什么是个人识别信息?PII?
个人识别信息(即 PII)指与身份已识别或可识别的自然人(“数据主体”)有关的任何信息,包括 适用的当地法律定义的个人数据。可识别身份的自然人指可直接或间接识别其身份的人士,特别 是通过姓名、身份证号码、地址数据、网上识别特征之类的识别特征来识别其身份,或参照该自 然人在身体、心理、基因、精神、经济、文化或社会身份方面特有的一种或多种因素来识别其身份。
欧洲PII实行要求是哪些?
- 用户未经授权的隐私信息不得私自采集存储
- 用户有删除个人隐私诉求时,服务企业必须在整个系统实现一键删除,不得保留任何备份
- 用户在A国家授权X公司采集的隐私信息,不得传输到X公司在B国的数据库
- 企业内部系统交互不得明文传输用户隐私信息,用户隐私信息在内部系统交互时也必须是密文的
看到欧洲实行PII标准,中国目前还是建议实行,并没有强制执行,想想如果中国之后变成了强制执行,会有多少企业经历超级大重构....
如果要避免这样的超级大重构,那么我们现在需要未雨绸缪,我们要做好哪些准备工作呢?
- 让用户隐私数据统一保存在一个系统中,通过这个系统统一api查询,这样用户在诉求删除个人隐私的时候,我们才能做到一键Delete
- 隐私信息内部系统交互也必须是密文的,可以通过PII系统固定周期统一下发解密秘钥,当内部系统需要了解隐私信息明文的时候通过这个秘钥去解密,但是千万不要落地保存到自己数据库
- 一般的大公司都会各个国家都有分布,香港、太晚虽然说是中国,但是针对PII细则来说,他们的数据就是属于跨区域了哈,所以在大陆的公司也不能将隐私数据直接传输到香港、太晚公司直接落地到那里的数据库,如果那边公司需要共享这个隐私数据,那么操作和内部系统交互方式一样
- 总之关键一句话,用户在上海授权你获取的隐私信息,那么这个数据落地只能落地在上海的数据库,绝对不能落地到其他国家数据库
貌似阿里的淘宝和天猫已经很早开始未雨绸缪了,很多operapi已经明确标注了符合PII标准