Mi a személyesen azonosítható információ (PII)?
A személyesen azonosítható információ (PII) olyan információ, amely önmagában vagy más releváns adatokkal történő felhasználás esetén azonosíthatja az egyént. A PII tartalmazhat közvetlen azonosítókat (pl. Útlevélinformációkat), amelyek egyedileg azonosíthatnak egy személyt, vagy kvázi-azonosítókat (pl. Faj), amelyeket más kvázi-azonosítókkal (pl. Születési idő) kombinálhatnak az egyén sikeres felismerésére.
Személyesen azonosítható információk (PII) megértése
A fejlődő technológiai platformok megváltoztatták a vállalkozások működését, a kormányok törvényhozását és az egyének kapcsolattartását. A digitális eszközökkel, például a mobiltelefonokkal, az internettel, az e-kereskedelemmel és a közösségi médiával robbanás történt mindenféle adatátvitel során.
A nagy adatokat, ahogy azt nevezik, a vállalkozások gyűjtik, elemzik és dolgozzák fel, és megosztják más vállalatokkal. A nagy adatok által nyújtott sokféle információ lehetővé tette a vállalatok számára, hogy betekintést nyerjenek az ügyfelekkel való jobb interakcióba.
A nagy adatok megjelenése ugyanakkor megnövelte az adatok megsértésének és a számítógépes támadásoknak az ezen információk értékét felismerő szervezetek számát. Ennek eredményeként aggodalmak merültek fel azzal kapcsolatban, hogy a vállalatok hogyan kezelik a fogyasztók érzékeny információit. A szabályozó testületek új jogszabályokat keresnek a fogyasztók adatainak védelme érdekében, míg a felhasználók anonim módon keresik a digitális megőrzést.
Kulcs elvihető
- A személyesen azonosítható információ (PII) olyan információ, amely önmagában vagy más releváns adatokkal történő felhasználás esetén azonosíthatja az egyént. Az érzékeny, személyesen azonosítható adatok magukban foglalhatják a teljes nevét, társadalombiztosítási számát, vezetői engedélyét, pénzügyi adatait és orvosi nyilvántartásait. A személyesen azonosítható, érzékeny információk nyilvános forrásokból könnyen elérhetők, és tartalmazhatják irányítószámát, faját, nemét és születési idejét.
Érzékeny és nemérzékeny PII
A személyesen azonosítható információ érzékeny vagy nem érzékeny lehet. Az érzékeny személyes adatok magukban foglalják a jogi statisztikákat, például:
- Teljes névHitelkártya-információkPassport-információk
A fenti lista semmiképpen sem kimerítő. Azok a vállalatok, amelyek megosztják az ügyfeleikkel kapcsolatos adatokat, általában anonimizációs technikákat használnak a személyes adatok titkosítására és eltakarására, tehát nem személyesen azonosítható formában érkeznek be. Egy biztosítótársaság, amely megosztja az ügyfelek adatait egy marketing társasággal, elrejti az adatokban szereplő érzékeny személyi adatvédelmi információkat, és csak a marketing társaság céljaival kapcsolatos információkat hagyja el.
A nem érzékeny vagy közvetett PII könnyen hozzáférhető nyilvános forrásokból, például telefonkönyvekből, az internetről és a vállalati könyvtárakból. A nem érzékeny vagy közvetett PII például:
- IrányítószámRaceGenderDátum: Születési helyVallás
A fenti lista kvázi-azonosítókat és példákat tartalmaz a nyilvánosság számára hozzáférhető, nem érzékeny információkra. Az ilyen típusú információ nem használható önmagában az egyén személyazonosságának meghatározására.
A nem érzékeny információk azonban összekapcsolhatók, bár nem érzékenyek. Ez azt jelenti, hogy a nem érzékeny adatok, ha más, egymással összekapcsolható személyes információval együtt használják, felfedhetik az egyén személyét. A névtelenítés és az újbóli azonosítás technikái általában sikeresek, ha több kvázi-azonosító halmazt összeraknak egymással, és felhasználhatók az emberek megkülönböztetésére a másiktól.
A PII védelme
Különböző országokban több adatvédelmi törvényt fogadtak el, hogy iránymutatásokat hozzanak létre az ügyfelek személyes adatait gyűjtő, tároló és megosztó vállalatok számára. Az e törvényekben körvonalazott néhány alapelv szerint érzékeny információkat csak szélsőséges helyzetekben szabad gyűjteni.
A szabályozási iránymutatások azt is előírják, hogy az adatokat törölni kell, ha már nincs szükségük a megadott célra, és a személyes információkat nem szabad megosztani olyan forrásokkal, amelyek nem garantálják azok védelmét.
A számítógépes bűnözők megsértik az adatrendszereket, hogy hozzáférjenek a PII-hez, amelyet ezután a felkínált vásárlóknak adnak el a föld alatti digitális piacokon. Például 2015-ben az IRS adatsértést szenvedett el, amely több mint százezer adófizető személyi adatainak lopását eredményezte. A több forrásból ellopott kvázi-információ felhasználásával az elkövetők hozzáférhettek az IRS-webhely alkalmazásához azáltal, hogy válaszoltak olyan személyes ellenőrzési kérdésekre, amelyeknek csak az adófizetők számára kellett volna tudniuk.
A személyesen azonosítható információk szabályozása és védelme valószínűleg domináns kérdés lesz az egyének, vállalatok és kormányok számára az elkövetkező években.
PII a világ körül
A PII fogalmának meghatározása attól függ, hogy hol él a világon. Az Egyesült Államokban a kormány 2007-ben a "személyesen azonosítható" fogalmát bármilyenként meghatározta, amely "felhasználható az egyén azonosságának megkülönböztetésére vagy nyomon követésére", például név, SSN, biometrikus adatok - önmagában vagy más azonosítókkal, például a születési idővel, vagy születési hely.
Az Európai Unióban (EU) a fogalommeghatározás kiterjed kvázi-azonosítókra, ahogyan azt a 2018 májusában hatályba lépett általános adatvédelmi rendelet (GDPR) vázolja. A GDPR jogi keret, amely szabályokat határoz meg a személyes adatok gyűjtésére és feldolgozására az EU-ban lakóhellyel rendelkezők számára.
Példa a PII-ra
2018 elején a Facebook Inc.-t (FB) súlyos adatmegsértés sújtotta. Az 50 millió Facebook-felhasználó profilját beleegyezése nélkül egy Cambridge Analytica nevû külsõ társaság gyűjtötte össze, a The Guardian jelentése szerint .
A Cambridge Analytica adatait a Facebookon keresztül a Cambridge-i Egyetemen dolgozó kutatón keresztül szerezte be. A kutató egy Facebook alkalmazást épített fel, amely személyiségi kvíz volt. Az alkalmazás egy mobil alkalmazáson és webhelyen használt szoftver alkalmazás.
Az alkalmazást úgy tervezték, hogy az információt azoktól nyújtsa be, akik önként vállaltak hozzáférést az adatokhoz a kvízhez. Sajnos az alkalmazás nemcsak a kvízfogadók adatait gyűjtötte össze, hanem a Facebook rendszerének hiányosságai miatt adatokat is tudott gyűjteni a kvízfogadók barátaitól és családtagjaitól.
Ennek eredményeként több mint 50 millió Facebook-felhasználó adatai hozzájárulásuk nélkül kerültek kitéve a Cambridge Analytica-ra. Noha a Facebook megtiltotta adataik értékesítését, a Cambridge Analytica megfordult és eladta az adatokat politikai konzultációhoz.
Mark Zuckerberg, a Facebook alapítója és vezérigazgatója nyilatkozatot tett közzé a vállalat első negyedévi eredményjelentésében:
Arra koncentrálunk, hogy kiépítsük a magánéletre összpontosító jövőképét a szociális hálózatok jövőjével kapcsolatban, és együttműködésben dolgozunk az interneten keresztül felmerülő fontos kérdések megoldása érdekében.
Az adatsértés nemcsak a Facebook-felhasználókat érintette, hanem a befektetőket is. A Facebook nyeresége 50% -kal csökkent az első negyedévben, szemben az előző év azonos időszakával. A társaság 3 milliárd dollár jogi költségeket halmozott fel, és egy részvényenkénti jövedelme 1, 04 dollárral magasabb lenne a költségek nélkül, kimondva:
Becsléseink szerint ebben az ügyben a veszteség tartománya 3, 0–5, 0 milliárd dollár. Az ügy továbbra sem oldódott meg, és nincs biztosíték a végső eredmény ütemezéséről vagy feltételeiről.
A vállalatok kétségkívül olyan adatok begyűjtésébe fognak befektetni, mint például a személyes azonosításra alkalmas információk, hogy termékeket kínáljanak a fogyasztóknak és maximalizálják a profitot. A PII szabályozása és védelme azonban az elkövetkező években valószínűleg domináns kérdés lesz.
