在全球地质雷达下，性别是否被视为PII (个人身份识别信息)？

Question

由于GDPR正在改变每一分钟的一切，我正在对我们的网站/过程进行一些修改。

我在UX (英国)的eCommerce工作，并支持市场营销团队的某些活动。

我的问题是，一个人的性别是否算PII？

我们将性别存储在数据层中，作为一个JavaScript变量存在于我们自己的业务中，然后我们可以选择将这些变量传递到一个测试平台，根据这些变量的存在将这些变量传递给目标个体。由于我不是一个合法/数据类型的人，我不能100%确定是否通过我们存储和有手段将一个人的性别(从我们在我们创建账户时得到的信息)传递给第三方，我们是否违反了任何类型的信息安全协议？

如果这是公司的政策等等，那就让我知道，我会结束这个问题，因为这不是真正的这里。

Answer 1

“全球地质雷达”中提到的个人数据的定义：

“个人数据”是指与已识别或可识别的自然人(“数据主体”)有关的任何信息；可识别的自然人是指能够直接或间接识别的人，特别是通过参考诸如姓名、身份号码、位置数据、在线标识符或与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素；

正如你说，你使用变量的存在，目标个人，性别肯定有一个间接的参考某人的身份，因此，是个人数据。然而，这并不意味着你必须停止在你描述的上下文中处理性别问题。

从风险的角度来看(这就是GDPR的全部内容)，如果你只分享性别，我看不出有什么问题--这实际上是假名，因为你没有提供任何其他直接的识别数据。

但是，您还有其他义务。透明度原则，将处理活动纳入处理登记册，确定处理的法律依据(并据此行事)，确定处理器-控制器与第三方的关系，并在合同中列入必要的条款等。为了确定这一切，需要比你在问题中提供的更多的信息，我强烈鼓励寻求(法律)专业咨询，在这方面支持你。

Answer 2

TLDR:可能

来自https://www.seobyrvc.com/what-is-personally-identifiable-information-pii/：

以下是“潜在的个人识别信息”的例子。也就是说，数据元素本身不能链接到特定的人，但如果与其他信息(如上面的项目1至11 )相结合，它们可以是。

1. 持久化标识符，如保存在“cookie”中的通用客户/用户值。
2. IP (Internet协议)地址或主机名
3. 出生日期、年龄
4. 种族或族裔背景
5. 宗教归属
6. 性别
7. 高度、重量
8. 婚姻状况
9. 就业信息
10. 医学信息
11. 财务信息
12. 信用信息
13. 学生信息

根据网站访问者的浏览器设置，cookie(项目12)是小文本文件，存储在访问者的本地驱动器中，并在浏览器和托管访问站点的服务器之间传输。这里的要点是，作为独立的信息，这些数据元素不是PII。他们有潜力成为PII。当它们与其他更具体的数据结合在一起时，它们就变成了PII，这些数据总计可以识别特定的人。例如，没有链接到特定个人的完整的信用报告不是PII。只是匿名的信用信息。然而，即使一份信用报告可能没有一个人的名字和姓氏，但如果它包含足够的信息来识别某一特定的人(即出生日期+性别+族裔+邮政编码+ IP地址)，它符合PII的定义。