隱私權與資料管理概觀
Microsoft如何為客戶提供隱私權?
Microsoft致力於保護客戶數據,如 產品條款 和 數據保護增補 (DPA) 中所述。 Microsoft商業客戶 隱私權方法 的基礎是以下列原則為基礎:您可以控制數據、了解數據的所在位置及其使用方式、待用和傳輸中數據的安全性,以及保護來自第三方存取的數據。
Microsoft如何實作其隱私權承諾?
Microsoft透過Microsoft公司隱私策略和Microsoft隱私權標準來遵守其隱私權承諾。 為了確保這些需求的採用一致且符合規範,Microsoft已建立治理委員會、委員會和委員會。 我們的隱私權計劃會使用「中樞和輪輻」治理模型,其中合規性責任會跨公司共用。 「中樞」是 CELA (公司、外部和法律事務) 群組,其中包含負責隱私權控管的隱私權長。 此外,我們有指定的歐盟 (歐盟) 數據保護長 (DPO) ,以符合歐盟特定的隱私權需求。 「輪輻」位於我們的工程和功能群組內,並負責實作隱私權需求。
Microsoft透過 ISO 27018 和 ISO 27701 等第三方稽核和認證,符合其隱私權需求。
Microsoft如何收集和處理客戶數據?
DPA 定義三個數據類別:客戶數據、個人資料和專業服務數據。
Microsoft處理來自這些類別的數據,以根據客戶記載的指示和商務營運來提供產品和服務。 簡單來說,Microsoft處理服務傳遞、疑難解答、維護和改進的數據。 數據不會用於使用者分析、廣告或市場研究。
這些活動的詳細描述位於 DPA 章節「處理為客戶提供產品和服務」和「處理商務營運事件以將產品和服務提供給客戶」。
如何Microsoft確保客戶數據的機密性?
Microsoft的隱私權控管模型可確保隱私權控制可保護客戶數據的機密性。 這些控件詳述於我們的第三方報告中,例如 ISO 27001 和 27701,可透過服務信任入口網站存取。 這些報告涵蓋數據最小化、保留/刪除、位置和傳輸,以及共用等的控制。
要注意的一些重要量值如下:
- 數據存取:Microsoft假設所有客戶數據都包含個人資料,並套用適當的保護措施,而不需要存取數據來驗證其內容。
- 數據處理:Microsoft假名化並匯總數據以保護機密性。 如需詳細資訊,請參閱 DPA 。
- 數據隔離:Microsoft使用數據隔離技術來分隔雲端租用戶,確保客戶只能存取自己的數據。 若要瞭解如何隔離或隔離客戶內容,請瀏覽 架構概觀 一文。 此外,Microsoft禁止在測試環境中使用客戶數據。
Microsoft如何保護客戶數據?
如 DPA 中所述,Microsoft具有保護客戶數據的保護措施。 服務保證中的數篇文章提供這些保護措施的概觀。 請參閱 加密、 存取管理、 數據中心 和 網路安全 性、 人員 和 供應商 管理,以及 弱點管理等章節。
Microsoft如何處理第三方的數據共用?
協力廠商共用是向協力廠商共用或繼續公開揭示資料的行為。 Microsoft只會在客戶授權或適用法律要求時共享數據。 Microsoft 不會為任何政府 (包括執法單位或其他政府實體) 提供直接或無限制存取客戶資料的權限。 如需詳細資訊,請參閱執法機關要求報告和美國網路安全性訂單報告,以瞭解Microsoft如何回應政府要求來存取數據。
Microsoft使用轉包處理者或轉包商嗎?
如需Microsoft如何管理供應商的資訊,請參閱 供應商管理 頁面。
誰可以存取Microsoft內的客戶數據?
若要瞭解Microsoft如何管理客戶數據的存取權,請參閱身分識別 與存取管理 頁面。
客戶數據位於何處?
針對 Core Online Services,請參閱 產品條款 和 DPA 中概述的承諾,以尋找有關客戶數據位置的最最新資訊。
如 Core Online Services 的 DPA 中所述,Microsoft將客戶待用數據儲存在特定主要地理區域 (每個區域,如產品條款中所述的地理) 。 針對Microsoft 歐盟數據界限範圍內的商業服務,Microsoft儲存和處理歐盟內的客戶數據,如產品條款中所述。 Microsoft不會控制或限制客戶或客戶終端使用者可以存取或行動客戶資料的區域。
若要深入瞭解 ,請流覽Microsoft隱私權 - 您的數據位於何處 。
針對 Azure 和 M365 服務,請造訪 Azure 數據落地 和 M365 數據位置。
其他服務資料位置:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender 個人資料原則
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Microsoft 專業服務
- Microsoft 威脅防護
Microsoft歐盟數據界限為何?
歐盟數據界限是Microsoft在線服務的承諾,可為歐盟和EFTA中的客戶提供其數據儲存和處理位置的更大控制和透明度。 從 2023 年 1 月 1 日開始,Microsoft將可讓客戶在歐盟數據界限內儲存和處理其客戶數據,以供Microsoft 365、Azure、Power Platform 和 Dynamics 365 服務使用。 在此版本中,Microsoft擴充現有的本機記憶體和處理承諾,大幅減少來自歐洲的數據流,並以領先業界的數據落地解決方案為基礎。
在未來的歐盟數據界限階段中,Microsoft會擴充歐盟數據界限解決方案,以包含儲存和處理其他類別的個人資料,包括接收技術支援時提供的數據。
若要深入瞭解,請參閱:
當客戶離開服務時,Microsoft如何刪除客戶數據?
當客戶結束訂閱時,Microsoft將客戶數據保留在有限的函式帳戶中 90 天,讓客戶能夠擷取數據。 在此期間之後,除非法律授權或要求保留,否則Microsoft刪除數據。 訂閱結束之後不超過 180 天,Microsoft停用帳戶並刪除所有數據,使其無法復原。
Microsoft也會刪除系統所產生記錄中的個人資料。 對於任何訂閱,訂閱者可以聯絡 Microsoft 支援服務並要求解除佈建訂閱。 當客戶使用此程式時,系統管理員輸入Microsoft所提供的鎖定程式代碼 3 天后,就會刪除所有用戶數據。 此刪除包括 SharePoint Online 中的數據,Exchange Online 保留或儲存在非作用中的信箱中。
Microsoft遵循 NIST SP-800-88 指導方針來解構能夠保存數據的裝置,如 數據承載裝置解構 一文中所述。
Microsoft是否為客戶提供符合 GDPR 規範的指引?
Microsoft維護指引檔,以協助客戶扮演數據控制者的角色。 您可以在下方找到一些要注意的重要 GDPR 資源;不過,客戶應該洽詢自己的法律和合規性專業人員,以瞭解並實作其GDPR義務。
相關外部法規 & 認證
Microsoft的 線上服務 會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與隱私權相關的控件。
Azure 和 Dynamics 365
外部稽核 | Section | 最新報告日期 |
---|---|---|
ISO 27018 適用性聲明 認證 |
A-2.1:公用雲端 PII 處理器的用途 | 2024年4月8日 |
ISO 27701 適用性聲明 認證 |
所有控制件 | 2024年4月8日 |
SOC 1 | DS-15:客戶訂閱終止/到期 SDL-1:安全性開發生命週期 (SDL) 方法 LA-4:保護機密客戶數據 |
2024 年 8 月 16 日 |
SOC 2 SOC 3 |
DS-15:客戶訂閱終止/到期 SDL-1:安全性開發生命週期 (SDL) 方法 LA-4:保護機密客戶數據 SOC2-1:資產分類 SOC2-7:已發佈的機密性和安全性義務 |
2024 年 5 月 20 日 |
Microsoft 365
外部稽核 | Section | 最新報告日期 |
---|---|---|
ISO 27018 適用性聲明 認證 |
A-2.1:公用雲端 PII 處理器的用途 | 2024 年 3 月 |
ISO 27701 適用性聲明 認證 |
所有控制件 | 2024 年 3 月 |
SOC 2 | CA-12:服務等級協定 (SLA) CA-17:Microsoft安全策略 CA-25:控制架構更新 |
2024年1月23日 |