņu piekrišanas viņu dati tika pakļauti Cambridge Analytica. Lai arī Facebook aizliedza viņu datu pārdošanu, Cambridge Analytica apgriezās un pārdeva datus, lai tos izmantotu politiskām konsultācijām.
Marks Zuckerbergs, Facebook dibinātājs un izpilddirektors publiskoja paziņojumu uzņēmuma peļņas izlaiduma Q1-2019 laikā:
Mēs koncentrējamies uz uz privātumu orientēta nākotnes redzējuma veidošanu uz sociālo tīklu nākotni un sadarbojamies, lai risinātu svarīgas problēmas internetā.
Datu pārkāpums skāra ne tikai Facebook lietotājus, bet arī investorus. Facebook peļņa samazinājās par 50% 2019. gada 1. ceturksnī salīdzinājumā ar to pašu periodu gadu iepriekš. Uzņēmumam ir uzkrājušies 3 miljardi USD juridisko izdevumu, un bez šiem izdevumiem peļņa uz akciju būtu USD 1, 04 lielāka, norādot:
Mēs lēšam, ka zaudējumu diapazons šajā jautājumā ir no USD 3, 0 miljardiem līdz USD 5, 0 miljardiem. Jautājums joprojām nav atrisināts, un nevar būt pārliecības par jebkura iznākuma grafiku vai noteikumiem.
Uzņēmumi neapšaubāmi ieguldīs tādos datu iegūšanas veidos kā personīgi identificējama informācija, lai patērētājiem piedāvātu produktus un palielinātu peļņu. Tomēr turpmākajos gados PII regulēšana un saglabāšana, iespējams, būs dominējošais jautājums.
