个人可识别信息PII的定义

关键要点

个人可识别信息PII是任何可以识别个人身份的数据，包括常见的信息如姓名、地址和社保号码等。PII 的保护至关重要，面对日益增长的网络安全威胁，许多国家和地区开始实施相应的法律法规。PII 和受保护健康信息PHI之间有着重要的区别，后者由法律如HIPAA保护。各国的数据保护法律内容和严格程度不一，但总体趋势是趋向于更严格的保护措施。

个人可识别信息PII指的是任何可以用来识别你身份的数据。有些类型的 PII 是显而易见的，比如你的姓名或社会安全号码，而其他则相对隐晦。有时，某些数据点只有与其他数据结合分析时才会被认为是 PII。

美国总务署对 PII 的定义相对简洁易懂：

“PII”指的是可以用来区分或追踪一个个体身份的信息，可能单独存在，也可能与其他个人或识别信息结合使用，链接到特定的个体。PII 的定义并不固定于任何单一的信息或技术类别，而是要求对个体能否被识别进行逐案评估。在进行此评估时，重要的是政府要认识到，非 PII 在附加信息公开时也可能变为 PII。

PII 日益成为一种珍贵资产，许多人越来越担心他们的 PII 被用于何处，无论是公司合法使用，还是网络犯罪分子非法获取。这引发了一场新的立法浪潮，旨在要求对 PII 进行严格保护。

白鲸加速器旧版本

PII 的例子

普遍认为，许多数据被视作 PII。以下是一些最明显的例子：

姓名地址电子邮件电话号码出生日期护照、驾照或其他政府签发的身份证号社会安全号码或等效的政府识别号指纹或其他生物识别数据信用卡或借记卡号

然而，在某种程度上，逐一列举每一种类型的 PII 可能没有意义。越来越多的网络安全专家和监管机构不仅关注 PII 的具体定义，还考虑其潜在的滥用风险。例如，你母亲的娘家姓是否算 PII？单独来看并不算，但如果黑客知道你的母亲的娘家姓以及你的电子邮件地址和银行信息，那可能会成为安全隐患。

能源部对所谓的“高风险 PII”也有相关定义：“PII 一旦丢失、泄漏或未经授权披露，可能会给个人带来重大伤害、尴尬、不便或不公正。”虽然这一答案可能让 IT 专业人士失望，但以此为标准来考虑 PII 可能是更合理的做法，以全面保护消费者免受伤害。

PII 与 PHI 的区别

在继续之前，我们需要提及另一个相关缩写，你可能听说过：PHI，指的是“受保护的健康信息”，这是由 HIPAA 和 HITECH 法案 在美国受保护的特殊类型的 PII。简单来说，它是可以与个人健康或医疗诊断数据关联的 PII。HIPAA Journal 中有更多详细信息，重要的是，任何与治疗患者相关的组织都有责任保护 PHI。而健康数据如果经过聚合并去除了 PII，可以在更广泛的领域使用，例如研究或流行病学目的。

HIPAA 于1996年通过，是美国首个对 PII 进行保护的法律之一，因其保护医疗信息的敏感性质。随着数据的便携性以及被盗日益普遍，全球各地越来越多的法律也相继出台，试图对 PII 的使用设定限制，并对收集 PII 的组织施加责任。

PII 法律

在多个司法管辖区，已通过一系列立法来保护数据隐私和 PII。这些法律