Thông tin nhận dạng cá nhân (PII) là gì?
Thông tin nhận dạng cá nhân (PII) là thông tin mà khi được sử dụng một mình hoặc với các dữ liệu liên quan khác có thể xác định một cá nhân. PII có thể chứa các số nhận dạng trực tiếp (ví dụ: thông tin hộ chiếu) có thể nhận dạng một người duy nhất hoặc số nhận dạng gần đúng (ví dụ: chủng tộc) có thể được kết hợp với các số nhận dạng khác (ví dụ: ngày sinh) để nhận dạng thành công một cá nhân.
Hiểu thông tin nhận dạng cá nhân (PII)
Các nền tảng công nghệ tiến bộ đã thay đổi cách các doanh nghiệp hoạt động, chính phủ lập pháp và các cá nhân liên quan. Với các công cụ kỹ thuật số như điện thoại di động, Internet, thương mại điện tử và phương tiện truyền thông xã hội, đã có một sự bùng nổ trong việc cung cấp tất cả các loại dữ liệu.
Dữ liệu lớn, như được gọi, đang được thu thập, phân tích và xử lý bởi các doanh nghiệp và chia sẻ với các công ty khác. Sự giàu có của thông tin được cung cấp bởi dữ liệu lớn đã cho phép các công ty hiểu rõ hơn về cách tương tác tốt hơn với khách hàng.
Tuy nhiên, sự xuất hiện của dữ liệu lớn cũng làm tăng số lượng vi phạm dữ liệu và tấn công mạng của các thực thể nhận ra giá trị của thông tin này. Do đó, những lo ngại đã được đặt ra về cách các công ty xử lý thông tin nhạy cảm của người tiêu dùng. Các cơ quan quản lý đang tìm kiếm luật mới để bảo vệ dữ liệu của người tiêu dùng, trong khi người dùng đang tìm kiếm những cách ẩn danh hơn để duy trì kỹ thuật số.
Chìa khóa chính
- Thông tin nhận dạng cá nhân (PII) là thông tin mà khi được sử dụng một mình hoặc với các dữ liệu liên quan khác có thể nhận dạng một cá nhân. Thông tin nhận dạng cá nhân nhạy cảm có thể bao gồm tên đầy đủ của bạn, Số an sinh xã hội, giấy phép lái xe, thông tin tài chính và hồ sơ y tế. Thông tin nhận dạng cá nhân nhạy cảm có thể dễ dàng truy cập từ các nguồn công khai và có thể bao gồm mã zip, chủng tộc, giới tính và ngày sinh của bạn.
Nhạy cảm so với PII không nhạy cảm
Thông tin nhận dạng cá nhân (PII) có thể nhạy cảm hoặc không nhạy cảm. Thông tin cá nhân nhạy cảm bao gồm các số liệu thống kê pháp lý như:
- Tên đầy đủ Thông tin thẻ tín dụng Thông tin thẻ
Danh sách trên không có nghĩa là toàn diện. Các công ty chia sẻ dữ liệu về khách hàng của họ thường sử dụng các kỹ thuật ẩn danh để mã hóa và làm xáo trộn PII, do đó, nó được nhận dưới dạng không thể nhận dạng cá nhân. Một công ty bảo hiểm chia sẻ thông tin của khách hàng với một công ty tiếp thị sẽ che dấu PII nhạy cảm có trong dữ liệu và chỉ để lại thông tin liên quan đến mục tiêu của công ty tiếp thị.
PII không nhạy cảm hoặc gián tiếp có thể dễ dàng truy cập từ các nguồn công cộng như danh bạ, Internet và thư mục công ty. Ví dụ về PII không nhạy cảm hoặc gián tiếp bao gồm:
- Mã zipRaceGenderDate of birthday Nơi sinh ra Tôn giáo
Danh sách trên có chứa định danh gần đúng và ví dụ về thông tin không nhạy cảm có thể được phát hành ra công chúng. Loại thông tin này không thể được sử dụng một mình để xác định danh tính của một cá nhân.
Tuy nhiên, thông tin không nhạy cảm, mặc dù không tế nhị, có thể liên kết được. Điều này có nghĩa là dữ liệu không nhạy cảm, khi được sử dụng với thông tin liên kết cá nhân khác, có thể tiết lộ danh tính của một cá nhân. Các kỹ thuật khử ẩn danh và nhận dạng lại có xu hướng thành công khi nhiều bộ định danh gần đúng được ghép lại với nhau và có thể được sử dụng để phân biệt người này với người khác.
Bảo vệ PII
Nhiều luật bảo vệ dữ liệu đã được các quốc gia khác nhau áp dụng để tạo ra các hướng dẫn cho các công ty thu thập, lưu trữ và chia sẻ thông tin cá nhân của khách hàng. Một số nguyên tắc cơ bản được nêu trong các luật này nêu rõ rằng một số thông tin nhạy cảm không nên được thu thập trừ khi trong các tình huống cực đoan.
Ngoài ra, các hướng dẫn quy định quy định rằng dữ liệu nên được xóa nếu không còn cần thiết cho mục đích đã nêu và thông tin cá nhân không nên được chia sẻ với các nguồn không thể đảm bảo bảo vệ dữ liệu.
Tội phạm mạng vi phạm các hệ thống dữ liệu để truy cập PII, sau đó được bán cho những người mua sẵn sàng trong các thị trường kỹ thuật số ngầm. Chẳng hạn, năm 2015, IRS đã bị vi phạm dữ liệu dẫn đến việc đánh cắp PII của hơn một trăm nghìn người nộp thuế. Sử dụng thông tin gần như bị đánh cắp từ nhiều nguồn, thủ phạm có thể truy cập vào ứng dụng trang web của IRS bằng cách trả lời các câu hỏi xác minh cá nhân chỉ nên dành cho người nộp thuế.
Việc điều chỉnh và bảo vệ thông tin nhận dạng cá nhân có thể sẽ là vấn đề chi phối đối với các cá nhân, tập đoàn và chính phủ trong những năm tới.
PII trên toàn thế giới
Định nghĩa về những gì bao gồm PII khác nhau tùy thuộc vào nơi bạn sống trên thế giới. Tại Hoa Kỳ, chính phủ đã định nghĩa "nhận dạng cá nhân" vào năm 2007 là bất cứ điều gì có thể "được sử dụng để phân biệt hoặc theo dõi danh tính của một cá nhân" như tên, SSN, thông tin sinh trắc học một mình hoặc với các định danh khác như ngày sinh, hoặc nơi sinh.
Tại Liên minh châu Âu (EU), định nghĩa mở rộng bao gồm các định danh gần đúng như được nêu trong Quy định bảo vệ dữ liệu chung (GDPR) có hiệu lực vào tháng 5 năm 2018. GDPR là khung pháp lý đặt ra các quy tắc thu thập và xử lý thông tin cá nhân cho những người cư trú tại EU.
Ví dụ về PII
Đầu năm 2018, Facebook Inc. (FB) đã bị lôi kéo vào một vụ vi phạm dữ liệu lớn. Hồ sơ của 50 triệu người dùng Facebook đã được thu thập mà không có sự đồng ý của họ bởi một công ty bên ngoài có tên Cambridge Analytica như báo cáo của The Guardian.
Cambridge Analytica lấy dữ liệu từ Facebook thông qua một nhà nghiên cứu làm việc tại Đại học Cambridge. Nhà nghiên cứu đã xây dựng một ứng dụng Facebook là một bài kiểm tra tính cách. Ứng dụng là một ứng dụng phần mềm được sử dụng trên các thiết bị di động và trang web.
Ứng dụng này được thiết kế để lấy thông tin từ những người tình nguyện cấp quyền truy cập vào dữ liệu của họ cho bài kiểm tra. Thật không may, ứng dụng đã thu thập không chỉ dữ liệu của người thực hiện bài kiểm tra mà vì lỗ hổng trong hệ thống của Facebook, cũng có thể thu thập dữ liệu từ bạn bè và thành viên gia đình của người thực hiện bài kiểm tra.
Kết quả là, hơn 50 triệu người dùng Facebook đã có dữ liệu của họ tiếp xúc với Cambridge Analytica mà không có sự đồng ý của họ. Mặc dù Facebook đã cấm bán dữ liệu của họ, Cambridge Analytica đã quay lại và bán dữ liệu được sử dụng cho tư vấn chính trị.
Mark Zuckerberg, người sáng lập và CEO của Facebook đã đưa ra một tuyên bố trong bản phát hành thu nhập Q1-2019 của công ty:
Chúng tôi tập trung vào việc xây dựng tầm nhìn tập trung vào quyền riêng tư cho tương lai của mạng xã hội và hợp tác để giải quyết các vấn đề quan trọng trên Internet.
Việc vi phạm dữ liệu không chỉ ảnh hưởng đến người dùng Facebook mà cả các nhà đầu tư. Lợi nhuận của Facebook đã giảm 50% trong quý 1-2019 so với cùng kỳ năm trước. Công ty đã tích lũy 3 tỷ đô la chi phí pháp lý và sẽ có thu nhập trên mỗi cổ phiếu cao hơn 1, 04 đô la mà không có chi phí, nêu rõ:
Chúng tôi ước tính rằng phạm vi tổn thất trong vấn đề này là từ 3.0 tỷ đến 5.0 tỷ đô la. Vấn đề vẫn chưa được giải quyết, và không thể đảm bảo về thời gian hoặc các điều khoản của bất kỳ kết quả cuối cùng.
Các công ty chắc chắn sẽ đầu tư vào các cách để thu thập dữ liệu như thông tin nhận dạng cá nhân để cung cấp sản phẩm cho người tiêu dùng và tối đa hóa lợi nhuận. Tuy nhiên, việc điều tiết và bảo vệ PII có thể sẽ là vấn đề chi phối trong những năm tới.
