ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ที่สามารถใช้เพื่อระบุตัวบุคคลได้โดยตรง (PII) หรือโดยอ้อม (ไม่ใช่ PII) ซึ่งรวมถึงข้อมูลที่เป็นข้อเท็จจริงหรืออัตนัย และสามารถเกี่ยวข้องกับอัตลักษณ์ทางร่างกาย จิตใจ สังคม เศรษฐกิจ หรือวัฒนธรรมของบุคคล
ข้อบังคับด้านการคุ้มครองข้อมูล เช่น GDPR, HIPAA หรือ CCPA กำหนดให้องค์กรที่รวบรวม จัดเก็บ หรือประมวลผลข้อมูลส่วนบุคคล (PII และ non-PII) ต้องดำเนินการตามขั้นตอนที่เหมาะสมเพื่อรับประกันความเป็นส่วนตัวและความปลอดภัย ซึ่งรวมถึงการใช้มาตรการรักษาความปลอดภัยเพื่อป้องกันการละเมิดข้อมูลและการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การแจ้งบุคคลในกรณีที่มีการละเมิดข้อมูล และการให้บุคคลสามารถเข้าถึง แก้ไข หรือลบข้อมูลส่วนบุคคลของตนได้
ข้อมูลที่สามารถระบุตัวตนได้
PII ย่อมาจากข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ เป็นข้อมูลส่วนบุคคลใด ๆ ที่สามารถใช้เพื่อระบุตัวบุคคลใดบุคคลหนึ่งได้โดยตรง ดังนั้น PII จึงถือเป็นข้อมูลที่ละเอียดอ่อนและเป็นความลับสูง เนื่องจากสามารถใช้เพื่อระบุตัวบุคคลได้โดยตรง ในชุดข้อมูลและฐานข้อมูล PII ทำหน้าที่เป็นตัวระบุเพื่อรักษาความสัมพันธ์ของคีย์ต่างประเทศ ตัวอย่างเช่น
ต่อไปนี้คือตัวอย่างบางส่วนของข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII):
นี่ไม่ใช่รายการที่ครบถ้วนสมบูรณ์ แต่ให้แนวคิดเกี่ยวกับประเภทของข้อมูลที่ถือว่าเป็น PII และควรได้รับการปกป้องเพื่อรับรองความเป็นส่วนตัวและความปลอดภัยของแต่ละบุคคล
Non-PII ย่อมาจาก Non-Personally Identifiable Information หมายถึงข้อมูลส่วนบุคคลใด ๆ ที่สามารถใช้เพื่อระบุตัวบุคคลโดยอ้อม Non-PII ถือว่ามีความละเอียดอ่อน โดยเฉพาะเมื่อใช้ร่วมกับตัวแปร non-PII อื่นๆ เนื่องจากเมื่อมีตัวแปร non-PII 3 ตัวรวมกัน สามารถระบุตัวบุคคลได้อย่างง่ายดาย. สามารถใช้ Non-PII เพื่อวิเคราะห์รูปแบบและแนวโน้ม ซึ่งสามารถช่วยองค์กรในการตัดสินใจอย่างรอบรู้เกี่ยวกับผลิตภัณฑ์ บริการ และกลยุทธ์ของตน
ตามข้อบังคับด้านความเป็นส่วนตัว องค์กรต่างๆ ได้รับการคาดหวังให้จัดการข้อมูลส่วนบุคคล ซึ่งมีทั้ง PII และไม่ใช่ PII ในลักษณะที่มีความรับผิดชอบและมีจริยธรรม และเพื่อให้แน่ใจว่าจะไม่นำไปใช้ในทางที่อาจเป็นอันตรายต่อบุคคลหรือละเมิดความเป็นส่วนตัวของพวกเขา
ต่อไปนี้คือตัวอย่างบางส่วนของข้อมูลที่ไม่ใช่ PII (ข้อมูลที่ไม่สามารถระบุตัวบุคคลได้):