什麼是 PII（個人識別資訊）？

什麼是 PII（個人識別資訊）？

個人識別資訊 (PII) 是可以用來識別某人的任何資料。所有直接或間接與個人相關的資訊都被視為 PII，例如，一個人的姓名、電子郵件地址、電話號碼、銀行賬號和政府頒發的身分證號碼等。

如今，許多組織收集、儲存和處理 PII。當這些收集的資料被破壞或洩露時，人們可能成為身分盜竊或其他攻擊的受害者。此外，PII 的收集有時會破壞隱私，因為人們失去了對其個人資訊處理方式的控制和瞭解。出於這些原因，保護 PII 並儘可能限制其收集十分重要。

國家安全技術研究所如何定義 PII？

儘管許多官方來源都參照 PII，但 PII 並沒有唯一定義。美國國家安全技術研究所 (NIST) 擁有參照最廣泛的 PII 定義之一：

「由一個機構維護的關於個人的任何資訊，包括：(1) 可用於區分或追蹤個人身分的任何資訊，如姓名、社會保險號碼、出生日期和地點、母親的婚前姓名或生物特徵辨識記錄；以及 (2) 與個人相關或可關聯的任何其他資訊，如醫療、教育、財務和就業資訊。」

PII 的兩個主要類型是什麼？

兩種主要的 PII 類型是：直接識別某人的資訊和間接識別某人的資訊。

下面是 NIST 的 PII 定義對這兩種資訊類型的區分方式。

• 有些資訊可以直接識別一個人，例如全名、社會保險號碼或實際地址等。
• 相關或可關聯資訊不能直接識別一個人，但可以間接地識別他們。換句話說，當與其他資訊相結合時可用於識別個人。
  • 假設 Jake 住在 1060 West Addison Street。僅是「Jake」這個名字可能不足以識別他，因為有許多美國人叫 Jake 這個名字。但是，當結合地址 1060 West Addison Street 時，就有可能識別出具體的人。

這一概念也出現在 PII 的其他定義中，但詞彙略有不同。例如，美國勞工部對 PII 的定義如下：

「能透過直接或間接方式合理推斷資訊適用的個人身分的任何資訊表示形式。此外，PII 被定義為：（i）直接識別個人身分的資訊（例如：姓名、地址、社會保險號碼或其他識別號碼或代碼、電話號碼、電子郵件地址等）；或（ii）機構打算結合其他資料元素識別特定個人（即間接識別）的資訊 [強調補充]。」

這裡重要的一點是，所有可用於直接或間接識別個人的資訊都應受到保護。

（類似的概念適用於擬匿名化：擬匿名化的資料可以與其他資料相結合，以直接識別個人。請參閱什麼是擬匿名化？以瞭解更多資訊。）

PII 與「個人資訊」或「個人資料」是否相同？

所有這些詞彙背後的一般概念是相似的：任何與特定個人相關的資訊都可以被視為「個人資訊」。

然而，不同的資料隱私法規對可用於識別某人的資料使用不同的詞彙。「PII」這一詞彙主要用於美國，而歐盟隱私框架《一般資料保護規定》(GDPR) 使用「個人資料」，《加州消費者隱私法案》(CCPA) 則稱為「個人資訊」。

此外，每項隱私立法對個人資訊、個人資料或 PII 都有自己的定義；組織應仔細查閱所遵循之立法中的描述。

為什麼 PII 是隱私的一個重要概念？

隱私一般是指一個人自己決定何時、如何以及在何種程度上與他人分享有關他們的個人資訊（如 PII）的能力。為了保護他們的隱私，人們需要知道誰在收集他們的 PII 以及他們如何處理這些資訊。

為了保護 PII 和使用者隱私，組織需要知道他們有哪些 PII，以及如何保持這些 PII 的安全。許多資料還建議限制 PII 的收集和使用。這種做法被視為公平資訊慣例（瞭解更多）。