IAPP

威普爱生教育

当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >

新春不偷懒!合规之什么是个人身份信息 (PII)?PII 如何用于身份盗窃?

2024-02-18 11:34:32

浏览量:0


关注我们,学习更多隐私合规讯息




01


什么是个人身份信息 (PII)?


个人身份信息 (PII) 是可能识别特定个人身份的任何数据。任何可用于区分一个人与另一个人并可用于对以前匿名数据进行去匿名化的信息都被视为 PII。

PII 可以单独使用,也可以与其他相关数据一起使用来识别个人身份,并且可以包含可以唯一识别个人的直接标识符(例如护照信息)或准标识符(例如种族),可以与其他准标识符结合使用。标识符,例如出生日期,可以成功识别个人。



02


为什么需要保护 PII 的安全?


保护 PII 对于个人隐私、数据隐私、数据保护、信息隐私和信息安全至关重要。只需要一点个人的个人信息,窃贼就可以以该人的名义创建虚假账户、产生债务、伪造护照或将一个人的身份出售给犯罪分子。

随着个人的个人数据每天被记录、跟踪和使用:

——例如在使用指纹的生物识别扫描和用于解锁设备的面部识别系统中

——保护个人的身份和他们独有的任何识别信息变得越来越重要。

如何学习充分GDPR欧盟合规?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核




03


什么是 PII?


任何能够唯一地将人们识别为独立于所有其他人的个人的信息都是 PII。它可能包括以下内容:

姓名

地址

电子邮件

电话号码

出生日期

护照号

指纹

驾驶执照号码

信用卡或借记卡号

社会安全号码

PII 的定义各不相同。美国总务管理局(GSA) 表示:

“PII 的定义并不固定于任何单一类别的信息或技术。相反,它需要对个人可识别的特定风险进行逐案评估。

在进行此评估时,机构必须认识到,每当通过任何媒介、从任何来源公开提供额外信息时,非 PII 就可以成为 PII,这些信息与其他可用信息结合起来可以使用来识别一个人的身份。”

尽管 PII 的法律定义可能因管辖区和州而异,但该术语通常指的是可用于区分或追踪个人身份的信息,无论是单独使用还是与链接的其他个人或识别信息结合使用。或可链接到个人。

能源部 (DOE)对 PII 的定义如下:

“该部门收集或维护的有关个人的任何信息,包括但不限于教育、金融交易、病史和犯罪或就业历史,以及可用于区分或追踪个人的身份

例如他/她的姓名、社会安全号码、出生日期和地点、母亲的婚前姓名、生物特征数据,并包括与特定个人相关联或可链接的任何其他个人信息。”

根据美国能源部的说法,这些信息包括更多可被视为 PPI 的示例,并且根据“如果该信息丢失、泄露或泄露”将给个人或组织造成的伤害、尴尬或不便的程度,可能会更加敏感。



04


敏感 PII 与非敏感 PII


PII 可以标记为敏感或不敏感。非敏感 PII 是可以以未加密形式传输且不会对个人造成伤害的信息。非敏感 PII 可以轻松地从公共记录、电话簿、公司名录和网站中收集。这可能包括邮政编码、种族、性别、出生日期和宗教等信息——这些信息本身无法用来识别个人的身份。

敏感 PII 是指一旦发生数据泄露,一旦泄露,可能会对个人造成伤害的信息。此类敏感数据通常具有限制披露的法律、合同或道德要求。

因此,敏感的 PII 应在传输过程中和数据静态时进行加密。此类信息包括生物特征数据、健康保险流通与责任法案 ( HIPAA ) 法律涵盖的医疗信息、个人身份财务信息 (PIFI) 和唯一标识符,例如护照或社会安全号码。

员工人事记录;税务信息,包括社会安全号码和雇主识别号码 (EIN);密码信息;信用卡号码;银行账户;电子和数字帐户信息,例如电子邮件地址和互联网帐号;学校识别号和记录也在敏感 PII 列表中。



05


PII 如何用于身份盗窃?


许多零售商、健康相关组织、金融机构(包括银行和信用报告机构)以及联邦机构(例如人事管理办公室 (OPM) 和国土安全部 (DHS))都经历过数据泄露这使个人的 PII 面临风险,使他们可能容易遭受身份盗窃。

身份窃贼所追求的信息类型将根据网络犯罪分子想要获取的信息而变化。通过黑客攻击和访问计算机和其他数字文件,他们可以使用正确的被盗信息开设银行账户或提出欺诈性索赔。

如何维护身份信息盗取合规性?学习GDPR,其重点关注隐私法律法规的实际应用,测一测,自己是否满足考试资格呢?

在某些情况下,犯罪分子只需使用电子邮件地址即可开设帐户。其他人则需要姓名、地址、出生日期、社会安全号码和更多信息。有些帐户甚至可以通过电话或互联网开设。

此外,如果个人的家被闯入,纸质文件(例如账单、收据、出生证明的纸质副本、社会保障卡或租赁信息)可能会被盗。窃贼可以出售 PII 以获得巨额利润。

犯罪分子可能会在受害者没有意识到的情况下使用受害者的信息。虽然窃贼可能不会使用受害者的信用卡,但他们可能会使用受害者的信息开设新的独立账户。



06


PII 法律法规


随着可用的结构化和非结构化数据量不断增加,意识到 PII 价值的参与者发起的数据泄露和网络攻击的数量持续攀升。因此,人们对公共和私人组织如何处理敏感信息产生了担忧。

政府机构和其他组织必须制定关于通过网络、客户调查或用户研究收集 PII 的严格政策。监管机构正在制定新的法律来保护消费者数据,而用户正在寻找更多匿名方式来保持数字化。

欧盟 (EU) 的《通用数据保护条例》( GDPR ) 是影响组织开展业务的越来越多的法规和隐私法之一。 GDPR 适用于任何向欧盟公民收集 PII 的组织,已成为全球事实上的标准。GDPR 要求这些组织对保护 PII 数据承担全部责任,无论其总部位于何处。

GDPR与IAPP的关系有多大?一分钟听老师给你快速科普!



07


PII 安全最佳实践


随着组织不断收集、存储和分发 PII 和其他敏感数据,员工、管理员和第三方承包商需要了解数据处理不当的影响并承担责任。组织正在使用预测分析和人工智能 (AI) 来筛选大型数据集,以便存储的任何数据都符合所有 PII 规则。

此外,建立访问控制程序的组织可以防止无意中泄露 PII。其他最佳实践包括使用强加密、安全密码以及双因素 ( 2FA ) 和多因素身份验证 ( MFA )。

保护 PII 的其他建议包括:



鼓励员工实行良好的数据备份程序;


安全销毁或删除含有敏感数据的旧媒体;


安装软件、应用程序和移动更新;


使用安全的无线网络,而不是公共 Wi-Fi


使用虚拟专用网络 (VPN)。

为了保护 PII,个人应该:



限制他们在社交媒体上分享的内容;


在丢弃重要文件之前将其粉碎;


了解他们向谁提供了社会安全号码;


将他们的社会保障卡存放在安全的地方

个人还应确保在安全的 HTTP 安全 ( HTTPS ) 网站上进行在线购买或浏览财务信息留意肩冲浪、尾随或垃圾箱潜水;将敏感文档上传到云端时要小心;并在不使用时锁定设备。



08


PII 与 PHI


受保护的健康信息 ( PHI ) 包括在医疗环境中使用的可以识别患者身份的信息,例如姓名、地址、生日、信用卡号、驾驶执照和医疗记录。

无论公司处理 PII 还是 PHI,他们都应该采用记录管理程序,通过将数据转移到更密集的文档管理系统和存储库或通过处理不再需要的内容来更好地控制数据。

在美国,PHI 受到严格的保密和披露要求的约束,而这些要求不适用于大多数其他行业。虽然法律始终要求保护 PHI,但仅在某些情况下才强制要求保护 PII。

根据 HIPAA(健康保险便利和责任法案) 以及 2009 年《经济和临床健康健康信息技术 ( HITECH ) 法案》对 HIPAA 的修订,所涵盖的实体(例如医疗保健提供者、保险公司及其商业伙伴)可以从个人收集的 PHI 类型受到限制、与其他组织共享或用于营销。

学习“互联网+医疗健康”安全知识,了解CIPT课程,学习信息技术、信息安全、软件工程、隐私设计等。



此外,组织必须根据要求向患者提供 PHI,最好以电子 PHI ( ePHI ) 格式提供。

PHI 对患者和卫生专业人员有用;当匿名时,它对临床和科学研究人员也很有价值。

然而,对于黑客来说,PHI 提供了大量的个人消费者信息,这些信息一旦被盗,可以出售到其他地方,甚至可以通过勒索软件劫持,直到受害的医疗机构支付报酬。

文章整理于techtarget.com,由隐私合规交流圈 隐小私整理,转发请备注出处

*整理编辑:A隐小私(yinxiaosi00)

好消息好消息




   开年IAPP课程大促销!

    IAPP双证买1得2,

   赠送新证5折优惠券!

       名额有限,速速报名!

PC端报名链接:http://navo.top/Rryuey

长按二维码即刻报名!



详情扫描下方二维码咨询“小助手”




如何学习信息技术数据合规?一起了解注册信息隐私管理师IAPP CIPT!






注册信息隐私技术专家CIPT




基本概念:

CIPT面向IT从业者开展隐私保护认证,可证明专业人员在IT产品和服务的开发、工程、部署与审计方面,对于隐私和数据保护实践的理解程度,以及管理和建立隐私保护要求和控制措施的能力。



学习内容:


Foundational Principles基本原则

The Role of IT in Privacy信息技术在隐私中的作用

Privacy Threats and Violations隐私威胁和侵犯

Technical Measures and Privacy Enhancing Technologies技术措施和隐私增强技术

Privacy Engineering隐私工程

Privacy by Design Methodology隐私设计方法

Technology Challenges for Privacy隐私的技术挑战



适用于以下人群:

主要适用于信息技术、信息安全、软件工程、隐私设计、合规审计等相关的从业人员。




更多课程在线听讲



更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00


-END-


年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享

热门资讯

作为一名合规律师,还有哪些含金量高的证书可以考?

CIPP是什么?企业DPO(数据合规官)为何必须要考取CIPP才能胜任?!

什么是合规性?不同的合规岗位的职责是什么?

国际三大隐私安全认证分别是哪些证书?我的专业可以考吗?

GDPR:什么是数据保护影响评估?DPIA 的 4 个基本部分

什么是数据合规性?分享12种经典数据法规原则及内容

红灯警告!法学生就业率年年下降,“五院四系”就业仅达20%,我们该何去何从?

恭喜你,终于成为一名CGSS国际制裁合规师!

CIPM+CIPP/E备考详解!我是如何轻松拿到双证的?!

律师有哪些高薪、高含金量证书安利?详解!

我适合报考IAPP吗?

预约回访
首页 威普网校 移动课堂 关于威普

CopyRight © 版权所有 深圳市威普爱生教育咨询有限公司

粤ICP备2020075194号