Dữ liệu cá nhân
Dữ liệu cá nhân, còn được gọi là thông tin cá nhân (personal information), thông tin nhận dạng cá nhân (personally identifying information - PII) hoặc thông tin cá nhân nhạy cảm (sensitive personal information - SPI),[1][2][3] là bất kỳ thông tin nào liên quan đến nhận dạng một người.
Chữ viết tắt PII được chấp nhận rộng rãi ở Hoa Kỳ, nhưng cụm từ mà nó viết tắt có bốn biến thể phổ biến dựa trên cá nhân và nhận dạng viết thành tính từ hay trạng từ. Không phải tất cả đều tương đương, và vì mục đích pháp lý, các định nghĩa hiệu quả khác nhau tùy thuộc vào quyền tài phán và mục đích sử dụng thuật ngữ này. [a] Theo chế độ bảo vệ dữ liệu của châu Âu và các quốc gia khác, chủ yếu tập trung vào Quy định bảo vệ dữ liệu chung, thuật ngữ "dữ liệu cá nhân" - personal data rộng hơn đáng kể và xác định phạm vi của chính quyền quản lý.[4]
Ấn phẩm đặc biệt của Viện Tiêu chuẩn và Công nghệ Quốc gia 800-122 [5] định nghĩa thông tin nhận dạng cá nhân là "mọi thông tin về một cá nhân được duy trì bởi một cơ quan, bao gồm (1) bất kỳ thông tin nào có thể được sử dụng để phân biệt hoặc theo dõi danh tính của một cá nhân, như tên, số an sinh xã hội, ngày và nơi sinh, tên thời con gái của mẹ hoặc hồ sơ sinh trắc học và (2) bất kỳ thông tin nào khác có liên quan hoặc liên kết với một cá nhân, như thông tin y tế, giáo dục, tài chính và việc làm. " Vì vậy, ví dụ, địa chỉ IP của người dùng không được phân loại là PII, nhưng được phân loại là PII được liên kết.[6] Tuy nhiên, tại Liên minh Châu Âu, địa chỉ IP của thuê bao Internet có thể được phân loại là dữ liệu cá nhân.[7]
Khái niệm về PII đã trở nên thịnh hành khi công nghệ thông tin và Internet đã giúp việc thu thập PII dễ dàng hơn dẫn đến một thị trường có lợi trong việc thu thập và bán lại PII. PII cũng có thể bị bọn tội phạm khai thác để theo dõi hoặc đánh cắp danh tính của một người, hoặc để hỗ trợ cho việc lập kế hoạch cho các hành vi tội phạm. Để đối phó với các mối đe dọa này, nhiều chính sách bảo mật của trang web đặc biệt đề cập đến việc tập hợp PII,[8] và các nhà lập pháp như Nghị viện châu Âu đã ban hành một loạt luật pháp như Quy định bảo vệ dữ liệu chung (GDPR) để hạn chế phân phối và khả năng truy cập của PII.[9]
Thông tin nhận dạng cá nhân là một khái niệm pháp lý, không phải là một khái niệm kỹ thuật và nó không được sử dụng trong tất cả các khu vực pháp lý. Do tính linh hoạt và sức mạnh của các thuật toán nhận dạng lại hiện đại,[10][11][12] sự vắng mặt của dữ liệu PII không có nghĩa là dữ liệu còn lại không xác định được các cá nhân. Mặc dù một số thuộc tính có thể không được nhận dạng duy nhất theo cách riêng của chúng, bất kỳ thuộc tính nào cũng có thể có khả năng xác định kết hợp với các thuộc tính khác.[13][14] Những thuộc tính này đã được gọi là định danh gần đúng hoặc định danh giả.[15][16] Mặc dù dữ liệu đó có thể không cấu thành PII tại Hoa Kỳ, nhưng rất có khả năng vẫn là dữ liệu cá nhân theo luật bảo vệ dữ liệu của Châu Âu.[4]
Chú thích
[sửa | sửa mã nguồn]- ^ In other countries with privacy protection laws derived from the OECD privacy principles, the term used is more often "personal information", which may be somewhat broader: in Australia's Privacy Act 1988 (Cth) "personal information" also includes information from which the person's identity is "reasonably ascertainable", potentially covering some information not covered by PII.
Tham khảo
[sửa | sửa mã nguồn]- ^ “Management of Data Breaches Involving Sensitive Personal Information (SPI)”. Va.gov. Washington, DC: Department OF Veterans Affairs. ngày 6 tháng 1 năm 2012. Bản gốc lưu trữ ngày 26 tháng 5 năm 2015. Truy cập ngày 25 tháng 5 năm 2015.
- ^ Stevens, Gina (ngày 10 tháng 4 năm 2012). “Data Security Breach Notification Laws” (PDF). fas.org. Truy cập ngày 8 tháng 6 năm 2017.
- ^ Greene, Sari Stern (2014). Security Program and Policies: Principles and Practices. Indianapolis, IN, US: Pearson IT Certification. tr. 349. ISBN 978-0-7897-5167-6. OCLC 897789345.
- ^ a b Schwartz, Paul M; Solove, Daniel (2014). “Reconciling Personal Information in the United States and European Union”. California Law Review (bằng tiếng Anh). 102 (4). doi:10.15779/Z38Z814.
- ^ “NIST Special Publication 800-122” (PDF). nist.gov.Bản mẫu:NIST-PD
- ^ Section 3.3.3 "Identifiability"
- ^ “European Court of Justice rules IP addresses are personal data”. The Irish Times. ngày 19 tháng 10 năm 2016. Truy cập ngày 10 tháng 3 năm 2019.
- ^ Nokhbeh, Razieh (2017). “A study of web privacy policies across industries”. Journal of Information Privacy & Security. 13: 169–185.
- ^ “Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”. European Data Consilium. ngày 11 tháng 6 năm 2015. Truy cập ngày 3 tháng 4 năm 2019.
- ^ de Montjoye, Yves-Alexandre; César A. Hidalgo; Michel Verleysen; Vincent D. Blondel (ngày 25 tháng 3 năm 2013). “Unique in the Crowd: The privacy bounds of human mobility”. Scientific Reports. 3: 1376. Bibcode:2013NatSR...3E1376D. doi:10.1038/srep01376. PMC 3607247. PMID 23524645.
- ^ Narayanan, A.; Shmatikov, V. (2008). “Robust De-anonymization of Large Sparse Datasets”. 2008 IEEE Symposium on Security and Privacy (sp 2008). tr. 111. doi:10.1109/SP.2008.33. ISBN 978-0-7695-3168-7.
- ^ Narayanan, A.; Shmatikov, V. (2009). “De-anonymizing Social Networks”. 2009 30th IEEE Symposium on Security and Privacy. tr. 173. arXiv:0903.3276. doi:10.1109/SP.2009.22. ISBN 978-0-7695-3633-0.
- ^ Narayanan, A.; Shmatikov, V. (2010). “Myths and fallacies of "personally identifiable information"”. Communications of the ACM. 53 (6): 24. doi:10.1145/1743546.1743558.
- ^ “Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization”. ngày 13 tháng 8 năm 2009. SSRN 1450006.
|url=
trống hay bị thiếu (trợ giúp) - ^ Delanius, Tore (1986). “Finding a needle in a haystack – or identifying anonymous census record”. Journal of Official Statistics. Bản gốc lưu trữ ngày 25 tháng 12 năm 2016. Truy cập ngày 29 tháng 10 năm 2019.
- ^ Opinion 05/2014 on Anonymisation Techniques Article 29 Data Protection Working Party