隐私法规常见问题解答

本文档解答了有关受支持法律隐私法规及其在Adobe Experience Cloud中实施的常见问题。

注意

有关本文档中使用的各种术语的定义,请参阅隐私规定术语指南。

一般问题

以下问题与受Experience Cloud支持的所有隐私法规相关。

受支持的隐私法规对谁有影响?

Experience Cloud🔗支持的隐私法规适用于在法规各自管辖范围内存储和处理公民个人数据的所有组织,而不论该组织的地理位置。

什么是个人数据?

个人数据是任何与自然人或数据主体相关的信息,可以用来直接或间接地识别该人。 它可以是姓名、照片、电子邮件地址、银行详细信息、社交网站帖子、医疗信息或计算机IP地址中的任何内容。

以下标识符常用于Experience Cloud应用程序,并可能受隐私法规要求的约束:

  • 名称
  • 邮政地址
  • 唯一个人标识符
  • 联机标识符
  • IP地址
  • 电子邮件地址
  • 帐户名称

个人信息还可以包括因特网或其他电子网络活动信息。 这包括但不限于:

  • 浏览历史记录
  • 搜索历史记录
  • 关于消费者与网站、应用程序或广告交互的信息

尽管隐私法规涵盖大量个人信息,但Adobe的标准合同条款规定,一般禁止在Experience Cloud应用程序中导入和使用敏感个人信息(如SSN、驾驶执照信息、财务帐户信息和生物识别数据)。

数据控制器与数据处理器之间有何区别?

数据控制器​是确定处理个人数据的目的、条件和手段的实体,而​数据处理器​是代表数据控制器处理个人数据的实体。

数据控制器​是有权和负责就个人数据的收集、使用或披露做出决策的个人或组织。 数据处理器​是与收集、使用或披露个人数据以及数据控制器的方向有关的操作的个人或组织。

明确数据主体同意与明确数据主体同意有何区别?

明确 同意一项同意标准,该标准涉及以口头或书面形式具体、知情和明确地指示数据主体的意愿。简言之,数据主体必须字面而明确地说“我同意”或“我同意”,才能明确地认为同意。 此外,撤回同意必须和给予同意一样容易。

明确(隐含) 同意不是由数据主体明确提供的,但在性质上是明确的。例如,在公司网站的注册过程中,会通知数据主体通过提供电子邮件地址同意通过特殊优惠接收电子邮件。 如果数据主体读取通知,则输入其电子邮件的肯定操作足以被视为明确同意。

对于GDPR等许多法规,处理敏感个人数据需要明确同意,而除“ ”之外选择加入的一切都不够。 然而,对于非敏感数据,明确(隐含)同意是可以接受的。

特定年龄的数据主体能否表示同意?

许多隐私法规规定,如果数据主体的年龄低于某一年龄,他们无法合法地同意收集其个人数据。 有些条例允许父母对这些数据主体负责的持有人同意,但不是全部。 下表列表了数据主体为每项法规提供自己同意的最低年龄,并附了进一步信息说明:

监管 同意年龄 注释
CCPA(加利福利亚) 16
  • 只能为13岁或13岁以上的数据主体提供家长同意。
  • 严禁从13岁以下的对象收集个人数据。
GDPR(欧洲合并) 16
  • 为此,欧盟的一些成员国可能会为年龄较低、但不低于13岁的人提供一项法律。
  • 必须为年龄限制以下的所有数据主体提供家长同意。
LGPD(巴西) 13
  • 必须为年龄限制以下的所有数据主体提供家长同意。
  • 13至18岁的自然人可以同意,只要他们处理个人数据符合他们的最佳利益。
(泰国) 10
  • 必须为年龄限制以下的所有数据主体提供家长同意。

企业为访问或删除个人信息而响应消费者请求的天数?

假定业务已收集个人信息,并且能够验证或验证特定消费者的身份,隐私法规允许满足消费者请求的特定时间窗口。 下表将每个法规的适用时间窗口划分为若干例外情况的说明:

监管 规范窗口 注释
CCPA(加利福利亚) 45 天
GDPR(欧洲合并) 30 天 如果请求复杂,或同一数据主体已发出大量请求,则请求可延长到60天。
LGPD(巴西) 15 天
(泰国) 30 天 如果公司无法在规范窗口内响应数据主体的请求,则公司将自其无法完成对数据主体的书面响应请求之日起再有30天。

我的企业是否需要任命一名数据保护官?

如果贵组织的数据操作属于GDPR、LGPD或PDPA的法律管辖范围,则您必须在以下情况下指定一名数据保护官(DPO):

  • 您的组织是公共机构
  • 贵组织参与大规模系统监控
  • 贵组织从事对敏感个人数据的大规模处理。
重要

与其他法规不同,CCPA确实将此作为一项要求。 但是,一般建议公司要保持隐私合规性,必须具备合格的个人监控数据收集活动和消费者数据的存储,并响应客户查询。

如果我维护隐私法规涵盖的数据,如何支持消费者隐私权请求?

在您采取必要步骤验证属于相应法律管辖范围的消费者后,Adobe Experience Platform Privacy Service允许您将消费者隐私请求提交到兼容的Experience Cloud应用程序。 有关详细信息,请参阅Privacy Service 概述。 有关您的特定Experience Cloud应用程序如何满足隐私请求的信息,请参阅Privacy Service和Experience Cloud应用程序指南。

注意

加州监管机构仍将提供进一步指导,说明哪些类型的数据符合消费者隐私要求。

CCPA问题

以下问题与CCPA特别相关。

CCPA公司不同的角色和职责如何适用于Experience Cloud?

如CCPA所定义,以下角色适用于Adobe及其客户:

  • Adobe客户(请求从加利福尼亚州居民处收集和使用个人信息的一方)将被视为​业务
  • Adobe在提供服务时,将被视为​服务提供商

作为服务提供商,Adobe代表业务收集和处理个人信息,并受合同约束,仅将这些信息用于协议中规定的特定用途。

鉴于这种关系和Adobe的合同语言,向Adobe披露的信息可能不会被视为企业需要提供通知和请求同意的“销售”。

但是,Adobe服务可用于支持某些数据共享和传输给第三方。 这些第三方转让可被视为“出售”,并且在法律上要求披露和同意。 客户应与其法律顾问合作,评估具体使用案例,以评估适用的要求。

Adobe是否会优惠其他有助于满足CCPA要求的工具?

Adobe Experience Cloud应用程序提供数据管理和管理功能,这些功能对公司的隐私需求大有帮助。 这些工具包括数据使用标签、基于角色的访问控制、IP模糊化和散列功能。

Adobe已获得其隐私和安全实践的各种认证,如ISO 27001认证和TrustArc GDPR验证。

GDPR问题

以下问题与GDPR有关。

法规和指令之间有何区别?

条例​是一项具有约束力的立法法案,必须在整个欧盟范围内全面适用。 指令​是一项立法法案,规定了所有欧盟国家必须实现的目标,但决定如何实现却取决于各个国家。

必须指出,GDPR是一项法规,而之前的立法(数据保护指令)是一项指令。

GDPR如何影响有关数据泄露的政策?

拟议的关于数据泄露的法规主要涉及被违反的公司的通知政策。 可能对个人构成风险的数据泄露必须在72小时内通知数据保护机构,并在不造成不当延误的情况下通知受影响的个人。

PDPA问题

以下问题与PDPA有特别关系。

什么是敏感的个人数据?

PDPA对收集和存储敏感个人数据提出了严格要求,这些数据包括与以下事项相关的个人数据:种族或族裔来源、政治观点、宗教或哲学信仰、犯罪记录、贸易合并会员资格、遗传数据、生物特征数据、健康记录以及性取向或偏好。

在此页面上