Što su osobno prepoznati podaci (PII)?
Podaci koji se mogu identificirati osobno (PII) su podaci koje pojedinac, ako se koristi sam ili s drugim relevantnim podacima, može identificirati. PII može sadržavati izravne identifikatore (npr. Podatke o putovnici) koji osobu mogu jedinstveno identificirati ili kvazi-identifikatore (npr. Rasa) koji se mogu kombinirati s drugim kvazi-identifikatorima (npr. Datum rođenja) radi uspješnog prepoznavanja pojedinca.
Razumijevanje osobnih podataka (PII)
Napredne tehnološke platforme promijenile su način poslovanja poduzeća, zakonodavstvo vlada i odnos pojedinaca. Digitalnim alatima poput mobitela, Interneta, e-trgovine i društvenih medija došlo je do eksplozije u opskrbi svih vrsta podataka.
Veliki podaci, kako ih nazivaju, tvrtke prikupljaju, analiziraju i obrađuju te dijele s drugim tvrtkama. Bogatstvo informacija koje pružaju veliki podaci omogućilo je tvrtkama da steknu uvid u to kako bolje komunicirati s kupcima.
Međutim, pojavom velikih podataka povećao se i broj kršenja podataka i cyber napada od strane entiteta koji uviđaju vrijednost tih informacija. Zbog toga su izražene zabrinutosti oko toga kako tvrtke postupaju s osjetljivim informacijama svojih potrošača. Regulatorna tijela traže nove zakone kako bi zaštitili podatke potrošača, dok korisnici traže anonimnije načine kako ostati digitalni.
Ključni odvodi
- Podaci koji se mogu osobno identificirati (PII) su podaci koji, kada se koriste sami ili s drugim relevantnim podacima, mogu identificirati pojedinca. Senzitivne osobne informacije mogu obuhvaćati vaše puno ime, Broj socijalnog osiguranja, vozačku dozvolu, financijske podatke i medicinske podatke. osjetljive osobne informacije lako su dostupne iz javnih izvora i mogu uključivati vaš poštanski broj, rasu, spol i datum rođenja.
Osjetljivi nasuprot neosjetljivom PII
Podaci o osobnoj identifikaciji (PII) mogu biti osjetljivi ili neosjetljivi. Osjetljivi osobni podaci uključuju pravne statistike kao što su:
- Puni naziv informacije o kreditnoj kartici informacije o sportu
Gornji popis ni u kom slučaju nije iscrpan. Tvrtke koje dijele podatke o svojim klijentima obično koriste tehnike anonimizacije za šifriranje i obmanjivanje PII, pa se primaju u obliku koji se ne može identificirati osobno. Osiguravajuće društvo koje informacije o klijentima dijeli s marketinškom tvrtkom maskirat će osjetljivi PII koji su uključeni u podatke i ostavljat će samo informacije povezane s ciljem marketinške tvrtke.
Neosjetljivi ili neizravni PII lako je dostupan iz javnih izvora poput telefonskih imenika, interneta i korporativnih direktorija. Primjeri neosjetljivog ili neizravnog PII uključuju:
- Poštanski brojRaceGenderDatum rođenjaPrirod rođenjaVera
Gornji popis sadrži kvazi-identifikatore i primjere neosjetljivih informacija koje se mogu objaviti u javnosti. Ova vrsta informacija ne može se sama koristiti za utvrđivanje identiteta pojedinca.
Međutim, neosjetljive informacije, iako nisu osjetljive, mogu se povezati. To znači da neosjetljivi podaci, kada se koriste s drugim osobnim podacima koji se mogu povezivati, mogu otkriti identitet pojedinca. Tehnike de anonimizacije i ponovne identifikacije obično su uspješne kada se skupi više setova kvazi-identifikatora i mogu se koristiti za razlikovanje jedne osobe od druge.
Zaštita PII
Mnoge su zakone o zaštiti podataka usvojile različite zemlje radi stvaranja smjernica za tvrtke koje okupljaju, pohranjuju i dijele osobne podatke klijenata. Neka osnovna načela navedena u ovim zakonima navode da se neke osjetljive informacije ne bi trebale prikupljati osim u ekstremnim situacijama.
Također, regulatorne smjernice propisuju da se podaci trebaju izbrisati ako više nisu potrebni za njihovu navedenu svrhu, a osobni podaci ne smiju se dijeliti s izvorima koji ne mogu jamčiti njegovu zaštitu.
Cyber kriminalci krše sustave podataka kako bi pristupili PII-u koji se potom prodaje voljnim kupcima na podzemnim digitalnim tržnicama. Na primjer, u 2015. godini IRS je pretrpio kršenje podataka što je dovelo do krađe više od sto tisuća podataka o poreznim obveznicima. Koristeći kvazi informacije ukradene iz više izvora, počinitelji su mogli pristupiti internetskoj aplikaciji IRS-a odgovaranjem na pitanja osobne provjere koja su trebala biti uvedena samo za porezne obveznike.
Reguliranje i zaštita osobno prepoznatljivih podataka vjerojatno će biti dominantan problem za pojedince, korporacije i vlade u godinama koje dolaze.
PII širom svijeta
Definicija onoga što sadrži PII razlikuje se ovisno o tome gdje živite u svijetu. U Sjedinjenim Državama, vlada je 2007. definirala „osobno identificirajuće“ kao sve što se „može upotrijebiti za razlikovanje ili praćenje identiteta pojedinca“, kao što su ime, SSN, biometrijske informacije - bilo same, bilo s drugim identifikatorima, poput datuma rođenja, ili mjesto rođenja.
U Europskoj uniji (EU) definicija se proširuje i na kvazi-identifikatore kako je navedeno u Općoj uredbi o zaštiti podataka (GDPR) koja je stupila na snagu u svibnju 2018. GDPR je pravni okvir koji postavlja pravila za prikupljanje i obradu osobnih podataka za one koji borave u EU.
Primjer PII
Početkom 2018. godine Facebook Inc. (FB) je upetljan u veliko kršenje podataka. Profile 50 milijuna Facebook korisnika prikupio je bez njihovog pristanka vanjska tvrtka zvana Cambridge Analytica kako je izvijestio The Guardian.
Cambridge Analytica je svoje podatke dobila od Facebooka preko istraživača koji je radio na Sveučilištu u Cambridgeu. Istraživač je izgradio Facebook aplikaciju koja je bila kviz osobnosti. Aplikacija je softverska aplikacija koja se koristi na mobilnim uređajima i web stranicama.
Aplikacija je osmišljena kako bi uzela podatke onih koji su se dobrovoljno prijavili za pristup njihovim podacima za kviz. Nažalost, aplikacija je prikupljala ne samo podatke korisnika koji su sudjelovali u kvizovima, već je zbog rupa u Facebook sustavu mogla prikupljati i podatke prijatelja i obitelji članova koji su preuzeli kviz.
Zbog toga je preko 50 milijuna korisnika Facebooka svoje podatke izložilo Cambridge Analytici bez njihovog pristanka. Iako je Facebook zabranio prodaju njihovih podataka, Cambridge Analytica se okrenula i prodala podatke kako bi se koristili za političko savjetovanje.
Mark Zuckerberg, osnivač Facebooka i izvršni direktor, objavio je izjavu u okviru korporacije u prvoj polovici godine:
Usmjereni smo na izgradnju naše vizije usmjerene na privatnost budućnosti društvenih mreža i zajednički rad na rješavanju važnih pitanja na Internetu.
Kršenje podataka nije utjecalo samo na korisnike Facebooka, već i na investitore. Zarada Facebooka smanjila se za 50% u Q1-2019 u odnosu na isto razdoblje godinu ranije. Tvrtka je prikupila 3 milijarde dolara pravnih troškova i bez troškova bi imala zaradu po dionici za 1, 04 USD, navodeći:
Procjenjujemo da je raspon gubitka u ovom pitanju od 3, 0 do 5, 0 milijardi dolara. To pitanje ostaje neriješeno i ne može postojati jamstvo u pogledu vremena i uvjeta konačnog ishoda.
Tvrtke će nesumnjivo ulagati u načine prikupljanja podataka poput osobnih podataka kojima će se potrošačima ponuditi proizvodi i povećati profit. Međutim, regulacija i zaštita PII-a vjerojatno će biti dominantno pitanje u godinama koje dolaze.
