Mikä on henkilökohtaisesti tunnistettavissa olevat tiedot (PII)?
Henkilökohtaisesti tunnistetiedot (PII) ovat tietoja, jotka yksinään tai muiden asiaankuuluvien tietojen kanssa käytettäessä voivat tunnistaa henkilön. PII voi sisältää suoria tunnisteita (esim. Passitiedot), jotka voivat tunnistaa henkilön yksilöllisesti, tai kvasitunnisteita (esim. Rotu), jotka voidaan yhdistää muihin kvasitunnisteisiin (esim. Syntymäaika) yksilön onnistuneen tunnistamiseksi.
Henkilökohtaisesti tunnistettavien tietojen ymmärtäminen
Edistyvät teknologiaympäristöt ovat muuttaneet tapaa, jolla yritykset toimivat, hallitukset säätelevät ja yksityishenkilöt suhtautuvat toisiinsa. Digitaalisten työkalujen, kuten matkapuhelimien, Internetin, verkkokaupan ja sosiaalisen median, avulla kaikenlaista tietoa on saatu räjähdysmäisesti.
Yritykset keräävät, analysoivat ja käsittelevät suuria tietoja, kuten sitä kutsutaan, ja jakavat muiden yritysten kanssa. Suuren datan tarjoamat tiedot ovat antaneet yrityksille mahdollisuuden saada parempaa vuorovaikutusta asiakkaiden kanssa.
Suurtietojen esiintyminen on kuitenkin lisännyt tietojen rikkomusten ja tietoverkkohyökkäysten määrää sellaisten yksiköiden keskuudessa, jotka ymmärtävät tämän tiedon arvon. Seurauksena on ollut huolenaihe siitä, miten yritykset käsittelevät kuluttajiensa arkaluontoisia tietoja. Sääntelyelimet etsivät uusia lakeja kuluttajien tietojen suojelemiseksi, kun taas käyttäjät etsivät anonyymejä tapoja pysyä digitaalisina.
Avainsanat
- Henkilökohtaisesti tunnistettavat tiedot (PII) ovat tietoja, jotka yksinään tai muiden asiaankuuluvien tietojen kanssa käytettäessä voivat tunnistaa henkilön. Herkät henkilökohtaisesti tunnistettavat tiedot voivat sisältää koko nimesi, sosiaaliturvatunnuksesi, ajokortin, taloudelliset tiedot ja lääketieteelliset tiedot. arkaluontoiset henkilötiedot ovat helposti saatavissa julkisista lähteistä, ja niihin voi sisältyä postinumero, rotu, sukupuoli ja syntymäaika.
Herkkä vs. ei-herkkä PII
Henkilökohtaisesti tunnistetiedot (PII) voivat olla arkaluontoisia tai ei-arkaluontoisia. Arkaluontoiset henkilötiedot sisältävät lailliset tilastot, kuten:
- Koko nimiLuottokorttitiedotPassotiedot
Yllä oleva luettelo ei ole mitenkään tyhjentävä. Yritykset, jotka jakavat tietoja asiakkaistaan, käyttävät tavallisesti nimettömistekniikoita yksityisyyden suojan salaamiseen ja hämärtämiseen, joten se vastaanotetaan muussa kuin henkilöllisessä muodossa. Vakuutusyhtiö, joka jakaa asiakkaidensa tiedot markkinointiyhtiön kanssa, peittää tietoihin sisältyvän arkaluontoisen henkilötietojen ja jättää vain markkinointiyhtiön tavoitteeseen liittyvät tiedot.
Herkät tai epäsuorat henkilötiedot ovat helposti saatavissa julkisista lähteistä, kuten puhelinluetteloista, Internetistä ja yrityshakemistoista. Esimerkkejä ei-herkästä tai epäsuorasta PII: sta
- PostinumeroRaceGenderSyntymäpäiväSyntymäpaikkaUskonto
Yllä oleva luettelo sisältää kvasitunnisteita ja esimerkkejä ei-arkaluontoisista tiedoista, jotka voidaan luovuttaa yleisölle. Tämän tyyppisiä tietoja ei voida käyttää yksin yksilön henkilöllisyyden määrittämiseen.
Ei-arkaluonteiset tiedot ovat kuitenkin linkitettäviä, vaikka ne eivät olekaan arkaluontoisia. Tämä tarkoittaa, että muut kuin arkaluontoiset tiedot voivat paljastaa yksilön henkilöllisyyden, kun sitä käytetään muiden henkilökohtaisesti linkitettävien tietojen kanssa. Anonyymien poistamisen ja uudelleen tunnistamisen tekniikat ovat yleensä onnistuneita, kun useita kvasitunnisteiden sarjoja yhdistetään ja niitä voidaan käyttää erottamaan yksi henkilö toisesta.
PII: n suojaaminen
Eri maat ovat antaneet useita tietosuojalakeja ohjeiden luomiseksi yrityksille, jotka keräävät, tallentavat ja jakavat asiakkaiden henkilökohtaisia tietoja. Joidenkin näiden lakien esittämien perusperiaatteiden mukaan arkaluonteisia tietoja ei pidä kerätä, paitsi äärimmäisissä tilanteissa.
Lainsäädännöllisissä suuntaviivoissa määrätään myös, että tiedot olisi poistettava, jos niitä ei enää tarvita ilmoitetussa tarkoituksessa, ja henkilökohtaisia tietoja ei pidä jakaa lähteille, jotka eivät pysty takaamaan niiden suojaa.
Tietoverkkorikolliset rikkovat tietojärjestelmiä päästäkseen yksityisyyden suojaan, joka sitten myydään halukkaille ostajille maanalaisissa digitaalisissa markkinapaikoissa. Esimerkiksi vuonna 2015 IRS kärsi tietorikkomuksesta, joka johti yli sadan tuhannen verovelvollisen henkilöllisyyden varastamiseen. Useista lähteistä varastettujen lähes tietojen avulla rikoksentekijät pääsivät IRS-verkkosivustosovellukseen vastaamalla henkilökohtaisiin todentamiskysymyksiin, joiden olisi pitänyt olla vain veronmaksajien tietoinen.
Henkilökohtaisesti tunnistettavien tietojen sääteleminen ja suojaaminen on todennäköisesti hallitseva kysymys henkilöille, yrityksille ja hallituksille tulevina vuosina.
PII ympäri maailmaa
PII: n määritelmä vaihtelee sen mukaan, missä asut maailmassa. Yhdysvalloissa hallitus määritteli vuonna 2007 henkilöllisyyden tunnistamiselle kaiken, jota voidaan "käyttää yksilöiden tunnistamiseen tai jäljittämiseen", kuten nimi, SSN, biometriset tiedot - joko yksinään tai muilla tunnisteilla, kuten syntymäaika, tai syntymäpaikka.
Euroopan unionissa (EU) määritelmä laajenee sisältäen kvasitunnisteita, kuten hahmoteltiin toukokuussa 2018 voimaan tulleessa yleisessä tietosuojaasetuksessa (GDPR). GDPR on oikeudellinen kehys, joka asettaa henkilötietojen keruuta ja käsittelyä koskevat säännöt EU: ssa asuville.
Esimerkki PII: sta
Vuoden 2018 alussa Facebook Inc. (FB) tarttui suureen tietorikkomukseen. 50 miljoonan Facebook-käyttäjän profiilit kerättiin ilman heidän suostumustaan ulkopuolinen yritys nimeltä Cambridge Analytica, kuten The Guardian ilmoitti .
Cambridge Analytica sai tiedot Facebookista tutkijan kautta, joka työskenteli Cambridgen yliopistossa. Tutkija rakensi Facebook-sovelluksen, joka oli persoonallisuuskilpailu. Sovellus on mobiililaitteissa ja verkkosivustoissa käytetty sovellus.
Sovellus on suunniteltu ottamaan tietoja niiltä, jotka ovat vapaaehtoisesti antaneet pääsyn tietoihinsa tietokilpailuun. Valitettavasti sovellus ei kerännyt tietokilpailuun osallistujien tietoja, vaan Facebookin järjestelmän aukon takia pystyi keräämään tietoja myös tietokilpailun ystävien ja perheenjäsenten toimesta.
Seurauksena yli 50 miljoonan Facebook-käyttäjän altistuminen tietoonsa Cambridge Analyticaan ilman heidän suostumustaan. Vaikka Facebook kielsi heidän tietojensa myynnin, Cambridge Analytica kääntyi ympäri ja myi tiedot käytettäväksi poliittiseen konsultointiin.
Facebookin perustaja ja toimitusjohtaja Mark Zuckerberg julkaisi lausunnon yhtiön Q1-2019 -tiedotteesta:
Olemme keskittyneet kehittämään yksityisyyttä koskevaa näkemystämme sosiaalisen verkostoitumisen tulevaisuudesta ja työskentelemään yhdessä keskustelemaan tärkeistä asioista Internetissä.
Tietojen rikkominen ei vaikuttanut vain Facebook-käyttäjiin, vaan myös sijoittajiin. Facebookin voitot laskivat 50% Q1-2019 verrattuna vastaavaan ajanjaksoon vuotta aiemmin. Yhtiölle oli kertynyt 3 miljardia dollaria oikeudellisia kuluja ja sen osakekohtainen tulos olisi ollut 1, 04 dollaria suurempi ilman kuluja, ilmoittaen:
Arvioimme, että tässä asiassa tappioiden vaihteluväli on 3, 0–5, 0 miljardia dollaria. Asia on edelleen ratkaisematta, eikä lopullisen lopputuloksen ajoituksesta tai ehdoista voida olla varmuutta.
Yritykset sijoittavat epäilemättä tapoihin kerätä tietoja, kuten henkilökohtaisia tietoja, tarjota tuotteita kuluttajille ja maksimoida voitot. Tietosuojavaltuutuksen sääntely ja turvaaminen on kuitenkin todennäköisesti hallitseva kysymys tulevina vuosina.
