การขโมยข้อมูลส่วนบุคคล

การขโมยข้อมูลส่วนบุคคลการละเมิดข้อมูลส่วนบุคคลหรือการลักลอบใช้ข้อมูลส่วนบุคคลเกิดขึ้นเมื่อบุคคลใดบุคคลหนึ่งใช้ข้อมูลส่วนบุคคลของผู้อื่น เช่น ชื่อหมายเลขประจำตัวหรือหมายเลขบัตรเครดิตโดยไม่ได้รับอนุญาต เพื่อกระทำการฉ้อโกงหรืออาชญากรรมอื่น ๆ คำว่าการขโมยข้อมูลส่วนบุคคลถูกบัญญัติขึ้นในปี 1964 ^{[ 1 ]}ตั้งแต่นั้นมา นิยามของการขโมยข้อมูลส่วนบุคคลได้รับการกำหนดทางกฎหมายทั่วทั้งสหราชอาณาจักรและสหรัฐอเมริกา ว่าเป็นการขโมยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ การขโมยข้อมูลส่วนบุคคลคือการใช้ ข้อมูลส่วนบุคคลของผู้อื่นโดยเจตนาเพื่อแสวงหาผลประโยชน์ทางการเงินหรือได้รับเครดิตและผลประโยชน์อื่น ๆ^{[ 2 ] [ 3 ]}บุคคลที่ข้อมูลส่วนบุคคลถูกขโมยอาจได้รับผลกระทบในทางลบ^{[ 4 ]}โดยเฉพาะอย่างยิ่งหากพวกเขาถูกกล่าวหาอย่างไม่เป็นธรรมว่ารับผิดชอบต่อการกระทำของผู้กระทำความผิด โดยทั่วไป ข้อมูลส่วนบุคคลจะรวมถึงชื่อ วันเกิดหมายเลขประกันสังคมหมายเลขใบขับขี่หมายเลขบัญชีธนาคารหรือบัตรเครดิต รหัสPIN ลายเซ็นอิเล็กทรอนิกส์ลายนิ้วมือรหัสผ่านหรือข้อมูลอื่นใดที่สามารถใช้เพื่อเข้าถึงทรัพยากรทางการเงินของบุคคลได้^{[ 5 ]}

การกำหนดความเชื่อมโยงระหว่างการละเมิดข้อมูลและการโจรกรรมข้อมูลส่วนบุคคลเป็นเรื่องท้าทาย เนื่องจากเหยื่อของการโจรกรรมข้อมูลส่วนบุคคลมักไม่ทราบว่าข้อมูลส่วนบุคคลของตนถูกขโมยไปได้อย่างไร จากรายงานที่จัดทำขึ้นสำหรับ FTC พบว่าเหยื่อแต่ละรายไม่สามารถตรวจจับการโจรกรรมข้อมูลส่วนบุคคลได้เสมอไป^{[ 6 ]}การฉ้อโกงข้อมูลส่วนบุคคลมักเป็นผลสืบเนื่องมาจากการโจรกรรมข้อมูลส่วนบุคคล แต่ไม่จำเป็นเสมอไป บุคคลใดบุคคลหนึ่งสามารถขโมยหรือนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิดโดยไม่ได้กระทำการโจรกรรมข้อมูลส่วนบุคคล โดยใช้ข้อมูลเกี่ยวกับทุกคน เช่น เมื่อเกิดการละเมิดข้อมูลครั้งใหญ่ การศึกษา ของสำนักงานตรวจสอบบัญชีของรัฐบาลสหรัฐฯพบว่า "การละเมิดส่วนใหญ่ไม่ได้ส่งผลให้เกิดเหตุการณ์การโจรกรรมข้อมูลส่วนบุคคลที่ตรวจพบ" ^{[ 7 ]}รายงานยังเตือนด้วยว่า "ขอบเขตทั้งหมดนั้นยังไม่เป็นที่ทราบแน่ชัด" การศึกษาที่ไม่ได้รับการตีพิมพ์ในภายหลังโดยมหาวิทยาลัยคาร์เนกีเมลลอนระบุว่า "ส่วนใหญ่แล้ว สาเหตุของการโจรกรรมข้อมูลส่วนบุคคลนั้นไม่เป็นที่ทราบแน่ชัด" แต่รายงานว่ามีคนอื่นสรุปว่า "ความน่าจะเป็นที่จะตกเป็นเหยื่อของการโจรกรรมข้อมูลส่วนบุคคลอันเป็นผลมาจากการละเมิดข้อมูลนั้น ... อยู่ที่ประมาณ 2% เท่านั้น" ^{[ 8 ]}ตัวอย่างเช่น ในการละเมิดข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่งซึ่งส่งผลกระทบต่อบันทึกมากกว่าสี่ล้านรายการ ส่งผลให้มีการขโมยข้อมูลส่วนบุคคลเพียงประมาณ 1,800 ครั้ง ตามข้อมูลของบริษัทที่มีระบบถูกละเมิด

บทความในเดือนตุลาคม 2553 เรื่อง "อาชญากรรมไซเบอร์ทำได้ง่าย" อธิบายถึงระดับที่แฮกเกอร์ใช้ซอฟต์แวร์ที่เป็นอันตราย [ ^{9 ] ดัง}ที่ Gunter Ollmann หัวหน้าเจ้าหน้าที่ฝ่ายเทคโนโลยีด้านความปลอดภัยของMicrosoftกล่าวว่า "สนใจการขโมยบัตรเครดิตใช่ไหม มีแอปสำหรับเรื่องนั้น" ^{[ 10 ]} คำกล่าวนี้สรุปถึงความง่ายดายที่แฮกเกอร์เหล่านี้เข้าถึงข้อมูลทุกประเภททางออนไลน์ โปรแกรมใหม่สำหรับการแพร่เชื้อไปยังคอมพิวเตอร์ของผู้ใช้เรียกว่าZeusและโปรแกรมนี้ใช้งานง่ายมากจนแม้แต่แฮกเกอร์ที่ไม่มีประสบการณ์ก็สามารถใช้งานได้ แม้ว่าโปรแกรมแฮ็กจะใช้งานง่าย แต่ข้อเท็จจริงนั้นไม่ได้ลดผลกระทบที่ร้ายแรงที่ Zeus (หรือซอฟต์แวร์อื่น ๆ เช่น Zeus) สามารถทำได้กับคอมพิวเตอร์และผู้ใช้ ตัวอย่างเช่น โปรแกรมอย่าง Zeus สามารถขโมยข้อมูลบัตรเครดิต เอกสารสำคัญ และแม้แต่เอกสารที่จำเป็นสำหรับความมั่นคงของประเทศหากแฮกเกอร์ได้รับข้อมูลนี้ นั่นหมายถึงการขโมยข้อมูลส่วนบุคคลทั่วประเทศหรือแม้กระทั่งการโจมตีของผู้ก่อการร้ายที่อาจเกิดขึ้นได้ ITAC กล่าวว่าชาวอเมริกันประมาณ 15 ล้านคนถูกขโมยข้อมูลส่วนตัวในปี 2012 ^{[ 11 ]}

แหล่งข้อมูลต่างๆ เช่นศูนย์ทรัพยากรการโจรกรรมข้อมูลส่วนบุคคลที่ไม่แสวงหาผลกำไร^{[ 12 ]}แบ่งการโจรกรรมข้อมูลส่วนบุคคลออกเป็นห้าประเภท:

• การปลอมแปลงเอกลักษณ์บุคคลเพื่อก่ออาชญากรรม (การแอบอ้างเป็นบุคคลอื่นเมื่อถูกจับกุมในข้อหาอาชญากรรม)
• การขโมยข้อมูลส่วนบุคคลทางการเงิน (การใช้ข้อมูลส่วนบุคคลของผู้อื่นเพื่อขอสินเชื่อ สินค้า และบริการ)
• การปลอมแปลงเอกลักษณ์ (การใช้ข้อมูลของผู้อื่นเพื่อสวมรอยเป็นบุคคลนั้นในชีวิตประจำวัน)
• การขโมยข้อมูลประจำตัวทางการแพทย์ (การใช้ข้อมูลประจำตัวของผู้อื่นเพื่อขอรับการรักษาพยาบาลหรือยา)
• การขโมยข้อมูลส่วนตัวของเด็ก

การขโมยข้อมูลส่วนบุคคลอาจถูกนำไปใช้เพื่ออำนวยความสะดวกหรือให้ทุนสนับสนุนอาชญากรรมอื่นๆ รวมถึงการเข้าเมืองอย่างผิดกฎหมายการก่อการร้ายการหลอกลวงและการจารกรรมมีกรณีการปลอมแปลงข้อมูลส่วนบุคคลเพื่อโจมตีระบบการชำระเงินรวมถึงการประมวลผลบัตรเครดิตออนไลน์และประกันสุขภาพ^{[ 13 ]}

ในสถานการณ์นี้ ผู้ขโมยข้อมูลส่วนบุคคลจะปลอมตัวเป็นบุคคลอื่นเพื่อปกปิดตัวตนที่แท้จริงของตน ตัวอย่างเช่นผู้อพยพผิดกฎหมายที่ปกปิดสถานะผิดกฎหมายของตน ผู้ที่หลบหนีเจ้าหนี้หรือบุคคลอื่น และผู้ที่ต้องการเป็น " นิรนาม " ด้วยเหตุผลส่วนตัว อีกตัวอย่างหนึ่งคือผู้แอบอ้างซึ่งเป็นคำที่ใช้เรียกผู้ที่ใช้รูปถ่ายและข้อมูลของผู้อื่นในเว็บไซต์เครือข่ายสังคมออนไลน์ ผู้แอบอ้างส่วนใหญ่มักสร้างเรื่องราวที่น่าเชื่อถือโดยเกี่ยวข้องกับเพื่อนของบุคคลจริงที่พวกเขากำลังเลียนแบบ ซึ่งแตกต่างจากการขโมยข้อมูลส่วนบุคคลเพื่อขอสินเชื่อซึ่งมักจะถูกเปิดเผยเมื่อหนี้สินเพิ่มขึ้น การปกปิดอาจดำเนินต่อไปได้เรื่อยๆ โดยไม่ถูกตรวจพบ โดยเฉพาะอย่างยิ่งหากผู้ขโมยข้อมูลส่วนบุคคลสามารถได้รับข้อมูลประจำตัวปลอมเพื่อผ่านการทดสอบการตรวจสอบต่างๆ ในชีวิตประจำวัน

การปลอมแปลงเอกลักษณ์บุคคลในทางอาชญากรรม คือการที่อาชญากรแอบอ้างตนเองเป็นบุคคลอื่นต่อเจ้าหน้าที่ตำรวจขณะถูกจับกุม ในบางกรณี อาชญากรอาจได้รับเอกสารประจำตัวที่ออกโดยรัฐโดยใช้ข้อมูลประจำตัวที่ขโมยมาจากผู้อื่น หรืออาจเพียงแค่แสดงบัตรประจำตัวปลอมหากการหลอกลวงนี้ได้ผล ข้อหาอาจถูกตั้งในชื่อของเหยื่อ ทำให้อาชญากรหลีกเลี่ยงข้อหาได้ เหยื่ออาจทราบเรื่องดังกล่าวโดยบังเอิญ เช่น ได้รับหมายเรียกศาล พบว่าใบขับขี่ถูกระงับเมื่อถูกเรียกตรวจเนื่องจากฝ่าฝืนกฎจราจรเล็กน้อย หรือจากการตรวจสอบประวัติเพื่อการจ้างงาน

การที่เหยื่อของการขโมยข้อมูลส่วนบุคคลทางอาญาจะล้างประวัติอาชญากรรมของตนนั้นอาจเป็นเรื่องยาก ขั้นตอนที่จำเป็นในการล้างประวัติอาชญากรรม ที่ไม่ถูกต้องของเหยื่อ จะขึ้นอยู่กับเขตอำนาจศาลที่เกิดอาชญากรรมและว่าจะสามารถระบุตัวตนที่แท้จริงของอาชญากรได้หรือไม่ เหยื่ออาจต้องตามหาเจ้าหน้าที่ที่จับกุมในครั้งแรกและพิสูจน์ตัวตนของตนเองด้วยวิธีการที่เชื่อถือได้ เช่น การพิมพ์ลายนิ้วมือหรือการตรวจดีเอ็นเอ และอาจต้องไปขึ้นศาลเพื่อขอให้ศาลยกฟ้อง การขอให้ ศาล ลบประวัติ อาชญากรรม ก็อาจจำเป็นเช่นกัน หน่วยงานอาจเก็บชื่อของเหยื่อไว้เป็นชื่อปลอมแทนตัวตนที่แท้จริงของอาชญากรในฐานข้อมูลประวัติอาชญากรรมของตนอย่างถาวร ปัญหาหนึ่งที่เหยื่อของการขโมยข้อมูลส่วนบุคคลทางอาญาอาจพบเจอคือผู้รวบรวมข้อมูล ต่างๆ อาจยังมีประวัติอาชญากรรมที่ไม่ถูกต้องอยู่ในฐานข้อมูลของตนแม้หลังจากที่แก้ไขบันทึกของศาลและตำรวจแล้ว ซึ่งอาจนำไปสู่การตรวจสอบประวัติในอนาคตที่แสดงผลประวัติอาชญากรรมที่ไม่ถูกต้อง^{[ 14 ]}

การโจรกรรมข้อมูลส่วนบุคคลรูปแบบหนึ่งที่เพิ่งแพร่หลายมากขึ้นเมื่อเร็ว ๆ นี้ คือการโจรกรรมข้อมูลส่วนบุคคลแบบสังเคราะห์ซึ่งเป็นการสร้างข้อมูลส่วนบุคคลขึ้นมาทั้งหมดหรือบางส่วน^{[ 15 ]}เทคนิคที่พบได้บ่อยที่สุดคือการนำหมายเลขประกันสังคม จริงมา รวมกับชื่อและวันเกิดที่แตกต่างจากที่เชื่อมโยงกับหมายเลขนั้น การโจรกรรมข้อมูลส่วนบุคคลแบบสังเคราะห์นั้นยากต่อการติดตาม เนื่องจากจะไม่ปรากฏในรายงานเครดิตของบุคคลใดบุคคลหนึ่งโดยตรง แต่อาจปรากฏเป็นไฟล์ใหม่ทั้งหมดในสำนักงานเครดิตหรือเป็นไฟล์ย่อยในรายงานเครดิตของเหยื่อ การโจรกรรมข้อมูลส่วนบุคคลแบบสังเคราะห์ส่วนใหญ่สร้างความเสียหายให้กับเจ้าหนี้ที่ให้เครดิตแก่ผู้ฉ้อโกงโดยไม่รู้ตัว เหยื่อแต่ละรายอาจได้รับผลกระทบหากชื่อของพวกเขาสับสนกับข้อมูลส่วนบุคคลแบบสังเคราะห์ หรือหากข้อมูลเชิงลบในไฟล์ย่อยส่งผลกระทบต่อคะแนนเครดิตของพวกเขา^{[ 16 ]}

แพม ดิกสัน นักวิจัยด้านความเป็นส่วนตัว ผู้ก่อตั้ง World Privacy Forum ^{[ 17 ]}ได้บัญญัติศัพท์คำว่า การขโมยข้อมูลประจำตัวทางการแพทย์ และเผยแพร่รายงานสำคัญฉบับแรกเกี่ยวกับปัญหานี้ในปี 2549 ในรายงานดังกล่าว เธอได้กำหนดนิยามของอาชญากรรมนี้เป็นครั้งแรก และเปิดเผยความทุกข์ยากของผู้เสียหายต่อสาธารณะ นิยามของอาชญากรรมในรายงานคือ การขโมยข้อมูลประจำตัวทางการแพทย์เกิดขึ้นเมื่อมีคนไปรับการรักษาพยาบาลโดยใช้ข้อมูลประจำตัวของบุคคลอื่น การขโมยข้อมูลประกันภัยก็พบได้บ่อยเช่นกัน หากผู้ขโมยมีข้อมูลประกันภัยหรือบัตรประกันภัยของคุณ พวกเขาสามารถไปรับการรักษาพยาบาลโดยแอบอ้างเป็นตัวคุณได้^{[ 18 ]} นอกเหนือจากความเสี่ยงต่อความเสียหายทางการเงินที่พบได้ทั่วไปในทุกรูปแบบของการขโมยข้อมูลประจำตัวแล้ว ประวัติทางการแพทย์ของผู้ขโมยอาจถูกเพิ่มเข้าไปในบันทึกทางการแพทย์ ของ ผู้เสียหาย ข้อมูลที่ไม่ถูกต้องในบันทึกของผู้เสียหายนั้นแก้ไขได้ยาก และอาจส่งผลต่อการทำประกันในอนาคต หรือทำให้แพทย์อาศัยข้อมูลที่ผิดพลาดในการให้การรักษาที่ไม่เหมาะสม หลังจากมีการเผยแพร่รายงานซึ่งมีคำแนะนำให้ผู้บริโภคได้รับการแจ้งเตือนเกี่ยวกับเหตุการณ์การละเมิดข้อมูลทางการแพทย์ รัฐแคลิฟอร์เนียได้ผ่านกฎหมายที่กำหนดให้ต้องทำเช่นนั้น และในที่สุดHIPAAก็ได้รับการขยายให้ครอบคลุมถึงการแจ้งการละเมิดข้อมูลทางการแพทย์เมื่อการละเมิดส่งผลกระทบต่อผู้คน 500 คนขึ้นไป^{[ 19 ] [ 20 ]}ข้อมูลที่รวบรวมและจัดเก็บโดยโรงพยาบาลและองค์กรอื่นๆ เช่น โครงการประกันสุขภาพ มีมูลค่าสูงกว่าข้อมูลบัตรเครดิตถึง 10 เท่าสำหรับอาชญากรไซเบอร์

การขโมยข้อมูลประจำตัวเด็กเกิดขึ้นเมื่อบุคคลอื่นนำข้อมูลประจำตัวของเด็กไปใช้เพื่อประโยชน์ส่วนตัว ผู้แอบอ้างอาจเป็นสมาชิกในครอบครัว เพื่อน หรือแม้แต่คนแปลกหน้าที่มุ่งเป้าไปที่เด็ก หมายเลขประกันสังคมของเด็กมีค่าเพราะไม่มีข้อมูลใดๆ ที่เกี่ยวข้อง โจรสามารถสร้างวงเงินสินเชื่อ ขอใบขับขี่ หรือแม้แต่ซื้อบ้านโดยใช้ข้อมูลประจำตัวของเด็ก การฉ้อโกงนี้อาจไม่ถูกตรวจพบเป็นเวลาหลายปี เนื่องจากเด็กส่วนใหญ่ไม่พบปัญหาจนกระทั่งหลายปีต่อมา การขโมยข้อมูลประจำตัวเด็กค่อนข้างพบได้บ่อย และการศึกษาต่างๆ แสดงให้เห็นว่าปัญหานี้กำลังเพิ่มขึ้น การศึกษาที่ใหญ่ที่สุดเกี่ยวกับการขโมยข้อมูลประจำตัวเด็ก ตามที่รายงานโดย Richard Power จาก Carnegie Mellon Cylab โดยใช้ข้อมูลที่จัดหาโดยAllClear IDพบว่าจากเด็ก 40,000 คน มี 10.2% ที่ตกเป็นเหยื่อของการขโมยข้อมูลประจำตัว^{[ 21 ]}

คณะกรรมการการค้าของรัฐบาลกลาง (FTC) ประมาณการว่าจะมีผู้ตกเป็นเหยื่อของการโจรกรรมข้อมูลส่วนบุคคลประมาณ 9 ล้านคนในสหรัฐอเมริกาต่อปี นอกจากนี้ยังมีการประมาณการว่าในปี 2551 มีผู้ตกเป็นเหยื่อของการโจรกรรมข้อมูลส่วนบุคคลจำนวน 630,000 คนที่มีอายุต่ำกว่า 19 ปี ซึ่งทำให้ผู้ตกเป็นเหยื่อมีหนี้สินประมาณ 12,799 ดอลลาร์สหรัฐ^{[ 22 ]}

ไม่เพียงแต่เด็กทั่วไปจะเป็นเป้าหมายสำคัญของการโจรกรรมข้อมูลส่วนบุคคลเท่านั้น แต่เด็กที่อยู่ในสถานสงเคราะห์ยังเป็นเป้าหมายที่สำคัญยิ่งกว่า เหตุผลหนึ่งก็คือ พวกเขาถูกย้ายไปมาบ่อยครั้ง และหมายเลขประกันสังคมของพวกเขาก็ถูกแบ่งปันกับบุคคลและหน่วยงานหลายแห่ง เด็กที่อยู่ในสถานสงเคราะห์ตกเป็นเหยื่อของการโจรกรรมข้อมูลส่วนบุคคลภายในครอบครัวของตนเองและญาติคนอื่นๆ มากยิ่งขึ้น เยาวชนที่อยู่ในสถานสงเคราะห์ซึ่งตกเป็นเหยื่อของอาชญากรรมนี้มักจะถูกทิ้งให้อยู่ตามลำพังเพื่อดิ้นรนและหาวิธีแก้ไขประวัติเครดิตที่ไม่ดีที่เพิ่งเกิดขึ้น^{[ 22 ]}

การปรากฏตัวของตัวตนเด็กบนโซเชียลมีเดียยังส่งผลให้เหตุการณ์การลักพาตัวทางดิจิทัลและการขโมยตัวตนเพิ่มมากขึ้นการลักพาตัวทางดิจิทัลเกี่ยวข้องกับบุคคลที่ขโมยภาพเด็กทางออนไลน์และแอบอ้างว่าเป็นภาพของตนเอง^{[ 23 ]}

การขโมยข้อมูลส่วนบุคคลประเภทที่พบบ่อยที่สุดเกี่ยวข้องกับการเงิน การขโมยข้อมูลส่วนบุคคลทางการเงินรวมถึงการได้รับเครดิต เงินกู้ สินค้า และบริการโดยอ้างว่าเป็นบุคคลอื่น^{[ 24 ]}

หนึ่งในประเภทหลักของการขโมยข้อมูลส่วนบุคคลคือการขโมยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับภาษีวิธีที่พบบ่อยที่สุดคือการใช้ชื่อ ที่อยู่ และหมายเลขประกันสังคม ของบุคคลจริง เพื่อยื่นแบบแสดงรายการภาษีด้วยข้อมูลเท็จ และให้เงินคืนภาษีที่ได้รับโอนเข้าบัญชีธนาคารที่ผู้ขโมยควบคุมโดยตรง ในกรณีนี้ ผู้ขโมยยังสามารถพยายามหางานทำ จากนั้นนายจ้างจะรายงานรายได้ของผู้เสียภาษีตัวจริง ซึ่งจะทำให้ผู้เสียภาษีมีปัญหากับกรมสรรพากร^{[ 25 ]}

แบบฟอร์ม 14039 ของIRSเป็นแบบฟอร์มที่จะช่วยต่อสู้กับการโจรกรรม เช่น การโจรกรรมภาษี แบบฟอร์มนี้จะทำให้ IRS ตื่นตัว และผู้ที่เชื่อว่าตนเองตกเป็นเหยื่อของการโจรกรรมที่เกี่ยวข้องกับภาษีจะได้รับหมายเลขประจำตัวคุ้มครองข้อมูลส่วนบุคคล (IP PIN) ซึ่งเป็นรหัส 6 หลักที่ใช้แทน SSN สำหรับการยื่นแบบแสดงรายการภาษี^{[ 25 ]}

โดยทั่วไปแล้ว ผู้ที่ขโมยข้อมูลส่วนบุคคลจะได้รับและใช้ประโยชน์จากข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ หรือข้อมูลประจำตัวต่างๆ ที่บุคคลนั้นใช้ในการยืนยันตัวตน เพื่อปลอมตัวเป็นบุคคลนั้น ตัวอย่างเช่น:

• การใช้บันทึกสาธารณะเกี่ยวกับพลเมืองแต่ละคนที่เผยแพร่ในทะเบียนอย่างเป็นทางการ เช่น บัญชีรายชื่อผู้มีสิทธิเลือกตั้ง^{[ 26 ]}
• การขโมยเช็คเพื่อรับข้อมูลธนาคาร รวมถึงหมายเลขบัญชีและรหัสธนาคาร^{[ 27 ]}
• การเดาหมายเลขประกันสังคมโดยใช้ข้อมูลที่พบในเครือข่ายสังคมออนไลน์ เช่นTwitterและMySpace ^{[ 28 ]}
• การใช้ การโจมตี แบบฟิชชิ่งหรือ เทคนิค วิศวกรรมสังคม อื่นๆ เพื่อหลอกให้บุคคลเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลประจำตัวในการเข้าสู่ระบบหรือข้อมูลทางการเงิน^{[ 29 ]}
• การติดตั้งมัลแวร์หรือ ซอฟต์แวร์ ขโมยข้อมูลเพื่อดึงข้อมูลประจำตัวและข้อมูลส่วนบุคคลที่จัดเก็บไว้จากอุปกรณ์ที่ติดเชื้อ^{[ 30 ]}

ในบางกรณี หลังจากได้รับข้อมูลส่วนบุคคลของเหยื่อแล้ว ผู้ขโมยข้อมูลส่วนบุคคลอาจเปลี่ยนแปลงรายละเอียดการติดต่อของเหยื่อ เช่น ที่อยู่ทางไปรษณีย์ หมายเลขโทรศัพท์ หรืออีเมล เพื่อป้องกันไม่ให้การแจ้งเตือนไปถึงเหยื่อ และเพื่อชะลอการตรวจจับกิจกรรมฉ้อโกง^{[ 31 ]}

การได้มาซึ่งข้อมูลส่วนบุคคลเกิดขึ้นได้จากการละเมิดความเป็นส่วนตัว อย่างร้ายแรง สำหรับผู้บริโภคแล้ว โดยปกติมักเป็นผลมาจากการที่พวกเขาให้ข้อมูลส่วนบุคคลหรือข้อมูลการเข้าสู่ระบบแก่ผู้ขโมยข้อมูลส่วนบุคคลโดยไม่รู้ตัว (เช่น ในการโจมตีแบบฟิชชิ่ง ) แต่เอกสารที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น บัตรเครดิต ใบแจ้งยอดบัญชีธนาคาร ใบแจ้งค่าสาธารณูปโภค สมุดเช็ค ฯลฯ อาจถูกขโมยจากยานพาหนะ บ้าน สำนักงาน และแม้แต่ตู้จดหมายหรือถูกขโมยโดยตรงจากเหยื่อโดยพวกล้วงกระเป๋าและฉกกระเป๋า การดูแลรักษาข้อมูลส่วนบุคคลโดยผู้บริโภคเป็นกลยุทธ์การป้องกันที่แนะนำมากที่สุดโดยคณะกรรมการการค้าแห่งสหรัฐอเมริกา (US Federal Trade Commission ) องค์กร Phone Busters ของแคนาดาและเว็บไซต์ส่วนใหญ่ที่กล่าวถึงการขโมยข้อมูลส่วนบุคคล องค์กรเหล่านี้ให้คำแนะนำเกี่ยวกับวิธีที่บุคคลสามารถป้องกันไม่ให้ข้อมูลของตนตกไปอยู่ในมือของผู้ไม่หวังดีได้

การโจรกรรมข้อมูลส่วนบุคคลสามารถลดลงได้บางส่วนโดยการไม่เปิดเผยตัวตนโดยไม่จำเป็น (ซึ่งเป็นรูปแบบหนึ่งของการควบคุมความปลอดภัยของข้อมูลที่เรียกว่าการหลีกเลี่ยงความเสี่ยง) หมายความว่าองค์กร ระบบไอที และขั้นตอนต่างๆ ไม่ควรเรียกร้องข้อมูลส่วนบุคคลหรือข้อมูลประจำตัวมากเกินไปสำหรับการระบุตัวตนและการตรวจสอบสิทธิ์ การขอ การจัดเก็บ และการประมวลผลข้อมูลประจำตัวส่วนบุคคล (เช่นหมายเลขประกันสังคมหมายเลขประจำตัวประชาชนหมายเลขใบขับขี่ หมายเลขบัตรเครดิต ฯลฯ) จะเพิ่มความเสี่ยงต่อการโจรกรรมข้อมูลส่วนบุคคล เว้นแต่ข้อมูลส่วนบุคคลที่มีค่าเหล่านี้จะได้รับการรักษาความปลอดภัยอย่างเพียงพอตลอดเวลา การจดจำข้อมูลประจำตัวส่วนบุคคลเป็นวิธีปฏิบัติที่ดีที่สามารถลดความเสี่ยงที่ผู้โจรกรรมข้อมูลส่วนบุคคลจะได้รับข้อมูลเหล่านี้ เพื่อช่วยในการจดจำหมายเลขต่างๆ เช่น หมายเลขประกันสังคมและหมายเลขบัตรเครดิต ควรพิจารณาใช้เทคนิคช่วยจำหรือเครื่องมือช่วยจำ เช่นระบบช่วยจำ Major System

บางครั้งผู้ขโมยข้อมูลส่วนบุคคลจะปลอมตัวเป็นผู้เสียชีวิต โดยใช้ข้อมูลส่วนบุคคลที่ได้จากประกาศการเสียชีวิต ป้ายหลุมศพ และแหล่งข้อมูลอื่นๆ เพื่อใช้ประโยชน์จากความล่าช้าระหว่างการเสียชีวิตและการปิดบัญชีของบุคคลนั้น ความไม่ใส่ใจของครอบครัวที่กำลังโศกเศร้า และจุดอ่อนในกระบวนการตรวจสอบเครดิต อาชญากรรมดังกล่าวอาจดำเนินต่อไปได้ระยะหนึ่งจนกว่าครอบครัวของผู้เสียชีวิตหรือเจ้าหน้าที่จะสังเกตเห็นและตอบสนองต่อความผิดปกติ^{[ 32 ]}

ในช่วงกลางทศวรรษ 2000 บริการป้องกัน/ประกันภัยการโจรกรรมข้อมูลส่วนบุคคลเชิงพาณิชย์ได้เริ่มมีให้บริการ บริการเหล่านี้อ้างว่าช่วยปกป้องบุคคลจากการโจรกรรมข้อมูลส่วนบุคคล หรือช่วยตรวจจับว่ามีการโจรกรรมข้อมูลส่วนบุคคลเกิดขึ้น โดยแลกกับค่าธรรมเนียมรายเดือน^{[ 33 ]}บริการเหล่านี้อาจรวมถึงการตั้งค่าการแจ้งเตือนการฉ้อโกงในไฟล์เครดิตของบุคคลกับสำนักงานเครดิตหลักทั้งสามแห่ง หรือการตั้งค่าการตรวจสอบรายงานเครดิตกับสำนักงานเครดิต ซึ่งมีให้บริการฟรีเช่นกัน^{[ 34 ] [ 35 ]}แม้ว่าบริการป้องกัน/ประกันภัยการโจรกรรมข้อมูลส่วนบุคคลจะได้รับการทำการตลาดอย่างหนัก แต่ก็มีการตั้งคำถามถึงคุณค่าของบริการเหล่านี้^{[ 36 ]}

การขโมยข้อมูลส่วนบุคคลเป็นปัญหาที่ร้ายแรงในสหรัฐอเมริกา จากการศึกษาในปี 2018 พบว่าข้อมูลส่วนบุคคลของชาวอเมริกัน 60 ล้านคนถูกขโมยไปโดยมิชอบ^{[ 37 ]}เพื่อเป็นการตอบสนอง ภายใต้คำแนะนำจากศูนย์ทรัพยากรการขโมยข้อมูลส่วนบุคคลได้มีการนำร่างกฎหมายใหม่บางฉบับมาใช้เพื่อปรับปรุงความปลอดภัย เช่น การกำหนดให้ใช้ลายเซ็นอิเล็กทรอนิกส์และการตรวจสอบหมายเลขประกันสังคม^{[ 37 ]}

การขโมยข้อมูลส่วนบุคคลหลายประเภทถูกนำมาใช้เพื่อรวบรวมข้อมูล โดยประเภทที่พบบ่อยที่สุดประเภทหนึ่งเกิดขึ้นเมื่อผู้บริโภคทำการซื้อสินค้าออนไลน์^{[ 38 ]}มีการศึกษาวิจัยกับผู้คน 190 คนเพื่อกำหนดความสัมพันธ์ระหว่างความกลัวต่อการสูญเสียทางการเงินและความเสียหายต่อชื่อเสียง^{[ 38 ]}ผลสรุปของการศึกษานี้แสดงให้เห็นว่าการขโมยข้อมูลส่วนบุคคลมีความสัมพันธ์เชิงบวกกับความเสียหายต่อชื่อเสียง^{[ 38 ]}ความสัมพันธ์ระหว่างความเสี่ยงที่รับรู้และความตั้งใจในการซื้อสินค้าออนไลน์เป็นไปในเชิงลบ^{[ 38 ]}ความสำคัญของการศึกษานี้แสดงให้เห็นว่าบริษัทออนไลน์ตระหนักถึงอันตรายที่อาจเกิดขึ้นกับผู้บริโภคมากขึ้น ดังนั้นพวกเขาจึงกำลังมองหาวิธีลดความเสี่ยงที่ผู้บริโภครับรู้และไม่สูญเสียธุรกิจ

เหยื่อของการโจรกรรมข้อมูลส่วนบุคคลอาจต้องเผชิญกับความพยายามหลายปีในการพิสูจน์ต่อระบบกฎหมายว่าตนเป็นบุคคลที่แท้จริง^{[ 39 ]}ซึ่งนำไปสู่ความเครียดทางอารมณ์และการสูญเสียทางการเงิน การโจรกรรมข้อมูลส่วนบุคคลส่วนใหญ่กระทำโดยสมาชิกในครอบครัวของเหยื่อ และบางคนอาจไม่สามารถขอรับบัตรเครดิตใหม่หรือเปิดบัญชีธนาคารหรือขอสินเชื่อใหม่ได้^{[ 39 ]}

ในการให้การต่อหน้าวุฒิสภาสหรัฐอเมริกาในเดือนพฤษภาคม พ.ศ. 2541 คณะกรรมการการค้าของรัฐบาลกลาง (FTC) ได้หารือเกี่ยวกับการขายหมายเลขประกันสังคมและตัวระบุส่วนบุคคลอื่นๆ โดยผู้จัดอันดับเครดิตและผู้ขุดข้อมูล^{[ 40 ]} FTC เห็นด้วยกับหลักการกำกับดูแลตนเองของอุตสาหกรรมที่จำกัดการเข้าถึงข้อมูลในรายงานเครดิต^{[ 40 ]}ตามที่อุตสาหกรรมระบุ ข้อจำกัดจะแตกต่างกันไปตามประเภทของลูกค้า หน่วยงานรายงานเครดิตรวบรวมและเปิดเผยข้อมูลส่วนบุคคลและข้อมูลเครดิตให้กับฐานลูกค้าธุรกิจที่กว้างขวาง

การจัดการข้อมูลส่วนบุคคลที่ไม่ดีขององค์กร ส่งผลให้มีการเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต ซึ่งอาจทำให้บุคคลตกอยู่ในความเสี่ยงต่อการโจรกรรมข้อมูลส่วนบุคคล Privacy Rights Clearinghouse ได้บันทึกการละเมิดข้อมูลส่วนบุคคลมากกว่า 900 ครั้งโดยบริษัทและหน่วยงานรัฐบาลของสหรัฐฯ ตั้งแต่เดือนมกราคม 2548 ซึ่งรวมแล้วมีบันทึกข้อมูลส่วนบุคคลที่ละเอียดอ่อนมากกว่า 200 ล้านรายการ โดยหลายรายการมีหมายเลขประกันสังคม^{[ 41 ]}มาตรฐานความรอบคอบขององค์กรที่ไม่ดีซึ่งอาจส่งผลให้เกิดการละเมิดข้อมูล ได้แก่:

• การไม่ทำลายเอกสารลับก่อนทิ้งลงถังขยะ
• ความล้มเหลวในการรับประกันความปลอดภัยของเครือข่าย อย่างเพียงพอ
• หมายเลขบัตรเครดิตถูกขโมยโดย พนักงาน คอลเซ็นเตอร์และบุคคลที่สามารถเข้าถึงบันทึกการสนทนา
• การขโมยคอมพิวเตอร์แล็ปท็อปหรือสื่อพกพาที่บรรจุข้อมูลส่วนบุคคลจำนวนมากขณะนำออกจากสถานที่ การใช้การเข้ารหัส ที่แข็งแกร่ง บนอุปกรณ์เหล่านี้สามารถลดโอกาสที่ข้อมูลจะถูกนำไปใช้ในทางที่ผิดหากอาชญากรได้อุปกรณ์เหล่านั้นไป
• การซื้อขายข้อมูลส่วนบุคคลให้กับธุรกิจอื่นโดยไม่ตรวจสอบให้แน่ใจว่าผู้ซื้อมีมาตรการรักษาความปลอดภัยที่เพียงพอ
• ความล้มเหลวของภาครัฐในการตรวจสอบว่าบุคคลที่ระบุไว้ในข้อบังคับการจัดตั้งบริษัทนั้นเป็นบุคคลเดียวกับที่กล่าวอ้างหรือไม่ ในขั้นตอนการลงทะเบียนกิจการเจ้าของคนเดียว ห้างหุ้นส่วน และบริษัทจำกัด อาจทำให้ผู้กระทำความผิดเข้าถึงข้อมูลส่วนบุคคลผ่านบริการจัดอันดับเครดิตและการวิเคราะห์ข้อมูลได้

ความล้มเหลวขององค์กรธุรกิจหรือภาครัฐในการปกป้องความเป็นส่วนตัวของผู้บริโภคความลับของลูกค้าและความเป็นส่วนตัวทางการเมืองได้รับการวิพากษ์วิจารณ์ว่าเอื้ออำนวยให้ผู้กระทำความผิดสามารถเข้าถึงข้อมูลส่วนบุคคลได้^{[ 42 ]}

การใช้ข้อมูล ชีวมาตรประเภทต่างๆเช่นลายนิ้วมือในการระบุตัวตนและการตรวจสอบความถูกต้องนั้น ถูกกล่าวถึงว่าเป็นวิธีหนึ่งในการป้องกันการขโมยข้อมูลส่วนบุคคล อย่างไรก็ตาม วิธีการเหล่านี้ก็มีข้อจำกัดทางเทคโนโลยีและข้อกังวลด้านความเป็นส่วนตัวเช่นกัน

มีตลาดซื้อขายข้อมูลส่วนบุคคลที่ถูกขโมยอย่างคึกคัก ซึ่งส่วนใหญ่เกิดขึ้นในตลาดมืดบนดาร์กเน็ตแต่ก็มีตลาดมืด อื่นๆ ด้วย เช่น กัน ^{[ 43 ]}ผู้คนเพิ่มมูลค่าของข้อมูลที่ถูกขโมยโดยการรวบรวมเข้ากับข้อมูลที่เปิดเผยต่อสาธารณะ แล้วนำไปขายต่อเพื่อทำกำไร ซึ่งเป็นการเพิ่มความเสียหายที่อาจเกิดขึ้นกับผู้ที่ถูกขโมยข้อมูล^{[ 44 ]}

ในเดือนมีนาคม พ.ศ. 2557 หลังจากทราบว่ามีผู้โดยสารสองคนที่มีหนังสือเดินทางที่ถูกขโมยอยู่บนเครื่องบินมาเลเซียแอร์ไลน์เที่ยวบินที่ 370ซึ่งหายไปเมื่อวันที่ 8 มีนาคม พ.ศ. 2557 ได้มีการเปิดเผยว่าอินเตอร์โพลมีฐานข้อมูลเอกสารการเดินทางที่สูญหายและถูกขโมยจำนวน 40 ล้านฉบับจาก 157 ประเทศ ซึ่งอินเตอร์โพลได้เปิดเผยให้รัฐบาลและสาธารณชน รวมถึงสายการบินและโรงแรมต่างๆ เข้าถึงได้ อย่างไรก็ตาม ฐานข้อมูลเอกสารการเดินทางที่ถูกขโมยและสูญหาย (SLTD) นั้นแทบจะไม่ถูกนำมาใช้เลยเครือข่ายข่าวขนาดใหญ่ (ซึ่งตั้งอยู่ในสหรัฐอาหรับเอมิเรตส์ ) รายงานว่า โรนัลด์ เค. โนเบิลเลขาธิการอินเตอร์โพลกล่าวในการประชุมที่อาบูดาบีเมื่อเดือนก่อนว่า "ข่าวร้ายก็คือ แม้ว่า SLTD จะมีประสิทธิภาพคุ้มค่าและสามารถนำไปใช้ได้แทบทุกที่ในโลก แต่มีเพียงไม่กี่ประเทศเท่านั้นที่ใช้ SLTD อย่างเป็นระบบในการตรวจสอบผู้เดินทาง ผลที่ตามมาคือช่องว่างสำคัญในระบบรักษาความปลอดภัยระดับโลกของเรา ซึ่งเปิดโอกาสให้ผู้กระทำผิดและผู้ก่อการร้ายใช้ประโยชน์ได้" ^{[ 45 ]}

ในประเทศออสเตรเลียแต่ละรัฐได้ออกกฎหมายที่เกี่ยวข้องกับประเด็นต่างๆ เกี่ยวกับการปลอมแปลงเอกลักษณ์หรือการฉ้อโกง บางรัฐได้แก้ไขกฎหมายอาญาที่เกี่ยวข้องเพื่อให้ครอบคลุมถึงอาชญากรรมการปลอมแปลงเอกลักษณ์ เช่น พระราชบัญญัติการรวมกฎหมายอาญา ค.ศ. 1935 (รัฐเซาท์ออสเตรเลีย) พระราชบัญญัติแก้ไขเพิ่มเติมกฎหมายอาญา (การฉ้อโกง การปลอมแปลงเอกลักษณ์ และการปลอมแปลงเอกสาร) ค.ศ. 2009 และในรัฐควีนส์แลนด์ภายใต้ประมวลกฎหมายอาญา ค.ศ. 1899 (รัฐควีนส์แลนด์) ส่วนรัฐและดินแดนอื่นๆ อยู่ในระหว่างการพัฒนากรอบการกำกับดูแลที่เกี่ยวข้องกับการปลอมแปลงเอกลักษณ์ เช่น รัฐเวสเทิร์นออสเตรเลียในส่วนของร่างพระราชบัญญัติแก้ไขเพิ่มเติมประมวลกฎหมายอาญา (อาชญากรรมเกี่ยวกับเอกลักษณ์) ค.ศ. 2009

ในระดับเครือจักรภพ ภายใต้พระราชบัญญัติแก้ไขประมวลกฎหมายอาญา (การลักทรัพย์ การฉ้อโกง การติดสินบน และความผิดที่เกี่ยวข้อง) ปี 2000ซึ่งแก้ไขบทบัญญัติบางประการในพระราชบัญญัติประมวลกฎหมายอาญา ปี 1995

135.1 การทุจริตทั่วไป

(3) บุคคลใดกระทำความผิดหาก ก) บุคคลนั้นกระทำการใดๆ โดยมีเจตนาที่จะก่อให้เกิดความเสียหายแก่บุคคลอื่น โดยไม่สุจริต และ ข) บุคคลอื่นนั้นเป็นนิติบุคคลของเครือจักรภพ

โทษ: จำคุก 5ปี

ระหว่างปี 2014 ถึง 2015 ในออสเตรเลีย มีคดีฉ้อโกงและหลอกลวงจำนวน 133,921 คดี เพิ่มขึ้น 6% จากปีก่อนหน้า ค่าใช้จ่ายทั้งหมดที่รายงานโดยกรมอัยการสูงสุดมีดังนี้: ^{[ 46 ]}

นอกจากนี้ยังมีต้นทุนทางอ้อมจำนวนมากที่เกี่ยวข้องโดยตรงอันเป็นผลมาจากเหตุการณ์ดังกล่าว ตัวอย่างเช่น ต้นทุนทางอ้อมทั้งหมดสำหรับการฉ้อโกงที่ตำรวจบันทึกไว้คือ 5,774,081 ดอลลาร์สหรัฐ^{[ 46 ]}

ในทำนองเดียวกัน แต่ละรัฐได้ออกกฎหมายคุ้มครองความเป็นส่วนตัวของตนเองเพื่อป้องกันการใช้ข้อมูลส่วนบุคคลในทางที่ผิดพระราชบัญญัติคุ้มครองความเป็นส่วนตัว ของเครือจักรภพ ใช้บังคับเฉพาะกับหน่วยงานของเครือจักรภพและดินแดน และหน่วยงานภาคเอกชนบางแห่งเท่านั้น (เช่น ในกรณีที่หน่วยงานเหล่านั้นจัดการกับบันทึกข้อมูลที่ละเอียดอ่อน เช่น บันทึกทางการแพทย์ หรือมีรายได้มากกว่า 3 ล้านดอลลาร์สหรัฐต่อปี)

ภายใต้มาตรา 402.2 แห่งประมวลกฎหมายอาญา

บุคคลใดก็ตามที่จงใจได้มาหรือครอบครองข้อมูลส่วนบุคคลของผู้อื่นในสถานการณ์ที่ก่อให้เกิดข้อสันนิษฐานที่สมเหตุสมผลว่าข้อมูลนั้นมีเจตนาจะใช้เพื่อกระทำความผิดอาญาที่รวมถึงการฉ้อโกง การหลอกลวง หรือการให้ข้อมูลเท็จเป็นองค์ประกอบของความผิดนั้น ถือว่ากระทำความผิดอาญา บุคคลดังกล่าวมีความผิดฐานอาญาและต้องระวางโทษจำคุกไม่เกินห้าปี หรือมีความผิดฐานที่สามารถลงโทษได้โดยการพิจารณาคดีแบบย่อ

ภายใต้มาตรา 403 แห่งประมวลกฎหมายอาญา

(1) ทุกคนที่ปลอมตัวเป็นบุคคลอื่นโดยฉ้อฉล ไม่ว่าจะเป็นบุคคลที่ยังมีชีวิตอยู่หรือเสียชีวิตแล้ว ย่อมกระทำความผิด

(ก) ด้วยเจตนาที่จะได้รับผลประโยชน์แก่ตนเองหรือผู้อื่น (ข) ด้วยเจตนาที่จะได้มาซึ่งทรัพย์สินหรือสิทธิในทรัพย์สินใดๆ (ค) ด้วยเจตนาที่จะก่อให้เกิดความเสียหายแก่บุคคลที่ถูกแอบอ้างหรือผู้อื่น หรือ (ง) ด้วยเจตนาที่จะหลีกเลี่ยงการจับกุมหรือการดำเนินคดี หรือเพื่อขัดขวาง บิดเบือน หรือทำให้กระบวนการยุติธรรมล้มเหลว

มีความผิดในข้อหาที่ต้องถูกดำเนินคดีอาญาและต้องระวางโทษจำคุกไม่เกิน 10 ปี หรือมีความผิดในข้อหาที่ลงโทษได้โดยการพิจารณาคดีแบบย่อ

ในประเทศแคนาดาพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (กฎหมายของรัฐบาลกลาง) ครอบคลุมเฉพาะรัฐบาลกลาง หน่วยงาน และรัฐวิสาหกิจของ รัฐบาลกลาง เท่านั้น แต่ละจังหวัดและดินแดนมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของตนเอง เพื่อจำกัดการจัดเก็บและการใช้ข้อมูลส่วนบุคคล สำหรับภาคเอกชน วัตถุประสงค์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (2000, c. 5) (รู้จักกันในชื่อ PIPEDA) คือการกำหนดกฎเกณฑ์เพื่อควบคุมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ยกเว้นในจังหวัดควิเบก ออนแทรีโอ อัลเบอร์ตา และบริติชโคลัมเบีย ซึ่งกฎหมายของจังหวัดนั้นถือว่ามีความคล้ายคลึงกันอย่างมาก

• ร่างกฎหมาย C-27 (รัฐสภาแคนาดาชุดที่ 39 สมัยที่ 2)

ในฝรั่งเศส บุคคลที่ถูกตัดสินว่ามีความผิดฐานขโมยข้อมูลส่วนบุคคลอาจถูกจำคุกสูงสุด 5 ปีและปรับสูงสุด75,000 ยูโร^{[ 47 ]}

ภายใต้กฎหมายฮ่องกง หมวด 210 พระราชบัญญัติการลักทรัพย์มาตรา 16A การฉ้อโกง:

(1) หากบุคคลใดใช้กลอุบายใดๆ (ไม่ว่ากลอุบายนั้นจะเป็นการชักจูงเพียงอย่างเดียวหรือเป็นกลอุบายหลักก็ตาม) และด้วยเจตนาฉ้อโกงชักจูงให้บุคคลอื่นกระทำการหรือละเว้นการกระทำ ซึ่งส่งผลให้-

(ก) เป็นประโยชน์แก่บุคคลอื่นใดนอกเหนือจากบุคคลที่กล่าวถึงเป็นลำดับที่สอง หรือ (ข) ก่อให้เกิดความเสียหายหรือมีความเสี่ยงอย่างมากต่อความเสียหายแก่บุคคลอื่นใดนอกเหนือจากบุคคลที่กล่าวถึงเป็นลำดับแรก

บุคคลที่กล่าวถึงเป็นคนแรกนั้นกระทำความผิดฐานฉ้อโกง และหากถูกตัดสินว่ามีความผิดตามคำฟ้อง จะต้องรับ โทษจำ คุก14 ปี

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPO) ควบคุมการเก็บรวบรวม การใช้ และการเก็บรักษาข้อมูลส่วนบุคคลในฮ่องกง นอกจากนี้ยังให้สิทธิแก่ประชาชนในการขอข้อมูลที่ธุรกิจและรัฐบาลถือครองไว้ตามขอบเขตที่กฎหมายนี้กำหนด PDPO จัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลซึ่งมีหน้าที่บังคับใช้กฎหมายและให้คำแนะนำเกี่ยวกับการใช้ข้อมูลส่วนบุคคล

ภายใต้พระราชบัญญัติเทคโนโลยีสารสนเทศ พ.ศ. 2543 บทที่ 9 มาตรา 66C:

มาตรา 66C

บทลงโทษสำหรับการขโมยข้อมูลส่วนบุคคล

ผู้ใดใช้ลายเซ็นอิเล็กทรอนิกส์ รหัสผ่าน หรือคุณลักษณะการระบุตัวตนเฉพาะอื่นใดของบุคคลอื่นโดยฉ้อฉลหรือโดยไม่สุจริต จะต้องถูกลงโทษจำคุกไม่ว่าประเภทใดก็ตามเป็นระยะเวลาไม่เกินสามปี และต้องถูกปรับเป็นเงินไม่เกินหนึ่งแสน รู ปี^{[ 48 ]}

เว็บไซต์เครือข่ายสังคมออนไลน์เป็นหนึ่งในแหล่งแพร่กระจายผู้แอบอ้างตัวตน ที่โด่งดังที่สุด ในชุมชนออนไลน์ เนื่องจากเปิดโอกาสให้ผู้ใช้สามารถโพสต์ข้อมูลใดๆ ก็ได้โดยไม่ต้องตรวจสอบว่าบัญชีนั้นเป็นของบุคคลจริงหรือไม่

ประเทศฟิลิปปินส์ซึ่งอยู่ในอันดับที่ 8 ในด้านจำนวนผู้ใช้Facebookและเว็บไซต์เครือข่ายสังคมออนไลน์อื่นๆ (เช่นTwitter , MultiplyและTumblr ) เป็นที่รู้จักกันว่าเป็นแหล่งที่มาของปัญหาการขโมยข้อมูลส่วนบุคคลต่างๆ^{[ 49 ]} ข้อมูลส่วนบุคคลของผู้ที่ใส่ข้อมูลส่วนตัวลงในโปรไฟล์อย่างไม่ระมัดระวังอาจถูกขโมยได้ง่ายๆ เพียงแค่การเรียกดูข้อมูล บางคนพบกันทางออนไลน์ ทำความรู้จักกันผ่านการแชทใน Facebook และแลกเปลี่ยนข้อความที่แบ่งปันข้อมูลส่วนตัว บางคนมีความสัมพันธ์เชิงโรแมนติกกับเพื่อนทางออนไลน์และลงเอยด้วยการแบ่งปันข้อมูลมากเกินไป (เช่น หมายเลขประกันสังคม บัญชีธนาคาร ที่อยู่บ้าน และที่อยู่บริษัท)

ปรากฏการณ์นี้จึงนำไปสู่การออกพระราชบัญญัติป้องกันอาชญากรรมทางไซเบอร์ พ.ศ. 2555 (พระราชบัญญัติหมายเลข 10175) มาตรา 2 ของพระราชบัญญัตินี้ระบุว่า พระราชบัญญัตินี้ตระหนักถึงความสำคัญของการสื่อสารและมัลติมีเดียสำหรับการพัฒนา การใช้ประโยชน์ และการเผยแพร่ข้อมูล แต่ผู้ฝ่าฝืนจะถูกลงโทษตามกฎหมายด้วยการจำคุกหรือปรับตั้งแต่ 200,000 เปโซขึ้นไป แต่ไม่เกิน 1,000,000 เปโซ หรือ (ขึ้นอยู่กับความเสียหายที่เกิดขึ้น) ทั้งจำทั้งปรับ

สวีเดนมีปัญหาเรื่องการโจรกรรมข้อมูลส่วนบุคคลค่อนข้างน้อย เนื่องจากเอกสารประจำตัวที่ยอมรับสำหรับการตรวจสอบยืนยันตัวตนมีเพียงเอกสารของชาวสวีเดนเท่านั้น เอกสารที่ถูกขโมยสามารถตรวจสอบได้โดยธนาคารและสถาบันการเงินบางแห่ง ธนาคารมีหน้าที่ต้องตรวจสอบตัวตนของผู้ที่ถอนเงินหรือขอสินเชื่อ หากธนาคารให้เงินแก่บุคคลใดโดยใช้เอกสารประจำตัวที่ถูกแจ้งว่าถูกขโมย ธนาคารจะต้องรับความเสียหายนั้น ตั้งแต่ปี 2008 หนังสือเดินทางของประเทศในสหภาพยุโรปทุกเล่มสามารถใช้ได้ในสวีเดนสำหรับการตรวจสอบยืนยันตัวตน และหนังสือเดินทางของสวีเดนก็ใช้ได้ทั่วทั้งสหภาพยุโรป ทำให้การตรวจจับเอกสารที่ถูกขโมยทำได้ยากขึ้น แต่ธนาคารในสวีเดนยังคงต้องตรวจสอบให้แน่ใจว่าไม่รับเอกสารที่ถูกขโมย

การโจรกรรมข้อมูลส่วนบุคคลประเภทอื่นๆ เริ่มแพร่หลายมากขึ้นในสวีเดน ตัวอย่างที่พบได้บ่อยคือ การสั่งทำบัตรเครดิตให้บุคคลที่มีตู้จดหมายที่ไม่ได้ล็อกและไม่อยู่บ้านในเวลากลางวัน โจรจะขโมยจดหมายที่มีข้อมูลบัตรเครดิตและจดหมายที่มีรหัส ซึ่งมักจะมาถึงในอีกไม่กี่วันต่อมา การใช้บัตรเครดิตที่ถูกขโมยนั้นทำได้ยากในสวีเดน เนื่องจากโดยปกติแล้วจะต้องมีเอกสารยืนยันตัวตนหรือรหัส PIN หากร้านค้าไม่ขอเอกสารใดๆ ร้านค้าจะต้องรับความเสียหายจากการรับบัตรเครดิตที่ถูกขโมย การกระทำที่สังเกตเห็นผู้อื่นใช้รหัส PIN ของบัตรเครดิต ขโมยบัตรเครดิต หรือสแกนข้อมูล บัตร เครดิต แล้วนำบัตรเครดิตไปใช้เองนั้นเริ่มแพร่หลายมากขึ้น

ในทางกฎหมาย สวีเดนเป็นสังคมเปิดหลักการเข้าถึงข้อมูลสาธารณะระบุว่า ข้อมูลทั้งหมด (เช่น ที่อยู่ รายได้ ภาษี) ที่หน่วยงานภาครัฐเก็บรักษาไว้จะต้องเปิดเผยต่อสาธารณะ ยกเว้นในบางกรณี (เช่น ที่อยู่ของบุคคลที่จำเป็นต้องปกปิดตัวตน) ซึ่งทำให้การทุจริตเกิดขึ้นได้ง่ายขึ้น

จนถึงปี 2016 ยังไม่มีกฎหมายใดที่ห้ามการใช้ตัวตนของผู้อื่นโดยเฉพาะ มีเพียงกฎหมายที่เกี่ยวข้องกับความเสียหายทางอ้อมเท่านั้น การปลอมตัวเป็นผู้อื่นเพื่อผลประโยชน์ทางการเงินถือเป็นการฉ้อโกงประเภท หนึ่ง ในประมวลกฎหมายอาญา ( ภาษาสวีเดน : brottsbalken ) การปลอมตัวเป็นผู้อื่นเพื่อทำลายชื่อเสียงของผู้อื่นโดยการแฮ็กบัญชีโซเชียลมีเดียของพวกเขาและยั่วยุถือเป็นการหมิ่นประมาทอย่างไรก็ตาม การจะตัดสินลงโทษใครในความผิดนี้เป็นเรื่องยาก ในช่วงปลายปี 2016 ได้มีการออกกฎหมายใหม่ซึ่งห้ามการใช้ตัวตนที่ไม่ระบุตัวตนบางส่วน^{[ 50 ]}

ในสหราชอาณาจักร ข้อมูลส่วนบุคคลได้รับการคุ้มครองโดยพระราชบัญญัติคุ้มครองข้อมูลปี 1998พระราชบัญญัตินี้ครอบคลุมข้อมูลส่วนบุคคลทั้งหมดที่องค์กรอาจเก็บรักษาไว้ รวมถึงชื่อ วันเกิดและวันครบรอบ ที่อยู่ และหมายเลขโทรศัพท์

ภายใต้กฎหมายอังกฤษ (ซึ่งครอบคลุมถึงเวลส์แต่ไม่รวมถึงไอร์แลนด์เหนือหรือสกอตแลนด์ ) ความผิดฐาน หลอกลวงภายใต้พระราชบัญญัติการลักทรัพย์ปี 1968ต้องเผชิญกับสถานการณ์การขโมยข้อมูลส่วนบุคคลมากขึ้นเรื่อยๆ ใน คดี R v Seward (2005) EWCA Crim 1941 ^{[ 51 ]}จำเลยทำหน้าที่เป็น "ตัวแทน" ในการใช้บัตรเครดิตและเอกสารอื่นๆ ที่ถูกขโมยมาเพื่อรับสินค้า เขาได้รับสินค้ามูลค่า 10,000 ปอนด์สำหรับผู้อื่นซึ่งไม่น่าจะสามารถระบุตัวตนได้ ศาลอุทธรณ์พิจารณานโยบายการลงโทษสำหรับความผิดฐานหลอกลวงที่เกี่ยวข้องกับ "การขโมยข้อมูลส่วนบุคคล" และสรุปว่าจำเป็นต้องมีโทษจำคุก ผู้พิพากษา Henriques กล่าวในย่อหน้าที่ 14 ว่า "การฉ้อโกงข้อมูลส่วนบุคคลเป็นรูปแบบของการฉ้อโกงที่ร้ายกาจและแพร่หลายเป็นพิเศษ ซึ่งในความเห็นของเรา จำเป็นต้องมีโทษจำคุกเพื่อเป็นการป้องปราม"

Cifasซึ่งเป็นองค์กรไม่แสวงหาผลกำไรด้านการป้องกันการฉ้อโกงในสหราชอาณาจักร กล่าวว่ามีรายงานกรณีการฉ้อโกง 421,000 กรณีในสหราชอาณาจักรในปี 2024 โดย 59% ของกรณีเหล่านั้นเกี่ยวข้องกับการฉ้อโกงข้อมูลส่วนบุคคล^{[ 52 ]}

การเพิ่มขึ้นของอาชญากรรมการขโมยข้อมูลส่วนบุคคลนำไปสู่การร่างพระราชบัญญัติป้องกันการขโมยและการแอบอ้างข้อมูลส่วนบุคคล^{[ 53 ]}ในปี 1998 คณะกรรมการการค้าแห่งสหรัฐอเมริกาได้ปรากฏตัวต่อหน้าวุฒิสภาสหรัฐอเมริกา^{[ 40 ]} FTC ได้หารือเกี่ยวกับอาชญากรรมที่ใช้ประโยชน์จากเครดิตของผู้บริโภคเพื่อกระทำการฉ้อโกงเงินกู้ฉ้อโกงจำนองฉ้อโกงวงเงินสินเชื่อฉ้อโกงบัตรเครดิตฉ้อโกงสินค้าและบริการ พระราชบัญญัติป้องกันการขโมยและการแอบอ้างข้อมูลส่วนบุคคล (2003) [ITADA] ได้แก้ไขประมวลกฎหมายสหรัฐอเมริกา หมวด 18 มาตรา 1028 (“การฉ้อโกงที่เกี่ยวข้องกับกิจกรรมที่เชื่อมโยงกับเอกสารระบุตัวตน คุณลักษณะการตรวจสอบความถูกต้อง และข้อมูล”) ปัจจุบันกฎหมายนี้ทำให้การครอบครอง “วิธีการระบุตัวตน” ใด ๆ เพื่อ “โอน ครอบครอง หรือใช้โดยรู้เท่าโดยไม่ได้รับอนุญาตตามกฎหมาย” เป็นอาชญากรรมของรัฐบาลกลาง เช่นเดียวกับการครอบครองเอกสารระบุตัวตนโดยไม่ชอบด้วยกฎหมาย อย่างไรก็ตาม เพื่อให้ศาลรัฐบาลกลางดำเนินคดี อาชญากรรมนั้นต้องรวมถึง "เอกสารแสดงตัวตน" ที่: (ก) อ้างว่าออกโดยสหรัฐอเมริกา (ข) ใช้หรือมีเจตนาที่จะฉ้อโกงสหรัฐอเมริกา (ค) ส่งทางไปรษณีย์ หรือ (ง) ใช้ในลักษณะที่ส่งผลกระทบต่อการค้าข้ามรัฐหรือต่างประเทศดู18 USC  § 1028 (ค) โทษจำคุกอาจสูงถึง 5, 15, 20 หรือ 30 ปีในเรือนจำ ของรัฐบาลกลาง บวกกับค่าปรับ ขึ้นอยู่กับอาชญากรรมพื้นฐานตาม 18 USC §  1028 (ข) นอกจากนี้ โทษสำหรับการใช้ "วิธีการแสดงตัวตน" โดยไม่ชอบด้วยกฎหมายได้รับการเสริมความแข็งแกร่งใน § 1028A ("การขโมยเอกลักษณ์อย่างร้ายแรง") ซึ่งอนุญาตให้มีการลงโทษต่อเนื่องภายใต้การละเมิดความผิดอาญาที่ระบุไว้เฉพาะตามที่กำหนดไว้ใน § 1028A(ค)(1) ถึง (11) ^{[ 54 ]}

พระราชบัญญัตินี้ยังมอบอำนาจให้คณะกรรมการการค้าของรัฐบาลกลางติดตามจำนวนเหตุการณ์และมูลค่าความเสียหายเป็นจำนวนเงิน ตัวเลขเหล่านี้ส่วนใหญ่เกี่ยวข้องกับอาชญากรรมทางการเงินของผู้บริโภค ไม่ใช่อาชญากรรมที่เกี่ยวข้องกับการระบุตัวตนในวงกว้าง^{[ 55 ]}

หากหน่วยงานบังคับใช้กฎหมายของรัฐหรือท้องถิ่นเป็นผู้ดำเนินคดี บทลงโทษจะแตกต่างกันไปขึ้นอยู่กับแต่ละรัฐ

หน่วยงานรัฐบาลกลาง 6 แห่งได้จัดตั้งคณะทำงานร่วมกันเพื่อเพิ่มความสามารถในการตรวจจับการโจรกรรมข้อมูลส่วนบุคคล คำแนะนำร่วมกันของพวกเขาเกี่ยวกับแนวทาง "สัญญาณเตือนภัย" คือชุดข้อกำหนดสำหรับสถาบันการเงินและหน่วยงานอื่น ๆ ที่ให้ข้อมูลเครดิตแก่บริการรายงานเครดิต เพื่อพัฒนาแผนงานเป็นลายลักษณ์อักษรสำหรับการตรวจจับการโจรกรรมข้อมูลส่วนบุคคล FTC ได้กำหนดว่าสถานพยาบาลส่วนใหญ่ถือเป็นเจ้าหนี้และอยู่ภายใต้ข้อกำหนดในการพัฒนาแผนงานเพื่อป้องกันและตอบสนองต่อการโจรกรรมข้อมูลส่วนบุคคลของผู้ป่วย^{[ 56 ]}แผนงานเหล่านี้จะต้องได้รับการอนุมัติจากคณะกรรมการบริหารของแต่ละองค์กรและได้รับการตรวจสอบโดยผู้บริหารระดับสูง^{[ 57 ]}

สัดส่วนของข้อร้องเรียนเกี่ยวกับการขโมยข้อมูลส่วนบุคคลต่อข้อร้องเรียนเกี่ยวกับการฉ้อโกงทั้งหมดลดลงจากปี 2547 ถึง 2549 ^{[ 58 ]}คณะกรรมการการค้าแห่งสหรัฐอเมริกา (FTC) รายงานว่าข้อร้องเรียนเกี่ยวกับการฉ้อโกงโดยทั่วไปเติบโตเร็วกว่าข้อร้องเรียนเกี่ยวกับการขโมยข้อมูลส่วนบุคคล^{[ 58 ]}ผลการศึกษาของ FTC ในปี 2546 และ 2548 มีลักษณะคล้ายกัน ในปี 2546 ประชากร 4.6 เปอร์เซ็นต์ของสหรัฐอเมริกากล่าวว่าพวกเขาตกเป็นเหยื่อของการขโมยข้อมูลส่วนบุคคล ในปี 2548 ตัวเลขดังกล่าวลดลงเหลือ 3.7 เปอร์เซ็นต์ของประชากร^{[ 59 ] [ 60 ]}การประมาณการของคณะกรรมการในปี 2546 ระบุว่าการขโมยข้อมูลส่วนบุคคลก่อให้เกิดความสูญเสียประมาณ 52.6 พันล้านดอลลาร์ในปีก่อนหน้าเพียงปีเดียว และส่งผลกระทบต่อชาวอเมริกันมากกว่า 9.91 ล้านคน^{[ 61 ]}ตัวเลขดังกล่าวประกอบด้วยความสูญเสีย 47.6 พันล้านดอลลาร์จากธุรกิจ และความสูญเสีย 5 พันล้านดอลลาร์จากผู้บริโภค

ตามข้อมูลจากสำนักงานสถิติความยุติธรรมของสหรัฐอเมริกาในปี 2010 ครัวเรือนในสหรัฐอเมริการ้อยละ 7 ประสบปัญหาการโจรกรรมข้อมูลส่วนบุคคล เพิ่มขึ้นจากร้อยละ 5.5 ในปี 2005 ซึ่งเป็นปีที่มีการเก็บรวบรวมตัวเลขเป็นครั้งแรก แต่โดยรวมแล้วทรงตัวตั้งแต่ปี 2007 ^{[ 62 ]}ในปี 2012 มีผู้คนประมาณร้อยละ 16.6 หรือร้อยละ 7 ของประชากรทั้งหมดในสหรัฐอเมริกาที่มีอายุ 16 ปีขึ้นไป รายงานว่าตกเป็นเหยื่อของการโจรกรรมข้อมูลส่วนบุคคลอย่างน้อยหนึ่งครั้ง^{[ 63 ]}

อย่างน้อยสองรัฐ ได้แก่แคลิฟอร์เนียและวิสคอนซินได้จัดตั้งสำนักงานคุ้มครองความเป็นส่วนตัวเพื่อช่วยเหลือประชาชนในการหลีกเลี่ยงและฟื้นตัวจากการโจรกรรมข้อมูลส่วนบุคคล^{[ 64 ]}

ในปี พ.ศ. 2552 รัฐอินเดียนาได้จัดตั้งหน่วยงานป้องกันการโจรกรรมข้อมูลส่วนบุคคลขึ้นภายในสำนักงานอัยการสูงสุด เพื่อให้ความรู้และช่วยเหลือผู้บริโภคในการหลีกเลี่ยงและฟื้นตัวจากการโจรกรรมข้อมูลส่วนบุคคล ตลอดจนช่วยเหลือหน่วยงานบังคับใช้กฎหมายในการสืบสวนและดำเนินคดีอาชญากรรมการโจรกรรมข้อมูลส่วนบุคคล^{[ 65 ] [ 66 ]}

ในรัฐแมสซาชูเซตส์ระหว่างปี 2552-2553 ผู้ว่าการDeval Patrickได้ให้คำมั่นที่จะสร้างความสมดุลระหว่างการคุ้มครองผู้บริโภคกับความต้องการของเจ้าของธุรกิจขนาดเล็ก สำนักงานกิจการผู้บริโภคและกฎระเบียบธุรกิจของเขาได้ประกาศการปรับเปลี่ยนบางประการในกฎระเบียบเกี่ยวกับการโจรกรรมข้อมูลส่วนบุคคลของรัฐแมสซาชูเซตส์ ซึ่งยังคงรักษาการคุ้มครองไว้และยังอนุญาตให้มีความยืดหยุ่นในการปฏิบัติตาม กฎระเบียบที่ปรับปรุงใหม่นี้มีผลบังคับใช้ในวันที่ 1 มีนาคม 2553 กฎระเบียบดังกล่าวระบุไว้อย่างชัดเจนว่าแนวทางในการรักษาความปลอดภัยข้อมูลเป็นแนวทางตามความเสี่ยงซึ่งมีความสำคัญต่อธุรกิจขนาดเล็ก และอาจไม่ได้จัดการข้อมูลส่วนบุคคลจำนวนมากเกี่ยวกับลูกค้า^{[ 67 ] [ 68 ]}

กรมสรรพากรได้จัดตั้งหน่วยงานเฉพาะกิจด้านการคุ้มครองข้อมูลส่วนบุคคลของกรมสรรพากรขึ้นเพื่อช่วยเหลือผู้เสียภาษีที่เป็นเหยื่อของการโจรกรรมข้อมูลส่วนบุคคลที่เกี่ยวข้องกับภาษีของรัฐบาลกลาง^{[ 69 ]}โดยทั่วไป ผู้โจรกรรมข้อมูลส่วนบุคคลจะใช้หมายเลขประกันสังคมที่ถูกขโมยไปเพื่อยื่นแบบแสดงรายการภาษีปลอมและพยายามขอคืนภาษีโดยมิชอบในช่วงต้นฤดูกาลยื่นภาษี ผู้เสียภาษีจะต้องกรอกแบบฟอร์ม 14039 คำให้การเกี่ยวกับการโจรกรรมข้อมูลส่วนบุคคล^{[ 70 ] [ 71 ]}

สำหรับอนาคตของการดูแลทางการแพทย์และ Medicaid ผู้คนส่วนใหญ่กังวลเกี่ยวกับการประมวลผลแบบคลาวด์การเพิ่มการใช้ข้อมูลคลาวด์ภายในระบบ Medicare ของสหรัฐอเมริกาจะทำให้ข้อมูลสุขภาพเข้าถึงได้ง่ายสำหรับบุคคล แต่ก็ทำให้การขโมยข้อมูลส่วนบุคคลง่ายขึ้นเช่นกัน ปัจจุบันมีการผลิตเทคโนโลยีใหม่เพื่อช่วยเข้ารหัสและปกป้องไฟล์ ซึ่งจะทำให้การเปลี่ยนไปใช้เทคโนโลยีคลาวด์ในระบบการดูแลสุขภาพเป็นไปอย่างราบรื่น^{[ 72 ]}

รัฐทั้ง 50 รัฐได้ออกกฎหมายบังคับการแจ้งเตือนการละเมิดข้อมูล^[ 73 ^]ส่งผลให้บริษัทที่รายงานการละเมิดข้อมูลมักจะรายงานให้ลูกค้าทั้งหมด ^ทราบ

จากการสำรวจในสหรัฐอเมริการะหว่างปี 2546 ถึง 2549 พบว่าจำนวนผู้ตกเป็นเหยื่อของการฉ้อโกงข้อมูลส่วนบุคคลลดลง และมูลค่ารวมของการฉ้อโกงข้อมูลส่วนบุคคลก็ลดลงจาก 47.6 พันล้านดอลลาร์สหรัฐในปี 2546 เหลือ 15.6 พันล้านดอลลาร์สหรัฐในปี 2549 โดยเฉลี่ยแล้วการฉ้อโกงต่อคนลดลงจาก 4,789 ดอลลาร์สหรัฐในปี 2546 เหลือ 1,882 ดอลลาร์สหรัฐในปี 2549 รายงานของ Microsoft ระบุว่าการลดลงนี้เกิดจากปัญหาทางสถิติของวิธีการ ซึ่งการประมาณการจากการสำรวจดังกล่าว "มีข้อบกพร่องอย่างร้ายแรง" และทำให้ความสูญเสียที่แท้จริงสูงเกินจริงไปหลายเท่า^{[ 74 ]}

ผลการสำรวจในปี 2546 จากศูนย์ทรัพยากรการโจรกรรมข้อมูลส่วนบุคคล^{[ 75 ]}พบว่า:

• มีเพียง 15% ของผู้เสียหายเท่านั้นที่รู้เรื่องการโจรกรรมจากการดำเนินการเชิงรุกของธุรกิจ
• โดยเฉลี่ยแล้ว ผู้เสียหายใช้เวลาแก้ไขปัญหาประมาณ 330 ชั่วโมง
• ร้อยละ 73 ของผู้ตอบแบบสอบถามระบุว่าอาชญากรรมดังกล่าวเกี่ยวข้องกับการที่โจรได้บัตรเครดิตไป

ในรายงานที่เผยแพร่อย่างกว้างขวาง มิเชลล์ บราวน์ ผู้ตกเป็นเหยื่อของการฉ้อโกงข้อมูลส่วนบุคคล ได้ให้การเป็นพยานต่อหน้าคณะกรรมการวุฒิสภาสหรัฐฯ ในการพิจารณาคดีเกี่ยวกับการขโมยข้อมูลส่วนบุคคลในปี 2000 นางบราวน์ให้การเป็นพยานว่า: "ในช่วงเวลากว่าหนึ่งปีครึ่ง ตั้งแต่เดือนมกราคม 1998 ถึงเดือนกรกฎาคม 1999 บุคคลหนึ่งได้แอบอ้างเป็นฉันเพื่อจัดหาสินค้าและบริการมูลค่ากว่า 50,000 ดอลลาร์ ไม่เพียงแต่เธอจะทำให้เครดิตของฉันเสียหายเท่านั้น แต่เธอยังยกระดับอาชญากรรมของเธอไปสู่ระดับที่ฉันไม่เคยคาดคิดมาก่อน นั่นคือ เธอเข้าไปเกี่ยวข้องกับการค้ายาเสพติด อาชญากรรมดังกล่าวส่งผลให้ฉันมีประวัติการจับกุมที่ผิดพลาด มีหมายจับ และในที่สุดก็มีประวัติในเรือนจำเมื่อเธอถูกบันทึกชื่อของฉันในฐานะนักโทษในเรือนจำกลางชิคาโก" ^{[ 76 ]}

ในออสเตรเลียมีการประมาณการว่าการขโมยข้อมูลส่วนบุคคลมีมูลค่าระหว่าง 1 พันล้านดอลลาร์ออสเตรเลียถึง 4 พันล้านดอลลาร์ออสเตรเลียต่อปีในปี 2544 ^{[ 77 ]}

ในสหราชอาณาจักร กระทรวงมหาดไทยรายงานว่าการฉ้อโกงข้อมูลส่วนบุคคลทำให้เศรษฐกิจของสหราชอาณาจักรเสียหาย 1.2 พันล้านปอนด์ต่อปี^{[ 78 ]} (ผู้เชี่ยวชาญเชื่อว่าตัวเลขที่แท้จริงอาจสูงกว่านี้มาก) ^{[ 79 ]}แม้ว่ากลุ่มคุ้มครองความเป็นส่วนตัวจะคัดค้านความถูกต้องของตัวเลขเหล่านี้ โดยโต้แย้งว่ารัฐบาลกำลังใช้ตัวเลขเหล่านี้เพื่อผลักดันให้มีการนำบัตรประจำตัวประชาชน มาใช้ ความสับสน เกี่ยวกับสิ่งที่ถือเป็นการขโมยข้อมูลส่วนบุคคลทำให้เกิดข้อกล่าวอ้างว่าสถิติอาจถูกทำให้เกินจริง^{[ 80 ]} การศึกษา ที่รายงานอย่างกว้างขวาง^{[ 81 ] [ 82 ]} จาก Microsoft Research ^{[ 83 ]}ในปี 2011 พบว่าการประมาณการความสูญเสียจากการขโมยข้อมูลส่วนบุคคลนั้นมีการกล่าวเกินจริงอย่างมาก โดยระบุว่าแบบสำรวจ "มีข้อบกพร่องและลำเอียงมากจนไม่สามารถเชื่อถือผลการค้นพบได้เลย"

• การรั่วไหลของข้อมูล Equifax ปี 2017  – บริษัทรายงานข้อมูลเครดิตผู้บริโภคของอเมริกา
• กรณีข้อมูลสวัสดิการเด็กในสหราชอาณาจักรสูญหายในปี 2007  – สแกนดัลด้านความปลอดภัยของข้อมูลในสหราชอาณาจักรหน้าเว็บที่แสดงคำอธิบายสั้น ๆ ของเป้าหมายการเปลี่ยนเส้นทาง
• แฟรงค์ อาบาเนล  – ที่ปรึกษาด้านความปลอดภัยชาวอเมริกันและผู้ต้องหาคดีฉ้อโกง
• อัลเบิร์ต กอนซาเลซ  – แฮกเกอร์คอมพิวเตอร์และอาชญากรชาวอเมริกัน
• ยูริ คอนดราทยุก  – วิศวกรและนักคณิตศาสตร์ชาวโซเวียต (พ.ศ. 2440–2485)
• ชาร์ลส์ สต็อปฟอร์ด  – ที่ปรึกษาด้านความปลอดภัยและผู้แอบอ้าง (เกิดปี 1962)

• การยืนยันบัญชี  – กระบวนการตรวจสอบความเป็นเจ้าของบัญชีเว็บไซต์
• คะแนนเอกลักษณ์
• การเลียนแบบบุคคลอื่น  – รูปแบบศิลปะหรือการกระทำผิดกฎหมายหน้าเว็บที่แสดงคำอธิบายสั้น ๆ ของเป้าหมายการเปลี่ยนเส้นทาง
• ผู้แอบอ้าง  – รายชื่อบุคคลที่กระทำการโดยใช้ตัวตนปลอมหน้าเว็บที่แสดงคำอธิบายสั้น ๆ ของเป้าหมายการเปลี่ยนเส้นทาง

• เบรนซิงเกอร์, จอร์แดน (2023). " การขโมยข้อมูลส่วนบุคคล การละเมิดความไว้วางใจ และการสร้างความไม่มั่นคงทางเศรษฐกิจ " วารสารสังคมวิทยาอเมริกัน

วิกิมีเดียคอมมอน ส์มีสื่อที่เกี่ยวข้องกับการโจรกรรมข้อมูลส่วนบุคคล

• การโจรกรรมข้อมูลส่วนบุคคล – คณะกรรมการการค้าแห่ง สหรัฐอเมริกา
• แผนการกู้คืนข้อมูลส่วนบุคคลหลังการโจรกรรม:ขั้นตอนของ FTC สำหรับผู้ที่ตกเป็นเหยื่อของการโจรกรรมข้อมูลส่วนบุคคล
• คณะทำงานเฉพาะกิจของประธานาธิบดีด้านการโจรกรรมข้อมูลส่วนบุคคล – คณะทำงานของรัฐบาลที่จัดตั้งขึ้นโดยประธานาธิบดีจอร์จ ดับเบิลยู. บุช แห่งสหรัฐอเมริกา เพื่อต่อสู้กับการโจรกรรมข้อมูลส่วนบุคคล
• การโจรกรรมข้อมูลส่วนบุคคล – มหาวิทยาลัยคาร์เนกีเมลลอน
• การโจรกรรมข้อมูลส่วนบุคคล: บทวิเคราะห์งานวิจัย สถาบันยุติธรรมแห่งชาติ ปี 2007
• การขโมยข้อมูลส่วนบุคคลและการฉ้อโกง – กระทรวงยุติธรรมแห่งสหรัฐอเมริกา
• รายการ Dateline ของ NBC สืบสวนเรื่อง 'จับโจรขโมยบัตรประจำตัว'
• "บันทึกคำแถลงของอัยการสูงสุด อัลเบอร์โต อาร์. กอนซาเลส และประธานคณะกรรมการการค้าแห่งสหรัฐอเมริกา เดโบราห์ แพลตต์ มาโจราส เกี่ยวกับการเปิดตัวคณะทำงานเฉพาะกิจปราบปรามการโจรกรรมข้อมูลส่วนบุคคลของประธานาธิบดี"กระทรวงยุติธรรมสหรัฐอเมริกา 23 เมษายน 2550 สืบค้นเมื่อ 12 กุมภาพันธ์ 2569
• Roxana, Hegeman (25 มีนาคม 2013). "หญิงถูกจำคุกในคดี 'ขโมยข้อมูลส่วนตัวทั้งหมด' - ABC News" . ABC News . สืบค้นเมื่อ27 มีนาคม 2013 .
• แก๊งอาชญากรหลบหนี - องค์กรอาชญากรรมระดับโลกที่นำโดยโจร ขโมยข้อมูลส่วนบุคคล