主要内容
课程: 计算机和互联网 > 单元 4
课程 1: PII (个人可识别信息)PII (个人可识别信息)
个人身份识别信息(PII) 是指能够直接或间接识别个人身份的数据。
直接标识
以下PII直接标识一个人:
| PII 类型 | 示例 |
|---|---|
| 姓名 | Kavita Hawkins |
| 社会保障号码 | 123-45-6789 |
| 生物识别数据 |
间接标识
姓名或指纹是PII的明显例子。但并非总是这样显而易见的。
请考虑电话号码:
(408)-930-0
只使用电话号码,您能直接识别一个人吗?也许不行。 然而,如果你有408地区代码的电话号码簿,你很可能可以查出来。
换言之,电话号码当与 电话簿一起使用时 可以间接地识别某个人。
这个例子证实了另一种形式的PII:可链接的PII,这是指可把不同来源数据合并以查明个人身份。
通常的例子包括:
| PII 类型 | 示例 |
|---|---|
| Age | 25 |
| 种族 | 美籍印度人 |
| 位置 | 116 Broadway, NYC, NY, 10027 |
| 医疗数据 | 访问时间:2020年三月12日,诊断结果:感冒 |
如何确认PII?
将信息定为PII是有难度的。例如,有观点认为IP地址不是PII,因为它们识别的是计算机而不是个人。另一方面,IP地址也可被视为PII地址,因为它们常常指明地理位置并充当可联接的PII地址。 正确的分类至今不清楚。
一种数据即使目前不被视为PII数据,今后也可能会。如果未来的政府法律强制规定个人拥有一套IP地址,那么IP地址就会称为PII。PII数据的分类可能会随着时间而变化。
可链接的PII使得这种分类更加困难。例如,可以使用来自某人社交媒体帖子的时间戳来推断他们居住的时区。如果此人还在张贴了就餐的饭店照片,可以使用时区来大概确定餐厅的位置。现在你可以大致了解这人在哪里生活或他们是谁!全部来自于将时间戳与餐馆照片连接在一起。
🤔在这个示例中,你是否认为可链接的 PII 是餐馆照片还是时间戳?还有哪些可归类为直接PII或可链接PII的数据的例子?
PII 盗窃
罪犯可以从公司偷窃PII,这常常被称为数据泄漏。
2017年,信用中介公司Equifax成为数据泄漏的受害者,袭击者获得了1.43亿美国人的个人信息。 PII 包含社会保障号码和信用卡号码。
攻击者一旦能够获得这些数据。 他们可以使用社会保障号码冒名顶替人或使用信用卡号码进行未经授权的购买。
如何才能知道自己是否是数据泄漏事故的受害者?一般说来,我们希望出现数据泄漏的公司通知我们,但是像 HaveIBeenPwned这样的服务也可以。
下面是来自 HaveIBeenPwned 的一个普通电子邮件地址示例:
PII 法规
由于 PII 落入坏人之手可能危及受害者的生命,法律对各机构如何储存和处理PII作出规定。
例如,在美国,医疗保险可移植性和问责制法对医疗 PII 保护做出了规定, 而《儿童在线隐私保护法》则对儿童在线隐私保护作了规定。在欧洲,大多数 PII 都由《统一数据保护条例》加以规范。如果你在这些国家和地区拥有存储用户 PII 的网站或应用,你必须遵循这些规定。
建议
作为用户, 最好只在必要时将我们的 PII 提供在线服务——而且几乎从来没有必要提供像社会保障号码这样的政府身份识别码。
我们还应注意在社会媒体发的信息。 即使我们发的信息现在还不是 PII ,这些信息可能今后成为可链接的 PII。
🙋🏽🙋🏻♀️🙋🏿♂️您对此主题有任何疑问吗? 我们很乐意回答-只需在下面的问题区域中提问即可!