PII hadir dalam dua jenis: pengidentifikasi langsung dan pengidentifikasi tidak langsung. Pengidentifikasi langsung bersifat unik bagi seseorang dan mencakup hal-hal seperti nomor paspor atau nomor SIM. Pengidentifikasi langsung tunggal biasanya cukup untuk menentukan identitas seseorang.

Pengidentifikasi tidak langsung tidak unik. Informasi ini termasuk detail pribadi yang lebih umum seperti ras dan tempat lahir. Meskipun satu pengidentifikasi tidak langsung tidak dapat digunakan untuk mengidentifikasi seseorang, kombinasi beberapa dari informasi tersebut bisa. Misalnya, 87% warga AS (tautan berada di luar ibm.com) dapat diidentifikasi berdasarkan tidak lebih dari jenis kelamin, kode pos, dan tanggal lahir mereka.

Tidak semua data pribadi dianggap PII. Misalnya, data tentang kebiasaan streaming seseorang bukanlah PII. Ini karena akan sulit, bahkan tidak mungkin, untuk mengidentifikasi seseorang hanya berdasarkan apa yang mereka tonton di Netflix. PII hanya mengacu pada informasi yang mengarah ke orang khusus, seperti jenis informasi yang mungkin Anda berikan untuk memverifikasi identitas Anda saat menghubungi bank Anda.

Di antara PII yang ada, beberapa informasi lebih sensitif daripada yang lain. PII sensitif adalah informasi sensitif yang secara langsung mengidentifikasi seseorang dan dapat menyebabkan kerugian yang signifikan jika bocor atau dicuri.

Nomor jaminan sosial (SSN) adalah contoh yang pas untuk PII yang sensitif. Karena banyak instansi pemerintah dan lembaga keuangan menggunakan SSN untuk memverifikasi identitas seseorang, penjahat yang mencuri SSN dapat dengan mudah mengakses catatan pajak atau rekening bank korbannya. Contoh lain dari PII sensitif meliputi:

• Nomor identifikasi unik, seperti nomor SIM, nomor paspor, dan nomor identitas lain yang dikeluarkan pemerintah.
• Data biometrik, seperti sidik jari dan pemindaian retina.
• Informasi keuangan, termasuk nomor rekening bank dan nomor kartu kredit.
• Rekam medis.

PII sensitif biasanya tidak tersedia untuk umum, dan sebagian besar undang-undang privasi data yang ada mengharuskan organisasi untuk melindunginya dengan mengenkripsinya, mengendalikan siapa yang mengaksesnya atau mengambil tindakan keamanan siber lainnya.

PII yang tidak sensitif adalah data pribadi yang, secara terpisah, tidak akan menyebabkan kerugian yang signifikan bagi seseorang jika bocor atau dicuri. Ini mungkin atau mungkin tidak unik untuk seseorang. Sebagai contoh, sebuah nama akun media sosial adalah PII yang tidak sensitif: PII ini dapat mengidentifikasi seseorang, tetapi pelaku kejahatan tidak dapat melakukan pencurian identitas hanya dengan berbekal nama akun media sosial. Contoh lain dari PII yang tidak sensitif meliputi:

• Nama lengkap seseorang
• Nama gadis ibu
• Nomor telepon
• Alamat IP
• Tempat lahir
• Tanggal lahir
• Detail geografis (kode pos, kota, negara bagian, negara, dll.)
• Informasi pekerjaan
• Alamat email atau alamat surat
• Ras atau etnis
• Agama

PII yang tidak sensitif sering kali tersedia untuk umum. Sebagai contoh, nomor telepon dapat dicantumkan dalam buku telepon, dan alamat dapat dicantumkan dalam catatan properti publik pemerintah daerah. Beberapa peraturan privasi data tidak memerlukan perlindungan PII yang tidak sensitif, tetapi banyak perusahaan tetap menerapkan perlindungan. Itu karena penjahat tetap dapat menyebabkan masalah dengan menggabungkan beberapa bagian PII yang tidak sensitif.

Sebagai contoh, seorang peretas dapat membobol aplikasi rekening bank seseorang dengan nomor telepon, alamat email, dan nama gadis ibunya. Email memberi mereka nama pengguna. Memalsukan nomor telepon memungkinkan peretas menerima kode verifikasi. Nama gadis ibu memberikan jawaban atas pertanyaan keamanan.

Penting untuk dicatat bahwa apakah sesuatu dianggap sebagai PII sensitif atau tidak sensitif sangat bergantung pada konteks. Nama lengkapnya sendiri mungkin tidak sensitif, tetapi daftar orang yang pernah mengunjungi dokter tertentu akan menjadi sensitif. Demikian pula, nomor telepon seseorang mungkin tersedia untuk umum, tetapi basis data nomor telepon yang digunakan untuk autentikasi dua faktor di situs media sosial merupakan PII yang sensitif.

Kapan informasi sensitif menjadi PII?

Konteks juga menentukan apakah sesuatu dianggap PII sama sekali. Sebagai contoh, data geolokasi anonim yang dikumpulkan sering kali dilihat sebagai data pribadi umum karena identitas setiap pengguna tidak dapat diisolasi.

Namun, catatan individu dari data geolokasi anonim dapat menjadi PII, seperti yang ditunjukkan oleh gugatan Komisi Perdagangan Federal (FTC) baru-baru ini (tautan berada di luar ibm.com).

FTC berpendapat bahwa pialang data Kochava menjual data geolokasi yang dianggap sebagai PII karena "umpan data khusus perusahaan memungkinkan pembeli untuk mengidentifikasi dan melacak pengguna perangkat seluler tertentu. Sebagai contoh, lokasi perangkat seluler di malam hari kemungkinan besar adalah alamat rumah pengguna dan dapat dikombinasikan dengan catatan properti untuk mengungkap identitas mereka."

Kemajuan teknologi juga memudahkan untuk mengidentifikasi orang-orang dengan informasi yang lebih sedikit, sehingga berpotensi menurunkan ambang batas untuk apa yang dianggap sebagai PII secara umum. Misalnya, para peneliti di IBM dan Universitas Maryland telah merancang sebuah algoritma (tautan berada di luar ibm.com). Algoritma ini mengidentifikasi individu tertentu dengan menggabungkan data lokasi anonim dengan informasi yang tersedia untuk umum dari situs jejaring sosial.

Peraturan privasi internasional

Menurut McKinsey (tautan berada di luar ibm.com), 75% negara telah menerapkan undang-undang privasi data yang mengatur pengumpulan, penyimpanan, dan penggunaan PII. Mematuhi peraturan ini bisa jadi sulit karena yurisdiksi yang berbeda mungkin memiliki aturan yang berbeda atau bahkan bertentangan.

Munculnya komputasi awan dan tenaga kerja jarak jauh juga menimbulkan tantangan. Dalam lingkungan ini, data dapat dikumpulkan di satu tempat, disimpan di tempat lain, dan diproses di tempat ketiga. Peraturan yang berbeda mungkin berlaku untuk data pada setiap tahap, tergantung pada lokasi geografis.

Lebih rumit lagi, peraturan yang berbeda menetapkan standar yang berbeda untuk jenis data tertentu yang harus dilindungi. Peraturan Perlindungan Data Umum Uni Eropa (GDPR) mewajibkan organisasi untuk melindungi semua data pribadi, yang didefinisikan (tautan berada di luar ibm.com) sebagai "setiap informasi yang berkaitan dengan orang perseorangan yang diidentifikasi atau dapat diidentifikasi."

Di bawah GDPR, organisasi harus melindungi PII sensitif dan tidak sensitif. Organisasi juga harus melindungi hal-hal yang bahkan mungkin tidak dianggap sebagai data sensitif dalam konteks lain. Informasi ini mencakup opini politik, afiliasi organisasi, dan deskripsi karakteristik fisik. 

Peraturan privasi AS

Kantor Manajemen dan Anggaran (OMB) pemerintah AS secara lebih sempit mendefinisikan PII (tautan berada di luar ibm.com) sebagai:

[I]nformasi yang dapat digunakan untuk membedakan atau melacak identitas individu, seperti nama, nomor jaminan sosial, catatan biometrik, dll. baik secara terpisah, atau jika dikombinasikan dengan informasi pribadi atau identifikasi lainnya yang berkaitan atau dapat dikaitkan dengan individu tertentu, seperti tanggal dan tempat lahir, nama gadis ibu, dll.

Seperti yang dikatakan oleh analis Gartner, Bart Willemsen (tautan berada di luar ibm.com), "Di AS … PII secara historis mengacu pada dua atau tiga lusin pengidentifikasi seperti nama, alamat, nomor jaminan sosial, SIM, atau nomor kartu kredit."

Meskipun AS tidak memiliki undang-undang privasi data tingkat federal, lembaga pemerintah tunduk pada Undang-Undang Privasi tahun 1974, yang mengatur cara lembaga federal mengumpulkan, menggunakan, dan membagikan PII. Beberapa negara bagian AS mempunyai peraturan privasi datanya sendiri, terutama California. Undang-Undang Privasi Konsumen California (California Consumer Privacy Act atau CCPA) dan Undang-Undang Privasi California (CPRA) memberi konsumen hak tertentu mengenai cara organisasi mengumpulkan, menyimpan, dan menggunakan PII mereka.

Peraturan privasi khusus industri

Beberapa industri juga memiliki peraturan privasi data mereka sendiri. Di Amerika Serikat, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) mengatur bagaimana organisasi layanan kesehatan mengumpulkan dan melindungi rekam medis dan PII pasien.

Demikian pula, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) mengenai standar industri keuangan global tentang bagaimana perusahaan kartu kredit, merchant, dan pemroses pembayaran menangani informasi pemegang kartu yang sensitif.

Penelitian menunjukkan bahwa organisasi telah bergulat untuk menavigasi lanskap hukum dan standar industri yang beragam ini. Menurut ESG (tautan berada di luar ibm.com), 66% perusahaan yang telah menjalani audit privasi data dalam tiga tahun terakhir telah gagal setidaknya sekali, dan 23% telah gagal tiga kali atau lebih.

Kegagalan untuk mematuhi peraturan privasi data yang relevan dapat mengakibatkan denda, kerusakan reputasi, kehilangan bisnis, dan konsekuensi lainnya bagi organisasi. Misalnya, Amazon didenda USD 888 juta karena melanggar GDPR pada tahun 2021 (tautan berada di luar ibm.com).

Peretas mencuri PII karena berbagai alasan: untuk melakukan pencurian identitas, untuk pemerasan, atau untuk menjualnya di pasar gelap, di mana mereka dapat memperoleh hingga USD 1 per nomor jaminan sosial dan USD 2.000 untuk nomor paspor (tautan berada di luar ibm.com). 

Peretas juga dapat menargetkan PII sebagai bagian dari serangan yang lebih besar: Mereka dapat menyandera PII dengan menggunakan ransomware atau mencuri PII untuk mengambil alih akun email para eksekutif untuk digunakan dalam penipuan phishing tombak dan penyusupan email bisnis (BEC).

Penjahat siber sering kali menggunakan serangan rekayasa sosial untuk menipu korban yang tidak menaruh curiga agar rela menyerahkan PII, tetapi mereka juga dapat membelinya di dark web atau mendapatkan akses sebagai bagian dari pelanggaran data yang lebih besar. PII dapat dicuri secara fisik dengan rooting melalui sampah seseorang atau memata-matai mereka saat mereka menggunakan komputer.

Aktor jahat juga dapat memantau akun media sosial target, yang mana banyak orang tanpa sadar membagikan PII yang tidak sensitif setiap hari. Seiring waktu, penyerang dapat mengumpulkan informasi yang cukup untuk menyamar sebagai korban atau membobol akun mereka.

Bagi organisasi, melindungi PII bisa jadi rumit. Pertumbuhan komputasi awan dan layanan SaaS berarti bahwa PII dapat disimpan dan diproses di beberapa lokasi, bukan di satu jaringan terpusat.

Menurut laporan dari ESG (tautan berada di luar ibm.com), jumlah data sensitif yang disimpan di cloud publik diperkirakan akan meningkat dua kali lipat pada tahun 2024, dan lebih dari separuh organisasi percaya bahwa data ini tidak cukup aman.

Untuk melindungi PII, organisasi biasanya membuat kerangka kerja privasi data. Kerangka kerja ini dapat memiliki bentuk yang berbeda tergantung pada organisasinya, PII yang dikumpulkannya, dan peraturan privasi data yang harus dipatuhi. Sebagai contoh, Institut Standar dan Teknologi Nasional (NIST) menyediakan kerangka kerja sampel ini (tautan berada di luar ibm.com):

1. Mengidentifikasi semua PII dalam sistem organisasi.

2. Meminimalkan pengumpulan dan penggunaan PII, dan secara teratur membuang PII yang tidak lagi diperlukan.

3. Mengkategorikan PII menurut tingkat sensitivitas.

4. Menerapkan kontrol keamanan data . Contoh kontrol dapat mencakup:

• Enkripsi: Mengenkripsi PII saat transit, saat istirahat, dan saat digunakan melalui enkripsi homomorfis atau komputasi rahasia dapat membantu menjaga PII tetap aman dan patuh di mana pun PII tersebut disimpan atau ditangani.
  
  
• Manajemen identitas dan akses (IAM): Autentikasi dua faktor atau multifaktor dapat menempatkan lebih banyak penghalang antara peretas dan data sensitif. Demikian pula, menegakkan prinsip hak istimewa yang paling sedikit melalui arsitektur zero trust dan kontrol akses berbasis peran (RBAC) dapat membatasi jumlah yang dapat diakses oleh peretas PII jika mereka berhasil membobol jaringan.
  
  
• Pelatihan: Karyawan belajar cara menangani dan membuang PII dengan benar. Para karyawan juga belajar bagaimana melindungi PII mereka sendiri. Pelatihan ini mencakup bidang-bidang seperti anti-phishing, rekayasa sosial, dan kesadaran media sosial.
  
  
• Anonimisasi: Anonimisasi data adalah proses menghapus karakteristik identifikasi data sensitif. Teknik anonimisasi yang umum termasuk menghapus pengidentifikasi dari data, menggabungkan data, atau menambahkan kebisingan secara strategis ke data.
  
  
• Alat keamanan siber: Alat pencegahan kehilangan data (DLP) dapat membantu melacak data saat bergerak di seluruh jaringan, sehingga lebih mudah mendeteksi kebocoran dan pelanggaran. Solusi keamanan siber lainnya yang menawarkan tampilan aktivitas tingkat tinggi di jaringan—seperti alat deteksi dan respons yang diperluas (XDR)—juga dapat membantu dalam melacak penggunaan dan penyalahgunaan PII.

5. Menyusun rencana respons insiden terhadap kebocoran dan pelanggaran PII.

Perlu dicatat bahwa NIST dan pakar privasi data lainnya sering kali merekomendasikan untuk menerapkan kontrol yang berbeda pada kumpulan data yang berbeda berdasarkan seberapa sensitif data tersebut. Menggunakan kontrol ketat untuk data yang tidak sensitif mungkin rumit dan tidak hemat biaya.