什么是PII？如何在 2025 年保护个人身份信息

个人身份信息（PII） 是指可以识别特定个人的任何数据。到2025年，随着AI增强的分析、数据收集的扩展和数字互连的提高，PII的敏感性和风险状况显着提高。

网络犯罪分子以PII为目标进行身份盗窃、社会工程和欺诈。本指南介绍了当今的PII、其安全的最新威胁，以及组织如何跨内部系统和第三方网络保护这些信息。

2025年哪些被视为PII？#

PII 包括直接标识符和间接标识符。它还可以涵盖上下文相关的数据，这些数据在与有关个人的其他信息相结合时可以识别个人。

个人身份信息的常见示例：

• 真实姓名
• 电子邮件地址
• 身份证号码
• 社会安全号码 （SSN）
• 护照或驾驶执照号码
• 电话号码
• 银行或信用卡号
• 生物特征数据（指纹、面部识别）
• 地理位置数据

欧盟的《通用数据保护条例》（GDPR）、加利福尼亚州的《消费者隐私权法案》（CPRA） 和巴西的 LGPD 等现代数据隐私法律和法规扩大了个人数据的范围。当行为数据（例如浏览历史记录和购买模式）可以合理地与个人相关联时，它越来越多地属于 PII 类别。当与个人相关联时，IP 地址和设备标识符也可能符合条件。

数据控制者和数据处理者在管理 PII 的收集、存储和共享方式方面都扮演着特定的角色。控制者定义数据处理的目的和方式，而处理者代表控制者处理数据。每个处理 PII 的组织都必须考虑其在这些定义下的责任。

为什么 PII 是网络犯罪分子的首要目标？#

PII 对犯罪分子很有价值，因为他们可以通过多种方式将其货币化。威胁行为者可以在暗网上出售它 ，将其用于身份盗窃和帐户接管，或针对个人和公司精心策划令人信服的网络钓鱼活动。

PII 盗窃的主要动机包括：

• 未经授权访问金融账户
• 提交欺诈性纳税申报表或保险索赔
• 创建合成身份
• 进行间谍活动或出于政治动机的目标

PII 与泄露的凭据、生物识别数据或健康记录相结合，增加了其价值和风险。合法和恶意的数据经纪人使用敏感信息来构建详细的数字档案，这些档案通常在用户不知情的情况下转售。平台和合作伙伴之间的数据共享通常对数据主体的可见性最低。

2025 年对 PII 的威胁#

随着技术的发展，威胁行为者会更新他们的技术和程序。泄露 PII 的主要方法包括：

• 驱动的公开可用数据抓取，包括简历、社交媒体和在线目录
• 涉及员工不当处理或窃取客户信息的内部威胁
• 第三方泄露，当黑客入侵持有敏感数据的供应商时
• 物联网 （IoT） 和移动设备跟踪，用于公开行为和地理位置数据
• 基于 Deepfake 的社会工程，黑客可以利用窃取的 PII 来冒充高管或客户

云服务提供商和其他云提供商增加了另一层复杂性。组织必须实施安全控制，以便在数据跨环境移动时保护数据。必须调整持续监控、身份管理和事件响应计划，以保护敏感数据免受这些复杂的攻击。

保护 PII 需要一种多层次的方法，该方法结合了治理、技术和员工意识。它必须符合数据保护原则，并坚持遵守地区数据保护法律。

关键控制措施包括：

• ​数据分类：跨系统明确定义和标记 PII
• ​静态和传输中加密：确保未经授权的用户无法读取敏感数据
• 访问控制和最低权限：根据角色、时间和必要性限制数据访问
• ​数据丢失防护（DLP） ​：使用 DLP 工具检测和阻止未经授权的数据移动
• ​安全意识培训：教员工如何安全地处理、存储和共享 PII

制定包括数据泄露遏制、通知和恢复步骤的事件响应计划也至关重要。这些保护措施必须扩展到处理数据并支持人工和自动化工作流程的系统。

数据保护官 （DPO） 在确保这些活动符合全球数据隐私法律和法规方面发挥着关键作用。

跨第三方管理 PII#

组织很少在内部管理所有 PII。供应商、合作伙伴和服务提供商经常代表企业处理个人数据，这造成了更广泛的攻击面。管理第三方风险管理对于保护互连环境中的数据至关重要。

最佳做法包括：

• 在加入之前进行供应商安全评估
• 要求履行数据保护和违规通知的合同义务
• 持续监控第三方网络卫生
• 审核数据流以了解 PII 在何处以及如何在外部处理
• 要求遵守法规并证明已完成数据保护影响评估

这些步骤有助于降低与数据共享、影子 IT 和非托管数据移动相关的风险。

2025 年 PII 的监管环境#

相关框架包括：

• ​GDPR：要求数据最小化、同意、泄露通知以及对组织如何保护数据负责
• ​加利福尼亚州的 CPRA ：增加敏感的 PII 类别和执行机制
• ​NIST 800-53 Rev. 5：为联邦和企业环境提供详细的控制
• ​ISO/IEC 27701：ISO 27001 的隐私扩展，重点关注 PII 控制器和处理者

维护数据保护影响评估文档并明确定义数据保护官的角色是成熟合规策略的一部分。违规行为可能会导致法律风险、罚款和业务中断。

PII 泄漏如何影响业务弹性#

除了合规性之外，个人数据处理不当还会损害信任、侵蚀客户忠诚度并引发下游事件。涉及个人数据的数据泄露通常会导致：

• 通知费用和法律责任
• 监管审计和结算
• 合同或客户损失
• 负面媒体报道和声誉损失

组织必须构建数据安全计划，将 PII 保护视为一项战略业务需求，而不仅仅是一个清单。正确处理敏感信息可以建立长期弹性。

零信任模型中的 PII 保护#

零信任架构对于在混合和多云环境中保护 PII 越来越重要。仅靠它无法阻止所有攻击。但它不假定隐式信任，并且需要在每个接入点进行验证。

关键的 Zero Trust 控制措施包括：

• 使用多重身份验证 （MFA） 进行身份验证
• 敏感数据环境的微分段
• 确保只有受信任的终端节点连接
• 持续监控异常访问模式

这些措施可以保护数据，防止横向移动，并更早地检测恶意行为。它们在跨第三方网络处理数据或在云平台中存储敏感数据的环境中特别有效。

构建面向未来的 PII 保护策略#

随着个人身份信息的定义和价值不断发展，旨在保护它的数据保护策略也必须不断发展。通过强大的第三方风险管理、治理和安全性投资于保护 PII 的组织可以建立信任和弹性。

使用 MAX提升您的网络安全战略 利用 SecurityScorecard 的 MAX 获得对第 n 方生态系统的无与伦比的可见性。我们的托管服务不仅可以识别漏洞，还可以提供补救支持，确保您的供应链保持安全和合规。

原文链接