什么是个人身份信息 (PII)？

随着人们在工作和个人生活中越来越依赖信息科技，与组织共享的 PII 的数量也在增加。例如，公司收集客户的个人数据以了解市场，消费者很容易提供他们的电话号码和家庭地址来注册服务和在线购物。

共享 PII 有其优点，因为它允许企业根据客户的需求定制产品和服务，例如在导航应用程序中提供更相关的搜索结果。然而，组织积累的不断增长的 PII 存储引起了网络罪犯的注意。

黑客窃取 PII 来实施身份盗窃、在黑市上出售或通过勒索软件将其扣押。根据 IBM 的 2024 年数据泄露成本报告，勒索软件攻击造成的数据泄露的平均成本为 568 万美元。面对这些攻击，个人和信息安全专业人员必须能在复杂的信息技术和法律环境中熟练应对，以维护数据隐私。

PII 有两种类型：直接标识信息和间接标识信息。直接标识信息对于个人是唯一的，包括护照号码或驾驶执照号码等。单个直接标识信息通常足以确定某人的身份。

间接标识信息不具有唯一性。其中包括种族和出生地等更一般的个人信息。虽然单一的间接标识信息无法识别个人的身份，但将之组合却可以。例如，87% 的美国公民仅根据其性别、邮政编码和出生日期即可识别。

并非所有个人数据都被视为 PII。例如，有关个人流媒体使用习惯的数据不属于 PII。这是因为，仅凭一个人在 Netflix 上看过的内容就想识别他的身份，即使不是不可能，也是很难的。PII 仅指指向特定人员的信息，例如您在联系银行时可能提供的用于验证身份的信息。

在 PII 中，有些信息比其他信息更加敏感。敏感 PII 是可直接识别个人身份的敏感信息，一旦泄露或被盗，可能会造成重大损害。

社会安全号码 (SSN) 就是敏感 PII 的一个典型示例。由于许多政府机构和金融机构使用 SSN 来验证人们的身份，因此窃取 SSN 的犯罪分子可以轻松访问受害者的税务记录或银行账户。敏感 PII 的其他示例包括：

• 唯一身份识别号码，例如驾照号码、护照号码和其他政府颁发的身份证号码。
• 生物识别数据，例如指纹和视网膜扫描。
• 财务信息，包括银行账号和信用卡号。
• 医疗记录。

敏感的 PII 通常不公开，大多数现有的数据隐私法要求组织通过加密、控制访问者或采取其他网络安全措施来实施保护。

非敏感性 PII 是指如果单独泄露或被盗不会对个人造成重大损害的个人数据。它对于个人来说可能是独一无二的，也可能不是。例如，社交媒体账号属于非敏感 PII：它可以识别某人的身份，但恶意行为者不可能仅凭社交媒体帐户名称就实施身份盗窃。非敏感 PII 的其他示例包括：

• 一个人的全名
• 母亲的娘家姓
• 电话号码
• IP 地址
• 出生地
• 出生日期
• 地理信息（邮政编码、城市、州、国家或地区等）
• 就业信息
• 电子邮件地址或邮寄地址
• 种族或民族
• 宗教

非敏感 PII 通常是公开的。例如，电话号码可能列在电话簿中，地址可能列在地方政府的公开不动产记录中。一些数据隐私法规并不要求保护非敏感的 PII，但许多公司还是采取了保护措施。这是因为犯罪分子可能会通过组合多个非敏感 PII 来制造麻烦。

例如，黑客可以利用某人的电话号码、电子邮件地址和母亲的娘家姓氏侵入某人的银行账户应用程序。该电子邮件为他们提供了一个用户名。伪造电话号码可以让黑客收到验证码。母亲的娘家姓氏为安全问题提供了答案。

值得注意的是，某些信息是算作敏感还是非敏感 PII 在很大程度上取决于具体情形。全名本身可能不敏感，但看过某位医生的人的名单是敏感的。同样，一个人的电话号码可能是公开的，但用于社交媒体网站上双因素身份验证的电话号码数据库将是敏感的 PII。

具体情形还决定了某些信息是否被视为 PII。例如，经汇总的匿名地理位置数据通常被视为通用个人数据，因为无法辨识任何单个用户的身份。

但是，匿名地理位置数据的单个记录可能会成为 PII，正如最近的联邦贸易委员会 (FTC) 诉讼所证明的那样。

FTC 认为，数据经纪人 Kochava 出售的地理位置数据算作 PII，因为“该公司的定制数据源允许购买者识别和跟踪特定的移动设备用户。例如，移动设备在夜间的位置很可能是用户的家庭地址，可以与房产记录相结合以揭示他们的身份。”

技术的进步也使得用更少的信息来识别个人变得更容易，从而有可能降低总体上被视为 PII 的门槛。例如，IBM 和马里兰大学的研究人员设计了一种算法。该算法通过将匿名位置数据与来自社交网站的公开信息相结合来识别特定的个人。

根据 McKinsey 的数据，75% 的国家或地区已实施数据隐私法来管理 PII 的收集、保留和使用。遵守这些法规可能很困难，因为不同的司法管辖区可能有不同甚至相互矛盾的规则。

云计算和远程办公的兴起也带来了挑战。在这些环境中，数据可能会在一个地方收集，存储在另一个地方，然后在第三个地方处理。根据地理位置，每个阶段的数据可能适用不同的法规。

更复杂的是，不同的法规为必须保护的数据类型设定了不同的标准。欧盟的《通用数据保护条例》(GDPR) 要求组织保护所有个人数据，此类数据的定义为“与已识别或可识别的自然人有关的任何信息”。

根据 GDPR，组织必须保护敏感和非敏感的 PII。他们还必须保护在其他情况下甚至可能不被视为敏感数据的内容。这些信息包括政治观点、组织隶属关系和身体特征的描述。

美国政府的管理和预算办公室 (OMB) 更狭义地将 PII 定义为：

可单独用于区分或追踪个人身份的信息，例如其姓名、社会安全号码、生物识别记录等；或者在与其他关联到特定个人（或可以与其关联）的个人信息或识别信息组合之后，能用于区分或追踪个人身份的信息，例如出生日期和地点、母亲的娘家姓氏等。

正如 Gartner 分析师 Bart Willemsen 所说：“在美国......PII 历来可指代二十或三十种标识信息，例如姓名、地址、SSN、驾照或信用卡号。”

虽然美国缺乏联邦级数据隐私法，但政府机构须遵守 1974 年《隐私法》。该法案规定了联邦机构如何收集、使用和共享 PII。美国一些州有自己的数据隐私法规，尤其是加利福尼亚州。《加州消费者隐私法案》(CCPA) 和《加州隐私权利法案》(CPRA) 授予消费者限制组织收集、存储和使用其 PII 方式的某些权利。

一些行业也有自己的数据隐私法规。在美国，《健康保险流通和责任法案》(HIPAA) 对医疗保健组织如何收集和保护医疗记录和患者 PII 作出了规定。

同样，支付卡行业数据安全标准 (PCI DSS) 是一项全球金融行业标准，约束信用卡公司、商户和支付处理商处理敏感的持卡人信息的方式。

研究表明，组织难以有效应对日益复杂多样的法律法规和行业标准。据 ESG 称，过去三年接受过数据隐私审计的公司中，有 66% 至少失败过一次，23% 的公司失败过三次或三次以上。

不遵守相关的数据隐私法规可能会给组织带来罚款、声誉损失、业务损失和其他后果。例如，Amazon 在 2021 年因违反 GDPR 而被罚款 8.88 亿美元。

黑客窃取 PII 的原因有很多：进行身份盗窃、勒索或在黑市上出售；黑市上，每个社会安全号码可以卖到 1 美元，护照号码可以卖到 2,000 美元。

黑客还可能将 PII 作为更大规模攻击的一部分：他们可能使用勒索软件将 PII 扣作质押；或窃取 PII 来接管高管的电子邮件帐户，用于鱼叉式网络钓鱼和商业电子邮件泄露 (BEC) 诈骗。

网络罪犯经常使用社会工程攻击来诱骗毫无戒心的受害者自愿交出 PII，但他们也可能在暗网上购买 PII，或在更大规模数据泄露事件中获得访问权限。PII 可以通过翻找一个人的垃圾桶或在他们使用计算机时监视他们来物理窃取。

恶意行为者还可能监控目标的社交媒体帐户，其中许多人每天都在不知不觉中分享非敏感 PII。随着时间的推移，攻击者可以收集足够的信息来冒充受害者或入侵其帐户。

对于组织来说，保护 PII 可能很复杂。云计算和 SaaS 服务的增长意味着 PII 可以在多个位置（而不是单个集中式网络中）进行存储和处理。

根据 ESG 的一份报告，到 2024 年，存储在公有云中的敏感数据量预计将翻一番，超过一半的组织认为这些数据不够安全。

为了保护 PII，组织通常会制定数据隐私框架。这些框架可以采取不同的形式，具体取决于组织、其收集的 PII 以及其必须遵循的数据隐私法规。例如，美国国家标准与技术研究院 (NIST) 提供了以下示例框架：

1. 识别组织系统中的所有 PII。

2. 最大限度减少 PII 的收集和使用，并定期处置不再需要的任何 PII。

3. 根据敏感度级别对 PII 进行分类。

4. 应用数据安全控制措施。控制措施示例可包括：

• 加密：通过同态加密或机密计算对传输中、静态和使用中的 PII 进行加密，有助于确保 PII 的安全性和合规性，无论 PII 在何处存储或处理。
  
  
• 身份和访问管理 (IAM)：双因素或多重身份验证可以在黑客和敏感数据之间设置更多障碍。同样，通过零信任架构和基于角色的访问控制 (RBAC) 来执行最小特权原则，可以限制黑客入侵网络后可以访问的 PII 量。
  
  
• 培训：员工学习如何正确处理和处置 PII。员工还学习如何保护自己的 PII。培训内容包括防御网络钓鱼、社交工程和社交媒体意识。
  
  
• 匿名化：数据匿名化是去除敏感数据识别特征的过程。常见的匿名化技术包括从数据中剥离标识信息、汇总数据或有策略地向数据中添加噪声。
  
  
• 网络安全工具：数据丢失预防 (DLP) 工具有助于在数据于整个网络中移动时对其进行跟踪，从而更容易检测泄露和违规行为。提供网络活动高级视图的其他网络安全解决方案（例如扩展检测和响应 (XDR) 工具）也有助于跟踪 PII 的使用和滥用。

5. 起草针对 PII 泄露和违规行为的事件响应计划。

值得注意的是，NIST 和其他数据隐私专家通常建议根据数据的敏感程度对不同的数据集应用不同的控制措施。对非敏感数据使用严格的控制措施可能很麻烦，而且不具有成本效益。