隱私權法規常見問題集

本檔案提供支援法律隱私權法規及其在Adobe Experience Cloud中實作的相關常見問題解答。

NOTE
本檔案所使用的各種術語定義可在以下連結中找到: 隱私權法規術語 指南。

一般問題

以下問題與Experience Cloud支援的所有隱私權法規有關。

受支援的隱私權法規會影響到誰?

Experience Cloud支援的隱私權法規 適用於在法規的個別管轄區內儲存和處理公民個人資料的所有組織,無論組織的地理位置為何。

個人資料由哪些部分組成?

個人資料是指與自然人或資料主體相關的任何資訊,可用於直接或間接識別使用者的身分。 它可以是任何名稱、像片、電子郵件地址、銀行詳細資訊、社交網站上的貼文、醫療資訊或電腦IP位址。

下列識別碼常用於Experience Cloud應用程式,且可能會受到隱私權法規要求的約束:

  • 名稱
  • 郵寄地址
  • 唯一個人識別碼
  • 線上識別碼
  • IP 位址
  • 電子郵件地址
  • 帳戶名稱

個人資訊也可以包含網際網路或其他電子網路活動資訊。 這包含但不限於:

  • 瀏覽歷程記錄
  • 搜尋歷史記錄
  • 有關消費者與網站、應用程式或廣告互動的資訊

即使隱私權法規涵蓋廣泛的個人資訊,Adobe的標準合約條款仍規定敏感個人資訊(例如SSN、駕照資訊、財務帳戶資訊和生物識別資料)通常不得匯入和用於Experience Cloud應用程式。

資料控制方和資料處理方之間有何差異?

A 資料控制方 是決定處理個人資料之目的、條件和方式的實體,而 資料處理方 是代表資料控管單位處理個人資料的實體。

A  資料控制方  是有權力且有責任決定收集、使用或公開個人資料的個人或組織。 A 資料處理方  是從事有關收集、使用或公開個人資料及資料控管單位指示的個人或組織。

明確和明確的資料主體同意之間有何差異?

明確同意 指同意的標準,涉及以口頭或書面形式具體、知情且清楚表示資料主體的意願。 簡言之,資料主體必須字面明確表達「我同意」或「我同意」,同意才能被視為明確。 此外,撤回同意必須與給予同意一樣容易。

明確無誤的(默示)同意 指資料主體未明確給出,但性質明確無誤的同意。 例如,在公司網站的註冊過程中,會發出通知,通知提供電子郵件地址,即資料主體同意接收有關特殊優惠方案的電子郵件。 如果資料主體閱讀通知,輸入其電子郵件的肯定動作就足以視為明確的同意。

針對GDPR等許多法規,處理敏感個人資料需要明確同意,而「選擇加入」僅夠處理。 不過,對於非敏感資料,可以接受明確的(隱含的)同意。

未達特定年齡的資料主體是否可表示同意?

許多隱私權法規規定,如果資料主體未達到特定年齡,則無法合法同意收集其個人資料。 在這些情況下,有些法規會允許該資料主體的家長責任人給予同意,但並非所有情況都如此。 下表列出資料主體針對每個法規提供其同意的最低年齡,並附上相關附註以取得進一步資訊:

法規
同意年齡
附註
CCPA (加利福利亞州)
16
  • 只有13歲或以上的資料主體才能取得家長同意。
  • 嚴禁向13歲以下的對象收集個人資料。
GDPR (歐盟)
16
  • 歐盟部分成員國可能為此目的提供較低年齡的法律,但不低於13歲。
  • 所有年齡限制以下的資料主體都必須獲得家長同意。
LGPD (巴西)
13
  • 所有年齡限制以下的資料主體都必須獲得家長同意。
  • 13至18歲的自然人可表示同意,前提是他們須以最佳利益考量處理其個人資料。
PDPA (泰國)
10
  • 所有年齡限制以下的資料主體都必須獲得家長同意。

企業要回應消費者存取或刪除個人資訊的要求需要多少天?

假設企業已收集個人資訊,並且可以驗證或驗證特定消費者的身分,隱私權法規允許滿足消費者請求的特定時間範圍。 下表劃分了各法規的適用時間範圍,並附上部分例外備註:

NOTE
以「天」回應時間範圍反映了每項法規要求完成消費者請求的時間表。
法規
回應時間範圍
附註
CCPA (加利福利亞州)
45 天
GDPR (歐盟)
30 天
如果要求複雜,或相同資料主體提出許多要求,則要求可延長至60天。
LGPD (巴西)
15 天
PDPA (泰國)
30 天
如果公司無法在規定期限內回應資料主體的請求,則該公司將有30天的額外時間,從他們無法履行書面回應資料主體的請求之日起算。

我的企業需要指定資料保護人員嗎?

如果貴組織的資料作業屬於GDPR、LGPD或PDPA的法律管轄範圍,則必須在下列情況下指定資料保護人員(DPO):

  • 您的組織是公共機關
  • 貴組織從事大規模的系統監控
  • 貴組織從事大規模敏感個人資料處理工作。
IMPORTANT
與其他法規不同,CCPA會將此規定為一項要求。 不過,為了維持隱私權法規遵循,通常建議公司必須擁有合格的個別監控資料收集活動、儲存消費者資料,以及回應客戶查詢。

如果維護隱私權法規所涵蓋的資料,該如何支援消費者隱私權請求?

在您採取必要步驟來驗證屬於適當法律管轄區的消費者後,Adobe Experience Platform Privacy Service可讓您向相容的Experience Cloud應用程式提交消費者隱私權請求。 請參閱 Privacy Service 概述 以取得詳細資訊。 如需瞭解您的特定Experience Cloud應用程式如何履行隱私權要求,請參閱以下指南: Privacy Service和Experience Cloud應用程式.

NOTE
加州監管機構仍會提供進一步指引,說明哪些型別的資料符合消費者隱私權請求的資格。

CCPA問題

以下問題與CCPA有關。

CCPA的不同角色和職責如何適用於Experience Cloud?

如CCPA所定義,下列角色適用於Adobe及其客戶:

  • Adobe客戶(要求收集及使用加州居民個人資訊的一方)會視為 企業.
  • 在提供服務時,Adobe會視為 服務提供者.

作為服務提供者,Adobe代表企業收集與處理個人資訊,且合約上受限於僅針對合約中所述的特定目的使用該資訊。

鑑於這種關係和Adobe的合約語言,向Adobe公開資料可能不會被視為企業需要提供通知和請求同意的「出售」。

不過,Adobe服務可用來啟用某些資料共用及傳輸給第三方。 這些協力廠商轉讓可視為「出售」,並依法要求披露及同意。 客戶應與他們的法律顧問合作,評估特定使用案例以評估適用的要求。

Adobe是否提供其他有助於滿足CCPA要求的工具?

Adobe Experience Cloud應用程式提供資料管理和治理功能,有助於滿足公司的隱私權需求。 這些工具包括資料使用標籤、角色型存取控制、IP模糊化及雜湊功能。

Adobe已收到其隱私權與安全性實務的各種認證,例如ISO 27001認證和TrustArc GDPR驗證。

GDPR問題

以下問題與GDPR特別相關。

法規與指示之間有何差異?

A 法規 是具有約束力的法案,必須在整個歐盟內完全適用。 A 指令 是列明所有歐盟國家必須達成之目標的法案,但如何達成取決於個別國家。

請務必注意,GDPR是一項法規,與先前的法規(資料保護指示)不同,後者是一項指示。

GDPR如何影響有關資料洩露的原則?

針對資料違規的擬議法規主要與違規公司的通知政策有關。 若資料洩漏可能會對個人造成風險,必須在72小時內通知資料保護機關,並及時通知受影響的個人。

PDPA問題

以下問題與PDPA特別相關。

何謂敏感的個人資料?

PDPA對收集和儲存敏感個人資料規定了嚴格的要求,資料包括與以下相關的個人資料:種族或族群出身、政治觀點、宗教或哲學信仰、犯罪記錄、工會會員資格、遺傳資料、生物識別資料、健康記錄,以及性取向或偏好。

recommendation-more-help
9cbf7061-a312-49f7-aaf8-a10885d53580