Hot Giảm GiáPII (Thông tin định danh cá nhân)
Thông tin định danh cá nhân (PII) là những thông tin có thể giúp định danh trực tiếp hoặc gián tiếp một cá nhân nào đó.
Mục lục
Định danh trực tiếp
Dưới đây là các loại PII trực tiếp định danh một cá nhân:
| Loại PII | Ví dụ |
|---|---|
| Họ và tên | Kavita Hawkins |
| Số An sinh xã hội (hoặc số Căn cước công dân) | 123-45-6789 |
| Dữ liệu sinh trắc học |
 |
Định danh gián tiếp
Tên hoặc dấu vân tay là những PII mà ta thường gặp nhất. Tuy nhiên, không phải lúc nào PII cũng ở dạng thông tin trực tiếp như vậy.
Ví dụ, ta có số điện thoại sau:
(408)-930-0
Nếu chỉ biết một số điện thoại ngẫu nhiên, có lẽ ta sẽ không thể ngay lập tức tìm ra chủ nhân của số điện thoại đó. Tuy nhiên, nếu đây là số điện thoại có trong sổ danh bạ, thì ta hoàn toàn có thể truy ra danh tính của người sở hữu.
Như vậy, khi số điện thoại được lưu trong danh bạ, ta có thể gián tiếp định danh một ai đó.
Ví dụ này cho ta thấy một tính chất nổi bật của PII: PII có thể liên kết các dữ liệu từ các nguồn khác nhau để định danh một cá nhân nào đó.
Dưới đây là một vài ví dụ về PII gián tiếp mà ta thường thấy:
| Loại PII | Ví dụ |
|---|---|
| Tuổi | 25 |
| Dân tộc | Anh-điêng |
| Địa chỉ | Số 116, phố Broadway, thành phố New York, NY, 10027 |
| Dữ liệu chăm sóc y tế | Ngày khám: 13/03/2020, Chẩn đoán: Cúm |
Thông tin nào được xem là PII?
Nhận biết thông tin nào là PII không phải là một công việc dễ dàng. Chẳng hạn, ta có địa chỉ IP. Hiểu theo cách đơn giản thì địa chỉ IP giống như thông tin về nơi máy tính cư trú, giúp xác định các thiết bị trên mạng và có vai trò đặc biệt quan trọng trong việc gửi và nhận thông tin. Nhiều ý kiến cho rằng địa chỉ IP không phải là PII, vì địa chỉ IP chỉ nhận diện máy chủ, không phải người dùng. Nhưng cũng có quan điểm cho rằng, địa chỉ IP có thể được coi là PII gián tiếp, vì từ địa chỉ PII, ta có thể xác định thông tin về vị trí địa lý và liên kết với các dữ liệu khác để định danh người dùng. Như vậy, phương pháp để phân loại chính xác mỗi thông tin sẽ thuộc loại thông tin nào vẫn còn chưa rõ ràng.
Thậm chí, nếu một dữ liệu không được coi là PII ở thời điểm hiện tại, thì dữ liệu đó vẫn có thể được xem là PII trong tương lai. Giả sử trong tương lai, chính phủ ban hành luật quy định mỗi cá nhân chỉ sở hữu một bộ địa chỉ IP, thì những địa chỉ IP đó sẽ trở thành PII trực tiếp định danh người dùng. Tóm lại, kết quả phân loại dữ liệu theo dạng PII có thể thay đổi theo thời gian.
Tính liên kết giữa các PII cũng khiến cho quá trình phân loại trở nên phức tạp hơn. Chẳng hạn, ta có thể sử dụng thời gian đăng bài được ghi trong các bài đăng trên mạng xã hội của một cá nhân, từ đó suy đoán người đó sống ở múi giờ nào. Nếu người đó đăng ảnh chụp một nhà hàng mà họ từng dùng bữa, ta có thể kết hợp sử dụng thông tin về múi giờ để xác định vị trí của nhà hàng. Đến đây, ta có thể đã hình dung ra phần nào về nơi họ sống và họ là ai! Tất cả chỉ thông qua việc liên kết thông tin giữa bức ảnh chụp nhà hàng với thời gian trên các bài đăng.
🤔 Ở ví dụ trên, bạn nghĩ PII gián tiếp là bức ảnh chụp nhà hàng hay thời gian có trên bài đăng? Hãy thử lấy những ví dụ khác về PII trực tiếp và PII gián tiếp nhé?
Đánh cắp PII
Những kẻ tấn công mạng có thể lấy cắp PII từ các công ty và hành vi này được gọi là vi phạm dữ liệu.
Năm 2017, công ty tín dụng tiêu dùng Equifax đã trở thành nạn nhân của một vụ vi phạm dữ liệu. Những kẻ tấn công đã truy cập vào PII, bao gồm số an sinh xã hội và số tài khoản, của 143 triệu người Mỹ.
Khi những kẻ tấn công truy cập vào nguồn dữ liệu đó, chúng có thể sử dụng số an sinh xã hội để mạo danh người khác hoặc dùng tài khoản ngân hàng để mua hàng trái phép.
Vậy làm thế nào để bạn biết dữ liệu của mình có từng bị rò rỉ hay không? Khi các công ty và tổ chức mà bạn sử dụng dịch vụ gặp sự cố liên quan đến vi phạm dữ liệu, họ có thể sẽ thông báo cho bạn biết. Bạn cũng có thể sử dụng dịch vụ như HaveIBeenPwned để xem thông tin của mình đã bị lộ trên Internet hay chưa.
Dưới đây là một ví dụ về cách sử dụng HaveIBeenPwned để kiểm tra xem địa chỉ email của bạn đã bị lộ hay chưa. Bạn sẽ điền địa chỉ email vào ô trống rồi bấm vào nút “pwned?” để kiểm tra. Nếu email của bạn đã bị lộ, trang sẽ hiện ô trạng thái màu đỏ sậm và dòng thông báo: “Oh no – pwned”.
Quy định của pháp luật về PII
Khi PII rơi vào tay kẻ xấu, điều đó có thể gây tổn hại lớn đến chủ sở hữu thông tin. Do đó, các nước đã đưa ra các quy định về cách các công ty và tổ chức lưu trữ và xử lý PII.
Chẳng hạn, ở Mỹ, Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA) đưa ra các quy định đối với PII trong lĩnh vực y tế, trong khi Đạo luật bảo vệ quyền riêng tư của trẻ em trên mạng (COPPA) đưa ra các quy định về PII của trẻ em. Ở châu Âu, hầu hết các dạng PII đều được lưu trữ và xử lý theo Quy định chung về việc bảo vệ dữ liệu (GDPR). Nếu bạn phát triển một trang web hoặc một ứng dụng có sử dụng PII của người dùng, trong đó có những người dùng đến từ các quốc gia có áp dụng của các quy định và điều luật trên, thì bạn buộc phải tuân thủ các quy định và điều luật đó.
Khuyến nghị
Bạn chỉ nên cung cấp PII cho các dịch vụ trực tuyến khi điều đó là thực sự cần thiết. Hãy lưu ý rằng trong đa số trường hợp, bạn không cần phải cung cấp các mã định danh do chính phủ cấp, chẳng hạn như số an sinh xã hội hay căn cước công dân.
Chúng ta cũng nên cẩn thận khi đăng bài trên mạng xã hội. Mặc dù thông tin về các bài đăng của ta hiện chưa được phân loại cụ thể là PII, nhưng trong tương lai, các thông tin này vẫn có thể trở thành PII gián tiếp định danh chúng ta.
Bài tập ứng dụng:
Bài 1: Bảo Linh đăng tải một video về khu vực xung quanh nhà của mình lên YouTube.
Video đăng tải có thể được dùng như PII theo cách nào?
Bài 2: Một kỹ sư phần mềm đang phát triển một chatbot có thể thảo luận với con người về chủ đề chính trị. Kỹ sư này lo ngại rằng kẻ xấu có thể đột nhập vào cơ sở dữ liệu để biết quan điểm chính trị của người dùng. Do đó, anh ấy không muốn lưu trữ bất kỳ PII nào trong cơ sở dữ liệu.
Thông tin nào dưới đây ít có khả năng được xem là PII nhất?
Bài 3: Lan Nhi tải một trò chơi có tên Kandy Krush từ App Store. Trò chơi này nhắc bạn ấy phải nhập số Căn cước công dân (CCCD) trước khi chơi. Lan Nhi không biết có nên cung cấp thông tin này cho trò chơi hay không nên đã xin lời khuyên từ bạn của mình.
Đâu là lời khuyên phù hợp dành cho Lan Nhi?
