Co jsou informace umožňující identifikaci osob (PII)?
Osobně identifikovatelné informace (PII) jsou informace, které mohou být použity, pokud jsou použity samostatně nebo s jinými relevantními údaji, jednotlivce. PII může obsahovat přímé identifikátory (např. Informace o pasech), které mohou jednoznačně identifikovat osobu, nebo kvazi-identifikátory (např. Rasa), které lze kombinovat s jinými kvazi-identifikátory (např. Datum narození), aby bylo možné jednotlivce úspěšně rozpoznat.
Porozumění informacím umožňujícím osobní identifikaci (PII)
Pokrokové technologické platformy změnily způsob fungování podniků, vládní legislativy a jednotlivce. S digitálními nástroji, jako jsou mobilní telefony, internet, elektronický obchod a sociální média, došlo k explozi v dodávkách všech druhů dat.
Velká data, jak se nazývá, jsou shromažďována, analyzována a zpracovávána podniky a sdílena s ostatními společnostmi. Velké množství informací poskytovaných velkými daty umožnilo společnostem získat přehled o tom, jak lépe komunikovat se zákazníky.
Výskyt velkých dat však také zvýšil počet narušení dat a kybernetických útoků ze strany subjektů, které si uvědomují hodnotu těchto informací. V důsledku toho byly vzneseny obavy ohledně toho, jak společnosti nakládají s citlivými informacemi svých spotřebitelů. Regulační orgány hledají nové zákony na ochranu údajů spotřebitelů, zatímco uživatelé hledají anonymnější způsoby, jak zůstat digitální.
Klíč s sebou
- Údaje umožňující identifikaci osob (PII) jsou informace, které, pokud jsou použity samostatně nebo s jinými relevantními údaji, mohou identifikovat jednotlivce. Citlivé osobní údaje mohou zahrnovat vaše celé jméno, číslo sociálního zabezpečení, řidičský průkaz, finanční informace a lékařské záznamy. citlivé informace umožňující identifikaci osob jsou snadno přístupné z veřejných zdrojů a mohou zahrnovat vaše PSČ, rasu, pohlaví a datum narození.
Citlivé vs. necitlivé PII
Informace umožňující identifikaci osob (PII) mohou být citlivé nebo necitlivé. Citlivé osobní údaje zahrnují právní statistiky, jako například:
- Celé jménoInformace o kreditní kartěPassportové informace
Výše uvedený seznam není v žádném případě vyčerpávající. Společnosti, které sdílejí údaje o svých klientech, obvykle používají k šifrování a nejasnostem PII techniky anonymizace, takže jsou přijímány v neosobní identifikační formě. Pojišťovna, která sdílí informace svých klientů s marketingovou společností, zamaskuje citlivé PII obsažené v datech a ponechá pouze informace týkající se cíle marketingové společnosti.
Necitlivý nebo nepřímý PII je snadno přístupný z veřejných zdrojů, jako jsou telefonní seznamy, internet a firemní adresáře. Příklady necitlivých nebo nepřímých PII zahrnují:
- Poštovní směrovací čísloRaceGenderDatum narozeníPlace narozeníReligion
Výše uvedený seznam obsahuje kvázi identifikátory a příklady necitlivých informací, které mohou být zveřejněny. Tento typ informací nelze použít k určení identity jednotlivce samostatně.
Necitlivé informace, i když nejsou citlivé, jsou však propojitelné. To znamená, že necitlivá data, pokud jsou použita s jinými osobními propojitelnými informacemi, mohou odhalit totožnost jednotlivce. Techniky de-anonymizace a opětovné identifikace bývají úspěšné, když se spojí více sad kvazi-identifikátorů a lze je použít k rozlišení jedné osoby od druhé.
Zabezpečení PII
Různé země přijaly několik zákonů na ochranu údajů, aby vytvořily pokyny pro společnosti, které shromažďují, ukládají a sdílejí osobní informace klientů. Některé ze základních principů uvedených v těchto zákonech stanoví, že některé citlivé informace by neměly být shromažďovány, s výjimkou extrémních situací.
Regulační pokyny také stanoví, že údaje by měly být vymazány, pokud již nejsou pro uvedený účel zapotřebí, a osobní informace by neměly být sdíleny se zdroji, které nemohou zaručit jejich ochranu.
Kyberzločinci narušují datové systémy pro přístup k PII, který je pak prodáván ochotným kupcům v podzemních digitálních trzích. Například v roce 2015 došlo k narušení IRS, které vedlo k odcizení více než sto tisíc PII daňových poplatníků. Pomocí kvázi informací odcizených z více zdrojů mohli pachatelé přistupovat k webové aplikaci IRS tak, že odpovídali na osobní ověřovací otázky, které měly být zasvěceny pouze daňovým poplatníkům.
Regulace a ochrana osobně identifikovatelných informací bude pravděpodobně v nadcházejících letech dominantním problémem pro jednotlivce, společnosti a vlády.
PII po celém světě
Definice toho, co obsahuje PII, se liší v závislosti na tom, kde žijete na světě. Ve Spojených státech vláda definovala v roce 2007 „osobně identifikovatelnou“ jako cokoli, co „lze použít k rozlišení nebo sledování totožnosti jedince“, jako je jméno, SSN, biometrické informace - buď samostatně nebo s jinými identifikátory, jako je datum narození, nebo místo narození.
V Evropské unii (EU) se definice rozšiřuje a zahrnuje kvázi identifikátory, jak je uvedeno v obecném nařízení o ochraně údajů (GDPR), které vstoupilo v platnost v květnu 2018. GDPR je právní rámec, který stanoví pravidla pro shromažďování a zpracování osobních údajů pro ty, kteří mají bydliště v EU.
Příklad PII
Na začátku roku 2018 byla společnost Facebook Inc. (FB) zapletena do závažného porušení dat. Profily 50 milionů uživatelů Facebooku byly shromažďovány bez jejich souhlasu externí společností s názvem Cambridge Analytica, jak uvádí The Guardian.
Cambridge Analytica získala svá data z Facebooku prostřednictvím výzkumníka, který pracoval na University of Cambridge. Výzkumník vytvořil aplikaci na Facebooku, která byla osobním kvízem. Aplikace je softwarová aplikace používaná na mobilních zařízeních a webech.
Tato aplikace byla navržena tak, aby převzala informace od těch, kteří se dobrovolně přihlásili k přístupu ke svým datům pro kvíz. Aplikace bohužel sbírala nejen data příjemců kvízů, ale díky mezerě v systému Facebooku byla také schopna shromažďovat data od přátel a rodinných příslušníků kvízů.
V důsledku toho bylo více než 50 milionů uživatelů Facebooku vystaveno svá data společnosti Cambridge Analytica bez jejich souhlasu. Ačkoli Facebook zakázal prodej svých dat, Cambridge Analytica se otočil a prodal data, která byla použita pro politické konzultace.
Mark Zuckerberg, zakladatel Facebooku a generální ředitel vydal prohlášení v rámci zveřejnění výdělku společnosti Q1-2019:
Zaměřujeme se na budování naší vize zaměřené na soukromí pro budoucnost sociálních sítí a spolupracujeme na řešení důležitých otázek po internetu.
Porušení dat ovlivnilo nejen uživatele Facebooku, ale také investory. Zisky Facebooku se v Q1-2019 oproti stejnému období minulého roku snížily o 50%. Společnost nashromáždila 3 miliardy dolarů na právní výdaje a měla by zisk na akcii vyšší o 1, 04 USD bez nákladů, přičemž uvedla:
Odhadujeme, že rozsah ztrát v této záležitosti je 3, 0 až 5 miliard dolarů. Věc zůstává nevyřešena a nemůže existovat žádná záruka ohledně načasování nebo podmínek konečného výsledku.
Společnosti budou bezpochyby investovat do způsobů sběru dat, jako jsou osobní údaje, které nabízejí produkty spotřebitelům a maximalizují zisky. V nadcházejících letech však bude pravděpodobně dominantním tématem regulace a ochrana PII.
