Hva er personlig identifiserbar informasjon (PII)?
Personlig identifiserbar informasjon (PII) er informasjon som når den brukes alene eller sammen med andre relevante data, kan identifisere en person. PII kan inneholde direkte identifikatorer (f.eks. Passinformasjon) som kan identifisere en person unikt, eller kvasi-identifikatorer (f.eks. Rase) som kan kombineres med andre kvasi-identifikatorer (f.eks fødselsdato) for å kunne gjenkjenne et individ.
Forstå personlig identifiserbar informasjon (PII)
Fremme av teknologiplattformer har endret måten virksomheter opererer, myndigheter lovgiver og enkeltpersoner forholder seg til. Med digitale verktøy som mobiltelefoner, Internett, e-handel og sosiale medier har det skjedd en eksplosjon i tilførselen av alle slags data.
Big data, som det heter, blir samlet inn, analysert og behandlet av virksomheter og delt med andre selskaper. Rikdommen med informasjon fra big data har gjort det mulig for selskaper å få innsikt i hvordan de kan samhandle bedre med kundene.
Fremveksten av big data har imidlertid også økt antallet brudd på data og cyberangrep fra enheter som innser verdien av denne informasjonen. Som et resultat har det blitt reist bekymringer for hvordan selskaper håndterer sensitiv informasjon fra sine forbrukere. Tilsynsorganer søker nye lover for å beskytte forbrukerens data, mens brukere leter etter mer anonyme måter å holde seg digitale på.
Viktige takeaways
- Personlig identifiserbar informasjon (PII) er informasjon som, når den brukes alene eller sammen med andre relevante data, kan identifisere en person. Sensitiv personlig identifiserbar informasjon kan inkludere ditt fulle navn, personnummer, førerkort, økonomisk informasjon og medisinske poster. Ikke- sensitiv personlig identifiserbar informasjon er lett tilgjengelig fra offentlige kilder og kan inkludere postnummer, rase, kjønn og fødselsdato.
Følsom vs. ikke-følsom PII
Personlig identifiserbar informasjon (PII) kan være sensitiv eller ikke-sensitiv. Sensitiv personlig informasjon inkluderer juridisk statistikk som:
- Fullt navnKredittkortinformasjonPassinformasjon
Listen over er på ingen måte uttømmende. Bedrifter som deler data om sine klienter, bruker vanligvis anonymiseringsteknikker for å kryptere og tilsløre PII, så det mottas i en ikke-personlig identifiserbar form. Et forsikringsselskap som deler sine klienters informasjon med et markedsføringsselskap, vil maskere den sensitive PII som er inkludert i dataene, og bare etterlate informasjon relatert til markedsselskapets mål.
Ikke-sensitiv eller indirekte PII er lett tilgjengelig fra offentlige kilder som telefonbøker, Internett og bedriftskataloger. Eksempler på ikke-følsom eller indirekte PII inkluderer:
- PostnummerRaceKjønn FødselsdatoSted for fødselReligion
Listen over inneholder kvasi-identifikatorer og eksempler på ikke-sensitiv informasjon som kan frigis til publikum. Denne typen informasjon kan ikke brukes alene for å bestemme individets identitet.
Ikke-sensitiv informasjon, selv om den ikke er delikat, er imidlertid koblbar. Dette betyr at ikke-sensitive data, når de brukes sammen med annen personlig koblbar informasjon, kan avsløre identiteten til et individ. De-anonymisering og re-identifikasjonsteknikker har en tendens til å være vellykket når flere sett med kvasi-identifikatorer er samlet og kan brukes til å skille en person fra en annen.
Ivaretakelse av PII
Flere databeskyttelseslover er vedtatt av forskjellige land for å lage retningslinjer for selskaper som samler inn, lagrer og deler personlig informasjon om klienter. Noen av de grunnleggende prinsippene som er skissert i disse lovene, sier at noe sensitiv informasjon ikke bør samles med mindre for ekstreme situasjoner.
I tillegg bestemmer forskriftsretningslinjene at data skal slettes hvis de ikke lenger er nødvendige for det uttalte formål, og personlig informasjon skal ikke deles med kilder som ikke kan garantere deres beskyttelse.
Cyberkriminelle bryter datasystemer for å få tilgang til PII, som deretter selges til villige kjøpere på underjordiske digitale markedsplasser. I 2015 ble for eksempel skattemyndighetene utsatt for et datainnbrudd som førte til tyveri av mer enn hundre tusen skattebetalers PII. Ved å bruke kvasi-informasjon stjålet fra flere kilder, kunne gjerningsmennene få tilgang til en IRS-nettstedssøknad ved å svare på personlige bekreftelsesspørsmål som bare burde vært rettet mot skattebetalerne.
Å regulere og ivareta personlig identifiserbar informasjon vil sannsynligvis være et dominerende spørsmål for enkeltpersoner, selskaper og myndigheter i årene som kommer.
PII Around the World
Definisjonen av hva som omfatter PII er forskjellig avhengig av hvor du bor i verden. I USA definerte regjeringen i 2007 "personlig identifiserbar" som alt som kan "brukes til å skille eller spore et individs identitet", som navn, SSN, biometrisk informasjon - enten alene eller med andre identifikatorer som fødselsdato, eller fødested.
I Den europeiske union (EU) utvides definisjonen til å omfatte kvasi-identifikatorer som beskrevet i den generelle databeskyttelsesforordningen (GDPR) som trådte i kraft i mai 2018. GDPR er et juridisk rammeverk som setter regler for innsamling og behandling av personlig informasjon for de som er bosatt i EU.
Eksempel på PII
I begynnelsen av 2018 ble Facebook Inc. (FB) involvert i et større datainnbrudd. Profilene til 50 millioner Facebook-brukere ble samlet uten deres samtykke av et eksternt selskap som heter Cambridge Analytica som rapportert av The Guardian.
Cambridge Analytica fikk dataene sine fra Facebook gjennom en forsker som jobbet ved University of Cambridge. Forskeren bygde en Facebook-app som var en personlighetsquiz. En app er en programvare som brukes på mobile enheter og nettsteder.
Appen var designet for å ta informasjonen fra de som meldte seg frivillig til å gi tilgang til dataene sine for quizen. Dessverre samlet appen ikke bare dataene fra quiztakerne, men på grunn av et smutthull i Facebooks system, var det også mulig å samle inn data fra venner og familiemedlemmer til quiztakerne.
Som et resultat hadde over 50 millioner Facebook-brukere sine data utsatt for Cambridge Analytica uten deres samtykke. Selv om Facebook forbød salg av dataene sine, snudde Cambridge Analytica seg og solgte dataene som skulle brukes til politisk rådgivning.
Mark Zuckerberg, Facebook-grunnlegger og administrerende direktør ga ut en uttalelse innen selskapets resultatutgivelse for 1. kvartal:
Vi er fokusert på å bygge ut vår personvernfokuserte visjon for fremtiden for sosiale nettverk og samarbeide for å løse viktige problemer rundt Internett.
Datainnbruddet påvirket ikke bare Facebook-brukere, men også investorer. Facebooks fortjeneste gikk ned med 50% i Q1-2019 mot samme periode året før. Selskapet tilførte 3 milliarder dollar i advokatutgifter og ville hatt en inntjening per aksje på 1, 04 dollar høyere uten utgiftene, med angivelse av:
Vi anslår at tapsområdet i denne saken er $ 3, 0 til 5, 0 milliarder dollar. Saken forblir uavklart, og det kan ikke være sikkerhet for tidspunktet eller vilkårene for noe endelig utfall.
Bedrifter vil utvilsomt investere på måter å høste inn data som personlig identifiserbar informasjon for å tilby produkter til forbrukerne og maksimere fortjenesten. Å regulere og ivareta PII vil imidlertid sannsynligvis være et dominerende spørsmål i årene som kommer.
