معلومات التعريف الشخصية (PII) هي أي معلومات مرتبطة بفرد معين يمكن استخدامها لكشف هوية هذا الفرد أو سرقتها، مثل رقم الضمان الاجتماعي أو الاسم الكامل أو عنوان البريد الإلكتروني أو رقم الهاتف.
ومع تزايد اعتماد الأشخاص على تكنولوجيا المعلومات في عملهم وحياتهم الشخصية، ازدادت كمية معلومات التعريف الشخصية التي تتم مشاركتها مع المؤسسات. على سبيل المثال، تقوم الشركات بجمع البيانات الشخصية للعملاء لفهم أسواقها، كما أن المستهلكين يعطون بسهولة أرقام هواتفهم وعناوين منازلهم للتسجيل في الخدمات والتسوق عبر الإنترنت.
وقد تكون لمشاركة معلومات التعريف الشخصية فوائدها، حيث إنها تتيح للشركات تكييف المنتجات والخدمات حسب رغبات واحتياجات عملائها، مثل عرض نتائج أكثر ملاءمة في تطبيقات التصفح. ومع ذلك، فإن المخازن المتزايدة لمعلومات التعريف الشخصية المتراكمة لدى المؤسسات تجذب انتباه المجرمين الإلكترونيين.
يسرق المتسللون معلومات تحديد الهوية الشخصية لارتكاب سرقة الهوية أو بيعها في السوق السوداء أو الاحتفاظ بها عبر برامج الفدية. وفقًا لتقرير IBM حول تكلفة اختراق البيانات لعام 2024 ، فإن متوسط تكلفة اختراق البيانات الناجم عن هجوم برامج الفدية بلغ 5.68 ملايين دولار أمريكي. يجب على الأفراد والمتخصصين في أمن المعلومات التعامل بما يتناسب مع مشهد تكنولوجيا المعلومات والمشهد القانوني للحفاظ على خصوصية البيانات في مواجهة هذه الهجمات.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
تنقسم معلومات التعريف الشخصية (PII) إلى نوعين: معلومات تعريف مباشرة ومعلومات تعريف غير مباشرة. معلومات التعريف المباشرة فريدة لكل شخص، وتشمل معلومات مثل رقم جواز السفر أو رقم رخصة القيادة. وعادةً ما يكفي مصدر معلومات تعريف مباشر واحد لتحديد هوية الشخص.
المعرفات غير المباشرة ليست فريدة من نوعها. وهي تتضمن تفاصيل شخصية أكثر عمومية مثل العرق ومكان الميلاد. في حين لا يمكن لمعرّف واحد غير مباشر تحديد هوية الشخص، يمكن لمجموعة من المعرفات أن تحدد هويته. على سبيل المثال، يمكن تحديد 87٪ من مواطني الولايات المتحدة بناء على جنسهم والرمز البريدي وتاريخ الميلاد.
لا تُعتبر جميع البيانات الشخصية معلومات تعريف شخصية. على سبيل المثال، لا تعتبر البيانات المتعلقة بعادات المشاهدة المباشرة لشخص ما معلومات تعريف شخصية. ذلك لأنه سيكون من الصعب، إن لم يكن من المستحيل، تحديد هوية شخص ما بناءً على ما شاهده على نتفليكس فقط. تشير معلومات التعريف الشخصية فقط إلى المعلومات التي تشير إلى شخص معين، مثل نوع المعلومات التي قد تقدمها للتحقق من هويتك عند الاتصال بالبنك الذي تتعامل معه.
من بين معلومات تحديد الهوية الشخصية، تكون بعض المعلومات أكثر حساسية من غيرها. معلومات التعريف الشخصية الحساسة هي معلومات حساسة تحدد هوية الفرد بشكل مباشر ويمكن أن تسبب ضررًا كبيرًا إذا تم تسريبها أو سرقتها.
رقم الضمان الاجتماعي (SSN) هو مثال جيد على معلومات التعريف الشخصية الحساسة. نظرًا لأن العديد من الوكالات الحكومية والمؤسسات المالية تستخدم أرقام الضمان الاجتماعي للتحقق من هويات الأشخاص، فإن المجرم الذي يسرق رقم الضمان الاجتماعي يمكنه بسهولة الوصول إلى السجلات الضريبية أو الحسابات المصرفية لضحيته. وتشمل الأمثلة الأخرى لمعلومات التعريف الشخصية الحساسة ما يلي:
عادةً ما لا تكون معلومات التعريف الشخصية الحساسة متاحة للعامة، وتتطلب معظم قوانين خصوصية البيانات الحالية من المؤسسات حمايتها عن طريق تشفيرها، والتحكم في الأشخاص الذين يمكنهم الوصول إليها أو اتخاذ تدابير أخرى للأمن السيبراني .
معلومات تحديد الهوية الشخصية غير الحساسة هي البيانات الشخصية التي، بمعزل عن غيرها، ولن تسبب ضررًا كبيرًا لشخص ما إذا تم تسريبها أو سرقتها. قد يكون أو لا يكون فريدًا لشخص ما. على سبيل المثال، قد يكون اسم المستخدم على وسائل التواصل الاجتماعي عبارة عن معلومات شخصية غير حساسة: يمكنه تحديد هوية شخص ما، ولكن لا يمكن للمجرم الخبيث ارتكاب سرقة الهوية باستخدام اسم حساب على وسائل التواصل الاجتماعي فقط. تشمل الأمثلة الأخرى لمعلومات تحديد الهوية الشخصية غير الحساسة ما يلي:
غالبًا ما تكون معلومات التعريف الشخصية غير الحساسة متاحة للعامة. على سبيل المثال، قد تكون أرقام الهواتف مدرجة في دليل الهاتف، وقد تكون العناوين مدرجة في سجلات الملكية العامة للحكومة. لا تتطلب بعض لوائح خصوصية البيانات حماية معلومات التعريف الشخصية غير الحساسة، لكن العديد من الشركات تضع ضمانات على أي حال. وذلك لأن المجرمين يمكن أن يتسببوا في مشكلات من خلال تجميع أجزاء متعددة من معلومات التعريف الشخصية غير الحساسة.
على سبيل المثال، يمكن لأحد المخترقين اختراق تطبيق الحساب المصرفي لشخص ما باستخدام رقم هاتفه وعنوان بريده الإلكتروني واسم الأم قبل الزواج. يمنحهم البريد الإلكتروني اسم المستخدم. ويتيح انتحال رقم الهاتف للمخترقين الحصول على رمز التحقق. ويوفر اسم الأم قبل الزواج إجابة على سؤال الأمان.
من الجدير بالذكر أن اعتبار شيء ما على أنه حساس أو غير حساس فيما يتعلق بمعلومات التعريف الشخصية يعتمد بشكل كبير على السياق. فقد يكون الاسم الكامل بمفرده غير حساس، ولكن قائمة بالأشخاص الذين زاروا طبيبًا معينًا قد تكون حساسة. وبالمثل، قد يكون رقم هاتف شخص ما متاحًا للجمهور، ولكن قاعدة بيانات أرقام الهواتف المستخدمة للمصادقة الثنائية على أحد مواقع التواصل الاجتماعي قد تكون معلومات شخصية حساسة.
يحدد السياق أيضًا ما إذا كان شيء ما يعتبر ضمن معلومات التعريف الشخصية من الأساس. على سبيل المثال، غالبًا ما يُنظر إلى بيانات تحديد الموقع الجغرافي المجهولة المجمعة على أنها بيانات شخصية عامة لأنه لا يمكن عزل هوية أي مستخدم واحد بعينه.
ومع ذلك، يمكن أن تصبح السجلات الفردية لبيانات تحديد الموقع الجغرافي مجهولة الهوية ضمن معلومات التعريف الشخصية، كما يتضح من دعوى قضائية حديثة للجنة التجارة الفيدرالية (FTC).
تجادل لجنة التجارة الفيدرالية بأن وسيط البيانات Kochava كان يبيع بيانات تحديد الموقع الجغرافي التي تُعدّ بمثابة معلومات تعريف شخصية لأن "موجز البيانات المخصص للشركة يسمح للمشترين بتحديد وتتبع مستخدمين محددين للأجهزة المحمولة. على سبيل المثال، من المحتمل أن يكون موقع الجهاز المحمول ليلًا هو عنوان منزل المستخدم ويمكن دمجه مع سجلات الملكية للكشف عن هويته."
كما أن التقدم في التقنية يجعل من الأسهل تحديد هوية الأشخاص الذين لديهم عدد أقل من المعلومات، مما قد يؤدي إلى خفض عتبة ما يعتبر معلومات شخصية بشكل عام. على سبيل المثال، قام الباحثون في شركة IBM ® وجامعة ميريلاند بتصميم خوارزمية. تحدد هذه الخوارزمية أفرادًا محددين من خلال الجمع بين بيانات الموقع المجهولة والمعلومات المتاحة للجمهور من مواقع الشبكات الاجتماعية.
وفقًا لشركة ماكينزي ، قامت 75% من الدول بتنفيذ قوانين خصوصية البيانات التي تحكم جمع المعلومات الشخصية القابلة للتعريف والاحتفاظ بها واستخدامها. وقد يكون الامتثال لهذه اللوائح صعبًا لأن الاختصاصات القضائية المختلفة قد تكون لديها قواعد مختلفة أو حتى متناقضة.
كما يشكل ظهور الحوسبة السحابية والقوى العاملة عن بُعد تحديًا أيضًا. ففي هذه البيئات، قد يتم جمع البيانات في مكان ما، وتخزينها في مكان آخر، ومعالجتها في مكان ثالث. قد تنطبق لوائح مختلفة على البيانات في كل مرحلة، اعتمادًا على الموقع الجغرافي.
ومما يزيد الأمور تعقيدًا، أن اللوائح المختلفة تضع معايير مختلفة لأنواع البيانات التي تجب حمايتها. تُلزِم اللائحة العامة لحماية البيانات (GDPR) الخاصة بالاتحاد الأوروبي المؤسسات بحماية جميع البيانات الشخصية، والتي تُعرف بأنها "أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد".
وبموجب اللائحة العامة لحماية البيانات، تجب على المؤسسات حماية معلومات التعريف الشخصية الحساسة وغير الحساسة. كما يجب عليها أيضًا حماية الأشياء التي قد لا تعتبر بيانات حساسة في سياقات أخرى. وتتضمن هذه المعلومات: الآراء السياسية والانتماءات التنظيمية وأوصاف الخصائص الجسدية.
يعرّف مكتب الإدارة والميزانية التابع لحكومة الولايات المتحدة الأمريكية (OMB) معلومات التعريف الشخصية بشكل أدق على النحو التالي:
[I]المعلومات التي يمكن استخدامها لتمييز أو تتبع هوية الفرد، مثل اسمه، ورقم الضمان الاجتماعي، والسجلات البيومترية، وما إلى ذلك، سواء بمفردها، أم عند دمجها مع معلومات شخصية أو تعريفية أخرى مرتبطة أو قابلة للربط بفرد معين، مثل تاريخ ومكان الميلاد، واسم الأم قبل الزواج، وما إلى ذلك.
كما قال Bart Willemsen، المحلل لدى Gartner: "في الولايات المتحدة ... تشير معلومات التعريف الشخصية تاريخيًا إلى عشرين أو ثلاثين معرفًا مثل الاسم أو العنوان أو رقم الضمان الاجتماعي أو رخصة القيادة أو رقم بطاقة الائتمان".
نظرًا لأن الولايات المتحدة تفتقر إلى قوانين خصوصية البيانات على المستوى الفيدرالي، تخضع الحكومة إلى قانون الخصوصية لعام 1974، الذي يتحكم في كيفية قيام الحكومة بجمع معلومات التعريف الشخصية واستخدامها ومشاركتها. بعض الولايات الأمريكية لديها لوائح خصوصية البيانات الخاصة بها، وأبرزها كاليفورنيا. يمنح قانون خصوصية المستهلك في كاليفورنيا (CCPA) وقانون حقوق الخصوصية في كاليفورنيا (CPRA) المستهلكين حقوقًا معينة حول كيفية قيام المؤسسات بجمع معلومات التعريف الشخصية الخاصة بهم وتخزينها واستخدامها
وتستخدم بعض المجالات لوائح خصوصية البيانات الخاصة بها. في الولايات المتحدة الأمريكية، يحكم قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) كيفية جمع مؤسسات الرعاية الصحية للسجلات الطبية ومعلومات التعريف الشخصية للمرضى وحمايتها.
وبالمثل، فإن معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) هو معيار عالمي في القطاع المالي لكيفية تعامل شركات بطاقات الائتمان والتجار ومعالجي الدفع مع المعلومات الحساسة لحامل البطاقة.
وتشير الأبحاث إلى أن المؤسسات واجهت صعوبة في التنقل بين هذا المشهد المتنوع من القوانين والمعايير الصناعية. وفقًا للممارسات البيئية والاجتماعية وحوكمة الشركات، فإن 66% من الشركات التي خضعت لعمليات تدقيق خصوصية البيانات في السنوات الثلاث الماضية فشلت مرة واحدة على الأقل، و23% منها فشلت ثلاث مرات أو أكثر.
يمكن أن يؤدي عدم الامتثال للوائح خصوصية البيانات إلى فرض غرامات وتضرر السمعة وفقدان الأعمال التجارية وعواقب أخرى على المؤسسات. على سبيل المثال، تم تغريم أمازون 888 مليون دولار أمريكي لانتهاكها اللائحة العامة لحماية البيانات في عام 2021.
يسرق المخترقون معلومات التعريف الشخصية لأسباب عديدة: لسرقة الهوية، أو للابتزاز، أو لبيعها في السوق السوداء، حيث يمكن أن يصل سعر رقم الضمان الاجتماعي إلى دولار أمريكي واحد لكل رقم ضمان اجتماعي و2000 دولار أمريكي لرقم جواز السفر.
قد يستهدف المخترقون أيضًا معلومات التعريف الشخصية كجزء من هجوم أكبر: فقد يحتجزونها كرهينة باستخدام برمجيات الفدية أو يسرقون معلومات التعريف الشخصية للاستيلاء على حسابات البريد الإلكتروني للمديرين التنفيذيين لاستخدامها في عمليات التصيد الاحتيالي واختراق البريد الإلكتروني للأعمال (BEC).
مجرمو الإنترنت غالبًا ما يستخدمون هجمات الهندسة الاجتماعية لخداع الضحايا غير المنتبهين لتسليم معلومات التعريف الشخصية طواعية، ولكن قد يقومون أيضًا بشراء معلومات التعريف الشخصية على الشبكة الخفية أو الحصول عليها كجزء من اختراق أمن البيانات. يمكن سرقة معلومات التعريف الشخصية فعليًا عن طريق البحث في سلة المهملات الخاصة بشخص ما أو التجسس عليه أثناء استخدامه لجهاز كمبيوتر.
قد تراقب الجهات الخبيثة أيضًا حسابات وسائل التواصل الاجتماعي الخاصة بالهدف، حيث يشارك العديد من الأشخاص دون علمهم معلومات التعريف الشخصية غير الحساسة كل يوم. وبمرور الوقت، يمكن للمهاجمين جمع معلومات كافية لانتحال شخصية الضحية أو اختراق حساباتهم.
بالنسبة إلى المؤسسات، قد تكون حماية معلومات التعريف الشخصية معقدة. حيث إن نمو الحوسبة السحابية وخدمات البرمجيات كخدمة يعني أنه قد يتم تخزين ومعالجة معلومات التعريف الشخصية في مواقع متعددة بدلًا من شبكة مركزية واحدة.
وفقًا لتقرير صادر عن مؤسسة ESG، من المتوقع أن تتضاعف كمية البيانات الحساسة المخزنة في السحابات العامة بحلول عام 2024، وتعتقد أكثر من نصف المؤسسات أن هذه البيانات ليست آمنة بما فيه الكفاية.
لحماية معلومات التعريف الشخصية، تقوم المؤسسات بإنشاء إطار العمل الخاص بخصوصية البيانات. ويمكن أن يتخذ إطار العمل أشكالًا مختلفة اعتمادًا على المؤسسات، ومعلومات تحديد الهوية الشخصية التي تجمعها، وخصوصية البيانات التي يجب أن تتبعها. على سبيل المثال، يوفر المعهد الوطني الأمريكي للمعايير والتقنية (NIST) إطار العمل النموذجي التالي:
1. تحديد جميع معلومات التعريف الشخصية في أنظمة المؤسسة.
2. تقليل جمع واستخدام معلومات التعريف الشخصية إلى الحد الأدنى، والتخلص بانتظام من أي معلومات تعريف شخصية لم تعد هناك حاجة إليها.
3. تصنيف معلومات التعريف الشخصية وفقًا لمستوى الحساسية.
4. تطبيق ضوابط أمن البيانات . قد تتضمن أمثلة عناصر التحكم ما يلي:
5. صياغة خطة استجابة للحوادث تتعلق بتسريبات وانتهاكات معلومات التعريف الشخصية.
تجدر الإشارة إلى أن المعهد الوطني للمعايير والتكنولوجيا (NIST) وخبراء خصوصية البيانات الآخرين يوصون غالبًا بتطبيق عناصر تحكم مختلفة على مجموعات البيانات المختلفة بناءً على مدى حساسية البيانات. وقد يكون تطبيق عناصر تحكم صارمة على البيانات غير الحساسة أمرًا مُرهقًا وغير مُجدٍ من حيث التكلفة.