Información personal identificable

Ir a: navegación, búsqueda de

"Información personal identificable" (PII), como se utiliza en la ley de privacidad de Estados Unidos y seguridad de la información, es la información que puede usarse sola o con otra información para identificar, contactar o localizar a una sola persona, o para identificar a un individuo en contexto. La abreviatura PII es ampliamente aceptada en el contexto de Estados Unidos, pero la frase que abrevia tiene cuatro variantes comunes basadas en personal / personalmente, y identificable / identificar. No todos son equivalentes, y para los efectos legales las definiciones eficaces varían dependiendo de la jurisdicción y los propósitos para los cuales se utiliza el término. (En otros países con leyes de protección de privacidad derivadas de los principios de privacidad de la OECD, el término que se usa más a menudo es "información personal", que puede ser un poco más amplia: en Australia Ley de privacidad 1988 (Cth) "información personal" incluye también información de la cual la identidad de la persona es "razonablemente comprobable", potencialmente cubriendo alguna información no cubierto por PII).

Publicación especial NIST 800-122 define información personal identificable como "cualquier información sobre un individuo mantenida por una agencia, incluyendo (1) cualquier información que puede utilizarse para distinguir o rastrear la identidad de un individuo, tales como nombre, número de seguro social, fecha y lugar de nacimiento, nombre de soltera de la madre o registros biométricos; y (2) cualquier otra información que es vinculado o se puede conectar a un individuo, tales como médicos, educativos, financieros e información de empleo". Así, por ejemplo, dirección IP de un usuario en un intercambio de comunicación se clasifica como PII independientemente de si puede o no en su propio poder identificar a una persona.

Aunque el concepto de información personal identificable es viejo, se ha convertido en mucho más importante como tecnología de la información y el Internet han hecho más fácil recoger información personal identificable a través de las infracciones de seguridad en Internet, seguridad de red y la web seguridad del navegador, llevando a un mercado rentable en la recolección y revender PII. PII también puede ser explotada por los delincuentes tallo o robar la identidad de una persona, o para ayudar en la planificación de actos delictivos. Como respuesta a estas amenazas, muchos Web políticas de privacidad abordan específicamente la recopilación de información personal identificable y los legisladores[¿Quién?] han promulgado una serie de legislaciones que limitan la distribución y accesibilidad de la información personal identificable.[¿que?]

Sin embargo, PII es un concepto legal, no un técnico. Debido a la versatilidad y el poder de los algoritmos modernos reidentificación,[1][2][3] la ausencia de datos PII no significa que los datos restantes no identifica a las personas. Mientras que algunos atributos pueden ser identifica de forma única por su propia cuenta, cualquier atributo puede ser identificar en combinación con otros.[4][5]

Contenido

  • 1 Ejemplos
  • 2 En la ley de privacidad
    • 2.1 Australia
    • 2.2 Canadá
    • 2.3 Estados Unidos de América
      • 2.3.1 Las leyes estatales y sentencias significativas
      • 2.3.2 Ley Federal
    • 2.4 Unión Europea (Estados miembros)
    • 2.5 El Reino Unido
  • 3 Forenses
  • 4 Seguridad personal
  • 5 Véase también
  • 6 Referencias
  • 7 Enlaces externos

Ejemplos

Los siguientes datos, a menudo utilizados para el propósito expreso de identidad individual, distinguiendo claramente clasifican como PII bajo la definición utilizada por el National Institute of Standards and Technology (descrito en detalle a continuación):[6]

  • Nombre completo (si no es común)
  • Dirección de casa
  • Dirección de correo electrónico (si es privado de una membresía de asociación/club, etc..)
  • Número de identificación nacional
  • Dirección IP (en algunos casos)
  • Placa de matrícula del vehículo número
  • Conducir licencia de número
  • Cara, huellas dactilares, o Letra
  • Números de tarjetas de crédito
  • Identidad digital
  • Fecha de nacimiento
  • Lugar de nacimiento
  • Información genética
  • Número de teléfono
  • Nombre de usuario, nombre de pantalla, apodo, o mango

Los siguientes se utilizan con menor frecuencia para distinguir la identidad individual, porque son rasgos compartidos por muchas personas. Sin embargo, son potencialmente PII, porque se puede combinar con otra información personal para identificar a una persona.

  • Nombre o apellido, si común
  • País, estado o ciudad de residencia
  • Edad, especialmente si es inespecífica
  • Género o raza
  • Nombre de la escuela asisten o lugar de trabajo
  • Puesto de trabajo, sueldo o grados
  • Antecedentes penales

Cuando una persona desea permanecer en el anonimato, descripciones de ellos empleará a menudo a varios de los anteriores, como "un 34-year-old hombre blanco que trabaja en el objetivo". Tenga en cuenta que todavía puede ser información privado, en el sentido de que una persona no puede desear que para darse a conocer públicamente, sin ser identificable. Por otra parte, a veces varias piezas de información, no suficiente por sí solo para identificar a un individuo, pueden identificar de forma exclusiva una persona cuando se combinan; Esta es una razón que generalmente se presentan múltiples piezas de evidencia en los juicios penales. Se ha demostrado que, en 1990, 87% de la población de los Estados Unidos podrían identificarse unívocamente por género, Código postaly fecha de nacimiento.[7]

En Hacker y Jerga de Internetla práctica de encontrar y liberar dicha información se llama "doxing."[8][9] A veces se utiliza para disuadir a colaboración con las fuerzas del orden.[10] En ocasiones, el doxing puede desencadenar un arresto, particularmente si organismos policiales sospechan que el individuo "doxed" puede entrar en pánico y desaparecer.[11]

En la ley de privacidad

El gobierno de Estados Unidos utilizó el término "identificable" en 2007 en un memorando de la Oficina Ejecutiva del Presidente, oficina de administración y presupuesto (OMB),[12] y que uso ahora aparece en las normas de Estados Unidos tales como la NIST Guía para proteger la confidencialidad de información personal identificable (SP 800-122).[6] El memorándum de OMB define PII como sigue:

Información que puede utilizarse para distinguir o rastrear la identidad de un individuo, como su nombre, número de seguro social, registros biométricos, etc. solo, o cuándo combinada con otra información personal o de identificación que está vinculado o se puede conectar a un individuo específico, como fecha y lugar de nacimiento, nombre de soltera de la madre, etc..

Un término similar al PII, "datos personales" se definición en EU Directiva 95/46/CE, para los efectos de la Directiva:[13]

Artículo 2a: «datos personales» se entenderá toda información relativa a una persona física identificada o identificable ("sujeto de datos"); una persona identificable es aquel que puede identificarse, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos a su identidad física, fisiológica, mental, económica, cultural o social;

Otro término similar al PII, "información personal" se define en una sección de la ley de notificación incumplimiento de California datos, SB1386:[14]

(e) para los propósitos de esta sección, "información personal" significa de un individuo nombre o primero inicial y apellido en combinación con una o más de los siguientes elementos de datos, cuando no se cifran el nombre del o los elementos de datos: (1) número de Seguro Social. (2) licencia de matrícula o número de tarjeta de identificación de California. (3) número de cuenta, número de tarjeta de crédito o débito, en combinación con cualquier código de seguridad requerida, código de acceso o contraseña que permitiría el acceso a la cuenta financiera de un individuo. (f) para los propósitos de esta sección, "información personal" no incluye información públicamente disponible que es sido lícitamente hecha accesible al público en general de los registros del gobierno federal, estatal o local.

El concepto de combinación de la información dada en la definición de SB1386 es clave para distinguir correctamente PII, según lo definido por la OMB, de "información personal", según lo definido por SB1386. Información, como un nombre, que carece de contexto no puede decirse que sea SB1386 "información personal", pero hay que ser PII según lo definido por la OMB. Por ejemplo, el nombre John Smith No tiene ningún significado en el contexto actual y por lo tanto no es SB1386 "información personal", pero es PII. A Número de seguro social (SSN) sin un nombre o algún otro asociado identidad o contexto información no es SB1386 "información personal", pero es PII. Por ejemplo, el SSN 078-05-1120 por sí mismo es PII, pero no es SB1386 "información personal". Sin embargo la combinación de un nombre válido con el SSN correcto es SB1386 "información personal".[14]

La combinación de un nombre con un contexto también puede considerarse información personal identificable; por ejemplo, si el nombre de una persona está en una lista de pacientes de una clínica de VIH. Sin embargo, no es necesario que el nombre ser combinado con un contexto a fin de que sea información personal identificable. El motivo de esta distinción es que bits de información tales como nombres, aunque tal vez no sean suficientes por sí solas para hacer una identificación, pueden luego combinarse con otra información para identificar a las personas y exponerlos a dañar.

Según la OMB, no siempre es el caso que PII es "sensible", y contexto puede tenerse en cuenta al decidir si cierta información personal identificable es o no es sensible.[12][completa citación necesitada]

Australia

En Australia, el Ley de privacidad de 1988 se ocupa de la protección de la privacidad individual, utilizando los principios de privacidad de la OCDE desde la década de 1980 para configurar un modelo normativo amplio, basado en principios (a diferencia de en los Estados Unidos, donde la cobertura generalmente no está basada en principios generales, sino en determinadas tecnologías, prácticas comerciales o elementos de datos). Sección 6 tiene la definición pertinente.[15] El detalle fundamental es que la definición de "información personal" se aplica también a donde el individuo puede ser identificado indirectamente:

"información personal" significa información o una opinión (incluyendo información o una opinión que forme parte de una base de datos), ya sea cierto o no y si registran en una forma material o no, se trata de un individuo cuya identidad es aparente, o que razonablemente puede determinarse, de la información u opinión. [énfasis añadido]

Esto plantea la cuestión de la racionalidad: asumir teóricamente es posible identificar a una persona de información esencial que dicen no incluye un simple nombre y dirección, pero contienen pistas que podrían aplicarse para determinar quién se relaciona. ¿Cuánto esfuerzo extra o dificultad para tal un paso necesitaría antes claramente podríamos decir que la identidad podría no ser "razonablemente comprobada" de él?

Por ejemplo, si la información consiste en una dirección IP y el ISP pertinente almacena los registros que podrían fácilmente ser inspeccionados (si tuviera suficiente justificación legal) para volver a enlazar la dirección IP a la titular de la cuenta, puede su identidad "razonablemente determinarse". ¿Si tal vinculación solía ser costoso, lento y difícil, pero es más fácil, esto cambia la respuesta en algún momento?

Parece que esta definición es significativamente más amplia que el ejemplo anterior californiano, y así la ley de privacidad australianas, mientras que en algunos aspectos débilmente forzada, puede cubrir una categoría más amplia de datos e información que en una ley de Estados Unidos. En las empresas de publicidad del comportamiento particular, en línea basadas en los Estados Unidos pero subrepticiamente recopilando información de las personas de otros países en forma de cookies, bugs, seguidores y como puede encontrar que su preferencia para evitar las consecuencias de querer construir un perfil psicográfico de una persona en particular usando la rúbrica de 'No recopilamos información personal' puede que esto no tiene sentido bajo una definición más amplia como en la ley de privacidad australianas.

Canadá

  • Ley de privacidad gobierna las dependencias del Gobierno Federal
  • Ontario libertad de información y protección de la ley de privacidad y similar legislación Provincial gobierna las agencias del Gobierno Provincial.
  • Protección de información personal y documentos electrónicos Act gobierna las empresas privadas, a menos que haya legislación Provincial equivalente
  • Ley de protección de información de salud Personal de Ontario y otra similar legislación Provincial gobierna la información de salud

Estados Unidos de América

Recientemente[¿Cuándo?] los legisladores han prestado mucha atención a la protección de información personal identificable de una persona. Uno de los principales focos de la Health Insurance Portability and Accountability Act (HIPAA), es proteger a un paciente Información de salud protegida (PHI), que es similar al PII. El Senado estadounidense propuso la Ley de privacidad de 2005, que intentó limitar estrictamente la exhibición, compra o venta de información personal identificable sin el consentimiento de la persona. Del mismo modo, la (propuesta) Ley Anti-Phishing de 2005 intentado evitar la adquisición de información personal identificable a través de "phishing".

Los legisladores estadounidenses han prestado especial atención a la número de seguro social porque puede ser fácilmente utilizado para cometer robo de identidad. (Propuesto) Número de Seguro Social Protection Act of 2005 y (propuesto) Ley de prevención de robo de identidad de 2005 cada uno intentó limitar la distribución del número de seguro social de un individuo.

Las leyes estatales y sentencias significativas

  • California
    • La Constitución del estado de California declara privacidad un derecho inalienable en el artículo 1, sección 1.
    • California Act(OPPA) de protección de privacidad en línea de 2003
    • SB 1386 requiere que las organizaciones para notificar a las personas cuando PII es conocido o creído para ser adquirido por una persona no autorizada.
    • En 2011, la Corte Suprema de California dictaminó que el código postal de una persona es PII.[16]
  • Nevada
    • Nevada revisados estatutos 603A-seguridad de información Personal
  • Massachusetts
    • 201 CMR 17.00:: Normas para la protección de los datos personales de los residentes de la Commonwealth[17]
    • En 2013, la Corte Suprema de Massachusetts falló que los códigos postales son PII.[18]

Ley Federal

  • Título 18 del código de Estados Unidos, sección 1028d(7)
  • Reglas de "Safe Harbor" de Estados Unidos (Armonización de la UE)

Unión Europea (Estados miembros)

  • Artículo 8 del Convenio Europeo de derechos humanos
  • Directiva 95/46/CE (Directiva de protección de datos)
  • Directiva 2002/58/CE (Directiva sobre la privacidad electrónica)
  • Directiva 2006/24/CE artículo 5 (la Directiva de retención de datos)

Otros ejemplos pueden encontrarse en el sitio web privacidad.[19]

El Reino Unido

  • La ley de protección de datos de Reino Unido de 1998
  • Artículo 8 del Convenio Europeo de derechos humanos
  • La regulación de UK de la ley de poderes de investigación 2000
  • Código de protección de datos de empleadores de la práctica
  • Modelos de contratos de exportación de datos
  • La privacidad y las comunicaciones electrónicas (Directiva CE) normativa 2003
  • La interceptación de UK de reglamentos de comunicaciones (negocio legal Practice) 2000
  • El Reino Unido contra el terrorismo, crimen y seguridad Act de 2001
  • El UK privacidad y las comunicaciones electrónicas (Directiva CE) Reglamento 2003

Forenses

En forenses, particularmente la identificación y persecución de los delincuentes, información identificable personalmente es fundamental en el establecimiento de pruebas en procedimiento penal. Los delincuentes pueden ir a grandes problemas para no dejar ninguna información personal identificable,[citación necesitada] tales como:

  • usando máscaras, gafas de sol o ropa para oscurecer u ocultar completamente distringuishing características, tales como ojo, piel y el color del pelo, rasgos faciales y marcas personales tales como tatuajes, marcas de nacimiento, lunares y cicatrices.
  • guantes para ocultar huellas dactilares, que en sí mismos es PII. Sin embargo, guantes también pueden dejar huellas que son sólo tan únicas como las huellas dactilares humanas. Después de recoger guante impresiones, ley aplicación entonces puede satisfacerlos con guantes que han recogido como evidencia.[20] En muchos jurisdicciones la acción de usar guantes de sí mismo mientras que cometer un delito puede ser procesado como un ofensa incipiente.[21]
  • evitar escribir nada en sus propias Letra.[citación necesitada]
  • presencia en Internet también puede ser enmascarado, con métodos como el uso de un servidor proxy parecen estar conectando desde un Dirección IP lances con uno mismo.

Seguridad personal

En algunas profesiones, es peligroso para la identidad de una persona para darse a conocer, porque esta información puede ser explotada violentamente por sus enemigos; por ejemplo, sus enemigos podrían cazarlos o secuestrar sus seres queridos para obligarlos a cooperar. Por esta razón, la Departamento de defensa de Estados Unidos (DoD) tiene estrictas políticas de control de lanzamiento de personal PII de DoD.[22] Muchos agencias de inteligencia tener políticas similares, a veces hasta el punto donde los empleados no revelen a sus amigos que trabajan para la agencia.

Existen preocupaciones similares de protección de identidad para protección de testigos programas, refugios para mujeresy víctimas de violencia doméstica y otras amenazas.[citación necesitada]

Véase también

  • Anonimato
  • Bundesdatenschutzgesetz
  • Desidentificación
  • Identificador personal
  • Identidad personal
  • Seudónimos

Referencias

  1. ^ de Montjoye, Yves-Alexandre; César A. Hidalgo; Michel Verleysen; Vincent D. Blondel (25 de marzo de 2013). "Única en la multitud: los límites de la intimidad de la movilidad humana". Naturaleza srep. Doi:10.1038/srep01376. 12 de abril 2013.
  2. ^ Narayanan, A.; Shmatikov, V. (2008). "2008 IEEE Symposium on seguridad y privacidad (sp 2008)". p. 111. Doi:10.1109/SP.2008.33. ISBN978-0-7695-3168-7. |Chapter = (ignoradoAyuda) editar
  3. ^ Narayanan, A.; Shmatikov, V. (2009). "2009 30 IEEE Symposium on seguridad y privacidad". p. 173. Doi:10.1109/SP.2009.22. ISBN978-0-7695-3633-0. |Chapter = (ignoradoAyuda) editar
  4. ^ Narayanan, A.; Shmatikov, V. (2010). "Mitos y falacias de"información personal identificable"". Communications of the ACM 53 (6): 24. Doi:10.1145/1743546.1743558. editar
  5. ^ "Roto promesas de privacidad: respondiendo a la sorprendente falta de anonimización". SSRN1450006.
  6. ^ a b "Guía para proteger la confidencialidad de información personal identificable (PII)". NIST.
  7. ^ "Comentarios de Latanya Sweeney, pH.d. sobre"normas de privacidad de información de salud identificable individualmente"". La Universidad Carnegie Mellon.
  8. ^ James Wray y Ulf Stabe (2011-12-19). "La advertencia del FBI sobre doxing era demasiado poco y demasiado tarde". Thetechherald.com. 23 / 10 / 2012.
  9. ^ "Anónimo de operación Hiroshima: dentro del golpe Doxing los medios ignorado (VIDEO)". Ibtimes.com. 2012-01-01. 23 / 10 / 2012.
  10. ^ "¿Truco LulzSec policía a arrestar a la persona equivocada? -Tecnología ". El cable Atlántico. 2011-07-28. 23 / 10 / 2012.
  11. ^ Brillante, Peter (2012-03-07). "Doxed: Cómo Sabu fue marginado por ex usuarios anónimos mucho antes de su arresto". Ars Technica. 23 / 10 / 2012.
  12. ^ a b M-07-16 tema: protección contra y responder a la violación de información personal identificable DE: Clay Johnson III, Subdirector de gestión (22/05/2007)
  13. ^ "Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 relativa a la protección de las personas respecto del tratamiento de datos personales y a la libre circulación de estos datos". Eur-lex.europa.eu. 2013-08-20.
  14. ^ a b "Texto de California Senado proyecto de ley SB 1386 párrafo ref 1798.29 2 seg.(e)". California.
  15. ^ "Acto de privacidad de 1988". 14 de octubre 2012.
  16. ^ "Tribunal Supremo de California sostiene que el código postal es información de Identificación Personal - eAlert Bullivant Houser Bailey asuntos de negocios". LexisNexis.
  17. ^ "CMR 201 17.00: normas para la protección de los datos personales de los residentes de la comunidad". Estado de Massachusetts.
  18. ^ Tyler v. Michaels Stores, Inc., 984N.E.2D 737, 739 (2013)
  19. ^ "Protección de datos personales - justicia". EC.Europa.eu. 2011-01-18. 23 / 10 / 2012.
  20. ^ Sawer, Patrick (2008-12-13). "Policía usa guante impresiones para atrapar a criminales". Telegraph.co.uk. 2013-08-20.
  21. ^ James W.H. McCord y Sandra L. McCord, Derecho penal y procedimiento para el pasante: un enfoque de sistemas, supra, p. 127.
  22. ^ "MEMORÁNDUM PARA OFICINAS DE DOD FOIA". Departamento de defensa de Estados Unidos.[link muerto]

Enlaces externos

  • Seis cosas que necesitas saber sobre el nuevo marco de privacidad de la UE Un análisis jurídico del nuevo marco regulatorio Europeo sobre privacidad de datos
  • [1] La red de publicidad iniciativa un grupo de la industria de publicidad de internet definir directrices para proteger la privacidad, las definiciones de PII.
  • Gestión de la información personal y profesional

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Personally_identifiable_information&oldid=638728334"