一般数据保护条例摘要
一般数据保护条例 (GDPR) 引入了新规定,适用于向欧盟 (EU) 民众提供商品和服务或收集并分析欧盟居民相关数据的组织。无论你或你的企业位于何处,都要遵守该规定。 本文档指导用户如何在使用 Microsoft 产品和服务时帮助用户根据 GDPR 遵守权限和履行义务。 适用于 GDPR 的建议操作计划和责任就绪清单提供用于评估和实施 GDPR 合规性提供了额外资源。
术语
本文档中使用的 GDPR 术语的有用定义:
- 数据控制者(控制者):单独或与他人共同确定个人数据处理目的和方法的法人、公共机关、机构或其他团体。
- 个人数据和数据主体:与已识别或可识别的自然人(数据主体)相关的任何信息;可识别的自然人是可以直接或间接识别的自然人。
- 处理者:代表控制者处理个人数据的自然人或法人、公共机关、机构或其他团队。
- 客户数据:在运营业务的日常运营中生成和存储的数据。
什么是 GDPR?
GDPR 授予人们管理组织收集的个人数据的权限。 可通过数据主体请求 (DSR) 来行使这些权限。 组织需要及时提供有关 DSR 和数据泄露的信息,并执行数据保护影响评估 (DPIA)。
在实施或评估 GDPR 要求时应考虑以下几点:
- 制定或评估 GDPR 合规性数据隐私政策。
- 评估组织的数据安全性。
- 谁是数据控制者?
- 你可能需要执行哪些数据安全流程?
适用于 GDPR 的建议操作计划和责任就绪清单可能会提示额外的思路。
为满足 GDPR 标准,需要完成以下任务。 请按照列表中的链接获取有关实施的详细信息。
- 数据主体请求 (DSR)。 数据主体正式要求控制者对其个人数据采取行动(更改、限制、访问)。
- 违反通知。 根据 GDPR,个人数据泄露是“违反安全规定,导致已传输、存储或以其他方式处理的个人数据意外或非法损毁、丢失、更改,或者未经授权披露或访问。”
- 数据保护影响评估 (DPIA)。 要求数据控制者按照 GDPR 为“可能对自然人的权限和自由造成高风险”的数据操作准备 DPIA。
如上所述,GDPR 的建议操作计划和责任就绪清单提供了使用 Microsoft 产品和服务实施或评估 GDPR 一致性的指南。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施帮助降低风险。 合规性管理器为企业版 E5 客户提供了此规则的预建评估。 在合规性管理器的“评估模板”页面中找到用于建立评估的模板。 了解如何在合规性管理器中建立评估。
数据主体请求 (DSR)
GDPR 授予个人(或数据主体)与处理个人数据相关的某些权限,包括有权更正不准确数据、清除数据或限制数据处理、接收数据,以及满足将数据传输给另一个控制者的请求。 控制者负责提供及时的 GDPR 一致回复。 有关技术详细信息,请参阅数据主体请求。
DSR 常见问题解答
完成 DSR 将需要采取哪些操作?
DSR 涉及六项活动:发现、访问、校正、限制、导出和删除。
数据源是什么?
组织的很大一部分数据是在 Office 应用程序(如 Excel 和 Outlook)中生成的。 还可以在 Microsoft 产品和服务生成的见解以及系统生成的日志中找到与 DSR 相关的数据。
需要搜索哪些类型的数据?
可以在客户数据、Microsoft 产品和服务生成的见解以及系统生成的日志中找到个人数据。
如何搜索个人数据?
搜索个人数据可能因 Microsoft 产品和服务的不同而异。 搜索工具包括内容搜索或应用内搜索容量。 管理员可以访问与用户活动关联的系统生成的日志。
个人数据应以何种格式提供?
GDPR“数据移植权限”允许数据主体请求“常用的计算机可读结构化格式”个人数据副本,还可请求组织将这些文件传输给另一数据控制者。
GDPR 有何要求?我作为控制者需要承担什么责任?
GDPR 要求控制者能够:
- 向数据主体提供个人数据副本,连同正在处理的数据所属的类别、数据处理目的,以及数据可能披露给的第三方所属的类别。
- 帮助每个用户行使自己的权利,以更正不准确的个人数据、清除数据或限制数据处理、接收可读形式的数据,以及在必要时满足将数据传输给另一个控制者的请求。
GDPR 有何要求?Microsoft 作为处理者需要承担什么责任?
我们必须采取相应的技术和组织措施,以协助你响应数据主体为了行使上述权利而发出的请求。
在哪里可以找到本地服务器的 GDPR 相关信息?
可在此处找到一系列与 GDPR 相关的文章。 由 Microsoft 制作,它们针对 SharePoint Server、Exchange Server、Project Server、Office Web Apps Server、Office Online Server 和本地文件共享的本地工作负载提供了建议方法。
Microsoft 如何助力你响应数据主体请求?
联机服务提供了许多功能,以助力控制者响应数据主体请求。 Microsoft 企业联机服务和管理控件有助于你对个人数据执行操作,以响应数据主体权利请求,同时还便于你发现、访问、纠正、限制、删除和导出 Microsoft 云中存储的控制者托管数据内驻留的个人数据。 联机服务还可以根据需要提供计算机可读形式的数据。
数据保护影响评估
根据 GDPR,数据控制者需要为“可能对自然人的权限和自由造成高风险”的处理操作准备数据保护影响评估 (DPIA)。 Microsoft 产品和服务不需要创建 DPIA。 相反,它取决于 Microsoft 配置的详细信息。 可在 DPIA 内容中找到必须在 Office 中考虑的详细信息列表
DPIA 常见问题解答
何时应该执行 DPIA?
控制者需要执行 DPIA 来解决个人数据安全风险或因数据泄露导致的风险。 在确定是否需要 DPIA 中解决 Office 中风险因素的具体示例。
完成 DPIA 需要什么?
DPIA 包含的 GDPR 要求:
- 评估与 DPIA 目的相关的数据处理的必要性和相称性。
- 评估数据主体的权限和自由风险。
- 旨在处理风险、保障措施、安全措施和机制的预期措施,以确保保护个人数据并证明其符合 GDPR。
我作为控制者需要承担什么责任?
根据 GDPR,如果数据处理可能会导致用户个人权利和自由面临高风险(尤其是当使用新技术处理数据时),控制者必须在处理数据前先执行 DPIA。 GDPR 列出了以下必须执行 DPIA 的情况(并非详尽):
- 为了执行分析和类似活动而自动处理数据,这些活动会造成法律影响或以类似方式显著影响数据主体;
- 处理大量特殊类别的个人数据(透露种族或族裔、政治观点等内容的数据),或与刑事犯罪和违法行为有关的数据;
- 大规模地系统监视公开区域。
GDPR 还规定,如果无法确定充足的流程来最大限度地降低数据主体面临的高风险,必须先咨询数据保护机构 (DPA),再开始处理任何数据。
Microsoft 需要承担什么责任?
根据设计,Microsoft 的工程和业务功能默认保护隐私。 其中一项措施是,Microsoft 对可能会影响数据主体的权利和自由的数据处理操作进行全面的隐私审查。 服务组中嵌入的隐私团队负责审查服务的设计和实现,以确保个人数据的处理方式符合国际法律、用户预期和我们明确许下的承诺。
此类隐私审查往往很细化 — 一项特定服务可能会接受数十次或数百次审查。 Microsoft 将这些细化的隐私审查汇总为,涵盖主要数据处理分组的数据保护影响评估 (DPIA),以供 Microsoft 欧盟数据保护监察专员 (DPO) 稍后审查。 DPO 评估数据处理存在的相关风险,以确保有充足的缓解措施。 如果 DPO 发现无法缓解的风险,就会将建议的更改反馈给工程组。 随着数据保护风险发生变化,也会相应地审查和更新 DPIA。
作为处理者,Microsoft 有责任协助控制者确保符合 GDPR 中规定的 DPIA 要求。 为了向客户提供支持,我们生成了 Microsoft DPIA 相关部分的摘要,并将在日后更新中通过这一部分提供此类摘要,以便控制者能够依赖 Microsoft 服务来利用摘要创建自己的 DPIA。
泄露通知
GDPR 强制要求数据控制者和处理者针对个人数据泄露发出通知。 作为数据处理者,Microsoft 确保客户能够满足 GDPR 的违反通知要求。 数据控制者负责评估数据隐私风险并确定违反是否需要通知客户的 DPA。 Microsoft 提供进行评估所需的信息。 有关 Microsoft 如何检测和响应 GDPR 下的数据违反通知中的违反个人数据的详细信息。
泄露通知常见问题解答
根据 GDPR,什么构成了个人数据泄露行为?
个人数据是指,所有与个人相关、可直接或间接表明身份的信息。 个人数据泄露是指,“导致传输、存储或以其他方式处理的个人数据遭到意外或非法破坏、丢失、更改、未经授权披露或访问的违反安全之事宜。”
你作为控制者需要承担什么责任?
如果发生个人数据泄露,且可能会导致用户个人权利和自由面临高风险(如遭到歧视、身份被盗、被欺诈、蒙受经济损失或名誉受损),GDPR 要求必须采取以下措施:
- 在数据保护机构 (DPA) 获悉此情况的 72 小时内(例如,在 Microsoft 通知你之后),通知相应的 DPA。 如果没有在此时间段内通知 DPA,需要向 DPA 说明原因。 即使导致用户个人面临的风险不太可能是高风险,也必须通知 DPA。
- 毫无不当拖延地通知数据主体发生了数据泄露。
- 记录数据泄露情况,包括对数据泄露性质的说明,如受影响人数、受影响数据记录数、数据泄露后果,以及组织应该或已采取的任何补救措施。
Microsoft 作为处理者需要承担什么责任?
GDPR 要求我们在获悉个人数据泄露发生后,毫无不当拖延地通知你。 作为处理者,Microsoft 有义务遵守 GDPR 要求和我们的标准全球合同条款。 我们会考虑所有已确认的个人数据泄露是否都在范围之内,即是否没有超出损坏阈值的风险。 我们将通知客户,数据泄露是由 Microsoft 直接造成,还是由我们的任何分处理者造成。 我们已制定相关流程,以快速识别并联系你确定的组织中的安全事件专员。 此外,根据合同,所有分处理者都有义务向 Microsoft 报告自己的违反安全之事宜,并承担相应的后果。
Microsoft 如何检测数据泄露?
我们的所有服务和人员都遵循内部事件管理过程,以确保采取适当的预防措施,从一开始就防止数据泄露。 不过,除此之外,联机服务还跨平台提供特定的安全控件,用于检测极少发生的数据泄露事件。
Microsoft 如何响应数据泄露?
若要支持你泄露个人数据,Microsoft 有: - 安全人员根据要遵循的特定过程进行培训。 - 制定策略、过程和控件,确保 Microsoft 维护详细记录。 此响应包括捕获事件实际情况、造成的影响和补救措施的文档,以及在事件管理系统中跟踪和存储信息。
如果发生数据泄露,Microsoft 会如何通知我?
Microsoft 已制定用于及时通知你的策略和过程。 为了让你能够根据要求通知 DPA,我们会介绍为了确定是否发生个人数据泄露所采用的流程、数据泄露性质,以及为了缓解数据泄露所采取的措施。
GDPR 的责任就绪清单
这些清单提供了一种方便的方法来访问使用 Microsoft 产品支持 GDPR 所需的信息。 可以通过在 GDPR 磁贴中引用“客户托管控件”下的“控制 ID”和“控制标题”来使用 Microsoft Purview 合规性管理 器管理清单项。
GDPR 常见问题解答
Microsoft 是否就 GDPR 向其客户作出承诺?
是。 GDPR 要求控制器 ((例如使用 Microsoft 企业联机服务) 的组织)仅使用处理器 ((如 Microsoft) )来提供足够的保证来满足 GDPR 的关键要求。 Microsoft 已采取主动措施,将这些承诺作为其协议的一部分提供给所有批量许可客户。
Microsoft 如何帮助我遵守?
Microsoft 提供工具和文档来帮助你履行 GDPR 责任。 这包括对数据主体权利的支持,执行自己的数据保护影响评估,以及协作解决个人数据泄露问题。
GDPR 条款中有哪些承诺?
Microsoft 的 GDPR 条款反映了第 28 条要求处理者作出的承诺。 第 28 条要求处理者承诺:
- 仅在获得控制者同意的情况下使用下级处理者,并对下级处理者负责。
- 仅根据控制者的指示处理个人数据,包括有关传输的指示。
- 确保处理个人数据的人员作出保密承诺。
- 实施适当的技术和组织措施,确保个人数据安全级别符合风险防范要求。
- 协助控制者履行相关义务,以响应数据主体对行使其 GDPR 权利提出的请求。
- 满足泄露通知和协助要求。
- 协助控制者进行数据保护影响评估并与监管机构进行磋商。
- 在服务结束时删除或退回个人数据。
- 通过 GDPR 的合规性证据来为控制者提供支持。
Microsoft 在什么基础上促进欧盟以外的个人数据传输?
Microsoft 长期以来一直使用标准合同条款(也称为“模式条款”)作为其企业联机服务数据传输的基础。 标准合同条款是欧盟委员会提供的标准条款,可用于以合规的方式在欧洲经济区之外传输数据。 Microsoft 已通过联机服务条款将标准合同条款包含在我们的所有批量许可协议中。 对于来自欧洲经济区、瑞士和英国的个人数据,Microsoft 将依据 GDPR 第 46 条中的规定确保在向第三方国家/地区或国际组织传输个人数据时适用相应的安全措施。 在遵守针对数据处理者的标准合同条款以及其他模范合同以外,Microsoft 还将继续遵守隐私保护协议框架的条款,但不再将其作为从欧盟/欧洲经济区向美国传输数据的基础。
Microsoft 还提供哪些其他合规性产品/服务?
作为一家客户遍及全球几乎每个国家/地区的跨国公司,Microsoft 拥有强大的合规性产品组合来为我们的客户提供帮助。 若要查看我们的合规性产品/服务的完整列表,包括 FedRamp、HIPAA/HITECH、ISO 27001、ISO 27002、ISO 27018、NIST 800-171、英国 G-Cloud 和许多其他内容,请访问我们的合规性产品/服务主题。
GDPR 将如何影响我的公司?
GDPR 对收集或处理个人数据的组织提出了广泛的要求,包括对遵守六项主要原则的要求:
- 处理和使用个人数据时的透明度、公平性和合法性。 你需要向个人明确说明你将如何使用个人数据,还需要提供处理该数据的“合法依据”。
- 将个人数据的处理限制为特定、明确和合法用途。 你不得出于与原始数据收集目的“不一致”的目的重复使用或披露个人数据。
- 尽可能减少个人数据的收集和储存,使其与预期用途充分相关。
- 确保个人数据的准确性,并允许擦除或更正该数据。 需要采取措施来确保你持有的个人数据准确无误,并且可在发生错误时予以更正。
- 限制个人数据的存储。 需要确保仅在实现数据收集目的所需的期限内保留个人数据。
- 确保个人数据的安全性、完整性和机密性。 你的组织必须采取措施,通过技术和组织安全举措来确保个人数据的安全。
你需要了解贵组织在 CCPA 下的特定义务以及如何履行这些义务,而 Microsoft 随时乐于在你的 GDPR 旅程中向你提供帮助。
根据 GDPR 的规定,公司必须落实哪些权利?
GDPR 通过一组“数据主体权利”为欧盟居民提供了对其个人数据的控制权。 这包括以下权利:
- 访问有关个人数据使用方式的信息。
- 访问组织持有的个人数据。
- 删除或更正错误的个人数据。
- 在某些情况下对个人数据进行更正和擦除(有时称为“被遗忘权”)。
- 限制或反对自动处理个人数据。
- 接收个人数据的副本。
什么是处理者和控制者?
控制者是指单独或与他人共同确定个人数据处理目的和方法的自然人或法人、公共机关、机构或其他团体。 处理者是代表控制者处理个人数据的自然人或法人、公共机关、机构或其他团队。
GDPR 是否适用于处理者和控制者?
是的,GDPR 适用于控制者和处理者。 控制者只能使用采取措施来满足 GDPR 要求的处理者。 与数据保护指令相比,根据 GDPR,处理者将因不合规或违反控制者提供的指示而承担额外的责任和义务。 处理者的责任包括但不限于:
- 仅按照控制者的指示处理数据。
- 使用适当的技术和组织举措来保护个人数据。
- 协助控制者处理数据主体请求。
- 确保参与的下级处理者满足这些要求。
公司可能因不合规被罚多少?
如果公司未能满足特定 GDPR 要求,可能被处以最高 2000 万欧元或全球年营业额的 4%(以较高者为准)的罚款。 如果你不遵守 GDPR 的要求,其他个人补救措施可能会增加你的风险。
我的企业是否需要任命一名数据保护管理人员 (DPO)?
具体取决于法规中规定的几个因素。 GDPR 第 37 条规定,在以下任何情况下,控制者和处理者都应任命一名数据保护管理人员:(a) 处理工作是由公共当局或机构执行的,但以司法身份行事的法院除外;(b) 控制者或处理者的核心活动涉及处理操作,这些操作因其性质、范围和/或目的而要求对大量数据主体进行定期和系统性的监控;(c) 控制者或处理者的核心活动涉及根据第 9 条对大量特殊类别的数据进行处理,以及对第 10 条提及的与刑事定罪和犯罪有关的个人数据进行处理。
满足 GDPR 合规性需要多少费用?
对于大多数组织而言,满足 GDPR 合规性将花费大量的时间和金钱,而对于那些在架构良好的云服务模型中运行并拥有高效数据治理计划的组织来说,这可能是一个更平稳的过渡。
我如何知道 GDPR 是否涵盖组织正在处理的数据?
GDPR 规范了“个人数据”的收集、存储、使用和共享。 根据 GDPR,个人数据的定义很宽泛,即指与已识别或可识别的自然人相关的任何数据。
个人数据包括但不限于联机标识符(例如,IP 地址)、员工信息、销售数据库、客户服务数据、客户反馈表、位置数据、生物识别数据、闭路电视录像、忠诚计划记录、健康和财务信息等。 它甚至包括看似不属于个人信息的信息(例如没有人物的风景照),其中该信息可通过帐号或唯一代码关联至可识别的个人。 如果可将假名链接到特定个人,则经过假名处理的个人数据甚至也可以是个人数据。
与处理“普通”个人数据相比,处理某些“特殊”类别的个人数据(例如显示某人的种族或族裔或涉及健康或性取向的个人数据)将遵循更为严格的规定。 评估个人数据非常特殊,因此我们建议聘请专家来评估你的具体情况。
我的组织仅代表其他人处理数据。 是否仍需要遵守 GDPR?
是。 尽管规定有所不同,但 GDPR 适用于出于自身目的收集和处理数据的组织(“控制者”)以及代表他人处理数据的组织(“处理者”)。 这一要求是从现有数据保护指令转变而来的,它适用于控制者。
哪些内容明确被视为个人数据?
个人数据是指与已识别或可识别人员相关的任何信息。 个人的私人、公共或工作角色之间没有任何区别。 个人数据可包括:
- 名称
- 家庭住址
- 工作地址
- 电话号码
- 手机号码
- 电子邮件地址
- 护照号码
- 国民身份证
- 社会安全号码(或等效物)
- 驾驶执照
- 物理、生理或遗传信息
- 医疗信息
- 文化身份
- 银行详细信息/帐号
- 税务档案号码
- 工作地址
- 信用卡或借记卡号
- 社交媒体文章
- IP 地址(欧盟地区)
- 位置/GPS 数据
- Cookie
是否允许在欧盟之外传输数据?
是的,但是 GDPR 对将欧洲居民的个人数据传输到欧洲经济区之外的目标位置具有严格规定。 可能需要建立特定的法律机制(例如合同)或遵守认证机制才能进行此类传输。 Microsoft 在联机服务条款中详细介绍了我们使用的机制。
我通过符合性获得数据保留要求。 这些要求是否替代了擦除权限?
如果有合理的理由继续处理数据和保留数据,例如“为了履行法律义务,要求控制者遵照欧盟或成员国法律进行处理”(第 17(3)(b) 条),GDPR 承认可能要求组织保留数据。 但是,你应该聘请法律顾问,以确保将保留理由与数据主体的权利和自由、他们收集数据时的期望等因素进行权衡。
GDPR 是否处理加密?
GDPR 将加密视为一种保护措施,当受到泄露影响时,可使个人数据变得难以被人理解。 因此,是否使用加密可能会影响通知个人数据泄露的要求。 GDPR 还指出,在某些情况下加密是一种适当的技术或组织举措,具体取决于风险。 加密既是支付卡行业数据安全标准的一项要求,也是金融服务行业严格合规性指南的一部分。 Microsoft 产品和服务(例如 Azure、Dynamics 365、企业移动性 + 安全性、Office Microsoft 365、SQL Server/Azure SQL 数据库、 Windows 10 和 Windows 11)为传输中的数据和静态数据提供了可靠的加密功能。
GDPR 如何更改组织对个人数据泄露的响应?
GDPR 将更改数据保护要求,它要求处理者和控制者在个人数据泄露通知方面承担更严格的义务。 根据新的法规,处理者必须在意识到个人数据泄露后立即通知数据控制者,不得无故拖延。 一旦得知个人数据泄露,控制者必须在 72 小时内通知相关数据保护机构。 如果泄露可能对个人的权利和自由带来高风险,则控制者还需要立即通知受影响的个人。 有关本主题的其他指南,请参阅欧盟第 29 条工作组。
Microsoft 产品和服务(例如 Azure、Dynamics 365、企业移动性 + 安全性、Microsoft Office 365 和 Windows 10)现已提供各种解决方案,可帮助你检测和评估安全威胁及泄露,并履行 GDPR 的泄露通知义务。