اطلاعات قابل شناسایی شخصی (PII)، همانطور که در مقررات پیشرو حریم خصوصی تعریف شده است، شامل هر دادهای است که قادر به شناسایی یک فرد به طور مستقیم یا غیرمستقیم باشد. تحلیل چارچوبهای قانونی، تعاریف و دستهبندیهای دقیقی را آشکار میسازد:
- شناساگرهای مستقیم: اینها شامل نام، شماره تأمین اجتماعی و سوابق بیومتریک هستند—عناصری که به تنهایی میتوانند یک فرد را مشخص کنند (وزارت کار ایالات متحده، تاریخ نامشخص).
- شناساگرهای غیرمستقیم: دادههایی مانند نژاد، اطلاعات شغلی یا شناساگرهای آنلاین وقتی با دادههای دیگر ترکیب شوند تا هویت را به طور بالقوه آشکار کنند، در این دسته قرار میگیرند.
دیدگاههای نظارتی، دامنههای متضاد اما همپوشانی را ارائه میدهند:
- تحت قانون حریم خصوصی مصرفکننده کالیفرنیا (CCPA)، PII به عنوان “اطلاعاتی که یک مصرفکننده یا خانوار خاص را شناسایی میکند، به آن مربوط میشود، آن را توصیف میکند، قادر به مرتبط شدن با آن است، یا میتواند به طور منطقی، مستقیم یا غیرمستقیم، به آن پیوند داده شود” تعریف میشود.
- مقررات عمومی حفاظت از دادهها (GDPR) در اتحادیه اروپا اصطلاح گستردهتری را به کار میبرد، “دادههای شخصی”، که شامل هر اطلاعاتی مربوط به یک شخص حقیقی شناساییشده یا قابل شناسایی، مانند نامها، شمارههای شناسایی، دادههای مکانی، و ویژگیهای هویت فیزیکی یا اجتماعی است.
یافتههای کلیدی از متون اخیر تأکید میکنند:
- تمایز بین PII و دادههای ناشناسسازیشده حیاتی است؛ تکنیکهای موثر ناشناسسازی باید اطمینان حاصل کنند که شناسایی مجدد حتی با ترکیب شناساگرهای غیرمستقیم امکانپذیر نباشد.
- تفاوتهای بینالمللی به دلیل تفاسیر متفاوت از آنچه PII/دادههای شخصی را تشکیل میدهد، چالشهای انطباقی برای سازمانهای چندملیتی ایجاد میکنند.
- پیشرفتها در تحلیل دادهها خطر شناسایی مجدد را افزایش میدهد و نیاز به ارزیابی مجدد مداوم آنچه باید به عنوان PII طبقهبندی شود را برجسته میکند.
به طور خلاصه، PII یک مفهوم قانونی و عملیاتی سیال است که توسط قابلیتهای فناورانه و زمینه قانونی شکل میگیرد. سازمانها باید به طور مداوم نظارت کنند هم مجموعه دادهها و هم قوانین قابل اجرا را تا از مدیریت صحیح PII اطمینان حاصل کرده و از نقض مقررات جلوگیری کنند.
