隱私權法規常見問題集
本檔案提供支援法律隱私權法規及其在Adobe Experience Cloud中實作的相關常見問題解答。
本檔案所使用的各種術語定義可在以下連結中找到: 隱私權法規術語 指南。
一般問題
以下問題與Experience Cloud支援的所有隱私權法規有關。
受支援的隱私權法規會影響到誰?
此 Experience Cloud支援的隱私權法規 適用於在法規的個別管轄區內儲存和處理公民個人資料的所有組織,無論組織的地理位置為何。
個人資料由哪些部分組成?
個人資料是指與自然人或資料主體相關的任何資訊,可用於直接或間接識別使用者的身分。 它可以是任何名稱、像片、電子郵件地址、銀行詳細資訊、社交網站上的貼文、醫療資訊或電腦IP位址。
下列識別碼常用於Experience Cloud應用程式,且可能會受到隱私權法規要求的約束:
- 名稱
- 郵寄地址
- 唯一個人識別碼
- 線上識別碼
- IP 位址
- 電子郵件地址
- 帳戶名稱
個人資訊也可以包含網際網路或其他電子網路活動資訊。 這包含但不限於:
- 瀏覽歷程記錄
- 搜尋歷史記錄
- 有關消費者與網站、應用程式或廣告互動的資訊
即使隱私權法規涵蓋廣泛的個人資訊,Adobe的標準合約條款仍規定敏感個人資訊(例如SSN、駕照資訊、財務帳戶資訊和生物識別資料)通常不得匯入和用於Experience Cloud應用程式。
資料控制方和資料處理方之間有何差異?
A 資料控制方 是決定處理個人資料之目的、條件和方式的實體,而 資料處理方 是代表資料控管單位處理個人資料的實體。
A 資料控制方 是有權力且有責任決定收集、使用或公開個人資料的個人或組織。 A 資料處理方 是從事有關收集、使用或公開個人資料及資料控管單位指示的個人或組織。
明確和明確的資料主體同意之間有何差異?
明確同意 指同意的標準,涉及以口頭或書面形式具體、知情且清楚表示資料主體的意願。 簡言之,資料主體必須字面明確表達「我同意」或「我同意」,同意才能被視為明確。 此外,撤回同意必須與給予同意一樣容易。
明確無誤的(默示)同意 指資料主體未明確給出,但性質明確無誤的同意。 例如,在公司網站的註冊過程中,會發出通知,通知提供電子郵件地址,即資料主體同意接收有關特殊優惠方案的電子郵件。 如果資料主體閱讀通知,輸入其電子郵件的肯定動作就足以視為明確的同意。
針對GDPR等許多法規,處理敏感個人資料需要明確同意,而「選擇加入」僅夠處理。 不過,對於非敏感資料,可以接受明確的(隱含的)同意。
未達特定年齡的資料主體是否可表示同意?
許多隱私權法規規定,如果資料主體未達到特定年齡,則無法合法同意收集其個人資料。 在這些情況下,有些法規會允許該資料主體的家長責任人給予同意,但並非所有情況都如此。 下表列出資料主體針對每個法規提供其同意的最低年齡,並附上相關附註以取得進一步資訊:
| 法規 | 同意年齡 | 附註 |
|---|---|---|
| CCPA (加利福利亞州) | 16 |
|
| GDPR (歐盟) | 16 |
|
| LGPD (巴西) | 13 |
|
| PDPA (泰國) | 10 |
|
企業要回應消費者存取或刪除個人資訊的要求需要多少天?
假設企業已收集個人資訊,並且可以驗證或驗證特定消費者的身分,隱私權法規允許滿足消費者請求的特定時間範圍。 下表劃分了各法規的適用時間範圍,並附上部分例外備註:
以「天」回應時間範圍反映了每項法規要求完成消費者請求的時間表。
| 法規 | 回應時間範圍 | 附註 |
|---|---|---|
| CCPA (加利福利亞州) | 45 天 | |
| GDPR (歐盟) | 30 天 | 如果要求複雜,或相同資料主體提出許多要求,則要求可延長至60天。 |
| LGPD (巴西) | 15 天 | |
| PDPA (泰國) | 30 天 | 如果公司無法在規定期限內回應資料主體的請求,則該公司將有30天的額外時間,從他們無法履行書面回應資料主體的請求之日起算。 |
我的企業需要指定資料保護人員嗎?
如果貴組織的資料作業屬於GDPR、LGPD或PDPA的法律管轄範圍,則必須在下列情況下指定資料保護人員(DPO):
- 您的組織是公共機關
- 貴組織從事大規模的系統監控
- 貴組織從事大規模敏感個人資料處理工作。
與其他法規不同,CCPA會將此規定為一項要求。 不過,為了維持隱私權法規遵循,通常建議公司必須擁有合格的個別監控資料收集活動、儲存消費者資料,以及回應客戶查詢。
如果維護隱私權法規所涵蓋的資料,該如何支援消費者隱私權請求?
在您採取必要步驟來驗證屬於適當法律管轄區的消費者後,Adobe Experience Platform Privacy Service可讓您向相容的Experience Cloud應用程式提交消費者隱私權請求。 請參閱 Privacy Service 概述 以取得詳細資訊。 如需瞭解您的特定Experience Cloud應用程式如何履行隱私權要求,請參閱以下指南: Privacy Service和Experience Cloud應用程式.
加州監管機構仍會提供進一步指引,說明哪些型別的資料符合消費者隱私權請求的資格。
CCPA問題
以下問題與CCPA有關。
CCPA的不同角色和職責如何適用於Experience Cloud?
如CCPA所定義,下列角色適用於Adobe及其客戶:
- Adobe客戶(要求收集及使用加州居民個人資訊的一方)會視為 企業.
- 在提供服務時,Adobe會視為 服務提供者.
作為服務提供者,Adobe代表企業收集與處理個人資訊,且合約上受限於僅針對合約中所述的特定目的使用該資訊。
鑑於這種關係和Adobe的合約語言,向Adobe公開資料可能不會被視為企業需要提供通知和請求同意的「出售」。
不過,Adobe服務可用來啟用某些資料共用及傳輸給第三方。 這些協力廠商轉讓可視為「出售」,並依法要求披露及同意。 客戶應與他們的法律顧問合作,評估特定使用案例以評估適用的要求。
Adobe是否提供其他有助於滿足CCPA要求的工具?
Adobe Experience Cloud應用程式提供資料管理和治理功能,有助於滿足公司的隱私權需求。 這些工具包括資料使用標籤、角色型存取控制、IP模糊化及雜湊功能。
Adobe已收到其隱私權與安全性實務的各種認證,例如ISO 27001認證和TrustArc GDPR驗證。
GDPR問題
以下問題與GDPR特別相關。
法規與指示之間有何差異?
A 法規 是具有約束力的法案,必須在整個歐盟內完全適用。 A 指令 是列明所有歐盟國家必須達成之目標的法案,但如何達成取決於個別國家。
請務必注意,GDPR是一項法規,與先前的法規(資料保護指示)不同,後者是一項指示。
GDPR如何影響有關資料洩露的原則?
針對資料違規的擬議法規主要與違規公司的通知政策有關。 若資料洩漏可能會對個人造成風險,必須在72小時內通知資料保護機關,並及時通知受影響的個人。
PDPA問題
以下問題與PDPA特別相關。
何謂敏感的個人資料?
PDPA對收集和儲存敏感個人資料規定了嚴格的要求,資料包括與以下相關的個人資料:種族或族群出身、政治觀點、宗教或哲學信仰、犯罪記錄、工會會員資格、遺傳資料、生物識別資料、健康記錄,以及性取向或偏好。
