Thông tin nhận dạng cá nhân (PII) là gì?

Bạn có thể đã nghe nói về Thông tin nhận dạng cá nhân, đôi khi chỉ được gọi là “dữ liệu cá nhân”, liên quan đến bảo mật của bạn. Nhưng chỉ vì nó là một phần quan trọng của bảo mật dữ liệu với tư cách là một chủ đề rộng hơn không có nghĩa là mọi người đều biết nó bao gồm những gì hoặc thậm chí nó là gì.


Nó thực sự không chỉ được tội phạm mạng quan tâm. Vô số dịch vụ và cơ quan chính phủ cũng muốn có thông tin cá nhân của bạn. Vì vậy, những gì được coi là thông tin nhận dạng cá nhân?


Định nghĩa thông tin nhận dạng cá nhân là gì?

Thông tin nhận dạng cá nhân (PII) là dữ liệu cá nhân có thể được sử dụng, riêng lẻ hoặc kết hợp với các chi tiết riêng tư hơn, để nhận dạng một cá nhân cụ thể, tức là bạn.

PII đại khái có thể được chia thành hai danh mục phụ: định danh trực tiếp; và định danh giả.

quét vân tay

Định danh trực tiếp đúng như tên gọi của nó: dữ liệu có thể được sử dụng để xác định chính xác bạn. Nó dành riêng cho bạn. Trong khi đó, gần như số nhận dạng là các chi tiết có thể được kết hợp với các số nhận dạng gần như khác để gắn nhãn cho bạn.

Những thuật ngữ này có vẻ khó hiểu, nhưng chúng cũng có thể được gọi tương ứng là PII nhạy cảm và PII không nhạy cảm. Việc đầu tiên sẽ gióng lên hồi chuông cảnh báo, nhưng điều đó không có nghĩa là bạn cũng nên thực hiện một cách tiếp cận thoải mái đối với dữ liệu không nhạy cảm.

Ví dụ về định danh trực tiếp

Định danh trực tiếp là tất cả về bạn. Không có gì bạn chia sẻ với người khác là số nhận dạng trực tiếp. Xem xét dữ liệu dành riêng cho bạn, không được chia sẻ với bất kỳ ai khác. Khi đó, các định danh trực tiếp bao gồm:

  • Tên đầy đủ của bạn.
  • Lịch sử y tế của bạn.
  • Chi tiết thẻ tín dụng hoặc thẻ ghi nợ của bạn.
  • Số an sinh xã hội hoặc số bảo hiểm quốc gia của bạn.
  • Số hộ chiếu của bạn.

Đó là một mẫu nhỏ, tuy nhiên. Chẳng hạn, dữ liệu Sinh trắc học, chẳng hạn như dấu vân tay, quét võng mạc và khuôn mặt của bạn, cũng có thể được coi là số nhận dạng trực tiếp dưới ô PII.

Ví dụ về Quasi-Identifiers

Gần như số nhận dạng không dành riêng cho bạn, nhưng vẫn có thể được sử dụng để nhận dạng bạn, đặc biệt là khi được kết hợp với các ví dụ khác về PII. Bao gồm các:

  • Bạn sống ở đâu.
  • Cuộc đua của bạn.
  • Tôn giáo của bạn.
  • Giới tính và tình dục của bạn.
  • Ngày sinh của bạn.
  • Bạn làm ở đâu.

Bạn có thể chia sẻ những chi tiết này với gia đình và bạn bè, hoặc trong một số trường hợp là những người hoàn toàn xa lạ. Điều đó có vẻ không hữu ích đối với các công ty, chính phủ hoặc tin tặc, nhưng đừng đánh giá thấp tầm quan trọng của nó.

Hãy nghĩ về một biểu đồ hình tròn. Mỗi quả cầu có một định danh gần đúng khác nhau. Và ngay chính giữa, tất cả chúng giao nhau để tổng hợp một cá nhân: bạn.

Điều gì không được coi là thông tin nhận dạng cá nhân?

Đôi khi, có dữ liệu được gọi là không phải PII, nhưng ranh giới giữa dữ liệu này và PII thực tế ngày càng mờ nhạt. Nó thậm chí có thể phụ thuộc vào quyền tài phán: chẳng hạn như GDPR của EU coi PII là dữ liệu cá nhân có thể bao gồm cookie trực tuyến—tuy nhiên, một số nhà chức trách và nhà quảng cáo của Mỹ không coi cookie là PII.

Về cơ bản, non-PII bao gồm các chi tiết không mang tính cá nhân, nhưng khi tính đến các giá trị nhận dạng gần đúng, rất nhiều thông tin có thể được kết hợp để tạo hồ sơ về bạn.

Khi đó, Non-PII là các tập dữ liệu được tổng hợp, ẩn danh hoặc đặt tên giả, tức là các chi tiết không thể được theo dõi lại cho những người dùng cụ thể như phạm vi nhân khẩu học. Ngoài ra, dữ liệu không phải PII cũng có thể là dữ liệu bị che giấu; chẳng hạn, bằng cách sử dụng các công cụ mã hóa như VPN.

Tại sao thông tin nhận dạng cá nhân lại quan trọng?

Một minh họa về GDPR

Vậy tại sao PII lại thực sự quan trọng? Đây là một câu hỏi có nhiều tầng lớp vì PII quan trọng đối với mọi người vì những lý do khác nhau.

Đối với các cá nhân, đó là về quyền riêng tư và bảo mật. Cho dù đó là số nhận dạng trực tiếp hay gián tiếp, cả hai đều thực sự nên được coi là nhạy cảm. Thông tin cá nhân rất có giá trị, nhưng đó cũng là nguyên tắc có thể giữ thông tin cho riêng bạn.

Đối với các công ty, PII có thể có nghĩa là tiền. Họ có thể bán dữ liệu này trên; sử dụng nó để tạo quảng cáo được cá nhân hóa; hoặc đơn giản là để cải thiện dịch vụ của họ, điều này sẽ mang lại lợi nhuận hơn nữa.

Điều này cũng tương tự đối với các chính phủ, nhưng không chỉ tiền làm cho PII có giá trị đối với chính quyền. Họ có thể nhắm mục tiêu nhân khẩu học cụ thể và suy luận ý định bỏ phiếu, v.v.

Và đối với tội phạm mạng, PII dẫn đến lợi ích tài chính. Những thông tin như vậy có thể được bán trên (chẳng hạn như trên dark web), có thể dẫn đến việc lây nhiễm thêm phần mềm độc hại bao gồm ransomware, lấy thông tin chi tiết tài chính và thông tin đăng nhập hoặc tất cả những điều trên.

Làm thế nào để các công ty và tin tặc có được thông tin nhận dạng cá nhân?

Tất cả chúng ta đều đầu hàng một số mức độ PII. Bạn có thể không đếm được số lượng tài khoản mà bạn đã đăng ký cần ít nhất tên và/hoặc địa chỉ email của bạn. Nhiều trong số này cũng yêu cầu ngày sinh của bạn và có thể cả địa chỉ của bạn.

Bạn có thể không nhận ra mình đang bàn giao PII. Chẳng hạn, trừ khi bạn sử dụng proxy hoặc VPN, địa chỉ IP của bạn và nhiều địa chỉ khác có thể được lưu trữ bởi các trang web. Nếu bạn đã thanh toán qua các cửa hàng trực tuyến, có thể bạn đã cung cấp cho họ hoặc có thể là nhà điều hành bên thứ ba như PayPal, thông tin tài chính của bạn.

Logo PayPal với lưỡi câu nhìn thấy trên nền màu vàng sáng

Tất nhiên, đây cũng là một cách mà tin tặc có thể lấy được PII của bạn. Bất kỳ công ty nào lưu trữ thông tin của bạn đều có thể bị xâm phạm; tội phạm mạng có thể nắm giữ thông tin chi tiết của bạn thông qua vi phạm dữ liệu, nhưng điều đó phụ thuộc vào phương pháp mà thông tin đó được lưu giữ về việc liệu chúng có thực sự đọc được thông tin đó hay không. Văn bản gốc là cách nguy hiểm nhất để lưu giữ dữ liệu cá nhân: nghĩa là, chính xác như những gì nó được viết. Nhưng các dịch vụ chịu trách nhiệm nên sử dụng mã hóa để bảo mật mật khẩu và dữ liệu nhạy cảm khác.

Nếu không, bạn có thể chuyển giao PII bằng cách lừa đảo hoặc tải xuống phần mềm độc hại.

Chúng ta đừng quên một kho lưu trữ lớn các chi tiết riêng tư: phương tiện truyền thông xã hội. Nếu bạn xem qua danh sách các số nhận dạng trực tiếp và số nhận dạng gần đúng, bạn có thể đánh dấu vào một con số đáng ngạc nhiên mà bạn sẵn sàng tình nguyện trên Facebook, Twitter, WhatsApp, LinkedIn, v.v.

Chắc chắn, bạn sẽ không chia sẻ công khai số an sinh xã hội hoặc lịch sử y tế của mình, nhưng hồ sơ của chúng tôi bao gồm một lượng chi tiết đáng kinh ngạc—ngay cả những gì chúng tôi “thích” hoặc những câu đố vui mà chúng tôi thực hiện cũng có thể bị tiết lộ. Và thậm chí còn tồi tệ hơn nếu bạn không giữ hồ sơ Facebook của mình ở chế độ riêng tư, v.v.

Cách bảo vệ PII của bạn

Việc ngăn PII của bạn rơi vào tay kẻ xấu phần lớn là nhằm hạn chế những bên khác thực sự có quyền truy cập vào dữ liệu cá nhân của bạn.

Trước khi đăng ký một dịch vụ, thêm thông tin cá nhân vào tài khoản hoặc chuyển giao dữ liệu cho ứng dụng, hãy tự hỏi liệu nó có thực sự cần dữ liệu này để hoạt động bình thường hay không. Nếu không, đừng gửi PII.

Điều này không phải lúc nào cũng có thể giúp được (nhiều dịch vụ yêu cầu một lượng PII nhất định để bạn đăng nhập hoặc tận dụng tối đa các lợi ích của nó), nhưng bạn có thể ẩn danh dữ liệu ở một mức độ nào đó. Chẳng hạn, bằng cách sử dụng bí danh email, bạn vừa có thể giữ riêng tư vừa tránh thư rác!

Nó luôn luôn hữu ích để theo dõi những trò gian lận mới nhất. Ví dụ, nếu bạn biết email lừa đảo trông như thế nào, bạn sẽ ít có khả năng bị lừa đảo hơn.

Giữ bí mật PII của bạn

Một số quy định trên khắp thế giới nhằm mục đích hạn chế việc thu thập và sử dụng PII của bạn, bao gồm GDPR đã nói ở trên ở EU, Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử ở Canada và Đạo luật Ủy ban thương mại liên bang ở Mỹ.

Cuối cùng, bạn phải giữ PII của mình ở chế độ riêng tư và gây áp lực buộc các dịch vụ phải xử lý dữ liệu cá nhân của bạn một cách có trách nhiệm.

Previous Post
Next Post

post written by: