根据 GDPR,性别是否被视为 PII(个人身份信息)?

信息安全 国内生产总值 pii
2021-09-03 18:21:13

由于 GDPR 正在改变一切,我正在对我们的网站/流程进行一些更改。

我在 UX(英国)的电子商务部门工作,并通过某些活动为营销团队提供支持。

我的问题是,个人的性别是否算作 PII?

我们将性别作为 JavaScript 变量存储在数据层中,该变量保存在我们自己的业务中,然后我们可以选择将这些变量传递到测试平台,以根据这些变量的存在来定位个人。由于我不是法律/数据类型的人,我不能 100% 确定我们是否存储并有办法将一个人的性别(从他们创建帐户时获得的信息中提取)传递给第三方,我们违反了任何类型的信息安全协议?

如果这取决于公司政策等,那么请告诉我,我会结束这个问题,因为它不适合这里。

2个回答

GDPR 中提到的个人数据的定义:

“个人数据”是指与已识别或可识别的自然人(“数据主体”)相关的任何信息;可识别的自然人是可以直接或间接识别的人,特别是通过参考诸如姓名、身份证号、位置数据、在线标识符或特定于身体、生理、该自然人的遗传、心理、经济、文化或社会身份;

正如您所说,您使用变量的存在来定位个人,性别肯定间接引用了某人的身份,因此是个人数据。但是,这并不意味着您必须停止在您描述的上下文中处理性别。

从风险的角度来看(这就是 GDPR 的全部内容),如果您只分享性别,我认为没有问题 - 这实际上是假名,因为您不提供任何其他直接识别数据。

但是,您确实有其他义务,包括透明度原则、将处理活动纳入您的处理寄存器、确定处理的法律依据(并采取相应行动)、确定与您的第三方的处理器-控制器关系以及在合同中包含必要的条款等。要确定这一切,需要的信息比您在问题中提供的信息要多得多,我强烈建议您寻求(法律)专业建议以在此问题上为您提供支持。

TLDR:可能

来自https://www.seobyrvc.com/what-is-personally-identifiable-information-pii/

以下是“潜在个人身份信息”的示例。也就是说,数据元素本身不能链接到特定的人,但是当与其他信息(例如上面的项目 1 到 11)结合时,它们可以。

  1. 持久标识符,例如保存在“cookie”中的通用客户/用户值
  2. IP(互联网协议)地址或主机名
  3. 出生日期、年龄
  4. 种族或民族背景
  5. 宗教信仰
  6. 性别
  7. 身高体重
  8. 婚姻状况
  9. 就业信息
  10. 医疗信息
  11. 财务信息
  12. 信用信息
  13. 学生信息

根据站点访问者的浏览器设置,cookie(第 12 项)是小型文本文件,存储在访问者的本地驱动器上,并在其浏览器和托管所访问站点的服务器之间传输。

这里的重点是,作为独立信息,这些数据元素不是 PII。他们有可能成为 PII。当它们与其他更具体的数据结合在一起时,它们就变成了 PII,这些数据总体上可以识别一个特定的人。

例如,没有特定个人链接的完整信用报告不是 PII。这只是匿名的信用信息。然而,即使信用报告可能没有一个人的名字和姓氏,如果它包含足够的信息来识别特定的人(即出生日期 + 性别 + 种族 + 邮政编码 + IP 地址),它也符合以下定义:个人身份信息。