正文
从高层次上讲,PII是可以单独使用或与其他信息组合以识别个人的数据。政府和行业PII法规的目标是定义和执行政策,以保持该信息的隐私性。
欧盟委员会的GDPR条例和《加州消费者隐私法案》(CCPA)是两个广为人知的政府监管条例,它们为PII制定了一套隐私政策。这两个政府机构的罚款都可能很高。从发布之初到2020年1月,GDPR收集超过1.26亿美元的罚款,每项记录的CCPA罚款从2500美元到7500美元不等。
识别PII的挑战在于,数十个数据元素都是潜在的个人标识符。此外,政府网站(例如GDPR的信息门户)提供PII数据描述和示例,所使用的语言故意含糊不清,以免将数据元素限制为预定义的集合。因为每个监管条例可能对PII都有不同的解释,所以最好针对特定的隐私控制咨询专家。
从PII的角度来看,数据匿名化是模糊化信息的过程,使这些信息无法用于识别个人。匿名化可减少意外泄露PII数据的风险,并且,如果确实发生数据泄露,则被窃取的信息将对攻击者毫无用处。
从合规性来看,匿名数据被认为是非个人数据,因为它无法识别个人。
匿名化的最终目标是消除PII暴露个人的机会,同时保留信息对企业的价值。匿名化数据与破坏数据使其无法提供有意义的业务洞察力之间只存在细微的界限。
为适当地保护PII数据,企业必须制定战略计划,定义角色、规则、流程和最佳做法,以确保其PII数据的安全性、质量以及正确使用。该计划的目标是提供控件的蓝图,以确保在企业级有效管理PII数据。
该计划需要包括标准IT社区数据匿名化最佳做法,以及企业、特定于行业和政府的法规条例规范和控制。该计划应该是一项业务和IT联合计划,两个部门都应发挥同等重要的作用。
