Dane osobowe (PII)
Co to są dane osobowe (PII)?
Informacje umożliwiające identyfikację osoby (PII) to informacje, które użyte samodzielnie lub z innymi istotnymi danymi mogą zidentyfikować osobę. Informacje umożliwiające identyfikację mogą zawierać bezpośrednie identyfikatory (np. Informacje paszportowe), które pozwalają jednoznacznie zidentyfikować osobę, lub quasi-identyfikatory (np. Rasę), które można łączyć z innymi quasi-identyfikatorami (np. Data urodzenia), aby skutecznie rozpoznać osobę.
Kluczowe wnioski
- Informacje umożliwiające identyfikację osoby (PII) to informacje, które użyte samodzielnie lub z innymi istotnymi danymi mogą zidentyfikować osobę.
- Wrażliwe dane osobowe mogą obejmować imię i nazwisko, numer ubezpieczenia społecznego, prawo jazdy, informacje finansowe i dokumentację medyczną.
- Niewrażliwe dane osobowe są łatwo dostępne ze źródeł publicznych i mogą obejmować kod pocztowy, rasę, płeć i datę urodzenia.
Zrozumienie informacji umożliwiających identyfikację osób (PII)
Zaawansowane platformy technologiczne zmieniły sposób działania firm, stanowienie prawa przez rządy i relacje międzyludzkie. Dzięki narzędziom cyfrowym, takim jak telefony komórkowe, Internet, handel elektroniczny i media społecznościowe, nastąpił gwałtowny wzrost podaży wszelkiego rodzaju danych.
Big data, jak to się nazywa, jest gromadzona, analizowana i przetwarzana przez przedsiębiorstwa oraz udostępniana innym firmom. Bogactwo informacji dostarczanych przez duże zbiory danych umożliwiło firmom uzyskanie wglądu w to, jak lepiej współdziałać z klientami.
Jednak pojawienie się big data zwiększyło również liczbę naruszeń danych i cyberataków ze strony podmiotów, które zdają sobie sprawę z wartości tych informacji. W rezultacie pojawiły się obawy dotyczące sposobu, w jaki firmy postępują z poufnymi informacjami swoich konsumentów. Organy regulacyjne poszukują nowych przepisów w celu ochrony danych konsumentów, podczas gdy użytkownicy szukają bardziej anonimowych sposobów na pozostanie cyfrowym.
Wrażliwe a niewrażliwe informacje umożliwiające identyfikację osoby
(PII)
Dane osobowe (PII) mogą być wrażliwe lub niewrażliwe. Wrażliwe dane osobowe obejmują statystyki prawne, takie jak:
- Pełne imię i nazwisko
- Numer ubezpieczenia społecznego (SSN)
- Prawo jazdy
- Adres pocztowy
- Informacje o karcie kredytowej
- Informacje paszportowe
- Informacje finansowe
- Dokumentacja medyczna
Powyższa lista nie jest wyczerpująca. Firmy, które udostępniają dane o swoich klientach, zwykle używają technik anonimizacji do szyfrowania i zaciemniania informacji umożliwiających identyfikację, dzięki czemu są one odbierane w formie uniemożliwiającej identyfikację osoby. Firma ubezpieczeniowa, która udostępnia informacje swoich klientów firmie marketingowej, zamaskuje wrażliwe dane osobowe zawarte w danych i pozostawi tylko informacje związane z celem firmy marketingowej.
Niewrażliwe lub pośrednie dane osobowe są łatwo dostępne ze źródeł publicznych, takich jak książki telefoniczne, Internet i katalogi firmowe. Przykłady niewrażliwych lub pośrednich informacji umożliwiających identyfikację obejmują:
- Kod pocztowy
- Wyścigi
- Płeć
- Data urodzenia
- Miejsce urodzenia
- Religia
Powyższa lista zawiera quasi-identyfikatory i przykłady niewrażliwych informacji, które mogą być upublicznione. Tego rodzaju informacji nie można wykorzystać samodzielnie do ustalenia tożsamości osoby.
Jednak informacje niewrażliwe, chociaż nie są delikatne, można połączyć. Oznacza to, że dane niewrażliwe, gdy są używane z innymi danymi osobowymi, które można powiązać, mogą ujawnić tożsamość osoby. Techniki deanonimizacji i ponownej identyfikacji zwykle są skuteczne, gdy wiele zestawów quasi-identyfikatorów jest połączonych razem i można ich użyć do odróżnienia jednej osoby od drugiej.
Ochrona informacji umożliwiających identyfikację osób (PII)
W różnych krajach przyjęto wiele przepisów dotyczących ochrony danych, aby stworzyć wytyczne dla firm, które gromadzą, przechowują i udostępniają dane osobowe klientów. Niektóre z podstawowych zasad określonych w tych przepisach stanowią, że niektórych poufnych informacji nie należy gromadzić, chyba że w ekstremalnych sytuacjach.
Ponadto wytyczne regulacyjne stanowią, że dane należy usuwać, jeśli nie są już potrzebne do określonego celu, a dane osobowe nie powinny być udostępniane źródłom, które nie mogą zagwarantować ich ochrony.
Regulacja i ochrona informacji umożliwiających identyfikację osoby (PII) będzie prawdopodobnie dominującym problemem dla osób fizycznych, korporacji i rządów w nadchodzących latach.
Cyberprzestępcy włamują się do systemów danych, aby uzyskać dostęp do danych osobowych, które są następnie sprzedawane zainteresowanym nabywcom na podziemnych rynkach cyfrowych. Na przykład w 2015 r. IRS doznał naruszenia danych, które doprowadziło do kradzieży ponad stu tysięcy PII podatników. Wykorzystując quasi-informacje skradzione z wielu źródeł, sprawcy mogli uzyskać dostęp do aplikacji internetowej IRS, odpowiadając na osobiste pytania weryfikacyjne, które powinny być dostępne tylko dla podatników.
Dane osobowe (PII) na całym świecie
Definicja tego, co obejmuje informacje umożliwiające identyfikację, różni się w zależności od tego, gdzie mieszkasz na świecie. W Stanach Zjednoczonych w 2020 r. Rząd zdefiniował „dane osobowe” jako wszystko, co można „wykorzystać do rozróżnienia lub prześledzenia tożsamości osoby”, takie jak imię i nazwisko, numer PESEL czy dane biometryczne;samodzielnie lub z innymi identyfikatorami, takimi jak data urodzenia lub miejsce urodzenia.
W Unii Europejskiej (UE) definicja rozszerza się i obejmuje quasi-identyfikatory określone w ogólnym rozporządzeniu o ochronie danych (RODO), które weszło w życie w maju 2018 r.3 RODO to ramy prawne określające zasady gromadzenia oraz przetwarzanie danych osobowych osób zamieszkałych w UE.
Przykład informacji umożliwiających identyfikację osoby (PII)
Na początku 2018 roku firmaFacebook Inc. (FB) została uwikłana w poważne naruszenie danych. Profile 50 milionów użytkowników Facebooka zostały zebrane bez ich zgody przez zewnętrzną firmę Cambridge Analytica.
Cambridge Analytica uzyskała dane z Facebooka za pośrednictwem badacza, który pracował na Uniwersytecie w Cambridge. Badacz stworzył aplikację na Facebooku, która była quizem osobowości. Aplikacja to aplikacja używana na urządzeniach mobilnych i stronach internetowych.
Aplikacja została zaprojektowana w taki sposób, aby pobierać informacje od tych, którzy dobrowolnie udzielili dostępu do swoich danych do quizu. Niestety, aplikacja gromadziła nie tylko dane osób biorących udział w quizie, ale ze względu na lukę w systemie Facebooka była w stanie zbierać również dane od znajomych i członków rodziny osób biorących udział w quizie.
W rezultacie ponad 50 milionów użytkowników Facebooka udostępniło swoje dane Cambridge Analytica bez ich zgody. Chociaż Facebook zakazał sprzedaży ich danych, Cambridge Analytica odwrócił się i sprzedał dane do wykorzystania w konsultacjach politycznych.
Mark Zuckerberg, założyciel i dyrektor generalny Facebooka, wydał oświadczenie w publikacji wyników firmy za I kwartał 2019 r.:
Skupiamy się na budowaniu naszej wizji przyszłości sieci społecznościowych, która koncentruje się na prywatności i na współpracy nad rozwiązywaniem ważnych problemów w Internecie.
Naruszenie danych dotknęło nie tylko użytkowników Facebooka, ale także inwestorów. Zyski Facebooka spadły o 50% w I kw. 2019 r. W porównaniu z tym samym okresem rok wcześniej. Firma zgromadziła 3 miliardy dolarów z tytułu kosztów prawnych i miałaby zysk na akcję wyższy o 1,04 dolara bez tych wydatków, stwierdzając:
Szacujemy, że zakres strat w tej sprawie wynosi od 3,0 do 5,0 mld USD. Sprawa pozostaje nierozwiązana i nie ma żadnej pewności co do terminu lub warunków ostatecznego wyniku.
Firmy niewątpliwie będą inwestować w sposoby gromadzenia danych, takich jak dane osobowe (PII), aby oferować produkty konsumentom i maksymalizować zyski, ale w nadchodzących latach spotka się z bardziej rygorystycznymi regulacjami.