personligt identifierbar information (PII) och personuppgifter är två klassificeringar av data som ofta orsakar förvirring för organisationer som samlar in, lagrar och analyserar sådana data.
PII används i USA men inget enda juridiskt dokument definierar det. Rättssystemet i USA är en blandning av många federala och statliga lagar och sektorsspecifika förordningar. De definierar och klassificerar alla olika bitar av information under PII-paraplyet.,
å andra sidan har Personuppgifter en rättslig betydelse, som definieras av den allmänna dataskyddsförordningen (GDPR), accepterad som lag i hela Europeiska unionen (EU).
båda termerna täcker gemensam grund och klassificerar information som direkt eller indirekt kan avslöja en persons identitet.
men varför är allt så viktigt? Som webbplatsadministratör, appskapare eller produktägare måste du vara medveten om att traces besökare och användare lämnar efter sig kan vara av känslig natur., Dessa spår kan göra det möjligt för dig att identifiera individer, så du måste hantera sådana data med största försiktighet. Ur rättslig synvinkel kan det handla om överträdelser och överträdelser med allvarliga konsekvenser. Att förstå den större bilden är avgörande för din organisations säkerhet och rättsliga efterlevnad.
- vad är personligt identifierbar information (PII)?
- vilka bitar av information anses PII?
- vad är icke-PII?
- vad är personuppgifter?
- vad är icke-personuppgifter?,
- hur PII skiljer sig från personuppgifter
- rättslig ram
- där regler om PII och personuppgifter gäller
- hålla dig uppdaterad om datasekretessregler
vad är personligt identifierbar information (PII)?
PII refereras ofta av amerikanska myndigheter och icke-statliga organisationer. Ändå saknar USA en övergripande lag om PII, så din förståelse för PII kan skilja sig beroende på din speciella situation.
den vanligaste definitionen ges av National Institute of Standards and Technology (NIST).,
det står att:
PII är all information om en person som upprätthålls av en byrå, inklusive (1) all information som kan användas för att skilja eller spåra en persons identitet, såsom namn, personnummer, födelsedatum och födelseort, moderns flicknamn eller biometriska register; och (2) all annan information som är länkad eller länkad till en individ, såsom medicinsk, pedagogisk, finansiell och sysselsättningsinformation.
linjen mellan PII och annan information är dock suddig., Som betonas av US General Services Administration, ”definitionen av PII är inte förankrad i någon enda kategori av information eller teknik. Det kräver snarare en bedömning från fall till fall av den specifika risken att en individ kan identifieras”.
vilka uppgifter betraktas som PII?
enligt NIST kan PII delas in i två kategorier: länkad och länkbar information.
länkad information är mer direkt., Det kan inkludera alla personliga detaljer som kan användas för att identifiera en individ, till exempel:
- fullständigt namn
- hemadress
- e-postadress
- personnummer
- passnummer
- körkort nummer
- kreditkortsnummer
- födelsedatum
- telefonnummer
- ägda egenskaper, t. ex., vehicle identification number (VIN)
- inloggningsuppgifter
- Processor eller enhet serienummer *
- Media access control (MAC)*
- Internet Protocol (IP) adress*
- enhet ID*
- Cookies*
*Obs!
NIST anger att länkad information kan vara ”Asset information, såsom Internet Protokoll (IP) eller MAC (Media Access Control) – adress eller andra värden som är specifika ihållande statisk identifierare som konsekvent länkar till en viss person eller liten, väl definierad grupp av människor”., Det betyder att cookies och enhets-ID omfattas av definitionen av PII.
länkbar information är indirekt och kan på egen hand inte identifiera en person, men i kombination med en annan information kan identifiera, spåra eller lokalisera en person.
här är några exempel på länkbar information:
- för-eller efternamn (om vanligt)
- land, stat, stad, postnummer
- kön
- ras
- icke-specifik ålder (t. ex., 30)
- jobbposition och arbetsplats
lär dig att skydda PII, icke-PII och personuppgifter
allt från den detaljerade definitionen av var och en till praktiska metoder för att samla in och arbeta med olika typer av data
vad är icke-PII?
Icke-personligt identifierbar information (icke-PII) är data som inte kan användas på egen hand för att spåra eller identifiera en person.,Exempel på icke-PII inkluderar, men är inte begränsade till:
- aggregerad statistik om användningen av produkt / tjänst
- delvis eller helt maskerade IP-adresser
klassificeringen av PII och icke-PII är emellertid vag. Dessutom hänvisar NIST inte till cookie-ID och enhets-ID, så många AdTech-företag, annonsörer och utgivare betraktar dem som icke-PII. Som vi ser är detta i motsats till definitionen av personuppgifter, som behandlar sådana digitala tackare som information som kan identifiera en individ.
vad är personuppgifter?,p>personuppgifter: all information som rör en identifierad eller identifierbar fysisk person (”registrerad”); en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt genom hänvisning till en identifierare, såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en online-identifierare eller till en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen;
denna definition gäller inte bara en persons namn och efternamn, utan även uppgifter som kan identifiera den fysiska personens namn och efternamn.person., Så är fallet när du till exempel kan identifiera en Besökare som återvänder till din webbplats med hjälp av en cookie eller inloggningsinformation.
under GDPR kan du betrakta cookies som personuppgifter eftersom enligt
skäl 30:
fysiska personer kan vara associerade med online-identifierare som tillhandahålls av deras enheter, applikationer, verktyg och protokoll, till exempel internetprotokolladresser, cookie-identifierare eller andra identifierare, till exempel radiofrekvensidentifieringstaggar., Detta kan lämna spår som, särskilt i kombination med unika identifierare och annan information som tas emot av servrarna, får användas för att skapa profiler för fysiska personer och identifiera dem.
och definitionen av personuppgifter omfattar olika delar av information som:
- transaktionshistorik
- IP-adresser
- webbläsarhistorik
- inlägg på sociala medier
i grund och botten är det all information som rör en enskild eller identifierbar person, direkt eller indirekt.
vad är icke-personuppgifter?,
enligt GDPR-bestämmelserna är icke-personuppgifter data som inte låter dig identifiera en individ. Det bästa exemplet är anonym data. Enligt
skäl 26:
principerna för uppgiftsskydd bör därför inte tillämpas på anonym information, nämligen information som inte avser en identifierad eller identifierbar fysisk person eller personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre kan identifieras.,
andra exempel på icke-personuppgifter inkluderar, men är inte begränsade till:
- generaliserade data, e. i. åldersintervall t. ex.,även om exakta uppgifter eller skatteintäkter som samlats in för de offentligt finansierade verk
- Aggregerad statistik om användningen av en produkt eller tjänst
- som Delvis eller helt maskeras IP-adresser
för Att lära sig mer om data anonymisering, läsa våra andra blogginlägg:
- Den ultimata guiden till anonymisering av uppgifter i analytics
- Anonym spårning: hur man gör användbara analytics utan att personuppgifter
Hur personlig information skiljer sig från personliga data
Som vi redan nämnt, i vissa sammanhang skillnaderna mellan dessa två typer av data verkar ganska vagt., Om vi behöver dra en tydlig linje här skulle vi tillämpa den rättsliga ramen och som dessa uppgifter gäller för.
rättslig ram
alla regler och ansvar för personuppgifter anges av GDPR, som syftar till att stärka och förena datainsamling från EU-invånare. Detta innebär också att det finns ett mer enhetligt tillvägagångssätt för verkställighet, som har ökat stadigt sedan maj 2018, när GDPR trädde i kraft.
Det är mycket svårare att definiera ett enda stycke lagstiftning som styr personlig information på grund av avsaknaden av en gemensam federal lag som reglerar dess användning. Men bland de olika lagar som styr insamling och användning av PII, de mest framträdande är:
- USA,l Trade Commission (FTC) och dess Avdelning för Konsumenternas Skydd
- Lokala Avdelningar av konsumentfrågor
- Federal Communications Commission (FCC)
- National Institute of Standards and Technology (NIST)
- Network Advertising Initiative (NAI), en självreglerande organisation
för att regler om personlig information och personliga uppgifter gälla
Eftersom personuppgifter är strikt kopplad till GDPR, det berör alla invånare och medborgare i medlemsstaterna i Europeiska Ekonomiska Samarbetsområdet, – den 28 EU: s Medlemsstater plus Island, Liechtenstein och Norge., Vi kommer att hänvisa till denna grupp som EU-invånare, kort sagt.
omfattningen av den allmänna dataskyddsförordningen är fortfarande inte begränsad till EU. Det påverkar inte bara EU-baserade enheter, utan praktiskt taget alla företag som hanterar uppgifter om EU-invånare.
däremot är det mycket svårare att avgöra vilka jurisdiktioner där PII är tillämpligt.
även i USA, där PII verkligen är tillämpligt, varierar hur det tillämpas både från stat till stat och från sektor till sektor. Flera juridiska dokument och branschstandarder har sin egen åsikt om vad PII är.,
som ett resultat bestämmer du vem PII gäller och hur det är ganska svårt.
lär dig att skydda PII, icke-PII och personuppgifter
allt från den detaljerade definitionen av var och en till praktiska metoder för att samla in och arbeta med olika typer av data
hålla dig uppdaterad om datasekretessregler
de breda definitionerna av PII och personuppgifter utvecklas för att omfatta fler och fler typer av uppgifter., Skillnaderna mellan de två blir också mindre distinkta. De rättsliga kraven blir strängare på båda sidor av Atlanten.
dessa ändringar kommer att medföra nya utmaningar. För organisationer av alla slag, Detta innebär att ta en närmare titt på de uppgifter som de samlar in och hålla jämna steg med den föränderliga rättsliga landskapet att förbli kompatibel.
Vi hoppas att vårt blogginlägg har besvarat åtminstone några av dina frågor om PII och personuppgifter. Men om du vill lära dig mer, gärna kontakta oss när som helst. Våra experter kommer gärna att fylla i!