了解角色和責任
Microsoft 線上服務是以共用責任模型為基礎,其中雲端服務提供者會承擔安全性和隱私權的部分責任,而客戶也會承擔部分責任。 Microsoft 與其客戶之間的責任劃分取決於使用中的服務模型 (基礎結構、平台或軟體即服務)、每個客戶如何設定和使用服務,以及適用的隱私權法律和法規。
例如,以下角色與責任說明了 GDPR 的規定:
資料控制者 – 控制者會控制個人資料,並判斷其使用方式。 控制者的責任包括但不限於收集、維護、引導動作、保護、修改及刪除個人資料。 控制者可將使用者新增至系統、授與系統存取權,以及從資料主體收集資料,或讓員工代表公司完成這些工作。 控制者將承擔了解 GDPR 要求的流程以及執行 GDPR 要求的責任。
這個角色會由 Microsoft 的客戶負責。
資料處理者 – 處理者會為資料控制者提供服務,並代表資料處理者處理資料。 處理者會代表控制者執行動作。 處理者可協助控制者達到 GDPR 的要求,但沒有資料的擁有權,而且不會直接回應資料主體要求或執行資料保護影響評估。
這個角色會由 Microsoft 負責。 做為資料處理者,Microsoft 會實施安全性和隱私權控制措施來保護我們的服務,並協助資料控制者達成其合規性義務。 例如,Microsoft 提供系統管理員切換功能,以控制其租用中的隱私權功能。 此外,我們直接與客戶租用戶系統管理員合作,並針對服務或個人資料的資料主體要求,重新導向使用者的問題。
其中一個需要檢查的重要層面,就是我們如何啟用合規性。 我們的客戶常會問:「這代表什麼意思,您是否遵守這些法律和法規?」對於大部分的產業或地理特定法規,您可以使用 Microsoft 線上服務,以符合法律或法規的方式使用。 不過,Microsoft 線上服務無法確保端對端合規性,因為 Microsoft 不會分析其客戶個人資料的內容。
例如,HIPAA 或其他法規涵蓋的組織應有自己的訓練計畫和安全性,以確保其人員不會使用我們的 Microsoft 服務來違反這些法規。 Microsoft 最多只能保證,我們會盡全部努力讓客戶能夠執行符合法律規範的程式。
舉例來説,美國醫生可能會將病患的受保護健康資訊儲存在我們的服務上,由 HIPAA 規範。 Microsoft 有採取安全性與隱私權控制措施,以確保人員無法不當存取或揭露此病患資訊。 不過,使用服務的醫生可以透過服務將病患的保密資訊傳送給行銷者。 Microsoft 會在不知情的情況下傳遞該訊息,導致客戶違反 HIPAA。 Microsoft 會認為自己只是遵循客戶代表的指示。
Microsoft 致力於以最先進的技術、安全性和隱私權做法執行和操作其服務,使用服務的每位客戶和使用者都有責任判斷自己是否有遵守特定的需求和義務。