Dữ liệu cá nhân

Dữ liệu cá nhân, còn được gọi là thông tin cá nhân (personal information), thông tin nhận dạng cá nhân (personally identifying information - PII) hoặc thông tin cá nhân nhạy cảm (sensitive personal information - SPI),^[1][2][3] là bất kỳ thông tin nào liên quan đến nhận dạng một người.

Chữ viết tắt PII được chấp nhận rộng rãi ở Hoa Kỳ, nhưng cụm từ mà nó viết tắt có bốn biến thể phổ biến dựa trên cá nhân và nhận dạng viết thành tính từ hay trạng từ. Không phải tất cả đều tương đương, và vì mục đích pháp lý, các định nghĩa hiệu quả khác nhau tùy thuộc vào quyền tài phán và mục đích sử dụng thuật ngữ này. ^[a] Theo chế độ bảo vệ dữ liệu của châu Âu và các quốc gia khác, chủ yếu tập trung vào Quy định bảo vệ dữ liệu chung, thuật ngữ "dữ liệu cá nhân" - personal data rộng hơn đáng kể và xác định phạm vi của chính quyền quản lý.^[4]

Ấn phẩm đặc biệt của Viện Tiêu chuẩn và Công nghệ Quốc gia 800-122 ^[5] định nghĩa thông tin nhận dạng cá nhân là "mọi thông tin về một cá nhân được duy trì bởi một cơ quan, bao gồm (1) bất kỳ thông tin nào có thể được sử dụng để phân biệt hoặc theo dõi danh tính của một cá nhân, như tên, số an sinh xã hội, ngày và nơi sinh, tên thời con gái của mẹ hoặc hồ sơ sinh trắc học và (2) bất kỳ thông tin nào khác có liên quan hoặc liên kết với một cá nhân, như thông tin y tế, giáo dục, tài chính và việc làm. " Vì vậy, ví dụ, địa chỉ IP của người dùng không được phân loại là PII, nhưng được phân loại là PII được liên kết.^[6] Tuy nhiên, tại Liên minh Châu Âu, địa chỉ IP của thuê bao Internet có thể được phân loại là dữ liệu cá nhân.^[7]

Khái niệm về PII đã trở nên thịnh hành khi công nghệ thông tin và Internet đã giúp việc thu thập PII dễ dàng hơn dẫn đến một thị trường có lợi trong việc thu thập và bán lại PII. PII cũng có thể bị bọn tội phạm khai thác để theo dõi hoặc đánh cắp danh tính của một người, hoặc để hỗ trợ cho việc lập kế hoạch cho các hành vi tội phạm. Để đối phó với các mối đe dọa này, nhiều chính sách bảo mật của trang web đặc biệt đề cập đến việc tập hợp PII,^[8] và các nhà lập pháp như Nghị viện châu Âu đã ban hành một loạt luật pháp như Quy định bảo vệ dữ liệu chung (GDPR) để hạn chế phân phối và khả năng truy cập của PII.^[9]

Thông tin nhận dạng cá nhân là một khái niệm pháp lý, không phải là một khái niệm kỹ thuật và nó không được sử dụng trong tất cả các khu vực pháp lý. Do tính linh hoạt và sức mạnh của các thuật toán nhận dạng lại hiện đại,^[10][11][12] sự vắng mặt của dữ liệu PII không có nghĩa là dữ liệu còn lại không xác định được các cá nhân. Mặc dù một số thuộc tính có thể không được nhận dạng duy nhất theo cách riêng của chúng, bất kỳ thuộc tính nào cũng có thể có khả năng xác định kết hợp với các thuộc tính khác.^[13][14] Những thuộc tính này đã được gọi là định danh gần đúng hoặc định danh giả.^[15][16] Mặc dù dữ liệu đó có thể không cấu thành PII tại Hoa Kỳ, nhưng rất có khả năng vẫn là dữ liệu cá nhân theo luật bảo vệ dữ liệu của Châu Âu.^[4]