随着人们在工作和个人生活中越来越依赖信息科技,与组织共享的 PII 的数量也在增加。例如,公司收集客户的个人数据以了解市场,消费者很容易提供他们的电话号码和家庭地址来注册服务和在线购物。
每周在 Think 时事通讯中获取有关安全、AI 等的新闻和洞察分析,从而预防威胁。
PII 有两种类型:直接标识信息和间接标识信息。直接标识信息对于个人是唯一的,包括护照号码或驾驶执照号码等。单个直接标识信息通常足以确定某人的身份。
加入我们世界级的专家小组——工程师、研究人员、产品负责人等将为您甄别 AI 领域的真知灼见,带来最新的 AI 资讯与深度解析。
并非所有个人数据都被视为 PII。例如,有关个人流媒体使用习惯的数据不属于 PII。这是因为,仅凭一个人在 Netflix 上看过的内容就想识别他的身份,即使不是不可能,也是很难的。PII 仅指指向特定人员的信息,例如您在联系银行时可能提供的用于验证身份的信息。
在 PII 中,有些信息比其他信息更加敏感。敏感 PII 是可直接识别个人身份的敏感信息,一旦泄露或被盗,可能会造成重大损害。
社会安全号码 (SSN) 就是敏感 PII 的一个典型示例。由于许多政府机构和金融机构使用 SSN 来验证人们的身份,因此窃取 SSN 的犯罪分子可以轻松访问受害者的税务记录或银行账户。敏感 PII 的其他示例包括:
非敏感性 PII 是指如果单独泄露或被盗不会对个人造成重大损害的个人数据。它对于个人来说可能是独一无二的,也可能不是。例如,社交媒体账号属于非敏感 PII:它可以识别某人的身份,但恶意行为者不可能仅凭社交媒体帐户名称就实施身份盗窃。非敏感 PII 的其他示例包括:
非敏感 PII 通常是公开的。例如,电话号码可能列在电话簿中,地址可能列在地方政府的公开不动产记录中。一些数据隐私法规并不要求保护非敏感的 PII,但许多公司还是采取了保护措施。这是因为犯罪分子可能会通过组合多个非敏感 PII 来制造麻烦。
例如,黑客可以利用某人的电话号码、电子邮件地址和母亲的娘家姓氏侵入某人的银行账户应用程序。该电子邮件为他们提供了一个用户名。伪造电话号码可以让黑客收到验证码。母亲的娘家姓氏为安全问题提供了答案。
值得注意的是,某些信息是算作敏感还是非敏感 PII 在很大程度上取决于具体情形。全名本身可能不敏感,但看过某位医生的人的名单是敏感的。同样,一个人的电话号码可能是公开的,但用于社交媒体网站上双因素身份验证的电话号码数据库将是敏感的 PII。
具体情形还决定了某些信息是否被视为 PII。例如,经汇总的匿名地理位置数据通常被视为通用个人数据,因为无法辨识任何单个用户的身份。
FTC 认为,数据经纪人 Kochava 出售的地理位置数据算作 PII,因为“该公司的定制数据源允许购买者识别和跟踪特定的移动设备用户。例如,移动设备在夜间的位置很可能是用户的家庭地址,可以与房产记录相结合以揭示他们的身份。”
云计算和远程办公的兴起也带来了挑战。在这些环境中,数据可能会在一个地方收集,存储在另一个地方,然后在第三个地方处理。根据地理位置,每个阶段的数据可能适用不同的法规。
根据 GDPR,组织必须保护敏感和非敏感的 PII。他们还必须保护在其他情况下甚至可能不被视为敏感数据的内容。这些信息包括政治观点、组织隶属关系和身体特征的描述。
可单独用于区分或追踪个人身份的信息,例如其姓名、社会安全号码、生物识别记录等;或者在与其他关联到特定个人(或可以与其关联)的个人信息或识别信息组合之后,能用于区分或追踪个人身份的信息,例如出生日期和地点、母亲的娘家姓氏等。
虽然美国缺乏联邦级数据隐私法,但政府机构须遵守 1974 年《隐私法》。该法案规定了联邦机构如何收集、使用和共享 PII。美国一些州有自己的数据隐私法规,尤其是加利福尼亚州。《加州消费者隐私法案》(CCPA) 和《加州隐私权利法案》(CPRA) 授予消费者限制组织收集、存储和使用其 PII 方式的某些权利。
一些行业也有自己的数据隐私法规。在美国,《健康保险流通和责任法案》(HIPAA) 对医疗保健组织如何收集和保护医疗记录和患者 PII 作出了规定。
同样,支付卡行业数据安全标准 (PCI DSS) 是一项全球金融行业标准,约束信用卡公司、商户和支付处理商处理敏感的持卡人信息的方式。
黑客还可能将 PII 作为更大规模攻击的一部分:他们可能使用勒索软件将 PII 扣作质押;或窃取 PII 来接管高管的电子邮件帐户,用于鱼叉式网络钓鱼和商业电子邮件泄露 (BEC) 诈骗。
对于组织来说,保护 PII 可能很复杂。云计算和 SaaS 服务的增长意味着 PII 可以在多个位置(而不是单个集中式网络中)进行存储和处理。
1. 识别组织系统中的所有 PII。
2. 最大限度减少 PII 的收集和使用,并定期处置不再需要的任何 PII。
3. 根据敏感度级别对 PII 进行分类。
5. 起草针对 PII 泄露和违规行为的事件响应计划。
值得注意的是,NIST 和其他数据隐私专家通常建议根据数据的敏感程度对不同的数据集应用不同的控制措施。对非敏感数据使用严格的控制措施可能很麻烦,而且不具有成本效益。
数据泄露成本再创新高。获取关于网络安全威胁及其对企业造成的经济损失的最新洞察。
KuppingerCole 数据安全平台报告可提供指导和建议,以便查找最能满足客户需求的敏感数据保护和治理产品。
根据 IBM X-Force Threat Intelligence Index 获取洞察分析,更快且更有效地准备和应对网络攻击。
通过这项 Forrester 提供的 TEI 研究结果,了解 IBM® Security Guardium Data Protection 的优势和投资回报率。
访问此 Gartner 报告,了解如何管理完整的 AI 资产清单、通过防护机制保障 AI 工作负载安全、降低风险、管理治理流程,从而为组织内所有 AI 应用场景建立 AI 信任。
遵循清晰的步骤完成任务,并了解如何在项目中有效利用技术。
身份和访问管理 (IAM) 是一门涉及用户访问和资源权限的网络安全学科。
保护多个环境中的企业数据,遵守隐私法规并降低操作复杂性。
了解 IBM Guardium,这是一系列数据安全软件,可保护敏感的本地数据和云端数据。
IBM 提供全面的数据安全服务,以保护企业数据、应用程序和 AI。