隐私和数据保护法规
有关欧盟通用数据保护条例 (GDPR)、加州消费者隐私法案 (CCPA) 和其他隐私要求的信息。了解这些法规对您的组织和Adobe Target有何影响。
隐私和通用数据保护条例 (GDPR) 概述
2018 年 5 月 25 日,欧盟的 GDPR 已正式生效。有关此法规对您影响的更多信息,请参阅 GDPR 和您的业务。
当 Adobe 向企业提供软件和服务时,作为提供这些服务的一部分,Adobe 将充当其处理并存储的任何个人数据的“数据处理方”。作为“数据处理方”,Adobe 将根据贵公司授予的权限及指示(例如,遵照您与 Adobe 签署的协议中的规定)处理个人数据。
作为“数据控制方”,您可以决定 Adobe 代表您处理和存储的个人数据。如果您使用 Adobe Experience Cloud 解决方案,Adobe 可能会根据您使用的解决方案和您选择发送到 Adobe Experience Cloud 帐户的信息,来为您托管个人数据。有关详细的示例列表,请参阅 Adobe Experience Cloud 隐私。
Adobe Experience Cloud为数据控制方提供了为GDPR做好准备的API,这些API允许他们完成以下任务:
- 访问 Target 中存储的数据主体信息
- 删除 Target 中存储的数据主体信息
有关更多信息,请参阅:
《加州消费者隐私法案》(CCPA) 概述
《加州消费者隐私法案》(CCPA) 为加利福尼亚州消费者提供了关于个人信息的新权利,并明确了在加利福尼亚州开展业务的某些实体的数据保护职责。CCPA 在 2020 年 1 月 1 日起生效。
在较高层面上,这项法案为加州人提供了几项主要的权利,具体包括:
- 请求信息(数据访问)
- 选择不出售个人信息(一项广泛定义的权利,选择不与第三方共享信息)
- 删除个人信息
- 获知个人信息正在被披露或出售
如果您去年忙于准备好应对欧洲隐私法律(GDPR),那么您可能已经熟悉了这样的一些权利,并且可以重新利用已经完成的许多工作。
Adobe Target和Adobe Experience Platform选择加入
Target通过Adobe Experience Platform中的标记提供选择加入功能支持,以帮助支持您的同意管理策略。 选择加入功能让客户可自行决定如何以及何时触发 Target 标记。还有一个选项,即通过Adobe Experience Platform预批准Target标记。 若要启用在Target at.js库中使用选择加入的功能,您应该使用targetGlobalSettings并添加optinEnabled=true设置。 在Adobe Experience Platform中,从扩展安装视图的GDPR选择加入下拉列表中选择“启用”。 有关更多详细信息,请参阅使用Adobe Experience Platform实施Target。
以下代码段显示了如何启用 optinEnabled=true 设置:
window.targetGlobalSettings = {
optinEnabled: true
};
推荐使用Adobe Experience Platform管理选择加入功能。 Adobe Experience Platform中存在更细粒度的控制,用于在触发Target之前隐藏页面的选定元素,这对于在同意策略中的使用非常有帮助。
使用选择加入功能时需要考虑三种情景:
-
Target标记已通过Adobe Experience Platform预批准(或数据主体以前批准了Target): Target标记不适用于征求同意,且会按预期运行。
-
Target 标记没有获得预批准且
bodyHidingEnabled设置为 FALSE: 只有在收到客户的同意之后,才会触发 Target 标记。在收到客户同意之前,仅默认内容可用。在收到客户同意之后,将调用 Target 并向数据主体(访客)提供个性化内容。由于在同意之前只有默认内容可用,因此务必要使用正确的策略,例如过场动画页面涵盖了页面的任意部分或者可能个性化的内容。此过程确保对于所有数据主体(访客)保持一致的体验。 -
Target 标记没有获得预批准且
bodyHidingEnabled设置为 TRUE: 只有在收到客户的同意之后,才会触发 Target 标记。在收到客户同意之前,仅默认内容可用。但是,因为bodyHidingEnabled设置为 true,bodyHiddenStyle会指示在触发 Target 标记之前页面上需要隐藏的内容(或者数据主体拒绝使用选择加入功能,这种情况下会显示默认内容)。默认情况下,bodyHiddenStyle设置为body { opacity:0;},这会隐藏 HTML 正文标记。Adobe 的推荐页面配置如下,通过将页面内容放在一个容器中并将同意管理器对话框放在单独的容器中,从而隐藏页面全部正文而不隐藏同意管理器对话框。配置这种设置之后,Target 仅隐藏页面内容容器。请参阅 Privacy Service 概述。适用于情景 3 的推荐页面设置是:
code language-none <html> <head> //visitor, at.js </head> <body> <div id = "consentManagerDialog"> //consent manager html dialog goes here </div> <div id="pageContent"> // page content goes here </div> </body> </html>假设
bodyHiddenStyle为:code language-none #pageContent { opacity:0;}
隐私和数据保护法规常见问题解答
有关欧盟《通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA) 和其他专门特定于 Target 的国际隐私要求的常见问题解答。
针对这些法规的Adobe政策是什么?
Adobe已经履行或者正在履行其作为数据处理商的义务。 Adobe 在设计上为经认证的安全性和隐私控制奠定了牢固的基础,并在 2018 年 5 月的截止日期之前落实了产品增强功能。企业和客户负责实施这些增强功能,并更新任意必要的策略和过程。
作为数据控制方,我的公司是否必须向使用的每个Adobe Experience Cloud解决方案提交GDPR或CCPA请求?
不需要,Adobe提供了一种核心方法,帮助“数据控制方”满足其GDPR和CCPA要求。 数据控制方无需直接转向各个解决方案。
包括Target在内的Experience Cloud解决方案的所有GDPR和CCPA请求均通过集中AdobeAPI进行,后者目前称为GDPR API。 然后,API跨数据控制方的Experience Cloud解决方案包完成请求。
作为对数据主体/用户请求的回应,Adobe允许客户删除哪些信息?
在 Target 中,与单独访客有关的信息是包含在 Target 访客配置文件中。Target允许客户删除与其访客配置文件中某个ID关联的所有数据。 有关Target存储的配置文件数据的示例,请参阅访客配置文件。
未标识特定个人的聚合或匿名数据(例如,报表数据)或与特定个人无关的数据(例如,内容数据),不在用户删除请求的范围之内。
默认情况下,无需执行任何操作,系统即会删除 90 天处于不活跃状态的 Target 访客配置文件。
系统支持哪些ID来帮助客户完成Target的GDPR或CCPA访问和删除请求?
Target 支持以下 ID 类型来查找客户配置文件:
Target如何处理同意管理?
对于您必须获取同意的情况,GDPR 和 CCPA 没有进行更改,而是更改了您获取同意的方式。每个客户的同意策略取决于其数据收集和使用实践及其隐私政策。不支持,也不应通过Target for GDPR和CCPA实现同意管理。
Adobe 目前不提供同意管理解决方案,不过,市面上有各种各样的开发工具,可用来解决一些新的需求。有关常规隐私工具的更多信息,包括同意管理器,请参阅 隐私权专家国际协会 (iaap) 网站上的 2017 隐私技术供应商报告。
Target通过Adobe Experience Platform提供选择加入功能支持,以支持您的同意管理策略。 选择加入功能让客户可自行决定如何以及何时触发 Target 标记。还有一个选项,即通过Adobe Experience Platform预批准Target标记。 推荐使用Adobe Experience Platform管理选择加入功能。 Adobe Experience Platform中存在更细粒度的控制,用于在触发Target之前隐藏页面的选定元素,这对于在同意策略中的使用会非常有帮助。
有关GDPR、CCPA和Adobe Experience Platform的更多信息,请参阅Adobe隐私JavaScript库和GDPR。 此外,请参阅上文的 Adobe Target 和 Adobe Experience Platform 选择启用 部分。
AdobePrivacy.js 是否向 GDPR API 提交信息?
AdobePrivacy.js 不 向API提交此信息。 客户必须自行处理。该库仅提供存储在特定访客浏览器中的 ID。
removeIdentities 删除什么?
removeIdentities“只” 删除浏览器中的那些标识,而且仅取决于 Adobe 解决方案是否已经执行了这项操作。
例如,Target会删除存储其ID的Cookie,但Adobe Audience Manager (AAM)不会删除存储在第三方Cookie中的Demdex ID。
Target GDPR或CCPA请求中必须包含哪些信息?
Privacy Service除了Central Target的要求之外,Target的有效GDPR或CCPA消息还包含:
{
"jobId":"12345AD43E",
...
"products":["Target",...],
"companyContexts":[
{
"namespace":"imsOrgID",
"value":"123456789@AdobeOrg"
},
...
],
"userContexts":[
{
"namespace":"ECID",
"namespaceId":4,
"type":"standard",
"value":"53792210477379708453829363835595041181"
}
And/OR:
{
"namespace":"TNTID",
"namespaceId":9,
"type":"standard",
"value":"1234567890"
}
And/OR:
{
"namespace":"THIRDPARTYID",
"type":"target",
"value":"thirdPartyIdName"
},
...
]
}
我可以通过 GDPR API 从 Target 获得哪些类型的响应?
一些公司有多个 IMS ID。在配置了Target的地方提交IMS ID。
如果您尝试提交Target不支持的命名空间ID类型,也会返回此结果(请参阅上面的受支持ID)。
上传到 Azure 以请求访问时出错。
对于访问请求,Target 会向 GDPR API 发送什么响应?
在响应访问数据的请求时,将提供一份有关所讨论访客的 Target 配置文件摘要。此返回结果发送到Experience CloudGDPR API,这随之会向数据控制者发送一个响应。
Target 访问 API 响应示例如下所示:
{
"jobId":"12345AD43E",
...
"products":["Target",...],
"companyContexts":[
{
"namespace":"imsOrgID",
"value":"123456789@AdobeOrg"
},
...
],
"userContexts":[
{
~"namespace":"ECID",
"namespaceId":4,
"type":"standard",
"value":"53792210477379708453829363835595041181"
}
And/OR:
{
~"namespace":"tntId",
"namespaceId":9,
"type":"standard",
"value":"1234567890"
}
And/OR:
{
"namespace":"thirdPartyId",
"type":"target",
"value":"thirdPartyIdName"
},
...
]
}
当提供多个值来识别配置文件时,每个有效的标识符将有一个配置文件。一个或多个配置文件将通过GDPR核心API发送到核心GDPR Azure Blob,采用Target配置文件JSON响应格式。
Target 配置文件 JSON 示例可能如下所示:
{"profileAttributes":
"Sample_Parameter":{"value":"Gold Loyalty Status","modifiedAt":"2018-04-11T21:44:14.000-04:00"},
"user.ReturnTimeOfDay":{"value":"44.0","modifiedAt":"2018-04-11T21:44:14.000-04:00"},
"firstSessionStart":{"value":"1523497450602","modifiedAt":"2018-04-11T21:44:10.000-04:00"},
"user.sessionCountScript":{"value":"1","modifiedAt":"2018-04-11T21:44:14.000-04:00"}
}
}
下表包含说明性配置文件 JSON 字段的描述:
Target 是否支持 IP 模糊处理?
如果您选择将IP模糊处理用作GDPR或CCPA实施策略的一部分,则Target支持IP模糊处理。 有关更多信息,请参阅隐私。
我是否需要做些什么来防止第三方共享或出售我的数据?
Target不允许客户直接从Target向第三方共享或出售数据,因此无需为Target选择禁用出售。