隱私權法規常見問題集
本檔案針對支援的法律隱私權法規及其在Adobe Experience Cloud中的實施提供常見問題解答。
本檔案使用的各種術語定義可在以下網址找到: 隱私權法規術語 指南。
一般問題
以下問題與Experience Cloud支援的所有隱私權法規有關。
受支援的隱私權法規會影響到誰?
此 Experience Cloud支援的隱私權法規 適用於在法規的個別管轄區內儲存及處理公民個人資料的所有組織,無論組織的地理位置為何。
個人資料由哪些部分組成?
個人資料是指任何與自然人相關的資訊,或是可用來直接或間接識別使用者的資料主體。 可以是任何名稱、像片、電子郵件地址、銀行詳細資訊、社交網站上的貼文、醫療資訊或電腦IP位址。
下列識別碼常用於Experience Cloud應用程式,且可能受到隱私權法規要求的約束:
- 名稱
- 郵寄地址
- 唯一個人識別碼
- 線上識別碼
- IP 位址
- 電子郵件地址
- 帳戶名稱
個人資訊也可以包含網際網路或其他電子網路活動資訊。 這包含但不限於:
- 瀏覽記錄
- 搜尋歷程記錄
- 有關消費者與網站、應用程式或廣告互動的資訊
雖然隱私權法規涵蓋廣泛的個人資訊,但Adobe的標準合約條款規定,敏感個人資訊(例如SSN、駕照資訊、財務帳戶資訊和生物識別資料)通常不得匯入和用於Experience Cloud應用程式。
資料控制方和資料處理方之間有何差異?
A 資料控制方 是決定處理個人資料的目的、條件和方式的實體,而 資料處理程式 是代表資料控管單位處理個人資料的實體。
A 資料控制方 是有權力或責任決定收集、使用或公開個人資料的個人或組織。 A 資料處理程式 是從事有關收集、使用或公開個人資料及資料控管單位指導的個人或組織。
明確和明確的資料主體同意之間有何差異?
明確同意 指同意的標準,其中涉及以口頭或書面形式表示資料主體意願的具體、知情且明確的指示。 簡言之,資料主體必須字面明確地表示「我同意」或「我同意」,才能將同意視為明確。 此外,撤回同意必須和給予同意一樣容易。
明確(默示)同意 指資料主體未明確授予,但本質上明確的同意。 例如,在公司網站的註冊過程中,會發出通知,通知提供電子郵件地址,即資料主體同意接收特殊優惠方案的電子郵件。 如果資料主體閱讀通知,輸入其電子郵件的肯定動作即足以視為明確同意。
對於GDPR等許多法規,處理敏感個人資料需要明確同意,其中除了「選擇加入」以外就滿足不了要求。 不過,對於非敏感資料,可以接受明確的(默示)同意。
未達到特定年齡的資料主體是否可表示同意?
許多隱私權法規規定,如果資料主體未達到特定年齡,則無法合法同意收集其個人資料。 在這些情況下,某些法規會允許該資料主體的家長責任人給予同意,但並非全部。 下表列出資料主體就各項法規提供其同意的最低年齡,並附註以取得進一步資訊:
| 法規 | 同意年齡 | 附註 |
|---|---|---|
| CCPA (加利福利亞州) | 16 |
|
| GDPR (歐盟) | 16 |
|
| LGPD (巴西) | 13 |
|
| PDPA (泰國) | 10 |
|
企業需要多少天才能回應消費者存取或刪除個人資訊的要求?
假設企業已收集個人資訊,並且可驗證或驗證特定消費者的身分,隱私權法規允許滿足消費者請求的特定時間視窗。 下表會劃分每個規則的適用時間範圍,並附上某些例外的備註:
以「天」回應時間範圍反映了每項法規要求完成消費者請求的時間表。
| 法規 | 回應時間範圍 | 附註 |
|---|---|---|
| CCPA (加利福利亞州) | 45 天 | |
| GDPR (歐盟) | 30 天 | 如果請求很複雜,或相同資料主體已提出許多請求,則請求可延長至60天。 |
| LGPD (巴西) | 15 天 | |
| PDPA (泰國) | 30 天 | 如果公司無法在規定期限內回應資料主體的請求,則公司將從他們無法履行書面回應資料主體的請求之日起30天後獲得額外時間。 |
我的企業需要指定資料保護專員嗎?
如果貴組織的資料作業屬於GDPR、LGPD或PDPA的法律管轄範圍,則必須在下列情況下指定資料保護人員(DPO):
- 您的組織是公共機關
- 貴組織從事大規模的系統監控
- 貴組織從事大規模敏感個人資料處理工作。
與其他法規不同,CCPA會規定此為要求。 不過,通常建議公司必須擁有合格的個別監控資料收集活動、儲存消費者資料,以及回應客戶查詢,才能維持隱私權法規遵循。
如果維護隱私權法規所涵蓋的資料,該如何支援消費者隱私權請求?
在您採取必要步驟驗證屬於適當法律管轄區的消費者後,Adobe Experience Platform Privacy Service可讓您向相容的Experience Cloud應用程式提交消費者隱私權請求。 請參閱 Privacy Service 概觀 以取得詳細資訊。 如需瞭解您的特定Experience Cloud應用程式如何履行隱私權請求,請參閱以下指南: Privacy Service和Experience Cloud應用程式.
加州監管機構仍會提供進一步指引,說明哪些型別的資料符合消費者隱私權請求的資格。
CCPA問題
以下問題與CCPA有關。
CCPA的不同角色和職責如何適用於Experience Cloud?
如CCPA所定義,下列角色適用於Adobe及其客戶:
- Adobe客戶(要求收集和使用加州居民個人資訊的一方)會視為 企業.
- Adobe在提供服務時將被視為 服務提供者.
作為服務提供者,Adobe代表企業收集與處理個人資訊,且合約上受限於僅將該資訊用於合約中規定的特定用途。
鑑於這種關係和Adobe的合約語言,對Adobe的公開可能不會被視為企業需要提供通知和請求同意的「出售」。
不過,Adobe服務可用來啟用某些資料共用及傳輸至第三方。 這些協力廠商轉讓可視為「出售」,並依法要求披露資料及取得同意。 客戶應與他們的法律顧問合作,評估特定的使用案例以評估適用的要求。
Adobe是否提供其他可能有助於滿足CCPA要求的工具?
Adobe Experience Cloud應用程式提供資料管理和治理功能,有助於滿足公司的隱私權需求。 這些工具包括資料使用標籤、角色型存取控制、IP模糊化及雜湊功能。
Adobe已收到各種隱私權與安全性實務認證,例如ISO 27001認證和TrustArc GDPR驗證。
GDPR問題
以下問題與GDPR特別相關。
法規與指示之間有何差異?
A 法規 是一項具約束力的法案,必須在整個歐盟範圍內實施。 A 指令 是列明所有歐盟國家必須達成之目標的法案,但如何達成取決於個別國家。
請務必注意,GDPR是一項法規,相較於先前的法規(資料保護指示),該指示為指示。
GDPR如何影響有關資料洩露的原則?
針對資料違規的擬議法規主要與違規公司的通知政策有關。 若資料洩露可能會對個人造成風險,必須在72小時內通知資料保護機關,並及時通知受影響的個人。
PDPA問題
以下問題與PDPA有關。
哪些是敏感的個人資料?
PDPA對收集和儲存敏感個人資料規定了嚴格的要求,其中包括與以下相關的個人資料:種族或族群出身、政治見解、宗教或哲學信仰、犯罪記錄、工會會員資格、遺傳資料、生物測定資料、健康記錄,以及性取向或偏好。
Business.Adobe.com 資源
