什么是 PII(个人可识别信息)?

个人可识别信息 (PII) 是指可以识别特定个人的任何数据,如姓名、政府颁发的身份证号码、出生日期、职业或地址。

学习目标

阅读本文后,您将能够:

  • 解释“PII”的含义
  • 识别两种主要的 PII 类型
  • 将 PII 与个人数据的其他法律定义进行对比

复制文章链接

什么是 PII(个人可识别信息)?

个人可识别信息 (PII) 是可以用来识别某人的任何数据。所有直接或间接与个人相关的信息都被视为 PII,例如,一个人的姓名、电子邮件地址、电话号码、银行账号和政府颁发的身份证号码等。

如今,许多组织收集、存储和处理 PII。当这些收集的数据被破坏或泄露时,人们可能成为身份盗窃或其他攻击的受害者。此外,PII 的收集有时会破坏隐私,因为人们失去了对其个人信息处理方式的控制和了解。出于这些原因,保护 PII 并尽可能限制其收集十分重要。

国家安全技术研究所如何定义 PII?

尽管许多官方来源都引用 PII,但 PII 并没有唯一定义。美国国家安全技术研究所 (NIST) 拥有引用最广泛的 PII 定义之一:

“由一个机构维护的关于个人的任何信息,包括:(1) 可用于区分或追踪个人身份的任何信息,如姓名、社会保险号、出生日期和地点、母亲的婚前姓名或生物识别记录;以及 (2) 与个人相关或可联系的任何其他信息,如医疗、教育、财务和就业信息。”

PII 的两个主要类型是什么?

两种主要的 PII 类型是:直接识别某人的信息;间接识别某人的信息。

下面是 NIST 的 PII 定义对这两种信息类型的区分方式。

  • 有些信息可以直接识别一个人,例如全名、社会保险号或实际地址等。
  • 相关或可相关信息不能直接识别一个人,但可以间接地识别他们。换句话说,当与其他信息相结合时可用于识别个人。
    • 假设 Jake 住在 1060 West Addison Street。仅是“Jake”这个名字可能不足以识别他,因为有许多美国人叫 Jake 这个名字。但是,当结合地址 1060 West Addison Street 时,就有可能识别出具体的人。

这一概念也出现在 PII 的其他定义中,但术语略有不同。例如,美国劳工部对 PII 的定义如下

“能通过直接或间接方式合理推断信息适用的个人身份的任何信息表示形式。此外,PII 被定义为:(i)直接识别个人身份的信息(例如:姓名、地址、社会保险号或其他识别号码或代码、电话号码、电子邮件地址等);或(ii)机构打算结合其他数据元素识别特定个人(即间接识别)的信息 [强调补充]。”

这里重要的一点是,所有可用于直接或间接识别个人的信息都应受到保护。

(类似的概念适用于假名化:假名化的数据可以与其他数据相结合,以直接识别个人。请参阅什么是假名化?以了解更多信息。)

PII 与“个人信息”或“个人数据”是否相同?

所有这些术语背后的一般概念是相似的:任何与特定个人相关的信息都可以被视为“个人信息”。

然而,不同的数据隐私法规对可用于识别某人的数据使用不同的术语。“PII”这一术语主要用于美国,而欧盟隐私框架《通用数据保护条例》(GDPR) 则使用“个人数据”,《加州消费者隐私法》(CCPA) 则称为“个人信息”。

此外,每项隐私立法对个人信息、个人数据或 PII 都有自己的定义;组织应仔细查阅所遵循之立法中的描述。

为什么 PII 是隐私的一个重要概念?

隐私一般是指一个人自己决定何时、如何以及在何种程度上与他人分享有关他们的个人信息(如 PII)的能力。为了保护他们的隐私,人们需要知道谁在收集他们的 PII 以及他们如何处理这些信息。

为了保护 PII 和用户隐私,组织需要知道他们有哪些 PII,以及如何保持这些 PII 的安全。许多资料还建议限制 PII 的收集和使用。这种做法被视为公平信息惯例(了解更多)