一、PII—數據隱私的核心概念解析

在大多數數據隱私法律中，可識別個人信息（PII, Personally Identifiable Information）是指任何可以用來識別個人身份的信息。然而，PII 的定義并非由單一法律統一規定，不同國家和地區的法律對其定義略有差異：

各國對 PII 的定義

• 美國

  2020 年，美國政府將 PII 定義為任何可以“用于區分或追蹤個人身份”的信息，例如姓名、社會安全號碼（SSN）、生物識別信息等。

• 歐盟（GDPR）

  任何與已識別或可識別自然人相關的信息，包括姓名、身份證號、位置數據、在線標識符，或與該人身體、生理、基因、心理、經濟、文化或社會身份相關的因素。

• 墨西哥

  與歐盟類似，強調通過身份證號或其他身份特征識別個人。

• 加拿大

  任何關于可識別個人的信息。

• 中國（PIPL）

  中國《個人信息保護法》強調保護個人信息，防止數據泄露，明確了處理個人信息的合法性、必要性和透明性。

---

二、為什么我們要保護 PII？

保護 PII 不僅是法律要求，更是企業責任。若未能合規處理 PII，可能面臨高額罰款、法律訴訟以及聲譽損失。

數據泄露的代價

根據 IBM《2023 年數據泄露成本報告》，一次數據泄露的平均成本高達 513 萬美元。以下是一些典型案例：