了解 Microsoft 子处理器要求
作为向客户提供云服务的一部分,Microsoft 处理多种类型的数据。 我们将所处理的数据进行分类,以确保使用相应的安全和隐私保护处理数据。 Microsoft 处理的数据类别在 Microsoft 产品和服务数据保护附录 (DPA) 中定义。
当 Microsoft 利用某个供应商提供可能需要供应商处理此类数据的联机服务方面时,根据 GDPR 术语) ,该供应商被标识为“子处理者” (。 处理“个人数据”和“Microsoft 机密数据”的所有子处理者在被允许代表 Microsoft 处理数据之前,必须遵守 Microsoft 供应商安全和隐私保障 (SSPA) 计划。
与 Microsoft 共享的数据类型
个人数据定义为与已识别或可识别的自然人(也称为数据主体)相关的任何信息。 个人数据可分为四种独立和不同的数据类别:
- 客户数据 是客户通过使用在线服务提供给 Microsoft 的所有数据,包括所有文本、声音、视频或图像文件和软件,不包括 Microsoft 专业服务数据。
- 服务生成的数据包括 Microsoft 通过运行联机服务“生成”或“派生”的所有数据。 Microsoft 从我们的联机服务汇总这些数据,并使用它来确保性能、安全性、扩展性以及其他影响客户体验的服务都在客户要求的水平上运行。
- 诊断数据 包括从本地安装,以用于与 Microsoft 企业联机服务相关的应用程序"收集"或"获取"的所有数据。 它用于帮助 Microsoft 确保客户端软件安全且正常运行。
- 专业服务数据 是指由客户或代表客户 (或客户授权 Microsoft 从产品) 获取或由 Microsoft 通过与 Microsoft 订约获取或代表 Microsoft 获取或处理的所有数据,包括所有文本、声音、视频、图像文件或软件。 专业服务数据包括在为联机服务提供技术支持期间,向 Microsoft 提供的支持数据。
- Microsoft 机密数据 是指任何信息,如果通过保密性或完整性手段泄露,可能会给 Microsoft 带来重大声誉或财务损失。 这可以包括有关 Microsoft 产品的开发、测试或制造、许可证密钥和预发布营销材料的信息。
| 数据类型 | 定义 |
|---|---|
| 客户数据 | 由客户提供 |
| 诊断数据 | 从客户安装的软件收集或获取 |
| 服务生成的数据 | 由 Microsoft 生成或派生 |
| 专业服务数据 支持数据 |
由客户提供的与专业服务相关的服务 客户提供的与技术支持相关的专业服务数据的子集 |
| 个人数据 | 上述与已识别或可识别的自然人相关的任何定义数据类型 |
Microsoft 供应商安全和隐私保障 (SSPA) 计划
Microsoft 供应商安全和隐私保障 (SSPA) 计划是一项公司计划,旨在通过为 Microsoft 供应商设置隐私和安全要求,来标准化和加强数据处理实践。 SSPA 计划要求供应商证明符合 Microsoft 严格的隐私和安全策略、法律义务和客户期望。 为了保护委托给我们供应商的数据,Microsoft 要求处理个人数据或 Microsoft 机密数据的所有子处理者遵守 SSPA 计划。
SSPA 计划包括一组安全和隐私控制措施,在代表 Microsoft 处理数据之前,子处理器必须实现这些控制措施。 我们在《数据保护要求》 (DPR) 中定义这些控制措施。 开始合同工作之前,在 SSPA 计划中注册的所有子处理器都必须查看并证明其符合适用 DPR 控制措施。 此外,子处理器必须每年完成一次 DPR 合规性自我证明。 根据与子处理器所处理的数据和服务关联的风险级别,可能需要其他要求。 本模块稍后将介绍这些附加要求。
在 Microsoft 采购工具中跟踪字处理器是否符合 SSPA 计划要求。 在完成所有要求之前,采购工具不允许与子处理器的约定继续推进。 如未能遵守 SSPA 要求,子处理器被阻止代表 Microsoft 访问或处理数据。