针对 GDPR 和 CCPA 的数据主体请求

一般数据保护条例 (GDPR) 引入了新规定，适用于向欧盟 (EU) 民众提供商品和服务或收集并分析欧盟居民相关数据的组织。无论你或你的企业位于何处，都要遵守该规定。 可在 GDPR 摘要一文中找到其他详细信息。

同样，加州消费者隐私法案 (CCPA) 规定了加州消费者的隐私权和义务，包括与 GDPR 的数据主体权利类似的权利，例如删除、访问和接收（可移植性）其个人信息的权利。 CCPA 还就某些披露规定了在选择行使权限时防止歧视的保障措施，并就分类为“销售”的特定数据传输提出了“选择退出/选择加入”要求。 本文档介绍了如何根据 GDPR 和 CCPA 使用 Microsoft 产品和服务来完成数据主体请求 (DSR)。

• Office 365
• Azure
• Intune
• Dynamics 365
• Visual Studio 系列产品
• Azure DevOps Services
• Microsoft 支持和专业服务
• Windows
• Windows 365

术语

本文档中使用的 GDPR 术语的有用定义：

• 数据控制者（控制者）：单独或与他人共同确定个人数据处理目的和方法的法人、公共机关、机构或其他团体。
• 个人数据和数据主体：与已识别或可识别的自然人（数据主体）相关的任何信息；可识别的自然人是可以直接或间接识别的自然人。
• 处理者：代表控制者处理个人数据的自然人或法人、公共机关、机构或其他团队。
• 客户数据：在企业日常运营中生成和存储的数据。

什么是 DSR？

一般数据保护条例 (GDPR) 赋予民众（在条例中称为“数据主体”）权利，即管理已由雇主或其他类型机构或组织（称为“数据控制者”或简称为“控制者”）收集的个人数据。 GDPR 赋予数据主体对其个人数据的特定权利；这些权利包括，获取个人数据副本、请求更改个人数据、限制个人数据处理、删除个人数据，或接收能转移给另一个控制者的电子格式个人数据。

加州消费者隐私法案 (CCPA) 规定了加州消费者的隐私权和义务，包括与 GDPR 的数据主体权利类似的权利，例如删除、访问和接收（可移植性）其个人信息的权利。

作为控制器，你有义务立即考虑每个 DSR，并通过采取请求的操作或提供控制器无法容纳 DSR 的原因来提供实质性响应。 控制者应咨询自己的法律顾问或合规顾问，以决定如何妥善处置任何给定 DSR。

根据组织的 GDPR 合规性规定，完成 DSR 可能涉及多个过程。

• 发现。 确定完成 DSR 所需的数据的过程。
• 访问。 检索数据，并可能将已发现的信息传输给数据主体。
• 校正。 实现更改或其他请求的个人数据更改。
• 限制。 通过限制访问或从 Microsoft 云中删除数据，更改对个人数据的访问或处理。
• 导出。 根据 GDPR 的“数据可移植性权利”，向数据主体提供“结构化的计算机可读常用格式”个人数据。
• 删除。 从 Microsoft 云中永久删除个人数据。

具体 DSR 注意事项

Microsoft 产品或服务生成的见解

见解可能由服务 (Viva Personal Insights 等生成，) Office 365 包括为使用见解的用户和组织提供见解的联机服务。 这些服务生成的数据可能会产生与 DSR 相关的个人数据。 请单击下面列表中的链接，详细了解服务专属 DSR 过程。

针对系统生成日志发出的 DSR

根据 GDPR 的“个人数据”定义，Microsoft 生成的日志和相关数据可能包含被视为个人数据的数据。不支持限制或纠正系统生成的日志中的数据。 系统生成日志中的数据由 Microsoft 云内执行的实际操作和诊断数据构成；修改会泄漏操作历史记录，并增加欺诈和安全风险。 Microsoft 支持访问、导出和删除完成 DSR 所必需的系统生成日志。 此类数据的示例可能包括：

• 产品和服务使用情况数据，例如用户活动日志
• 用户搜索请求和查询数据
• 由系统功能以及用户或其他系统的交互产生的产品和服务生成数据。

Viva Engage

删除用户帐户不会删除Viva Engage的系统生成的日志。 若要从这些应用程序中删除数据，请参阅以下资源之一：

• 在 Viva Engage 中管理 GDPR 数据主体请求

国家云

在一些国家云中，全局 IT 管理员需要删除系统生成日志。

Microsoft 服务

如果你的组织或用户与 Microsoft 联系来接收与 Microsoft 产品和服务相关的支持，其中一些数据可能包含个人数据。 有关详细信息，请参阅符合 GDPR 的 Microsoft 支持和专业服务数据主体请求。

Microsoft 控制者产品

在某些情况下，组织用户可能会访问 Microsoft 作为数据控制者的 Microsoft 产品或服务。 在这种情况下，用户需要直接向 Microsoft 发出自己的 DSR，并且 Microsoft 会直接向用户完成请求。

第三方产品

对于通过 Microsoft 帐户身份验证访问的第三方产品和服务，应将任何数据主体请求定向到相应的第三方。

数据主体请求管理工具

• 安全与合规中心：使用安全与合规性中心或应用程序内部功能导出用户生成的数据。
• Microsoft Entra 管理员中心：使用 Microsoft Entra 管理员 Center 从Microsoft Entra ID和相关服务中删除数据主体。
• Microsoft 数据日志导出：租户管理员可使用 Microsoft 数据记录导出功能导出系统生成的日志。

了解更多

• Microsoft 信任中心