Show Menu
主题×

隐私和数据保护法规

有关欧盟《通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA) 和其他国际隐私要求,以及这些法规您所在组织和 Adobe Target 有何影响的信息。

隐私和《通用数据保护条例》(GDPR) 概述

2018 年 5 月 25 日,欧盟的 GDPR 已正式生效。有关这项规定对您有何深远影响,请参阅 GDPR 与您的业务
当 Adobe 向企业提供软件和服务时,作为提供这些服务的一部分,Adobe 将充当其处理并存储的任何个人数据的“数据处理方”。作为“数据处理方”,Adobe 将根据贵公司授予的权限及指示(例如,遵照您与 Adobe 签署的协议中的规定)来处理个人数据。
作为“数据控制方”,您可以决定 Adobe 代表您处理和存储的个人数据。如果您使用 Adobe Experience Cloud 解决方案,Adobe 可能会根据您使用的解决方案和您选择发送到 Adobe Experience Cloud 帐户的信息,来为您托管个人数据。有关详细的示例列表,请参阅 Adobe Experience Cloud 隐私
Adobe Experience Cloud 为“数据控制方”提供 GDPR 就绪 API,让“数据控制方”能够完成以下任务:
  • 访问 Target 中存储的数据主体信息
  • 删除 Target 中存储的数据主体信息
有关详细信息,请参阅:

《加州消费者隐私法案》(CCPA) 概述

《加州消费者隐私法案》(CCPA) 为加利福尼亚州消费者提供了关于个人信息的新权利,并明确了在加利福尼亚州开展业务的某些实体的数据保护职责。CCPA 将于 2020 年 1 月 1 日正式生效。
在较高层面上,这项法案为加州人提供了几项主要的权利,具体包括:
  • 请求信息(数据访问)
  • 选择退出销售个人信息(一项非常宽泛的权利,可选择退出与第三方共享信息)
  • 删除个人信息
  • 获知个人信息正在被披露或出售
如果您去年忙于为欧盟隐私法 (GDPR) 做准备,那么您可能会非常熟悉其中的某些权利,而且您已完成的许多工作可能能够重新进行调整。
当数据应用于CCPA时访问和删除数据的过程与GDPR的过程相同。

Adobe Target 和 Experience Platform Launch 选择加入

Target 通过 Launch 提供选择加入功能支持,以协助支持您的同意管理策略。选择加入功能让客户可自行决定如何以及何时触发 Target 标记。还有一个选项,即通过 Launch 预批准 Target 标记。要启用在 Target at.js 中使用选择加入的功能,您应该使用 targetGlobalSettings 并添加 optinEnabled=true 设置。在 Launch 中,您将需要从 Launch 扩展安装视图的 GDPR 选择加入下拉列表中选择“启用”。有关更多详细信息,请参阅 Launch 文档
以下代码片段显示了如何启用 optinEnabled=true 设置:
window.targetGlobalSettings = {
  optinEnabled: true
};

at.js 版本 1.7.0 和 at.js 2.1.0 或更高版本都支持选择加入功能。at.js 版本 2.0.0 和 2.0.1 不支持选择加入功能。
推荐使用 Experience Platform Launch 管理选择加入功能。Launch 中提供了更加精细化的控制,可在触发 Target 标记之前隐藏页面的选定元素,这有助于在您的同意策略中利用此功能。
使用选择加入功能时需要考虑三种情景:
  1. 已通过Launch预批准Target标记(或者数据主体以前已经批准Target): Target 标记不适用于征求同意,且会发挥预期的作用。
  2. Target标记没有获得预批准且 bodyHidingEnabled 设置为 FALSE: ​只有在收到客户的同意之后,才会触发 Target 标记。在收到客户同意之前,仅默认内容可用。在收到客户同意之后,将调用 Target 并向数据主体(访客)提供个性化内容。因为在收到同意之前仅默认内容可用,所以利用适当的策略显得尤为重要,例如对可覆盖网页任何区域或内容的醒目页面进行自定义。这可确保数据主体(访客)获得一致的体验。
  3. Target标记没有获得预批准且 bodyHidingEnabled 设置为 TRUE: ​只有在收到客户的同意之后,才会触发 Target 标记。在收到客户同意之前,仅默认内容可用。但是,因为 bodyHidingEnabled 设置为 true, bodyHiddenStyle 会指示在触发 Target 标记之前页面上需要隐藏的内容(或者数据主体拒绝使用选择加入功能,这种情况下会显示默认内容)。默认情况下, bodyHiddenStyle 设置为 body { opacity:0; },这将隐藏 HTML 主体标记。我们推荐采用下面的页面配置,以便隐藏除同意管理器对话框之外的整个页面正文,方法是将页面内容放在一个容器,而将同意管理器对话框放在另一容器中。这种设置会配置 Target,以便仅隐藏页面内容容器。关于如何配置这些设置的信息,请参阅 Launch 文档
    适用于情景 3 的推荐页面设置是:
    <html> 
    <head> 
    //visitor, at.js 
    </head> 
    
    <body> 
    <div id = "consentManagerDialog"> 
    
    //consent manager html dialog goes here 
    </div> 
    
    <div id="pageContent"> 
    // page content goes here 
    </div> 
    
    </body> 
    </html> 
    
    
    假设 bodyHiddenStyle 为:
    #pageContent { opacity:0;}
    
    

隐私和数据保护法规 FAQ

有关欧盟《通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA) 和其他专门特定于 Target 的国际隐私要求的常见问题解答。

Adobe 会采取什么政策来应对这些法规?

Adobe 已经履行了或正在履行作为“数据处理方”的责任和义务。从产品设计角度来看,我们拥有强大的认证安全和隐私控制基础,而且在 2018 年 5 月的截止日期来临之前,我们还增强了产品功能。企业客户将有责任执行这些增强功能,并且有责任更新任何必要的政策和规程。

我的公司(数据控制方)是否需要对每个使用的 Adobe Experience Cloud 解决方案提交 GDPR 或 CCPA 请求?

不需要,Adobe 正准备提供一种核心方法,帮助“数据控制方”满足其 GDPR 和 CCPA 要求。“数据控制方”不需要直接对每个解决方案提交 GDPR 请求。
包括 Target 在内的 Experience Cloud 解决方案的所有 GDPR 和 CCPA 请求,都将通过一个核心 Adobe API(目前称为 GDPR API)来处理。然后,API 将通过“数据控制方”的 Experience Cloud 解决方案包完成请求。

应数据主体/用户的请求,Adobe 允许我们的客户删除哪些信息?

在 Target 中,与单独访客有关的信息是包含在 Target 访客配置文件中。Target 允许我们的客户删除其访客配置文件中所有与 ID 关联的数据。有关 Target 存储的配置文件数据的示例,请参阅 访客配置文件
未标识特定个人的聚合或匿名数据(例如,报表数据)或与特定个人无关的数据(例如,内容数据),不在用户删除请求的范围之内。
Target默认情况下,无需执行任何操作,系统即会删除 90 天处于不活跃状态的 访客配置文件。

系统支持哪些 ID 来帮助客户完成 Target 的 GDPR 或 CCPA 访问和删除请求?

Target 支持以下 ID 类型来查找客户配置文件:
用户 ID
命名空间 ID 类型
命名空间 ID
定义
Experience Cloud ID (ECID)
Standard
4
Adobe Experience Cloud ID,以前称为访客 ID 或 Marketing Cloud ID。您可以使用 JavaScript API 来查找此 ID(请参阅下面的详细信息)。
TnT ID / Cookie ID(TNTID)
Standard
9
在访客的浏览器中设置为 Cookie 的 Target 标识符。您可以使用 JavaScript API 来查找此 ID(请参阅下面的详细信息)。
第三方 ID / CRM ID (THIRDPARTYID)
特定于 Target
不适用
如果您向 Target 提供您的 CRM 或您的客户的其他唯一标识符信息。
尽管 Target 支持第一方和第三方跨域 Cookie,但是仅推荐使用第一方 Target Cookie 以满足 GDPR 和 CCPA 要求。

Target 如何处理同意管理?

GDPR 和 CCPA 不会对您获得客户同意的时间造成任何影响,但会影响获得客户同意的方式。每位客户的同意策略取决于其数据收集和使用惯例,以及其隐私政策。同意管理不受 GDPR 和 CCPA 的支持,也不应通过 Target 为 GDPR 和 CCPA 获取同意管理。
Adobe 目前不提供同意管理解决方案,不过,市面上有各种各样的开发工具,可用来解决一些新的需求。For more information on privacy tools in general, including consent managers, see the 2017 Privacy Tech Vendor Report on the International Association of Privacy Professionals (iaap) website.
Target 通过 Launch 提供选择加入功能支持,以支持您的同意管理策略。选择加入功能让客户可自行决定如何以及何时触发 Target 标记。还有一个选项,即通过 Launch 预批准 Target 标记。推荐使用 Launch 管理选择加入功能。Launch 中提供了更加精细化的控制,可在触发 Target 标记之前隐藏页面的选定元素,这可能会有助于在您的同意策略中利用此功能。
For more information on GDPR, CCPA, and Launch, see The Adobe Privacy JavaScript Library and GDPR . 另请参阅上文中 Adobe Target 和 Experience Platform Launch 选择加入功能 ​部分。

AdobePrivacy.js 是否向 GDPR API 提交信息?

AdobePrivacy.js“不”**​向 API 提交此信息。客户必须自行处理。该库仅提供存储在特定访客浏览器中的 ID。

removeIdentities 会删除什么内容?

removeIdentities**“只”删除浏览器中的那些标识,而且仅取决于 Adobe 解决方案是否已经执行了这项操作。
例如,Target 将删除存储其 ID 的 Cookie,但 Adobe Audience Manager (AAM) 不删除存储在第三方 Cookie 中的 demdex ID。

Target GDPR 或 CCPA 请求中需要包含哪些信息?

除了核心隐私服务的要求之外,Target 的有效 GDPR 或 CCPA 消息还包含:
{ 
    "jobId":"12345AD43E", 
    ... 
    "products":["Target",...], 
    "companyContexts":[ 
        { 
            "namespace":"imsOrgID", 
            "value":"123456789@AdobeOrg" 
        }, 
        ... 
    ], 
    "userContexts":[ 
        { 
            "namespace":"ECID", 
            "namespaceId":4, 
            "type":"standard", 
            "value":"53792210477379708453829363835595041181" 
        } 
        And/OR: 
        { 
            "namespace":"TNTID", 
            "namespaceId":9, 
            "type":"standard", 
            "value":"1234567890" 
        } 
        And/OR: 
        { 
            "namespace":"THIRDPARTYID", 
            "type":"target", 
            "value":"thirdPartyIdName" 
        }, 
        ... 
    ] 
}

我可以通过 GDPR API 从 Target 获得哪些类型的响应?

请求状态
Target 响应消息
情景
正在处理
正在处理
Target 收到了 GDPR 或 CCPA 请求并正在进行处理。
完成
不适用 - 公司上下文不适用
GDPR 或 CCPA 请求中的 IMS ID 未映射到任何 Target 客户端。
请注意,一些公司拥有多个 IMS ID。您必须提交配置了 Target 的 IMS ID。
完成
不适用 - 未找到用户上下文
Target 配置文件存储中不存在 GDPR 或 CCPA 请求中为特定访客或数据主体提供的 ID。
请注意,如果您尝试提交 Target 不支持的命名空间 ID 类型,则也会返回此结果(请参阅上面的受支持 ID)。
错误
错误消息(详细信息取决于错误类型)
获取或删除请求的数据主体配置文件时出错。
上传到 Azure 以请求访问时出错。

对于访问请求,Target 会向 GDPR API 发送什么响应?

在响应访问数据的请求时,将提供一份有关所讨论访客的 Target 配置文件摘要。请注意,这些响应信息将发送至 Experience Cloud GDPR API,而 Experience Cloud GDPR API 又会向“数据控制方”发送一个响应。
Target 访问 API 响应示例如下所示:
{ 
    "jobId":"12345AD43E", 
    ... 
    "products":["Target",...], 
    "companyContexts":[ 
        { 
            "namespace":"imsOrgID", 
            "value":"123456789@AdobeOrg" 
        }, 
        ... 
    ], 
    "userContexts":[ 
        { 
            ~"namespace":"ECID", 
            "namespaceId":4, 
            "type":"standard", 
            "value":"53792210477379708453829363835595041181" 
        } 
        And/OR: 
        { 
            ~"namespace":"tntId", 
            "namespaceId":9, 
            "type":"standard", 
            "value":"1234567890" 
        } 
        And/OR: 
        { 
            "namespace":"thirdPartyId", 
            "type":"target", 
            "value":"thirdPartyIdName" 
        }, 
        ... 
    ] 
} 

字段
描述
jobId
指示来自核心 GDPR API 的 GDPR 或 CCPA 作业 ID。
imsOrgID
为贵公司提供的唯一标识符。
namespace
也称为数据源。请参阅本主题中的“系统支持哪些 ID 来帮助客户完成 Target 的 GDPR 或 CCPA 访问和删除请求?”。
type
您请求访问 GDPR 或 CCPA 数据的 ID 类型。Target 接受多种 ID 类型,其中一些是标准类型,有一些是特定于 Target 的类型。请参阅本主题中的“系统支持哪些 ID 来帮助客户完成 Target 的 GDPR 或 CCPA 访问和删除请求?”。
value
命名空间/数据源 ID。请参阅本主题中的“系统支持哪些 ID 来帮助客户完成 Target 的 GDPR 或 CCPA 访问和删除请求?”以获取接受的值。
集成代码
集成代码是您数据源的友好名称,可以让您更轻松地跟踪数据源(与使用数据源 ID 相比)。
当提供多个值来识别配置文件时,每个有效的标识符将有一个配置文件。该配置文件将通过 GDPR 核心 API 发送到核心 GDPR Azure Blob,以 Target 配置文件 JSON 格式进行响应。
Target 配置文件 JSON 示例可能如下所示:
{"profileAttributes": 
 
"Sample_Parameter":{"value":"Gold Loyalty Status","modifiedAt":"2018-04-11T21:44:14.000-04:00"}, 
 
"user.ReturnTimeOfDay":{"value":"44.0","modifiedAt":"2018-04-11T21:44:14.000-04:00"}, 
 
"firstSessionStart":{"value":"1523497450602","modifiedAt":"2018-04-11T21:44:10.000-04:00"}, 
 
"user.sessionCountScript":{"value":"1","modifiedAt":"2018-04-11T21:44:14.000-04:00"} 
   } 
} 

下表包含说明性配置文件 JSON 字段的描述:
字段
描述
Sample_Parameter
Target 配置文件中的许多信息都由“数据控制方”上传或直接提供。在此示例中,可使用配置文件更新 API 将参数上传到 Target 配置文件中。有关更多信息,请参阅 将数据导入 Target 的方法
user.ReturnTimeOfDay
此标准字段包括用户最近一次回访的时间。
firstSessionStart
该标准字段包括用户第一次开始会话的时间。
user.sessionCountScript
Target 配置文件中的许多信息都由“数据控制方”上传或直接提供。在此示例中,配置文件脚本将会增加此访客在“数据控制方”站点上的会话数。有关更多信息,请参阅 配置文件脚本属性 中的“查看配置文件脚本信息卡片”部分。
这是 Target 配置文件 JSON 的简化版本,用于提供说明。Target 配置文件的许多字段都不是标准字段。返回的内容取决于特定访客配置文件中的信息。

Target 是否支持 IP 模糊处理?

如果您选择将 IP 模糊处理用作 GDPR 或 CCPA 实施策略的一部分,则 Target 支持 IP 模糊处理。有关更多信息,请参阅 隐私

我是否需要采取一些措施来防止共享数据或将数据出售给第三方?

Target不能允许客户直接从Target共享或向第三方销售数据,因此不会选择退出Target销售。