新春不偷懒！合规之什么是个人身份信息 (PII)？PII 如何用于身份盗窃？

个人身份信息 (PII) 是可能识别特定个人身份的任何数据。任何可用于区分一个人与另一个人并可用于对以前匿名数据进行去匿名化的信息都被视为 PII。

PII 可以单独使用，也可以与其他相关数据一起使用来识别个人身份，并且可以包含可以唯一识别个人的直接标识符（例如护照信息）或准标识符（例如种族），可以与其他准标识符结合使用。标识符，例如出生日期，可以成功识别个人。

保护 PII 对于个人隐私、数据隐私、数据保护、信息隐私和信息安全至关重要。只需要一点个人的个人信息，窃贼就可以以该人的名义创建虚假账户、产生债务、伪造护照或将一个人的身份出售给犯罪分子。

随着个人的个人数据每天被记录、跟踪和使用：

——例如在使用指纹的生物识别扫描和用于解锁设备的面部识别系统中

——保护个人的身份和他们独有的任何识别信息变得越来越重要。

任何能够唯一地将人们识别为独立于所有其他人的个人的信息都是 PII。它可能包括以下内容：

姓名

地址

电子邮件

电话号码

出生日期

护照号

指纹

驾驶执照号码

信用卡或借记卡号

社会安全号码

尽管 PII 的法律定义可能因管辖区和州而异，但该术语通常指的是可用于区分或追踪个人身份的信息，无论是单独使用还是与链接的其他个人或识别信息结合使用。或可链接到个人。

根据美国能源部的说法，这些信息包括更多可被视为 PPI 的示例，并且根据“如果该信息丢失、泄露或泄露”将给个人或组织造成的伤害、尴尬或不便的程度，可能会更加敏感。

PII 可以标记为敏感或不敏感。非敏感 PII 是可以以未加密形式传输且不会对个人造成伤害的信息。非敏感 PII 可以轻松地从公共记录、电话簿、公司名录和网站中收集。这可能包括邮政编码、种族、性别、出生日期和宗教等信息——这些信息本身无法用来识别个人的身份。

敏感 PII 是指一旦发生数据泄露，一旦泄露，可能会对个人造成伤害的信息。此类敏感数据通常具有限制披露的法律、合同或道德要求。

因此，敏感的 PII 应在传输过程中和数据静态时进行加密。此类信息包括生物特征数据、健康保险流通与责任法案 ( HIPAA ) 法律涵盖的医疗信息、个人身份财务信息 (PIFI) 和唯一标识符，例如护照或社会安全号码。

员工人事记录；税务信息，包括社会安全号码和雇主识别号码 (EIN)；密码信息；信用卡号码；银行账户;电子和数字帐户信息，例如电子邮件地址和互联网帐号；学校识别号和记录也在敏感 PII 列表中。

许多零售商、健康相关组织、金融机构（包括银行和信用报告机构）以及联邦机构（例如人事管理办公室 (OPM) 和国土安全部 (DHS)）都经历过数据泄露这使个人的 PII 面临风险，使他们可能容易遭受身份盗窃。

身份窃贼所追求的信息类型将根据网络犯罪分子想要获取的信息而变化。通过黑客攻击和访问计算机和其他数字文件，他们可以使用正确的被盗信息开设银行账户或提出欺诈性索赔。

在某些情况下，犯罪分子只需使用电子邮件地址即可开设帐户。其他人则需要姓名、地址、出生日期、社会安全号码和更多信息。有些帐户甚至可以通过电话或互联网开设。

此外，如果个人的家被闯入，纸质文件（例如账单、收据、出生证明的纸质副本、社会保障卡或租赁信息）可能会被盗。窃贼可以出售 PII 以获得巨额利润。

犯罪分子可能会在受害者没有意识到的情况下使用受害者的信息。虽然窃贼可能不会使用受害者的信用卡，但他们可能会使用受害者的信息开设新的独立账户。

随着可用的结构化和非结构化数据量不断增加，意识到 PII 价值的参与者发起的数据泄露和网络攻击的数量持续攀升。因此，人们对公共和私人组织如何处理敏感信息产生了担忧。

政府机构和其他组织必须制定关于通过网络、客户调查或用户研究收集 PII 的严格政策。监管机构正在制定新的法律来保护消费者数据，而用户正在寻找更多匿名方式来保持数字化。

欧盟 (EU) 的《通用数据保护条例》( GDPR ) 是影响组织开展业务的越来越多的法规和隐私法之一。 GDPR 适用于任何向欧盟公民收集 PII 的组织，已成为全球事实上的标准。GDPR 要求这些组织对保护 PII 数据承担全部责任，无论其总部位于何处。

随着组织不断收集、存储和分发 PII 和其他敏感数据，员工、管理员和第三方承包商需要了解数据处理不当的影响并承担责任。组织正在使用预测分析和人工智能 (AI) 来筛选大型数据集，以便存储的任何数据都符合所有 PII 规则。

此外，建立访问控制程序的组织可以防止无意中泄露 PII。其他最佳实践包括使用强加密、安全密码以及双因素 ( 2FA ) 和多因素身份验证 ( MFA )。

个人还应确保在安全的 HTTP 安全 ( HTTPS ) 网站上进行在线购买或浏览财务信息；留意肩冲浪、尾随或垃圾箱潜水；将敏感文档上传到云端时要小心；并在不使用时锁定设备。

受保护的健康信息 ( PHI ) 包括在医疗环境中使用的可以识别患者身份的信息，例如姓名、地址、生日、信用卡号、驾驶执照和医疗记录。

无论公司处理 PII 还是 PHI，他们都应该采用记录管理程序，通过将数据转移到更密集的文档管理系统和存储库或通过处理不再需要的内容来更好地控制数据。

在美国，PHI 受到严格的保密和披露要求的约束，而这些要求不适用于大多数其他行业。虽然法律始终要求保护 PHI，但仅在某些情况下才强制要求保护 PII。

根据 HIPAA（健康保险便利和责任法案） 以及 2009 年《经济和临床健康健康信息技术 ( HITECH ) 法案》对 HIPAA 的修订，所涵盖的实体（例如医疗保健提供者、保险公司及其商业伙伴）可以从个人收集的 PHI 类型受到限制、与其他组织共享或用于营销。

此外，组织必须根据要求向患者提供 PHI，最好以电子 PHI ( ePHI ) 格式提供。

PHI 对患者和卫生专业人员有用；当匿名时，它对临床和科学研究人员也很有价值。

然而，对于黑客来说，PHI 提供了大量的个人消费者信息，这些信息一旦被盗，可以出售到其他地方，甚至可以通过勒索软件劫持，直到受害的医疗机构支付报酬。

   开年IAPP课程大促销！

    IAPP双证，买1得2，

   赠送新证5折优惠券！

       名额有限，速速报名！

PC端报名链接：http://navo.top/Rryuey

长按二维码即刻报名！

详情扫描下方二维码咨询“小助手”

更多课程在线听讲