除了確保強大的資料
Posted: Tue Mar 18, 2025 9:17 am
現今的消費者比以往任何時候都更加重視數據。隨著消費能力越來越多地掌握在熟悉網路隱私風險的數位原生代手中,企業需要優化其資料隱私和保護方法。
安全和同意管理實踐之外,這還意味著當客戶詢問您收集的有關他們的資料或提出相關請求(例如更正或刪除)時,您要準備好回應。這不僅僅是一個客戶服務功能;它們是許多資料隱私法授予消費者的合法權利。
隨著世界各地通過越來越多的資料隱私法以及消費者對其權利的了解越來越多,這種稱為資料主體存取請求 (DSAR)的請求變得越來越普遍。根據思科2023年消費者隱私調查顯示,近30%的國際受訪者已經行使了要求此類資訊的權利,而且這一數字只會逐年增加。
在本文中,我們將解釋什麼是 DSAR、如何準備接收和合規地回應 DSAR,以及您的企業收到 DSAR 時如何處理。
什麼是資料主體存取請求(DSAR)?
DSAR 是來自公眾成員的請求,通常是公司的使用者或客戶,但根據 電話號碼數據 監管管轄權,可以包括業務合作夥伴或員工等,涉及公司收集的有關他們的個人資料。
這可以是查看在指定時間範圍內收集的特定類別的資訊或全部資訊的請求。過去 12 個月收集的數據是一個常見參數。這是法規賦予的消費者隱私權,因此公司必須在規定的時間內回應,如果無法在規定時間內回應,則必須通知提出請求的人。
然而,消費者除了查看自己的數據之外,還可以提出其他請求。他們可以要求公司停止收集和處理他們的資料並刪除這些資料。他們可以請求有關公司使用自動化決策的資訊。他們通常可以要求獲得其資料的可移植副本,以便在其他地方使用,可能是在競爭對手的產品或服務中使用。
選擇加入和選擇退出同意模型
提交 DSAR 的權利已包含在迄今為止通過的現代綜合隱私法中,包括使用選擇加入和選擇退出模式來獲得消費者同意的法律。
選擇加入同意要求您在收集消費者的個人資訊之前獲得明確的同意。這是更常見的同意模型,也是歐盟《一般資料保護規範》(GDPR)等法規中使用的模型,在世界各地具有影響力。
選擇退出模型僅在某些情況下需要消費者同意,但要求資料主體(主要是消費者)能夠隨時選擇退出資料收集和處理。根據法律規定,在某些情況下確實需要事先獲得同意,例如,如果個人資料被歸類為敏感資料或屬於已知兒童,或在某些情況下需要出售或共享。儘管根據《加州消費者隱私法案》(CCPA),消費者只需選擇不進行銷售、分享、目標廣告或分析。 《數位市場法案》(DMA)禁止未經同意的目標廣告。
了解更多:查看我們對美國各州資料隱私法規差異的解釋。
DSR 與 DSAR
術語「資料主體請求」(DSR)和「資料主體存取請求」(DSAR)通常互換使用,正如我們在本文中主要所做的那樣。然而,您可能會看到這些術語所指涉的事物略有不同。
DSR 可用於描述更廣泛的類別,其中包括個人為行使其關於組織所持有的個人資料的權利而可能提出的任何請求。
另一方面,DSAR 通常具體指存取組織持有的某人的個人資料的請求。但如上所述,消費者可以透過多種方式請求存取他們的數據,然後請求如何處理這些數據。因此,DSAR 可以被視為一種 DSR。
資訊圖表顯示了個人在進行 DSAR 時可以根據 CCPA/CPRA 行使的權利
誰可以提交資料主體存取請求?
組織可以從各種來源接收 DSAR。可以透過以下方式提交:
任何受相關隱私法保護的資料主體,其個人資訊已被公司收集
作為資料主體的兒童的父母或法定監護人
員工代表雇主或代表客戶
法院指定的管理他人事務的成年人代表
只要請求者能夠證明其身分和提出請求的合法權利,公司就必須揭露有關個人主體的所有個人資料。公司必須提供合理的機制,使人們在提出請求時能夠驗證自己的身分。但是,如果無法合理地驗證請求者的身份,他們也可以拒絕請求。
每項法律都為所包含的資料和對此類請求的回應指定了一個時間框架。例如,根據CCPA,資料主體可以請求取得前12個月收集的有關他們的資料。例如,一個人不能要求提供過去 10 年的數據。通常情況下,一個人每年也無法進行超過一次的 DSAR。如果他們這樣做,公司可以向他們收取合理的費用,或拒絕要求。
安全和同意管理實踐之外,這還意味著當客戶詢問您收集的有關他們的資料或提出相關請求(例如更正或刪除)時,您要準備好回應。這不僅僅是一個客戶服務功能;它們是許多資料隱私法授予消費者的合法權利。
隨著世界各地通過越來越多的資料隱私法以及消費者對其權利的了解越來越多,這種稱為資料主體存取請求 (DSAR)的請求變得越來越普遍。根據思科2023年消費者隱私調查顯示,近30%的國際受訪者已經行使了要求此類資訊的權利,而且這一數字只會逐年增加。
在本文中,我們將解釋什麼是 DSAR、如何準備接收和合規地回應 DSAR,以及您的企業收到 DSAR 時如何處理。
什麼是資料主體存取請求(DSAR)?
DSAR 是來自公眾成員的請求,通常是公司的使用者或客戶,但根據 電話號碼數據 監管管轄權,可以包括業務合作夥伴或員工等,涉及公司收集的有關他們的個人資料。
這可以是查看在指定時間範圍內收集的特定類別的資訊或全部資訊的請求。過去 12 個月收集的數據是一個常見參數。這是法規賦予的消費者隱私權,因此公司必須在規定的時間內回應,如果無法在規定時間內回應,則必須通知提出請求的人。
然而,消費者除了查看自己的數據之外,還可以提出其他請求。他們可以要求公司停止收集和處理他們的資料並刪除這些資料。他們可以請求有關公司使用自動化決策的資訊。他們通常可以要求獲得其資料的可移植副本,以便在其他地方使用,可能是在競爭對手的產品或服務中使用。
選擇加入和選擇退出同意模型
提交 DSAR 的權利已包含在迄今為止通過的現代綜合隱私法中,包括使用選擇加入和選擇退出模式來獲得消費者同意的法律。
選擇加入同意要求您在收集消費者的個人資訊之前獲得明確的同意。這是更常見的同意模型,也是歐盟《一般資料保護規範》(GDPR)等法規中使用的模型,在世界各地具有影響力。
選擇退出模型僅在某些情況下需要消費者同意,但要求資料主體(主要是消費者)能夠隨時選擇退出資料收集和處理。根據法律規定,在某些情況下確實需要事先獲得同意,例如,如果個人資料被歸類為敏感資料或屬於已知兒童,或在某些情況下需要出售或共享。儘管根據《加州消費者隱私法案》(CCPA),消費者只需選擇不進行銷售、分享、目標廣告或分析。 《數位市場法案》(DMA)禁止未經同意的目標廣告。
了解更多:查看我們對美國各州資料隱私法規差異的解釋。
DSR 與 DSAR
術語「資料主體請求」(DSR)和「資料主體存取請求」(DSAR)通常互換使用,正如我們在本文中主要所做的那樣。然而,您可能會看到這些術語所指涉的事物略有不同。
DSR 可用於描述更廣泛的類別,其中包括個人為行使其關於組織所持有的個人資料的權利而可能提出的任何請求。
另一方面,DSAR 通常具體指存取組織持有的某人的個人資料的請求。但如上所述,消費者可以透過多種方式請求存取他們的數據,然後請求如何處理這些數據。因此,DSAR 可以被視為一種 DSR。
資訊圖表顯示了個人在進行 DSAR 時可以根據 CCPA/CPRA 行使的權利
誰可以提交資料主體存取請求?
組織可以從各種來源接收 DSAR。可以透過以下方式提交:
任何受相關隱私法保護的資料主體,其個人資訊已被公司收集
作為資料主體的兒童的父母或法定監護人
員工代表雇主或代表客戶
法院指定的管理他人事務的成年人代表
只要請求者能夠證明其身分和提出請求的合法權利,公司就必須揭露有關個人主體的所有個人資料。公司必須提供合理的機制,使人們在提出請求時能夠驗證自己的身分。但是,如果無法合理地驗證請求者的身份,他們也可以拒絕請求。
每項法律都為所包含的資料和對此類請求的回應指定了一個時間框架。例如,根據CCPA,資料主體可以請求取得前12個月收集的有關他們的資料。例如,一個人不能要求提供過去 10 年的數據。通常情況下,一個人每年也無法進行超過一次的 DSAR。如果他們這樣做,公司可以向他們收取合理的費用,或拒絕要求。