Raportul IBM privind costul breșelor de date din 2026 a estimat costul mediu global al unui incident la 4,88 milioane de dolari — iar numitorul comun al majorității acestor incidente a fost expunerea informațiilor de identificare personală. PII este atât cel mai vizat activ în atacurile cibernetice moderne, cât și termenul cel mai puțin consistent definit în programele de guvernanță a datelor din multe organizații.
Inginerii de securitate îl dezbat constant. Echipele juridice îl interpretează diferit. Iar reglementările — GDPR, CCPA, HIPAA, NIST — nu sunt întotdeauna de acord unde se trasează liniile. Să clarificăm ambiguitatea și să fim specifici cu privire la ce este PII, care sunt cele mai relevante exemple și ce trebuie să facă echipa ta pentru a-l proteja.
Ce este PII? Definiția de lucru
PII — informații de identificare personală — se referă la orice date care pot fi folosite, singure sau în combinație cu alte date, pentru a identifica o persoană specifică. Ultima parte contează: singure sau în combinație. Un nume singur poate părea inofensiv. Combinat cu angajatorul, codul poștal și data nașterii, creezi o combinație de cvasiidentificatori care poate re-identifica o persoană cu o acuratețe surprinzătoare.
NIST SP 800-122 definește PII ca informații care pot distinge sau trasa identitatea unei persoane, singure sau combinate cu alte informații legate. GDPR folosește termenul mai larg de date cu caracter personal — orice informație referitoare la o persoană fizică identificată sau identificabilă. Aceste definiții nu sunt identice. O adresă IP statică este definitiv PII conform GDPR; răspunsul este mai neclar sub standardele federale americane mai vechi.
Exemple directe de PII
Identificatorii direcți sunt puncte de date care, prin ele însele, identifică unic o persoană. Acestea sunt activele de mare prioritate în orice politică de clasificare a datelor:
- Numele complet — Prenume, al doilea prenume, nume de familie, nume de fată, aliasuri legale
- Codul Numeric Personal (CNP) — Identificatorul național de referință în România
- Numărul pașaportului — Emis de stat; legat unic de o persoană la nivel global
- Numărul permisului de conducere — Identificator direct emis de stat
- Date biometrice — Amprente, scanări retiniene, geometria feței, amprente vocale, secvențe ADN
- Numere de cont financiar — Cont bancar, numere de card de credit și debit, IBAN
- Numere de fișă medicală — Conform HIPAA, acestea sunt PHI, un subset al PII
Datele biometrice nu sunt doar PII — sunt PII sensibil, iar conform Articolului 9 din GDPR, sunt o categorie specială de date care necesită consimțământ explicit și protecție sporită.
Exemple indirecte de PII
Identificatorii indirecți sunt cei care prind chiar și echipele de conformitate experimentate în capcană. Numerele de telefon sunt fără echivoc PII conform GDPR, CCPA și NIST SP 800-122. Adresele IP dinamice constituie date cu caracter personal conform legislației UE, conform deciziei CJUE în Breyer contra Germaniei. Adresele de e-mail personale, datele de geolocalizare precisă și identificatorii de dispozitive precum adresele MAC intră de asemenea în domeniu de aplicare.
PII sensibil: Categoria cu risc ridicat
Nu toate PII prezintă același risc. Informațiile de identificare personală sensibile sunt date a căror expunere cauzează prejudicii disproporționate. Exemplele de PII sensibil includ CNP-uri și numere de identitate naționale, identificatori biometrici, credențiale de conturi financiare, informații medicale și de sănătate, orientare sexuală, credințe religioase sau politice, statut de imigrare și date genetice. Articolul 9 din GDPR listează categorii speciale care necesită consimțământ explicit și măsuri de protecție suplimentare.
PII în cod: Unde inginerii pierd de fapt date
PII nu scapă doar din bazele de date compromise — scapă din codul aplicației. Chei API hardcodate, loguri de debug care captează payload-uri complete și mesaje de eroare care returnează date ale utilizatorilor sunt surse clasice de scurgere. Capabilitățile de Secret Detection din platformele moderne de securitate există tocmai pentru că dezvoltatorii comit accidental credențiale care acordă acces la depozitele de PII. Analiza statică prin instrumente SAST poate identifica tipare periculoase înainte ca acestea să ajungă în producție.
Controale tehnice și organizatorice pentru protecția PII
Instrumentele automatizate trebuie să scaneze stocarea cloud, bazele de date și lacurile de date pentru tipare PII. Vizibilitatea Cloud Inventory este fundamentală. PII sensibil în repaus trebuie criptat la nivel de câmp. Tokenizarea înlocuiește PII cu tokeni non-sensibili. Erorile de configurare IAM în mediile cloud sunt unul dintre vectorii principali de expunere a PII — exact aici adaugă valoare măsurabilă instrumentele CSPM. Policy-as-Code permite aplicarea automată a regulilor de protecție a datelor înainte ca infrastructura să ajungă în producție.
Conformitate PII: Obligații de reglementare
Pentru organizațiile supuse GDPR, cerințele sunt bine stabilite dar exigente: baza legală pentru procesare, drepturile persoanelor vizate, evaluările impactului și notificarea în 72 de ore în caz de încălcare. Amenzile pot ajunge la 20 milioane euro sau 4% din cifra de afaceri anuală globală. Problema agregării este unul dintre riscurile PII cel mai frecvent subestimate: date individuale inofensive devin identificatoare și dăunătoare când sunt combinate. Instrumentele de Compliance au evoluat pentru a automatiza colectarea dovezilor. Postura de Cloud Security afectează direct suprafața de expunere PII — serviciile cloud configurate greșit expun în mod regulat date care nu ar trebui să fie accesibile extern.

