ข้อมูลที่ระบุตัวตนได้ (PII) คืออะไร?
ข้อมูลที่ระบุตัวตนได้ (PII) คือข้อมูลที่เมื่อใช้เพียงอย่างเดียวหรือกับข้อมูลที่เกี่ยวข้องอื่น ๆ สามารถระบุตัวบุคคลได้ PII อาจมีตัวระบุโดยตรง (เช่นข้อมูลหนังสือเดินทาง) ที่สามารถระบุบุคคลที่ไม่ซ้ำกันหรือตัวระบุกึ่ง (เช่นการแข่งขัน) ที่สามารถใช้ร่วมกับตัวระบุกึ่งอื่น ๆ (เช่นวันเกิด) เพื่อจดจำบุคคลได้สำเร็จ
การทำความเข้าใจข้อมูลที่สามารถระบุตัวบุคคลได้ (PII)
แพลตฟอร์มเทคโนโลยีที่ก้าวหน้าได้เปลี่ยนแปลงวิธีการดำเนินธุรกิจของรัฐบาลกฎหมายและบุคคลที่เกี่ยวข้อง ด้วยเครื่องมือดิจิตอลเช่นโทรศัพท์มือถืออินเทอร์เน็ตอีคอมเมิร์ซและโซเชียลมีเดียทำให้เกิดการระเบิดของข้อมูลทุกประเภท
ข้อมูลขนาดใหญ่ตามที่เรียกว่ากำลังถูกรวบรวมวิเคราะห์และประมวลผลโดยธุรกิจและแชร์กับ บริษัท อื่น ความมั่งคั่งของข้อมูลที่ได้รับจากข้อมูลขนาดใหญ่ทำให้ บริษัท ต่างๆสามารถเข้าใจถึงวิธีการโต้ตอบกับลูกค้าได้ดียิ่งขึ้น
อย่างไรก็ตามการเกิดขึ้นของข้อมูลขนาดใหญ่ยังเพิ่มจำนวนของการละเมิดข้อมูลและการโจมตีทางไซเบอร์โดยหน่วยงานที่ตระหนักถึงคุณค่าของข้อมูลนี้ เป็นผลให้มีการยกความกังวลเกี่ยวกับวิธีที่ บริษัท จัดการกับข้อมูลที่ละเอียดอ่อนของผู้บริโภค หน่วยงานกำกับดูแลกำลังมองหากฎหมายใหม่เพื่อปกป้องข้อมูลของผู้บริโภคในขณะที่ผู้ใช้กำลังมองหาวิธีที่ไม่ระบุชื่อมากขึ้นในการอยู่ในระบบดิจิตอล
ประเด็นที่สำคัญ
- ข้อมูลที่สามารถระบุตัวตนได้ (PII) คือข้อมูลที่เมื่อใช้เพียงอย่างเดียวหรือกับข้อมูลที่เกี่ยวข้องอื่น ๆ สามารถระบุตัวบุคคลข้อมูลส่วนตัวที่สามารถระบุตัวตนได้อาจรวมถึงชื่อเต็มของคุณหมายเลขประกันสังคมใบขับขี่ข้อมูลทางการเงินและเวชระเบียน ข้อมูลส่วนบุคคลที่ละเอียดอ่อนสามารถเข้าถึงได้ง่ายจากแหล่งข้อมูลสาธารณะและสามารถรวมรหัสไปรษณีย์เชื้อชาติเพศและวันเกิดของคุณ
Sensitive PII และ Non-Sensitive PII
ข้อมูลที่สามารถระบุตัวตนได้ (PII) อาจมีความละเอียดอ่อนหรือไม่อ่อนไหว ข้อมูลส่วนบุคคลที่ละเอียดอ่อนรวมถึงสถิติทางกฎหมายเช่น:
- ข้อมูลชื่อบัตรเครดิตข้อมูลหนังสือเดินทาง
รายการด้านบนไม่ได้ครอบคลุม บริษัท ที่ใช้ข้อมูลเกี่ยวกับลูกค้าของพวกเขามักจะใช้เทคนิคการไม่เปิดเผยชื่อเพื่อเข้ารหัสและทำให้ PII สับสนดังนั้นจึงได้รับในรูปแบบที่ไม่สามารถระบุตัวตนได้ บริษัท ประกันภัยที่แบ่งปันข้อมูลลูกค้ากับ บริษัท การตลาดจะปกปิดข้อมูล PII ที่ละเอียดอ่อนที่รวมอยู่ในข้อมูลและปล่อยเฉพาะข้อมูลที่เกี่ยวข้องกับเป้าหมายของ บริษัท การตลาด
PII ที่ไม่ไวต่อความรู้สึกหรือทางอ้อมสามารถเข้าถึงได้ง่ายจากแหล่งข้อมูลสาธารณะเช่นสมุดโทรศัพท์อินเทอร์เน็ตและไดเรกทอรีขององค์กร ตัวอย่างของ PII ที่ไม่ไวต่อความรู้สึกหรือโดยอ้อม ได้แก่:
- รหัสไปรษณีย์เรซเกนเดอร์วันเดือนปีเกิดสถานที่เกิดศาสนา
รายการด้านบนมีตัวระบุเสมือนและตัวอย่างของข้อมูลที่ไม่อ่อนไหวซึ่งสามารถเผยแพร่สู่สาธารณะ ข้อมูลประเภทนี้ไม่สามารถใช้เพียงอย่างเดียวในการระบุตัวตนของบุคคล
อย่างไรก็ตามข้อมูลที่ไม่ไวต่อความรู้สึกถึงแม้จะไม่ละเอียดอ่อนก็สามารถลิงก์ได้ ซึ่งหมายความว่าข้อมูลที่ไม่อ่อนไหวเมื่อใช้กับข้อมูลลิงก์ส่วนบุคคลอื่น ๆ สามารถเปิดเผยตัวตนของบุคคลได้ เทคนิคการลบข้อมูลระบุตัวตนและการระบุตัวตนซ้ำมักจะประสบความสำเร็จเมื่อชุดตัวระบุเสมือนหลายชุดถูกรวมเข้าด้วยกันและสามารถใช้เพื่อแยกแยะบุคคลหนึ่งจากอีกคนหนึ่ง
ปกป้อง PII
กฎหมายป้องกันข้อมูลหลายฉบับได้รับการรับรองจากหลายประเทศเพื่อสร้างแนวทางสำหรับ บริษัท ที่รวบรวมจัดเก็บและแบ่งปันข้อมูลส่วนบุคคลของลูกค้า หลักการพื้นฐานบางอย่างที่ร่างโดยกฎหมายเหล่านี้ระบุว่าข้อมูลที่ละเอียดอ่อนบางอย่างไม่ควรเก็บรวบรวมเว้นแต่ในสถานการณ์ที่รุนแรง
นอกจากนี้หลักเกณฑ์ด้านกฎระเบียบกำหนดว่าควรลบข้อมูลหากไม่จำเป็นสำหรับจุดประสงค์ที่ระบุไว้อีกต่อไปและข้อมูลส่วนบุคคลไม่ควรแชร์กับแหล่งที่ไม่สามารถรับประกันการปกป้องได้
อาชญากรไซเบอร์ละเมิดระบบข้อมูลเพื่อเข้าถึง PII ซึ่งขายให้กับผู้ซื้อที่เต็มใจในตลาดดิจิทัลใต้ดิน ตัวอย่างเช่นในปี 2015 IRS ประสบกับการละเมิดข้อมูลซึ่งนำไปสู่การขโมยข้อมูล PII ของผู้เสียภาษีกว่าแสนคน การใช้ข้อมูลเสมือนที่ถูกขโมยมาจากหลายแหล่งผู้กระทำผิดสามารถเข้าถึงแอปพลิเคชันเว็บไซต์ IRS ได้โดยตอบคำถามการตรวจสอบส่วนบุคคลที่ควรเป็นความลับต่อผู้เสียภาษีเท่านั้น
การควบคุมและปกป้องข้อมูลที่สามารถระบุตัวบุคคลได้นั้นน่าจะเป็นประเด็นสำคัญสำหรับบุคคล บริษัท และรัฐบาลในอนาคต
PII ทั่วโลก
คำจำกัดความของสิ่งที่ประกอบด้วย PII นั้นแตกต่างกันไปขึ้นอยู่กับว่าคุณอาศัยอยู่ที่ไหนในโลก ในสหรัฐอเมริการัฐบาลได้กำหนด "ตัวตนที่สามารถระบุตัวตนได้" ในปี 2550 เป็นสิ่งที่สามารถ "ใช้เพื่อแยกแยะหรือติดตามตัวตนของบุคคล" เช่นชื่อ SSN ข้อมูลชีวภาพ - เพียงอย่างเดียวหรือกับตัวระบุอื่น ๆ เช่นวันเกิด หรือสถานที่เกิด
ในสหภาพยุโรป (EU) คำจำกัดความขยายออกเพื่อรวมตัวระบุเสมือนตามที่ระบุไว้ในกฎการคุ้มครองข้อมูลทั่วไป (GDPR) ที่มีผลบังคับใช้ในเดือนพฤษภาคม 2018 GDPR เป็นกรอบทางกฎหมายที่กำหนดกฎสำหรับการรวบรวมและประมวลผลข้อมูลส่วนบุคคล สำหรับผู้ที่อาศัยอยู่ในสหภาพยุโรป
ตัวอย่างของ PII
ในต้นปี 2561 บริษัท Facebook Inc. (FB) ได้รับความเสียหายจากการละเมิดข้อมูลครั้งใหญ่ โปรไฟล์ของผู้ใช้ Facebook กว่า 50 ล้านคนถูกรวบรวมโดยไม่ได้รับความยินยอมจาก บริษัท ภายนอกชื่อ Cambridge Analytica ซึ่งรายงานโดย The Guardian
Cambridge Analytica ได้รับข้อมูลจาก Facebook ผ่านนักวิจัยที่ทำงานที่มหาวิทยาลัยเคมบริดจ์ นักวิจัยได้สร้างแอพ Facebook ที่เป็นแบบทดสอบบุคลิกภาพ แอพเป็นแอพพลิเคชั่นซอฟต์แวร์ที่ใช้กับอุปกรณ์มือถือและเว็บไซต์
แอพนี้ออกแบบมาเพื่อรับข้อมูลจากผู้ที่อาสาให้การเข้าถึงข้อมูลของพวกเขาสำหรับการตอบคำถาม น่าเสียดายที่แอพนี้ไม่เพียง แต่รวบรวมข้อมูลผู้ทำแบบทดสอบเท่านั้น แต่เนื่องจากช่องโหว่ในระบบของ Facebook ก็สามารถรวบรวมข้อมูลจากเพื่อนและสมาชิกในครอบครัวของผู้ทำแบบทดสอบด้วย
เป็นผลให้ผู้ใช้ Facebook กว่า 50 ล้านคนเปิดเผยข้อมูลของตนกับ Cambridge Analytica โดยไม่ได้รับอนุญาต แม้ว่า Facebook จะห้ามการขายข้อมูลของพวกเขา แต่ Cambridge Analytica ก็หันกลับและขายข้อมูลเพื่อใช้เป็นที่ปรึกษาทางการเมือง
Mark Zuckerberg ผู้ก่อตั้ง Facebook และ CEO ได้ออกแถลงการณ์ภายในการเปิดเผยผลประกอบการไตรมาสที่ 1 ปี 2562:
เรามุ่งเน้นในการสร้างวิสัยทัศน์ที่มุ่งเน้นความเป็นส่วนตัวของเราเพื่ออนาคตของเครือข่ายสังคมออนไลน์และทำงานร่วมกันเพื่อแก้ไขปัญหาสำคัญในอินเทอร์เน็ต
การละเมิดข้อมูลไม่เพียง แต่ส่งผลกระทบต่อผู้ใช้ Facebook แต่นักลงทุนด้วยเช่นกัน ผลกำไรของ Facebook ลดลง 50% ในไตรมาสที่ 1 ปี 2562 เมื่อเทียบกับช่วงเดียวกันของปีก่อน บริษัท มีค่าใช้จ่ายทางกฎหมาย 3 พันล้านดอลลาร์และจะมีกำไรต่อหุ้นสูงขึ้น $ 1.04 โดยไม่มีค่าใช้จ่ายดังกล่าว:
เราคาดว่าช่วงของการสูญเสียในเรื่องนี้คือ $ 3.0 พันล้านถึง 5.0 พันล้านเหรียญ เรื่องดังกล่าวยังไม่ได้รับการแก้ไขและไม่สามารถรับประกันได้ว่าจะกำหนดเวลาหรือเงื่อนไขของผลลัพธ์สุดท้ายใด ๆ
บริษัท จะลงทุนอย่างไม่ต้องสงสัยในวิธีการเก็บเกี่ยวข้อมูลเช่นข้อมูลที่สามารถระบุตัวบุคคลเพื่อเสนอผลิตภัณฑ์ให้กับผู้บริโภคและเพิ่มผลกำไรสูงสุด อย่างไรก็ตามการควบคุมและป้องกัน PII จะเป็นปัญหาสำคัญในปีต่อ ๆ ไป
