个人可识别信息 (PII)
个人可识别信息 (PII) 是什么?
个人可识别信息 (PII)可单独或与其他信息结合用于识别特定个人的任何数据,例如姓名、标识符或生物特征记录。
个人可识别信息 (PII) 是指能够直接(姓名、政府证件、电子邮件)或间接(出生日期、邮政编码、设备标识符等与其他属性结合)用于识别或追踪某一个人身份的数据。监管机构区分直接标识符、准标识符和敏感类别(如健康或生物特征数据),后者在 GDPR 第 9 条以及 HIPAA 等行业法规下受到更严格的约束。组织通常会建立 PII 资产清单、实施数据分级、对存储与传输进行加密、按最小必要原则限制访问,并记录处理活动。完善的合规计划还会记录处理的合法依据、最小化原则和保留期限,以降低数据泄露时的暴露面。
● 示例
- 01
CRM 系统中包含客户全名、电子邮件和电话号码的记录。
- 02
人力资源数据库中将员工编号、社保号和薪资关联在一起。
● 常见问题
个人可识别信息 (PII) 是什么?
可单独或与其他信息结合用于识别特定个人的任何数据,例如姓名、标识符或生物特征记录。 它属于网络安全的 隐私与数据保护 分类。
个人可识别信息 (PII) 是什么意思?
可单独或与其他信息结合用于识别特定个人的任何数据,例如姓名、标识符或生物特征记录。
个人可识别信息 (PII) 是如何工作的?
个人可识别信息 (PII) 是指能够直接(姓名、政府证件、电子邮件)或间接(出生日期、邮政编码、设备标识符等与其他属性结合)用于识别或追踪某一个人身份的数据。监管机构区分直接标识符、准标识符和敏感类别(如健康或生物特征数据),后者在 GDPR 第 9 条以及 HIPAA 等行业法规下受到更严格的约束。组织通常会建立 PII 资产清单、实施数据分级、对存储与传输进行加密、按最小必要原则限制访问,并记录处理活动。完善的合规计划还会记录处理的合法依据、最小化原则和保留期限,以降低数据泄露时的暴露面。
如何防御 个人可识别信息 (PII)?
针对 个人可识别信息 (PII) 的防御通常结合技术控制与运营实践,详见上方完整定义。
个人可识别信息 (PII) 还有哪些其他名称?
常见的别称包括: 个人数据, 个人信息。
● 相关术语
- privacy№ 276
数据分级
按敏感程度和价值对数据进行标记的过程,以便一致地应用相应的保护、处理与保留控制。
- privacy№ 280
数据最小化
一项隐私原则,要求组织仅在明确合法目的所必需的范围内收集、处理和保留个人数据。
- privacy№ 278
数据丢失防护 (DLP)
在终端、网络、邮件和云服务中检测并阻止敏感数据未经授权外泄的一组技术与策略。
- compliance№ 440
GDPR(欧盟通用数据保护条例)
欧盟通用数据保护条例,规范对位于欧盟和欧洲经济区个人的个人数据处理活动。
- privacy№ 875
假名化
将个人数据中的直接标识符替换为可还原的别名,使数据在缺少另行保管的附加信息时无法归属到具体个人。
- privacy№ 279
数据脱敏
用真实但虚构的值替代敏感数据,使下游用户、应用或环境可以使用数据而不会暴露原始信息。
● 参见
- № 576k-匿名性
- № 286数据主体访问请求 (DSAR)
- № 1164令牌化(隐私)
- № 275数据泄露事件
- № 277数据外泄
- № 511身份盗用
- № 355人肉搜索 (Doxxing)
- № 1118Swatting(虚假报警)