Die US-Regierung verwendete den Begriff „persönlich identifizierbar“ im Jahr 2007 in einem Memorandum des Executive Office of the President, Office of Management and Budget (OMB), und diese Verwendung erscheint nun in US-Standards wie dem NIST-Leitfaden zum Schutz der Vertraulichkeit personenbezogener Daten (SP 800-122). Das OMB-Memorandum definiert PII wie folgt:
Informationen, mit denen die Identität einer Person unterschieden oder verfolgt werden kann, z. B. Name, Sozialversicherungsnummer, biometrische Aufzeichnungen usw., allein oder in Kombination mit anderen persönlichen oder identifizierenden Informationen, die mit einer bestimmten Person verknüpft oder verknüpft werden können, wie Geburtsdatum und-ort, Mädchenname der Mutter usw.,p>Artikel 2a:“personenbezogene Daten“alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen („betroffene Person“); eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Identifikationsnummer oder auf einen oder mehrere Faktoren, die für ihre physische, physiologische, geistige, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind;
In den EU—Vorschriften wurde jedoch klarer, dass die betroffene Person möglicherweise durch zusätzliche Verarbeitung anderer Attribute identifiziert werden kann – quasi-oder Pseudo-Identifikatoren.,wenn ein oder mehrere Faktoren spezifisch für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind
Ein anderer Begriff ähnlich PII, „persönliche Informationen“ wird in einem Abschnitt des California data breach notification law definiert, SB1386:
(e) Für die Zwecke dieses Abschnitts sind „persönliche Informationen“ der Vorname oder der erste Anfangs-und Nachname einer Person in Kombination mit einem oder mehreren der folgenden Datenelemente, wenn entweder der Name oder die Datenelemente sind nicht verschlüsselt: (1) Sozialversicherungsnummer., (2) Führerscheinnummer oder California Identification Card Nummer. (3) Kontonummer, Kredit-oder Debitkartennummer in Kombination mit einem beliebigen erforderlichen Sicherheitscode, Zugangscode oder Passwort, das den Zugriff auf das Finanzkonto einer Person ermöglicht. (f) Für die Zwecke dieses Abschnitts umfassen „personenbezogene Daten“ keine öffentlich zugänglichen Informationen, die der Öffentlichkeit aus Bundes -, Landes-oder Kommunalakten rechtmäßig zur Verfügung gestellt werden.,
Das in der SB1386-Definition angegebene Konzept der Informationskombination ist der Schlüssel zur korrekten Unterscheidung von PII, wie von OMB definiert, von“ persönlichen Informationen“, wie von SB1386 definiert. Informationen, wie ein Name, der keinen Kontext hat, können nicht als SB1386 „persönliche Informationen“ bezeichnet werden, sondern als PII gemäß OMB. Zum Beispiel hat der Name John Smith im aktuellen Kontext keine Bedeutung und ist daher nicht SB1386 „persönliche Informationen“, aber es ist PII., Eine Sozialversicherungsnummer (SSN) ohne Namen oder andere zugehörige Identitäts-oder Kontextinformationen sind keine „persönlichen Informationen“ von SB1386, sondern PII. Zum Beispiel ist die SSN 078-05-1120 selbst PII, aber es ist nicht SB1386 „persönliche Informationen“. Die Kombination eines gültigen Namens mit dem richtigen SSN ist jedoch SB1386 „persönliche Informationen“.
Die Kombination eines Namens mit einem Kontext kann auch als PII betrachtet werden; zum Beispiel, wenn der Name einer Person auf einer Patientenliste für eine HIV-Klinik steht. Es ist jedoch nicht erforderlich, dass der Name mit einem Kontext kombiniert wird, damit er PII ist., Der Grund für diese Unterscheidung ist, dass Informationsbits wie Namen, obwohl sie möglicherweise nicht ausreichen, um eine Identifizierung vorzunehmen, später mit anderen Informationen kombiniert werden können, um Personen zu identifizieren und ihnen Schaden zuzufügen.
Laut OMB ist es nicht immer so, dass PII „empfindlich“ ist, und der Kontext kann bei der Entscheidung berücksichtigt werden, ob bestimmte PII empfindlich sind oder nicht.,
AustraliaEdit
In Australien befasst sich das Privacy Act 1988 mit dem Schutz der Privatsphäre des Einzelnen und verwendet die OECD-Datenschutzgrundsätze aus den 1980er Jahren, um ein breites, auf Prinzipien basierendes Regulierungsmodell aufzustellen (im Gegensatz zu den USA, wo die Abdeckung im Allgemeinen nicht auf breiten Prinzipien, sondern auf bestimmten Technologien, Geschäftspraktiken oder Datenelementen basiert). Abschnitt 6 hat die entsprechende Definition., Das entscheidende Detail ist, dass die Definition von“persönlichen Informationen“auch für den Fall gilt, dass die Person indirekt identifiziert werden kann:
„persönliche Informationen“ sind Informationen oder Meinungen über eine identifizierte Person oder eine Person, die vernünftigerweise identifizierbar ist, unabhängig davon, ob die Informationen oder Meinungen wahr sind oder nicht; und ob die Informationen oder Meinungen in einer materiellen Form aufgezeichnet werden oder nicht.,
Dies wirft die Frage nach der Angemessenheit auf: Angenommen, es ist theoretisch möglich, eine Person anhand von Informationen zu identifizieren, die keinen Namen oder keine Adresse enthalten, aber Hinweise enthalten, die verfolgt werden könnten, um herauszufinden, auf wen sie sich bezieht. Wie viel zusätzlicher Aufwand ist erforderlich, um es unvernünftig zu machen, dass solche Informationen identifiziert werden können?, Wenn es sich bei den Informationen beispielsweise um eine IP-Adresse handelt und der betreffende ISP Protokolle speichert, die leicht überprüft werden können (wenn Sie eine ausreichende rechtliche Begründung hätten), um die IP-Adresse erneut mit dem Kontoinhaber zu verknüpfen, kann deren Identität „vernünftig ermittelt werden“? Wenn eine solche Verknüpfung früher teuer, langsam und schwierig war, aber einfacher wird, ändert dies irgendwann die Antwort?,
Es scheint, dass diese Definition wesentlich breiter ist als das oben angegebene kalifornische Beispiel, und daher kann das australische Datenschutzrecht, obwohl es in mancher Hinsicht schwach durchgesetzt wird, eine breitere Kategorie von Daten und Informationen abdecken als in einigen US-Gesetzen.,
Insbesondere Online-Verhaltenswerbebetriebe mit Sitz in den USA, die jedoch heimlich Informationen von Personen in anderen Ländern in Form von Cookies, Bugs, Trackern und dergleichen sammeln, können feststellen, dass ihre Präferenz, die Auswirkungen eines psychografischen Profils einer bestimmten Person unter Verwendung der Rubrik „Wir sammeln keine persönlichen Informationen“ zu vermeiden, möglicherweise unter einer umfassenderen Definition wie der des Australian Privacy Act keinen Sinn ergibt.
Beachten Sie, dass der Begriff „PII“ im australischen Datenschutzrecht nicht verwendet wird.,n of Privacy Act und ähnliche Provinzgesetze regeln Provinzregierungsbehörden
Europäische UnionEdit
Das europäische Datenschutzgesetz verwendet nicht das Konzept der personenbezogenen Daten, und sein Umfang wird stattdessen durch nicht-synonymen, umfassenderen Begriff der „personenbezogenen Daten“ bestimmt.,
- Artikel 8 der Europäischen Menschenrechtskonvention
- Die im April 2016 verabschiedete Datenschutz-Grundverordnung. Mai 2018
- ersetzt die Datenschutzrichtlinie-95/46 / EG
- Richtlinie 2002/58/EG (E-Privacy Directive)
- Richtlinie 2006/24/EG Artikel 5 (Data Retention Directive)
Weitere Beispiele finden Sie auf der EU privacy Website.,ction Verordnung (Europa, 2016)
Neue ZealandEdit
Die zwölf Informationen Privatsphäre Prinzipien des Privacy Act von 1993 anwenden.,
Schweizedit
Das Bundesdatenschutzgesetz vom 19.Juni 1992 (seit 1993 in Kraft) hat einen Schutz der Privatsphäre geschaffen, indem es praktisch jede Verarbeitung personenbezogener Daten verbietet, die von den betroffenen Personen nicht ausdrücklich genehmigt wird. Der Schutz unterliegt der Zuständigkeit des Bundesbeauftragten für Datenschutz und Information.
Darüber hinaus kann jede Person schriftlich ein Unternehmen (Verwaltung von Datendateien) um die Berichtigung oder Löschung personenbezogener Daten bitten. Das Unternehmen muss innerhalb von dreißig Tagen antworten.,
Vereinigtes StatesEdit
Der Privacy Act von 1974 (Pub.L. 93-579, 88 Stat. Dezember 1974, 5 U. S. C. § 552a), ein Bundesgesetz der Vereinigten Staaten, legt einen Code of Fair Information Practice fest, der die Sammlung, Pflege, Verwendung und Verbreitung von personenbezogenen Daten über Personen regelt, die in Systemen von Aufzeichnungen von Bundesbehörden aufbewahrt werden.
Einer der Hauptschwerpunkte des Health Insurance Portability and Accountability Act (HIPAA) besteht darin, die geschützten Gesundheitsinformationen (PHI) eines Patienten zu schützen, die PII ähnlich sind. USA., Der Senat schlug das Privacy Act von 2005 vor, mit dem versucht wurde, die Anzeige, den Kauf oder den Verkauf von PII ohne Zustimmung der Person streng einzuschränken. In ähnlicher Weise versuchte das (vorgeschlagene) Anti-Phishing-Gesetz von 2005, den Erwerb von PII durch Phishing zu verhindern.
Der US-Gesetzgeber hat der Sozialversicherungsnummer besondere Aufmerksamkeit geschenkt, da sie leicht verwendet werden kann, um Identitätsdiebstahl zu begehen. Mit dem (vorgeschlagenen) Social Security Number Protection Act von 2005 und dem (vorgeschlagenen) Identity Theft Prevention Act von 2005 wurde jeweils versucht, die Verteilung der Sozialversicherungsnummer einer Person zu begrenzen.,
Zusätzliche US-spezifische personenbezogene Daten umfassen, ist aber nicht beschränkt auf, I-94 Aufzeichnungen, Medicaid ID-Nummern, Internal Revenue Services (I. R. S.) Dokumentation. Die Exklusivität personenbezogener Daten, die mit den USA in Verbindung stehen, unterstreicht nationale Bedenken hinsichtlich der Datensicherheit und den Einfluss personenbezogener Daten in US-Bundesdatenverwaltungssystemen.,
NIST definitionEdit
Das National Institute of Standards and Technology (NIST) ist ein Labor für physikalische Wissenschaften und eine Nichtregulierungsbehörde des US-Handelsministeriums. Seine Mission ist es, Innovation und industrielle Wettbewerbsfähigkeit zu fördern
Die folgenden Daten, die häufig zum ausdrücklichen Zweck der Unterscheidung der individuellen Identität verwendet werden, klassifizieren eindeutig als persönlich identifizierbare Informationen gemäß der vom NIST verwendeten Definition (nachstehend ausführlich beschrieben):
- Nationale Identifikationsnummer (z. B. Sozialversicherungsnummer in den USA).,)
- Bankkontonummern
- Passnummer
- Führerscheinnummer
- Debit – / Kreditkartennummern
Die folgenden werden seltener verwendet, um die individuelle Identität zu unterscheiden, da sie Merkmale sind, die von vielen Menschen geteilt werden. Sie sind jedoch potenziell PII, da sie mit anderen persönlichen Informationen kombiniert werden können, um eine Person zu identifizieren.,
- Full Name
- Anschrift
- City
- State
- PLZ
- Land
- Telefon
- Alter, Geburtsdatum, vor allem wenn nicht-spezifischen
- Geschlecht oder Rasse
- Web-cookie
Wenn Sie eine person, die anonym bleiben möchte, Beschreibungen von Ihnen verwenden oft mehrere der oben genannten, wie „ein 34-jähriger weißer Mann, der arbeitet, am Ziel“. Beachten Sie, dass Informationen immer noch privat sein können, in dem Sinne, dass eine Person möglicherweise nicht möchte, dass sie öffentlich bekannt wird, ohne persönlich identifizierbar zu sein., Darüber hinaus können manchmal mehrere Informationen, von denen keine ausreicht, um eine Person eindeutig zu identifizieren, eine Person eindeutig identifizieren, wenn sie kombiniert werden; Dies ist ein Grund, warum in der Regel mehrere Beweise in Strafprozessen vorgelegt werden. Es wurde gezeigt, dass 1990 87% der Bevölkerung der Vereinigten Staaten eindeutig nach Geschlecht, Postleitzahl und vollständigem Geburtsdatum identifiziert werden konnten.
Im Hacker – und Internet-Slang heißt die Praxis, solche Informationen zu finden und freizugeben, „Doxing“. Es wird manchmal verwendet, um die Zusammenarbeit mit Strafverfolgungsbehörden abzuschrecken., Gelegentlich kann das Doxing eine Verhaftung auslösen, insbesondere wenn Strafverfolgungsbehörden vermuten, dass die „Doxed“ – Person in Panik gerät und verschwindet.
Staatliche Gesetze und bedeutende Gerichtsurteiledit
- Kalifornien
- Die kalifornische Verfassung erklärt den Datenschutz in Artikel 1 Abschnitt 1 zu einem unveräußerlichen Recht.,
- California Online Privacy Protection Act (OPPA) von 2003
- SB 1386 fordert Organisationen auf, Einzelpersonen zu benachrichtigen, wenn PII (in Kombination mit einem oder mehreren zusätzlichen, spezifischen Datenelementen) bekannt ist oder angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden.
- Im Jahr 2011 entschied der Oberste Gerichtshof des Staates Kalifornien, dass die Postleitzahl einer Person PII ist.
- Nevada
- Nevada Revised Statutes 603A-Sicherheit der Persönlichen Daten
- Massachusetts
- 201 CMR 17.,00: Standards für den Schutz personenbezogener Daten von Bewohnern des Commonwealth
- Im Jahr 2013 entschied der Oberste Gerichtshof von Massachusetts, dass Postleitzahlen PII sind.
Federal lawEdit
- Titel 18 des United States Code, section 1028d(7)
- Der Privacy Act von 1974, kodifiziert in 5 U. S. C. § 552a et seq.
- US „Privacy Shield“ – Regeln (EU-Harmonisierung)