隱私權規範常見問答集
本檔案針對有關支援的法律隱私權規範及其在Adobe Experience Cloud中實作的常見問題提供解答。
有關本檔案中使用之各種術語的定義,請參閱隱私權規 則術語指南 。
一般問題
下列問題與Experience Cloud支援的所有隱私權法規有關。
受支援的隱私權法規對哪些人有影響?
Experience Cloud支 援的隱私權法規適用於所有儲存及處理法規管轄區內公民個人資料的組織,不論組織的地理位置。
什麼是個人資料?
個人資料是指與自然人或資料主體相關的任何資訊,可用來直接或間接識別該人。 它可以是姓名、像片、電子郵件地址、銀行細節、社交網路網站貼文、醫療資訊或電腦IP位址等任何項目。
下列識別碼常用於Experience Cloud應用程式,可能會受隱私權法規要求的約束:
- 名稱
- 郵遞區號
- 唯一個人識別碼
- 線上識別碼
- IP位址
- 電子郵件地址
- 帳戶名稱
個人資訊也可以包含網際網路或其他電子網路活動資訊。 這包括,但不限於:
- 瀏覽記錄
- 搜尋歷史記錄
- 有關消費者與網站、應用程式或廣告互動的資訊
雖然隱私權法規涵蓋廣泛的個人資訊,但Adobe的標準合約條款規定,機密個人資訊(例如SSN、駕照資訊、財務帳戶資訊和生物識別資料)一般禁止匯入和使用Experience Cloud應用程式。
資料控制器與資料處理器之間有何差異?
數 據控制器 ,是決定處理個人資料的目的、條件和手段的實體,而資料處理器是代表資料控制器處理個人資料的實體。
資料掌控者,是指有權力和責任就收集、使用或披露個人資料作出決定的個人或組織。 數 據處理器,是指與收集、使用或公開個人資料和資料控制器方向相關的個人或組織。
明確和明確的資料主體同意之間有何區別?
明確同意 ,是指同意標準,其中包含以口頭或書面形式明確、知情且明確地表示資料主體意願。 簡言之,資料主體必須字面明確地說出「我同意」或「我同意」,才能將同意視為明確。 此外,撤回同意必須和給予同意一樣容易。
明確(默示)同意 ,是指未由資料主體明確提供,但在性質上卻是明確的同意。 例如,在公司網站的註冊程式中,會通知資料主體提供電子郵件地址,同意接收特別優惠的電子郵件。 如果資料主體讀取通知,輸入其電子郵件的肯定動作就足以被視為明確同意。
對於GDPR等許多法規,處理敏感個人資料需要明確同意,而「選擇」不足。 但是,對於非敏感資料,明確(暗示)同意是可接受的。
特定年齡的資料主體是否能獲得同意?
所有隱私權法規規定,如果資料主體的年齡低於特定年齡,則無法依法同意收集其個人資料。 有些規定允許父母對這類資料主體負責的權利人同意,但並非全部。 下表列出資料主體在每項法規中提供自己同意的最低年齡,並附上進一步資訊說明:
| 法規 | 同意年齡 | 附註 |
|---|---|---|
| CCPA(加州) | 16 |
|
| GDPR(歐盟) | 16 |
|
| LGPD(巴西) | 13 |
|
| PDPA(泰國) | 10 |
|
企業必須回應消費者要求存取或刪除個人資訊的天數?
假設業務已收集到個人資訊,且能夠驗證或驗證特定消費者的身分,隱私權法規允許滿足消費者要求的特定時間窗口。 下表將每個規則的適用時間窗口劃分,並列出一些例外的說明:
| 法規 | 法規遵從性窗口 | 附註 |
|---|---|---|
| CCPA(加州) | 45 天 | |
| GDPR(歐盟) | 30 天 | 如果請求複雜,或相同資料主體提出許多請求,則請求可延長至60天。 |
| LGPD(巴西) | 15 天 | |
| PDPA(泰國) | 30 天 | 如果公司無法在合規性視窗內回應資料主體的要求,公司將自無法完成以書面方式回應資料主體的要求之日起再有30天。 |
我的業務是否需要任命一名資料保護官員?
如果貴組織的資料作業屬於GDPR、LGPD或PDPA的法律管轄區,您必須在下列情況下指定資料保護長(DPO):
- 您的組織是公共機構
- 貴組織從事大規模系統監控
- 貴組織從事敏感個人資料的大規模處理。
與其他法規不同,CCPA確實規定了這一要求。 不過,一般建議公司必須具備合格的個人監控資料收集活動和消費者資料的儲存,以及回應客戶詢問,才能維持隱私權規範。
如果我維護隱私權法規涵蓋的資料,該如何支援消費者的隱私權要求?
一旦您採取必要步驟來驗證屬於適當法律管轄區的消費者,Adobe Experience Platform Privacy Service可讓您將消費者隱私權要求提交至相容的Experience Cloud應用程式。 See the Privacy Service overview for more information. 有關您的特定Experience Cloud應用程式如何滿足隱私權要求的資訊,請參閱「隱私權服務」和「Experience Cloud應 用程式」指南。
美國加州監管機構仍將就哪些類型的資料符合消費者隱私要求提供進一步指導。
Adobe是否提供其他有助於解決CCPA需求的工具?
Adobe Experience Cloud應用程式提供資料管理和治理功能,可協助公司的隱私權需求。 這些工具包括資料使用標籤、角色存取控制、IP模糊化和雜湊功能。
Adobe已取得多項隱私權與安全性實務認證,例如ISO 27001認證和TrustArc GDPR驗證。
CCPA問題
以下問題與CCPA特別相關。
CCPA的不同角色和責任如何套用至Experience Cloud?
如CCPA所定義,下列角色適用於Adobe及其客戶:
- Adobe客戶(要求從加州居民收集和使用個人資訊的一方)將視為 企業。
- Adobe在提供服務時,將視為服務供 應商。
身為服務供應商,Adobe會代表企業收集及處理個人資訊,並受合約約束,僅將該資訊用於合約所載之特定用途。
鑑於此關係及Adobe的合約語言,向Adobe披露的內容可能不會被視為「銷售」,企業需要提供通知並要求同意。
但是,Adobe服務可用於啟用特定資料分享和傳輸至第三方。 這些第三方轉讓可視為「銷售」,並依法要求披露及同意。 客戶應與其法律顧問合作評估特定使用案例,以評估適用的要求。
GDPR問題
以下問題與GDPR特別相關。
法規和指令之間有何區別?
規 章是 一項有約束力的立法行為,必須在歐盟全境全面適用。 指 令 ,是一項立法法案,規定了所有歐盟國家必須實現的目標,但如何實現則由各國自行決定。
請務必注意,GDPR是一項法規,與之前的法規(資料保護指令)相反,它是一項指令。
GDPR如何影響有關資料違規的政策?
針對資料違規的擬議法規主要與被違反的公司的通知政策有關。 可能對個人構成風險的資料入侵必須在72小時內通知資料保護機構,並在不造成不當延遲的情況下通知受影響的個人。
PDPA問題
以下問題與PDPA有特別的關係。
什麼是敏感個人資料?
PDPA對收集和儲存敏感個人資料提供嚴格要求,其中包括與下列事項相關的個人資料:種族或族裔出身、政治觀點、宗教或哲學信仰、犯罪記錄、工會會員資格、遺傳資料、生物特徵資料、健康記錄以及性取向或偏好。