了解数据生命周期 - 第三方共享
第三方共享是指与第三方共享或向其公开数据。 下面讨论了 Microsoft 共享数据的方式。 在所有情况下,Microsoft 仅在获得客户授权或受到适用法律要求时才共享数据。
子处理
作为向客户提供云服务的一部分,Microsoft 将处理数据。 我们将所处理的数据进行分类,以确保使用相应的安全和隐私保护处理数据。 Microsoft 处理的数据类别在 Microsoft Online Services 数据保护附录 (DPA) 中定义。
当 Microsoft 聘请供应商提供可能需要供应商使用或处理此类数据的联机服务的某些方面时,该供应商被标识为“子处理者”。所有子处理者在被允许代表 Microsoft 处理数据之前,必须遵守 Microsoft 供应商安全和隐私 (SSPA) 保障计划。
Microsoft 供应商安全和隐私保障 (SSPA) 计划是一项公司计划,旨在通过为 Microsoft 供应商设置隐私和安全要求,来标准化和加强数据处理实践。 SSPA 计划要求供应商证明符合 Microsoft 严格的隐私和安全策略、法律义务和客户期望。 为了保护客户和个人数据,Microsoft 要求所有子处理者都遵守 SSPA 计划。
第三方产品/服务
客户可以使用平台(如 Office 和 SharePoint 应用商店)提供的第三方产品/服务作为其他可选服务。 IT 管理员将确定其最终用户是否可以使用这些附加产品/服务。 其中一些服务由 Microsoft Corporation 运营,有些服务由第三方应用发布者运营。 第三方应用受应用发布者的条款和条件以及隐私声明的约束。 客户需要根据其业务优先级评估使用第三方产品/服务的风险。
执法请求
Microsoft 不会授予任何政府(包括执法部门或其他政府实体)直接或不受限制访问客户数据的权限。 如果任何第三方需要客户数据,则需要遵循适用的法律流程,这意味着它必须为内容、订阅者信息或其他非内容数据向我方提供有效法律手续。 对于非政府请求,我们需要帐户所有者的特定合法许可才能释放内容,对于所有请求,除非法律禁止这样做,否则我们会向帐户所有者发出通知。 Microsoft 不向任何政府提供平台加密密钥,也不向政府提供中断客户启用加密的能力。
如果政府需要客户数据,则必须遵循适用的法律流程,其中包括:
- 客户数据的所有合法请求都必须针对特定帐户和标识符。
- Microsoft 的法律合规团队会审查所有法律要求以确保其有效,拒绝无效要求,并仅提供指定数据作为响应。
- 如果法律强制 Microsoft 披露客户数据,则系统会立即通知客户并向其提供法律要求副本,除非法律禁止 Microsoft 这样做。