一、PII—数据隐私的核心概念解析

在大多数数据隐私法律中，可识别个人信息（PII, Personally Identifiable Information）是指任何可以用来识别个人身份的信息。然而，PII 的定义并非由单一法律统一规定，不同国家和地区的法律对其定义略有差异：

各国对 PII 的定义

• 美国

  2020 年，美国政府将 PII 定义为任何可以“用于区分或追踪个人身份”的信息，例如姓名、社会安全号码（SSN）、生物识别信息等。

• 欧盟（GDPR）

  任何与已识别或可识别自然人相关的信息，包括姓名、身份证号、位置数据、在线标识符，或与该人身体、生理、基因、心理、经济、文化或社会身份相关的因素。

• 墨西哥

  与欧盟类似，强调通过身份证号或其他身份特征识别个人。

• 加拿大

  任何关于可识别个人的信息。

• 中国（PIPL）

  中国《个人信息保护法》强调保护个人信息，防止数据泄露，明确了处理个人信息的合法性、必要性和透明性。

---

二、为什么我们要保护 PII？

保护 PII 不仅是法律要求，更是企业责任。若未能合规处理 PII，可能面临高额罚款、法律诉讼以及声誉损失。

数据泄露的代价

根据 IBM《2023 年数据泄露成本报告》，一次数据泄露的平均成本高达 513 万美元。以下是一些典型案例：