Dados, Privacidade e Segurança para o Microsoft 365 Copilot
O Microsoft 365 Copilot é um motor de processamento e orquestração sofisticado que fornece capacidades de produtividade com tecnologia de IA ao coordenar os seguintes componentes:
- Modelos de linguagem grandes (LLMs)
- Conteúdos no Microsoft Graph, como e-mails, chats e documentos a que tem permissão para aceder.
- As aplicações de produtividade do Microsoft 365 que utiliza diariamente, como o Word e o PowerPoint.
Para obter uma descrição geral de como esses três componentes funcionam em conjunto, consulte a descrição geral do Microsoft 365 Copilot. Para obter ligações para outros conteúdos relacionados com o Microsoft 365 Copilot, consulte a documentação do Microsoft 365 Copilot.
Importante
- O Microsoft 365 Copilot está em conformidade com os nossos compromissos de privacidade, segurança e conformidade existentes com os clientes comerciais do Microsoft 365, incluindo o Regulamento Geral Sobre a Proteção de Dados (RGPD) e European Union (EU) Data Boundary.
- Os pedidos, respostas e dados acedidos através do Microsoft Graph não são utilizados para preparar LLM de base, incluindo aqueles utilizados pelo Microsoft 365 Copilot.
- O Microsoft 365 Copilot funciona com várias proteções, que incluem, sem limitação, bloqueio de conteúdo prejudicial, deteção de material protegido e bloqueio de injeções de pedidos (ataques de jailbreak).
As informações neste artigo destinam-se a ajudar a fornecer respostas às seguintes perguntas:
- Como é que o Microsoft 365 Copilot utiliza os seus dados organizacionais proprietários?
- Como é que o Microsoft 365 Copilot protege dados e informações organizacionais?
- Que dados são armazenados sobre as interações do utilizador com o Microsoft 365 Copilot?
- Que compromissos de residência dos dados faz o Microsoft 365 Copilot?
- Que opções de extensibilidade estão disponíveis para o Microsoft 365 Copilot
- Como é que o Microsoft 365 Copilot cumpre os requisitos de conformidade regulamentares?
- Os controlos de privacidade para experiências ligadas no Microsoft 365 Apps aplicam-se ao Microsoft 365 Copilot?
- Posso confiar no conteúdo que o Microsoft 365 Copilot cria? De quem é a propriedade desse conteúdo?
- Quais são os compromissos da Microsoft em utilizar a IA de forma responsável?
Nota
O Microsoft 365 Copilot continuará a evoluir ao longo do tempo com novas capacidades. Para se manter a par do Microsoft 365 Copilot ou fazer perguntas, visite a comunidade do Microsoft 365 Copilot na Microsoft Tech Community.
Como é que o Microsoft 365 Copilot utiliza os seus dados organizacionais proprietários?
O Microsoft 365 Copilot oferece valor ao ligar LLM aos seus dados organizacionais. O Microsoft 365 Copilot acede ao conteúdo e ao contexto através do Microsoft Graph. Pode gerar respostas ancoradas nos seus dados organizacionais, como documentos de utilizador, e-mails, calendário, conversas, reuniões e contactos. O Microsoft 365 Copilot combina este conteúdo com o contexto de trabalho do utilizador, como a reunião em que o utilizador está agora, as trocas de e-mail que o utilizador teve num tópico ou as conversas de chat que o utilizador teve na semana passada. O Microsoft 365 Copilot utiliza esta combinação de conteúdo e contexto para ajudar a fornecer respostas precisas, relevantes e contextuais.
Importante
Os pedidos, respostas e dados acedidos através do Microsoft Graph não são utilizados para preparar LLM de base, incluindo aqueles utilizados pelo Microsoft 365 Copilot.
O Microsoft 365 Copilot só desvenda dados organizacionais para os quais os utilizadores individuais têm, pelo menos, permissões de visualização. É importante que esteja a utilizar os modelos de permissão disponíveis nos serviços do Microsoft 365, como o SharePoint, para ajudar a garantir que os utilizadores ou grupos corretos têm o acesso correto aos conteúdos corretos na sua organização. Isto inclui permissões que concede a utilizadores fora da sua organização através de soluções de colaboração entre inquilinos, tais como canais partilhados no Microsoft Teams.
Quando introduz pedidos com o Microsoft 365 Copilot, as informações contidas nos seus pedidos, os dados que estes obtêm, bem como as respostas geradas permanecem dentro do limite do serviço do Microsoft 365, em conformidade com os nossos compromissos atuais de privacidade, segurança e conformidade. O Microsoft 365 Copilot utiliza os serviços do Azure OpenAI para processamento e não os serviços publicamente disponíveis do OpenAI. O Azure OpenAI não coloca em cache o conteúdo de cliente e o Copilot modificou os pedidos do Microsoft 365 Copilot. Para obter mais informações, consulte a secção Dados armazenados sobre interações do utilizador com o Microsoft 365 Copilot mais à frente neste artigo.
Nota
- Quando estiver a utilizar plug-ins para ajudar o Microsoft 365 Copilot a fornecer informações mais relevantes, verifique a declaração de privacidade e os termos de utilização do plug-in para determinar como irá lidar com os dados da sua organização. Para obter mais informações, consulte Extensibilidade do Microsoft 365 Copilot.
- Quando estiver a utilizar o plug-in de conteúdo Web, o Microsoft 365 Copilot analisa o pedido do utilizador e identifica os termos em que a pesquisa na Web melhoraria a qualidade da resposta. Com base nestes termos, o Copilot gera uma consulta de pesquisa que envia para o serviço de Pesquisa do Bing. Para obter mais informações, Dados, privacidade e segurança para consultas da Web no Microsoft 365 Copilot e no Microsoft Copilot.
Embora o controlo de utilização abusiva, que inclui a revisão humana do conteúdo, esteja disponível no Azure OpenAI, os serviços do Microsoft 365 Copilot optaram por não a utilizar. Para obter informações sobre a filtragem de conteúdos, consulte a secção Como é que o Copilot bloqueia conteúdo prejudicial? mais à frente neste artigo.
Nota
Podemos utilizar os comentários dos clientes, o que é opcional, para melhorar o Microsoft 365 Copilot, tal como utilizamos os comentários dos clientes para melhorar outros serviços do Microsoft 365 e de aplicações de produtividade do Microsoft 365. Não utilizamos este feedback para preparar os LLM de base utilizados pelo Microsoft 365 Copilot. Os clientes podem gerir o feedback através de controlos de administração. Para obter mais informações, consulte Gerir os comentários da Microsoft para a sua organização e Fornecer comentários sobre o Microsoft Copilot com as aplicações do Microsoft 365.
Dados armazenados sobre as interações do utilizador com o Microsoft 365 Copilot
Quando um utilizador interage com o Microsoft 365 Copilot (ao utilizar aplicações como o Word, o PowerPoint, o Excel, o OneNote, o Loop ou o Whiteboard), armazenamos dados sobre estas interações. Os dados armazenados incluem o pedido do utilizador e a resposta do Copilot, incluindo citações de qualquer informação utilizada para fundamentar a resposta do Copilot. Referimo-nos ao pedido do utilizador e à resposta da Copilot a esse pedido como o "conteúdo das interações" e o registo dessas interações é o histórico de atividades do Copilot do utilizador. Por exemplo, estes dados armazenados fornecem aos utilizadores o histórico de atividades do Copilot em Business Chat e reuniões no Microsoft Teams. Estes dados são processados e armazenados em conformidade com os compromissos contratuais com os outros conteúdos da sua organização no Microsoft 365. Os dados são encriptados enquanto estão armazenados e não são utilizados para preparar LLMs de base, incluindo os utilizados pelo Microsoft 365 Copilot.
Para ver e gerir estes dados armazenados, os administradores podem utilizar a Pesquisa de Conteúdo ou o Microsoft Purview. Os administradores também podem utilizar o Microsoft Purview para definir políticas de retenção para os dados relacionados com as interações de chat com o Copilot. Para mais informações, consulte os seguintes artigos:
- Visão geral da pesquisa de conteúdo
- Proteção de conformidade e segurança de dados do Microsoft Purview para aplicações de IA generativa
- Saiba mais sobre a retenção do Copilot
Para conversas do Microsoft Teams com o Copilot, os administradores também podem utilizar as APIs de Exportação do Microsoft Teams para ver os dados armazenados.
Eliminação do histórico de interações do utilizador com o Microsoft 365 Copilot
Os seus utilizadores podem eliminar o histórico de atividades do Copilot, que inclui os pedidos e as respostas devolvidas por Copilot, acedendo ao portal A Minha Conta. Para obter mais informações, veja Eliminar o histórico de atividades do Microsoft 365 Copilot.
Microsoft 365 Copilot e EU Data Boundary
As chamadas do Microsoft 365 Copilot para o LLM são encaminhadas para os data centers mais próximos na região, mas também podem chamar para outras regiões onde a capacidade está disponível durante períodos de utilização elevada.
Para os utilizadores da União Europeia (UE), temos salvaguardas adicionais para cumprir com o EU Data Boundary. O tráfego da UE permanece dentro da Fronteira de Dados da UE, enquanto o tráfego mundial pode ser enviado para a UE e outros países ou regiões para processamento de LLM.
Microsoft 365 Copilot e residência de dados
O Microsoft 365 Copilot cumpre os compromissos de residência de dados, conforme descrito nos Termos do Produto Microsoft e na Adenda de Proteção de Dados. O Microsoft 365 Copilot foi adicionado como uma carga de trabalho abrangida nos compromissos de residência de dados nos Termos de Produto da Microsoft a 1 de março de 2024.
As ofertas de Residência Avançada de Dados (ADR) e Multi-Geo Capabilities da Microsoft incluem compromissos de residência de dados para clientes do Microsoft 365 Copilot a partir de 1 de março de 2024. Para os clientes da UE, o Microsoft 365 Copilot é um serviço do EU Data Boundary. As consultas dos clientes fora da UE podem ser processadas nos EUA, na UE ou noutras regiões.
Extensibilidade do Microsoft 365 Copilot
Embora o Microsoft 365 Copilot já consiga utilizar as aplicações e os dados no ecossistema do Microsoft 365, muitas organizações ainda dependem de várias ferramentas e serviços externos para a gestão e colaboração de trabalho. As experiências do Microsoft 365 Copilot podem referenciar ferramentas e serviços de terceiros ao responder ao pedido de um utilizador através de conectores ou plug-ins do Microsoft Graph. Os dados dos conectores do Graph podem ser devolvidos em respostas do Microsoft 365 Copilot se o utilizador tiver permissão para aceder a essas informações.
Quando os plug-ins estão ativados, o Microsoft 365 Copilot determina se precisa de utilizar um plug-in específico para ajudar a fornecer uma resposta relevante ao utilizador. Se for necessário um plug-in, o Microsoft 365 Copilot gera uma consulta de pesquisa para enviar para o plug-in em nome do utilizador. A consulta baseia-se no pedido do utilizador, no histórico de atividades do Copilot e nos dados aos quais o utilizador tem acesso no Microsoft 365.
Na secção Aplicações integradas do centro de administração do Microsoft 365, os administradores podem ver as permissões e o acesso aos dados exigidos por um plug-in, bem como os termos de utilização e declaração de privacidade do plug-in. Os administradores têm controlo total para selecionar que plug-ins são permitidos na organização. Um utilizador só pode aceder aos plug-ins que o respetivo administrador permitir e que o utilizador tenha instalado ou que lhe tenham sido atribuídos. O Microsoft 365 Copilot utiliza apenas plug-ins que são ativados pelo utilizador.
Para mais informações, consulte os seguintes artigos:
- Gerir Plug-ins para o Copilot em Aplicações Integradas
- Expandir o Microsoft 365 Copilot
- Como o Microsoft 365 Copilot pode trabalhar com dados externos
Como é que o Microsoft 365 Copilot protege dados organizacionais?
O modelo de permissões no seu inquilino do Microsoft 365 pode ajudar a garantir que os dados não serão divulgados sem a intenção entre utilizadores, grupos e inquilinos. O Microsoft 365 Copilot apresenta apenas os dados a que cada indivíduo pode aceder utilizando os mesmos controlos subjacentes para o acesso aos dados utilizados noutros serviços do Microsoft 365. O Índice Semântico respeita o limite de acesso baseado na identidade do utilizador para que o processo de base só aceda a conteúdos ao qual o utilizador atual está autorizado a aceder. Para obter mais informações, consulte a política de privacidade e a documentação do serviço da Microsoft.
Quando os dados são encriptados pela Proteção de Informações do Microsoft Purview, o Microsoft 365 Copilot honra os direitos de utilização concedidos ao utilizador. Esta encriptação pode ser aplicada por etiquetas de confidencialidade ou por permissões restritas em aplicações do Microsoft 365 através da Gestão de Direitos de Informação (IRM). Para obter mais informações sobre como utilizar o Microsoft Purview com o Microsoft 365 Copilot, consulte Proteções de conformidade e segurança de dados do Microsoft Purview para aplicações de IA generativa.
Já implementamos várias formas de proteção para ajudar a impedir os clientes de comprometerem serviços e aplicações do Microsoft 365 ou obterem acesso não autorizado a outros inquilinos ou ao próprio sistema do Microsoft 365. Eis alguns exemplos dessas formas de proteção:
O isolamento lógico de conteúdo do cliente em cada inquilino para os serviços do Microsoft 365 é obtido através da autorização do Microsoft Entra e do controlo de acesso baseado em funções. Para obter mais informações, consulte controlos de isolamento do Microsoft 365.
A Microsoft utiliza segurança física rigorosa, rastreio em segundo plano e uma estratégia de encriptação com várias camadas para proteger a confidencialidade e a integridade dos conteúdos dos clientes.
O Microsoft 365 utiliza tecnologias do lado do serviço que encriptam os conteúdos inativos e em trânsito do cliente, incluindo o BitLocker, a encriptação por ficheiro, o Transport Layer Security (TLS) e o Internet Protocol Security (IPsec). Para obter detalhes específicos sobre a encriptação no Microsoft 365, consulte Encriptação no Microsoft Cloud.
O seu controlo sobre os seus dados é reforçado pelo compromisso da Microsoft em cumprir as leis de privacidade amplamente aplicáveis, como o RGPD, e as normas de privacidade, como a ISO/IEC 27018, o primeiro código de prática internacional para a privacidade na nuvem.
Para conteúdo acedido através de plug-ins do Microsoft 365 Copilot, a encriptação pode excluir o acesso programático, limitando assim o acesso do plug-in ao conteúdo. Para obter mais informações, veja Configurar direitos de utilização para o Azure Information Protection.
Cumprir com os requisitos de conformidade regulamentares
À medida que a regulamentação no espaço de IA evolui, a Microsoft continuará a adaptar-se e a responder para cumprir futuros requisitos regulamentares.
O Microsoft 365 Copilot foi criado com base nos compromissos atuais da Microsoft com a segurança e privacidade dos dados na empresa. Não há alterações a estes compromissos. O Microsoft 365 Copilot está integrado no Microsoft 365 e cumpre com todos os compromissos de privacidade, segurança e conformidade existentes com os clientes comerciais do Microsoft 365. Para obter mais informações, consulte Conformidade da Microsoft.
Para além da adesão aos regulamentos, priorizamos um diálogo aberto com os nossos clientes, parceiros e autoridades regulamentares para compreender e abordar melhor as preocupações, fomentando assim um ambiente de confiança e cooperação. Reconhecemos que a privacidade, a segurança e a transparência não são apenas funcionalidades, mas pré-requisitos no panorama orientado por IA na Microsoft.
Informações adicionais
Microsoft 365 Copilot e controlos de privacidade para experiências ligadas
Alguns controlos de privacidade para experiências ligadas no Microsoft 365 Apps podem afetar a disponibilidade de funcionalidades do Microsoft 365 Copilot. Isto inclui os controlos de privacidade para experiências ligadas que analisam o seu conteúdo e o controlo de privacidade para experiências ligadas opcionais. Para obter informações sobre os controlos de privacidade disponíveis para gerir experiências ligadas, consulte Descrição geral dos controlos de privacidade do Microsoft 365 Apps para Grandes Empresas.
Controlo de privacidade para experiências ligadas que analisam o seu conteúdo
Se desativar as experiências ligadas que analisam os seus conteúdos em dispositivos na sua organização, Microsoft 365 Copilot funcionalidades não estarão disponíveis para os seus utilizadores nas seguintes aplicações:
- Excel
- OneNote
- Outlook
- PowerPoint
- Word
Isto aplica-se ao momento em que está a executar a versão mais recente destas aplicações em dispositivos Windows, Mac, iOS ou Android.
Existe também um controlo de privacidade que desativa todas as experiências ligadas, incluindo experiências ligadas que analisam o seu conteúdo. Se utilizar esse controlo de privacidade, Microsoft 365 Copilot funcionalidades não estarão disponíveis nas aplicações e nos dispositivos descritos acima.
Controlo de privacidade para experiências ligadas opcionais
Se desativar as experiências ligadas opcionais na sua organização, as funcionalidades do Microsoft 365 Copilot funcionalidades que são experiências ligadas opcionais não estarão disponíveis para os seus utilizadores. Por exemplo, desativar as experiências ligadas opcionais pode afetar a disponibilidade da pesquisa na Web.
Existe também um controlo de privacidade que desativa todas as experiências ligadas, incluindo experiências ligadas opcionais. Se utilizar esse controlo de privacidade, as funcionalidades do Microsoft 365 Copilot que são experiências ligadas opcionais não estarão disponíveis.
Acerca do conteúdo que o Microsoft 365 Copilot cria
Não é garantido que as respostas que a IA generativa produz sejam 100% factuais. Embora continuemos a melhorar as respostas, os utilizadores devem continuar a utilizar o seu julgamento ao rever o resultado antes de as enviar a outras pessoas. As nossas capacidades do Microsoft 365 Copilot fornecem rascunhos e resumos úteis para ajudar a alcançar mais, dando-lhe a oportunidade de rever a IA gerada em vez de automatizar totalmente estas tarefas.
Continuamos a melhorar os algoritmos para resolver proativamente problemas, tais como incompatibilidade e desinformação, bloqueio de conteúdos, segurança de dados e impedir a promoção de conteúdos prejudiciais ou discriminatórios em conformidade com os nossos princípios de IA responsáveis.
A Microsoft não reclama a propriedade do resultado do serviço. Dito isto, não determinamos se o resultado de um cliente está protegido por direitos de autor ou se pode ser aplicável a outros utilizadores. Isto deve-se ao facto de os sistemas de IA generativa poderem produzir respostas semelhantes a pedidos ou consultas semelhantes de vários clientes. Consequentemente, vários clientes podem ter ou reclamar direitos em conteúdo igual ou substancialmente semelhante.
Se um terceiro processar um cliente comercial por violação de direitos de autor por utilizar Copilots da Microsoft ou o resultado que geram, iremos defender o cliente e pagar a quantidade de quaisquer decisões ou acordos adversos resultantes do processo legal, desde que o cliente tenha utilizado as proteções e os filtros de conteúdo que incorporámos nos nossos produtos. Para obter mais informações, consulte Microsoft anuncia novo Compromisso de Direitos de Autor do Copilot para clientes.
Como é que o Copilot bloqueia conteúdo prejudicial?
O Serviço do Azure OpenAI inclui um sistema de filtragem de conteúdos que funciona juntamente com os modelos principais. Os modelos de filtragem de conteúdos para as categorias Ódio e Equidade, Sexual, Violência e Auto-agressão foram especificamente treinados e testados em vários idiomas. Este sistema funciona ao executar o pedido de entrada e a resposta através de modelos de classificação concebidos para identificar e bloquear a saída de conteúdo prejudicial.
Os danos relacionados com ódio e equidade referem-se a qualquer conteúdo que utilize linguagem pejorativa ou discriminatória com base em atributos como a raça, etnia, nacionalidade, identidade e expressão de género, orientação sexual, religião, estado de imigração, estado de capacidade, aparência pessoal e tamanho do corpo. A equidade está preocupada em garantir que os sistemas de IA tratem todos os grupos de pessoas de forma equitativa, sem contribuir para as desigualdades sociais existentes. Os conteúdos sexuais envolvem discussões sobre órgãos reprodutores humanos, relações românticas, atos retratados em termos eróticos ou afetivos, gravidez, atos sexuais físicos, incluindo aqueles retratados como uma agressão ou um ato forçado de violência sexual, prostituição, pornografia e abuso. A violência descreve linguagem relacionada com ações físicas que têm a intenção de ferir ou matar, a incluir ações, armas e entidades relacionadas. A linguagem de auto-agressão refere-se a ações deliberadas que têm a intenção de ferir ou matar a si mesmo.
Saiba mais sobre a filtragem de conteúdos do Azure OpenAI.
O Copilot fornece deteção de material protegido?
Sim, o Microsoft 365 Copilot fornece a deteção de materiais protegidos, o que inclui texto sujeito a direitos de autor e código sujeito a restrições de licenciamento. Nem todas estas mitigações são relevantes para todos os cenários do Copilot para o Microsoft 365.
O Copilot bloqueia injeções de pedidos (ataques de jailbreak)?
Ataques de jailbreak são pedidos do utilizador concebidos para provocar o modelo de IA generativa a comportar-se de maneiras para as quais não foi treinado ou a quebrar as regras que lhe foram impostas. O Microsoft 365 Copilot foi concebido para proteger contra ataques de injeção de pedidos. Saiba mais sobre ataques de jailbreak e como utilizar a Segurança de Conteúdo de IA do Azure para detetá-los.
Comprometido com a IA responsável
À medida que a IA está preparada para transformar as nossas vidas, temos de definir coletivamente novas regras, normas e práticas para a utilização e o impacto desta tecnologia. A Microsoft tem estado num percurso de IA Responsável desde 2017, quando definimos os nossos princípios e abordagem para garantir que esta tecnologia é utilizada de uma forma orientada por princípios éticos que colocam as pessoas em primeiro lugar.
Na Microsoft, somos orientados pelos nossos princípios de IA, nossas Normas de IA Responsável e décadas de investigação sobre IA, fundamentação e aprendizagem automática de preservação da privacidade. Uma equipa multidisciplinar de investigadores, engenheiros e especialistas em políticas analisa os nossos sistemas de IA quanto a potenciais danos e mitigações - ao refinar os dados de preparação, ao filtrar para limitar os conteúdos prejudiciais, ao bloquear os tópicos confidenciais de consulta e de resultados e ao aplicar tecnologias da Microsoft como InterpretML e Fairlearn para ajudar a detetar e corrigir o enviesamento dos dados. Tornamos claro como o sistema toma decisões ao notar limitações, ligar a fontes e pedir aos utilizadores que revejam e verifiquem factos e ajustem os conteúdos com base nos conhecimentos sobre o assunto. Para obter mais informações, veja Governing AI: A Blueprint for the Future.
Queremos ajudar os nossos clientes a utilizar os nossos produtos de IA de forma responsável, a partilhar as nossas aprendizagens e a criar parcerias baseadas na confiança. Para estes novos serviços, queremos fornecer aos nossos clientes informações sobre as utilizações, capacidades e limitações previstas do nosso serviço de plataforma de IA, para que tenham o conhecimento necessário para fazer escolhas de implementação responsáveis. Também partilhamos recursos e modelos com programadores em organizações e com fabricantes independentes de software (ISV), para os ajudar a criar soluções de IA eficazes, seguras e transparentes.