訓練
認證
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
示範資料安全性、生命週期管理、資訊安全性和合規性的基本知識,以保護 Microsoft 365 部署。
GDPR 與 CCPA 和資料主體要求
針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織,一般資料保護規定 (GDPR) 推出了新的規則,而無論您或您的企業位於何處都必須遵守。 如需其他詳細數據,請參閱 GDPR摘要一文。
同樣地,加州消費者隱私法 (CCPA) 為加州消費者提供隱私權和義務,包括與 GDPR 資料主體權利相似的權利,例如,刪除、存取和接收 (可攜性) 其個人資訊的權利。 CCPA 也提供特定揭露、針對選擇行使權時的歧視提供保護,以及特定資料傳輸的「選擇退出/選擇加入」需求分類為「銷售」。 本文件會引導您了解依據 GDPR 和 CCPA 使用 Microsoft 產品和服務時,完成資料主體要求 (DSR) 的相關資訊。
- Office 365
- Azure
- Intune
- Dynamics 365
- Visual Studio 系列
- Azure DevOps Services
- Microsoft 支援服務與專業服務
- Windows
- Windows 365
本文件中使用的 GDPR 術語的實用定義:
- 資料控制者 (控制者):法律人員、公開授權單位、公司或其他實體,不論單獨或聯合其他單位,會決定個人資料處理方式的用途及方式。
- 個人資料和資料主體:與已識別或可識別的自然人 (資料主體) 相關的任何資訊;可識別的自然人為可直接或間接識別的個人。
- 處理者:自然人或法人、公家機關、公司,或代表控制者處理個人資料的其他主體。
- 客戶資料:在公司運作的日常作業中產生並儲存的資料。
一般資料保護規定 (GDPR) 賦予人們 (在此法規中稱為資料主體) 權利來管理雇主或其他類型的代理機構或組織 (稱為資料控制者或僅稱為控制者) 所收集的個人資料。 GDPR 為資料主體提供其個人資料的特定權限;這些權限包括取得個人資料副本、要求對該資料的變更、限制對該資料的處理、刪除該資料,或是以電子格式接收該資料以移至另一個控制者。
身為控制者,您必須立即考慮每個 DSR,並藉由採取要求的動作,或提供控制器無法容納 DSR 的原因說明,來提供實質回應。 控制者應向其法律或法務遵循顧問諮詢有關適當處置任何特定 DSR 的方法。
受限於組織的 GDPR 符合性規則,完成 DSR 可能涉及數個程序。
- 探索。 決定需要什麼資料才能完成 DSR 的程序。
- 存取。 擷取並可能傳輸給所發現資訊的資料主體。
- 修正。 實作變更或其他要求的個人資料變更。
- 限制。 限制存取或從Microsoft雲端移除數據,以變更個人資料的存取或處理。
- 匯出。 對資料主體提供「結構化、常用、機器可讀取格式」的個人資料,如 GDPR 的「資料可攜帶權」所提供。
- 刪除。 從 Microsoft 雲端永久移除個人資料。
見解可能由 (Viva Personal Insights 等服務產生。) Office 365 包含 線上服務,可為使用這些資訊的使用者和組織提供見解。 這些服務所產生的資料可能會產生與 DSR 相關的個人資料。 請遵循下列連結來取得有關特定服務 DSR 程序的詳細資料。
根據 GDPR 的「個人資料」定義,Microsoft所產生的記錄和相關數據可能包含被視為個人的數據。不支援在系統產生的記錄中限制或修正數據。 系統產生的記錄檔中的資料構成了 Microsoft 雲端內所進行的實際動作和診斷資料,修改會危害動作的歷程記錄,並增加詐騙和安全性風險。 Microsoft 提供存取、匯出和刪除系統產生的記錄檔的功能,這些記錄檔可能是完成 DSR 所需。 這類資料的範例可能包括:
- 產品和服務使用情況資料 (例如使用者活動記錄)
- 使用者搜尋要求和查詢資料
- 產品和服務透過系統功能和使用者或其他系統的互動產生的資料。
刪除使用者的帳戶並不會移除系統產生的 Viva Engage 記錄。 若要移除這些應用程式中的資料,請參閱下列其中一項資源:
在某些國家/地區的雲端中,全域 IT 系統管理員必須刪除由系統產生的記錄檔。
如果您的組織或使用者與Microsoft接洽以接收,與Microsoft產品和服務相關的支援可能會包含個人資料。 如需詳細資訊,請參閱 GDPR 的 Microsoft 支援服務與專業服務資料主體要求。
在某些情況下,組織的使用者可以存取 Microsoft 為資料控制者的 Microsoft 產品或服務。 在這些情況下,使用者必須直接向 Microsoft 起始自己的 DSR,而 Microsoft 會直接向使用者履行要求。
針對透過 Microsoft 帳戶驗證存取的協力廠商產品和服務,應該將任何資料主體要求導向至適當的協力廠商。
- Microsoft入口網站:使用 Microsoft Purview 入口網站、Microsoft Purview 合規性入口網站 或使用應用程式內功能來匯出使用者撰寫或產生的數據。
- Microsoft Entra 管理員 中心:Microsoft Entra 使用 管理員 Center 從 Microsoft Entra ID 和相關服務刪除數據主體。
- Microsoft 資料記錄匯出:租用戶系統管理員可以使用 Microsoft 資料記錄匯出,將系統產生的記錄匯出。