隱私權法規常見問答集

本檔案針對有關支援的法律隱私權規範及其在Adobe Experience Cloud的實作的常見問題提供解答。

注意

有關本文中使用的各種術語的定義,請參閱隱私權規則術語指南。

一般問題

下列問題與Experience Cloud支援的所有隱私權法規有關。

受支援的隱私權法規對哪些人有影響?

Experience Cloud所支援的隱私權規定適用於所有儲存及處理相關管轄區內公民個人資料的組織,不論該組織的地理位置。

什麼是個人資料?

個人資料是指與自然人或資料主體相關的任何資訊,可用來直接或間接識別該人。 它可以是姓名、像片、電子郵件地址、銀行細節、社交網路網站貼文、醫療資訊或電腦IP位址等任何項目。

下列識別碼常用於Experience Cloud應用程式,並可能受隱私權法規規定所限:

  • 名稱
  • 郵遞區號
  • 唯一個人識別碼
  • 線上識別碼
  • IP位址
  • 電子郵件地址
  • 帳戶名稱

個人資訊也可以包含網際網路或其他電子網路活動資訊。 這包括,但不限於:

  • 瀏覽記錄
  • 搜尋歷史記錄
  • 有關消費者與網站、應用程式或廣告互動的資訊

雖然隱私權法規涵蓋廣泛的個人資訊,但Adobe的標準合約條款規定一般禁止在Experience Cloud應用程式中匯入和使用機密個人資訊(例如SSN、駕照資訊、財務帳戶資訊和生物識別資料)。

資料控制器與資料處理器之間有何差異?

資料控制器​是確定處理個人資料的目的、條件和手段的實體,而​資料處理器​是代表資料控制器處理個人資料的實體。

資料掌控者​是有權力和責任就收集、使用或披露個人資料作出決定的人或組織。 資料處理器​是與收集、使用或公開個人資料和資料控制器的方向相關的操作的個人或組織。

明確和明確的資料主體同意之間有何區別?

明確 同意同意包含以口頭或書面形式明確、知情且明確表示資料主體意願之同意標準。簡言之,資料主體必須字面明確地說出「我同意」或「我同意」,才能將同意視為明確。 此外,撤回同意必須和給予同意一樣容易。

明確(默示) 同意未由資料主體明確提供但本質上是明確的同意。例如,在公司網站的註冊程式中,會通知資料主體提供電子郵件地址,同意接收特別優惠的電子郵件。 如果資料主體讀取通知,輸入其電子郵件的肯定動作就足以被視為明確同意。

對於GDPR等許多法規,處理敏感個人資料需要明確同意,而「選擇」不足。 但是,對於非敏感資料,明確(暗示)同意是可接受的。

特定年齡的資料主體是否能獲得同意?

許多隱私權法規規定,如果資料主體的年齡低於某一年齡,則無法依法同意收集其個人資料。 有些規定允許父母對這類資料主體負責的權利人同意,但並非全部。 下表列出資料主體在每項法規中提供自己同意的最低年齡,並附上進一步資訊說明:

法規 同意年齡 附註
CCPA(加州) 16
  • 家長同意只能針對年滿13歲(含)以上的資料主體提供。
  • 嚴禁從未滿13週歲者收集個人資料。
GDPR(歐盟) 16
  • 為此,歐盟一些成員國可以規定一項年齡較低的法律,但不得低於13歲。
  • 所有年齡限制以下的資料主體都必須獲得父母同意。
LGPD(巴西) 13
  • 所有年齡限制以下的資料主體都必須獲得父母同意。
  • 13至18歲的自然人可以同意,只要個人資料的處理符合他們的最大利益。
PDPA(泰國) 10
  • 所有年齡限制以下的資料主體都必須獲得父母同意。

企業必須回應消費者要求存取或刪除個人資訊的天數?

假設業務已收集到個人資訊,且能夠驗證或驗證特定消費者的身分,隱私權法規允許滿足消費者要求的特定時間窗口。 下表將每個規則的適用時間窗口劃分,並列出一些例外的說明:

法規 法規遵從性窗口 附註
CCPA(加州) 45 天
GDPR(歐盟) 30 天 如果請求複雜,或相同資料主體提出許多請求,則請求可延長至60天。
LGPD(巴西) 15 天
PDPA(泰國) 30 天 如果公司無法在合規性視窗內回應資料主體的要求,公司將自無法完成以書面方式回應資料主體的要求之日起再有30天。

我的業務是否需要任命一名資料保護官員?

如果貴組織的資料作業屬於GDPR、LGPD或PDPA的法律管轄區,您必須在下列情況下指定資料保護長(DPO):

  • 您的組織是公共機構
  • 貴組織從事大規模系統監控
  • 貴組織從事敏感個人資料的大規模處理。
重要

與其他法規不同,CCPA確實規定了這一要求。 不過,一般建議公司必須具備合格的個人監控資料收集活動和消費者資料的儲存,以及回應客戶詢問,才能維持隱私權規範。

如果我維護隱私權法規涵蓋的資料,該如何支援消費者的隱私權要求?

一旦您採取必要步驟來驗證屬於適當法律管轄區的消費者,Adobe Experience Platform Privacy Service允許您將消費者隱私權要求提交至相容的Experience Cloud應用程式。 如需詳細資訊,請參閱Privacy Service overview。 有關您的特定Experience Cloud應用程式如何滿足隱私權要求的資訊,請參閱Privacy Service與Experience Cloud應用程式上的指南。

注意

美國加州監管機構仍將就哪些類型的資料符合消費者隱私要求提供進一步指導。

CCPA問題

以下問題與CCPA特別相關。

CCPA的不同角色和責任如何適用於Experience Cloud?

如CCPA所定義,以下角色適用於Adobe及其客戶:

  • Adobe客戶(要求收集和使用加州居民個人資訊的一方)將被視為​Business
  • Adobe在提供服務方面將被視為​服務提供商

身為服務供應商,Adobe會代表企業收集和處理個人資訊,並受合約約束,僅將該資訊用於合約所載之特定用途。

鑒於這種關係和Adobe的合同語言,對Adobe的披露可能不會被視為「銷售」,企業需要提供通知並請求同意。

但是,Adobe服務可用於啟用特定資料分享和傳輸至第三方。 這些第三方轉讓可視為「銷售」,並依法要求披露及同意。 客戶應與其法律顧問合作評估特定使用案例,以評估適用的要求。

Adobe是否提供其他有助於解決CCPA要求的工具?

Adobe Experience Cloud的應用程式提供資料管理和管理功能,可協助公司的隱私權需求。 這些工具包括資料使用標籤、角色存取控制、IP模糊化和雜湊功能。

Adobe已獲得多項隱私權與安全性實務認證,例如ISO 27001認證和TrustArc GDPR驗證。

GDPR問題

以下問題與GDPR特別相關。

法規和指令之間有何區別?

條例​是一項具有約束力的立法法,必須在整個歐盟全面適用。 指令​是一項立法法案,規定了所有歐盟國家必須實現的目標,但具體目標由各國決定。

請務必注意,GDPR是一項法規,與之前的法規(資料保護指令)相反,它是一項指令。

GDPR如何影響有關資料違規的政策?

針對資料違規的擬議法規主要與被違反的公司的通知政策有關。 可能對個人構成風險的資料入侵必須在72小時內通知資料保護機構,並在不造成不當延遲的情況下通知受影響的個人。

PDPA問題

以下問題與PDPA有特別的關係。

什麼是敏感個人資料?

PDPA對收集和儲存敏感個人資料提供嚴格要求,其中包括與下列事項相關的個人資料:種族或族裔出身、政治觀點、宗教或哲學信仰、犯罪記錄、工會會員資格、遺傳資料、生物特徵資料、健康記錄以及性取向或偏好。

本頁內容