文档Experience PlatformPrivacy Service 指南

隐私法规常见问题解答

Last update: Tue Jul 16 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主题:

创建对象:

  • undefined
  • undefined

本文档提供有关受支持的隐私法规及其在Adobe Experience Cloud中实施的常见问题解答。

NOTE
可在隐私监管术语指南中找到本文档中使用的各种术语的定义。

一般问题

以下问题与Experience Cloud支持的所有隐私法规相关。

受支持的隐私法规会影响到谁?

受Experience Cloud🔗支持的隐私法规适用于在法规各自管辖范围内存储和处理公民个人数据的所有组织,而不管该组织的地理位置如何。

个人数据由哪些部分组成?

个人数据是指与自然人相关的任何信息或者可用于直接或间接识别人员的数据主体。 它可以是姓名、照片、电子邮件地址、银行详细信息、社交网站上的帖子、医疗信息或计算机IP地址等任何内容。

以下标识符在Experience Cloud应用程序中经常使用,可能会受到隐私法规要求的约束:

  • 名称
  • 邮政地址
  • 个人唯一标识符
  • 在线标识符
  • IP地址
  • 电子邮件地址
  • 帐户名称

个人信息还可以包括互联网或其他电子网络活动信息。 这包括但不限于:

  • 浏览历史记录
  • 搜索历史记录
  • 有关消费者与网站、应用程序或广告的互动的信息

尽管隐私法规涵盖广泛的个人信息,但Adobe的标准合同条款规定敏感个人信息(如SSN、驾照信息、金融账户信息和生物识别数据)通常被禁止进口和用于Experience Cloud应用。

数据控制器和数据处理器之间有何区别?

数据控制者 ​是确定处理个人数据的目的、条件和方法的实体,而​ 数据处理者 ​是代表数据控制者处理个人数据的实体。

数据控制者 ​是有权力或责任就个人数据的收集、使用或公开做出决策的个人或组织。 数据处理者 ​是指在个人数据的收集、使用或公开以及数据控制者的指导方面开展业务的人员或组织。

明确和明确的数据主体同意之间有何区别?

明确同意 ​指同意标准,该标准以口头或书面形式具体地、知情地明确地表示数据主体的意愿。 简言之,数据主体必须字面明确地表示“我同意”或“我同意”,以便将该同意视为显性同意。 此外,撤回同意必须与给予同意一样容易。

明确(默示)同意 ​指数据主体未明确给出但本质上明确的同意。 例如,在公司网站的注册过程中,会发出通知,通过提供电子邮件地址,数据主体同意接收有关特别优惠的电子邮件。 如果数据主体阅读了通知,那么输入其电子邮件的肯定行为就足以被视为明确的同意。

对于GDPR等许多法规,处理敏感个人数据需要明确同意,在这种情况下,仅使用“选择加入”是不够的。 但是,对于非敏感数据,明确(默示)同意是可以接受的。

数据主体在一定年龄下能否表示同意?

许多隐私法规规定,如果数据主体未达到特定年龄,则他们无法合法同意收集其个人数据。 有些法规允许这些案例中数据主体的家长责任人给予同意,但并非所有法规都允许。 下表列出了数据主体同意执行每项法规的最低年龄,并附有相关说明以供进一步了解:

法规
同意年龄
注释
CCPA (加利福利亚州)
16
  • 仅可为13岁或以上的数据主体提供家长同意。
  • 严禁向13岁以下的对象采集个人数据。
GDPR(欧盟)
16
  • 欧盟一些成员国为此目的可规定年龄较低的法律,但不得低于13岁。
  • 所有年龄限制以下的数据主体都必须获得父母同意。
LGPD (巴西)
13
  • 所有年龄限制以下的数据主体都必须获得父母同意。
  • 13岁至18岁的自然人可表示同意,前提是他们以最佳利益处理其个人数据。
PDPA (泰国)
10
  • 所有年龄限制以下的数据主体都必须获得父母同意。

企业需要多少天才能响应消费者访问或删除个人信息的请求?

假定企业已收集个人信息并且可以对特定消费者的身份进行验证或验证,则隐私法规允许满足消费者请求的特定时间窗口。 下表划分了每项法规的适用时间范围,并附注了一些例外情况:

NOTE
“天数”响应时间范围反映了每项法规要求完成消费者请求的时间表。
法规
做出响应的时间范围
注释
CCPA (加利福利亚州)
45 天
GDPR(欧盟)
30 天
如果请求复杂,或同一数据主体提出了大量请求,则该请求可以延长到60天。
LGPD (巴西)
15 天
PDPA (泰国)
30 天
如果公司无法在合规期限内响应数据主体的请求,则从无法履行向数据主体作出书面响应的请求之日算起,公司还有另外30天时间。

我的企业是否需要指定一名数据保护人员?

如果贵组织的数据操作属于GDPR、LGPD或PDPA的法律管辖范围,则必须在以下情况下指定数据保护专员(DPO):

  • 您的组织是一个公共机构
  • 您的组织从事大规模的系统监控
  • 您的组织需要大规模处理敏感的个人数据。
IMPORTANT
与其他法规不同,CCPA确实将这一点规定为一项要求。 但是,为了维护隐私合规,通常建议公司必须让一位具备资格的人员监控数据收集活动和消费者数据的存储,以及响应客户查询。

如果维护隐私法规涵盖的数据,如何支持消费者隐私请求?

在采取必要步骤对属于相应法律管辖区的消费者进行身份验证后,Adobe Experience Platform Privacy Service允许您向兼容的Experience Cloud应用程序提交消费者隐私请求。 有关详细信息,请参阅Privacy Service 概述。 有关特定Experience Cloud应用程序如何满足隐私请求的信息,请参阅Privacy Service和Experience Cloud应用程序指南。

NOTE
对于哪些类型的数据符合消费者隐私请求的条件,加州监管机构尚未提供进一步指导。

CCPA问题

以下问题与CCPA特别相关。

CCPA的各项职责和责任如何适用于Experience Cloud?

根据CCPA的定义,以下职责适用于Adobe及其客户:

  • Adobe客户(请求收集和使用加利福尼亚居民个人信息的当事方)将被视为​ 企业
  • Adobe作为服务提供者将被视为​ 服务提供者

作为服务提供商,Adobe代表企业收集和处理个人信息,并且受合同约束,只能将该信息用于协议中规定的特定目的。

鉴于这种关系和Adobe的合同条款,向Adobe披露可能不被视为“出售”,企业需要发出通知并要求同意。

但是,Adobe服务可用于实现某些数据共享以及向第三方传输。 这些第三方转让可视为“出售”,并依法要求披露和同意。 客户应与他们的法律顾问合作,评估特定用例以评估适用的要求。

Adobe是否提供其他有助于满足CCPA要求的工具?

Adobe Experience Cloud应用程序提供数据管理和治理功能,这些功能有助于满足公司的隐私需求。 这些工具包括数据使用标签、基于角色的访问控制、IP模糊处理和哈希处理功能。

Adobe已收到其隐私和安全实践的各种认证,例如ISO 27001认证和TrustArc GDPR验证。

GDPR问题

以下问题与GDPR特别相关。

法规和指令之间有何区别?

条例 ​是一项具有约束力的法案,必须在整个欧盟范围内完全适用。 指令 ​是规定了所有欧盟国家都必须实现的目标的一项法案,但具体如何实现取决于各个国家。

需要注意的是, GDPR是一项法规,与以前的法律(《数据保护指令》)不同,后者是一个指令。

GDPR如何影响有关数据泄露的政策?

围绕数据泄露的拟议法规主要涉及被泄露公司的通知政策。 对于可能给个人带来风险的数据泄露,必须在72小时内通知数据保护部门,并且不得无故拖延,同时通知受影响的个人。

PDPA问题

以下问题与PDPA特别相关。

哪些是敏感的个人数据?

PDPA对收集和存储敏感个人数据规定了严格的要求,这些数据包括与以下方面相关的个人数据:种族或民族血统、政治观点、宗教或哲学信仰、犯罪记录、工会会员资格、遗传数据、生物识别数据、健康记录以及性取向或偏好。

recommendation-more-help
9cbf7061-a312-49f7-aaf8-a10885d53580