Secrails LogoSECRAILS
Înapoi la BlogConfidențialitate & Protecția Datelor

Exemple de PII: Ce se consideră informații de identificare personală în 2026

secrails··10 min
Data PrivacyPIIGDPRComplianceData Protection
Ilustrație digitală cu tipuri de date PII reprezentate ca fișe etichetate — nume, CNP, biometrie, adresă IP — pe fundal albastru închis cu niveluri de clasificare

Raportul IBM privind costul breșelor de date din 2026 a estimat costul mediu global al unui incident la 4,88 milioane de dolari — iar numitorul comun al majorității acestor incidente a fost expunerea informațiilor de identificare personală. PII este atât cel mai vizat activ în atacurile cibernetice moderne, cât și termenul cel mai puțin consistent definit în programele de guvernanță a datelor din multe organizații.

Inginerii de securitate îl dezbat constant. Echipele juridice îl interpretează diferit. Iar reglementările — GDPR, CCPA, HIPAA, NIST — nu sunt întotdeauna de acord unde se trasează liniile. Să clarificăm ambiguitatea și să fim specifici cu privire la ce este PII, care sunt cele mai relevante exemple și ce trebuie să facă echipa ta pentru a-l proteja.

Ce este PII? Definiția de lucru

PII — informații de identificare personală — se referă la orice date care pot fi folosite, singure sau în combinație cu alte date, pentru a identifica o persoană specifică. Ultima parte contează: singure sau în combinație. Un nume singur poate părea inofensiv. Combinat cu angajatorul, codul poștal și data nașterii, creezi o combinație de cvasiidentificatori care poate re-identifica o persoană cu o acuratețe surprinzătoare.

NIST SP 800-122 definește PII ca informații care pot distinge sau trasa identitatea unei persoane, singure sau combinate cu alte informații legate. GDPR folosește termenul mai larg de date cu caracter personal — orice informație referitoare la o persoană fizică identificată sau identificabilă. Aceste definiții nu sunt identice. O adresă IP statică este definitiv PII conform GDPR; răspunsul este mai neclar sub standardele federale americane mai vechi.

Exemple directe de PII

Identificatorii direcți sunt puncte de date care, prin ele însele, identifică unic o persoană. Acestea sunt activele de mare prioritate în orice politică de clasificare a datelor:

  • Numele complet — Prenume, al doilea prenume, nume de familie, nume de fată, aliasuri legale
  • Codul Numeric Personal (CNP) — Identificatorul național de referință în România
  • Numărul pașaportului — Emis de stat; legat unic de o persoană la nivel global
  • Numărul permisului de conducere — Identificator direct emis de stat
  • Date biometrice — Amprente, scanări retiniene, geometria feței, amprente vocale, secvențe ADN
  • Numere de cont financiar — Cont bancar, numere de card de credit și debit, IBAN
  • Numere de fișă medicală — Conform HIPAA, acestea sunt PHI, un subset al PII

Datele biometrice nu sunt doar PII — sunt PII sensibil, iar conform Articolului 9 din GDPR, sunt o categorie specială de date care necesită consimțământ explicit și protecție sporită.

Exemple indirecte de PII

Identificatorii indirecți sunt cei care prind chiar și echipele de conformitate experimentate în capcană. Numerele de telefon sunt fără echivoc PII conform GDPR, CCPA și NIST SP 800-122. Adresele IP dinamice constituie date cu caracter personal conform legislației UE, conform deciziei CJUE în Breyer contra Germaniei. Adresele de e-mail personale, datele de geolocalizare precisă și identificatorii de dispozitive precum adresele MAC intră de asemenea în domeniu de aplicare.

PII sensibil: Categoria cu risc ridicat

Nu toate PII prezintă același risc. Informațiile de identificare personală sensibile sunt date a căror expunere cauzează prejudicii disproporționate. Exemplele de PII sensibil includ CNP-uri și numere de identitate naționale, identificatori biometrici, credențiale de conturi financiare, informații medicale și de sănătate, orientare sexuală, credințe religioase sau politice, statut de imigrare și date genetice. Articolul 9 din GDPR listează categorii speciale care necesită consimțământ explicit și măsuri de protecție suplimentare.

PII în cod: Unde inginerii pierd de fapt date

PII nu scapă doar din bazele de date compromise — scapă din codul aplicației. Chei API hardcodate, loguri de debug care captează payload-uri complete și mesaje de eroare care returnează date ale utilizatorilor sunt surse clasice de scurgere. Capabilitățile de Secret Detection din platformele moderne de securitate există tocmai pentru că dezvoltatorii comit accidental credențiale care acordă acces la depozitele de PII. Analiza statică prin instrumente SAST poate identifica tipare periculoase înainte ca acestea să ajungă în producție.

Controale tehnice și organizatorice pentru protecția PII

Instrumentele automatizate trebuie să scaneze stocarea cloud, bazele de date și lacurile de date pentru tipare PII. Vizibilitatea Cloud Inventory este fundamentală. PII sensibil în repaus trebuie criptat la nivel de câmp. Tokenizarea înlocuiește PII cu tokeni non-sensibili. Erorile de configurare IAM în mediile cloud sunt unul dintre vectorii principali de expunere a PII — exact aici adaugă valoare măsurabilă instrumentele CSPM. Policy-as-Code permite aplicarea automată a regulilor de protecție a datelor înainte ca infrastructura să ajungă în producție.

Conformitate PII: Obligații de reglementare

Pentru organizațiile supuse GDPR, cerințele sunt bine stabilite dar exigente: baza legală pentru procesare, drepturile persoanelor vizate, evaluările impactului și notificarea în 72 de ore în caz de încălcare. Amenzile pot ajunge la 20 milioane euro sau 4% din cifra de afaceri anuală globală. Problema agregării este unul dintre riscurile PII cel mai frecvent subestimate: date individuale inofensive devin identificatoare și dăunătoare când sunt combinate. Instrumentele de Compliance au evoluat pentru a automatiza colectarea dovezilor. Postura de Cloud Security afectează direct suprafața de expunere PII — serviciile cloud configurate greșit expun în mod regulat date care nu ar trebui să fie accesibile extern.

Frequently Asked Questions

Care sunt cele mai comune exemple de PII?

Cele mai comune exemple de PII includ nume complete, CNP-uri, numere de pașaport și permis de conducere, adrese de e-mail, numere de telefon, adrese fizice, adrese IP și date biometrice precum amprente și geometria feței. Numerele de cont financiar, numerele de fișă medicală și identificatorii de dispozitive precum adresele MAC se califică de asemenea.

Este un număr de telefon considerat PII?

Da, numerele de telefon sunt universal considerate PII conform GDPR, CCPA și NIST SP 800-122. Un număr de telefon se leagă direct de un abonat înregistrat, făcându-l un punct de date identificator. Numerele de telefon mobil prezintă o sensibilitate mai mare decât liniile fixe de birou și ar trebui tratate ca PII sensibil.

Care este diferența dintre PII și PII sensibil?

PII reprezintă orice date care pot identifica o persoană, în timp ce PII sensibil este un subset a cărui expunere cauzează prejudicii disproporționate precum pierdere financiară, discriminare sau furt de identitate. Exemple de PII sensibil includ CNP-uri, date biometrice, credențiale de conturi financiare, dosare medicale, orientare sexuală, statut de imigrare și date genetice.

Cum definește GDPR PII în comparație cu reglementările americane?

GDPR folosește termenul date cu caracter personal și aplică definiția cea mai largă: orice informație referitoare la o persoană fizică identificată sau identificabilă, inclusiv date pseudonimizate și adrese IP. Cadrele americane precum NIST SP 800-122, HIPAA și CCPA sunt mai înguste sau mai specifice unui sector. Domeniul extrateritorial al GDPR îl face standardul global de facto pentru majoritatea companiilor multinaționale.

Cum ar trebui organizațiile să protejeze PII în mediile cloud?

Organizațiile ar trebui să protejeze PII în mediile cloud prin menținerea unui inventar complet al datelor, aplicarea criptării la nivel de câmp pentru PII sensibil, aplicarea controalelor de acces cu privilegii minime, scanarea pentru secrete și configurații greșite folosind instrumente CSPM și SAST, și codificarea regulilor de gestionare a datelor ca policy-as-code în pipeline-urile CI/CD.

Protejați PII înainte să fie prea târziu

Automatizați descoperirea PII, aplicați politici de gestionare a datelor ca și cod și mențineți conformitate continuă în mediul dumneavoastră cloud.

Explorați soluțiile de conformitate