مفهوم PII در مبحث حریم خصوصی

PII یا Personally identifiable information شامل هرگونه داده‌ای می‌شود که بتوان از آن به تشخیص هویت فرد یا افرادی خاص رسید. به معنای دیگر هرگونه اطلاعاتی که به صورت مستقیم یا غیرمستقیم به شخصی مربوط باشد، PII محسوب می‌گردد. نام، آدرس ایمیل، شماره تماس، اطلاعات بانکی و کدملی از نمونه‌های PII هستند.

امروزه بسیاری از سازمان‌ها PII را جمع‌آوری، ذخیره و پردازش می‌کنند. در این شرایط این امکان وجود دارد که با درز اطلاعات از این مراکز و سازمان‌ها به بیرون، افراد کثیری قربانی انواع حملات، کلاهبرداری‌ها و یا هرگونه آسیب دیگری شوند. حتی در صورت عدم بروز موارد فوق این موضوع ممکن است منجر به خدشه‌دار شدن حریم خصوصی اشخاص گردد. به همین دلیل نیز حفاظت و کنترل PII و مراکز جمع‌آوری آن از اهمیت ویژه‌ای برخوردار است.

تعریف PII از دید NIST

اگرچه تعریف واحدی از از PII وجود ندارد، اما در طی زمان تعاریف متعددی از آن ارائه شده است. یکی از جامع ترین تعاریف متعلق به NIST یا انستیتو ملی استاندارد و تکنولوژی آمریکا به شرح زیر است:

هرگونه اطلاعات ذخیره شده توسط یک سازمان درباره یک شخص شامل:

1. هرگونه اطلاعات که بتواند برای شناخت یا ردیابی هویت یک فرد استفاده شود. مانند اسامی، کدملی، تاریخ و محل تولد، اسامی والدین یا مشخصات بیومتریک
2. هرگونه اطلاعات مرتبط دیگر با یک شخص که به صورت غیر مستقیم هویت او را تعیین نماید. مانند سوابق پزشکی، تحصیلی، مالی و شغلی

دو نوع اصلی PII

1. اطلاعاتی که به طور مستقیم افشای هویت را انجام می‌دهند. نام و نام خانوادگی، کد ملی یا آدرس محل سکونت از مصادیق این نوع هستند.
2. اطلاعاتی که به طور مستقیم از شناخت افراد عاجزند اما غیرمستقیم منجر به تشخیص هویت می‌گردند. به بیان دیگر اینکار را در ترکیب با اطلاعات دیگر صورت می‌دهند.

برای مثال در نظر بگیرید محمد محمدی در خیابان سرو زندگی می‌کند. خود اسم محمد به خودی خود امکان تشخیص هویت را فراهم نمی‌کند، اما در کنار نام خیابان محل زندگی ممکن است منجر به شناسایی این فرد شود، حال آنکه خود اسم خیابان نیز بدون ذکر پلاک برای این مورد کافی نبوده است.