Apa itu Personally Identifiable Information (PII)?

Setiap kali Anda membuka akun, melakukan pembelian, atau mengunduh aplikasi, Anda membagikan potongan informasi tentang diri Anda. Beberapa data tersebut mungkin terlihat tidak berbahaya. Detail lainnya dapat digunakan untuk memverifikasi identitas Anda, mengakses akun Anda, atau melakukan penipuan jika jatuh ke tangan yang salah.

Memahami informasi mana yang membuat Anda berisiko dan bagaimana informasi tersebut dapat disalahgunakan adalah langkah pertama untuk melindungi identitas digital Anda. Saat Anda tahu apa yang harus diwaspadai, akan lebih mudah untuk mengurangi paparan dan tetap mengendalikan data pribadi Anda.

Yang perlu Anda ketahui:

• PII mencakup detail yang jelas seperti nama dan nomor Social Security Anda, tetapi juga data tidak langsung seperti riwayat lokasi atau pengenal perangkat.
• Beberapa PII mengidentifikasi Anda secara langsung, sementara data lainnya menjadi pengenal saat dikaitkan bersama.
• PII yang terekspos dapat mengarah pada pencurian identitas, penipuan, phishing, dan pengambilalihan akun.
• Bisnis diharapkan menangani PII dengan hati-hati berdasarkan undang-undang privasi dan perlindungan data.
• Anda dapat mengurangi risiko dengan membatasi apa yang Anda bagikan dan mengamankan akun. Banyak orang juga memantau potensi penyalahgunaan.

Apa itu personally identifiable information (PII)?

Personally identifiable information (PII) adalah informasi apa pun yang dapat digunakan untuk mengidentifikasi seseorang secara langsung atau tidak langsung.

Data tersebut bisa khusus untuk satu individu, seperti nomor social security, atau bisa berupa “quasi-identifier”, potongan data umum yang berbeda, seperti tempat dan tanggal lahir, yang dapat digabungkan untuk mengidentifikasi individu.

PII dapat berkisar dari nama dan nomor ID hingga alamat email, alamat IP, dan data lokasi. Penting untuk memahami risiko paparan dan bagaimana PII harus dilindungi atau dihapus dari internet.

Apa saja contoh personally identifiable information?

PII mencakup semua informasi yang dapat mengidentifikasi Anda. Beberapa poin data mungkin terlihat tidak berbahaya jika berdiri sendiri. Namun jika digabungkan, data tersebut dapat mempersempit identitas seseorang dengan cepat. Riset Kaspersky menunjukkan bahwa personally identifiable information adalah salah satu data yang paling sering terekspos dalam pelanggaran, muncul sekitar 43% kasus, yang menyoroti betapa seringnya tipe data ini berisiko.

Pengidentifikasi langsung

Pengidentifikasi langsung jelas menunjuk ke seseorang tertentu tanpa memerlukan konteks tambahan. Ini termasuk:

• Detail kartu kredit
• Nomor social security
• Nomor SIM (surat izin mengemudi)
• Nomor dan detail paspor
• Informasi rekening bank
• Rekam medis
• Data biometrik dan pengenal seperti sidik jari dan data pengenalan wajah

Jika terekspos, jenis informasi ini dapat dengan cepat menyebabkan pencurian identitas atau penipuan keuangan.

Pengidentifikasi tidak langsung (quasi)

Pengidentifikasi tidak langsung atau quasi mungkin kurang jelas. Ini mencakup:

• Kode ZIP
• Ras
• Agama
• Jenis kelamin
• Tanggal lahir
• Tempat lahir
• Nama lengkap
• Informasi dan riwayat pekerjaan
• Detail pendidikan
• Alamat email atau alamat pos
• Nomor telepon
• Nama gadis ibu
• Informasi biografis – seperti detail orang tua, saudara, pasangan, dan anak
• Alamat IP dan pengenal terkait perangkat yang dikumpulkan secara online

Walaupun detail ini mungkin tampak biasa, menautkannya bersama dapat mengungkap lebih dari yang diperkirakan dan meningkatkan risiko.

Apa itu PII di bidang layanan kesehatan?

PII sering disebut sebagai protected health information (PHI) dalam lingkungan layanan kesehatan. PHI mencakup data medis atau terkait kesehatan yang dapat ditautkan ke seseorang berdasarkan undang-undang seperti HIPAA di Amerika Serikat.

PHI biasanya menggabungkan PII dasar (nama atau tanggal lahir) dengan detail medis seperti diagnosis, catatan perawatan, resep, atau informasi asuransi. Menghubungkan bagian-bagian ini dapat memberikan banyak informasi tentang individu.

Bagi pasien, hal ini berpotensi memengaruhi portal online, klaim asuransi, sistem janji temu, dan catatan penagihan. Karena data kesehatan bersifat pribadi dan berdampak jangka panjang, melindungi PHI sangat penting untuk mencegah pencurian identitas atau penyalahgunaan rekam medis.

Apa perbedaan antara PII yang sensitif dan tidak sensitif?

Perbedaannya terletak pada dampaknya. Sensitivitas bergantung pada seberapa besar kerugian yang bisa terjadi jika informasi tersebut terekspos.

PII yang sensitif dapat langsung mengarah pada pencurian identitas atau penipuan keuangan. PII yang tidak sensitif mungkin tampak tidak berbahaya jika berdiri sendiri dan bergantung pada data lain untuk memberikan identitas yang presisi.

Nomor paspor atau SIM dianggap sensitif. Data tersebut dapat berbahaya meski berdiri sendiri, jika terekspos. Riwayat pekerjaan atau pendidikan Anda adalah contoh PII yang tidak sensitif.

Bahkan data “tidak sensitif” dapat menjadi berbahaya saat ditautkan bersama. Misalnya, nama plus tanggal lahir dan lokasi dapat mempersempit identitas dengan cepat. Alternatifnya, alamat IP saja mungkin tidak secara jelas menyebutkan seseorang. Namun, saat ditautkan ke catatan login dan sidik jari perangkat, alamat tersebut dapat menunjuk ke pengguna tertentu.

Mengapa penjahat menargetkan personally identifiable information?

Penjahat menargetkan PII karena dapat digunakan untuk berbagai bentuk penipuan dan pengambilalihan akun.

Informasi yang dicuri dapat digunakan langsung untuk mengakses akun keuangan atau mengatur ulang kata sandi. Informasi itu juga bisa dikemas dan dijual atau diperdagangkan di dark web kepada pihak lain yang melakukan penipuan. PII sangat bernilai bagi penipu.

Bagi korban, akibatnya bisa berupa kerugian finansial dan masalah jangka panjang seperti rusaknya skor kredit. Memulihkan akun dan identitas bisa menjadi proses yang panjang dan sulit.

Bagaimana PII bisa dicuri?

PII biasanya dicuri melalui saluran sehari-hari, bukan peretasan yang rumit.

Rute paling umum adalah phishing atau smishing. Email atau SMS palsu meminta Anda mengeklik tautan atau mengonfirmasi detail, tetapi sebenarnya merupakan cara untuk mencuri detail Anda untuk digunakan atau dijual. Penipuan rekayasa sosial bekerja dengan cara yang sama dengan menggunakan tekanan dan kesan urgensi untuk membuat Anda membagikan informasi secara langsung.

Pelanggaran data dan serangan malware adalah sumber utama lainnya. Ketika perusahaan diretas, detail akun penting pelanggan mereka dapat terekspos secara massal. Ini bahkan bisa terjadi pada perusahaan yang diakui secara global. Misalnya, kesalahan terbaru dalam pengodean aplikasi pinjaman PayPal membuat data pelanggan terekspos selama berbulan-bulan.

PII juga dapat terekspos melalui perangkat yang hilang atau Wi-Fi publik yang tidak aman. Koneksi yang tidak aman dapat memberi penyerang akses ke akun tersimpan dan kredensial yang disimpan.

Tanda bahaya yang perlu diwaspadai:

• Pesan yang meminta konfirmasi mendesak atas detail akun atau pembayaran
• Permintaan untuk membagikan kode sekali pakai atau kata sandi
• Jaringan Wi-Fi publik yang tidak aman tanpa kata sandi
• Biaya tak terduga atau notifikasi login

Anda juga harus memperhatikan berita (dari sumber tepercaya) tentang pelanggaran data yang melibatkan layanan yang Anda gunakan.

Undang-undang apa yang melindungi personally identifiable information?

Beberapa undang-undang di seluruh dunia dirancang untuk melindungi data pribadi dan memberikan hak tertentu kepada individu atas informasi mereka. Setiap negara membuat undang-undangnya sendiri terkait data ini, tetapi dapat menggunakan kerangka kerja yang sama.

• GDPR (General Data Protection Regulation) memberikan hak kepada orang-orang di EU untuk mengakses, membetulkan, dan meminta penghapusan data pribadi mereka.
• CCPA/CPRA (California Consumer Privacy Act dan California Privacy Rights Act) memungkinkan penduduk California mengetahui data apa yang dikumpulkan tentang mereka dan meminta agar data tersebut dihapus atau tidak dijual.
• Privacy Act tahun 1974 mengatur bagaimana lembaga federal AS mengumpulkan dan menggunakan informasi pribadi.
• HIPAA (Health Insurance Portability and Accountability Act) melindungi informasi terkait kesehatan yang ditangani oleh penyedia layanan medis dan perusahaan asuransi.
• PCI DSS (Payment Card Industry Data Security Standard) menetapkan persyaratan keamanan bagi perusahaan yang menangani data kartu kredit.
• PDPA (Singapore Personal Data Protection Act) menetapkan aturan untuk pengumpulan, penggunaan, dan pengungkapan data di Singapura.
• POPIA (South Africa’s Protection of Personal Information Act) menetapkan kondisi untuk pemrosesan data pribadi yang sah.
• PDPL (Saudi Arabia’s Personal Data Protection Law) berlaku penuh pada 2024. Undang-undang ini memberikan hak dan kewajiban perlindungan data di Kerajaan Arab Saudi.

Bagaimana Anda dapat melindungi personally identifiable information Anda?

Melindungi PII berarti mengurangi seberapa banyak data tersebut terekspos, serta mempersulit penyerang untuk menggunakan apa yang mereka temukan. Ada beberapa metode sederhana yang dapat Anda terapkan untuk mengatasi pengambilalihan akun dan penyalahgunaan identitas.

Perkuat keamanan akun

Gunakan kata sandi yang kuat dan unik untuk setiap akun dan simpan di pengelola kata sandi untuk keamanan ekstra. Aktifkan autentikasi multi-faktor kapan pun memungkinkan untuk menambahkan lapisan keamanan lainnya.

Pastikan untuk memeriksa kredensial yang bocor melalui peringatan pelanggaran dan segera ganti kata sandi yang terekspos.

Batasi apa yang Anda bagikan secara online

Tinjau pengaturan privasi media sosial Anda dan hapus detail publik yang tidak perlu – pikirkan apa yang benar-benar ingin Anda tampilkan secara publik. Hindari memposting tanggal lahir lengkap atau alamat rumah atau lokasi waktu nyata.

Berhati-hatilah dengan apa pun yang mendorong Anda membagikan informasi. Ini dapat mencakup kuis atau postingan yang menyerupai pertanyaan keamanan. Hal-hal ini bisa jadi penipuan, dibuat khusus untuk mengumpulkan informasi Anda.

Amankan perangkat dan koneksi

Gunakan pengaturan dan teknologi keamanan untuk memastikan Anda terlindungi semaksimal mungkin. Ada baiknya menjaga perangkat tetap diperbarui serta menggunakan kunci layar dan enkripsi bawaan.

Kami juga merekomendasikan penggunaan VPN di Wi-Fi publik untuk mengurangi risiko intersepsi. Koneksi publik memiliki risiko.

Kurangi pelacakan dan pengumpulan data

Pelacakan adalah ancaman lain bagi informasi Anda. Sesuaikan pengaturan privasi dan batasi cookie pihak ketiga untuk membatasi bagaimana koneksi internet dan detail perangkat Anda dilacak. Tinjau izin aplikasi dan nonaktifkan fitur pelacakan atau pemantauan yang tidak perlu yang dapat mengompromikan data Anda.

Batasi hal-hal seperti akses lokasi untuk aplikasi yang tidak membutuhkannya guna menurunkan kemungkinan data Anda dilacak dan digunakan untuk mengidentifikasi Anda.

Pakar juga merekomendasikan mengoptimalkan pengaturan privasi peramban – menonaktifkan cookie pihak ketiga, mencegah pelacakan situs web, membatasi iklan – membersihkan riwayat penjelajahan secara berkala (termasuk cookie dan cache), dan menghapus ekstensi yang tidak perlu.

Pantau potensi penyalahgunaan identitas

Sering kali bermanfaat untuk waspada dan menyiapkan peringatan untuk akun Anda. Aktifkan peringatan transaksi pada rekening bank dan kartu kredit agar Anda dapat melihat saat ada pengeluaran. Ada baiknya juga untuk secara rutin memeriksa laporan kredit guna mencari aktivitas yang tidak dikenal. Di US, “tiga besar” biro kredit, Experian, TransUnion, dan Equifax, menyediakan laporan secara gratis.

Layanan pemantauan identitas atau pembersihan data dapat memberikan visibilitas tambahan jika Anda menginginkan pengawasan berkelanjutan atas informasi Anda.

Bagaimana Anda dapat menghapus informasi pribadi Anda dari internet?

Menghapus PII secara online memungkinkan, namun mungkin berupa proses alih-alih perbaikan satu kali. Tujuannya adalah mengurangi paparan di tempat-tempat yang paling penting.

Tips utama meliputi:

• Hapus atau nonaktifkan akun yang tidak digunakan. Situs forum lama dan aplikasi sering menyimpan detail pribadi yang tidak lagi Anda perlukan secara online. Situs media sosial mungkin menyimpan banyak informasi. Hapus data Anda dari sini jika memungkinkan.
• Perketat pengaturan privasi media sosial. Batasi siapa yang dapat melihat profil Anda dan informasi apa yang dipublikasikan. Hapus detail pribadi seperti nomor telepon atau tanggal lahir lengkap.
• Ajukan permintaan penghapusan. Minta pemilik situs web menghapus informasi tentang Anda yang usang atau tidak perlu. Anda juga dapat meminta penghapusan detail pribadi tertentu dari hasil mesin telusur jika berlaku.
• Berhenti dari data broker. Banyak perusahaan mengumpulkan dan menjual kembali data pribadi. Anda dapat mengirimkan permintaan opt-out secara langsung atau menggunakan layanan penghapusan tepercaya jika informasi Anda tercantum secara luas.
• Tinjau kembali PII Anda di internet. Informasi pribadi dapat muncul kembali seiring waktu. Penting untuk meninjau dan membersihkan secara berkala daripada menganggap penghapusan sebagai tugas sekali selesai.

Apa yang harus Anda lakukan jika PII Anda terekspos?

Jika PII Anda terekspos, usahakan untuk tidak panik. Utamakan langkah-langkah yang membatasi akses lebih lanjut dan mengurangi kerugian finansial.

• Amankan akun Anda terlebih dahulu. Ganti kata sandi, terutama untuk email. Aktifkan autentikasi multi-faktor (MFA) jika memungkinkan.
• Periksa aktivitas yang tidak sah. Tinjau login akun dan transaksi terbaru serta apakah pengaturan keamanan telah diubah.
• Hubungi bank atau penyedia kartu Anda. Laporkan biaya mencurigakan dan tanyakan perlindungan tambahan.
• Bekukan kredit Anda jika perlu. Pembekuan kredit dapat mencegah pembukaan akun baru atas nama Anda hingga data Anda diamankan.
• Pantau pernyataan dan peringatan. Awasi aktivitas finansial dan akun untuk mendeteksi penyalahgunaan yang berkelanjutan.
• Laporkan pencurian identitas. Di UK, misalnya, mudah untuk membuat laporan ke unit Prevent Fraud kepolisian atau menghubungi mereka di 0300 123 2040.

Waspadai penipuan lanjutan. Penyerang terkadang menyamar sebagai layanan “pemulihan” atau tim keamanan setelah terjadi pelanggaran. Selalu verifikasi secara independen sebelum membagikan informasi lebih lanjut.

Artikel terkait:

• Apa saja risikonya terkait Data Leakage?
• Bagaimana cara terbaik melindungi privasi dari ancaman online?
• Apa penyebab utama terjadinya Data Breach?
• Bagaimana internet memengaruhi privasi individu dan perlindungan data?

Produk yang direkomendasikan:

• Kaspersky Premium
• Unduh uji coba gratis 30 hari paket premium kami

FAQ

Apakah alamat IP dianggap sebagai PII?

Secara tunggal, alamat IP mungkin tidak secara langsung mengidentifikasi seseorang, tetapi ketika ditautkan ke data lain atau catatan akun, alamat tersebut dapat menjadi dapat diidentifikasi secara pribadi.

Apa perbedaan antara PII dan data pribadi?

PII adalah istilah yang umum digunakan untuk menggambarkan informasi yang dapat diidentifikasi. “Data pribadi” adalah istilah yang lebih luas yang digunakan dalam regulasi seperti GDPR dan dapat mencakup jenis data tambahan.

Apa perbedaan antara PII dan PHI?

PII mencakup informasi pengenal umum. PHI secara khusus mengacu pada informasi terkait kesehatan yang ditautkan ke seseorang dan dilindungi berdasarkan undang-undang seperti HIPAA.

Bisakah Anda sepenuhnya menghapus PII Anda dari internet?

Penghapusan total jarang memungkinkan. Pemantauan berkelanjutan dan pembersihan berkala sering kali merupakan pendekatan yang lebih realistis.