针对 GDPR 和 CCPA 的数据主体请求
一般数据保护条例 (GDPR) 引入了新规定,适用于向欧盟 (EU) 民众提供商品和服务或收集并分析欧盟居民相关数据的组织。无论你或你的企业位于何处,都要遵守该规定。 可在 GDPR 摘要一文中找到其他详细信息。
同样,加州消费者隐私法案 (CCPA) 规定了加州消费者的隐私权和义务,包括与 GDPR 的数据主体权利类似的权利,例如删除、访问和接收(可移植性)其个人信息的权利。 CCPA 还就某些披露规定了在选择行使权限时防止歧视的保障措施,并就分类为“销售”的特定数据传输提出了“选择退出/选择加入”要求。 本文档介绍了如何根据 GDPR 和 CCPA 使用 Microsoft 产品和服务来完成数据主体请求 (DSR)。
- Office 365
- Azure
- Intune
- Dynamics 365
- Visual Studio 系列产品
- Azure DevOps Services
- Microsoft 支持和专业服务
- Windows
- Windows 365
术语
本文档中使用的 GDPR 术语的有用定义:
- 数据控制者(控制者):单独或与他人共同确定个人数据处理目的和方法的法人、公共机关、机构或其他团体。
- 个人数据和数据主体:与已识别或可识别的自然人(数据主体)相关的任何信息;可识别的自然人是可以直接或间接识别的自然人。
- 处理者:代表控制者处理个人数据的自然人或法人、公共机关、机构或其他团队。
- 客户数据:在企业日常运营中生成和存储的数据。
什么是 DSR?
一般数据保护条例 (GDPR) 赋予民众(在条例中称为“数据主体”)权利,即管理已由雇主或其他类型机构或组织(称为“数据控制者”或简称为“控制者”)收集的个人数据。 GDPR 赋予数据主体对其个人数据的特定权利;这些权利包括,获取个人数据副本、请求更改个人数据、限制个人数据处理、删除个人数据,或接收能转移给另一个控制者的电子格式个人数据。
加州消费者隐私法案 (CCPA) 规定了加州消费者的隐私权和义务,包括与 GDPR 的数据主体权利类似的权利,例如删除、访问和接收(可移植性)其个人信息的权利。
作为控制器,你有义务立即考虑每个 DSR,并通过采取请求的操作或提供控制器无法容纳 DSR 的原因来提供实质性响应。 控制者应咨询自己的法律顾问或合规顾问,以决定如何妥善处置任何给定 DSR。
根据组织的 GDPR 合规性规定,完成 DSR 可能涉及多个过程。
- 发现。 确定完成 DSR 所需的数据的过程。
- 访问。 检索数据,并可能将已发现的信息传输给数据主体。
- 校正。 实现更改或其他请求的个人数据更改。
- 限制。 通过限制访问或从Microsoft云中删除数据来更改个人数据的访问或处理。
- 导出。 根据 GDPR 的“数据可移植性权利”,向数据主体提供“结构化的计算机可读常用格式”个人数据。
- 删除。 从 Microsoft 云中永久删除个人数据。
具体 DSR 注意事项
Microsoft 产品或服务生成的见解
见解可能由服务 (Viva Personal Insights 等生成,) Office 365 包括为使用见解的用户和组织提供见解的联机服务。 这些服务生成的数据可能会产生与 DSR 相关的个人数据。 请单击下面列表中的链接,详细了解服务专属 DSR 过程。
针对系统生成日志发出的 DSR
Microsoft生成的日志和相关数据可能包含根据 GDPR 的“个人数据”定义被视为个人数据的数据。不支持限制或纠正系统生成的日志中的数据。 系统生成日志中的数据由 Microsoft 云内执行的实际操作和诊断数据构成;修改会泄漏操作历史记录,并增加欺诈和安全风险。 Microsoft 支持访问、导出和删除完成 DSR 所必需的系统生成日志。 此类数据的示例可能包括:
- 产品和服务使用情况数据,例如用户活动日志
- 用户搜索请求和查询数据
- 由系统功能以及用户或其他系统的交互产生的产品和服务生成数据。
Viva Engage
删除用户帐户不会删除Viva Engage的系统生成的日志。 若要从这些应用程序中删除数据,请参阅以下资源之一:
国家云
在一些国家云中,全局 IT 管理员需要删除系统生成日志。
Microsoft 服务
如果你的组织或用户与Microsoft联系来接收与Microsoft产品和服务相关的支持,其中一些数据可能包含个人数据。 有关详细信息,请参阅符合 GDPR 的 Microsoft 支持和专业服务数据主体请求。
Microsoft 控制者产品
在某些情况下,组织用户可能会访问 Microsoft 作为数据控制者的 Microsoft 产品或服务。 在这种情况下,用户需要直接向 Microsoft 发出自己的 DSR,并且 Microsoft 会直接向用户完成请求。
第三方产品
对于通过 Microsoft 帐户身份验证访问的第三方产品和服务,应将任何数据主体请求定向到相应的第三方。
数据主体请求管理工具
- Microsoft门户:使用 Microsoft Purview 门户、Microsoft Purview 合规门户或使用应用程序内功能导出用户创作或生成的数据。
- Microsoft Entra 管理员中心:使用 Microsoft Entra 管理员 Center 从Microsoft Entra ID和相关服务中删除数据主体。
- Microsoft 数据日志导出:租户管理员可使用 Microsoft 数据记录导出功能导出系统生成的日志。