分類
CISSP

個人資料

個人數據,也稱為個人信息個人身份信息PII[1] [2] [3]是與個人身份有關的任何信息。

縮寫PII在美國已被廣泛接受,但它縮寫的短語具有基於個人 /個人和可識別/識別的四個常見變體。並非所有功能都是等同的,並且出於法律目的,有效定義會根據使用該術語的司法管轄區和宗旨而有所不同。[a]在主要以《通用數據保護條例》為中心的歐洲和其他數據保護製度下,“個人數據”一詞的使用範圍要廣得多,並決定了管理制度的範圍。[4]

美國國家標準技術研究院特別出版物800-122 [5]將個人身份信息定義為“由代理機構維護的有關個人的任何信息,包括(1)任何可用於區分或追踪個人身份的信息,例如姓名,社會安全號碼,出生日期和地點,母親的娘家姓或生物特徵記錄;和(2)與個人鏈接或可鏈接的任何其他信息,例如醫療,教育,財務和就業信息。” 因此,例如,用戶的IP地址不是單獨分類為PII,而是分類為鏈接的PII。[6]但是,在歐盟互聯網訂戶的IP地址可以歸類為個人數據。[7]

根據GDPR,個人數據被定義為“與已識別或可識別的自然人有關的任何信息”。[8]

隨著信息技術互聯網使收集PII變得更加容易,PII的概念已變得越來越普遍,從而導致在收集和轉售PII方面獲得了有利可圖的市場。犯罪分子還可以利用PII來跟踪竊取一個人的身份,或幫助計劃犯罪行為。為了應對這些威脅,許多網站隱私政策專門針對PII的收集問題[9]歐洲議會等立法者制定了一系列立法,例如《通用數據保護條例》(GDPR),以限制發布和訪問權限PII。[10]

關於PII是指可識別(即可以與一個人相關聯)還是標識(即與一個人唯一地相關聯,從而使PII可以識別它們)的信息,引起了很大的困惑。在諸如HIPAA的說明性數據隱私製度中,已明確定義了PII項目。在諸如GDPR之類的更廣泛的數據保護製度中,個人數據是以基於非原則性原則的方式進行定義的。就GDPR而言,在HIPAA下可能不視為PII的信息可以是個人數據。因此,國際上通常不建議使用“ PII”。

資料來源:https://en.wikipedia.org/wiki/Personal_data

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。