隱私權與資料保護規範
有關歐盟一般資料保護規範 (GDPR)、加州消費者隱私保護法 (CCPA) 及其他國際隱私規定的資訊。 瞭解這些規範如何影響您的組織和Adobe Target。
隱私權與一般資料保護規範 (GDPR) 概觀
自 2018 年 5 月 25 日起,歐盟的 GDPR 已正式生效。 如需有關此規範對您有何意義的詳細資訊,請參閱 GDPR 和您的企業。
當 Adobe 提供軟體和服務給企業時,Adobe 為了提供這些服務,會以資料處理者的角色處理和儲存任何個人資料。身為資料處理者,Adobe 會根據貴公司的權限和指示 (例如,依照您與 Adobe 的合約規定) 處理個人資料。
身為資料控管者,您可以決定 Adobe 代表您處理和儲存的個人資料。如果使用 Adobe Experience Cloud 解決方案,則 Adobe 可能會根據您使用的解決方案,以及您選擇傳送到 Adobe Experience Cloud 帳戶的資訊,為您託管個人資料。如需範例的詳細清單,請參閱 Adobe Experience Cloud 隱私權。
Adobe Experience Cloud為資料控管者提供GDPR完備的API,可讓資料控管者完成下列工作:
- 存取儲存在 Target 中的資料主體資訊
- 刪除儲存在 Target 中的資料主體資訊
如需詳細資訊,請參閱:
加州消費者隱私保護法 (CCPA) 概觀
加州消費者隱私保護法 (CCPA) 為加州消費者提供關於其個人資訊的新權利,並對在加州執行業務的某些實體施加資料保護責任。CCPA 已於 2020 年 1 月 1 日生效。
整體來說,此法律賦予加州人多項重要權利,包括下列權利:
- 要求資訊 (資料存取)
- 選擇退出個人資訊銷售 (這是一項定義非常廣泛的權利,可選擇退出與第三方分享資訊)
- 要求刪除個人資訊
- 在個人資訊已公開或銷售時收到通知
如果您去年忙著為歐洲的隱私權法律(GDPR)做好準備,您可能很熟悉這裡的其中一些權利,您已完成的許多工作可以另作他用。
Adobe Target和Adobe Experience Platform選擇加入
Target透過Adobe Experience Platform中的標籤支援選擇加入功能,可協助支援您的同意管理策略。 選擇加入功能可讓客戶控制觸發 Target 標記的方法和時機。也可選擇透過Adobe Experience Platform預先核准Target標籤。 若要啟用在Target at.js資料庫中使用選擇加入的功能,您應該使用targetGlobalSettings並新增optinEnabled=true設定。 在Adobe Experience Platform中,以擴充功能安裝檢視,從GDPR選擇加入下拉式清單中選取「啟用」。 如需詳細資訊,請參閱使用Adobe Experience Platform實作Target。
下列程式碼片段會向您示範如何啟用 optinEnabled=true 設定:
window.targetGlobalSettings = {
optinEnabled: true
};
建議使用Adobe Experience Platform管理選擇加入。 Adobe Experience Platform中有更精細的控制功能,可在Target引發前隱藏選取的頁面元素,可能利於用於知情同意策略的一部分。
使用「選擇加入」時,該考慮三種情況:
-
已透過Adobe Experience Platform預先核准Target標籤(或資料主體先前核准的Target): Target標籤不會為同意保留,且會如預期運作。
-
Target 標記「不會」預先核准且
bodyHidingEnabled為「FALSE」: Target 標記僅在向客戶取得同意後觸發。取得同意前,僅可使用預設內容。收到同意後,系統會呼叫 Target,資料主體 (訪客) 即可使用個人化內容。由於知情同意前只能使用預設內容,因此使用適當的策略很重要,例如蓋住頁面任何部分的啟動顯示畫面或可個人化的內容。 此程序可確保資料主體 (訪客) 的體驗保持一致。 -
Target 標記「不會」預先核准且
bodyHidingEnabled為「TRUE」: Target 標記僅在向客戶取得同意後觸發。取得同意前,僅可使用預設內容。但由於bodyHidingEnabled設為 True,bodyHiddenStyle會指定在觸發 Target 標記前隱藏的頁面內容 (或資料主體拒絕選擇加入,而顯示預設內容)。根據預設,bodyHiddenStyle設定為body { opacity:0;},這會隱藏 HTML 內文標記。 Adobe 建議的頁面設定如下,以便將頁面內容放入一個容器,並將知情同意管理程式對話框放入另一個容器,即可隱藏頁面的整個內文,而不是知情同意管理程式對話框。 這項設定會將 Target 設定為只隱藏頁面內容容器。請參閱 Privacy Service 概觀。情況 3 的建議頁面設定如下:
code language-none <html> <head> //visitor, at.js </head> <body> <div id = "consentManagerDialog"> //consent manager html dialog goes here </div> <div id="pageContent"> // page content goes here </div> </body> </html>假設
bodyHiddenStyle如下:code language-none #pageContent { opacity:0;}
隱私權與資料保護規範常見問題集
歐盟一般資料保護規範 (GDPR)、加州消費者隱私保護法 (CCPA) 及 Target 專用之其他國際隱私權要求的相關常見問題集。
Adobe針對這些規範採取什麼政策?
身為資料處理者,Adobe已符合相關規範或致力於履行我們的義務。 Adobe 在設計上擁有經過認證的安全性與隱私權控制的堅實基礎,並已於 2018 年 5 月的截止日期前對產品做了強化。 企業客戶有責任實作這些增強功能,並更新任何必要的政策和程序。
我們公司身為資料控管者,必須對每個使用的Adobe Experience Cloud解決方案提交GDPR或CCPA要求嗎?
否,Adobe會以集中的方式協助資料控管者符合其GDPR和CCPA規定。 資料控管者無需直接處理每個解決方案。
Experience Cloud解決方案(包括Target)的所有GDPR和CCPA要求,都是透過目前稱為GDPR API的中央Adobe API來執行。 此API接著會完成資料控管者的Experience Cloud解決方案套件上的要求。
Adobe會讓客戶刪除哪些資訊來回應資料主體/使用者要求?
有關 Target 中的個別訪客資訊會包含在 Target 訪客設定檔中。Target可讓客戶刪除與其訪客設定檔中之ID相關的所有資料。 如需Target儲存的設定檔資料範例,請參閱訪客設定檔。
不會識別特定個人的彙總或匿名資料 (例如報告資料),或與特定個人不相關的資料 (例如內容資料),則不在使用者刪除要求的範圍之內。
長達 90 天未使用的 Target 訪客設定檔會依預設刪除,您無需採取任何動作。
哪些ID受到支援,並且可協助客戶完成針對Target的GDPR或CCPA存取及刪除要求?
Target 支援下列 ID 類型,以便找出客戶設定檔:
Target如何處理同意管理?
GDPR 和 CCPA 不會改變您必須取得同意的時間,而是改變您取得同意的方式。 每個客戶的知情同意策略會依據其資料收集和使用做法以及其隱私權政策而定。 不支援GDPR和CCPA的同意管理,也不應透過Target達成。
Adobe 目前並未提供同意管理解決方案,但市場中已開發各種工具,可有效應付新需求中的部分內容。如需一般隱私工具的詳細資訊,包括知情同意管理程式,請參閱國際隱私權專家協會 (iaap) 網站上的 2017 年隱私技術廠商報告。
Target透過Adobe Experience Platform支援選擇加入功能,可支援您的同意管理策略。 選擇加入功能可讓客戶控制觸發 Target 標記的方法和時機。也可選擇透過Adobe Experience Platform預先核准Target標籤。 建議使用Adobe Experience Platform管理選擇加入。 Adobe Experience Platform中有更精細的控制功能,可在Target引發前隱藏選取的頁面元素,可能利於用於知情同意策略的一部分。
如需GDPR、CCPA和Adobe Experience Platform的詳細資訊,請參閱Adobe隱私權JavaScript程式庫和GDPR。 另請參閱上面的 Adobe Target 和 Adobe Experience Platform 選擇加入一節。
AdobePrivacy.js 會將資訊提交至 GDPR API 嗎?
AdobePrivacy.js 不會將此資訊提交至API。 此動作必須由客戶來執行。本程式庫僅會提供儲存在該特定訪客所使用之瀏覽器中的 ID。
removeIdentities 會移除哪些內容?
removeIdentities僅會從瀏覽器移除身分識別資料,而此動作完全取決於 Adobe 解決方案是否已實作此程式碼。
例如,Target會刪除儲存其ID的Cookie,但Adobe Audience Manager (AAM)不會刪除儲存於第三方Cookie中的Demdex ID。
Target GDPR或CCPA要求中必須包含哪些資訊?
除了Central Privacy Service的需求,Target的有效GDPR或CCPA訊息包含:
{
"jobId":"12345AD43E",
...
"products":["Target",...],
"companyContexts":[
{
"namespace":"imsOrgID",
"value":"123456789@AdobeOrg"
},
...
],
"userContexts":[
{
"namespace":"ECID",
"namespaceId":4,
"type":"standard",
"value":"53792210477379708453829363835595041181"
}
And/OR:
{
"namespace":"TNTID",
"namespaceId":9,
"type":"standard",
"value":"1234567890"
}
And/OR:
{
"namespace":"THIRDPARTYID",
"type":"target",
"value":"thirdPartyIdName"
},
...
]
}
透過 GDPR API,我應該可以得到哪些回應類型?
某些公司有多個 IMS ID。 在布建Target的地方提交IMS ID。
如果您嘗試提交Target不支援的名稱空間ID型別(請參閱上面所述的支援的ID),也會傳回此結果。
因應存取要求上傳至 Azure 時發生錯誤。
Target 針對存取要求傳送至 GDPR API 的回應是什麼?
存取資料要求的回應包含特定訪客的 Target 設定檔摘要。此傳回內容會傳送至Experience Cloud GDPR API,接著傳送回應給資料控管者。
Target 存取 API 回應的範例看起來可能會像這樣:
{
"jobId":"12345AD43E",
...
"products":["Target",...],
"companyContexts":[
{
"namespace":"imsOrgID",
"value":"123456789@AdobeOrg"
},
...
],
"userContexts":[
{
~"namespace":"ECID",
"namespaceId":4,
"type":"standard",
"value":"53792210477379708453829363835595041181"
}
And/OR:
{
~"namespace":"tntId",
"namespaceId":9,
"type":"standard",
"value":"1234567890"
}
And/OR:
{
"namespace":"thirdPartyId",
"type":"target",
"value":"thirdPartyIdName"
},
...
]
}
當有多個值可用來識別個人資料時,每個有效的識別碼都會有一個個人資料檔案。一個或多個設定檔會透過GDPR中央API,以Target設定檔JSON回應格式傳送至集中的GDPR Azure Blob。
Target 設定檔 JSON 的範例看起來可能像下面的例子:
{"profileAttributes":
"Sample_Parameter":{"value":"Gold Loyalty Status","modifiedAt":"2018-04-11T21:44:14.000-04:00"},
"user.ReturnTimeOfDay":{"value":"44.0","modifiedAt":"2018-04-11T21:44:14.000-04:00"},
"firstSessionStart":{"value":"1523497450602","modifiedAt":"2018-04-11T21:44:10.000-04:00"},
"user.sessionCountScript":{"value":"1","modifiedAt":"2018-04-11T21:44:14.000-04:00"}
}
}
下表包含說明性的個人資料 JSON 欄位描述:
Target 支援 IP 模糊化功能嗎?
如果您選擇使用作為GDPR或CCPA實作策略,Target可支援IP模糊化功能。 如需詳細資訊,請參閱隱私權。
我應該採取某個行動來避免我的資料被分享或賣給第三方嗎?
Target不允許客戶直接從Target分享或銷售資料給第三方,因此Target不需選擇退出銷售。