您可能听说过与您的安全相关的个人身份信息,有时简称为“个人数据”。但仅仅因为它作为一个更广泛的主题是数据安全的重要组成部分,并不意味着每个人都知道它包括什么,甚至知道它是什么。 它实际上不仅仅是网络犯罪分子感兴趣的。无数的服务和政府机构也需要您的个人详细信息。那么什么被认为是个人身份信息? 个人身份信息的定义是什么? 个人身份信息 (PII) 是个人数据,可以单独使用或与更多私人详细信息结合使用,以识别特定个人,即您。 PII 大致可以分为两个子类别:直接标识符;和准标识符。 直接标识符就像它听起来的那样:可以用来单独定位你的数据。它是特定于你的。与此同时,准标识符是可以与其他准标识符结合起来给你贴上标签的细节。 这些术语感觉晦涩难懂,但也可以分别称为敏感 PII 和非敏感 PII。第一个应该敲响警钟,但这并不意味着您应该对非敏感数据采取悠闲的方法。
直接标识符的例子
直接标识符都是关于你的。您与他人分享的任何内容都不是直接标识符。考虑您自己的数据,而不是与其他任何人共享的数据。那么,直接标识符包括: 而不是与其他任何人共享的数据。那么,直接标识符包括:
- 你的全名。
- 你的病史。
- 您的信用卡或借记卡详细信息。
- 您的社会安全号码或国家保险号码。
- 你的护照号码。
然而,这只是一个小样本。例如,指纹、视网膜和面部扫描等生物识别数据也可以被视为 PII 保护伞下的直接标识符。
准标识符的例子
准标识符并非特定于您,但仍可用于识别您的身份,尤其是与其他 PII 示例结合使用时。这些包括:
- 你住在哪里。
- 你的种族。
- 你的信仰。
- 你的性别和性取向。
- 您的出生日期。
- 你在哪里工作。
您可能会与家人和朋友分享这些详细信息,或者在某些情况下与完全陌生的人分享这些细节。这对公司、政府或黑客来说似乎没有用,但不要低估它的重要性。 想想饼图。每个球体都有不同的准标识符。就在中间,它们全部相交以总结一个人:你。
什么不被视为个人身份信息?
有时,存在称为非 PII 的数据,但此数据与实际 PII 之间的界限越来越模糊。它甚至可能取决于管辖权:例如,欧盟的 GDPR 将 PII 视为可以包括在线 cookie 的个人数据——但是,一些美国当局和广告商不将 cookie 视为 PII。 本质上,非 PII 由非个人详细信息组成,但考虑到准标识符,可以组合大量信息来创建关于您的个人资料。 那么,非 PII 是聚合的、匿名的或假名化的数据集,即无法追溯到特定用户的详细信息,如人口统计范围。或者,非 PII 也可以是屏蔽数据;例如,通过使用 VPN 等加密工具。
为什么个人身份信息很重要?
那么,为什么 PII 实际上很重要?这是一个多层次的问题,因为出于不同的原因,PII 对每个人都很重要。 对于个人而言,这关乎隐私和安全。无论是直接标识符还是间接标识符,都应真正视为敏感标识符。个人资料固然有价值,但也讲究能为自己保密的原则。 对于公司而言,PII 可能意味着金钱。他们可以出售这些数据;用它来生成个性化广告;或者只是为了改善他们的服务,这将进一步带来利润。 对政府来说也是如此,但让 PII 对当局有价值的不仅仅是金钱。他们可以针对特定的人口统计数据并推断投票意图等等。 对于网络罪犯来说,PII 会带来经济利益。此类信息可以出售(例如,在暗网上),可能导致进一步的恶意软件感染,包括勒索软件、获取财务详细信息和登录凭据,或以上所有。
公司和黑客如何获取个人身份信息?
我们都放弃了某种程度的 PII。您可能无法计算您注册的至少需要您的姓名和/或电子邮件地址的帐户数量。其中许多还需要您的出生日期,也许还需要您的地址。 您可能没有意识到您正在交出 PII。例如,除非您使用代理或 VPN,否则您的 IP 地址等可能会被网站存储。如果您通过在线商店付款,您可能已经向他们或第三方运营商(如 PayPal)提供了您的财务信息。 当然,这也是黑客获取您的 PII 的一种方式。任何存储您信息的公司都可能受到损害;网络犯罪分子可以通过数据泄露获取您的详细信息,但这取决于他们是否真的能够读取这些信息的方法。明文是保存个人数据最危险的方式:也就是说,完全按照写入的方式保存。但负责任的服务应该使用加密来保护密码和其他敏感数据。 否则,您可能会因上当受骗或下载恶意软件而交出 PII。 我们不要忘记另一个主要的私人信息存储库:社交媒体。如果你浏览直接标识符和准标识符列表,你可能会勾选出一个你愿意在 Facebook、Twitter、WhatsApp、LinkedIn 等上自愿提供的令人惊讶的数字。 当然,您不太可能公开分享您的社会安全号码或病史,但我们的个人资料包含数量惊人的详细信息——甚至我们“喜欢”的内容或我们参加的有趣测验也可能会泄露信息。如果您没有妥善保护您的 Facebook 个人资料等隐私,情况会更糟。
如何保护您的 PII
阻止您的 PII 落入坏人之手主要是为了限制哪些其他方实际上可以访问您的个人数据。 在注册一项服务、向帐户添加个人详细信息或将数据移交给应用程序之前,请问问自己它是否真的需要这些数据才能正常运行。如果不是,请不要提交 PII。 这并不总是有帮助(许多服务需要一定数量的 PII 才能登录或充分利用其优势),但您可以在某种程度上匿名化数据。例如,通过使用电子邮件别名,您既可以保持隐私又可以抵御垃圾邮件! 关注最新的骗局也总是有帮助的。例如,如果您知道网络钓鱼电子邮件的样子,您就不太可能上当受骗。
使您的 PII 保密
世界各地的多项规定旨在限制对您的 PII 的收集和使用,包括上述欧盟的 GDPR、加拿大的个人信息保护和电子文件法以及美国的联邦贸易委员会法。 最终,您有责任保护您的 PII 的私密性,并向服务施加压力,使其负责任地处理您的个人数据。