Kişisel Olarak Tanımlanabilir Bilgiler (PII)

Published · Updated

Kişisel Olarak Tanımlanabilir Bilgiler (PII) Nedir?

Kişisel olarak tanımlanabilir bilgiler (PII), tek başına veya diğer ilgili verilerle birlikte kullanıldığında bir bireyi tanımlayabilen bilgilerdir. PII, bir kişiyi benzersiz şekilde tanımlayabilen doğrudan tanımlayıcılar (örn. Pasaport bilgileri) veya bir kişiyi başarılı bir şekilde tanımak için diğer yarı tanımlayıcılarla (örn. Doğum tarihi) birleştirilebilen yarı tanımlayıcılar (örn. Irk) içerebilir.

Temel Çıkarımlar

  • Kişisel olarak tanımlanabilir bilgiler (PII), tek başına veya diğer ilgili verilerle birlikte kullanıldığında bir bireyi tanımlayabilen bilgilerdir.
  • Kişisel olarak tanımlanabilecek hassas bilgiler, tam adınızı, Sosyal Güvenlik Numaranızı, ehliyetinizi, mali bilgilerinizi ve tıbbi kayıtları içerebilir.
  • Hassas olmayan kişisel olarak tanımlanabilir bilgilere halka açık kaynaklardan kolayca erişilebilir ve posta kodunuzu, ırkınızı, cinsiyetinizi ve doğum tarihinizi içerebilir.

Kişisel Olarak Tanımlanabilir Bilgileri (PII) Anlama

Gelişen teknoloji platformları, işletmelerin çalışma şeklini, hükümetlerin yasama koyma şeklini ve bireylerin ilişki kurma şeklini değiştirdi. Cep telefonları, internet, e-ticaret ve sosyal medya gibi dijital araçlarla her türlü verinin arzında bir patlama yaşandı.

Büyük veri adı verilen adıyla işletmeler tarafından toplanmakta, analiz edilmekte, işlenmekte ve diğer firmalarla paylaşılmaktadır. Büyük verinin sağladığı bilgi zenginliği, şirketlerin müşterilerle nasıl daha iyi etkileşime gireceklerine dair içgörü kazanmalarını sağladı.

Ancak büyük verinin ortaya çıkması, bu bilginin değerini anlayan kuruluşların veri ihlallerinin ve siber saldırıların sayısını da artırmıştır. Sonuç olarak, şirketlerin tüketicilerinin hassas bilgilerini nasıl ele aldığı konusunda endişeler ortaya çıktı. Düzenleyici kurumlar, tüketicilerin verilerini korumak için yeni yasalar ararken, kullanıcılar dijital kalmanın daha anonim yollarını arıyor.

Hassas ve Hassas Olmayan Kişisel Olarak Tanımlanabilen Bilgiler

(PII)

Kişisel olarak tanımlanabilir bilgiler (PII) hassas olabilir veya olmayabilir. Hassas kişisel bilgiler, aşağıdakiler gibi yasal istatistikleri içerir:

Yukarıdaki liste hiçbir şekilde kapsamlı değildir. Müşterileriyle ilgili verileri paylaşan şirketler, normalde kişisel kimlik bilgilerini şifrelemek ve gizlemek için anonimleştirme teknikleri kullanır, bu nedenle kişisel olarak tanımlanamayan bir biçimde alınır. Müşterilerinin bilgilerini bir pazarlama şirketi ile paylaşan bir sigorta şirketi, verilere dahil edilen hassas PII’yi maskeleyecek ve yalnızca pazarlama şirketinin hedefiyle ilgili bilgileri bırakacaktır.

Hassas olmayan veya dolaylı PII’ye telefon defterleri, İnternet ve kurumsal dizinler gibi halka açık kaynaklardan kolayca erişilebilir. Hassas olmayan veya dolaylı PII örnekleri şunları içerir:

  • Posta kodu
  • Yarış
  • Cinsiyet
  • Doğum tarihi
  • Doğum yeri
  • Din

Yukarıdaki liste, benzer tanımlayıcıları ve halka açıklanabilecek hassas olmayan bilgilerin örneklerini içerir. Bu tür bilgiler, bir bireyin kimliğini belirlemek için tek başına kullanılamaz.

Ancak hassas olmayan bilgiler, hassas olmasa da birbirine bağlanabilir. Bu, diğer kişisel bağlantılı bilgilerle birlikte kullanıldığında hassas olmayan verilerin bir bireyin kimliğini açığa çıkarabileceği anlamına gelir. Anonimleştirme ve yeniden tanımlama teknikleri, birden fazla yarı tanımlayıcı kümesi bir araya getirildiğinde başarılı olma eğilimindedir ve bir kişiyi diğerinden ayırmak için kullanılabilir.

Kişisel Olarak Tanımlanabilir Bilgilerin (PII) Korunması

Müşterilerin kişisel bilgilerini toplayan, depolayan ve paylaşan şirketler için yönergeler oluşturmak üzere çeşitli ülkeler tarafından birden fazla veri koruma yasası kabul edilmiştir. Bu yasalarda belirtilen temel ilkelerden bazıları, aşırı durumlar haricinde bazı hassas bilgilerin toplanmaması gerektiğini belirtir.

Ayrıca, düzenleyici yönergeler, belirtilen amaç için artık ihtiyaç duyulmaması durumunda verilerin silinmesi gerektiğini ve kişisel bilgilerin korunmasını garanti edemeyen kaynaklarla paylaşılmaması gerektiğini belirtir.

Kişisel olarak tanımlanabilir bilgilerin (PII) düzenlenmesi ve korunması, önümüzdeki yıllarda bireyler, şirketler ve hükümetler için büyük olasılıkla baskın bir konu olacaktır.

Siber suçlular, PII’ye erişmek için veri sistemlerini ihlal ediyor ve bu daha sonra yeraltı dijital pazarlarındaki istekli alıcılara satılıyor.Örneğin, 2015 yılında IRS, yüz binden fazla vergi mükellefinin PII’sinin çalınmasına yol açan bir veri ihlali yaşadı. Failler, birden fazla kaynaktan çalınan yarı bilgileri kullanarak, yalnızca vergi mükelleflerine özel olması gereken kişisel doğrulama sorularını yanıtlayarak bir IRS web sitesi uygulamasına erişebildiler.

Dünya Çapında Kişisel Olarak Tanımlanabilir Bilgiler (PII)

PII’yi neyin içerdiğinin tanımı, dünyanın neresinde yaşadığınıza bağlı olarak değişir. Amerika Birleşik Devletleri’nde hükümet, 2020’de “kişisel olarak tanımlanabilir” ifadesini ad, SSN ve biyometrik bilgiler gibi “bir bireyin kimliğini ayırt etmek veya izlemek için kullanılabilecek” herhangi bir şey olarak tanımladı;tek başına veya doğum tarihi veya doğum yeri gibi diğer tanımlayıcılarla birlikte.

In  Avrupa Birliği (AB), tanım belirtildiği gibi yarı-tanımlayıcıları kapsayacak şekilde genişler Genel Veri Koruma Yönetmeliği’nin 2018 Mayıs ayında yürürlüğe giren (GDPR)3  GDPR bir yasal çerçeve olduğunu ve toplaması için takımlar kuralları ve AB’de ikamet edenler için kişisel bilgilerin işlenmesi.

Kişisel Olarak Tanımlanabilir Bilgi (PII) Örneği

2018’in başlarında, Facebook Inc. (FB) büyük bir veri ihlaline karışmıştı.50 milyon Facebook kullanıcısının profili, Cambridge Analytica adlı harici bir şirket tarafından izinleri olmadan toplandı.

Cambridge Analytica, verilerini Cambridge Üniversitesi’nde çalışan bir araştırmacı aracılığıyla Facebook’tan aldı. Araştırmacı, kişilik testi olan bir Facebook uygulaması geliştirdi. Uygulama, mobil cihazlarda ve web sitelerinde kullanılan bir yazılım uygulamasıdır.

Uygulama, test için verilerine erişim sağlamaya gönüllü olanların bilgilerini almak üzere tasarlandı. Ne yazık ki, uygulama yalnızca sınav katılımcılarının verilerini toplamakla kalmadı, Facebook sistemindeki bir boşluk nedeniyle sınav katılımcılarının arkadaşlarından ve aile üyelerinden de veri toplayabildi.

Sonuç olarak, 50 milyondan fazla Facebook kullanıcısı verilerini, izinleri olmadan Cambridge Analytica’ya ifşa etti. Facebook verilerinin satışını yasaklasa da, Cambridge Analytica geri döndü ve siyasi danışmanlık için kullanılmak üzere verileri sattı.

Facebook kurucusu ve CEO’su Mark Zuckerberg, şirketin Q1-2019 kazanç bülteninde bir açıklama yaptı:

Sosyal ağların geleceği için gizlilik odaklı vizyonumuzu oluşturmaya ve İnternet çevresindeki önemli sorunları ele almak için işbirliği içinde çalışmaya odaklandık.

Veri ihlali sadece Facebook kullanıcılarını değil yatırımcıları da etkiledi. Facebook’un karı, bir önceki yılın aynı dönemine göre ilk çeyrekte% 50 azaldı. Şirket, yasal giderlerden 3 milyar dolar tahakkuk etti ve harcamalar olmadan hisse başına 1,04 dolar daha fazla kazanç elde edecekti:

Bu konudaki zarar aralığının 3,0 milyar ila 5,0 milyar dolar arasında olduğunu tahmin ediyoruz. Sorun çözülmeden kalır ve herhangi bir nihai sonucun zamanlaması veya şartları konusunda hiçbir güvence olamaz.

Şirketler şüphesiz, tüketicilere ürün sunmak ve karı en üst düzeye çıkarmak için kişisel olarak tanımlanabilir bilgiler (PII) gibi verileri toplama yöntemlerine yatırım yapacak, ancak önümüzdeki yıllarda daha katı düzenlemelerle karşılanacak.