rząd USA użył terminu „personalnie identyfikowalne” w 2007 r. w memorandum z Biura Wykonawczego prezydenta, Office of Management and Budget (OMB), a użycie to pojawia się obecnie w amerykańskich standardach, takich jak przewodnik NIST do ochrony poufności danych osobowych (SP 800-122). Memorandum OMB definiuje PII w następujący sposób:
informacje, które można wykorzystać do rozróżnienia lub prześledzenia tożsamości danej osoby, takie jak imię i nazwisko, numer ubezpieczenia społecznego, dane biometryczne itp., samodzielnie lub w połączeniu z innymi danymi osobowymi lub identyfikacyjnymi powiązanymi lub możliwymi do powiązania z konkretną osobą, takimi jak Data i miejsce urodzenia, nazwisko panieńskie matki itp.,p>artykuł 2A:”Dane osobowe”oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoba, której dane dotyczą”); osobą możliwą do zidentyfikowania jest osoba, która może zostać zidentyfikowana bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do numeru identyfikacyjnego lub jednego lub kilku czynników specyficznych dla jej fizycznej, fizjologicznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości;
jednakże w przepisach UE istnieje wyraźniejsze przekonanie, że osoba, której Dane Dotyczą, może zostać zidentyfikowana poprzez dodatkowe Dodatkowe informacje.przetwarzanie innych atrybutów—quasi – lub pseudo-identyfikatorów.,jeśli chodzi o jeden lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej
inny termin podobny do PII, „dane osobowe” są zdefiniowane w sekcji kalifornijskiej ustawy o powiadamianiu o naruszeniu danych, SB1386:
(e) do celów tej sekcji „dane osobowe” oznaczają imię osoby fizycznej lub jej inicjał i nazwisko w połączeniu z dowolnym Lub Więcej z następujących elementów danych, jeżeli nazwa lub elementy danych nie są zaszyfrowane: (1) numer ubezpieczenia społecznego., (2) numer prawa jazdy lub numer karty identyfikacyjnej Kalifornii. (3) numer konta, numer karty kredytowej lub debetowej w połączeniu z wymaganym kodem zabezpieczającym, kodem dostępu lub hasłem, które umożliwiłyby dostęp do rachunku finansowego danej osoby. (f) do celów niniejszej sekcji „dane osobowe” nie obejmują publicznie dostępnych informacji, które są zgodnie z prawem udostępniane ogółowi społeczeństwa z rejestrów federalnych, stanowych lub lokalnych.,
koncepcja kombinacji informacji podana w definicji SB1386 jest kluczem do prawidłowego odróżnienia III, zgodnie z definicją OMB, od „danych osobowych”, zgodnie z definicją sb1386. Informacje, takie jak nazwa, które nie mają kontekstu, nie mogą być określane jako „dane osobowe” SB1386, ale należy je określić jako PII zgodnie z definicją OMB. Na przykład nazwa John Smith nie ma znaczenia w obecnym kontekście i dlatego nie jest SB1386 „dane osobowe”, ale jest PII., Numer ubezpieczenia społecznego (SSN) bez nazwy lub innej powiązanej tożsamości lub informacji kontekstowych nie jest SB1386 „dane osobowe”, ale jest PII. Na przykład SSN 078-05-1120 sam w sobie jest PII, ale nie jest sb1386 „dane osobowe”. Jednak połączenie poprawnej nazwy z prawidłowym SSN jest SB1386 „dane osobowe”.
połączenie nazwy z kontekstem może być również uznane za PII; na przykład, jeśli nazwisko osoby znajduje się na liście pacjentów kliniki HIV. Nie jest jednak konieczne, aby nazwa była łączona z kontekstem, aby była PII., Powodem tego rozróżnienia jest to, że fragmenty informacji, takie jak nazwiska, choć same w sobie mogą nie być wystarczające do identyfikacji, mogą być później łączone z innymi informacjami w celu identyfikacji osób i narażania ich na szkodę.
według OMB nie zawsze jest tak, że PII jest „wrażliwa”, a kontekst może być brany pod uwagę przy podejmowaniu decyzji, czy niektóre PII są wrażliwe, czy nie.,
AustraliaEdit
w Australii Ustawa o ochronie prywatności z 1988 r.zajmuje się ochroną prywatności jednostki, wykorzystując zasady prywatności OECD z lat 80. do ustanowienia szerokiego, opartego na zasadach modelu regulacyjnego (w przeciwieństwie do USA, gdzie zasięg nie opiera się na ogólnych zasadach, ale na konkretnych technologiach, praktykach biznesowych lub elementach danych). Sekcja 6 zawiera odpowiednią definicję., Krytycznym szczegółem jest to, że definicja „danych osobowych” odnosi się również do sytuacji, w których osoba może być pośrednio zidentyfikowana:
„dane osobowe” oznaczają informacje lub opinię na temat zidentyfikowanej osoby lub osoby, która jest w uzasadniony sposób możliwa do zidentyfikowania, czy informacje lub opinia są prawdziwe, czy nie; oraz czy informacje lub opinia są zapisywane w formie materialnej, czy nie.,
nasuwa się pytanie o sensowność: Załóżmy, że teoretycznie możliwe jest zidentyfikowanie osoby na podstawie informacji, które nie zawierają nazwiska ani adresu, ale zawierają wskazówki, które można poszukiwać, aby dowiedzieć się, do kogo się odnosi. Ile dodatkowego wysiłku potrzeba, aby niemożliwe było zidentyfikowanie takich informacji?, Na przykład, Jeśli informacje obejmują adres IP, a odpowiedni dostawca usług internetowych przechowuje logi, które można łatwo sprawdzić (jeśli masz wystarczające uzasadnienie prawne), aby ponownie połączyć adres IP z posiadaczem konta, czy ich tożsamość może być „rozsądnie ustalona”? Jeśli takie linkowanie kiedyś było drogie, powolne i trudne, ale staje się łatwiejsze, czy to zmienia odpowiedź w pewnym momencie?,
wydaje się, że definicja ta jest znacznie szersza niż podany powyżej przykład Kalifornijski, a zatem Australijskie prawo prywatności, choć pod pewnymi względami słabo egzekwowane, może obejmować szerszą kategorię danych i informacji niż w niektórych przepisach amerykańskich.,
w szczególności firmy zajmujące się reklamą behawioralną online z siedzibą w USA, ale dyskretnie zbierające informacje od osób w innych krajach w postaci plików cookie, błędów, trackerów i tym podobnych mogą uznać, że ich preferencje dotyczące unikania konsekwencji chęci zbudowania profilu psychograficznego konkretnej osoby przy użyciu rubryki „nie zbieramy danych osobowych” mogą uznać, że nie ma to sensu w szerszej definicji, takiej jak ta w australijskiej ustawie o prywatności.
należy pamiętać, że termin „PII” nie jest używany w australijskim prawie prywatności.,n ustawy o ochronie prywatności i podobnych przepisów prowincjonalnych reguluje agencje rządowe prowincji
Unia Europejskaedytuj
Europejskie prawo o ochronie danych nie wykorzystuje pojęcia danych osobowych, a jego zakres jest określony przez nie-synonimiczne, szersze pojęcie „danych osobowych”.,
- Artykuł 8 Europejskiej Konwencji Praw Człowieka
- Ogólne Rozporządzenie o ochronie danych przyjęte w kwietniu 2016 r. Od 25 maja 2018 r.
- zastępuje dyrektywę o ochronie danych – 95/46/WE
- dyrektywę 2002/58/WE (Dyrektywa w sprawie E-Prywatności)
- dyrektywę 2006/24/WE Artykuł 5 (Dyrektywa w sprawie przechowywania danych)
dalsze przykłady można znaleźć na unijnej stronie internetowej poświęconej ochronie prywatności.,
Nowa zelandiadytuj
stosuje się dwanaście Zasad Prywatności informacji ustawy o prywatności z 1993 roku.,
SwitzerlandEdit
Federalna ustawa o ochronie danych z dnia 19 czerwca 1992 r. (obowiązująca od 1993 r.) ustanowiła ochronę prywatności, zakazując praktycznie przetwarzania danych osobowych, na które osoby, których dane dotyczą, nie są wyraźnie upoważnione. Ochrona podlega władzy Federalnego komisarza ds. ochrony danych i informacji.
dodatkowo każda osoba może poprosić pisemnie firmę (zarządzającą plikami danych) o poprawienie lub usunięcie jakichkolwiek danych osobowych. Firma musi odpowiedzieć w ciągu trzydziestu dni.,
Stany Zjednoczoneedytuj
Ustawa o ochronie prywatności z 1974 r. (Pub.93-579 Łódź, 88 1896, uchwalona 31 grudnia 1974, 5 U. S. C. § 552A), prawo federalne Stanów Zjednoczonych, ustanawia Kodeks uczciwej praktyki informacyjnej, która reguluje gromadzenie, utrzymanie, wykorzystanie i rozpowszechnianie informacji umożliwiających identyfikację osób, które są przechowywane w systemach rejestrów przez agencje federalne.
jednym z głównych celów ustawy Health Insurance Portability and Accountability Act (HIPAA) jest ochrona chronionych informacji zdrowotnych pacjenta (Phi), która jest podobna do PII. Stany Zjednoczone, Senat zaproponował ustawę o prywatności z 2005 r., która próbowała ściśle ograniczyć wyświetlanie, kupno lub sprzedaż PII bez zgody danej osoby. Podobnie (proponowana) ustawa Anti-Phishing Act z 2005 r.usiłowała zapobiec pozyskiwaniu III poprzez phishing.
amerykańscy ustawodawcy zwrócili szczególną uwagę na numer ubezpieczenia społecznego, ponieważ można go łatwo wykorzystać do kradzieży tożsamości. (Proponowana) ustawa o ochronie numeru ubezpieczenia społecznego z 2005 r. i (proponowana) ustawa o zapobieganiu kradzieży tożsamości z 2005 r. dążyły do ograniczenia dystrybucji indywidualnego numeru ubezpieczenia społecznego.,
dodatkowe informacje umożliwiające identyfikację w USA obejmują między innymi zapisy I-94, numery identyfikacyjne Medicaid, dokumentację Internal Revenue Services (I. R. S.). Wyłączność informacji umożliwiających identyfikację osób powiązanych z USA podkreśla krajowe obawy dotyczące bezpieczeństwa danych i wpływ informacji umożliwiających identyfikację osób w amerykańskich federalnych systemach zarządzania danymi.,
definicja NIST
Jego misją jest promowanie innowacji i konkurencyjności przemysłowej
następujące dane, często używane do wyraźnego rozróżnienia tożsamości jednostki, wyraźnie klasyfikują się jako dane osobowe zgodnie z definicją używaną przez NIST (opisaną szczegółowo poniżej):
- Krajowy Numer identyfikacyjny (np. numer ubezpieczenia społecznego w USA).,)
- numery kont bankowych
- numer paszportu
- numer prawa jazdy
- numery kart debetowych/kredytowych
poniższe są rzadziej używane do rozróżniania tożsamości jednostki, ponieważ są to cechy wspólne dla wielu osób. Są to jednak potencjalnie PII, ponieważ mogą być łączone z innymi danymi osobowymi w celu identyfikacji osoby.,
- pełne imię i nazwisko
- adres domowy
- miasto
- Stan
- Kod Pocztowy
- kraj
- telefon
- wiek, Data urodzenia, zwłaszcza jeśli dana osoba chce pozostać anonimowa, opisy tych plików często zawierają kilka różnych informacji.powyższe, takie jak „34-letni biały mężczyzna, który pracuje w target”. Należy pamiętać, że Informacje mogą nadal być prywatne, w tym sensie, że dana osoba może nie życzyć sobie, aby stały się publicznie znane, bez możliwości osobistej identyfikacji., Co więcej, czasami wiele informacji, których sama w sobie nie wystarcza do jednoznacznej identyfikacji osoby, może jednoznacznie zidentyfikować osobę w połączeniu; jest to jeden z powodów, dla których wiele dowodów jest zwykle przedstawianych w procesach karnych. Wykazano, że w 1990 roku 87% populacji Stanów Zjednoczonych mogło być jednoznacznie zidentyfikowane według płci, kodu pocztowego i pełnej daty urodzenia.
w slangu hakerskim i internetowym praktyka znajdowania i uwalniania takich informacji nazywa się „doxing”. Jest czasami używany do powstrzymania współpracy z organami ścigania., Czasami doxing może wywołać aresztowanie, szczególnie jeśli organy ścigania podejrzewają, że osoba „doxed” może wpaść w panikę i zniknąć.
prawo stanowe i istotne orzeczenia sądoweedytuj
- Kalifornia
- konstytucja stanu Kalifornia określa prywatność jako niezbywalne prawo w artykule 1, Sekcja 1.,
- California Online Privacy Protection Act (OPPA) z 2003
- SB 1386 wymaga od organizacji powiadamiania osób fizycznych, gdy PII (w połączeniu z jednym lub większą liczbą dodatkowych, określonych elementów danych) jest znana lub uważana za nabytą przez nieuprawnioną osobę.
- w 2011 roku Sąd Najwyższy stanu Kalifornia orzekł, że kod pocztowy danej osoby to PII.
- Nevada
- Nevada zmieniony Statut 603A-bezpieczeństwo danych osobowych
- Massachusetts
- 201 CMR 17.,00: standardy ochrony danych osobowych mieszkańców Wspólnoty Narodów
- w 2013 roku Sąd Najwyższy Massachusetts orzekł, że kody pocztowe Są PII.
Federal lawEdit
- Tytuł 18 Kodeksu Stanów Zjednoczonych, sekcja 1028d(7)
- Ustawa o prywatności z 1974 r., skodyfikowana pod adresem 5 U. S. C. § 552A i nast.
- Zasady Tarczy Prywatności USA (harmonizacja UE)
- Kalifornia