跳至主內容

什么是可识别个人身份信息(PII)?

個人資訊的概念。

每当你开设账户、进行购物或下载应用,你都会分享一些关于自己的信息。其中部分数据看似无害,但如果落入不法分子之手,其他细节可能被用来核验你的身份、访问你的账户,甚至实施欺诈。

了解哪些信息让你面临风险以及它们如何被滥用,是保护你数字身份的第一步。当你知道该留意什么时,就更容易降低暴露面,掌控你的个人数据。

要点速览:

  • PII 包括姓名、社会安全号码等显性信息,也包括位置历史或设备标识符等间接数据。
  • 有些 PII 可直接识别你,而另一些数据在被关联后才具备识别性。
  • PII 一旦曝光,可能导致身份盗用、欺诈、网络钓鱼以及账户被接管。
  • 企业应根据隐私与数据保护法律谨慎处理 PII。
  • 你可以通过减少分享并加固账户来降低风险。人们也会监测其是否被滥用。

什么是可识别个人身份信息(PII)?

可识别个人身份信息(PII)是指可用于直接或间接识别个人的任何信息。

这些数据可能是某一人的特定信息,例如社会安全号码;也可能是“准标识符”,即出生地与出生日期等不同的通用数据片段,组合后即可识别个人。

PII 的范围从姓名和 ID 号码,到电子邮件地址、IP 地址以及位置信息。了解曝光风险以及应如何保护或将 PII 从互联网上移除非常重要。

可识别个人身份信息有哪些示例?

PII 包括所有可以识别你的信息。有些数据点单看似乎无害,但如果组合在一起,就能迅速缩小身份范围。卡巴斯基的研究显示,在数据泄露中,PII 是最常被曝光的数据之一,约占43%的案例,凸显了此类数据经常处于风险之中。

信息图显示:43%的数据泄露会暴露可识别个人身份信息,并配有代表身份与金融数据的图标。

直接标识符

直接标识符无需额外背景即可明确指向特定个人。包括:

  • 信用卡详情
  • 社会安全号码
  • 驾驶证号码
  • 护照号码与信息
  • 银行账户信息
  • 医疗记录
  • 生物特征数据及指纹、人脸识别数据等标识符

一旦曝光,这类信息可能迅速导致身份盗用或金融欺诈。

间接(准)标识符

间接或准标识符可能不那么显眼。包括:

  • ZIP 代码
  • 种族
  • 宗教信仰
  • 性别
  • 出生日期
  • 出生地
  • 全名
  • 就业信息与履历
  • 教育详情
  • 电子邮件地址或邮政地址
  • 电话号码
  • 母亲婚前姓氏
  • 个人履历信息——例如父母、兄弟姐妹、伴侣与子女的详情
  • IP 地址与在线收集的设备相关标识符

这些细节看似常规,但将它们关联起来,可能揭示超出预期的信息并提升风险。

信息图展示两类 PII:直接标识符如护照、生物特征与金融数据;以及间接标识符如位置、出生日期与电子邮箱。

PII 在医疗领域指什么?

在医疗场景中,PII 往往被称为受保护的健康信息(PHI)。根据美国等国家的相关法律(如 HIPAA),PHI 包括可与特定个人关联的医疗或健康相关数据。

PHI 通常将基础的 PII(姓名或出生日期)与医疗细节(如诊断、治疗记录、处方或保险信息)相结合。连接这些要素可呈现出关于个体的大量信息。

对患者而言,这可能涉及在线门户、保险理赔、预约系统与账单记录。由于健康数据具有私密且长期有效的特性,保护 PHI 对于预防身份盗用或医疗记录被滥用至关重要。

敏感与非敏感 PII 有何区别?

关键在于影响程度。敏感性取决于信息曝光后可能造成的危害大小。

敏感的 PII 可能直接导致身份盗用或金融欺诈。非敏感的 PII 单独看似无害,需与其他数据配合才能精准定位身份。

护照或驾驶证号码被视为敏感信息,单独曝光即可能带来危害。你的就业或教育经历则属于非敏感 PII 的示例。

即便是“非敏感”数据,关联起来也可能变得危险。例如,姓名加上出生日期与位置即可迅速缩小身份范围。又如,单独一个 IP 地址或许无法明确指名某个人,但若与登录记录和设备指纹关联,就可能指向特定用户。

为什么犯罪分子会瞄准可识别个人身份信息?

犯罪分子之所以瞄准 PII,是因为它可被用于多种形式的欺诈与账户接管。

被盗信息可能被直接用来访问金融账户或重置密码;也可能被打包后在暗网出售或交易,由他人实施骗局。对骗子而言,PII 价值极高。

对受害者来说,后果可能包括经济损失以及诸如信用受损等长期问题。找回账户与身份可能是一个漫长而艰难的过程。

PII 是如何被盗的?

PII 通常通过日常渠道而非复杂入侵被盗取。

最常见的途径是网络钓鱼短信钓鱼。伪造的电子邮件或短信会要求你点击链接或确认信息,但实则是在窃取你的详细信息以供使用或转售。社会工程骗局也类似,借助压力与紧迫感诱使你直接分享信息。

数据泄露与恶意软件攻击是另一大来源。企业遭黑客入侵时,其客户的重要账户详情可能被批量曝光。即便是全球知名公司也会发生。例如,近期某款 PayPal 贷款应用的代码错误,曾让一些客户数据长时间处于曝光状态

PII 也可能因设备丢失或不安全的公共 Wi‑Fi 而被曝光。不安全的连接可能让攻击者访问已登录的账户与已保存的凭据。

需要警惕的红旗信号:

  • 要求紧急确认账户或付款信息的消息
  • 索要一次性验证码或密码的请求
  • 未设置密码的不安全公共 Wi‑Fi 网络
  • 意外的扣费或登录通知

你也应留意(来自可靠来源的)涉及你所用服务的数据泄露新闻。

保护你的敏感数据

Kaspersky Premium 提供多种旨在保护你 PII 的工具,包括通过加密文件、使用安全密码来保护敏感数据的工具,以及使用安全的 VPN 以保持连接私密。

免费试用 Premium

有哪些法律保护可识别个人身份信息?

全球有多部法律旨在保护个人数据,并赋予个人对其信息的特定权利。各国会就此类数据制定本国法律,但可能沿用相同的框架。

  • GDPR(通用数据保护条例)赋予 EU 内的个人访问、更正和请求删除其个人数据的权利。
  • CCPA/CPRA(加州消费者隐私法与加州隐私权法)允许加州居民知悉被收集的数据,并请求删除或禁止出售。
  • 1974 年《隐私法》规范美国联邦机构如何收集与使用个人信息。
  • HIPAA(健康保险携带与责任法案)保护由医疗服务提供者与保险方处理的健康相关信息。
  • PCI DSS(支付卡行业数据安全标准)为处理信用卡数据的公司设定安全要求。
  • PDPA(新加坡个人数据保护法)对新加坡的数据收集、使用与披露设定规则。
  • POPIA(南非《个人信息保护法》)规定对个人数据进行合法处理的条件。
  • PDPL(沙特阿拉伯《个人数据保护法》)于2024年全面生效,在沙特境内规定数据保护权利与义务。

如何保护你的可识别个人身份信息?

保护你的 PII,既要减少其暴露量,也要让攻击者更难利用他们获得的信息。你可以采取多种简单方法来应对账户接管与身份滥用。

加强账户安全

为每个账户使用强且唯一的密码,并将其存储在密码管理器中以增强安全性。在可能的情况下启用多因素认证,以增加一层保护。

务必通过泄露警报检查是否存在外泄凭据,并迅速更改被曝光的密码。

限制在线分享

检查你的社交媒体隐私设置,移除不必要的公开信息——仔细考虑你真正愿意公开的内容。避免发布完整生日、家庭住址或实时位置。

对任何鼓励你分享信息的内容保持警惕。这可能包括类似安全问题的测验或帖子。它们可能是专为收集你信息而设计的骗局。

保护设备与连接

使用安全设置与相关技术,确保获得尽可能充分的保护。建议保持设备及时更新,并启用屏幕锁与内置加密。

我们也建议你在公共 Wi‑Fi 上使用 VPN,以降低被拦截的风险。公共连接自带风险。

减少跟踪与数据收集

跟踪同样威胁你的信息安全。调整隐私设置并限制第三方 Cookie,以减少对你的网络连接和设备细节的跟踪。审查应用权限,禁用不必要的跟踪或可能危及数据的监控功能。

限制不需要位置权限的应用访问位置,以降低你的数据被跟踪并用于识别你的可能性。

专家还建议优化浏览器隐私设置——禁用第三方 Cookie、阻止网站跟踪、限制广告——并定期清理浏览记录(包括 Cookie 与缓存),删除不必要的扩展程序。

监测身份被滥用

保持警惕并为你的账户设置提醒常常很有价值。在银行与信用卡账户上启用交易提醒,以便及时了解消费。一并定期检查信用报告是否存在不明活动。在 US,三大信用机构 Experian、TransUnion 和 Equifax 可免费提供报告。

如需持续监督你的信息,身份监测或清理服务可提供额外的可视性。

如何从互联网上移除你的个人信息?

在网上移除 PII 是可行的,但这可能是一个过程,而非一次性解决。目标是在最重要的地方降低曝光。

首要建议包括:

  • 删除或停用未使用的账户。早年的论坛网站与应用常常存有你已不再需要在线保留的个人细节。社交媒体平台可能保存大量信息。尽可能从这些平台移除你的数据。
  • 收紧社交媒体隐私设置。限制可查看你资料的人群与可公开的信息。移除电话号码或完整出生日期等个人细节。
  • 提出移除请求。要求网站所有者删除关于你的过时或不必要信息。在适用情况下,你也可以请求从搜索引擎结果中移除某些个人信息。
  • 选择退出数据经纪商。许多公司会收集并转售个人数据。你可以直接提交退出请求,或在你的信息被广泛列示时使用值得信赖的移除服务。
  • 定期回查你的 PII 在线存在。个人信息可能随着时间再次浮现。与其一次性清理就置之不理,定期审查与清理至关重要。

如果你的 PII 被曝光该怎么办?

如果你的 PII 被曝光,尽量保持冷静。优先采取能限制进一步访问、降低财务损失的措施。

  • 先保护你的账户。更改密码,尤其是电子邮件账户密码。在可能的情况下启用多因素认证(MFA)。
  • 检查是否存在未授权活动。审查账户登录与近期交易,以及安全设置是否被更改。
  • 联系你的银行或发卡机构。报告可疑扣费,并咨询可采取的额外保护措施。
  • 必要时冻结信用。信用冻结可在你保护好数据之前,阻止以你的名义开立新账户。
  • 监测账单与提醒。持续关注金融与账户活动,以防持续被滥用。
  • 报告身份盗用。例如,在 UK,你可以很方便地向警方的 Prevent Fraud 部门报案,或致电 0300 123 2040。

谨防后续骗局。攻击者有时会在泄露事件后冒充“恢复”服务或安全团队。分享更多信息前务必独立核实。

延伸阅读:

推荐产品:

FAQ

IP 地址是否被视为 PII?

单独来看,IP 地址可能无法直接识别个人,但当与其他数据或账户记录关联时,它就可能构成可识别个人身份信息。

PII 与个人数据有什么区别?

PII 是常用来描述可识别信息的术语。“个人数据”是法规(如 GDPR)中使用的更广泛概念,可能涵盖更多类型的数据。

PII 与 PHI 有什么区别?

PII 涵盖一般的身份识别信息。PHI 专指与个人相关联的健康类信息,并受诸如 HIPAA 等法律保护。

能否将你的 PII 从互联网上彻底删除?

完全删除很少可能。持续监测与定期清理往往是更现实的做法。

什么是可识别个人身份信息(PII)?

什么算作PII?了解哪些个人数据让你面临风险、它们如何被曝光,以及你可以采取哪些步骤来保护你的在线信息。
Kaspersky 標誌

相關文章: