什么是個人身份識別符
個人信息保護法中對個人信息的定義是:以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息绸贡,不包括匿名化處理后的信息纯露。意思也就是能關(guān)聯(lián)回到具體某個自然人的信息,而要能實現(xiàn)這個關(guān)聯(lián)毯侦,就需要個人身份標識符毡熏。它既可以是強標識符(Strong identifiers),? 比如身份證號,護照號浪规,人臉這種和自然人對應關(guān)系是1:1的標識;也可以是弱標識符(weak identifiers)探孝,比如住址,出生日期等和自然人是一種1:N的關(guān)系誉裆,但它通過和其他信息相結(jié)合(比如:年齡+住址)才能進一步精準1:1識別個人顿颅。
強標識符也可被稱為直接標識符(direct identifiers),弱標識符對應被稱為間接標識符(indirect identifiers)
常見強標識符:姓名足丢,手機號碼粱腻,郵箱地址,身份證號斩跌,銀行賬號绍些,社交媒體賬號
常見弱標識符:年齡,性別耀鸦,出生日期柬批,住址,公司袖订,職位氮帐,婚姻狀態(tài),IP地址洛姑,設備號上沐,車牌號,GPS地址
//在這里可以看到用戶跟蹤時常采集的各類標識符
個人身份標識符的使用場景
個人標識符的應用場景主要有三個楞艾。一是用于系統(tǒng)執(zhí)行權(quán)限控制参咙,限制用戶能訪問的資源龄广; 二是用于證明某人實際執(zhí)行了某個具體的行動或產(chǎn)生了某類數(shù)據(jù);三是用于數(shù)據(jù)融合蕴侧,為用戶提供個性化的體驗蜀细。為了支持這三個場景,都需要進行身份驗證戈盈,先將信息關(guān)聯(lián)到具體某個自然人奠衔。
認證機制所使用的信息可以分為四類
1、What you know
你知曉的個人信息情況塘娶,比如說用戶名/密碼的組合
2归斤、What you have
你控制的用戶設備,比如門禁卡刁岸,令牌卡脏里,手機,專用的電腦
3虹曙、 Where you are
你所處的位置迫横,比如說你是通過IP地址發(fā)現(xiàn)你是公司內(nèi)網(wǎng)登陸系統(tǒng),那證明了你在公司管控區(qū)域內(nèi)
4酝碳、What you are
? ? ? 指的是個人生物信息矾踱,象人臉,指紋疏哗,聲紋等個人獨有的信息
其中第一和第二類信息是最常用呛讲,同時也是安全系數(shù)最低的一類,因為用戶名密碼或者門禁卡都容易被盜取返奉。第三類信息是弱標識符贝搁,無法實現(xiàn)1:1關(guān)聯(lián)回個人。第四類個人生物信息因為不可修改芽偏,安全系數(shù)最高雷逆,但它作為敏感信息,存儲后對個人的隱私危害風險高污尉,要求數(shù)據(jù)存儲有額外的保護機制膀哲。
現(xiàn)在主流的認證方式都是多因子認證(MFA),即要求用戶同時提供如上信息中的多種組合十厢,比如用戶名密碼登陸后等太,還要求輸入tokenID,或者輸入手機驗證碼蛮放。請注意用戶名/密碼 + 安全問題答案的組合缩抡,其實是不滿足MFA的。
留一個小問題和大家討論,象百度網(wǎng)盤桌面訪問時使用的app掃碼登陸和短信登陸瞻想,是否是滿足MFA的呢压真?
歡迎繼續(xù)閱讀下一章 數(shù)據(jù)匿名化?的方法,步驟與風險應對蘑险。
參考資料:
CIPT官方教程 - 《An Introduction to Privacy for Technology Professionals》
