隱私權與資料管理概觀
Microsoft 如何為客戶處理隱私權?
Microsoft 對於保護客戶數據的承諾是在 產品條款 和 數據保護增補 (DPA) 中設定。 Microsoft 隱私權方法的基礎是以下列原則為基礎:客戶控制、透明度、安全性、保護來自第三方存取的數據、沒有內容型目標,以及遵守相關法律和法規。 如需詳細資訊,請參閱 Microsoft 隱私權 和 Microsoft 隱私權報告 ,以深入瞭解 Microsoft 保護隱私權的方法。
Microsoft 如何實作其隱私權承諾?
Microsoft 會維護 Microsoft 公司隱私策略和 Microsoft 隱私權標準,以確保我們符合整個企業的隱私權承諾。 Microsoft 擁有治理委員會、委員會和委員會,以支援一致且符合規範的採用和實作我們的公司隱私權需求。 Microsoft 的隱私權計劃是從「中樞和輪輻」治理模型開始,其中合規性的責任會在公司間共用,有些則是集中式的,有些則是分散式的。 Microsoft 公司隱私權小組的「中樞」是 CELA (公司、外部和法律事務) 群組。 「輪輻」位於公司的工程和功能群組內。
Microsoft 也已備妥數據處理標準,提供如何在特定活動或案例中管理每個數據分類類型的指引,包括符合 產品條款 和 DPA 中所述義務的需求。
Microsoft 如何收集和處理客戶數據?
數據生命周期說明 Microsoft 如何根據客戶指引,以及符合適用的安全性和隱私權法律來處理數據,如 產品條款 和 DPA 中所述。 數據生命周期的階段包括收集、處理、記憶體、第三方共用 (,其中適用) 、保留、傳輸和刪除。 Microsoft 的隱私權方法會通知數據生命週期的每個階段,以保護客戶的隱私權。
Microsoft 將客戶數據的收集限制為三 個數據類別:客戶數據、個人資料和專業服務數據,如 DPA 中所定義。 Microsoft 會使用和處理來自這些類別的數據,以根據其客戶和商務營運事件所記載的指示提供產品和服務,以提供產品和服務。 這些使用和處理活動的特定描述分別定義於 DPA 中的和一節,以將產品和服務提供給客戶。
Microsoft 如何處理第三方共用?
協力廠商共用是向協力廠商共用或繼續公開揭示資料的行為。 Microsoft 只有在獲得客戶授權或需要依照適用法律執行時,才會共享數據。 Microsoft 不會為任何政府 (包括執法單位或其他政府實體) 提供直接或無限制存取客戶資料的權限。 如需詳細資訊,請參閱 執法機關要求報告 和美國 網路安全性訂單報告 ,以瞭解 Microsoft 如何回應政府要求來存取數據。
Microsoft 是否使用轉包處理者或轉包商?
如需 Microsoft 如何管理供應商的資訊,請參閱 供應商管理 頁面。
誰可以存取 Microsoft 內的客戶數據?
若要瞭解 Microsoft 如何管理客戶數據的存取權,請參閱 身分識別和存取管理 頁面。
客戶數據位於何處?
針對 Core Online Services,請參閱 產品條款 和 DPA 中概述的承諾,以尋找有關客戶數據位置的最最新資訊。
如 Core Online Services 的 DPA 中所述,Microsoft 會將待用客戶數據儲存在特定主要地理區域 (每個區域,如產品條款中所述的地理) 。 針對 Microsoft EU 數據界限範圍內的商業服務,Microsoft 會在歐盟內儲存及處理客戶數據,如產品條款中所述。 Microsoft 不會控制或限制客戶或客戶終端使用者可以存取或行動客戶資料的區域。
若要深入瞭解,請造訪 Microsoft 隱私權 - 您的數據所在位置 。
針對 Azure 和 M365 服務,請造訪 Azure 數據落地 和 M365 數據位置。
其他服務資料位置:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender 個人資料原則
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Microsoft 專業服務
- Microsoft 威脅防護
Microsoft EU 數據界限
2021 年 5 月 6 日,Microsoft 宣佈 Microsoft 雲端的歐盟數據界限,這是 Microsoft 對歐洲客戶的新承諾。 歐盟數據界限是地理定義的界限,Microsoft 已承諾在有限的情況下儲存和處理我們主要 線上服務 的客戶數據,包括 Azure、Dynamics 365、Power Platform 和 Microsoft 365,但客戶數據仍會繼續傳輸到歐盟數據界限之外。
若要深入瞭解,請參閱:
當客戶離開服務時,Microsoft 如何刪除客戶數據?
Microsoft 資料處理標準會指定刪除後保留客戶數據的時間長度。 當客戶結束其訂閱時,Microsoft 會以受限的功能帳戶保留客戶資料 90 天,以便客戶能夠擷取資料。 90 天保留期間結束之後,Microsoft 將刪除客戶資料,除非獲得授權以保留資料或因法律要求而保留資料。 Microsoft 線上服務 訂閱到期或終止后不超過 180 天,Microsoft 會停用帳戶,並從帳戶中刪除所有客戶數據。 一旦任何資料的最大保留期間超過時,資料會遭到商務性轉譯且無法恢復。
Microsoft 也會刪除所有服務產生的和診斷數據,作為標準 Microsoft 數據生命週期的一部分,除非需要數據才能維護服務的安全性和穩定性。 對於任何訂閱,訂閱者可以聯絡 Microsoft 支援服務並要求解除佈建訂閱。 當客戶使用此程式時,系統管理員輸入 Microsoft 所提供的鎖定程式代碼 3 天后,就會刪除所有用戶數據。 此刪除包括 SharePoint Online 中的數據,以及 Exchange Online 保留或儲存在非作用中信箱中的數據。
Microsoft 遵循 NIST SP-800-88 指導方針來解構能夠保存數據的裝置,如 數據承載裝置解構 一文中所述。
相關外部法規 & 認證
Microsoft 的 線上服務 會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與隱私權相關的控件。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27018 適用性聲明 認證 |
A-2.1:公用雲端 PII 處理器的用途 | 2023年11月6日 |
| ISO 27701 適用性聲明 認證 |
所有控制件 | 2023年11月6日 |
| SOC 1 | DS-15:客戶訂閱終止/到期 SDL-1:安全性開發生命週期 (SDL) 方法 LA-4:保護機密客戶數據 |
2023年11月17日 |
| SOC 2 SOC 3 |
DS-15:客戶訂閱終止/到期 SDL-1:安全性開發生命週期 (SDL) 方法 LA-4:保護機密客戶數據 SOC2-1:資產分類 SOC2-7:已發佈的機密性和安全性義務 |
2023年11月17日 |
Microsoft 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27018 適用性聲明 認證 |
A-2.1:公用雲端 PII 處理器的用途 | 2024 年 3 月 |
| ISO 27701 適用性聲明 認證 |
所有控制件 | 2024 年 3 月 |
| SOC 2 | CA-12:服務等級協定 (SLA) CA-17:Microsoft 安全策略 CA-25:控制架構更新 |
2024年1月23日 |
資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應