数据保护影响评估:使用 Microsoft Azure 的数据控制者指南
根据 GDPR) (一般数据保护条例,数据控制者必须准备数据保护影响评估 (DPIA) ,以便处理“可能给自然人的权利和自由带来高风险”的操作。Microsoft Azure 本身中没有任何固有的东西需要数据控制器使用它创建 DPIA。 相反,是否需要 DPIA 将取决于数据控制者部署、配置和使用 Microsoft Azure 的方式的细节和环境。 无论何种情况,DPIA 都应在项目生命周期的早期开始,并与规划和开发过程同步进行。
此文档的目的是为数据控制者提供 Microsoft Azure 的相关信息,帮助他们确定是否需要 DPIA 以及要包含的详细信息。
注意
Microsoft 未在本文中提供任何法律建议。 本文仅供参考。 我们鼓励客户与其隐私官(和/或指定的数据保护官 (DPO))以及/或法律顾问合作,以确定与使用 Microsoft Azure 或任何其他 Microsoft 联机服务相关的任何 DPIA 的必要性和内容。
第 1 部分:确定是否需要 DPIA
GDPR 第 35 条规定要求由数据控制者来创建数据保护影响评估(DPIA),“用于在考虑某种处理类型的本质、范围、环境和目的的情况下评估该处理类型(尤其是使用新技术的处理类型)是否会对自然人的权利和自由产生高风险。”它进一步规定了指示此类高风险的特定因素(将在下表中讨论)。根据控制者具体实施和使用 Microsoft Azure 的情况,确定是否需要 DPIA 时,数据控制者应考虑以下因素,以及任何其他相关因素。
| 高风险因素 | Microsoft Azure 的相关信息 |
|---|---|
| 对基于自动处理的自然人的个人方面进行系统和广泛的评估,包括分析以及基于哪些决定产生有关自然人的法律效力或类似重大影响自然人。 | Microsoft Azure 服务不旨在执行基于哪些决策的处理,从而对个人产生法律或类似重大影响。 但是,由于 Azure 是一种高度可自定义的服务,因此数据控制器可能会将 Azure 服务配置为用于此类处理。 控制器应根据其对 Azure 的使用情况做出此决定。 |
| 处理大量特殊类别的数据,如种族或族裔、政治观点、宗教或哲学信仰、工会成员身份、基因数据、用于唯一标识自然人的生物识别数据、关于自然人性生活健康或性取向数据的数据,或与刑事犯罪和违法行为相关的个人数据。 | Microsoft Azure 并非旨在大规模处理特殊类别的个人数据。 但是,数据控制器可以使用 azure Microsoft 来处理枚举的特殊类别数据。 Microsoft Azure 是一项高度可自定义的服务,使客户能够跟踪或以其他方式处理个人数据,包括特殊类别的个人数据。 但作为数据处理者,Microsoft 不对此类使用进行任何控制,且对此类使用鲜有或没有任何见解。 数据控制者有责任确定数据控制者数据的适当用途。 |
| 大规模系统化监视公开可访问区域 | Microsoft Azure 并非旨在大规模执行或促进此类监视。 但是,数据控制器可以使用 Azure 来处理通过此类监视收集的数据。 Microsoft Azure 是一项高度可自定义的服务,使客户能够跟踪或以其他方式处理任何类型的数据,包括监视数据。 但作为数据处理者,Microsoft 不对此类使用进行任何控制,且对此类使用鲜有或没有任何见解。 数据控制者有责任确定数据控制者数据的适当用途。 |
第 2 部分:DPIA 的内容
GDPR 第 35 条 (第 7 条) 规定,数据保护影响评估明确了处理目的,并系统描述所设想的处理。 对综合 DPIA 的系统描述可能包括以下因素:已处理的数据类型、数据的保留时间、数据所在的位置和传输位置,以及哪些第三方可以访问数据并受数据流关系图的支持。 此外,DPIA 还必须包括:
- 评估处理操作与目的有关的必要性和相称性;
- 对自然人权利和自由风险的评估:和
- 为应对风险而设想的措施,包括保障措施、安全措施和机制,以确保个人数据的保护,并证明遵守本条例,同时考虑到数据主体和其他有关人员的权利和合法权益。
下表包含与其中每个元素相关的Microsoft Azure 的相关信息。 与第 1 部分一样,数据控制者必须在控制器的特定实现 () 的上下文中考虑表中提供的详细信息以及任何其他相关因素,并使用 (Microsoft Azure 的) 。
| DPIA 的元素 | Microsoft Azure 的相关信息 |
|---|---|
| 处理目的 | 使用 Microsoft Azure 处理数据的目的由实施、配置和使用它的控制者确定。 根据产品 条款 和 产品和服务数据保护附录 (DPA) 所指定,Microsoft作为数据处理者处理客户数据,以按照客户记录的说明为客户提供在线服务。 如标准 产品条款 和 产品和服务数据保护附录 (DPA) 中所述,Microsoft还使用个人数据来支持一组有限的业务运营。 Microsoft是个人数据处理的控制者,以支持这些特定的业务运营。 通常,Microsoft在将个人数据用于我们的业务运营之前对其进行聚合,从而消除Microsoft识别特定个人的能力,并使用可识别性最低的个人数据,以支持业务运营所需的处理。 Microsoft不会将客户数据或派生的信息用于分析、广告或类似商业目的。 注意:Microsoft Azure 是一个用于处理的联机云平台,由多个离散联机服务组成,每个联机服务都有不同的处理目的。 可 在此处找到每个Microsoft Azure 服务产品的说明。 Microsoft Azure 仅处理个人数据是为了为客户提供其联机服务包括与提供这些服务(如个性化、安全性、欺诈和恶意软件防护、故障排除和改进)兼容的目的。 |
| 处理的个人数据类别 |
客户数据:所有数据(包括所有文本、声音、视频或图像文件和软件),由客户或代表客户通过使用企业服务提供给Microsoft。 客户数据包括 (1) 最终用户 (的可识别信息,例如,Microsoft Entra ID) 中的用户名和联系信息,以及客户上传到特定服务或在特定服务中创建的客户内容 (例如,Azure 存储帐户中的客户内容、Azure SQL数据库的客户内容或客户在 Azure 中的虚拟机映像虚拟机) 。 服务生成数据:这是Microsoft通过服务操作生成或派生的数据,例如使用或性能数据。 这些数据大多包含由 Microsoft 生成的假名标识符。 支持数据:客户或代表客户通过与 Microsoft 签订协定以获取联机服务技术支持而提供给 Microsoft 的数据(或客户授权 Microsoft 从联机服务获取的数据)。 有关 Azure 处理的数据的详细信息,请参阅 产品条款,包括 [产品和服务数据处理协议 (DPA) ] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) 和 Microsoft 信任中心。 |
| 数据保留 | Microsoft将在客户使用在线服务的权利期间保留和处理客户数据,直到客户根据 产品条款 和 产品和服务数据保护附录 (DPA) 的条款检索或删除所有客户数据。 在客户的订阅期限内,客户能够访问和提取存储在每个联机服务中的客户数据。 除免费试用版和领英服务外,如果客户订阅到期或终止,帐户功能将受到限制,Microsoft 会将该帐户存储在该联机服务中的客户数据保留 90 天,便于客户提取数据。 90 天保留期结束后,Microsoft 将禁用客户帐户并删除客户数据。 客户可以使用 Azure 数据主体请求 GDPR 文档中所述的功能根据数据主体请求删除个人数据。 |
| 个人数据的位置和传输 | 客户能够在指定的 地理区域中预配客户静态数据,但须遵守 产品条款 和 Microsoft产品和服务数据保护附录 (DPA) 中所述的某些例外情况。 有关服务部署和数据驻留的其他详细信息,请参阅 Microsoft数据保护附录 (DPA) 产品条款 和 Azure 全球基础结构 网页。 对于从欧洲经济区、瑞士和英国传出的个人数据,Microsoft确保向第三国或国际组织传输个人数据受到 GDPR 第 46 条中所述的适当安全措施的约束。 除了Microsoft在处理者Standard合同条款和其他模型合同下的承诺外,Microsoft遵守数据隐私框架的条款。 |
| 与第三方下级处理者分享的数据 | Microsoft与作为我们的子处理器的第三方共享数据, (GDPR) 中定义,以支持客户和技术支持、服务维护和其他操作等功能。 Microsoft传输客户数据、支持数据或个人数据的任何子处理者都将与Microsoft签订书面协议,其保护性不低于 Microsoft产品和服务数据保护附录。 联机服务子处理器列表中包括与 Microsoft Core Online Services 中的客户数据共享的所有第三方子处理器。 所有可能访问支持数据的第三方子处理者 (包括客户选择在其支持交互期间共享的客户数据) 都包括在 联机服务子处理者列表中。 |
| 数据主体权利 | 当以处理者的身份操作时,Microsoft 向客户(也称为数据控制者)提供其数据使用者的个人数据以及依据 GDPR 行使权力时满足数据使用者请求的能力。 Microsoft 以与产品功能和作为数据处理者的角色一致的方式完成此操作。 如果Microsoft收到客户数据主体的请求,要求根据 GDPR 行使其一个或多个权利,则请求将重定向到数据控制者。 Azure 数据主体请求指南向数据控制者介绍了如何使用 Azure 中的功能来支持数据主体权限。 根据 GDPR 对为支持合法业务流程而处理的个人数据行使权利的数据主体发出的请求应定向到Microsoft,如Microsoft隐私声明中所述。 Microsoft通常在将个人用于业务运营之前对其进行聚合,并且无法识别聚合中特定个人的个人数据。 此操作可降低个人隐私风险。 如果Microsoft无法识别个人,则它不能支持数据主体的访问权限、擦除权、可移植性或处理限制或反对权。 Azure 数据使用者请求 GDPR 文档介绍如何使用 Azure 中的功能支持数据使用者权力。 |
| 对与处理操作的目的相关的必要性和合理性的评估 | 此类评估取决于数据控制者的需求和处理目的。 Microsoft采取一些措施,例如Microsoft用于支持业务运营的个人数据的聚合,以支持提供服务,最大程度地降低对使用服务的数据主体进行此类处理的风险。 为了向数据控制者提供服务,Microsoft 需要进行某些处理,此类是必要且合理的。 |
| 对数据使用者的权力和自由带来的风险的评估 | Microsoft Azure 对数据主体的权利和自由的主要风险取决于数据控制者在何种情况下实现、配置和使用 Azure Microsoft。 Microsoft采取一些措施,例如Microsoft用于支持业务运营的个人数据的聚合,以支持提供服务,最大程度地降低对使用服务的数据主体进行此类处理的风险。 然而,与其他所有服务一样,该服务中保存的个人数据也可能存在未经授权访问或意外泄露的风险。 产品条款中讨论了Microsoft为应对此类风险而采取的措施,本文稍后会进一步详述。 |
| 应对风险的措施(包括保护措施、安全措施和机制),以确保对个人数据的保护并证明符合此 GDPR 的规定(将数据使用者和其他相关人员的合法权益考虑在内)。 | Microsoft致力于帮助保护客户数据的安全性。
产品条款中详细介绍了Microsoft安全措施。 Microsoft 遵守严格的安全标准和行业领先的数据保护方法。 Microsoft 不断改进其体系,以应对新威胁。 有关云治理和隐私做法的详细信息,请参阅 信任中心的“在云中管理合规性 ”页。 Microsoft 采取合理和适当的技术和组织措施来保护其处理的个人数据。 这些措施包括但不限于内部隐私策略和做法、合同承诺以及国际和区域标准认证。 有关详细信息,请参阅 信任中心的隐私页面。 Microsoft提供面向客户的重要、透明的安全和隐私材料,以帮助解释Microsoft使用和处理个人数据。 客户如有疑问,尽可联系 Microsoft。 此外,当Microsoft充当数据处理者时,它遵守适用于数据处理者的 GDPR 条款。 如果Microsoft处理其业务运营的个人数据,则遵守适用于数据控制器的 GDPR 义务。 |