عرفني logo
المعلومات الشخصية المحددة للهوية (PII): التعريف، الأنواع، والأمثلة
١٠ دقائق
عبدالعزيز خليل

المعلومات الشخصية المحددة للهوية (PII): التعريف، الأنواع، والأمثلة

(المعلومات الشخصية المحددة للهوية : personally identifiable information (PII))
المعلومات الشخصية المحددة للهوية (PII): التعريف، الأنواع، والأمثلة

ما هي المعلومات الشخصية القابلة للتعريف (PII)؟

المعلومات الشخصية القابلة للتعريف (PII) هي المعلومات التي يمكن استخدامها بمفردها أو مع بيانات أخرى ذات صلة لتحديد هوية فرد معين.

قد تحتوي المعلومات الشخصية (PII) على معرفات مباشرة (مثل معلومات جواز السفر) التي يمكن أن تحدد شخصًا بشكل فريد، أو معرفات شبه مباشرة (مثل العرق) التي يمكن دمجها مع معرفات شبه أخرى (مثل تاريخ الميلاد) للتعرف على الفرد بنجاح.

النقاط الرئيسية

  • تُستخدم المعلومات الشخصية المُحددة للهوية (PII) لتأكيد هوية الفرد.
  • يمكن أن تتضمن المعلومات الشخصية الحساسة التي يمكن التعرف عليها اسمك الكامل، ورقم الضمان الاجتماعي، ورخصة القيادة، والمعلومات المالية، والسجلات الطبية.
  • المعلومات الشخصية غير الحساسة التي يمكن التعرف عليها تكون متاحة بسهولة من المصادر العامة ويمكن أن تشمل الرمز البريدي، العرق، الجنس، وتاريخ الميلاد.
  • تحتوي جوازات السفر على معلومات تعريف شخصية.

فهم المعلومات الشخصية القابلة للتعريف (PII)

لقد غيّرت منصات التكنولوجيا المتقدمة الطريقة التي تعمل بها الشركات، وتشرّع بها الحكومات، ويتفاعل بها الأفراد. مع الأدوات الرقمية مثل الهواتف المحمولة، والإنترنت، والتجارة الإلكترونية، ووسائل التواصل الاجتماعي، حدث انفجار في توافر جميع أنواع البيانات.

البيانات الضخمة، كما يُطلق عليها، يتم جمعها وتحليلها ومعالجتها من قبل الشركات ومشاركتها مع شركات أخرى. لقد مكّنت ثروة المعلومات التي توفرها البيانات الضخمة الشركات من الحصول على رؤى حول كيفية التفاعل بشكل أفضل مع العملاء.

ومع ذلك، فإن ظهور البيانات الضخمة قد زاد أيضًا من عدد انتهاكات البيانات والهجمات الإلكترونية من قبل الجهات التي تدرك قيمة هذه المعلومات. ونتيجة لذلك، أثيرت مخاوف حول كيفية تعامل الشركات مع المعلومات الحساسة لمستهلكيها. تسعى الهيئات التنظيمية إلى وضع قوانين جديدة لحماية بيانات المستهلكين، بينما يبحث المستخدمون عن طرق أكثر مجهولية للبقاء في العالم الرقمي.

المعلومات الشخصية الحساسة مقابل غير الحساسة

Sensitive PII

يمكن أن تكون المعلومات الشخصية القابلة للتحديد (PII) حساسة أو غير حساسة. تتضمن المعلومات الشخصية الحساسة إحصاءات قانونية مثل:

  • الاسم الكامل
  • رخصة القيادة
  • العنوان البريدي
  • معلومات بطاقة الائتمان
  • معلومات جواز السفر
  • المعلومات المالية
  • السجلات الطبية

القائمة أعلاه ليست شاملة بأي حال من الأحوال.

الشركات التي تشارك البيانات حول عملائها عادةً ما تستخدم تقنيات إخفاء الهوية لتشفير وإخفاء المعلومات الشخصية (PII)، بحيث يتم استلامها في شكل لا يمكن التعرف عليه شخصيًا. شركة التأمين التي تشارك معلومات عملائها مع شركة تسويق ستقوم بإخفاء المعلومات الشخصية الحساسة المدرجة في البيانات وتترك فقط المعلومات المتعلقة بهدف شركة التسويق.

معلومات التعريف الشخصية غير الحساسة

المعلومات الشخصية غير الحساسة أو غير المباشرة يمكن الوصول إليها بسهولة من مصادر عامة مثل دفاتر الهاتف، الإنترنت، والدلائل المؤسسية. أمثلة على المعلومات الشخصية غير الحساسة أو غير المباشرة تشمل:

  • الرمز البريدي (ZIP code)
  • سباق
  • الجنس
  • تاريخ الميلاد
  • مكان الولادة
  • الدين

تحتوي القائمة أعلاه على شبه معرفات وأمثلة على معلومات غير حساسة يمكن نشرها للجمهور. لا يمكن استخدام هذا النوع من المعلومات بمفرده لتحديد هوية الفرد.

ومع ذلك، فإن المعلومات غير الحساسة—على الرغم من أنها ليست حساسة—يمكن ربطها. وهذا يعني أن البيانات غير الحساسة، عند استخدامها مع معلومات شخصية أخرى قابلة للربط، يمكن أن تكشف عن هوية الفرد. تميل تقنيات إزالة الهوية وإعادة التعريف إلى النجاح عندما يتم تجميع مجموعات متعددة من المعرفات شبه الفريدة ويمكن استخدامها لتمييز شخص عن آخر.

تنظيم وحماية المعلومات الشخصية القابلة للتعريف (PII) أصبح قضية رئيسية للأفراد والشركات والحكومات.

حماية المعلومات الشخصية (PII)

تم اعتماد قوانين حماية البيانات المتعددة من قبل دول مختلفة لإنشاء إرشادات للشركات التي تجمع وتخزن وتشارك المعلومات الشخصية للعملاء. تنص بعض المبادئ الأساسية التي تحددها هذه القوانين على أنه لا ينبغي جمع بعض المعلومات الحساسة إلا في حالات استثنائية.

بالإضافة إلى ذلك، تنص الإرشادات التنظيمية على أنه يجب حذف البيانات إذا لم تعد ضرورية للغرض المعلن، ولا ينبغي مشاركة المعلومات الشخصية مع مصادر لا يمكنها ضمان حمايتها.

المجرمون الإلكترونيون يخترقون أنظمة البيانات للوصول إلى المعلومات الشخصية (PII) ثم يبيعونها للمشترين الراغبين في الأسواق الرقمية السرية. على سبيل المثال، في عام 2015، تعرضت دائرة الإيرادات الداخلية (IRS) لاختراق بيانات أدى إلى سرقة معلومات شخصية لأكثر من 100,000 دافع ضرائب.

باستخدام معلومات شبه مسروقة من مصادر متعددة، تمكن الجناة من الوصول إلى تطبيق موقع مصلحة الضرائب الأمريكية من خلال الإجابة على أسئلة التحقق الشخصية التي كان ينبغي أن تكون خاصة بالمكلفين فقط.

كيف تُسرق المعلومات الشخصية (PII)

يجد العديد من اللصوص المعلومات الشخصية الحساسة (PII) للضحايا غير المشتبه بهم من خلال البحث في قمامتهم عن البريد غير المفتوح. يمكن أن يوفر لهم هذا اسم الشخص وعنوانه. في بعض الحالات، يمكن أن يكشف أيضًا عن معلومات حول عملهم أو علاقاتهم المصرفية أو حتى أرقام الضمان الاجتماعي الخاصة بهم.

في الوقت الحاضر، أصبح الإنترنت وسيلة رئيسية لسرقة الهوية. تُستخدم هجمات التصيد الاحتيالي والهندسة الاجتماعية مواقع ويب أو رسائل بريد إلكتروني تبدو خادعة لخداع الأشخاص للكشف عن معلومات مهمة، مثل أسمائهم أو أرقام حساباتهم البنكية أو كلمات المرور أو رقم الضمان الاجتماعي. كما يمكن سرقة هذه المعلومات من خلال المكالمات الهاتفية أو الرسائل النصية القصيرة الخادعة.

نصائح لحماية المعلومات الشخصية (PII)

بينما لا يمكن حماية نفسك بشكل كامل، يمكنك جعل نفسك هدفًا أصغر عن طريق تقليل الفرص لسرقة معلوماتك الشخصية (PII). تقدم Experian، وهي واحدة من أكبر ثلاث وكالات ائتمان، عدة خطوات يمكنك اتخاذها لتقليل مساحة تعرضك.

على سبيل المثال، فإن استخدام صندوق بريد مغلق أو صندوق بريد P.O. يجعل من الصعب على اللصوص سرقة بريدك، وإزالة المعلومات الشخصية من البريد غير المرغوب فيه والوثائق الأخرى يجعل من الصعب على سارقي الهوية ربط الاسم بالعنوان. أيضًا، تجنب حمل معلومات تعريف شخصية أكثر مما تحتاج—لا يوجد سبب للاحتفاظ ببطاقة الضمان الاجتماعي في محفظتك.

وبالمثل، هناك بعض الخطوات التي يمكنك اتخاذها لمنع سرقة الهوية عبر الإنترنت. تُعتبر تسريبات البيانات مصدرًا رئيسيًا لسرقة الهوية، لذا من المهم استخدام كلمة مرور مختلفة ومعقدة لكل حساب عبر الإنترنت. قم دائمًا بتشفير بياناتك المهمة، واستخدم كلمة مرور لكل هاتف أو جهاز. كما يُعتبر من الجيد إعادة تهيئة القرص الصلب كلما قمت ببيع أو التبرع بجهاز كمبيوتر.

المعلومات الشخصية الحساسة حول العالم

يختلف تعريف ما يشكل المعلومات الشخصية القابلة للتعريف (PII) اعتمادًا على مكان إقامتك في العالم. فيما يلي الأنظمة المتعلقة بالخصوصية في بعض الولايات القضائية المحددة:

الولايات المتحدة الأمريكية

في الولايات المتحدة، عرّفت الحكومة في عام 2020 "المعلومات الشخصية القابلة للتحديد" على أنها أي شيء يمكن استخدامه "لتمييز أو تتبع هوية الفرد"، مثل الاسم، رقم الضمان الاجتماعي (SSN)، ومعلومات القياسات الحيوية؛ سواء بمفردها أو مع معرفات أخرى مثل تاريخ الميلاد أو مكان الميلاد.

أوروبا

في الاتحاد الأوروبي (EU)، يتوسع التعريف ليشمل المعرفات شبه المحددة كما هو موضح في اللائحة العامة لحماية البيانات (GDPR) التي دخلت حيز التنفيذ في مايو 2018. اللائحة العامة لحماية البيانات هي إطار قانوني يحدد القواعد لجمع ومعالجة المعلومات الشخصية لأولئك المقيمين في الاتحاد الأوروبي.

أستراليا

تحمي المعلومات الشخصية بموجب قانون الخصوصية لعام 1988. ينظم هذا القانون جمع وتخزين واستخدام والكشف عن المعلومات الشخصية، سواء من قبل الحكومة الفيدرالية أو الكيانات الخاصة. وتتناول التعديلات اللاحقة تنظيم استخدام معرفات الرعاية الصحية وتحدد التزامات الكيانات التي تتعرض لانتهاك البيانات.

كندا

ينظم قانون حماية المعلومات الشخصية والمستندات الإلكترونية استخدام المعلومات الشخصية لأغراض تجارية. يُعرّف هذا على أنه المعلومات التي يمكن أن تحدد هويتك كفرد، سواء بمفردها أو عند دمجها مع بيانات أخرى.

المعلومات الشخصية المعرّفة (Personally Identifiable Information) مقابل البيانات الشخصية (Personal Data)

تشمل البيانات الشخصية مجموعة أوسع من السياقات مقارنةً بالمعلومات الشخصية المحددة (PII) — على سبيل المثال، عنوان IP الخاص بك، أرقام تعريف الجهاز، ملفات تعريف الارتباط في المتصفح، الأسماء المستعارة عبر الإنترنت، أو البيانات الجينية. قد تُصنّف بعض السمات مثل الدين، العرق، التوجه الجنسي، أو التاريخ الطبي كبيانات شخصية، لكنها ليست معلومات شخصية محددة.

انتهاكات المعلومات الشخصية (PII)

كانت هناك العديد من الحالات التي تم فيها سرقة معلومات التعريف الشخصية (PII) للعملاء من الشركات. وغالبًا ما أدى ذلك إلى فرض غرامات باهظة.

أكبر غرامة مسجلة حتى أكتوبر 2023 تم فرضها على شركة ديدي جلوبال. حيث تم تغريم شركة النقل الصينية 8.026 مليار يوان (1.1 مليار دولار) من قبل إدارة الفضاء الإلكتروني في الصين لانتهاكها قانون أمن الشبكات الوطني، وقانون أمن البيانات، وقانون حماية المعلومات الشخصية. ومن بين الشركات الأخرى التي تلقت غرامات كبيرة لعدم حمايتها الكافية للمعلومات الشخصية القابلة للتحديد نجد Equifax وAmazon وMeta.

فضيحة بيانات فيسبوك-كامبريدج أناليتيكا

إحدى أشهر الحالات تعود إلى شركة Meta، أو كما كانت تُعرف آنذاك بـ Facebook. في العقد الثاني من الألفية، تم جمع ملفات تعريف 30 مليون مستخدم لـ Facebook دون موافقتهم من قبل شركة خارجية تُدعى Cambridge Analytica. حصلت Cambridge Analytica على بياناتها من Facebook عبر باحث كان يعمل في جامعة كامبريدج. قام الباحث ببناء تطبيق على Facebook كان عبارة عن اختبار شخصية.

تم تصميم التطبيق لأخذ المعلومات من أولئك الذين تطوعوا لمنح الوصول إلى بياناتهم من أجل الاختبار. لسوء الحظ، جمع التطبيق ليس فقط بيانات المشاركين في الاختبار، ولكن أيضًا، بسبب ثغرة في نظام فيسبوك، بيانات الأصدقاء وأفراد العائلة للمشاركين في الاختبار.

نتيجة لذلك، تعرضت بيانات أكثر من 50 مليون مستخدم لفيسبوك للكشف لشركة كامبريدج أناليتيكا دون موافقتهم. على الرغم من أن فيسبوك حظر بيع بياناتهم، إلا أن كامبريدج أناليتيكا قامت ببيع البيانات لاستخدامها في الاستشارات السياسية.

لم يؤثر اختراق البيانات على مستخدمي Facebook فحسب، بل طال المستثمرين أيضًا. في تقريرها للربع الأول (Q1) من عام 2019، ذكرت Facebook أنها تكبدت 3 مليارات دولار كنفقات قانونية، والتي زعمت أنها قلصت هامش التشغيل الخاص بها بمقدار 20 نقطة مئوية وخفضت الأرباح لكل سهم بمقدار 1.04 دولار.

كان ذلك مجرد البداية. في السنوات التي تلت ذلك، استمرت الشركة في تراكم النفقات ودفع مليارات الدولارات كغرامات. كما أضر اختراق البيانات بسمعتها وأدى إلى توقف بعض المستخدمين عن استخدام موقع التواصل الاجتماعي.

ما الذي يُعتبر معلومات تعريف شخصية (PII)؟

يُعرّف المعلومات الشخصية القابلة للتحديد من قبل الحكومة الأمريكية على أنها:

"المعلومات التي يمكن استخدامها لتمييز أو تتبع هوية الفرد، مثل اسمه، رقم الضمان الاجتماعي، السجلات البيومترية، وما إلى ذلك، سواء بمفردها أو عند دمجها مع معلومات شخصية أو تعريفية أخرى مرتبطة أو قابلة للربط بفرد معين، مثل تاريخ ومكان الميلاد، واسم الأم قبل الزواج، وما إلى ذلك."

ما الذي لا يُعتبر معلومات تعريف شخصية (PII)؟

البيانات الشخصية لا تُصنّف على أنها معلومات تعريف شخصية (PII) والبيانات غير الشخصية مثل الشركة التي تعمل بها، أو البيانات المشتركة، أو البيانات المجهولة.

ما هو انتهاك المعلومات الشخصية (PII)؟

تعد انتهاكات المعلومات الشخصية (PII) غير قانونية، وغالبًا ما تتضمن عمليات احتيال مثل سرقة الهوية. قد تنشأ الانتهاكات أيضًا من الوصول غير المصرح به أو استخدام أو الكشف عن المعلومات الشخصية. كما أن الفشل في الإبلاغ عن خرق للمعلومات الشخصية يمكن أن يكون انتهاكًا أيضًا.

ماذا يجب أن تفعل عند إرسال معلومات التعريف الشخصية (PII) عبر البريد الإلكتروني؟

لأن البريد الإلكتروني ليس دائمًا آمنًا، حاول تجنب إرسال المعلومات الشخصية (PII) عبر البريد الإلكتروني. إذا كان لابد من ذلك، استخدم التشفير أو تقنيات التحقق الآمنة.

ما هي القوانين التي تحمي المعلومات الشخصية (PII)؟

تحمي العديد من القوانين الفيدرالية وقوانين الولايات لحماية المستهلك المعلومات الشخصية (PII) وتفرض عقوبات على استخدامها غير المصرح به، مثل قانون لجنة التجارة الفيدرالية وقانون الخصوصية لعام 1974.

الخلاصة

المعلومات الشخصية القابلة للتعريف (PII) هي أي نوع من البيانات التي يمكن استخدامها لتحديد هوية شخص ما، بدءًا من اسمه وعنوانه إلى رقم هاتفه، ومعلومات جواز السفر، وأرقام الضمان الاجتماعي. غالبًا ما تكون هذه المعلومات هدفًا لسرقة الهوية، خاصة عبر الإنترنت. لهذا السبب، من الضروري أن تحافظ الشركات والوكالات الحكومية على أمان قواعد بياناتها.

المصادر
[1]European Union. “: Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016
[2]United Nations Conference on Trade and Development. “: Data Protection and Privacy Legislation Worldwide
[3]Internal Revenue Service. “: IRS Statement on the ‘Get Transcript’ Application
[4]Experian. “: What Is Personally Identifiable Information?
[5]National Institute of Standards and Technology, Computer Security Resource Center. “: PII
[6]European Commission. “: Data Protection in the EU
[7]Office of the Australian Information Commissioner. “: History of the Privacy Act
[8]Office of the Privacy Commissioner of Canada. “: Summary of Privacy Laws in Canada: What Is Personal Information?
[9]CSO. “: The Biggest Data Breach Fines, Penalties, and Settlements So Far
[10]U.S. Securities and Exchange Commission. “: Facebook to Pay $100 Million for Misleading Investors About the Risks It Faced from Misuse of User Data
[11]Federal Trade Commission. “: FTC Issues Opinion and Order Against Cambridge Analytica for Deceiving Consumers About the Collection of Facebook Data, Compliance with EU-U.S. Privacy Shield
[12]Federal Trade Commission. “: FTC Sues Cambridge Analytica, Settles with Former CEO and App Developer
[13]Meta Investor Relations. “: Facebook Reports First Quarter 2019 Results
[14]Federal Trade Commission. “: FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook
[15]The New York Times. “: For Many Facebook Users, a ‘Last Straw’ That Led Them to Quit
[16]U.S. Department of Commerce, Office of Privacy and Open Government, via Internet Archive Wayback Machine. “: Safeguarding Information
[17]Federal Trade Commission. “: Federal Trade Commission Act
[18]U.S. Department of Justice, Office of Privacy and Civil Liberties. “: Privacy Act of 1974
#الأعمال #المنتجات والخدمات التجارية