每次你開立帳戶、購物或下載應用程式時,你都會分享一部分關於自己的資訊。有些資料看似無害;但若落入不當人士手中,其他細節可能被用來驗證你的身分、存取你的帳戶,甚至用於詐騙。
了解哪些資訊會讓你承受風險,以及它們如何被濫用,是保護你數位身分的第一步。當你知道該留意什麼時,就更容易降低曝光並掌控你的個人資料。
重點摘要:
- PII 包含明顯的細節,例如你的姓名與社會安全號碼,也包含間接資料,如位置記錄或裝置識別碼。
- 有些 PII 可直接識別你,另一些資料則在被串聯後才具識別性。
- 外洩的 PII 可能導致身分竊用、詐騙、網路釣魚與帳戶被奪取。
- 企業在隱私與資料保護法規下,應審慎處理 PII。
- 你可透過限制分享與強化帳戶安全來降低風險;人們也會監控是否被不當使用。
什麼是可辨識個人資訊(PII)?
可辨識個人資訊(PII)是指可用來直接或間接識別某個人的任何資訊。
這些資料可能是特定於某一個人的,例如社會安全號碼;也可能屬於「準識別碼」,即不同片段的一般性資料,如出生地與出生日期,合併後即可識別個人。
PII 範圍很廣,從姓名與 ID 編號,到電子郵件地址、IP 位址與位置資料。了解曝光風險,以及 PII 應如何被保護或自網際網路移除,十分重要。
有哪些可辨識個人資訊的例子?
PII 包含所有能識別你的資訊。有些資料點本身看似無害,但放在一起就能很快縮小身分範圍。Kaspersky 的研究顯示,可辨識個人資訊是外洩事件中最常被曝光的資料類型之一,約有 43% 的案例出現此類資料,凸顯這類資料經常處於風險之中。
直接識別碼
直接識別碼可在不需額外脈絡的情況下,明確指向特定個人。包含:
- 信用卡資料
- 社會安全號碼
- 駕照號碼
- 護照號碼與細節
- 銀行帳戶資訊
- 病歷紀錄
- 生物特徵資料與識別碼,例如指紋與人臉辨識資料
若遭外洩,這類資訊可能迅速導致身分竊用或財務詐欺。
間接(準)識別碼
間接或準識別碼較不明顯。包含:
- ZIP 代碼
- 種族
- 宗教
- 性別
- 出生日期
- 出生地
- 全名
- 就業資訊與經歷
- 學歷細節
- 電子郵件地址或郵寄地址
- 電話號碼
- 母親的婚前姓氏
- 人物簡介資訊——例如父母、手足、伴侶與子女的細節
- IP 位址與線上蒐集的裝置相關識別碼
雖然這些細節看似稀鬆平常,但將它們串聯起來,可能揭露超出預期的資訊並提高風險。
醫療照護領域的 PII 是什麼?
在醫療環境中,PII 常被稱為受保護健康資訊(PHI)。依照美國等地的 HIPAA 等法律,PHI 指可連結至特定個人的醫療或健康相關資料。
PHI 通常將基本的 PII(姓名或出生日期)與醫療細節(例如診斷、治療紀錄、處方或保險資訊)結合。這些片段一旦連結,就能提供很多關於個人的資訊。
對病患而言,這可能影響線上病患入口網站、保險理賠、預約系統與帳務紀錄。由於健康資料具高度個人性且長期有效,保護 PHI 對於防止身分竊用或醫療紀錄被濫用至關重要。
敏感與非敏感的 PII 有何差別?
差別在於影響層面。敏感度取決於一旦資訊外洩,可能造成的傷害程度。
敏感的 PII 可能直接導致身分竊用或財務詐騙。非敏感的 PII 本身看似無害,需仰賴其他資料才能精準識別身分。
護照或駕照號碼被視為敏感資料,若外洩本身就具傷害性。你的就業或學歷經歷則屬於非敏感的 PII 範例。
即使是「非敏感」資料,串聯後也可能變得危險。舉例來說,姓名加上生日與所在地,就能很快縮小身分範圍。另一方面,單一的 IP 位址或許不足以清楚指名某人,但若與登入紀錄與裝置指紋連結,就可能指向特定使用者。
為何犯罪分子鎖定可辨識個人資訊?
犯罪分子之所以鎖定 PII,是因為它可被用於各種詐騙與帳戶接管。
遭竊資訊可能被直接用來存取金融帳戶或重設密碼,也可能被打包後在暗網上販售或交易給其他詐騙者。對詐騙者而言,PII 極具價值。
對受害者來說,後果可能包含財務損失與如信用受損等長期問題。復原帳戶與身分可能是一段漫長且艱難的歷程。
PII 是如何被竊取的?
PII 通常是透過日常管道而非複雜駭侵被竊取。
最常見的途徑是網路釣魚或簡訊釣魚。假冒的電子郵件或簡訊要求你點擊連結或確認細節,實際上是竊取你的資料以供使用或轉售的手法。社交工程詐騙也以相同方式運作,透過施壓與製造緊迫感,誘使你直接分享資訊。
資料外洩與惡意程式攻擊是另一大來源。當企業遭到駭入,其客戶的重要帳戶細節可能被大規模曝光。這甚至可能發生在全球知名企業身上。例如,某款 PayPal 貸款應用的程式碼近期出錯,導致部分客戶資料遭曝光長達數月。
PII 也可能因裝置遺失或不安全的公共 Wi‑Fi 而曝光。未受保護的連線可能讓攻擊者存取已儲存的帳戶與憑證。
需留意的警訊:
- 要求你緊急確認帳戶或付款細節的訊息
- 要求分享一次性驗證碼或密碼的請求
- 未設密碼的不安全公共 Wi‑Fi 網路
- 莫名的扣款或登入通知
你也應留意與你使用服務相關的資料外洩新聞(來自可信來源)。
保護你的敏感資料
Kaspersky Premium 提供多種專為保護你的 PII 設計的工具,包括以加密檔案與使用安全密碼來保護敏感資料,以及使用安全的 VPN 以維持連線隱私。
免費試用 Premium有哪些法律保護可辨識個人資訊?
全球有多部法律旨在保護個人資料,並賦予個人對其資訊的特定權利。各國會就此類資料自行立法,但可能採用相同的法制架構。
- GDPR(一般資料保護規範)賦予 EU 境內的人們存取、更正與要求刪除其個人資料的權利。
- CCPA/CPRA(加州消費者隱私法與加州隱私權利法)允許加州居民得知蒐集到的個人資料,並可要求刪除或不得販售。
- 1974 年隱私法規範美國聯邦機關如何蒐集與使用個人資訊。
- HIPAA(健康保險可攜與責任法)保護醫療服務提供者與保險業者處理的健康相關資訊。
- PCI DSS(支付卡產業資料安全標準)為處理信用卡資料的公司制定安全要求。
- PDPA(新加坡個人資料保護法)為新加坡的資料蒐集、使用與揭露訂定規範。
- POPIA(南非個人資訊保護法)建立合法處理個人資料的條件。
- PDPL(沙烏地阿拉伯個人資料保護法)於 2024 年全面生效,並於沙烏地阿拉伯王國內提供資料保護權利與義務。
如何保護你的可辨識個人資訊?
保護你的 PII,意味著降低其曝光量,並讓攻擊者更難利用他們找到的資料。你可以採取多項簡單方法來因應帳戶接管與身分濫用。
強化帳戶安全
為每個帳戶使用強而獨特的密碼,並將其儲存在密碼管理器中以提升安全性。盡可能開啟多重驗證,以再加一道防護。
務必透過外洩警示檢查是否有外洩憑證,並儘速更改遭曝光的密碼。
限制你在網路上的分享
檢視你的社群媒體隱私設定,移除不必要的公開細節——想想你真的希望哪些資訊對外公開。避免張貼完整生日、住家地址或即時位置。
對任何鼓勵你分享資訊的內容保持警惕,其中可能包含類似於安全問題的測驗或貼文。這些可能是專為蒐集你的資訊而設計的詐騙。
強化裝置與連線安全
使用安全設定與技術,確保獲得盡可能完善的保護。建議保持裝置更新,並使用螢幕鎖與內建加密。
我們也建議你在公共 Wi‑Fi 上使用 VPN,以降低攔截風險。公共連線自帶風險。
減少追蹤與資料蒐集
追蹤也是對你資訊的威脅。調整隱私設定並限制第三方 Cookie,以降低你的網路連線與裝置細節被追蹤的程度。檢視應用程式權限,停用不必要的追蹤或監控功能,以免危及你的資料。
限制不必要的定位權限等設定,以降低你的資料被追蹤並用於識別你的機會。
專家也建議最佳化瀏覽器隱私設定——停用第三方 Cookie、阻擋網站追蹤、限制廣告——並定期清除瀏覽紀錄(包含 Cookie 與快取),以及刪除不必要的擴充功能。
監控是否有身分被濫用
多一分留心並為你的帳戶設定警示常能有所助益。在銀行與信用卡帳戶啟用交易通知,讓你可即時掌握支出。也建議定期檢視信用報告是否有不明活動。在 US,三大信用機構 Experian、TransUnion 與 Equifax 可免費提供報告。
若你希望持續掌握自身資訊,身分監控或清除服務可提供額外能見度。
如何從網路上移除你的個人資訊?
在網路上移除 PII 是可行的,但通常是持續性的流程,而非一次性的解決方案。目標是在最關鍵的地方降低曝光。
重點建議包括:
- 刪除或停用未使用的帳戶。舊的論壇網站與應用程式常留有你已不再需要上線的個人細節。社群網站可能儲存大量資訊;能移除的就移除。
- 強化社群媒體的隱私設定。限制能看見你個人檔案的人與可公開的資訊。移除如電話號碼或完整生日等個資。
- 提出移除請求。要求網站擁有者刪除過時或不必要的個人資訊;在適用情況下,你也可要求從搜尋引擎結果中移除特定個資。
- 向資料仲介業者停止授權(opt-out)。許多公司會蒐集並轉售個人資料。你可直接提交退出請求,或在你的資訊被廣泛列載時,使用可信的移除服務。
- 定期檢視你的 PII 線上足跡。個人資訊可能隨時間再度浮現;與其把移除當作一次性任務,不如定期檢查與清理。
若你的 PII 被曝光,該怎麼辦?
若你的 PII 被曝光,儘量保持冷靜,優先採取能限制進一步存取並降低財務損失的步驟。
- 先保護你的帳戶。變更密碼,尤其是電子郵件;可行時啟用多重驗證(MFA)。
- 檢查是否有未經授權的活動。檢視帳戶登入紀錄與近期交易,以及安全設定是否被更動。
- 聯絡你的銀行或發卡機構。通報可疑扣款,並詢問額外的保護措施。
- 必要時凍結信用。信用凍結可在你確保資料安全前,阻止以你名義開立新帳戶。
- 監控對帳單與警示。持續留意財務與帳戶活動,防範持續性的濫用。
- 通報身分盜用。以 UK 為例,你可輕鬆向警方的 Prevent Fraud 單位報案,或撥打 0300 123 2040。
警惕後續詐騙。攻擊者有時會在外洩事件後,冒充「復原」服務或資安團隊。於分享更多資訊前,一定要自行查證。
延伸閱讀:
推薦產品:
FAQ
IP 位址是否被視為 PII?
就其本身而言,IP 位址可能無法直接識別某個人,但當與其他資料或帳戶紀錄連結時,就可能成為可辨識個人資訊。
PII 與個人資料有何差異?
PII 是常用來描述可識別資訊的用語。「個人資料」是較廣泛的用語,見於 GDPR 等法規,且可能涵蓋更多類型的資料。
PII 與 PHI 有何不同?
PII 涵蓋一般識別資訊。PHI 則專指與個人關聯之健康相關資訊,並受 HIPAA 等法律保護。
你能完全把自己的 PII 從網際網路上移除嗎?
要徹底移除很少可能。持續監控與定期清理往往更實際。
