Персональные данные , также известные как личная информация или персональная идентифицируемая информация ( PII ), [1] [2] [3] представляют собой любую информацию, относящуюся к идентифицируемому лицу.
Аббревиатура PII широко используется в Соединенных Штатах , но фраза, которую она сокращает, имеет четыре распространенных варианта, основанных на personal или лично и identifiable или identifying . Не все они эквивалентны, и для юридических целей эффективные определения различаются в зависимости от юрисдикции и целей, для которых используется термин. [a] В режимах защиты данных Европейского Союза и Соединенного Королевства , которые в первую очередь сосредоточены на Общем регламенте по защите данных (GDPR), [4] термин «персональные данные» значительно шире и определяет сферу действия режима регулирования. [5]
Специальный выпуск Национального института стандартов и технологий 800-122 [6] определяет персонально идентифицируемую информацию как «любую информацию о человеке, хранящуюся агентством, включая (1) любую информацию, которая может быть использована для различения или отслеживания личности человека, такую как имя, номер социального страхования, дата и место рождения, девичья фамилия матери или биометрические записи; и (2) любую другую информацию, которая связана или может быть связана с человеком, такую как медицинская, образовательная, финансовая и информация о занятости». Например, IP-адрес пользователя не классифицируется как PII сам по себе, но классифицируется как связанная PII. [7]
Персональные данные определяются в GDPR как «любая информация, которая относится к идентифицированному или идентифицируемому физическому лицу». [8] [6] IP-адрес интернет-абонента может быть классифицирован как персональные данные. [9]
Концепция PII стала распространенной, поскольку информационные технологии и Интернет облегчили сбор PII, что привело к прибыльному рынку сбора и перепродажи PII. PII также может использоваться преступниками для преследования или кражи личности человека или для помощи в планировании преступных действий. В ответ на эти угрозы многие политики конфиденциальности веб-сайтов специально касаются сбора PII , [10] и законодатели, такие как Европейский парламент, приняли ряд законодательных актов, таких как GDPR, чтобы ограничить распространение и доступность PII. [11]
Возникает важная путаница относительно того, означает ли PII информацию, которая является идентифицируемой (то есть может быть связана с человеком) или идентифицирующей (то есть связана однозначно с человеком, так что PII идентифицирует его). В предписывающих режимах конфиденциальности данных, таких как Федеральный закон США о переносимости и подотчетности медицинского страхования (HIPAA), элементы PII были специально определены. В более широких режимах защиты данных, таких как GDPR, персональные данные определяются непредписывающим образом на основе принципов. Информация, которая может не считаться PII в соответствии с HIPAA, может быть персональными данными для целей GDPR. По этой причине «PII» обычно не рекомендуется использовать на международном уровне.
Правительство США использовало термин «лично идентифицируемый» в 2007 году в меморандуме Исполнительного управления президента, Управления по управлению и бюджету (OMB), [12] и это использование теперь появляется в стандартах США, таких как Руководство NIST по защите конфиденциальности личной идентифицируемой информации (SP 800-122). [13] Меморандум OMB определяет PII следующим образом:
Информация, которая может быть использована для различения или отслеживания личности человека, например, его имя, номер социального страхования, биометрические записи и т. д., отдельно или в сочетании с другой личной или распознаваемой связанной или связываемой информацией, например, датой и местом рождения, а также девичьей фамилией матери, в официальных стандартах, таких как NIST Guide, демонстрирует проактивный подход к обеспечению надежных гарантий конфиденциальности в динамичном ландшафте безопасности данных. Эта интеграция в установленные стандарты является основополагающей структурой для организаций, чтобы принимать и внедрять эффективные меры по защите личной информации людей.
— NIST, Структура конфиденциальности NIST, https://www.nist.gov/privacy-framework
Термин, аналогичный PII, «персональные данные», определен в директиве ЕС 95/46/EC для целей директивы: [14]
Статья 2а: «персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, характерных для его физической, физиологической, психической, экономической, культурной или социальной идентичности;
В правилах ЕС было более конкретное понятие, что субъект данных потенциально может быть идентифицирован посредством дополнительной обработки других атрибутов — квази- или псевдоидентификаторов. В GDPR персональные данные определяются как:
Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, путем ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, сетевой идентификатор или на один или несколько факторов, характерных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица [15]
Простой пример такого различия: название цвета «красный» само по себе не является персональными данными, но то же самое значение, хранящееся как часть записи человека как его «любимый цвет», является персональными данными; именно связь с человеком делает его персональными данными, а не само значение (как в случае с PII).
Другой термин, похожий на PII, «персональная информация», определен в разделе закона Калифорнии об уведомлении об утечке данных, SB1386: [16]
(e) Для целей настоящего раздела «персональная информация» означает имя или первую букву имени и фамилию лица в сочетании с любым одним или несколькими из следующих элементов данных, когда имя или элементы данных не зашифрованы: (1) Номер социального страхования. (2) Номер водительских прав или номер удостоверения личности Калифорнии. (3) Номер счета, номер кредитной или дебетовой карты в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем, который разрешает доступ к финансовому счету лица. (f) Для целей настоящего раздела «персональная информация» не включает общедоступную информацию, которая законно предоставляется широкой публике из записей федеральных, государственных или местных органов власти.
Концепция комбинации информации, приведенная в определении SB1386, является ключом к правильному различению PII, как определено OMB, от «персональной информации», как определено SB1386. Информация, такая как имя, которая не имеет контекста, не может быть названа «персональной информацией» SB1386, но ее следует назвать PII, как определено OMB. Например, имя « Джон Смит » не имеет значения в текущем контексте и, следовательно, не является «персональной информацией» SB1386, но это PII. Номер социального страхования (SSN) без имени или какой-либо другой связанной с ним информации об идентичности или контексте не является «персональной информацией» SB1386, но это PII. Например, SSN 078-05-1120 сам по себе является PII, но это не «персональная информация» SB1386. Однако комбинация действительного имени с правильным SSN является «персональной информацией» SB1386. [16]
Сочетание имени с контекстом также может считаться PII; например, если имя человека есть в списке пациентов клиники по лечению ВИЧ. Однако не обязательно, чтобы имя сочеталось с контекстом, чтобы оно было PII. Причина такого различия заключается в том, что такие фрагменты информации, как имена, хотя они сами по себе могут быть недостаточны для идентификации, впоследствии могут быть объединены с другой информацией для идентификации людей и нанесения им вреда.
Область применения термина «конфиденциальные персональные данные» различается в зависимости от юрисдикции. В Великобритании персональные данные о состоянии здоровья рассматриваются как «конфиденциальные» и требуют дополнительных мер защиты данных. [17] Согласно OMB, в Соединенных Штатах не всегда PII является «конфиденциальными», и при принятии решения о том, являются ли определенные PII конфиденциальными или нет, может учитываться контекст. [12] [ необходима полная цитата ]
Когда человек желает остаться анонимным, его описания часто будут использовать несколько из вышеперечисленных, например, «34-летний белый мужчина, работающий в Target». Информация все еще может быть частной , в том смысле, что человек может не желать, чтобы она стала публично известной, не будучи при этом персонально идентифицируемой. Более того, иногда несколько фрагментов информации, ни один из которых сам по себе не является достаточным для уникальной идентификации человека, могут однозначно идентифицировать человека при объединении; это одна из причин, по которой на уголовных процессах обычно представляются несколько фрагментов доказательств. Было показано, что в 1990 году 87% населения Соединенных Штатов можно было однозначно идентифицировать по полу, почтовому индексу и полной дате рождения. [18]
На хакерском и интернет-сленге практика поиска и публикации такой информации называется « доксинг ». [19] [20] Иногда она используется для предотвращения сотрудничества с правоохранительными органами. [21] Иногда доксинг может привести к аресту, особенно если правоохранительные органы подозревают, что «доксингованный» человек может запаниковать и исчезнуть. [22]
В Австралии Закон о конфиденциальности 1988 года касается защиты личной конфиденциальности, используя Принципы конфиденциальности ОЭСР 1980-х годов для создания широкой, основанной на принципах модели регулирования (в отличие от США, где охват, как правило, основан не на широких принципах, а на конкретных технологиях, деловой практике или элементах данных). Раздел 6 содержит соответствующее определение. [23] Важнейшей деталью является то, что определение «личной информации» также применяется к случаям, когда лицо может быть косвенно идентифицировано:
«персональная информация» означает информацию или мнение об идентифицированном лице или лице, которое можно разумно идентифицировать, независимо от того, является ли эта информация или мнение правдой или нет; и зафиксирована ли эта информация или мнение в материальной форме или нет.
Похоже, что это определение значительно шире, чем приведенный выше пример Калифорнии, и, таким образом, австралийское законодательство о конфиденциальности может охватывать более широкую категорию данных и информации, чем некоторые законы США.
В частности, компании, занимающиеся поведенческой рекламой в Интернете , базирующиеся в США, но тайно собирающие информацию от людей из других стран в виде файлов cookie, ошибок , трекеров и т. п., могут обнаружить, что их стремление избежать последствий, связанных с желанием создать психографический профиль конкретного человека, используя рубрику «мы не собираем личную информацию», может оказаться нецелесообразным в рамках более широкого определения, такого как в Законе Австралии о конфиденциальности.
Термин «PII» не используется в австралийском законодательстве о конфиденциальности.
Законодательство Европейского Союза о защите данных не использует понятие персонально идентифицируемой информации, а его сфера действия определяется не синонимичным, более широким понятием «персональные данные».
Дополнительные примеры можно найти на веб-сайте ЕС по вопросам конфиденциальности. [24]
1 июня 2023 года Управление комиссара по защите персональных данных Гонконга опубликовало отчет о расследовании утечки данных, связанной с несанкционированным доступом к платформе базы данных кредитных ссылок. В отчете подчеркивается необходимость принятия организациями адекватных мер по защите персональных данных, поскольку простого навязывания договорных обязательств и политик недостаточно, если такие обязательства и политики неэффективны или не соблюдаются. В отчете также разъясняется, что кредитные данные являются формой «конфиденциальных» персональных данных. [25]
Применяются двенадцать принципов конфиденциальности информации Закона о конфиденциальности 1993 года . Новая Зеландия приняла Закон о конфиденциальности в 2020 году для поощрения и защиты конфиденциальности личности. [28]
Федеральный закон о защите данных от 19 июня 1992 года (вступил в силу в 1993 году) установил защиту конфиденциальности, запретив практически любую обработку персональных данных, которая не была прямо разрешена субъектами данных. [29] Защита находится в ведении Федерального комиссара по защите данных и информации . [29]
Кроме того, любое лицо может в письменной форме обратиться к компании (управляющей файлами данных) с просьбой исправить или удалить любые персональные данные. [30] Компания должна ответить в течение тридцати дней. [30]
Закон о конфиденциальности 1974 года (Pub.L. 93–579, 88 Stat. 1896, вступил в силу 31 декабря 1974 года, 5 USC § 552a, федеральный закон Соединенных Штатов, устанавливает Кодекс добросовестной информационной практики, который регулирует сбор, хранение, использование и распространение персонально идентифицируемой информации о лицах, которая хранится в системах записей федеральных агентств. [31]
Одним из основных направлений Закона о переносимости и подотчетности медицинского страхования (HIPAA) является защита защищенной медицинской информации пациента (PHI), которая похожа на PII. Сенат США предложил Закон о конфиденциальности 2005 года, который пытался строго ограничить отображение, покупку или продажу PII без согласия человека. Аналогичным образом (предлагаемый) Закон о борьбе с фишингом 2005 года пытался предотвратить получение PII посредством фишинга .
Законодатели США уделили особое внимание номеру социального страхования , поскольку его можно легко использовать для совершения кражи личных данных . (Предлагаемый) Закон о защите номера социального страхования 2005 года и (предлагаемый) Закон о предотвращении кражи личных данных 2005 года каждый стремились ограничить распространение номера социального страхования отдельного человека.
Дополнительная персональная идентификационная информация, специфичная для США [32] , включает, помимо прочего, записи I-94, идентификационные номера Medicaid и документацию Службы внутренних доходов (IRS). Эксклюзивность персональной идентификационной информации, связанной с США, подчеркивает проблемы национальной безопасности данных [33] и влияние персональной идентификационной информации в федеральных системах управления данными США.
Национальный институт стандартов и технологий (NIST) — лаборатория физических наук и нерегулируемое агентство Министерства торговли США. Его миссия — содействовать инновациям и промышленной конкурентоспособности.
Следующие данные, часто используемые для явной цели различения индивидуальной идентичности, четко классифицируются как персонально идентифицируемая информация в соответствии с определением, используемым NIST (подробно описано ниже): [13]
Следующие данные реже используются для различения индивидуальной идентичности, поскольку они являются чертами, общими для многих людей. Однако они потенциально являются PII, поскольку их можно объединить с другой личной информацией для идентификации личности.
В криминалистике , особенно при идентификации и судебном преследовании преступников, персонально идентифицируемая информация имеет решающее значение для установления доказательств в уголовном процессе . Преступники могут пойти на большие усилия, чтобы избежать оставления какой-либо PII, [ необходима цитата ] например:
Персональные данные являются ключевым компонентом онлайн-идентификации и могут быть использованы отдельными лицами. Например, данные могут быть изменены и использованы для создания поддельных документов, захвата почтовых ящиков и телефонных звонков или преследования людей, как это произошло в 2019 году с клиентом оператора мобильной связи EE в Великобритании. [43]
Другая категория может быть отнесена к краже финансовых личных данных, [44] которая обычно подразумевает кражу информации о банковских счетах и кредитных картах, а затем ее использование или продажу. [45]
Персональные данные также могут использоваться для создания поддельных онлайн-идентификаций, включая поддельные учетные записи и профили (что можно назвать клонированием личности [46] или мошенничеством с личностью ) для знаменитостей, чтобы им было легче собирать данные других пользователей. [47] Даже отдельные лица могут быть обеспокоены, особенно в личных целях (это более широко известно как мошенничество с куклами ).
Наиболее важную информацию, такую как пароль, дата рождения, документы, удостоверяющие личность, или номер социального страхования, можно использовать для входа на различные веб-сайты (например, повторное использование пароля и проверка учетной записи ) для сбора дополнительной информации и доступа к большему количеству контента.
Кроме того, несколько агентств просят проявлять осмотрительность в вопросах, связанных с их работой, ради безопасности своих сотрудников. По этой причине Министерство обороны США (DoD) имеет строгую политику, контролирующую раскрытие персонально идентифицируемой информации сотрудников DoD. [48] Многие разведывательные агентства имеют схожую политику, иногда до такой степени, что сотрудники не раскрывают своим друзьям, что они работают в агентстве.
Аналогичные проблемы защиты личности существуют для программ защиты свидетелей , приютов для женщин , а также жертв домашнего насилия и других угроз. [49]
Услуги по удалению личной информации работают путем идентификации и запроса брокеров данных на удаление личной информации их клиентов. Этот процесс может быть ручным или полностью автоматизированным, но он, тем не менее, сложен, поскольку включает в себя работу с многочисленными брокерами данных, каждый из которых имеет свою политику и процедуры удаления данных. [50] [51] [52]
Компании, предлагающие удаление личной информации, также сталкиваются с некоторыми проблемами. Они борются за обеспечение комплексного удаления данных, поскольку появляются новые брокеры данных, а существующие не всегда выполняют запросы на удаление. Большинство из них также ограничены определенными регионами или странами. [53]Во второй половине 20-го века цифровая революция ввела «экономику конфиденциальности» или торговлю персональными данными. Ценность данных может меняться со временем и в разных контекстах. Раскрытие данных может обратить вспять информационную асимметрию , хотя затраты на это могут быть неясны. В отношении компаний потребители часто имеют «неполную информацию о том, когда собираются их данные, с какими целями и с какими последствиями». [54]
В 2015 году Алессандро Аквисти, Кертис Тейлор и Лиад Вагман выделили три «волны» в торговле персональными данными:
Брокер данных — это физическое или юридическое лицо , которое специализируется на сборе персональных данных (таких как доход, этническая принадлежность, политические убеждения или данные геолокации ) или данных о людях, в основном из публичных записей , но иногда и из частных источников, и продаже или лицензировании такой информации третьим лицам для различных целей. Источники, обычно основанные на Интернете с 1990-х годов, могут включать в себя записи переписей и избирательных списков , сайты социальных сетей , судебные отчеты и истории покупок. Информация от брокеров данных может использоваться при проверках биографических данных, используемых работодателями и жилищными агентствами.
В мире существуют различные правила, ограничивающие сбор информации о частных лицах; законы о конфиденциальности различаются. В Соединенных Штатах нет федерального регулирования, защищающего потребителя от брокеров данных, хотя некоторые штаты начали принимать законы индивидуально. В Европейском союзе GDPR служит для регулирования деятельности брокеров данных. Некоторые брокеры данных сообщают о наличии большого количества данных о населении или «атрибутов данных». Acxiom заявляет, что имеет данные 2,5 миллиарда разных людей.{{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка )