den amerikanska regeringen använde termen” personligt identifierbar ” i 2007 i ett memorandum från verkställande kontoret för presidenten, Office of Management and Budget (OMB), och den användningen visas nu i amerikanska standarder som NIST Guide för att skydda sekretessen för personligt identifierbar Information (SP 800-122). OMB-memorandumet definierar PII enligt följande:
Information som kan användas för att skilja eller spåra en persons identitet, till exempel deras namn, personnummer, biometriska register etc., ensam eller i kombination med annan personlig eller identifierande information som är länkad eller länkad till en viss individ, såsom födelsedatum och födelseort, moderns flicknamn etc.,p>Artikel 2a: ”personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person (’registrerade’); en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Men i EU: s regler, det har varit en klarare uppfattning att den registrerade kan potentiellt vara identifieras genom ytterligare bearbetning av andra attribut—kvasi – eller pseudo-identifierare.,ifier eller till en eller flera faktorer som är specifika för fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet som fysisk person
en Annan term som liknar en ANSVARSFÖRSÄKRING, ”personlig information” definieras i ett avsnitt av California data anmäla överträdelser av lagen, SB1386:
(e) För tillämpningen av detta avsnitt, ”personlig information” betyder en persons förnamn eller första och sista namnet i kombination med en eller flera av följande uppgifter, när antingen namnet eller dataelement som inte är krypterade: (1) Social security number., (2) körkort nummer eller California ID-kort nummer. (3) kontonummer, kredit-eller betalkortsnummer, i kombination med alla nödvändiga säkerhetskod, åtkomstkod eller lösenord som skulle tillåta tillgång till en persons finansiella konto. (f) i detta avsnitt omfattar ”personlig information” inte offentligt tillgänglig information som lagligen görs tillgänglig för allmänheten från federala, statliga eller kommunala register.,
begreppet informationskombination som ges i SB1386-definitionen är nyckeln till att korrekt skilja PII, som definieras av OMB, från ”personlig information”, enligt definitionen i SB1386. Information, som ett namn, som saknar sammanhang kan inte sägas vara SB1386 ”personlig information”, men det måste sägas vara PII enligt definitionen av OMB. Till exempel, namnet John Smith har ingen betydelse i det aktuella sammanhanget och är därför inte SB1386 ”personlig information”, men det är en ANSVARSFÖRSÄKRING., Ett personnummer (SSN) utan namn eller någon annan tillhörande identitet eller kontextinformation är inte SB1386 ”personlig information”, men det är PII. Till exempel är SSN 078-05-1120 i sig PII, men det är inte SB1386 ”personlig information”. Kombinationen av ett giltigt namn med rätt SSN är dock SB1386 ”personlig information”.
kombinationen av ett namn med ett sammanhang kan också betraktas som PII; till exempel om en persons namn finns på en lista över patienter för en HIV-klinik. Det är dock inte nödvändigt att namnet kombineras med ett sammanhang för att det ska vara PII., Anledningen till denna skillnad är att bitar av information som namn, även om de kanske inte är tillräckliga i sig för att göra en identifiering, senare kan kombineras med annan information för att identifiera personer och utsätta dem för skada.
enligt OMB är det inte alltid så att PII är ”känsligt”, och kontext kan beaktas vid beslut om viss PII är eller inte är känslig.,
AustraliaEdit
i Australien behandlar Privacy Act 1988 skyddet av den enskilda integriteten, med hjälp av OECD: s principer för integritetsskydd från 1980-talet för att skapa en bred, principbaserad tillsynsmodell (till skillnad från i USA, där täckningen i allmänhet inte bygger på breda principer utan på specifika tekniker, affärsmetoder eller dataelement). Avsnitt 6 har den relevanta definitionen., Den kritiska detaljerna är att definitionen av ”personlig information” också gäller där individen indirekt kan identifieras:
” personlig information ” betyder information eller ett yttrande om en identifierad individ, eller en person som rimligen kan identifieras om informationen eller yttrandet är sant eller inte; och om informationen eller yttrandet registreras i en materiell form eller inte.,
detta väcker frågan om rimlighet: anta att det är teoretiskt möjligt att identifiera en person från information som inte innehåller ett namn eller en adress, men innehåller ledtrådar som kan följas för att ta reda på vem det rör sig om. Hur mycket extra ansträngning krävs det för att göra det orimligt att sådan information kan identifieras?, Till exempel, om informationen omfattar en IP-adress, och relevanta ISP lagrar loggar som lätt kan inspekteras (om du hade tillräcklig rättslig motivering) för att länka IP-adressen till kontoinnehavaren, kan deras identitet ”rimligen fastställas”? Om en sådan koppling brukade vara dyr, långsam och svår, men blir lättare, ändrar detta svaret någon gång?,
det verkar som om denna definition är betydligt bredare än det kaliforniska exemplet ovan, och därmed att Australiens integritetslagstiftning, medan den i vissa avseenden tillämpas svagt, kan omfatta en bredare kategori av data och information än i vissa amerikanska lagar.,
i synnerhet online beteende reklam företag baserade i USA men smyg samla in information från människor i andra länder i form av cookies, buggar, trackers och liknande kan finna att deras preferens för att undvika konsekvenserna av att vilja bygga en psykografisk profil för en viss person som använder rubriken ”Vi samlar inte in personlig information” kan finna att detta inte är meningsfullt under en bredare definition som den i Australian Privacy Act.
Observera att termen ”PII” inte används i australiensisk sekretesslag.,n av Privacy Act och liknande Regionala lagstiftningen reglerar Provinsiella myndigheter
Europeiska UnionEdit
Eu-lag om dataskydd inte använder begreppet personligt identifierbar information, och dess omfattning är i stället bestäms av icke-synonyma, bredare begreppet ”personliga data”.,
- artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna
- den allmänna dataskyddsförordningen som antogs i April 2016. Effektiv 25 maj 2018
- ersätter dataskyddsdirektivet-95/46/EG
- direktiv 2002/58/EG (e-Integritetsdirektivet)
- direktiv 2006/24/EG Artikel 5 (direktivet om lagring av uppgifter)
ytterligare exempel finns på EU: s integritetswebbplats.,ction Regulation (Europe, 2016)
Nyzeeländsk
de tolv principerna för integritetsskydd i Privacy Act 1993 gäller.,
SwitzerlandEdit
den federala lagen om dataskydd av den 19 juni 1992 (i kraft sedan 1993) har inrättat ett skydd för privatlivet genom att förbjuda praktiskt taget all behandling av personuppgifter som inte uttryckligen godkänts av de registrerade. Skyddet är föremål för myndigheten i Federal Data Protection and Information Commissioner.
dessutom kan varje person skriftligen begära att ett företag (hanterar datafiler) rättar eller raderar personuppgifter. Företaget måste svara inom trettio dagar.,
Förenade StatesEdit
Privacy Act från 1974 (Pub.L. 93-579, 88 Stat. 1896, antagen 31 december 1974, 5 U. S. C. § 552a), en amerikansk federal lag, upprättar en kod för rättvis informationspraxis som styr insamling, underhåll, användning och spridning av personligt identifierbar information om individer som upprätthålls i system av register av federala myndigheter.
en av de främsta fokuserna för sjukförsäkringens bärbarhet och ansvarsskyldighet (HIPAA) är att skydda en patients skyddade hälsoinformation (PHI), som liknar PII. USA., Senaten föreslog Privacy Act från 2005, som försökte strikt begränsa visning, köp eller försäljning av PII utan personens samtycke. På samma sätt försökte (föreslagna) Anti-Phishing Act från 2005 förhindra förvärv av PII genom phishing.
amerikanska lagstiftare har ägnat särskild uppmärksamhet åt personnummer eftersom det lätt kan användas för att begå identitetsstöld. Den (föreslagna) lagen om skydd av personnummer från 2005 och (föreslagna) lagen om förebyggande av identitetsstöld från 2005 syftade var och en till att begränsa fördelningen av en persons personnummer.,
Ytterligare AMERIKANSKA viss personligt identifierbar information inkluderar, men är inte begränsat till, jag-94 Poster, Medicaid ID-Nummer, Internal Revenue Tjänster (I. R. S.) dokumentation. Exklusivitet av personligt identifierbar information som är ansluten till USA belyser nationella datasäkerhetsproblem och påverkan av personligt identifierbar information i amerikanska federala datahanteringssystem.,
NIST definitionEdit
National Institute of Standards and Technology (NIST) är ett fysikaliskt vetenskapslaboratorium och en icke-tillsynsmyndighet för Förenta staternas handelsdepartement. Dess uppgift är att främja innovation och industriell konkurrenskraft
följande uppgifter, som ofta används för det uttryckliga syftet att särskilja individuell identitet, tydligt klassificera som personligt identifierbar information enligt definitionen som används av NIST (beskrivs i detalj nedan):
- nationellt identifieringsnummer (t. ex. socialförsäkringsnummer i USA).,)
- bankkontonummer
- passnummer
- körkort nummer
- Debit / kreditkortsnummer
Följande används mindre ofta för att skilja individuell identitet, eftersom de är egenskaper som delas av många människor. De är dock potentiellt PII, eftersom de kan kombineras med annan personlig information för att identifiera en individ.,
- Fullständigt namn
- hemadress
- Stad
- stat
- Postnummer
- Land
- telefon
- ålder, födelsedatum, särskilt om det inte är specifikt
- kön eller ras
- webbkaka
När en person vill förbli anonym, kommer beskrivningar av dem ofta att använda flera av de ovan, som ”en 34-årig vit man som arbetar på Target”. Observera att information fortfarande kan vara privat, i den meningen att en person kanske inte vill att den ska bli allmänt känd, utan att vara personligt identifierbar., Dessutom, ibland flera bitar av information, ingen som i sig är tillräcklig för att unikt identifiera en individ, kan unikt identifiera en person när den kombineras. detta är en anledning till att flera bevis vanligtvis presenteras vid brottmål. Det har visat sig att 87% av befolkningen i USA 1990 kunde identifieras unikt efter kön, postnummer och hel födelsedatum.
i hacker och Internet slang kallas övningen att hitta och släppa sådan information ”doxing”. Det används ibland för att avskräcka från samarbete med brottsbekämpning., Ibland kan doxningen utlösa ett gripande, särskilt om brottsbekämpande organ misstänker att den” doxade ” individen kan panik och försvinna.
statliga lagar och betydande domstolsbeslut
- Kalifornien
- California state constitution förklarar Sekretess en oförytterlig rättighet i artikel 1, avsnitt 1.,
- California Online Privacy Protection Act (OPPA) från 2003
- SB 1386 kräver organisationer att meddela individer när PII (i kombination med ett eller flera ytterligare specifika dataelement) är känt eller tros förvärvas av en obehörig person.
- i 2011, California State Supreme Court fastslog att en persons postnummer är PII.
- Nevada
- Nevada reviderade stadgar 603A-säkerhet för personlig Information
- Massachusetts
- 201 CMR 17.,00: standarder för skydd av personuppgifter för invånare i Samväldet
- i 2013 fastställde Massachusetts högsta domstol att postnummer är PII.
Federal lawEdit
- Avdelning 18 i United States Code, sektion 1028d(7)
- Privacy Act från 1974, kodifierad i 5 U. S. C. § 552a ff.
- US” Privacy Shield ” regler (EU harmonisering)