주요 개인 정보 취급 방침 및 데이터 범주 알아보기
먼저 몇 가지 주요 개인 정보 보호 관련 용어를 살펴보겠습니다.
데이터 컨트롤러: 개인 데이터 처리의 목적과 수단을 결정하는 법인, 공공기관, 에이전시 또는 다른 사람과 독립적으로 또는 공동으로 작업하는 기타 단체입니다.
고객은 Microsoft 온라인 서비스 및 전문 서비스 사용에 대한 데이터 컨트롤러입니다. Microsoft는 데이터 프로세서입니다(고객이 데이터 프로세서인 경우 제외하고 Microsoft가 하위 프로세서인 경우 제외). Microsoft는 Microsoft 온라인 서비스 및 전문 서비스의 사용을 지원하는 데 필요한 제한된 일련의 합법적인 비즈니스 운영(LBO)을 제공하는 데 사용되는 데이터에 대한 독립적인 데이터 컨트롤러입니다.
개인 데이터 및 데이터 주체: 식별되거나 식별 가능한 자연인(데이터 주체)과 관련된 모든 정보입니다. 식별 가능한 자연인은 직접 또는 간접적으로 식별될 수 있는 사람입니다. 엔터프라이즈 서비스에는 테넌트 내의 최종 사용자와 테넌트 외부의 사용자라는 두 가지 유형의 데이터 주체가 있습니다.
데이터 프로세서: 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 공공기관, 기관 또는 기타 기관입니다. 엔터프라이즈 서비스에서 Microsoft는 온라인 서비스 또는 전문 서비스를 제공하기 위해 고객의 문서화된 지침에 따라 데이터를 처리하는 데이터 프로세서 역할을 합니다. Microsoft는 문서화된 지침에 따라서만 데이터를 처리합니다. 데이터 보호 조건을 포함한 볼륨 라이선스 계약과 고객이 서비스를 구성하고 사용하는 방식은 고객의 문서화된 지침을 구성합니다.
아래 다이어그램은 데이터 컨트롤러, 데이터 프로세서, 데이터 주체 및 개인 데이터 간의 관계를 보다 자세히 설명합니다. 다음 예에서 C1은 엔터프라이즈 서비스의 직접 고객이고 C2는 C1의 고객입니다.
두 가지 유형의 C1 역할과 한 가지 유형의 C2 역할이 있습니다.
- 라이선스 보유자인 C1 관리자 - 일반적으로 Microsoft 서비스 구독에 등록한 테넌트 관리자입니다. C1 관리자는 기업을 대신하여 서비스에 등록하기 때문에 데이터 컨트롤러로 간주됩니다. 서비스에서 테넌트의 설정과 정책을 구성하고 Microsoft 서비스에서 누가 라이선스를 받을지 결정하며 해당 사용자에게 라이선스를 할당합니다.
- C1 사용자는 테넌트 관리자가 라이선스를 할당한 라이선스 사용자입니다. 일반적으로 C1 사용자는 엔터프라이즈 최종 사용자라고 하는 엔터프라이즈의 직원입니다. C1 사용자는 데이터 주체로 간주됩니다.
- C2 사용자는 C1의 고객입니다. C2 사용자는 기업 외부에 있습니다. 예를 들어 C1 사용자가 Contoso의 SharePoint 사이트에 외부 비즈니스 파트너를 초대하면 이 비즈니스 파트너는 C2 사용자입니다. C2 사용자도 데이터 주체로 간주됩니다.
Microsoft에서 처리하는 데이터 범주
Microsoft 온라인 서비스 또는 전문 서비스를 제공하기 위해 고객 계정의 수명 주기 동안 사용되는 데이터는 다음 4가지 개별 데이터 범주 중 하나에 속합니다.
고객 데이터는 텍스트, 사운드, 비디오 또는 이미지 파일, 고객이 Microsoft에 제공하거나 Microsoft 전문 서비스를 제외하고 Microsoft 엔터프라이즈 온라인 서비스를 사용하여 고객을 대신하여 제공하는 소프트웨어를 포함한 모든 데이터입니다. 여기에는 고객이 저장 또는 처리를 위해 업로드하는 데이터인 고객 콘텐츠와 Microsoft 엔터프라이즈 서비스를 통해 배포하기 위해 고객이 업로드하는 앱이 포함됩니다.
예를 들어 고객 콘텐츠에는 Exchange Online 전자 메일 및 첨부 파일, Power BI 보고서, SharePoint Online 사이트 콘텐츠 또는 인스턴트 메시징 대화가 포함됩니다.
서비스 생성 데이터에는 Microsoft가 온라인 서비스 운영을 통해 '생성'하거나 '파생'한 모든 데이터가 포함됩니다. Microsoft는 온라인 서비스에서 이 데이터를 집계하고 이를 사용하여 고객 경험에 영향을 미치는 성능, 보안, 확장 및 기타 서비스가 고객이 요구하는 수준에서 운영되고 있는지 확인합니다.
예를 들어 고객의 Microsoft Teams 사용량이 증가함에 따라 데이터 센터 용량을 늘리는 방법을 이해하기 위해, Microsoft는 Teams 사용량에 대한 로그 데이터를 처리합니다. 그런 다음 사용량이 많은 시간에 대한 로그를 검토하고 이 용량을 충족하기 위해 추가할 데이터 센터를 결정합니다.
진단 데이터에는 Microsoft 엔터프라이즈 온라인 서비스와 관련하여 사용하기 위해 로컬로 설치된 소프트웨어에서 '수집'되거나 '얻어진' 모든 데이터가 포함됩니다. Microsoft에서 클라이언트 소프트웨어가 안전하고 제대로 작동하는지 확인하는 데 사용됩니다.
예를 들어 Microsoft는 앱을 시작하는 데 걸리는 시간, 추가 기능이 충돌했는지 여부, 로그인 시도 횟수에 대한 정보를 수집합니다. 진단 데이터는 원격 분석 데이터라고도 합니다. 진단 데이터에는 이름, 이메일 주소 또는 파일 내용이 포함되지 않습니다.
전문 서비스 데이터는 승인 시 전문 서비스를 받기 위해 Microsoft와의 계약을 통해 Microsoft에 제공되거나 Microsoft가 처리하는 모든 데이터를 의미합니다. 전문 서비스 데이터에는 온라인 서비스에 대한 기술 지원 중에 Microsoft에 제공되는 지원 데이터가 포함됩니다.
예를 들어 전문 서비스 데이터에는 문제 해결 중에 Microsoft에 제공된 텍스트, 사운드, 비디오, 이미지 파일 또는 소프트웨어가 포함됩니다.
고객이 Microsoft 온라인 서비스를 사용하면 위의 4가지 데이터 범주 중 3가지(고객 데이터, 서비스 생성 데이터 및 진단 데이터)가 처리됩니다. 고객이 전문 서비스를 사용할 때 당사는 전문 서비스 데이터 및 고객이 요청한 서비스를 수행하기 위해 액세스 권한을 부여한 기타 데이터만 처리합니다. 이 네 가지 데이터 범주 각각의 데이터는 Microsoft 온라인 서비스 및 전문 서비스를 제공하는 능력을 지원하는 데 필요한 제한된 일련의 합법적인 비즈니스 운영(LBO)을 수행하는 데도 사용됩니다. Microsoft는 진단 데이터에서 비롯된 가명 데이터만 사용하고 LBO에 사용하기 전에 개인 데이터를 집계하여 LBO에 대한 개인 데이터 사용을 제한하여 더 이상 사용자와 연결지을 수 없도록 합니다.
Microsoft는 LBO를 수행하기 위해 데이터를 사용할 때 독립적인 데이터 컨트롤러 역할을 합니다. 사용은 다음 기능으로 제한됩니다.
- 청구 및 계정 관리
- 보상(예: 직원 수수료 계산)
- 내부 보고 및 모델링(예: 예측, 수익, 용량 계획, 제품 전략)
- Microsoft 또는 Microsoft 제품에 영향을 줄 수 있는 사기, 사이버 범죄 또는 사이버 공격 퇴치
- 접근성, 개인 정보 보호 또는 에너지 효율성의 핵심 기능 개선
- 재무 보고 또는 법적 의무 준수