ข้อมูลที่สามารถระบุตัวตนได้ (PII): คำจำกัดความประเภทและตัวอย่าง

ข้อมูลที่สามารถระบุตัวบุคคล (PII) เป็นข้อมูลที่เมื่อใช้เพียงอย่างเดียวหรือกับข้อมูลอื่น ๆ ที่เกี่ยวข้องสามารถระบุบุคคลได้

PII อาจมีตัวระบุโดยตรง (เช่นข้อมูลหนังสือเดินทาง) ที่สามารถระบุบุคคลที่ไม่ซ้ำกันหรือ identifiers (เช่นเชื้อชาติ) ที่สามารถรวมกับ identifiers กึ่ง identifiers อื่น ๆ (เช่นวันเดือนปีเกิด) เพื่อรับรู้บุคคล

การทำความเข้าใจข้อมูลที่สามารถระบุตัวบุคคลได้ (PII)

แพลตฟอร์มเทคโนโลยีที่ก้าวหน้าได้เปลี่ยนวิธีการดำเนินธุรกิจธุรกิจของรัฐบาลและบุคคลที่เกี่ยวข้อง ด้วยเครื่องมือดิจิตอลเช่นโทรศัพท์มือถืออินเทอร์เน็ตอีคอมเมิร์ซและโซเชียลมีเดียทำให้มีการระเบิดในการจัดหาข้อมูลทุกประเภท

ข้อมูลขนาดใหญ่ตามที่เรียกว่ากำลังถูกรวบรวมวิเคราะห์และดำเนินการโดยธุรกิจและแบ่งปันกับ บริษัท อื่น ๆ ความมั่งคั่งของข้อมูลที่ได้รับจาก Big Data ช่วยให้ บริษัท ต่างๆได้รับข้อมูลเชิงลึกเกี่ยวกับวิธีการโต้ตอบกับลูกค้าได้ดีขึ้น

อย่างไรก็ตามการเกิดขึ้นของข้อมูลขนาดใหญ่ได้เพิ่มจำนวนการละเมิดข้อมูลและการโจมตีทางไซเบอร์โดยหน่วยงานที่ตระหนักถึงคุณค่าของข้อมูลนี้ เป็นผลให้ความกังวลได้รับการยกขึ้นเกี่ยวกับวิธีที่ บริษัท จัดการกับข้อมูลที่ละเอียดอ่อนของผู้บริโภค หน่วยงานกำกับดูแลกำลังมองหากฎหมายใหม่เพื่อปกป้องข้อมูลของผู้บริโภคในขณะที่ผู้ใช้กำลังมองหาวิธีที่ไม่ระบุชื่อมากขึ้นในการรักษาดิจิตอล

Sensitive vs. Nonsensitive Pii

PII ที่ละเอียดอ่อน

ข้อมูลที่สามารถระบุตัวบุคคลได้ (PII) อาจมีความอ่อนไหวหรือไร้สาระ ข้อมูลส่วนบุคคลที่ละเอียดอ่อนรวมถึงสถิติทางกฎหมายเช่น:

• ชื่อเต็ม
• หมายเลขประกันสังคม (SSN)
• ใบขับขี่
• ที่อยู่ทางไปรษณีย์
• ข้อมูลบัตรเครดิต
• ข้อมูลหนังสือเดินทาง
• ข้อมูลทางการเงิน
• เวชระเบียน

รายการข้างต้นไม่ได้ครบถ้วนสมบูรณ์

บริษัท ที่แบ่งปันข้อมูลเกี่ยวกับลูกค้าของพวกเขาใช้ตามปกติการไม่เปิดเผยตัวตนเทคนิคในการเข้ารหัสและทำให้งงงวย PII ดังนั้นจึงได้รับในรูปแบบที่ไม่สามารถระบุตัวตนได้ บริษัท ประกันภัยที่แบ่งปันข้อมูลลูกค้ากับ บริษัท การตลาดจะปกปิด PII ที่ละเอียดอ่อนรวมอยู่ในข้อมูลและทิ้งข้อมูลที่เกี่ยวข้องกับเป้าหมายของ บริษัท การตลาดเท่านั้น

PII ที่ไม่มีความรู้สึก

PII ที่ไม่มีความรู้สึกหรือทางอ้อมสามารถเข้าถึงได้ง่ายจากแหล่งสาธารณะเช่นสมุดโทรศัพท์อินเทอร์เน็ตและไดเรกทอรีขององค์กร ตัวอย่างของ PII ที่ไร้ความรู้สึกหรือทางอ้อม ได้แก่ :

• รหัสไปรษณีย์
• แข่ง
• เพศ
• วันเกิด
• สถานที่เกิด
• ศาสนา

รายการข้างต้นมี identifiers เสมือนและตัวอย่างของข้อมูลที่ไม่มีความรู้สึกที่สามารถเผยแพร่สู่สาธารณะ ข้อมูลประเภทนี้ไม่สามารถใช้เพียงอย่างเดียวเพื่อกำหนดตัวตนของแต่ละบุคคล

อย่างไรก็ตามข้อมูลที่ไร้สาระ - แม้ว่าจะไม่ละเอียดอ่อน - เชื่อมโยงได้ ซึ่งหมายความว่าข้อมูลที่ไม่มีความรู้สึกเมื่อใช้กับข้อมูลส่วนบุคคลอื่น ๆ สามารถเปิดเผยตัวตนของบุคคลได้การยกเลิกคำนามและเทคนิคการระบุซ้ำมีแนวโน้มที่จะประสบความสำเร็จเมื่อชุด identifiers หลายชุดถูกประกอบเข้าด้วยกันและสามารถใช้เพื่อแยกความแตกต่างของบุคคลหนึ่งจากอีกชุดหนึ่ง

ปกป้อง PII

กฎหมายคุ้มครองข้อมูลหลายแห่งได้รับการรับรองจากประเทศต่างๆเพื่อสร้างแนวทางสำหรับ บริษัท ที่รวบรวมจัดเก็บและแบ่งปันข้อมูลส่วนบุคคลของลูกค้า หลักการพื้นฐานบางอย่างที่ระบุไว้โดยกฎหมายเหล่านี้ระบุว่าไม่ควรรวบรวมข้อมูลที่ละเอียดอ่อนบางอย่างเว้นแต่จะมีสถานการณ์ที่รุนแรง

นอกจากนี้แนวทางการกำกับดูแลยังกำหนดว่าควรลบข้อมูลหากไม่จำเป็นต้องใช้เพื่อวัตถุประสงค์ที่ระบุไว้อีกต่อไปและไม่ควรแบ่งปันข้อมูลส่วนบุคคลกับแหล่งข้อมูลที่ไม่สามารถรับประกันการป้องกันได้

อาชญากรไซเบอร์Breach Data Systems เพื่อเข้าถึง PII แล้วขายให้กับผู้ซื้อที่เต็มใจในตลาดดิจิตอลใต้ดิน ตัวอย่างเช่นในปี 2558 กรมสรรพากร (IRS) ได้รับความเดือดร้อนจากการละเมิดข้อมูลที่นำไปสู่การขโมย PII ของผู้เสียภาษีมากกว่า 100,000 คน

ด้วยการใช้ข้อมูลเสมือนที่ถูกขโมยจากหลายแหล่งผู้กระทำผิดสามารถเข้าถึงแอปพลิเคชันเว็บไซต์ IRS ได้โดยตอบคำถามการตรวจสอบส่วนบุคคลที่ควรได้รับการรับรองจากผู้เสียภาษีเท่านั้น

การขโมย PII อย่างไร

ขโมยหลายคนพบว่าผู้ที่ตกเป็นเหยื่อที่ไม่สงสัยโดยการขุดผ่านถังขยะสำหรับจดหมายที่ยังไม่ได้เปิด สิ่งนี้สามารถให้ชื่อและที่อยู่ของบุคคล ในบางกรณีมันยังสามารถเปิดเผยข้อมูลเกี่ยวกับการจ้างงานความสัมพันธ์ของธนาคารหรือแม้แต่หมายเลขประกันสังคมของพวกเขา

ทุกวันนี้อินเทอร์เน็ตได้กลายเป็นเวกเตอร์หลักสำหรับการขโมยข้อมูลประจำตัวการทำฟิชชิ่งและวิศวกรรมสังคมการโจมตีใช้เว็บไซต์หรืออีเมลที่ดูหลอกลวงเพื่อหลอกให้ใครบางคนเปิดเผยข้อมูลสำคัญเช่นชื่อหมายเลขบัญชีธนาคารรหัสผ่านหรือหมายเลขประกันสังคม นอกจากนี้ยังเป็นไปได้ที่จะขโมยข้อมูลนี้ผ่านทางโทรศัพท์หลอกลวงหรือข้อความ SMS

เคล็ดลับในการปกป้อง PII

ในขณะที่มันเป็นไปไม่ได้ที่จะป้องกันตัวเองอย่างเต็มที่คุณสามารถทำให้ตัวเองเป็นเป้าหมายที่เล็กลงด้วยการลดโอกาสในการขโมย PII ของคุณ Experian หนึ่งในสามหน่วยงานเครดิตอันดับแรกแสดงรายการหลายขั้นตอนที่คุณสามารถทำได้เพื่อลดพื้นที่ผิวของคุณ

ตัวอย่างเช่นกล่องจดหมายหรือกล่อง PO ที่ล็อคทำให้ยากขึ้นสำหรับโจรที่จะขโมยจดหมายของคุณและลบการระบุตัวตนส่วนบุคคลออกจากจดหมายขยะและเอกสารอื่น ๆ ทำให้ยากขึ้น นอกจากนี้หลีกเลี่ยงการพกพา PII มากกว่าที่คุณต้องการ - ไม่มีเหตุผลที่จะเก็บบัตรประกันสังคมของคุณไว้ในกระเป๋าเงินของคุณ

ในทำนองเดียวกันมีบางขั้นตอนที่คุณสามารถทำได้เพื่อป้องกันการขโมยข้อมูลประจำตัวออนไลน์- การรั่วไหลของข้อมูลเป็นแหล่งที่สำคัญของการขโมยข้อมูลประจำตัวดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องใช้รหัสผ่านที่ซับซ้อนและซับซ้อนสำหรับแต่ละบัญชีออนไลน์ เข้ารหัสข้อมูลสำคัญของคุณเสมอและใช้รหัสผ่านสำหรับโทรศัพท์หรืออุปกรณ์แต่ละเครื่อง นอกจากนี้ยังเป็นความคิดที่ดีที่จะฟอร์แมตฮาร์ดไดรฟ์ของคุณเมื่อใดก็ตามที่คุณขายหรือบริจาคคอมพิวเตอร์

PII ทั่วโลก

คำจำกัดความของสิ่งที่ประกอบด้วย PII แตกต่างกันไปขึ้นอยู่กับว่าคุณอาศัยอยู่ที่ไหนในโลก ต่อไปนี้เป็นระบบความเป็นส่วนตัวในเขตอำนาจศาลเฉพาะ:

ประเทศสหรัฐอเมริกา

ในสหรัฐอเมริการัฐบาลได้กำหนด“ การระบุตัวตนเป็นการส่วนตัว” ในปี 2563 เป็นสิ่งที่สามารถ“ ใช้เพื่อแยกแยะหรือติดตามตัวตนของแต่ละบุคคล” เช่นชื่อ SSN และข้อมูลชีวภาพ ไม่ว่าจะเป็นเพียงอย่างเดียวหรือกับตัวระบุอื่น ๆ เช่นวันเดือนปีเกิดหรือสถานที่เกิด

ยุโรป

ในสหภาพยุโรป (EU)คำจำกัดความจะขยายไปรวมถึง identifiers เสมือนตามที่ระบุไว้ในระเบียบการป้องกันข้อมูลทั่วไป (GDPR)สิ่งนี้มีผลบังคับใช้ในเดือนพฤษภาคม 2561 GDPR เป็นกรอบทางกฎหมายที่กำหนดกฎสำหรับการรวบรวมและประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ที่อาศัยอยู่ในสหภาพยุโรป

ออสเตรเลีย

ข้อมูลส่วนบุคคลได้รับการคุ้มครองโดยพระราชบัญญัติความเป็นส่วนตัวปี 1988 กฎหมายนี้ควบคุมการรวบรวมการจัดเก็บการใช้งานและการเปิดเผยข้อมูลส่วนบุคคลไม่ว่าจะโดยรัฐบาลกลางหรือหน่วยงานเอกชน การแก้ไขเพิ่มเติมในภายหลังควบคุมการใช้ตัวระบุการดูแลสุขภาพและกำหนดภาระหน้าที่ของหน่วยงานที่ได้รับผลกระทบจากการละเมิดข้อมูล

แคนาดา

พระราชบัญญัติการปกป้องข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ควบคุมการใช้ข้อมูลส่วนบุคคลเพื่อการใช้งานเชิงพาณิชย์ สิ่งนี้ถูกกำหนดให้เป็นข้อมูลที่ด้วยตนเองหรือรวมกับข้อมูลอื่น ๆ สามารถระบุว่าคุณเป็นบุคคลได้

ข้อมูลที่สามารถระบุตัวบุคคลได้กับข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลครอบคลุมบริบทที่กว้างกว่า PII - ตัวอย่างเช่นที่อยู่ IP ของคุณหมายเลขรหัสอุปกรณ์คุกกี้เบราว์เซอร์นามแฝงออนไลน์หรือข้อมูลทางพันธุกรรม คุณลักษณะบางอย่างเช่นศาสนาเชื้อชาติรสนิยมทางเพศหรือประวัติทางการแพทย์อาจจัดเป็นข้อมูลส่วนบุคคล แต่ไม่ใช่ข้อมูลที่สามารถระบุตัวตนได้

Pii Breaches

มีหลายกรณีที่ลูกค้า PII ถูกขโมยจาก บริษัท ต่างๆ บ่อยครั้งสิ่งนี้ส่งผลให้เกิดค่าปรับที่หนัก

การบันทึกที่ดีที่สุดในเดือนตุลาคม 2566 ถูกส่งไปยัง Didi Global บริษัท Ride-Hailing ของจีนถูกปรับ 8.026 พันล้านหยวน (1.1 พันล้านดอลลาร์) โดยการบริหารไซเบอร์สเปซของจีนสำหรับการละเมิดกฎหมายความมั่นคงเครือข่ายของประเทศกฎหมายความมั่นคงข้อมูลและกฎหมายคุ้มครองข้อมูลส่วนบุคคล ผู้รับรายอื่นของค่าปรับขนาดใหญ่สำหรับความล้มเหลวในการปกป้องข้อมูลที่สามารถระบุตัวบุคคลได้อย่างเพียงพอ ได้แก่ Equifax, Amazon และ Meta

เรื่องอื้อฉาวข้อมูล Facebook-Cambridge Analytica

หนึ่งในกรณีที่รู้จักกันดีที่สุดคือ Meta หรือ Facebook ตามที่ทราบแล้ว ในปี 2010 โปรไฟล์ของผู้ใช้ Facebook 30 ล้านคนถูกรวบรวมโดยไม่ได้รับความยินยอมจาก บริษัท ภายนอกชื่อ Cambridge Analytica-Cambridge Analytica ได้รับข้อมูลจาก Facebook ผ่านนักวิจัยที่ทำงานที่มหาวิทยาลัยเคมบริดจ์ นักวิจัยสร้างแอพ Facebook ซึ่งเป็นแบบทดสอบบุคลิกภาพ

แอพนี้ได้รับการออกแบบมาเพื่อรับข้อมูลจากผู้ที่อาสาให้เข้าถึงข้อมูลของพวกเขาสำหรับการตอบคำถาม น่าเสียดายที่แอปไม่เพียง แต่รวบรวมข้อมูลของผู้ตอบคำถาม แต่ยังเนื่องจากช่องโหว่ในระบบของ Facebook ข้อมูลจากเพื่อนและสมาชิกในครอบครัวของผู้ตอบคำถาม

เป็นผลให้ผู้ใช้ Facebook กว่า 50 ล้านคนได้รับข้อมูลจาก Cambridge Analytica โดยไม่ได้รับความยินยอมแม้ว่า Facebook จะห้ามการขายข้อมูลของพวกเขา Cambridge Analytica หันหลังกลับและขายข้อมูลเพื่อใช้สำหรับการให้คำปรึกษาทางการเมือง

การละเมิดข้อมูลไม่เพียงส่งผลกระทบต่อผู้ใช้ Facebook เท่านั้น แต่ยังมีนักลงทุนอีกด้วย ในรายงานไตรมาสแรก (ไตรมาสที่ 1) 2019 Facebook กล่าวว่ามีค่าใช้จ่ายทางกฎหมายอยู่ที่ 3 พันล้านดอลลาร์ซึ่งอ้างว่าบีบอัตรากำไรจากการดำเนินงานลง 20 คะแนนรายได้ต่อหุ้นโดย $ 1.04

นั่นเป็นเพียงการเริ่มต้น ในปีต่อ ๆ มา บริษัท ยังคงเพิ่มค่าใช้จ่ายและจ่ายเงินหลายพันล้านดอลลาร์ในค่าปรับ การฝ่าฝืนข้อมูลยังทำให้ชื่อเสียงเสื่อมเสียและทำให้ผู้ใช้บางคนหยุดใช้เว็บไซต์โซเชียลเน็ตเวิร์ก

บรรทัดล่าง

ข้อมูลที่สามารถระบุตัวบุคคล (PII) เป็นข้อมูลประเภทใดก็ได้ที่สามารถใช้ในการระบุใครบางคนจากชื่อและที่อยู่ไปยังหมายเลขโทรศัพท์ข้อมูลหนังสือเดินทางและหมายเลขประกันสังคม ข้อมูลนี้มักเป็นเป้าหมายสำหรับขโมยข้อมูลประจำตัวโดยเฉพาะทางอินเทอร์เน็ต ด้วยเหตุนี้จึงเป็นสิ่งจำเป็นสำหรับ บริษัท และหน่วยงานของรัฐในการรักษาฐานข้อมูลให้ปลอดภัย