GDPR 和 CCPA 的 Azure DevOps Services 資料主體要求
歐盟 一般資料保護規定 (GDPR) 提供許可權給法規中稱為 資料主體的人員,以管理 資料控制者所收集的個人資料。 資料控制者,或只是 控制者,是雇主或其他類型的機構或組織。 依據 GDPR,個人資料的定義很廣泛,舉凡與已識別或可識別自然人相關的任何資料皆屬之。 GDPR 為數據主體提供其個人資料的特定許可權。 這些許可權包括取得個人資料的複本、要求更正、限制其處理、刪除或以電子格式接收,以便將其移至另一個控制器。 受控制者要求對其個人資料採取動作之資料主體的正式要求稱為 「資料主體要求」或「DSR」。
同樣地,加州消費者隱私法 (CCPA) 為加州客戶提供隱私權和義務,包括與 GDPR 資料主體權利相似的權利,例如有權刪除、存取和接收 (可攜性) 其個人資訊。 CCPA 也提供特定揭露、針對選擇行使權時的歧視提供保護,以及特定資料傳輸的「選擇退出/選擇加入」需求分類為「銷售」。 銷售的廣泛定義,包括出於有價值的考量而共用資料。 如需 CCPA 的詳細資訊,請參閱加州消費者隱私法和常見問題集。
如需關於 GDPR 的一般資訊,請參閱服務信任入口網站的 GDPR 區段。
本指南將討論如何使用 Microsoft 工具,將 Visual Studio Team Services (先前稱為 Visual Studio Team Services) 的驗證 (登入) 工作階段期間所收集的個人資料匯出或刪除。
其他隱私權資訊
Microsoft 隱私權聲明、線上服務條款 (OST),和 Microsoft 的 GDPR 承諾文章描述我們的資料處理做法。
我們收集的個人資料
Microsoft 會收集使用者的資料以進行操作並改善 Azure DevOps Services。 Azure DevOps Services 會收集兩種類別的資料:客戶資料和系統產生的記錄。 客戶資料包含 Azure DevOps Services 運作服務所需、可識別使用者的交易資料和互動資料。 系統產生的記錄包含針對每個產品區域和功能匯總的服務使用資料。
刪除 Azure DevOps 資料
Azure DevOps 作為管理變更的系統,必須遵守資料完整性、可追蹤性和稽核的嚴格規則。 這些義務會影響我們在 GDPR 下的資料刪除和保留責任,因此我們不會履行匿名或刪除的個別要求。 從 Azure DevOps 中排除個人資料的唯一方法是完全刪除組織。 在 MSA) 身分識別帳戶 (終止Microsoft Entra識別碼或 Microsoft 帳戶,並不會改變或刪除與 Azure DevOps 組織內個別身分識別相關聯的任何成品或記錄,例如提取要求或工作專案。 我們已確保當您刪除 Azure DevOps 組織時,會移除所有相關聯的個人資料,且系統產生的記錄會在 30 天的虛刪除時間範圍之後匿名。
匯出 Azure DevOps 資料
控制者可以根據身分識別提供者 (MSA 或Microsoft Entra識別碼) 用來登入 Azure DevOps 服務,透過兩種方法之一,匯出從其資料主體收集的客戶資料和系統產生的記錄。
使用 Azure 租使用者所支援之帳戶進行驗證的使用者,例如,Microsoft Entra帳戶或與 Azure 訂用帳戶相關聯的 MSA 帳戶,可以遵循GDPR 的 Azure 資料主體要求中的指示。
使用 MSA 身分識別進行驗證的使用者可以使用此 隱私權要求網站 ,檢視跨多個 Microsoft 服務系結至其 MSA 身分識別的活動資料。 在此案例中,使用者是自己個人資料的控制者。
匯出或刪除問題
針對Microsoft Entra身分識別,如果您在從Azure 入口網站匯出或刪除資料時遇到問題,請移至 [Azure 入口網站說明 + 支援] 刀鋒視窗,然後在 [訂 > 用帳戶管理隱私權] 和[GDPR 要求] 的 [訂用帳戶管理>隱私權與合規性要求] 下提交新的票證。
針對 MSA 身分識別,如果您從隱私權要求網站匯出資料時遇到問題,請登入隱私權要求網站並提交要求,以透過要求網路表格取得 Microsoft 隱私權小組提供的協助。
深入了解
Microsoft 致力於確保您的Azure DevOps Services資料保持安全且私密,而無例外。 請流覽Azure DevOps Services資料保護概觀白皮書,以深入瞭解我們如何保護您的Azure DevOps Services資料。