个人身份信息 (PII) 是与特定个人相关的可用于发现该个人身份的任何信息,例如其社会保障号、全名或电子邮件地址。
随着人们在工作和个人生活中越来越依赖信息技术,与组织共享的 PII 数量也在增长。 例如,公司收集客户的个人数据以了解公司的市场状况,消费者很容易提供他们的电话号码和家庭住址来注册服务和在线购物。
共享 PII 有其好处,因为这让企业能够根据客户的需求定制产品和服务,例如在导航应用程序中提供更相关的搜索结果。 但是,组织积累的越来越多的 PII 仓库引起了网络犯罪分子的注意。 黑客窃取 PII 进行身份盗用、在黑市上出售 PII 或通过勒索软件捕获 PII。 根据 IBM 发布的2022 年数据违规成本报告, 83% 的公司遭受了一次以上的数据违规,违规造成的平均成本高达 435 万美元。 面对这些攻击,个人和信息安全专业人员必须驾驭复杂的 IT 和法律环境,以维护数据隐私。
PII 有两种类型:直接标识符和间接标识符。 直接标识符对一个人是唯一的,包括护照号码或驾驶执照号码等内容。 单个直接标识符通常足以确定某人的身份。
间接标识符不是唯一的。 间接标识符包括更一般的个人详细信息,例如种族和出生地。 虽然单个间接标识符无法标识某一人员,但间接标识符的组合可以。 例如,87% 的美国公民(PDF,303 KB) (链接位于 ibm.com 之外)仅根据其性别、邮政编码和出生日期即可识别。
并非所有个人数据都被视为 PII。 例如,关于一个人观看的流媒体习惯的数据不是 PII,因为仅凭一个人在 Netflix 上观看的内容来判断此人的身份是很难的(几乎不可能)。 PII 仅表示指向特定人员的信息,例如你在联系银行时可能提供的用于验证身份的信息类型。
在 PII 中,某些信息比其他信息更敏感。 敏感的个人身份信息是直接识别个人身份的敏感信息,如果泄露或被盗,可能会造成重大伤害。 社会保障号(SSN)是敏感个人身份信息的一个很好的例子。 由于许多政府机构和金融机构使用 SSN 来验证人们的身份,因此窃取 SSN 的犯罪分子可以轻松访问受害者的税务记录或银行账户。 敏感 PII 的其他示例包括:
敏感 PII 通常不公开,大多数现有数据隐私法律要求组织通过加密、控制谁访问它或采取其他网络安全措施来保护它。
非敏感 PII 是指如果单独泄露或被盗,不会对个人造成重大伤害的个人数据。 这种信息可能是一个人独有的,也可能不是。 例如,社交媒体句柄将是非敏感 PII:它可以识别某人,但恶意行为者不能仅使用社交媒体帐户名称进行身份盗用。 非敏感 PII 的其他示例包括:
非敏感 PII 通常是公开的,例如,电话号码可能列在电话簿中,地址可能列在地方政府的公共财产记录中。 一些数据隐私法规不要求保护非敏感 PII,但许多公司还是采取了保护措施。 这是因为犯罪分子可能会通过组合多种非敏感 PII 来制造麻烦。
例如,黑客可能会使用某人的电话号码、电子邮件地址和母亲的婚前姓氏来入侵某人的银行帐户应用程序。 电子邮件为他们提供了一个用户名,欺骗电话号码为他们提供了接收验证码的方法,母亲的婚前姓氏为他们提供了安全问题的答案。
请务必注意,某些内容是算作敏感还是非敏感 PII 在很大程度上取决于上下文。 全名本身可能是不敏感的,但去某个医生那里看过病的的人名单将是敏感的。 同样,一个人的电话号码可能是公开的,但在社交媒体网站上用于双因素身份验证的电话号码数据库将是敏感的 PII。
上下文还决定了某些内容是否被视为 PII。 例如,聚合的匿名地理位置数据通常被视为通用个人数据,因为无法隔离任何单个用户的身份。 但是,匿名地理位置数据的个人记录可以成为 PII,正如最近的联邦贸易委员会(FTC)诉讼 (链接位于 ibm.com 之外)所证明的那样。 联邦贸易委员会认为,数据经纪人 Kochava 出售的地理位置数据算作 PII,因为“该公司的定制数据馈送允许购买者识别和跟踪特定的移动设备用户。 例如,移动设备在夜间的位置可能是用户的家庭住址,可以与财产记录相结合以发现用户的身份。”
由于技术的进步,能够通过更少的信息更轻松识别人员的身份,因此可能会降低一般被视为 PII 的门槛。 例如,IBM 和马里兰大学的研究人员设计了一种算法(PDF,959 KB) (链接位于 ibm.com 外部),可通过将匿名位置数据与社交网站的公开信息相结合来识别特定个人的身份。
根据麦肯锡的调查 (链接位于 ibm.com 之外),75% 的国家/地区已实施数据隐私法来管理 PII 的收集、保留和使用。 遵守这些法规可能很困难,因为不同的司法管辖区制定的规则可能有不同,甚至相互矛盾。 云计算和远程劳动力的兴起也带来了挑战。 在这些环境中,数据可能在一个地方收集,在另一个地方存储,并在第三个地方处理。 根据地理位置的不同,每个阶段的数据可能有不同的适用法规。
更复杂的是,不同的法规为必须保护的数据类型而设定了不同的标准。 欧盟的《通用数据保护条例》(GDPR)要求组织保护所有个人数据,定义为 (链接位于 ibm.com 外部)“与已识别或可识别的自然人有关的任何信息”。根据 GDPR 的要求,组织必须保护敏感和非敏感 PII,以及在其他情况下甚至可能不被视为敏感数据的内容,例如政治观点、组织隶属关系和物理特征描述。
美国政府管理和预算办公室(OMB)将 PII (PDF,227KB) (链接位于 ibm.com 之外)定义为
可用于区分或追踪个人身份的信息,例如其姓名、社会保障号、生物识别记录等,或与与特定个人链接或可链接的其他个人或识别信息(例如出生日期和地点、母亲的婚前姓氏等)结合使用时。
正如 Gartner 分析师 Bart Willemsen (链接位于 ibm.com 之外)所说,“在美国...... PII 历来是指二三十个标识符,如姓名、地址、SSN、驾照号或信用卡号”。
虽然美国缺乏联邦级数据隐私法,但政府机构受 1974 年《隐私法》的约束,该法案规定了联邦机构如何收集、使用和共享 PII。 美国一些州有自己的数据隐私法规,最著名的是加利福尼亚州。 《加州消费者隐私法案》(CCPA)和《加州隐私权法案》(CPRA)授予消费者对组织如何收集、存储和使用其 PII 的某些权利。
一些行业也有自己的数据隐私法规。 在美国,《健康保险流通与责任法案》(HIPAA)规定了医疗保健组织收集和保护医疗记录和患者 PII 的方式。 同样,支付卡行业数据安全标准 (PCI DSS) 是信用卡公司、商家和支付处理商如何处理敏感持卡人信息的全球金融行业标准。
研究表明,组织一直在努力驾驭这种不同的法律和行业标准。 根据 ESG (链接位于 ibm.com 之外)的数据,在过去三年中接受过数据隐私审计的公司中,有 66% 的公司至少失败过一次,23% 的公司失败了三次或更多次。 不遵守相关的数据隐私法规可能会导致罚款、声誉受损、业务损失以及组织的其他后果。 例如,亚马逊因在 2021 年违反 GDPR 而被罚款 8.88 亿美元 (链接位于 ibm.com 之外)
。黑客窃取 PII 的原因有很多:进行身份盗用、勒索或在黑市上出售,黑市中,每卖出一个社会保障号最多可赚取 1 美元,护照号码可赚 2,000 美元 (链接位于 ibm.com 之外) 。黑客还可能将 PII 作为更大规模攻击的一部分:黑客可能会使用勒索软件将其作为人质或窃取 PII 来接管高管的电子邮件帐户,以用于鱼叉式网络钓鱼和商业电子邮件入侵 (BEC) 诈骗。
网络犯罪分子经常使用社会工程攻击来诱骗毫无戒心的受害者自愿交出 PII,但他们也可能在暗网上购买或作为更大数据泄露的一部分获得访问权限。 可以通过翻找某人的垃圾桶以物理方式获得 PII,也可以在用户使用电脑时进行监视来获得 PII。 恶意行为者还可能监视目标的社交媒体帐户,其中许多人每天都在不知不觉中共享非敏感 PII。 随着时间的推移,攻击者可以收集足够的信息来冒充受害者或入侵受害者的帐户。
对于组织而言,保护 PII 可能很复杂。 云计算和 SaaS 服务的增长意味着 PII 可以在多个位置存储和处理,而不是单个集中式网络。 根据 ESG 的一份报告 (链接位于 ibm.com 之外),到 2024 年,存储在公共云中的敏感数据量预计将翻倍,超过一半的组织认为这些数据不够安全。
为了保护 PII,组织通常会创建数据隐私框架。 这些框架可以采用不同的形式,具体取决于组织、收集的 PII 以及必须遵守的数据隐私法规。 例如,美国国家标准与技术研究院(NIST)提供了以下示例框架 (链接位于 ibm.com 之外)
:1. 识别组织系统中的所有 PII。
2. 尽量减少 PII 的收集和使用,并定期处理不再需要的任何 PII。
3. 根据敏感度级别对 PII 进行分类。
4. 应用数据安全控制措施。 控制措施的示例可能包括:
5. 起草针对 PII 泄漏和违规的事件响应计划。
值得注意的是,NIST 和其他数据隐私专家经常建议根据数据的敏感程度对不同的数据集应用不同的控制。 对非敏感数据使用严格的控制可能很麻烦且没有成本效益。