Personlig identifiserbar informasjon (PII) og personlige data er to grupperinger av data som ofte kan føre til forvirring for organisasjoner som samler inn, lagre og analysere slike data.
PII (personlig identifiserbar informasjon brukes i USA, men ingen enkelt juridisk dokument som definerer det. Det juridiske systemet i Usa er en blanding av flere føderale og statlige lover og sektorspesifikk regulering. De alle definere og klassifisere ulike biter av informasjon under de PII paraply.,
På den annen side, personlige data har en juridisk betydning, som er definert av General Data Protection regulation (GDPR), akseptert som lovgivning innenfor den Europeiske Union (EU).
Begge vilkårene dekker det som er felles, klassifisere informasjon som kan avsløre en persons identitet direkte eller indirekte.
Men hvorfor er det så viktig? Som en nettside admin, app skaperen eller produkt eier, må du være oppmerksom på at spor besøkende og brukere igjen kan være av sensitiv karakter., Disse sporene kan gjøre deg i stand til å identifisere enkeltpersoner, så du trenger for å håndtere slike data med den ytterste forsiktighet. Fra et juridisk ståsted, kan det være et spørsmål om brudd og overtredelser, med alvorlige konsekvenser. Ta tak i det store bildet er avgjørende for organisasjonen for sikkerhet og overholdelse av lover og regler.
- Hva er personlig identifiserbar informasjon (PII)?
- Hva biter av informasjon som anses som sensitiv informasjon?
- Hva er ikke-PII (personlig identifiserbar informasjon?
- Hva er personopplysninger?
- Hva er ikke-personlige data?,
- Hvordan PII skiller seg fra personlige data
- Juridisk rammeverk
- Hvor reglene om PII (personlig identifiserbar informasjon og personlige data gjelder
- holde seg oppdatert på personvern regelverk
Hva er personlig identifiserbar informasjon (PII)?
PII er ofte referert til av AMERIKANSKE myndigheter og ikke-statlige organisasjoner. Men USA mangler en overordnet lov om PII, så din forståelse av PII kan variere avhengig av din spesielle situasjon.
Den vanligste definisjonen som er gitt av National Institute of Standards and Technology (NIST).,
Det står at:
PII (personlig identifiserbar informasjon er all informasjon om et individ som vedlikeholdes av et statlig organ, herunder (1) enhver informasjon som kan brukes til å skille eller spore en persons identitet, som navn, personnummer, fødselsdato og-sted, mors pikenavn, eller biometrisk poster; og (2) eventuelle andre opplysninger som er koblet til eller linkable til en enkeltperson, for eksempel medisinsk, pedagogisk, økonomi, sysselsetting og informasjon.
Imidlertid linjen mellom PII og andre typer informasjon er uklare., Som understreket av den AMERIKANSKE General Services Administration), definisjonen av PII er ikke bundet til en enkelt kategori av informasjon eller teknologi. Snarere, det krever et sak-til-sak-vurdering av den spesifikke risikoen for at en person kan identifiseres».
Hva biter av informasjon som anses som sensitiv informasjon?
Ifølge NIST, PII (personlig identifiserbar informasjon kan bli delt inn i to kategorier: koblede og linkable informasjon.
Lenket informasjon er mer direkte., Det kan omfatte alle personlige detaljer som kan brukes til å identifisere en person, for eksempel:
- Fulle navn
- hjemmeadresse
- E-post-adresse
- Social security number
- passnummer
- førerkort nummer
- Kreditt kort nummer
- fødselsdato
- Telefon nummer
- Eid egenskaper f.eks., kjøretøyets identifikasjonsnummer (VIN)
- Login
- – Prosessor eller device serial number*
- Media access control (MAC)*
- Internet Protocol (IP) – adresse*
- Enhet Id*
- Cookies*
*Av merk!
NIST stater som er knyttet informasjon kan være «id-informasjon, slik som Internet Protocol (IP) eller MAC (Media Access Control) adresse eller andre vertsspesifikk vedvarende statiske identifikator som konsekvent lenker til en bestemt person eller liten, godt definert gruppe av mennesker»., Det betyr at informasjonskapsler og enhets-ID faller inn under definisjonen av PII (personlig identifiserbar informasjon.
Linkable informasjon er indirekte og på sin egen kan ikke være i stand til å identifisere en person, men når det kombineres med en annen bit av informasjon som kan identifisere, spore eller finne en person.
Her er noen eksempler på linkable informasjon:
- Første eller siste navnet (hvis vanlig)
- Land, stat, by, postnummer
- Kjønn
- Race
- Ikke-spesifikk alder (f.eks., 30-40 i stedet for 30)
- stilling og arbeidsplass
Lær hvordan å beskytte sensitiv informasjon, ikke-PII (personlig identifiserbar informasjon og personlige data
Alt fra detaljert definisjon av hver til praktiske tilnærminger til å samle inn og arbeider med ulike typer data
Hva er ikke-PII (personlig identifiserbar informasjon?
Ikke-personlig identifiserbar informasjon (non-PII) er data som ikke kan brukes på egen hånd for å spore eller identifisere en person.,Eksempler på ikke-PII (personlig identifiserbar informasjon inkluderer, men er ikke begrenset til:
- Aggregert statistikk om bruken av produktet / tjenesten
- helt eller Delvis maskerte IP-adresser
Imidlertid klassifisering av PII (personlig identifiserbar informasjon og ikke-PII er vage. Videre, NIST ikke referanse informasjonskapsel-Id-er og enhets-Id-ene, så mange AdTech selskaper, annonsører og utgivere som anser dem som ikke-PII (personlig identifiserbar informasjon. Som vi vil se, dette er i motsetning til definisjonen av personlige data, som behandler slike digitale tackers som informasjon som kan identifisere en person.
Hva er personopplysninger?,p> «personlige data» betyr all informasjon som er knyttet til en identifisert eller identifiserbar fysisk person (‘individet’); en identifiserbar person er en som kan identifiseres, direkte eller indirekte, særlig under henvisning til en identifikator, for eksempel et navn, id-nummer, posisjonsdata, en online-id eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet som fysisk person;
Denne definisjonen gjelder ikke bare for en persons navn og etternavn, men til informasjon som kan identifisere personen., Det er tilfelle når, for eksempel, er du i stand til å identifisere en besøkende returnerer til nettstedet ditt med hjelp av en informasjonskapsel eller påloggingsinformasjon.
Under GDPR du kan vurdere informasjonskapsler som personlige data fordi i henhold til
Recital 30:
fysiske personer kan være forbundet med online identifikatorer gitt av deres enheter, applikasjoner, verktøy og protokoller, slik som internet protocol-adresser, informasjonskapsler identifikatorer eller andre identifikatorer, for eksempel radio frequency identification tagger., Dette kan etterlate spor som, spesielt når kombinert med unike identifikatorer og andre opplysninger som er mottatt av servere, som kan brukes til å lage profiler av fysiske personer og identifisere dem.
Og definisjonen av personlige data dekker ulike biter av informasjon som:
- transaksjonen historie
- IP-adresser
- nettleser historie
- innlegg på sosiale medier
i Utgangspunktet er det alle opplysninger knyttet til et individ eller en identifiserbar person, direkte eller indirekte.
Hva er ikke-personlige data?,
Etter GDPR bestemmelser, ikke-personlige data er data som ikke vil la deg identifisere en person. Det beste eksemplet er anonyme data. I henhold til
Ledd 26:
De prinsipper for datasikkerhet bør derfor ikke gjelde for anonyme opplysninger, nemlig informasjon som ikke er knyttet til en identifisert eller identifiserbar fysisk person eller til personlige data gjengis anonyme på en slik måte at individet er ikke eller ikke lenger kan identifiseres.,
Andre eksempler på ikke-personlige data omfatter, men er ikke begrenset til:
- Generalisert data, e.jeg har. aldersgruppe f.eks.,uch som census data eller skatt kvitteringer som er samlet inn for offentlig finansiert fungerer
- Aggregert statistikk om bruken av et produkt eller tjeneste
- helt eller Delvis maskerte IP-adresser
for Å lære mer om data anonymisering, kan du lese våre andre blogginnlegg:
- Den ultimate guide til data anonymisering i analytics
- Anonym sporing: hvordan til å gjøre nyttige analytics uten personlige data
Hvordan PII skiller seg fra personlige data
Som vi allerede har nevnt, i visse sammenhenger er det forskjeller mellom disse to typene av data virke ganske vage., Hvis vi trenger å trekke en klar linje her, så vi ville gjelder det rettslige rammeverket og hvem disse dataene gjelder for.
Juridisk rammeverk
Alle regler og ansvar vedrørende personlige data er satt ut av GDPR, som har som mål å styrke og samordne innsamling av data fra EU-innbyggere. Dette betyr også at det er en mer helhetlig tilnærming til håndhevelse, som har vært jevnt økende siden Mai 2018, når GDPR trådte i kraft.
Det er mye vanskeligere å definere et enkelt stykke lovgivning som styrer PII grunn av mangel på en enkelt føderal lov som regulerer bruken. Imidlertid, blant de ulike lover som gjør styrer innsamling og bruk av PII, den mest fremtredende er:
- USA,l Trade Commission (FTC) og Department of Consumer Protection
- Lokale Avdelinger of Consumer Affairs
- Federal Communications Commission (FCC)
- National Institute of Standards and Technology (NIST)
- Network Advertising Initiative (NAI), en selvregulerende organisasjon
Hvor reglene om PII (personlig identifiserbar informasjon og personlige data gjelder
Siden personopplysninger er strengt koblet til GDPR, det angår alle innbyggere og borgere i medlemsstatene i det Europeiske Økonomiske samarbeidsområdet – 28 Medlemsland i EU samt Island, Liechtenstein og Norge., Vi vil referere til denne gruppen som innbyggere i EU, for kort.
Likevel, omfanget av GDPR er egentlig ikke begrenset til EU. Det påvirker ikke bare EU-baserte enheter, men nesten alle bedrifter som arbeider med data for innbyggere i EU.
i motsetning, det er mye mer vanskelig å fastslå de jurisdiksjoner hvor PII er aktuelt.
Selv i USA, der PII er absolutt aktuelt, hvordan den brukes, varierer både fra stat til stat og fra sektor til sektor. Flere juridiske dokumenter og standarder har sin egen mening om hva PII er.,
Som et resultat, å bestemme hvem som PII gjelder og hvordan er ganske vanskelig.
Lær hvordan å beskytte sensitiv informasjon, ikke-PII (personlig identifiserbar informasjon og personlige data
Alt fra detaljert definisjon av hver til praktiske tilnærminger til å samle inn og arbeider med ulike typer data
holde seg oppdatert på personvern regler
Den brede definisjoner av PII (personlig identifiserbar informasjon og personlige data er under utvikling til å dekke flere og flere typer data., Forskjellene mellom de to er også blitt mindre tydelige. De juridiske kravene blir stadig strengere på begge sider av Atlanterhavet.
Disse endringene vil bringe nye utfordringer. For organisasjoner av alle slag, dette betyr å ta en nærmere titt på de dataene de samler inn, og holde opp med å endre juridisk landskap å følge regelverket.
– Vi håper at vår blogg innlegget har besvart minst noen av dine spørsmål om PII (personlig identifiserbar informasjon og personlige data. Men hvis du ønsker å vite mer, ta gjerne kontakt med oss når som helst. Våre eksperter vil være glad for å fylle deg i!