组织见解和高级见解的技术隐私指南

Microsoft Viva Insights 生成有关组织和员工工作原理的有用见解。 它通过分析你提供的Microsoft 365 协作数据和组织 (人力资源) 数据来执行此操作。 由于数据使用方式可能很敏感,因此成功实现和使用Viva Insights需要密切关注数据和隐私保护。

对于组织见解和高级见解尤其如此,根据配置,这些见解可能会为用户提供他们尚无法访问的其他见解。 有权访问组织见解的领导者和经理可以在电子邮件和Viva Insights Teams 应用中找到他们。 有权访问高级见解的分析师可以使用分析工作台来创建自己的见解。

此资源介绍了 Microsoft 如何为客户提供控制以管理敏感数据,并在Viva Insights内实施保护,以维护员工隐私。 这些控制和保护支持遵守当地法规,例如欧盟一般数据保护条例 (GDPR) ,以用于Viva Insights。

本文档特定于高级见解和组织见解,并提供有关如何保护数据和隐私的技术概述。 有关如何处理个人见解隐私的信息,请参阅:

隐私基础知识

本部分讨论概念,这些概念提供了一个框架来了解Viva Insights如何实现数据保护。

数据实体基础知识

欧洲隐私法概述了考虑数据保护的基本角色和责任。 这些概念有助于说明客户、Microsoft和员工在处理和管理敏感数据时各自的责任。

数据控制者数据处理者和数据主体的概念源于欧洲隐私法。 无论你的组织位于何处,或者是否涉及欧盟公民的任何个人数据,这些概念都为在使用Viva Insights时考虑数据保护提供了一个有用的框架。

下图显示了数据控制者 (组织) 在数据主体 (左侧) 与数据处理者之间的中心位置,Microsoft右侧) (:

数据保护中的角色。

数据控制器

数据控制者是确定处理数据主体个人数据的目的和方式的一方。

使用 Viva Insights 时,组织是数据控制者,因为组织确定Viva Insights是否、如何以及为何处理任何个人数据。

作为数据控制者,组织应:

  • 确定要分析的数据范围以及分析的目的和目标。
  • 请与组织的法律、隐私和人力资源团队协作完成以下任务:
    • 确定是否应获得公司员工的同意。
    • 确定向员工提供有关组织如何处理Viva Insights个人数据的信息。
    • 考虑当地注意事项 (例如,如果适用,) 获得地方工委的批准。
  • 使用Viva Insights隐私控制来指示要分析的数据、数据在结果中的显示方式,以及谁将有权访问原始数据和分析结果。
  • 查看并熟悉此文档以及 Microsoft 提供的其他Viva Insights隐私文档。

数据处理者

数据处理者是代表数据控制者处理个人数据的一方。 当组织使用Viva Insights时,Microsoft是数据处理者。

作为数据处理者,Microsoft将:

  • 根据组织的指示,在 Viva Insights 中的设置配置中处理个人数据。

  • 通过使用Viva Insights,根据产品条款中与 Microsoft 365 相同的一般隐私和安全条款,处理提供给Microsoft (包括个人数据) 在内的所有数据。

  • 作为Microsoft在产品条款和Microsoft产品和服务数据保护附录下承诺的一部分,请遵守Standard合同条款,并保持欧盟-美国和瑞士-美国认证。隐私盾框架以及这些框架对从欧盟和瑞士向美国传输个人数据合法化的承诺,但Microsoft并不依赖欧盟-美国隐私保护框架作为传输个人数据的法律依据,因为欧盟法院在C-311/18案件中的判决。

  • 从 2018 年 5 月 25 日起,以合同方式承诺遵守欧盟一般数据保护条例 (GDPR) 的适用条款。

  • 提供Viva Insights功能,帮助组织履行其数据控制者义务并履行 GDPR 下的数据主体权利,包括排除处理、访问和擦除的权利,以及有关处理方法的透明度权。

  • 实施技术和组织安全措施,以保护组织 (和员工 ) Viva Insights数据的机密性。

此外,Microsoft不会将客户数据或个人数据用于广告,也不会自愿向执法部门提供此类数据。

数据主体

数据主体是通过个人数据识别的人员。 在Viva Insights的上下文中,数据主体是组织中正在处理其个人信息的员工或其他用户。 个人数据是直接或间接标识 (数据主体) 的任何信息。

注意

在大多数情况下,在Viva Insights产品和文档中,我们将数据主体称为“用户”、“人员”、“个人”或“员工”。

数据分类基础知识

根据可用的详细信息量,数据可能会变得或多或少敏感。 此框架描述了不同级别的敏感数据格式,以及它们在Viva Insights中的显示位置。

敏感度 分类 定义 如何在Viva Insights中应用它
Highest 个人数据 个人数据是直接或间接识别人员的信息 默认情况下,Viva Insights不包括个人数据。 处理数据时,它会遮盖Microsoft 365 中标识个人的电子邮件地址。 但是,组织还可以选择提供描述性的员工信息以供分析。 如果这包括个人数据 (例如员工姓名和标识号) ,则这些数据可能会向高级见解的分析师显示。
Higher 去标识的数据 去标识数据将个人标识符替换为一个值,该值不会直接标识 (,例如加密密钥) 。 如果没有其他信息,这些标识符无法映射回特定人员。 Viva Insights处理Microsoft 365 数据时,会自动将电子邮件地址替换为加密模糊的数字和字母字符串。 这些已取消标识的行可降低分析师识别特定人员的可能性。 但是,见解管理员可以上传自定义组织数据字段。 这些自定义字段可能包含新的标识信息,或者提供足够的描述性上下文,以便分析师能够推断标识。 见解管理员应权衡自定义组织数据字段的风险和优势。
Lower 聚合数据 聚合数据表示多个个人或源,而不会归因于组中的任何一个个人或源。 Viva Insights通常为组织内的组提供平均值。 当这些组包含许多人时,很难从这些平均值中获取有关任何特定人员活动的信息。 但是,如果用户可以看到非常小的组的结果或比较重叠组的平均值,他们可能仍能够从聚合数据中识别特定人员。

可以进一步保护聚合数据,以减少识别个人的可能性。 组织见解通过实施三种策略为领导者和经理提供受保护的结果:最小组大小、差异隐私和掩码分布。 可以在 保护敏感数据中了解有关这些技术的详细信息。

保护敏感数据

上一部分根据其敏感度对数据进行分类。 Viva Insights旨在使用可用数据最不敏感的版本提供见解。 为此,它包括高级见解和组织见解中的内置保护,以便用户尽可能查看聚合和去标识信息。

个人数据、去标识数据和计算数据

某些分析师可以访问高级见解中的行级员工数据。 为了在保留行级数据的信息值的同时保护员工身份,Viva Insights应用算法来加密员工电子邮件地址。 但是,根据见解管理员选择提供给Viva Insights的描述性员工属性的类型,这些属性可能会提供足够的上下文,或者与其他信息相结合,以便分析师可以推断个人身份。 因此,分析员访问权限基于信任,一些组织选择通过确保具有分析师访问权限的人员接受有关正确数据处理和使用情况的培训来加强这种信任。

以下示例显示了高级见解查询中的一行:

加密人员标识符 非工作时间 电子邮件小时数 函数 标题 组织
T5Y07H4VfKWcCC3 7 16 HR 主管 HR – Corp

在此示例中,Viva Insights为个人计算小时数Email小时数。 它将结果打印在包含见解管理员提供的组织数据中的个人属性的行上。 “人员标识符”是派生自用户Microsoft 365 电子邮件地址的加密生成的标识符。 其他属性实际上是个人数据。 虽然可能无法使用函数、标题、组织和区域) 的任何其他列 (标识用户,但这些属性一起可能使分析师能够识别人员。 因此,这组属性应被视为潜在的个人数据。

最小组大小

由于基于较小群体的结果更容易猜测有关个人的信息,因此聚合见解不会显示少于 5 人的组的结果。 见解管理员可以选择 提高此阈值。 最小组大小适用于高级见解 Power BI 模板中的数据可视化效果,以及 Outlook 和 Teams 中面向领导者和经理的组织见解。

分发掩码

某些见解衡量有多少人具有特定个人资料,例如组织获得足够的专注时间百分比。 聚合结果通过遮盖或屏蔽结果进行保护,否则会显示组的“几乎全部”或“几乎全部”都适合配置文件,因为这将有效地为你提供有关组中每个人的信息。 此掩码适用于 Outlook 和 Teams 中领导者和经理的组织见解。

差分隐私

Microsoft Viva Insights认真对待保护个人隐私。 如果未透露任何信息,则始终可以保证隐私,这毫无用处。 同样,使所有信息都可用会导致损害个人隐私的高保真指标。

差异隐私可在提供有用信息和保护个人隐私之间实现平衡。 使用世界级研究人员的方法,Viva Insights随机调整单个观察结果,使聚合调整相互偏移,并且用户看到的聚合结果仍然准确。 使用差异隐私时,用户无法识别真实的单个结果,因为计算中使用的单个结果已更改。 有关更多详细信息,请参阅 每个人的差异隐私

Viva Insights中差异隐私的第一个应用是组织见解。 这些见解使经理能够了解他们组的工作人员情况,并通过汇总协作数据来推动改变。

无论在组织见解中如何呈现或使用聚合平均值,任何经理或团队领导都无法自信地得出任何他们无法知道的关于个人的具体信息的结论。

请参阅 差异隐私 ,详细了解Microsoft AI 如何帮助定义和使用它。

管理敏感数据

Viva Insights为 Microsoft 365 管理员和见解管理员提供用于管理要处理的数据、谁有权访问以及特定数据主体请求的工具。

管理要处理的数据

你可以完全控制使用哪些数据,以及如何在Viva Insights中使用这些数据。 Viva Insights使用组织定义的 Microsoft 365 电子邮件和日历元数据以及通常从 HR 系统) 导出 (外部数据来计算组织中组在会议、电子邮件、通话和聊天中花费的时间,以及与谁在一起的时间。

Viva Insights处理来自自己的 HR 系统的组织数据和来自 Microsoft 365 的协作数据,为分析师提供用于执行分析的统一数据池。

从 Microsoft 365 处理的数据

Viva Insights使用 Microsoft 365 中的协作数据。 通过将Viva Insights许可证分配给某人,Microsoft 365 管理员控制该人员的协作数据是否由Viva Insights处理。

Viva Insights使用来自 Microsoft 365 个电子邮件和日历项目的标头信息。 此标头信息包括发件人和收件人、日期和主题行的电子邮件,以及组织者、与会者和会议持续时间。 Viva Insights绝不包括电子邮件和日历项中的附件和内容。

请务必注意,虽然Viva Insights使用此Microsoft 365 数据,但大多数标头信息永远不会直接提供给服务中的用户。 相反,Viva Insights基于此信息提供计算和指标。 此外,使用服务中的设置,可以决定和配置要使用的数据以及谁可以看到这些数据。 有关完整详细信息,请查看产品隐私功能文档。

Microsoft 365 电子邮件、日历、呼叫和即时消息元数据为Viva Insights中的所有分析提供了基础,因此第一步是确定要包括哪些用户。 选择要包含的用户时,Viva Insights使用该用户的邮箱和日历中的项目的以下信息:

项目 鼻祖 收件人 主题 年表 状态
email sender recipients 主题行 发送时间
会议 组织者 被邀请者 主题行 计划时间 与会者状态
call 组织者 被邀请者 计划时间、呼叫加入时间、呼叫持续时间 呼叫/加入状态
聊天 初始 IM 的发送方 recipients IM 发送时间

重要

电子邮件和会议正文中的附件和文本永远不会由Viva Insights使用。

从组织处理的数据

为了提供见解的上下文,Viva Insights使用有关员工的描述性信息。 见解管理员控制可用的描述性信息。 对于组织见解,只有报告层次结构 (即谁向谁报告) 可供领导和经理的最终用户使用。 对于高级见解,分析师可以访问其他可用的描述性信息,例如工作职能或地理位置。

若要按组织线启用分析,可以提供人力资源数据,例如学科、职务、位置和经理。 Viva Insights可确保永远不会在分析此信息时使用个人标识。 但是,请务必注意防止基于个人数据(如姓名、员工标识号或特定办公室位置)意外识别用户。

此外,请考虑包括其特定值可能直接标识某些个人 ((例如包含“CEO”) 的标题字段)或可能减少低于聚合阈值的个人集的风险 (例如,可能只有几个董事) 。

组织数据可能来自 HR、信息系统或其他业务线数据存储。 Viva Insights将 Microsoft 365 电子邮件、日历、呼叫和即时消息元数据与你选择用于提供公司通信和协作趋势的丰富且可操作的见解的组织数据相结合,以帮助你做出更有效的业务决策。

数据集使用用户的电子邮件地址进行组合,但电子邮件地址永远不会通过仪表板或查询结果显示在Viva Insights中。

请注意,组织数据集中提供的其他信息在高级见解中公开。 请务必确保数据集不包含个人数据 (例如员工 ID) 。 有关更多详细信息,请参阅 准备组织数据

管理谁有权访问数据

Microsoft 365 管理员可以分配具有不同级别访问组织见解和高级见解的用户角色。

你可以控制谁将看到数据和分析结果。

高级见解

以下权限级别提供对Viva Insights数据的访问权限:

  • 见解 分析师 角色对除管理员功能之外的所有高级见解产品功能具有完全访问权限。
  • 见解管理员角色只能访问管理员功能 (Viva Insights) 中的组织数据和隐私设置

与处理敏感数据的其他产品 (一样,高级见解) 不适用于一般员工。 相反,其用户应获得有关如何处理敏感信息的培训。 培训营特定于组织的内容。 建议的主题可能包括组织的人力资源策略、员工隐私策略、如何处理和存储敏感数据以及内部交易。

见解分析师可以访问高级见解中的信息。 分配此角色人员可以使用会议和电子邮件信息运行查询数据(属于非标识数据类别)进行分析。 但是,如果选择提供个人数据,分析师可以识别正在计算的指标。 因此,在获得访问Viva Insights之前,必须对这些分析师进行必要的培训。 此外,Viva Insights会记录分析人员创作的所有查询,这样就可以审核这些查询,以确保与组织策略保持一致,以及 (DPIA) 的任何数据保护影响评估。

租户管理员预配见解分析师角色。

组织见解

“见解业务主管”角色和组管理员列表管理对 Outlook 和 Teams 中组织见解的访问。

分配有见解业务主管角色的人员可以查看包含其租户中每个人的组织见解。

作为组管理员启用人员,可以查看仅包括直接或间接向其报告的人员的组织见解。 见解管理员可以将用户分配为组管理员。 报告层次结构,确定谁根据必填字段 PersonIdManagerId 向谁报告,这些字段包含在见解管理员维护的组织数据中。

管理数据主体请求

客户作为数据控制者负责处理来自员工的某些请求,作为数据主体。 Microsoft,数据处理者,在Viva Insights中提供控制,以尊重数据主体的权利。

根据 GDPR,数据主体可能有权请求排除其个人数据的处理、访问、更正或删除。 组织作为数据控制者的角色是评估特定数据主体请求是否有效,并在适当的情况下采取措施来实现该请求。 作为数据处理者,Microsoft为组织提供机制,作为数据控制者,通过内置于Viva Insights中的控件来维护数据主体权限。

  • 排除处理 - 数据主体有权将其个人信息排除在处理之外。 在Viva Insights中,只需不向该员工分配Viva Insights许可证,即可排除员工的个人信息被处理。
  • 访问 - 数据主体有权要求处理哪些个人信息,Viva Insights使你能够导出可能包含个人数据的原始数据。 此类信息的范围仅限于个人可关联的内容,并且不包含无法从中收集任何个人信息的聚合指标。
  • 更正 - 数据主体有权更正其个人数据。 Viva Insights仅对从其他源(例如来自 Microsoft 365 的电子邮件和会议数据或上传的组织数据)提供的数据执行运算 (主要是算术) 。 此数据不会通过Viva Insights更正。
  • 删除 - Microsoft支持 GDPR 擦除权限。 此外,如有必要,客户本身还可以删除标识数据主体的报表。 客户还可以从任何其他数据 (中删除数据主体,例如他们可能已提供给Viva Insights的组织数据或 CRM 数据) 。
  • 有关处理的透明度 - 有关Viva Insights计算的指标及其含义的详细信息,请参阅指标定义

保留敏感数据

Viva Insights不会保留任何超过 27 个月的协作数据。 根据用户许可证的状态,Viva Insights可能会保留较少的数据。

Microsoft Viva Insights和 Teams 中会保留收集的数据多长时间? 答案取决于Viva Insights用户许可证的状态:

  • 活动租户的数据保留期
  • 删除许可证后的数据保留
  • 所有订阅过期后的数据保留和访问权限

活动租户的数据保留期

活动租户是具有一个或多个有效Viva Insights用户许可证的租户。

默认情况下,Viva Insights最初收集、处理和保留 13 个月的数据。 然后,通过每周刷新,Viva Insights增加此历史记录,直到收集了 27 个月的数据。 此时,在收集较新的协作数据时,会删除较旧的协作数据。

这意味着Viva Insights没有任何超过 27 个月的协作数据。

删除许可证后的数据保留

如果从用户中删除了Viva Insights许可证,Viva Insights将保留该用户在分配许可证期间收集的协作数据。 但是,若要在查询结果中显示用户,该用户需要在运行查询时拥有许可证。 详细了解用户何时显示在查询结果中。

将根据 活动租户的数据保留中所述的总体保留策略删除该人员的协作数据。

若要在删除许可证后永久删除用户的数据,可以联系Microsoft客户支持请求协作数据重置。

有关根据 GDPR 处理的数据删除请求的信息,请参阅 管理数据主体请求

注意

Microsoft 365 个用户可以确定他们是否具有Viva Insights许可证,从而确定是否正在处理其数据。 有关详细信息,请参阅 如何确定我的计划是什么?

所有订阅过期后的数据保留和访问权限

如果所有订阅都过期,则必须在宽限期结束前以结果形式下载数据。 有关详细信息,请参阅 访问查询结果 。 宽限期的持续时间因国家/地区和计划而异。 通常,批量许可购买为 90 天,对于其他购买类型,则为 30 天。 将根据 Microsoft 365 数据处理Standard删除所有后端数据。

此期限过后,你将不再有权访问Viva Insights。

若要下载查询结果,请执行以下操作:

  1. 打开高级见解应用。 如果出现提示,请使用工作帐户登录。
  2. 选择“ 分析师 > 查询结果”。
  3. 在查询结果的行中,选择“ 下载 ”,将结果下载为 .csv 文件,该文件存档为 .zip 文件。

在高级见解中使用敏感数据

有权访问高级见解的分析师可以使用分析师工作台来创建自己的见解。 以下最佳做法建议可帮助管理与创建新见解相关的隐私风险。

分析规划

通过阐明项目范围和预期权益,可以评估所需的数量,并避免超出所需风险。

高级见解提供了极大的分析灵活性,因此在开始之前,请务必明确要分析的内容和原因。 确定要回答的组织的具体问题,然后考虑Viva Insights如何帮助你找到这些答案。

有一个明确的问题,然后确定Viva Insights的数据分析如何回答问题,有助于实现以下目标:

  • 将工作集中在有限的目的上,并有助于防止分析师简单地筛选分析数据。
  • 帮助你确定数据使用范围,并避免隐私缺陷,例如,包含的数据超过必要的数量,保留数据的时间超过必要的时间,以及无法让员工对个人数据的使用方式保持透明。

在组织受 GDPR 约束的情况下,规划分析是确定和记录使用Viva Insights处理个人数据的合法利益的关键步骤。

数据保护影响评估 (DPIA)

法律或人力资源人员可以就 DPIA 是否有必要提供建议,以确定项目的利益是否大于潜在风险。

组织中的员工和其他用户的隐私风险程度在很大程度上由你控制。 这种风险主要取决于要导入到Viva Insights的组织数据集以及如何使用这些数据。

在制定分析计划之后,但在Viva Insights开始处理数据之前,请确定是否需要完成 DPIA。 如果建议使用Viva Insights涉及以可能导致组织中员工和其他用户权利面临高风险的方式处理个人数据,则可能需要完成 DPIA。 如果不确定是否需要 DPIA,请咨询组织的隐私主题专家,例如法律或人力资源人员。

高风险数据包括敏感的人口统计数据,如种族或种族、性别或性别以及工会成员身份。 Viva Insights的高风险用途包括使用服务进行分析或对员工做出自动决策或预测。 (请注意,Microsoft设计Viva Insights来帮助组织中的人员做出数据驱动的决策,而不是自动执行这些决策。)

如果您确定 DPIA 对于建议使用Viva Insights是必需的,则需要记录如何使用服务处理个人数据的几个方面,包括数据收集方式、数据处理方式、处理目的的必要性、处理员工面临的风险、数据在内部和外部流动Viva Insights;你从员工那里收到的关于建议数据处理的反馈;以及组织数据保护专员 (或同等) 认为 DPIA 所需的任何其他信息。 作为数据控制者,组织完全负责确定组织使用Viva Insights的目的。 作为数据处理者,Microsoft会根据服务配置告知产品如何运行和处理数据。

限制数据敏感度

在项目期间,请在每个步骤中考虑哪些最不敏感的数据可用于实现目标。

若要最大程度地降低隐私风险,请使用进行研究所需的最低数据。 虽然采用从不使用个人数据的严格策略,并将去标识化数据与标识属性结合使用可有助于解决使用此类数据时固有的许多风险,但此类策略可以限制Viva Insights可以执行的分析类型。 由组织决定适合你的组织的最佳方法和策略。

例如,许多公司都看到了了解其组织内不同团队或部门之间的聚合协作模式的好处。 很少有公司愿意分析高度敏感信息,如健康数据、实时位置、文档内容和某些类型的多样性人口统计。

主题专家

隐私和法律主题专家可以帮助你在潜在的数据保护陷阱中保持领先。

请咨询你希望使用Viva Insights所在国家/地区的组织的人力资源、隐私和法律主题专家。 在一个国家/地区可能可接受的分析可能受到更多要求 (例如,通知和同意义务在其他国家) 甚至非法。 尽职调查在欧盟等高度监管的司法管辖区尤其重要。

注意

一些国家要求雇主在工作场所部署某些信息技术之前咨询员工代表或寻求工作委员会批准,而另一些国家则限制雇主何时以及如何处理某些员工数据。 例如,如果你的公司在德国或荷兰有员工,则应考虑是否需要工作委员会参与或批准。 此外,Viva Insights处理员工通信中的数据,这些数据可被视为“通信数据” (包括芬兰 ) 的“交通数据”。 因此,如果你的公司在芬兰有员工,那么你应该了解芬兰法律如何适用于处理员工个人数据和通信或交通数据,以确定是否允许使用Viva Insights。