文件Experience PlatformPrivacy Service 指南

隱私權法規常見問題集

Last update: Tue Jul 16 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主題:

建立對象:

  • 使用者
  • 管理員

本檔案提供支援法律隱私權法規及其在Adobe Experience Cloud中實作的相關常見問題解答。

NOTE
隱私權法規術語指南中找到此檔案中所使用各種術語的定義。

一般問題

以下問題與Experience Cloud支援的所有隱私權法規有關。

受支援的隱私權法規會影響到誰?

Experience Cloud🔗支援的隱私權法規適用於所有在法規的各自管轄區內儲存和處理公民個人資料的組織,無論組織的地理位置為何。

個人資料由哪些部分組成?

個人資料是指與自然人或資料主體相關的任何資訊,可用於直接或間接識別使用者的身分。 它可以是任何名稱、像片、電子郵件地址、銀行詳細資訊、社交網站上的貼文、醫療資訊或電腦IP位址。

下列識別碼常用於Experience Cloud應用程式,且可能會受到隱私權法規要求的約束:

  • 名稱
  • 郵寄地址
  • 唯一個人識別碼
  • 線上識別碼
  • IP位址
  • 電子郵件地址
  • 帳戶名稱

個人資訊也可以包含網際網路或其他電子網路活動資訊。 這包含但不限於:

  • 瀏覽歷程記錄
  • 搜尋歷史記錄
  • 有關消費者與網站、應用程式或廣告互動的資訊

即使隱私權法規涵蓋廣泛的個人資訊,Adobe的標準合約條款仍規定敏感個人資訊(例如SSN、駕照資訊、財務帳戶資訊和生物識別資料)通常不得匯入和用於Experience Cloud應用程式。

資料控制方和資料處理方之間有何差異?

資料控制方 ​是決定處理個人資料的用途、條件和方式的實體,而​ 資料處理方 ​是代表資料控制方處理個人資料的實體。

資料控制方 ​是指有權力且有責任決定收集、使用或公開個人資料的個人或組織。 資料處理者 ​是指在個人資料的收集、使用或公開以及資料控管者的方向方面運作的人員或組織。

明確和明確的資料主體同意之間有何差異?

明確同意 ​是指同意的標準,其中包含以口頭或書面形式具體、知情且清楚表示資料主體的意願。 簡言之,資料主體必須字面明確表達「我同意」或「我同意」,同意才能被視為明確。 此外,撤回同意必須與給予同意一樣容易。

明確的(隱含的)同意 ​是指資料主體未明確給予的同意,但本質上是明確無誤的。 例如,在公司網站的註冊過程中,會發出通知,通知提供電子郵件地址,即資料主體同意接收有關特殊優惠方案的電子郵件。 如果資料主體閱讀通知,輸入其電子郵件的肯定動作就足以視為明確的同意。

針對GDPR等許多法規,處理敏感個人資料需要明確同意,而「選擇加入」僅夠處理。 不過,對於非敏感資料,可以接受明確的(隱含的)同意。

未達特定年齡的資料主體是否可表示同意?

許多隱私權法規規定,如果資料主體未達到特定年齡,則無法合法同意收集其個人資料。 在這些情況下,有些法規會允許該資料主體的家長責任人給予同意,但並非所有情況都如此。 下表列出資料主體針對每個法規提供其同意的最低年齡,並附上相關附註以取得進一步資訊:

法規
同意年齡
附註
CCPA (加利福利亞州)
16
  • 只有13歲或以上的資料主體才能取得家長同意。
  • 嚴禁向13歲以下的對象收集個人資料。
GDPR (歐盟)
16
  • 歐盟部分成員國可能為此目的提供較低年齡的法律,但不低於13歲。
  • 所有年齡限制以下的資料主體都必須獲得家長同意。
LGPD (巴西)
13
  • 所有年齡限制以下的資料主體都必須獲得家長同意。
  • 13至18歲的自然人可表示同意,前提是他們須以最佳利益考量處理其個人資料。
PDPA (泰國)
10
  • 所有年齡限制以下的資料主體都必須獲得家長同意。

企業要回應消費者存取或刪除個人資訊的要求需要多少天?

假設企業已收集個人資訊,並且可以驗證或驗證特定消費者的身分,隱私權法規允許滿足消費者請求的特定時間範圍。 下表劃分了各法規的適用時間範圍,並附上部分例外備註:

NOTE
以「天」回應時間範圍反映了每項法規要求完成消費者請求的時間表。
法規
回應時間範圍
附註
CCPA (加利福利亞州)
45 天
GDPR (歐盟)
30 天
如果要求複雜,或相同資料主體提出許多要求,則要求可延長至60天。
LGPD (巴西)
15 天
PDPA (泰國)
30 天
如果公司無法在規定期限內回應資料主體的請求,則該公司將有30天的額外時間,從他們無法履行書面回應資料主體的請求之日起算。

我的企業需要指定資料保護人員嗎?

如果貴組織的資料作業屬於GDPR、LGPD或PDPA的法律管轄範圍,則必須在下列情況下指定資料保護人員(DPO):

  • 您的組織是公共機關
  • 貴組織從事大規模的系統監控
  • 貴組織從事大規模敏感個人資料處理工作。
IMPORTANT
與其他法規不同,CCPA會將此規定為一項要求。 不過,為了維持隱私權法規遵循,通常建議公司必須擁有合格的個別監控資料收集活動、儲存消費者資料,以及回應客戶查詢。

如果維護隱私權法規所涵蓋的資料,該如何支援消費者隱私權請求?

在您採取必要步驟來驗證屬於適當法律管轄區的消費者後,Adobe Experience Platform Privacy Service可讓您向相容的Experience Cloud應用程式提交消費者隱私權請求。 如需詳細資訊,請參閱Privacy Service 概觀。 如需瞭解您的特定Experience Cloud應用程式如何處理隱私權要求,請參閱Privacy Service和Experience Cloud應用程式的指南。

NOTE
加州監管機構仍會提供進一步指引,說明哪些型別的資料符合消費者隱私權請求的資格。

CCPA問題

以下問題與CCPA有關。

CCPA的不同角色和職責如何適用於Experience Cloud?

如CCPA所定義,下列角色適用於Adobe及其客戶:

  • Adobe客戶(要求收集並使用加州居民個人資訊的一方)會視為​ 企業
  • 提供服務的Adobe將被視為​ 服務提供者

作為服務提供者,Adobe代表企業收集與處理個人資訊,且合約上受限於僅針對合約中所述的特定目的使用該資訊。

鑑於這種關係和Adobe的合約語言,向Adobe公開資料可能不會被視為企業需要提供通知和請求同意的「出售」。

不過,Adobe服務可用來啟用某些資料共用及傳輸給第三方。 這些協力廠商轉讓可視為「出售」,並依法要求披露及同意。 客戶應與他們的法律顧問合作,評估特定使用案例以評估適用的要求。

Adobe是否提供其他有助於滿足CCPA要求的工具?

Adobe Experience Cloud應用程式提供資料管理和治理功能,有助於滿足公司的隱私權需求。 這些工具包括資料使用標籤、角色型存取控制、IP模糊化及雜湊功能。

Adobe已收到其隱私權與安全性實務的各種認證,例如ISO 27001認證和TrustArc GDPR驗證。

GDPR問題

以下問題與GDPR特別相關。

法規與指示之間有何差異?

法規 ​是具約束力的法規,必須完全套用至整個歐盟。 指令 ​是列明所有歐盟國家必須達成之目標的立法行為,但如何達成取決於個別國家。

請務必注意,GDPR是一項法規,與先前的法規(資料保護指示)不同,後者是一項指示。

GDPR如何影響有關資料洩露的原則?

針對資料違規的擬議法規主要與違規公司的通知政策有關。 若資料洩漏可能會對個人造成風險,必須在72小時內通知資料保護機關,並及時通知受影響的個人。

PDPA問題

以下問題與PDPA特別相關。

何謂敏感的個人資料?

PDPA對收集和儲存敏感個人資料規定了嚴格的要求,資料包括與以下相關的個人資料:種族或族群出身、政治觀點、宗教或哲學信仰、犯罪記錄、工會會員資格、遺傳資料、生物識別資料、健康記錄,以及性取向或偏好。

recommendation-more-help
9cbf7061-a312-49f7-aaf8-a10885d53580