2018個人身份信息機密性保護指南NIST SP 800-122

800?122(PII)美國國家標準技術(shù)研究院的建議計算機系統(tǒng)技術(shù)報告(NIST(ITLITL促進信息技術(shù)的開發(fā)和生產(chǎn)利用。ITL的職責(zé)包括制定技術(shù)、物理、行政和管理標準和指南，以實現(xiàn)聯(lián)邦計800ITL個人身份信息(PII)保密指南目錄要. ES?11.介. 1?11.1限. 1?11.2范圍. 1?11.3受眾 1?11.4結(jié)構(gòu) 1?12.PII介. 2.1別PII 2?12.2PII示例. 2?22.3PII實踐. 2?3PII別. 3?13.1定義 3?13.2定PII因3?23.2.13?33.2.2PII3?33.2.33?33.2.4境3?43.2.5保密義3?43.26PII置. 3?53.3PII示例?51冊5263例詐序。 PII護. 4?14.1操作保障4?14.1.1政策和程序創(chuàng)建4?14.1.2意識、培訓(xùn)和教育 4?24.2措施..4?34.2.1最大限度地減少PII的使用、收集和保留...4?34.2.2進行隱私影響評估4?44.2.34?44.2.4化. 4?54.3控制. 4?6及PII應(yīng). 5?15.1工作. 5?15.2分析. 5?35.3制恢復(fù). 5?35.4活動. 5?3四號個人身份信息(PII)保密指南附錄錄A I景 1A.1題 A?1A.2場景 A?1錄B 題(FAQ). B?1錄C義. C?1錄D 踐. D錄E表 E?1錄F語. F?1錄G源 v(PIIES?ES?PAGE1執(zhí)行摘要(PIIPIIIMcGeoePIIII(OMBPIIPII，組織應(yīng)識別其環(huán)境中的所有PII。組織無法正確保護其不了解的PII。本文檔使用PII的廣泛定義來識別盡可能多的PII潛在來源（例如數(shù)據(jù)庫、共享網(wǎng)）PII(1(26PII的示例包括但不限于：姓名，例如全名、婚前姓名、母親婚前姓名或別名個人身份證號碼，例如社會安全號碼(SSN)、護照號碼、駕照號碼、納稅人識別號碼、財務(wù)賬戶或信用卡號碼地址信息，例如街道地址或電子郵件地址個人特征，包括照片圖像（尤其是面部或其他識別信息）特征）、指紋、筆跡或其他生物識別數(shù)據(jù)（例如視網(wǎng)膜掃描、語音簽名、面部幾何形狀）)8年1月，\h2 PIIPII3.13 \h198935（1961?1966）/gst/fullpage.html?res=950DE2D6123AF936A35750C0A96F9482604C§:4 \h/download/pls/44C35.txt。5 6 B6和9中IOO20085\h/new.items/d08536.pdf。（信息、教育信息、財務(wù)信息）。組織應(yīng)盡量減少PII的使用、收集和保留，以達到實現(xiàn)其業(yè)務(wù)目的和使命所必需的程度。PIIPIIPIIPIIPIIPIIPII7OMBM?07?168PIIPIIPIIPIIPIIPIIPIIPII(FIPS)1999PIIPII（PIIPII可識別性。組織應(yīng)評估使用PII來識別特定信息的難易程度。NPIIPII252500IPII場地。例如，個人的SSN或財務(wù)帳號通常比個人的SSN或財務(wù)帳號更敏感。7 PII(NARA8 B\h9 S\hfinal.pdf。個人的電話號碼或郵政編碼。組織還應(yīng)評估PII數(shù)據(jù)字段組合時的敏感性。使用環(huán)境。組織應(yīng)評估使用環(huán)境PII的目的PIIPIIPII（趣新聞通訊的人，第二個列表是在執(zhí)法部門進行臥底工作的人。如果名單的保密性被破壞，則每個名單對受影響的個人和組織的潛在影響會有很大不同。保護機密的義務(wù)。負有保護PII義務(wù)的組織在確定PII機密性影響級別時應(yīng)考慮此類義務(wù)。（B）PII10PIIPIIPIIPIIPIIPIIPII并非所有PII都應(yīng)以同樣的方式受到保護。組織應(yīng)根據(jù)PII機密性影響級別應(yīng)用適當?shù)谋Ｗo措施來保護PII的機密性。某些PII不需要（）。NIST11例如：PII進行培訓(xùn)。組織應(yīng)要求所有個人在獲準訪問包含PII的系統(tǒng)之前接受適當?shù)呐嘤?xùn)，從而減少PII被不當訪問、使用或披露的可能性。去識別PII。組織可以通過刪除足夠的PII來對記錄進行去識別化處理，以便（PII（PII10 132611 NISTSP800?53（提供傳輸機密性。組織可以保護信息的機密性傳輸?shù)腜II。這通常是通過對通信進行加密或在傳輸信息之前對信息進行加密來實現(xiàn)的。審計事件。組織可以監(jiān)控影響PII機密性的事件，例如對PII的不當訪問。組織應(yīng)制定事件響應(yīng)計劃來處理涉及PII的違規(guī)行為。涉及PIIPII12確定何時以及如何通知個人、如何報告違規(guī)行為以及是否向受影響的個人提供補救服務(wù)，例如信用監(jiān)控。在解決與PII相關(guān)的問題時保護PII因為相關(guān)法律、法規(guī)和其他授權(quán)往往很復(fù)雜，并且會隨著時間的推移而發(fā)生變化。12BB\hmemoranda/fy2007/m07?16.pdf。13有些組織的結(jié)構(gòu)不同，角色的名稱也不同。這些角色是示例，用于說明性目的。(PII1?11?1美國國家標準與技術(shù)研究院(NIST)制定本文件是為了履行2002年聯(lián)邦信息安全管理法案(FISMA)公法107?347規(guī)定的法定職責(zé)。NIST)0第)0A?130III（OMB(PIIPIIPIIPIIPIIPII涉及PII的事件的響應(yīng)計劃提供了建議。鼓勵組織調(diào)整建議以滿足其特定要求。PIIPII本文檔的其余部分分為以下幾節(jié)：個人身份信息(PII)保密指南第2節(jié)介紹了PII和公平信息實踐，并解釋了如何查找組織維護的PII。3第4節(jié)介紹了保護PII機密性的多種方法，可實施這些方法來減少PII暴露和風(fēng)險。5還包含以下附錄以獲取更多信息：APII附錄B列出了與保護PII機密性相關(guān)的常見問題(FAQ)。附錄C包含個人信息的其他術(shù)語和定義。D附錄E提供了出版物中選定術(shù)語的詞匯表。附錄F包含出版物中使用的首字母縮寫詞和縮寫詞列表。GPII1?2(PII2?2?PAGE2PII。PIIPII（（）。和345PIIPIIPII(1)區(qū)分一個人16就是識別一個人?？梢宰R別個人身份的信息的一些示例包括但不限于姓名、護照號碼、社會安全號碼或生物識別數(shù)據(jù)。

相反，僅包含信用評分而沒有任何附加信息的列表關(guān)于與其相關(guān)的個人的信息并不能提供足夠的信息來區(qū)分特定個人。18追蹤個人是指處理足夠的信息來確定個人活動或狀態(tài)的特定方面。例如，包含用戶操作記錄的審核日志可用于跟蹤個人的活動。PII或密切相關(guān)的系統(tǒng)上，并且不具有有效隔離信息源的安全控制，則數(shù)據(jù)被視為鏈接的。如果是二級（）1415O8年5月，\h16術(shù)語“個人”和“個人身份”在本文件中可互換使用。有關(guān)術(shù)語“個體”的更多信息，請參閱附錄B。18

1998105?318112Stat3007（199830）?？勺R別的個人。組織需要識別其組織內(nèi)或通過第三方控制的所有PII（例如，由承包商開發(fā)和測試的系統(tǒng)）。PTAPTAPII(PIA)(SORNPTAPTAPTAPII（PII20PII以下列表包含可能被視為PII的信息示例。姓名，例如全名、婚前姓名、母親婚前姓名或別名個人身份號碼，例如社會安全號碼(SSN)、護照號碼、司機號碼許可證號、納稅人識別號、患者識別號以及金融賬戶或信用卡號21地址信息，例如街道地址或電子郵件地址(IP(MAC電話號碼，包括手機號碼、公司號碼和個人號碼個人特征，包括照片圖像（尤其是面部或其他顯著特征））X（）（）。19有些組織有類似的流程，但不將其稱為PTA或IPA。例如PTA/IPA模板，請參閱\h/opcl/initial?privacy?assessment.pdf\h或/xlibrary/assets/privacy/privacy_pta_template.pdf。20\hTP\h800?88/NISTSP800?88_rev1.pdf。21N2?2?PAGE3個人身份信息(PII)保密指南PIIPIIPIIPII經(jīng)濟合作與發(fā)展組織(OECD)

22（23隱私準則是最廣泛接受的隱私原則，并于1981年得到商務(wù)部的認可。（25

24經(jīng)合組織博覽會2004年，首席信息官(CIO)委員會發(fā)布了聯(lián)邦企業(yè)架構(gòu)26的安全和隱私配置文件將隱私保護與一組符合經(jīng)合組織公平信息實踐的可接受的隱私原則聯(lián)系起來。經(jīng)合組織確定了以下公平信息實踐。數(shù)據(jù)質(zhì)量個人數(shù)據(jù)應(yīng)與其使用目的相關(guān)，并且在這些目的所需的范圍內(nèi)，應(yīng)準確、完整并保持最新。使用限制不得披露、提供或以其他方式使用個人數(shù)據(jù)除非經(jīng)數(shù)據(jù)主體同意或法律授權(quán)，否則用于指定用途以外的目的。安全保障措施個人數(shù)據(jù)應(yīng)受到合理的安全保障措施的保護，防止數(shù)據(jù)丟失或未經(jīng)授權(quán)的訪問、破壞、使用、修改或披露等風(fēng)險。(a(b（(c22 PIIPII23 19804 d,.（1981年0月0日）O25 GAO08?536。26 2009D。個人身份信息(PII)保密指南(d責(zé)任數(shù)據(jù)控制者應(yīng)負責(zé)遵守規(guī)定的措施達到上述原則的效果。PII應(yīng)采取措施制定涉及所有公平信息實踐的政策和程序。限制、收集限制和問責(zé)制相關(guān)的公平信息實踐與保護PII的機密性直接相關(guān)。因此，本文件中酌情強調(diào)了這些原則。有關(guān)公平信息實踐的更多信息，請參閱附錄D。2?4(PII3?3?PAGE3PIIPII免遭機密泄露PIINISTPIIPIIPII的機密性應(yīng)根據(jù)其影響程度進行保護。本節(jié)概述了以下因素：PIIPII(FIPS199“標準”中描述的機密性影響級別不同。29PII機密性PIIPII（PIIPIIFIPS199NIST(SP800?601230臨時保密影響級別的補充應(yīng)包含在安全分類過程的文檔中。某些PII（）IPIIFIPS199PIIPII是指其PIIPII（）27 44USC§3542，\h/download/pls/44C35.txt28 NIST\h/groups/SMA/fisma/framework.html。29 \h/publications/PubsFIPS.html。30 \h/publications/PubsSPs.html。PIIS9（）如果機密性、完整性或可用性的喪失預(yù)計對組織運營、組織資產(chǎn)或個人產(chǎn)生有限的不利影響，則潛在影響(i)(ii(iii)造成輕微財務(wù)損失；(iv)對個人造成輕微傷害。(i(ii(iii)造成重大財務(wù)損失；(iv)對個人造成重大傷害，但不涉及人員傷亡或嚴重危及生命的傷害。(i)導(dǎo)致任務(wù)能力嚴重下降或喪失，達到組織無法執(zhí)行一項或多項任務(wù)的程度和持續(xù)時間。更多的主要功能；(ii(iii(ivPIIPIIPII32確定PII機密性喪失的影響應(yīng)考慮相關(guān)因素。31 32 ISO/IECISO/IECPII（包PIIPIISSNPIIPII33然而，僅由個人的區(qū)號和性別組成的數(shù)據(jù)通常無法直接或間接識別個人，具體取決于背景和樣本量。

34因此，唯一且可直接識別的PII可能比無法直接識別的PII具有更高的影響級別。PII（）252500PIIPIIPIIPIISSN（I（33%.\h18年2月6日，/news/statementondataaccess.cfm。34第4.2節(jié)討論組織如何通過從記錄中刪除PII來減少保護PII的需要。35PIIPIIPIA\h/po/pia/pia_guide.html。PII組織應(yīng)評估使用環(huán)境，因為這對于理解數(shù)據(jù)元素的披露如何可能損害個人和組織非常重要。組織還應(yīng)PII使用因素的上下文可能會導(dǎo)致相同類型的PII在不同的情況下被分配不同的PII機密性影響級別。例如，假設(shè)某個組織具有三PII（都顯著不同。僅根據(jù)使用環(huán)境，這三個列表可能分別具有低、中和高影響級別。PIIPII64B6(GLBA)PII(CIPSEA)致民事或刑事處罰。組織可能還有義務(wù)通過自己的政策、標準或管理指令來保護PII。3636有關(guān)其他資源，請參閱附錄G。37存在保護義務(wù)。有關(guān)個人信息的常見定義的列表，請參閱附錄C。381326PII的法律顧問和隱私官。39GLBA15USC§680140CIPSEA2002(Pub.L.5107?347\h2899\h44USC§\hCIPSEAPIIOMBCIPSEA\h/omb/fedreg/2007/061507_cipsea_guidance.pdf。PIIIIIPIIPII（例如WebPIIPIIPIIPIIPIIPIIPIIPIIPII（聯(lián)邦政府機構(gòu)維護其計算機事件響應(yīng)團隊的電子名冊成員。如果IT員工檢測到任何類型的安全漏洞，標準做法要求該員工聯(lián)系名冊上列出的適當人員。由于該團隊可能需要在發(fā)生可識別性：該信息使用姓名、電話號碼和電子郵件地址直接識別少數(shù)個人。PII數(shù)量：該信息直接識別的個人少于20人。數(shù)據(jù)字段敏感性：雖然名冊僅供團隊成員使用，但名冊中包含的個人信息已在該機構(gòu)的網(wǎng)站上向公眾公開。41 PIINISTSP7\h/publications/nistpubs/800?37?rev1/sp800?37?rev1?final.pdf。使用背景：公開個人姓名和聯(lián)系信息不太可能對個人造成傷害，并且披露機構(gòu)收集或使用此信息的事實也不太可能造成傷害。ITT考慮到這些因素，該機構(gòu)確定未經(jīng)授權(quán)訪問名冊可能會造成很小或沒有損害，因此選擇將PII機密性影響級別分配為低。42IntranetWebWeb用戶的IP地址用戶在訪問此網(wǎng)站之前正在查看的網(wǎng)站的統(tǒng)一資源定位符(URL)（即引用URL）用戶訪問網(wǎng)站的日期和時間在組織網(wǎng)站內(nèi)訪問的網(wǎng)頁或主題（例如，組織安全政策）。可識別性：日志本身不包含任何可直接識別的數(shù)據(jù)。然而，該組織有一個密切相關(guān)的系統(tǒng)，其日志包含域登錄信息記錄，其中包括用IDIPWebIntranetPII數(shù)量：日志包含大量包含鏈接PII的記錄。使用環(huán)境：通過組織的可接受的使用策略，所有員工都知道日志的創(chuàng)建。除了潛在的危害之外，該信息的發(fā)布不太可能造成危害讓少數(shù)用戶感到尷尬。PII的訪問和位置：日志由少數(shù)系統(tǒng)管理員在排除操作問題時訪問，偶爾也由少數(shù)事件響應(yīng)訪問42此場景僅用于說明目的。此類信息有可能用于社會工程攻擊。組織可以考慮其特定情況并為此場景指定更高的影響級別。個人身份信息(PII)保密指南人員在調(diào)查事件時。對日志的所有訪問僅發(fā)生在組織自己的系統(tǒng)中?？紤]到這些因素，組織確定違反日志機密性可能會造成很少或沒有損害，并選擇將PII機密性影響級別分配為低。IPPII的數(shù)量：最近的估計表明，數(shù)據(jù)庫近1000條總記錄中大約有50條記錄包含PII。數(shù)據(jù)字段敏感性：數(shù)據(jù)庫的敘述文本字段包含用戶提供的文本，并且通常包含姓名、郵寄地址、電子郵件地址和電話號碼等信息。（）PII的訪問和位置：該數(shù)據(jù)庫僅由少數(shù)調(diào)查欺詐、浪費和濫用索賠的人員訪問。對數(shù)據(jù)庫的所有訪問僅發(fā)生在組織的內(nèi)部系統(tǒng)中。考慮到這些因素，組織確定違反數(shù)據(jù)庫機密性可能會對某些個人造成災(zāi)難性傷害，并選擇將PII機密性影響級別分配為高。3?7(PII4?4?PAGE7PIIPIIPIIPIIPII（PIIPII的措施都得到考慮并得到正確實施。PII。PII以及OMBPIIPIIPII事件響應(yīng)和數(shù)據(jù)泄露通知43BB85C§系統(tǒng)開發(fā)生命周期過程中的隱私PII收集、披露、共享和使用的限制不遵守隱私行為規(guī)則的后果。(ISAPII組織維護的PIIITOMBM?07?16PII5PIINISTSP800?50“PIIPIIPII保護（）例。培訓(xùn)的目標是培養(yǎng)員工保護PII的知識和技能。法律法規(guī)可能特別要求對員工、管理人員和承包商進行培訓(xùn)。組織應(yīng)制定培訓(xùn)計劃PIIPIIPIIPIIPIIPII的定義44\hTP\hPubsSPs.html。45 OMB適用的隱私法律、法規(guī)和政策對PII數(shù)據(jù)收集、存儲和使用的限制使用和保護PII的角色和責(zé)任適當處置PII對濫用PII的制裁PII響應(yīng)PII相關(guān)事件和報告的角色和責(zé)任。PII46PIIPIIPII的使用通過將PIIPIIPIIPIIPII果PII不用于當前的業(yè)務(wù)目的，則不應(yīng)再使用或收集PII。PIIPIIPIIPII。PII(NARA)46 ISO/IEC47 D48 PII9 5)BOMBM?07?16。50 (44USC§3301（）NARAPIIA（Bs))2)A應(yīng)（SDLC）PIAPIA需要收集哪些信息如何保護信息安全機構(gòu)因執(zhí)行PIA而對IT系統(tǒng)或信息收集做出了哪些選擇。PII（適合由該機構(gòu)或其合法繼承者保存，作為組織、職能、政策、適合由該機構(gòu)或其合法繼承者保存，作為組織、職能、政策、\h(GRS515253\hTP\h800?88/NISTSP800?88_rev1.pdf。有關(guān)可識別形式信息(IIF)的更多信息，請參閱附錄C。\hBM?03?222m03?22.htmlPIAB。54 HIPAAPII。HIPAAHIPAA8HIPAA隱(PHI)18SSN（PIIPII56只要滿足以下兩個條件，即可將去標識化信息分配為低PII機密影響級別：重識別算法、代碼或假名維護在單獨的系統(tǒng)中，采取適當?shù)目刂拼胧┮苑乐刮唇?jīng)授權(quán)訪問重新識別信息。數(shù)據(jù)元素不可通過公共記錄或其他合理可用的外部記錄進行鏈接，以便重新識別數(shù)據(jù)。SSNPIIPIID（I18,00030?3510,000元。盡管原始數(shù)據(jù)集包含每個人的可區(qū)分身份，但去識別化和聚合的數(shù)據(jù)集不會包含任何個人的鏈接或易于識別的數(shù)據(jù)。

57被定義為已被去識別化的先前可識別信息，并且58在。 息\h\h采用去標識化方法，確定風(fēng)險很小，并記錄理由。45CFR§164.514，/ocr/privacy/hipaa/administrative/\hprivacyrule/index.html55 56 HIPAA45CFR§164.514PII57.n和M.Hansen份管理，2009年更新，\hhttp://dud.inf.tu?dresden.de/literatur/Anon_Terminology_v0.32.pdf。585R第7（2008126\h/news/statementondataaccess.cfm。通常涉及應(yīng)用統(tǒng)計披露限制技術(shù)59以確保數(shù)據(jù)不能被重新識別，例如：60在數(shù)據(jù)中引入噪聲向選定的數(shù)據(jù)中添加少量的變化據(jù) 換另一個類似的記錄（例如，交換兩個記錄的郵政編碼）據(jù) 據(jù)。（PIIPIIPIIPIIPIIPIIPII（）。PIIPIINISTSP800?53NISTSP800?53PII59 OMB#22\h/working?papers/spwp22.html1790?2002\h/prod/2003pubs/conmono2.pdf。60 \h/committees/cdac/。61 62 NISTSP800?53（）2TP3PII(AC?3)（PIIPIII4BM?07?16規(guī)NIST(AC?5)PIIPII（利I（）。(AC?17)PII基于用戶的協(xié)作和信息共享(AC?21)。組織可以提供PII（（（）PII（）。(AU?2)PIIPII。63 （4 S\h審計審查、分析和報告(AU?6)。組織可以定期審查和分析PII（IIOMBM?07?16求用戶在三十分鐘不活動后重新進行身份驗證。”(MP?2)PII（CDUSB）（）(MP?3)PIIPII。媒體傳輸(MP?5)。組織可以保護數(shù)字和非數(shù)字媒體以及移動設(shè)備包含PII(MP?6)PII(SC?9)PII67(SC?28)PIIPII（（SI?4）65656667TPTPNIST\h/publications/PubsSPs.html(PII5?5?PAGE2PIIPIIPII69。PII70PIICIOCPO官。由于需要密切協(xié)調(diào)，組織應(yīng)建立明確的角色和職責(zé)，以確保在事件發(fā)生時進行有效的管理。FISMAOMBTTP117BM?07?16IPIIPIINISTSP800?611PIINISTSP800?61活動。本節(jié)提供有關(guān)這四個階段中每個階段的PII特定注意事項的更多詳細信息。準備工作需要付出最大的努力，因為它為確保妥善處理違規(guī)行為奠定了基礎(chǔ)。組織應(yīng)將涉及PII的違規(guī)事件的響應(yīng)計劃納入其現(xiàn)有的事件響應(yīng)計劃中。制定針對涉及PII的違規(guī)行為的響應(yīng)計劃PII68發(fā)生的威脅。修改自NISTSP800?61修訂版1。69(PonemonInstitute20072006得信任的最后五名機構(gòu)。2006年數(shù)百萬條PII記錄被泄露。\h/dailyfed/0207/022007tdpm1.htm。70一些組織選擇針對PII事件和違規(guī)行為制定單獨的政策和程序，這可能涉及使用單獨的隱私事件響應(yīng)團隊。如果事件和違規(guī)行為的政策和程序是分開的I717年4:\hPIIPIIPIIPII72報告事件的人事件的發(fā)現(xiàn)者事件發(fā)現(xiàn)的日期和時間事件的性質(zhì)系統(tǒng)名稱以及與其他系統(tǒng)可能的互連性信息丟失或泄露的描述信息丟失或泄露的存儲介質(zhì)采取適當?shù)目刂拼胧?，防止未?jīng)授權(quán)使用丟失或受損的信息可能受影響的人數(shù)是否聯(lián)系了執(zhí)法部門。US?CERTPIIPII組織應(yīng)舉辦有關(guān)與媒體就事件進行互動的培訓(xùn)課程。BM?07?16是否需要向受影響的個人發(fā)出違規(guī)通知75通知的及時性72 20079283 在M?07?16BTIOMBNISTUS?CERTUS?CERT74 （NISTSP800?611。75 US?CERT。提供通知的方式誰收到通知；公眾外展回應(yīng)采取了哪些行動以及由誰采取了行動PIIPII機密性PIIPII的事件PIIPIIPIIUS?CERTPII的違規(guī)行為PII76在確定PIIPII與其他安全事件一樣，應(yīng)收集通過檢測、分析、遏制和恢復(fù)獲得的信息，以便在組織內(nèi)部以及與US?CERT共76 NISTSP800?88。77 PII8 TP\hSP800?86.pdf。例如獲取其信用報告的免費副本、獲取凍結(jié)信用報告、對其信用報告設(shè)置欺詐警報或聯(lián)系其金融機構(gòu)。7979 PII。(PIIA?1A?1錄A PII景涉及組織內(nèi)PII場景的練習(xí)提供了一種廉價而有效的方法來培養(yǎng)必要的技能，以識別組織如何識別和保護PII的潛在問題。PIIPIIITP11I處理的其他場景和問題。80A.1一般問題PII？PIIPIIPIIPIIA.2場景場景一：系統(tǒng)升級一家組織正在重新設(shè)計和升級其物理訪問控制系統(tǒng)，該系統(tǒng)由識別ID徽章的入口控制臺以及身份管理系統(tǒng)和其他組件組成。（）（SSN（別號和時間戳。PII？PII80 SP800?611\h/publications/PubsSPs.html取。個人身份信息(PII)保密指南對個人造成傷害？可以采取哪些額外的控制措施來降低風(fēng)險？系統(tǒng)中的信息？系統(tǒng)上的PII是否可以替換為非PII的匿名數(shù)據(jù)？PIA？ID以下是針對此場景的其他問題：PII？PIIPII民意調(diào)查？（USBUSBUSBUSB計算機并使用她的電子表格應(yīng)用程序來分析數(shù)據(jù)。A2個人身份信息(PII)保密指南以下是針對此場景的其他問題：PII？PIIPII？（包含U盤USB8、如果信息是去標識化的退休收入清單，這種情況該如何處理PII？PIIPII？PIAPIAA?3(PIIB?B?PAGE1錄B 題(FAQ)(PII(FAQ)(PII)？PII(1(2PIIPIIX光檢查ID（OMBPII義。出于保護PII（81O8年5月，\h\hnew.items/d08536.pdf。82PIIPII為犯罪分子提供掩護。組織應(yīng)咨詢其法律顧問和隱私官。83OMBM?03?22，OMB2002\h/omb/memoranda/m03?22.html#1。數(shù)據(jù)駐留在混合系統(tǒng)中的國民，這些系統(tǒng)是包含美國人和非美國人信息的記錄系統(tǒng)。8485PIIPIIPII6)9)PII1974PIIPII2002（PIAB3BM?03?22AB繼PIIPIIPII（有G）。(COPPAHIPAA（）。84 \h/xlibrary/assets/privacy/privacy_policyguide_2007?1.pdf。5 8C§1974年《隱私法》是美國公共部門隱私法的基礎(chǔ)，它僅適用于聯(lián)邦機構(gòu)，并為所需使用公平信息實踐提供了法定基礎(chǔ)。(SOR《隱私法》的基本條款包括以下內(nèi)容：–不提供信息的影響（如果有）將數(shù)據(jù)收集限制在實現(xiàn)機構(gòu)目的所需的最低限度如果可能，直接從信息相關(guān)人員那里收集信息保持數(shù)據(jù)的準確性和完整性維持適當?shù)墓芾怼⒓夹g(shù)和物理保障措施，以確保記錄的安全性和機密性。違反《隱私法》可能會導(dǎo)致民事和刑事責(zé)任。II（2A86 5USC§552a。87 (SORN)。個人身份信息(PII)保密指南自己的模板，為進行PIA提供基礎(chǔ)。2002年電子政務(wù)法案要求聯(lián)邦機構(gòu)在以下情況下執(zhí)行PIA：啟動新的信息收集–將使用信息技術(shù)收集、維護或傳播；和10OMBPIAOMB03?22PIA轉(zhuǎn)換紙質(zhì)記錄轉(zhuǎn)換為電子系統(tǒng)時去識別化到可識別應(yīng)用于現(xiàn)有信息集合的功能將去識別化信息更改為可識別形式的信息（重大合并當機構(gòu)采用或改變業(yè)務(wù)流程時，政府以可識別形式保存信息的數(shù)據(jù)庫被合并、集中、與其他數(shù)據(jù)庫匹配或以其他方式被顯著操縱（商業(yè)來源當機構(gòu)系統(tǒng)地納入現(xiàn)有信息時從商業(yè)或公共來源購買或獲得的可識別形式信息的系統(tǒng)數(shù)據(jù)庫新的機構(gòu)間用途當機構(gòu)共同致力于共享功能時，涉及重要的新用途或以可識別形式交換信息，例如跨領(lǐng)域的電子政府舉措內(nèi)部流或收集當業(yè)務(wù)流程的改變導(dǎo)致信息的重大新用途或披露或以可識別形式將附加信息項目納入系統(tǒng)時數(shù)據(jù)特征的改變當新的信息以可識別的形式添加到數(shù)據(jù)中時收集會增加個人隱私的風(fēng)險（例如，添加健康或財務(wù)信息）B?4個人身份信息(PII)保密指南需要收集哪些信息個人必須拒絕提供哪些信息的機會（即，在何處提供信息）（）如何保護信息安全5USC552a機構(gòu)因執(zhí)行PIA而對信息系統(tǒng)或信息收集做出哪些選擇。(PRAOMB89PRAPII(CPO90ABIPIIPIIPIAPRA91PRA要求聯(lián)邦機構(gòu)在計劃使用相同的報告、記錄保存或披露要求從10OMBOMB8888如果公布PIA會引起國家安全問題或泄露機密或敏感信息，機構(gòu)可以免除此要求。89A4C§1等。A于0（Pub..0年2月1日）5（Pub..5年5月2日）。6)（第1條）。.,06年2月0日）。905（（第2H）4年2月8日）。.2年1月5（6C§1節(jié)?！?005。.6年1月5（28C§91\h/ITPolicyandPrograms/Information_Collection/dev01_003742。B?5個人身份信息(PII)保密指南OMBPIIPIIPIIPII審查的關(guān)鍵考慮因素是可能影響PII收集的任何法律要求。人們應(yīng)該詢問哪些法律、法規(guī)和指南適用于考慮PII（PIIPIIHIPAA；I的I的PIIPII（即，？）PIIPIIPIIIIIIPIIPIIB?6(PIIC?1C?1錄C 義（IIF）（SOR）和(PHI)PII）全面。定義權(quán)威2L.107?347,116\h統(tǒng)計。2899,參見第208(d)條。

學(xué)期信息在可識別表格（IIF）

定義

評論通常被認為有已被術(shù)語PII取代。OMB03?22

信息在可識別表格（IIF）

T)（(ii)（）

通常被認為已被術(shù)語PII取代。OMB03?22個人美國公民或外國人這個定義反映了合法獲得永久居留權(quán)。隱私法定義。OMB06?19親自可識別信息由機構(gòu)維護的有關(guān)個人的任何信息，包括但不限于號碼、出生日期和地點、母親的婚前姓名、生物識OMB07?16

親自可識別信息

可單獨用于區(qū)分或追蹤個人身份的信息，例如姓(PIIC?2C?2定義權(quán)威1996年健康保險流通與責(zé)任法案(HIPAA)，CFR§160.103。

學(xué)期個別地可識別健康信息(IIHI)

定義

評論HIPAAPII1996年健康保險流通與受保護用于識別個人。個人可識別的健康信息HIPAA責(zé)任法案(HIPAA)，健康（IIHI即：對PII的豁免的約束。信息(PHI)?通過電子媒體傳輸；CFR§160.103。?以電子媒體形式維護；或者?以任何其他形式或媒介傳輸或維護。受保護的健康信息不包括以下情況中的個人可識別健康信息：?涵蓋的教育記錄家庭教育權(quán)利和隱私0C?20USC1232g(a)(4)(B)(iv)中描述的記錄；和?涵蓋實體作為雇主持有的就業(yè)記錄。45C§系統(tǒng)552a(a)(5)。記錄錄提供一些豁免。（索）45C§個人美國公民或合法獲得永久居留權(quán)的外國人。552a(a)(2)。(PIIC?3C?3《定義機構(gòu)《定義機構(gòu)USC§552a(a)(4)。學(xué)期定義評論記錄由機構(gòu)維護的有關(guān)個人的任何信息項目、集合或(PIIC?4C?4威 期育 育法0C 錄§1232g(a)(4)。

評論僅適用于接受聯(lián)邦政府資助的教育機構(gòu)。例外情況包括：目的；或者(PIID?1D?1錄D 踐（HEW（（HEW）HEW1974HEW報告公平信息實踐包括以下內(nèi)容：不得存在其存在本身就是秘密的個人數(shù)據(jù)記錄保存系統(tǒng)。必須有一種方法可以讓個人更正其記錄中的信息。1980括以下隱私原則：數(shù)據(jù)質(zhì)量個人數(shù)據(jù)應(yīng)與其使用目的相關(guān)，并且在這些目的所需的范圍內(nèi)，應(yīng)準確、完整并保持最新。92 \h2008/galleries/NSTC%20Reports/IdMReport%20Finalpdf。93 OECDOECD\h/speeches/thompson/thomtacdremarks.shtm。94 5 5（（y.，4年。(PIID?2D?2使用限制不得披露、提供或以其他方式使用個人數(shù)據(jù)除非經(jīng)數(shù)據(jù)主體同意或法律授權(quán)，否則用于指定用