Was sind personenbezogene Daten (PII)?
Persönlich identifizierbare Informationen (PII) sind Informationen, die, wenn sie alleine oder mit anderen relevanten Daten verwendet werden, eine Person identifizieren können. PII können direkte Identifikatoren (z. B. Passinformationen) enthalten, die eine Person eindeutig identifizieren können, oder Quasi-Identifikatoren (z. B. Rasse), die mit anderen Quasi-Identifikatoren (z. B. Geburtsdatum) kombiniert werden können, um eine Person erfolgreich zu erkennen.
Persönlich identifizierbare Informationen (PII) verstehen
Die Weiterentwicklung der Technologieplattformen hat die Art und Weise verändert, in der Unternehmen operieren, Regierungen Gesetze erlassen und Einzelpersonen Beziehungen pflegen. Mit digitalen Tools wie Mobiltelefonen, Internet, E-Commerce und sozialen Medien hat die Bereitstellung von Daten aller Art explosionsartig zugenommen.
Big Data, wie es heißt, wird von Unternehmen gesammelt, analysiert, verarbeitet und mit anderen Unternehmen geteilt. Die Fülle an Informationen, die durch Big Data bereitgestellt werden, hat es Unternehmen ermöglicht, Einblicke in die bessere Interaktion mit Kunden zu gewinnen.
Das Aufkommen von Big Data hat jedoch auch die Anzahl der Datenschutzverletzungen und Cyber-Angriffe von Unternehmen erhöht, die den Wert dieser Informationen erkennen. Infolgedessen wurde die Frage aufgeworfen, wie Unternehmen mit den sensiblen Informationen ihrer Verbraucher umgehen. Die Aufsichtsbehörden suchen nach neuen Gesetzen zum Schutz der Daten der Verbraucher, während die Nutzer nach anonymeren Möglichkeiten suchen, digital zu bleiben.
Die zentralen Thesen
- Persönlich identifizierbare Informationen (PII) sind Informationen, die bei alleiniger Verwendung oder mit anderen relevanten Daten eine Person identifizieren können. Zu den sensiblen persönlich identifizierbaren Informationen können Ihr vollständiger Name, Ihre Sozialversicherungsnummer, Ihr Führerschein, Finanzinformationen und Krankenakten gehören. vertrauliche, persönlich identifizierbare Informationen sind aus öffentlichen Quellen leicht zugänglich und können Ihre Postleitzahl, Rasse, Geschlecht und Geburtsdatum enthalten.
Sensitive vs. nicht sensible PII
Persönlich identifizierbare Informationen (PII) können vertraulich oder nicht vertraulich sein. Sensible personenbezogene Daten umfassen rechtliche Statistiken wie:
- Vollständiger NameKreditkarteninformationenPassinformationen
Die obige Liste erhebt keinen Anspruch auf Vollständigkeit. Unternehmen, die Daten über ihre Kunden austauschen, verwenden normalerweise Anonymisierungstechniken, um die PII zu verschlüsseln und zu verschleiern, sodass sie in einer nicht persönlich identifizierbaren Form empfangen werden. Ein Versicherungsunternehmen, das die Informationen seiner Kunden an ein Marketingunternehmen weitergibt, maskiert die in den Daten enthaltenen vertraulichen personenbezogenen Daten und hinterlässt nur Informationen, die mit dem Ziel des Marketingunternehmens zusammenhängen.
Auf nicht sensible oder indirekte PII kann problemlos aus öffentlichen Quellen wie Telefonbüchern, dem Internet und Unternehmensverzeichnissen zugegriffen werden. Beispiele für nicht sensible oder indirekte PII sind:
- PostleitzahlRennenGenderGeburtsdatumGeburtsortReligion
Die obige Liste enthält Quasi-Identifikatoren und Beispiele für nicht sensible Informationen, die der Öffentlichkeit zugänglich gemacht werden können. Diese Art von Informationen kann nicht allein zur Bestimmung der Identität einer Person verwendet werden.
Nicht vertrauliche Informationen sind jedoch verknüpfbar, obwohl sie nicht heikel sind. Dies bedeutet, dass nicht sensible Daten bei Verwendung mit anderen personenbezogenen verknüpfbaren Informationen die Identität einer Person preisgeben können. Techniken zur De-Anonymisierung und Neuidentifizierung sind in der Regel erfolgreich, wenn mehrere Sätze von Quasi-Identifikatoren zusammengesetzt werden und verwendet werden können, um eine Person von einer anderen zu unterscheiden.
PII sichern
Verschiedene Länder haben mehrere Datenschutzgesetze verabschiedet, um Richtlinien für Unternehmen zu erstellen, die personenbezogene Daten von Kunden sammeln, speichern und weitergeben. Einige der in diesen Gesetzen dargelegten Grundprinzipien besagen, dass einige sensible Informationen nur in Extremsituationen erfasst werden sollten.
Gemäß den gesetzlichen Bestimmungen sollten Daten gelöscht werden, wenn sie für den angegebenen Zweck nicht mehr benötigt werden, und personenbezogene Daten sollten nicht an Quellen weitergegeben werden, die ihren Schutz nicht gewährleisten können.
Cyberkriminelle verletzen Datensysteme, um auf personenbezogene Daten zuzugreifen, die dann an willige Käufer auf unterirdischen digitalen Marktplätzen verkauft werden. Beispielsweise erlitt die IRS im Jahr 2015 einen Datenverstoß, der zum Diebstahl von mehr als hunderttausend personenbezogenen Daten von Steuerzahlern führte. Unter Verwendung von Quasi-Informationen, die aus mehreren Quellen gestohlen wurden, konnten die Täter auf eine IRS-Website zugreifen, indem sie persönliche Überprüfungsfragen beantworteten, die nur den Steuerzahlern hätten bekannt sein dürfen.
Die Regulierung und der Schutz personenbezogener Daten werden in den kommenden Jahren wahrscheinlich ein dominierendes Thema für Einzelpersonen, Unternehmen und Regierungen sein.
PII um die Welt
Die Definition von PII hängt davon ab, wo Sie auf der Welt leben. In den Vereinigten Staaten definierte die Regierung 2007 "persönlich identifizierbar" als alles, was "zur Unterscheidung oder Verfolgung der Identität einer Person verwendet werden kann", wie Name, SSN, biometrische Informationen - entweder allein oder mit anderen Identifikatoren wie Geburtsdatum. oder Geburtsort.
In der Europäischen Union (EU) wird die Definition um Quasi-Identifikatoren erweitert, wie in der im Mai 2018 in Kraft getretenen Allgemeinen Datenschutzverordnung (DSGVO) dargelegt. Die DSGVO ist ein rechtlicher Rahmen, der Regeln für die Erhebung und Verarbeitung personenbezogener Daten festlegt für diejenigen mit Wohnsitz in der EU.
Beispiel für PII
Anfang 2018 war Facebook Inc. (FB) in eine schwerwiegende Datenschutzverletzung verwickelt. Die Profile von 50 Millionen Facebook-Nutzern wurden ohne deren Zustimmung von einem externen Unternehmen namens Cambridge Analytica gesammelt, wie von The Guardian gemeldet .
Cambridge Analytica bezog seine Daten von Facebook über einen Forscher, der an der Universität von Cambridge arbeitete. Der Forscher baute eine Facebook-App, die ein Persönlichkeitstest war. Eine App ist eine Softwareanwendung, die auf Mobilgeräten und Websites verwendet wird.
Die App wurde entwickelt, um die Informationen derjenigen zu nutzen, die sich freiwillig gemeldet haben, um Zugriff auf ihre Daten für das Quiz zu erhalten. Leider sammelte die App nicht nur die Daten der Quizteilnehmer, sondern konnte aufgrund einer Lücke im Facebook-System auch Daten von Freunden und Familienmitgliedern der Quizteilnehmer sammeln.
Infolgedessen ließen über 50 Millionen Facebook-Nutzer ihre Daten ohne ihre Zustimmung bei Cambridge Analytica offenlegen. Obwohl Facebook den Verkauf ihrer Daten untersagte, drehte sich Cambridge Analytica um und verkaufte die Daten, um sie für die politische Beratung zu verwenden.
Mark Zuckerberg, Gründer und CEO von Facebook, veröffentlichte im Rahmen der Veröffentlichung der Unternehmensergebnisse für das erste Quartal 2009 eine Erklärung:
Wir konzentrieren uns darauf, unsere datenschutzbezogene Vision für die Zukunft der sozialen Netzwerke zu entwickeln und gemeinsam an wichtigen Themen rund um das Internet zu arbeiten.
Der Datenverstoß betraf nicht nur Facebook-Nutzer, sondern auch Investoren. Die Gewinne von Facebook gingen im ersten Quartal 2009 gegenüber dem Vorjahreszeitraum um 50% zurück. Das Unternehmen hat Rechtskosten in Höhe von 3 Milliarden US-Dollar angefallen und hätte ohne diese Kosten einen um 1, 04 US-Dollar höheren Gewinn je Aktie erzielt.
Wir schätzen, dass die Verlustspanne in dieser Angelegenheit zwischen 3, 0 und 5, 0 Milliarden US-Dollar liegt. Die Angelegenheit bleibt ungelöst, und es kann keine Zusicherung hinsichtlich des Zeitpunkts oder der Bedingungen eines endgültigen Ergebnisses gegeben werden.
Unternehmen werden zweifellos in Möglichkeiten investieren, Daten wie personenbezogene Daten zu sammeln, um den Verbrauchern Produkte anzubieten und Gewinne zu maximieren. Die Regulierung und Sicherung von personenbezogenen Daten wird jedoch in den kommenden Jahren wahrscheinlich ein dominierendes Thema sein.
