데이터 수명 주기 이해 - 수집
고객이 Microsoft 온라인 서비스에 가입할 때 자신에게 적용되는 사용 약관을 이해하는 것이 중요합니다. 개인 정보 보호 및 규정 요구 사항은 산업 및 지리적 경계에 따라 다르기 때문에 서비스가 특정 사용 요구를 충족하는지 여부를 고객이 직접 결정하는 것이 중요합니다.
Microsoft와 고객에게 적용되는 사용 약관은 다음과 같습니다.
- 온라인 서비스 사용 약관(OST): Microsoft가 데이터 프로세서 역할을 하는 온라인 서비스를 사용하는 상용 고객에 대한 표준 계약 약정
- 온라인 서비스 DPA(데이터 보호 부록): Microsoft 서비스에 존재하는 데이터 유형 처리 및 사용에 대한 각 의무
DPA와 OST는 원래 2020년 1월까지 하나의 문서에 포함되어 있었으나, 고객이 데이터 개인 정보 보호 사용 약관을 쉽게 찾을 수 있도록 분리했습니다. Microsoft는 규제 기관 및 상용 고객과 협력하여 데이터 보호법에 대한 피드백을 얻고, 변경되는 다양한 규정에 맞춰 그에 맞게 조정합니다.
개인 정보 고지, 동의 및 데이터 분류
고지 및 동의는 전 세계 개인 정보 보호법의 기본 원칙입니다. Microsoft는 고객 데이터 분류(분류) 및 고객 데이터 사용 프레임워크(프레임워크)를 관리하는 CDGB(고객 데이터 거버넌스 위원회)를 관리합니다. 고객 데이터 사용 프레임워크는 회사 차원의 고지, 동의 및 사용자 제어 규칙의 집합입니다. 분류는 데이터 유형 및 사용 범주를 정의합니다. 프레임워크는 각 데이터 유형을 사용하는 데 필요한 고지, 동의 및 수집 후 사용자 컨트롤을 지정합니다. Microsoft는 또한 이 프로세스를 지원하기 위해 합법적인 관심 분석을 포함하여 개인 정보 검토를 사용합니다. 특정 상황에 추가 요구 사항이 적용될 수 있습니다(예: 자녀로부터 데이터를 수집하기 위해 보호자 동의가 필요할 수 있음).
데이터 처리 및 사용
데이터 처리 표준은 OST/DPA에 설명된 의무 및 다양한 감사 표준 및 규정을 충족하기 위한 집합적 요구 사항을 포함하여 특정 활동 또는 시나리오 내에서 각 데이터 분류 유형을 관리하는 방법에 대한 지침을 제공합니다. 이러한 표준은 일반적으로 새로운 기능이 구축되거나 서비스를 실행할 때 사용되며 Microsoft 365와 같은 해당 서비스에 특정될 수 있습니다.
광범위하게 적용되는 개인 정보 보호법을 준수하기 위해 Microsoft는 처리되는 4가지 범주 내에서 모든 개인 데이터의 사용을 엄격하게 제한합니다. 고객 비즈니스 데이터의 기밀성을 보호하기 위해 모든 고객 데이터 및 모든 전문 서비스 데이터의 사용을 엄격하게 제한합니다. Microsoft는 개인 정보 여부를 확인하기 위해 고객 데이터의 내용에 액세스하지 않습니다. 대신 모든 고객 데이터와 모든 전문 서비스 데이터에 개인 데이터가 포함되어 있다고 가정합니다. 아래는 DPA에 정의된 데이터 유형을 시각적으로 나타낸 것입니다. 파란색 상자는 모든 개인 데이터가 다른 데이터 유형 중 하나의 일부로 처리된다는 것을 보여줍니다(모든 데이터에는 비개인 데이터도 포함됨). 지원 데이터는 전문 서비스 데이터의 하위 집합입니다.
진단 데이터 및 서비스 생성 데이터 내의 개인 데이터는 대부분 사용자와 연관지을 수 있는 고유한 컴퓨터 생성 숫자의 형태입니다.
국제 데이터 전송
Microsoft가 고객을 대신하여 처리하는 고객 데이터 및 개인 데이터는 microsoft 또는 해당 하위 프로세서가 작동하는 미국 또는 기타 국가/지역으로 전송 및 저장 및 처리될 수 있습니다. 고객이 서비스에 대한 더 깊은 이해를 원할 경우 데이터 보호 부록을 검토하는 것이 좋습니다.
Microsoft는 국가 간 고객 데이터 전송에 관해 국제 데이터 보호법을 준수합니다. 예를 들어 EU 모델 조항은 유럽 경제 지역(EEA) 외부 국가/지역으로의 EU 고객 개인 데이터 전송을 규제합니다. Microsoft EU 표준 계약 조항은 유럽의 개인 정보 보호 규제 기관이 국제 데이터 전송에 대한 EU 표준을 충족한다고 판단한 해당 서비스에 대한 개인 데이터 전송에 대한 구체적인 계약 보장을 제공합니다. EU 모델 조항은 또한 스위스와 영국에서 개인 데이터를 전송하기 위한 유효한 메커니즘을 제공합니다.