Persönlich identifizierbare Informationen (PII)
Was sind personenbezogene Daten (PII)?
Persönlich identifizierbare Informationen (PII) sind Informationen, die allein oder zusammen mit anderen relevanten Daten eine Person identifizieren können. PII können direkte Identifikatoren (zB Passinformationen) enthalten, die eine Person eindeutig identifizieren können, oder Quasi-Identifikatoren (zB Rasse), die mit anderen Quasi-Identifikatoren (zB Geburtsdatum) kombiniert werden können, um eine Person erfolgreich zu erkennen.
Die zentralen Thesen
- Persönlich identifizierbare Informationen (PII) sind Informationen, die allein oder zusammen mit anderen relevanten Daten eine Person identifizieren können.
- Zu den sensiblen personenbezogenen Daten können Ihr vollständiger Name, Ihre Sozialversicherungsnummer, Ihr Führerschein, Finanzdaten und medizinische Unterlagen gehören.
- Nicht sensible personenbezogene Daten sind aus öffentlichen Quellen leicht zugänglich und können Ihre Postleitzahl, Rasse, Geschlecht und Geburtsdatum enthalten.
Verständnis von personenbezogenen Daten (PII)
Fortschrittliche Technologieplattformen haben die Art und Weise, wie Unternehmen arbeiten, Gesetze erlassen und Einzelpersonen in Beziehung stehen, verändert. Mit digitalen Werkzeugen wie Handys, Internet, E-Commerce und Social Media hat das Angebot an Daten aller Art explodiert.
Big Data, wie es genannt wird, wird von Unternehmen gesammelt, analysiert, verarbeitet und mit anderen Unternehmen geteilt. Die Fülle an Informationen, die durch Big Data bereitgestellt werden, hat es Unternehmen ermöglicht, Erkenntnisse darüber zu gewinnen, wie sie besser mit Kunden interagieren können.
Das Aufkommen von Big Data hat jedoch auch die Zahl der Datenschutzverletzungen und Cyberangriffe durch Unternehmen erhöht, die den Wert dieser Informationen erkennen. Infolgedessen wurden Bedenken hinsichtlich des Umgangs von Unternehmen mit sensiblen Informationen ihrer Verbraucher geäußert. Regulierungsbehörden suchen nach neuen Gesetzen zum Schutz der Daten von Verbrauchern, während Benutzer nach anonymeren Möglichkeiten suchen, digital zu bleiben.
Sensible vs. nicht sensible personenbezogene Daten
(PII)
Persönlich identifizierbare Informationen (PII) können sensibel oder nicht sensibel sein. Zu den sensiblen personenbezogenen Daten gehören gesetzliche Statistiken wie:
- Vollständiger Name
- Sozialversicherungsnummer (SSN)
- Führerschein
- Postanschrift
- Kreditkarteninformation
- Passinformationen
- Finanzinformation
- Medizinische Aufzeichnungen
Die obige Liste ist keineswegs vollständig. Unternehmen, die Daten über ihre Kunden austauschen, verwenden normalerweise Anonymisierungstechniken, um die PII zu verschlüsseln und zu verschleiern, sodass sie in einer nicht persönlich identifizierbaren Form empfangen werden. Ein Versicherungsunternehmen, das die Informationen seiner Kunden an ein Marketingunternehmen weitergibt, wird die in den Daten enthaltenen sensiblen PII maskieren und nur Informationen hinterlassen, die sich auf das Ziel des Marketingunternehmens beziehen.
Nicht sensible oder indirekte PII sind aus öffentlichen Quellen wie Telefonbüchern, dem Internet und Unternehmensverzeichnissen leicht zugänglich. Beispiele für nicht empfindliche oder indirekte personenbezogene Daten sind:
- PLZ
- Rennen
- Geschlecht
- Geburtsdatum
- Geburtsort
- Religion
Die obige Liste enthält Quasi-Identifikatoren und Beispiele für nicht sensible Informationen, die der Öffentlichkeit zugänglich gemacht werden können. Diese Art von Informationen kann nicht allein verwendet werden, um die Identität einer Person zu bestimmen.
Nicht sensible Informationen sind jedoch verknüpfbar, obwohl sie nicht heikel sind. Dies bedeutet, dass nicht sensible Daten, wenn sie mit anderen personenbezogenen verknüpfbaren Informationen verwendet werden, die Identität einer Person preisgeben können. De-Anonymisierungs und Neuidentifizierungstechniken sind in der Regel erfolgreich, wenn mehrere Sätze von Quasi-Identifikatoren zusammengefügt werden und verwendet werden können, um eine Person von einer anderen zu unterscheiden.
Schutz personenbezogener Daten (PII)
In verschiedenen Ländern wurden mehrere Datenschutzgesetze verabschiedet, um Richtlinien für Unternehmen zu erstellen, die personenbezogene Daten von Kunden sammeln, speichern und weitergeben. Einige der in diesen Gesetzen dargelegten Grundprinzipien besagen, dass einige sensible Informationen nur in extremen Situationen gesammelt werden sollten.
Außerdem schreiben regulatorische Richtlinien vor, dass Daten gelöscht werden sollten, wenn sie für ihren angegebenen Zweck nicht mehr benötigt werden, und personenbezogene Daten nicht an Quellen weitergegeben werden sollten, die ihren Schutz nicht gewährleisten können.
Die Regulierung und der Schutz persönlich identifizierbarer Informationen (PII) werden in den kommenden Jahren wahrscheinlich ein vorherrschendes Thema für Einzelpersonen, Unternehmen und Regierungen sein.
Cyberkriminelle knacken Datensysteme, um auf PII zuzugreifen, die dann an willige Käufer auf unterirdischen digitalen Marktplätzen verkauft werden. Im Jahr 2015 erlitt der IRS beispielsweise eine Datenschutzverletzung, die zum Diebstahl von mehr als hunderttausend PII von Steuerzahlern führte. Mithilfe von Quasi-Informationen, die aus mehreren Quellen gestohlen wurden, konnten die Täter auf eine IRS-Website-Anwendung zugreifen, indem sie persönliche Überprüfungsfragen beantworteten, die nur den Steuerzahlern vorbehalten sein sollten.
Persönlich identifizierbare Informationen (PII) auf der ganzen Welt
Die Definition dessen, was PII umfasst, hängt davon ab, wo Sie auf der Welt leben. In den Vereinigten Staaten definierte die Regierung im Jahr 2020 „persönlich identifizierbar“ alles, was „zur Unterscheidung oder Rückverfolgung der Identität einer Person“ verwendet werden kann, wie Name, SSN und biometrische Informationen;entweder allein oder mit anderen Identifikatoren wie Geburtsdatum oder Geburtsort.
In der Europäischen Union (EU) wird die Definition durch dieim Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO)um Quasi-Identifikatoren erweitert.3 Die DSGVO ist ein Rechtsrahmen, der Regeln für die Erhebung festlegt und Verarbeitung personenbezogener Daten für Personen mit Wohnsitz in der EU.
Beispiel für personenbezogene Daten (PII)
Anfang 2018 warFacebook Inc. (FB) in eine große Datenpanne verwickelt. Die Profile von 50 Millionen Facebook-Nutzern wurden ohne deren Zustimmung von einem externen Unternehmen namens Cambridge Analytica gesammelt.
Cambridge Analytica hat seine Daten von Facebook über einen Forscher erhalten, der an der University of Cambridge arbeitete. Der Forscher baute eine Facebook-App, die ein Persönlichkeitsquiz war. Eine App ist eine Softwareanwendung, die auf mobilen Geräten und Websites verwendet wird.
Die App wurde entwickelt, um die Informationen von denen zu übernehmen, die sich freiwillig gemeldet haben, um Zugang zu ihren Daten für das Quiz zu geben. Leider sammelte die App nicht nur die Daten der Quizteilnehmer, sondern konnte aufgrund einer Lücke im Facebook-System auch Daten von Freunden und Familienmitgliedern der Quizteilnehmer sammeln.
Infolgedessen wurden die Daten von über 50 Millionen Facebook-Nutzern ohne deren Zustimmung an Cambridge Analytica weitergegeben. Obwohl Facebook den Verkauf ihrer Daten untersagte, kehrte Cambridge Analytica um und verkaufte die Daten für die Politikberatung.
Mark Zuckerberg, Gründer und CEO von Facebook, veröffentlichte eine Erklärung in der Pressemitteilung des Unternehmens für das erste Quartal 2019:
Wir konzentrieren uns darauf, unsere auf den Datenschutz ausgerichtete Vision für die Zukunft der sozialen Netzwerke auszubauen und gemeinsam an wichtigen Themen rund um das Internet zu arbeiten.
Die Datenschutzverletzung betraf nicht nur Facebook-Nutzer, sondern auch Investoren. Die Gewinne von Facebook gingen im ersten Quartal 2019 gegenüber dem gleichen Zeitraum des Vorjahres um 50 % zurück. Das Unternehmen hat Rechtskosten in Höhe von 3 Milliarden US-Dollar angesammelt und hätte ohne die Kosten einen um 1,04 US-Dollar höheren Gewinn pro Aktie erzielt.
Wir schätzen, dass die Verlustspanne in dieser Angelegenheit 3,0 bis 5,0 Milliarden US-Dollar beträgt. Die Angelegenheit bleibt ungelöst, und es kann keine Zusicherung hinsichtlich des Zeitpunkts oder der Bedingungen eines endgültigen Ergebnisses gegeben werden.
Unternehmen werden zweifellos in Möglichkeiten investieren, um Daten wie personenbezogene Daten (PII) zu sammeln, um Verbrauchern Produkte anzubieten und Gewinne zu maximieren, werden jedoch in den kommenden Jahren mit strengeren Vorschriften konfrontiert.