Secrails LogoSECRAILS
Înapoi la BlogConfidențialitate & Protecția Datelor

Exemple de PII: Ce se consideră informație personală identificabilă în 2026

secrails··11 min
Data PrivacyPII ProtectionGDPRComplianceCloud Security
Hartă de clasificare vizuală a exemplelor PII cu categorii de date sensibile inclusiv CNP, biometrie, înregistrări financiare și adrese IP printr-un sistem de guvernanță a datelor

Problema clasificării despre care nimeni nu vorbește

Raportul IBM privind costul breșelor de date din 2026 estimează costul mediu al unei breșe la 4,88 milioane de dolari. O parte semnificativă provine dintr-un singur eșec specific: organizațiile nu știau ce date dețin, unde sunt stocate sau dacă se califică drept PII — până când erau deja expuse. Nu este o problemă de instrumente de securitate. Este o problemă de clasificare.

PII — informații de identificare personală — pare un concept simplu. Nu este. Cadrele de reglementare nu sunt de acord asupra definițiilor exacte. NIST SP 800-122 le definește diferit față de GDPR. CCPA adaugă un alt strat. Și apoi echipa de inginerie lansează o funcție care înregistrează adrese IP în text simplu, și deodată discutați cu DPO-ul despre obligații de notificare a breșelor.

Acest ghid elimină ambiguitatea prin exemple concrete, cazuri limită din lumea reală și implicațiile de conformitate care contează cu adevărat în 2026.

Ce se consideră PII? Cadrul de bază

Definiția NIST din SP 800-122 rămâne ancora industriei: PII sunt orice informații care pot fi utilizate pentru a distinge sau urmări identitatea unui individ, fie singure, fie combinate cu alte informații legate de o persoană specifică. A doua clauză — combinată cu alte informații — este locul în care majoritatea organizațiilor greșesc.

Un nume singur? Discutabil. Un nume plus angajator plus cod poștal? Aproape sigur PII. Aceasta este problema legabilității, și de aceea listele statice de categorii PII pot fi periculos de incomplete. GDPR merge și mai departe: orice date referitoare la o persoană fizică identificată sau identificabilă constituie date cu caracter personal — o poziție confirmată de CJUE în cazul Breyer împotriva Germaniei.

Identificatori direcți vs. indirecți

Identificatorii direcți includ: nume complet, cod numeric personal, număr pașaport, permis de conducere, date biometrice și numere de identitate emise de stat. Identificatorii indirecți includ: cod poștal, dată de naștere, gen, angajator, funcție, adresă IP, identificatori de dispozitiv, cookie-uri, date comportamentale și istoricul locației.

Un studiu clasic de la Carnegie Mellon a demonstrat că 87% din americani puteau fi identificați unic folosind doar codul poștal, data nașterii și genul. Trei identificatori indirecți — riscul de legabilitate demonstrat concret.

Exemple PII pe categorii

Documente de identitate și guvernamentale

Coduri numerice personale, numere de identificare fiscală, numere de pașaport, numere de cărți de identitate naționale, permise de conducere — toate sunt clar PII în fiecare cadru major. Acestea sunt și cele mai valoroase ținte în campaniile de furt de credențiale. Expunerea lor declanșează obligații de notificare conform GDPR Articolele 33 și 34.

Informații de contact și date tehnice

Nume complet, adresă de domiciliu, email personal, număr de telefon personal. Este numărul de telefon PII? Da, fără echivoc. Conform GDPR sunt date cu caracter personal. Conform NIST SP 800-122, un număr de telefon fie identifică direct o persoană, fie poate fi ușor combinat cu alte informații.

Adresele IP, ID-urile de dispozitiv, identificatorii de cookie și datele de geolocație sunt de asemenea PII. Instrumentele de Secret Detection trebuie să depășească cheile API și să acopere fișierele de log cu date personale — acesta este un vector real de expunere PII în mediile cloud moderne.

Date financiare, medicale și biometrice

Numerele de card de credit, conturile bancare și scorurile de credit constituie PII financiar. Dosarele medicale, numerele de asigurare de sănătate și informațiile despre prescripții sunt PII medical. Datele biometrice — amprente, recunoaștere facială, scanări iris — sunt deosebit de sensibile deoarece sunt imuabile. GDPR Articolul 9 le clasifică drept categorie specială.

PII Sensibil: Nivelul de risc ridicat

PII sensibil este un subset care necesită protecție sporită. Include: CNP-uri, numere de cont financiar cu coduri de securitate, date biometrice, informații medicale, orientare sexuală și identitate de gen, convingeri religioase și politice, origine rasială sau etnică, cazier judiciar, date precise de geolocație și parole. GDPR Articolul 9 impune consimțământ explicit pentru procesarea acestor date. Amenzi de până la 20 milioane euro sau 4% din cifra de afaceri globală anuală. Automatizarea conformității este esențială — auditurile manuale nu se scalează.

PII în mediile Cloud și controale tehnice

La scara cloud, copiile de date proliferează, mediile de dev sunt populate cu date de producție, bucket-urile S3 sunt configurate greșit. Instrumentele CSPM scanează continuu pentru configurații greșite: bucket-uri S3 publice, instanțe de baze de date necriptate, politici IAM excesiv permisive. Analiza statică integrată în pipeline-urile CI/CD prin SAST detectează expunerea PII în codul sursă înainte de lansare. Vulnerability Management asigură că sistemele care stochează PII nu au vulnerabilități nepatchate. Inventarul complet al activelor cloud prin Cloud Inventory elimină punctele oarbe în clasificarea PII.

Ce cer cu adevărat cadrele de conformitate

GDPR impune șapte principii: legalitate, limitarea scopului, minimizarea datelor, exactitate, limitarea stocării, integritate și confidențialitate, responsabilitate. Articolul 25 mandatează Privacy by Design. Breșele se notifică în 72 de ore. NIST Privacy Framework oferă o abordare bazată pe risc pentru gestionarea PII, adoptată tot mai mult ca linie de bază comercială. CCPA și CPRA extind drepturile persoanelor vizate în California, cu legi similare în alte state americane.

La SECRAILS, vedem aceste modele în mod repetat în evaluările de securitate cloud. Expunerea PII este rareori rezultatul unor atacuri sofisticate — aproape întotdeauna este un eșec de configurare sau de proces care ar fi putut fi detectat mai devreme în ciclul de dezvoltare.

Frequently Asked Questions

Care sunt cele mai comune exemple de PII?

Cele mai comune exemple de PII includ: nume complete, coduri numerice personale, adrese de domiciliu, adrese de email, numere de telefon, date de naștere, numere de pașaport, permise de conducere, adrese IP, identificatori de dispozitiv și numere de cont financiar. Datele biometrice precum amprentele și șabloanele de recunoaștere facială se califică de asemenea ca PII sensibil conform GDPR și NIST SP 800-122.

Este un număr de telefon considerat PII?

Da, un număr de telefon este PII. Conform GDPR reprezintă date cu caracter personal deoarece poate identifica un individ specific. NIST SP 800-122 tratează numerele de telefon ca PII deoarece fie identifică direct o persoană, fie pot fi combinate cu alte date pentru identificare. Distincția principală este între numerele personale — clar PII — și liniile corporative generale unde răspund mai multe persoane.

Care este diferența dintre PII și PII sensibil?

PII cuprinde orice informație care poate identifica un individ. PII sensibil este un subset care necesită protecție mai puternică deoarece expunerea sa cauzează prejudicii mai mari. PII sensibil include CNP-uri, date biometrice, informații medicale, numere de cont cu coduri de securitate și categorii speciale conform GDPR, cum ar fi originea rasială, orientarea sexuală și convingerile religioase. Distincția influențează cerințele de criptare, standardele de control al accesului și pragurile de notificare a breșelor.

Se aplică GDPR tuturor tipurilor de PII?

GDPR se aplică datelor cu caracter personal, un concept mai larg decât definiția tradițională americană a PII. Conform GDPR, orice informație referitoare la o persoană fizică identificată sau identificabilă reprezintă date cu caracter personal — inclusiv identificatori indirecți precum adrese IP, identificatori de cookie și date de localizare. Dacă organizația dvs. procesează date ale rezidenților UE, GDPR se aplică indiferent de sediul organizației.

Cum ar trebui organizațiile să protejeze PII în mediile cloud?

Protecția eficientă a PII în mediile cloud necesită mai multe controale stratificate: descoperirea automată a PII pentru a ști unde există date personale în storage, baze de date și log-uri; instrumente CSPM pentru detectarea configurațiilor greșite; criptare AES-256 în repaus și TLS 1.3 în tranzit; controale de acces cu privilegii minime; analiză statică în pipeline-urile CI/CD pentru a detecta PII în cod înainte de lansare; și gestionarea continuă a vulnerabilităților. Mediile de dev ar trebui să utilizeze date sintetice în loc de PII de producție.

Oprește expunerea PII înainte să devină o breșă

Automatizează descoperirea PII, clasifică datele sensibile din întreaga infrastructură cloud și aplică controale de conformitate continuu, nu doar la momentul auditului.

Explorează automatizarea conformității