GDPR 和 CCPA 的 Azure DevOps Services 資料主體要求

  • 發行項

歐盟 一般資料保護規定 (GDPR) 提供許可權給法規中稱為 資料主體的人員,以管理 資料控制者所收集的個人資料。 資料控制者,或只是 控制者,是雇主或其他類型的機構或組織。 依據 GDPR,個人資料的定義很廣泛,舉凡與已識別或可識別自然人相關的任何資料皆屬之。 GDPR 為數據主體提供其個人資料的特定許可權。 這些許可權包括取得個人資料的複本、要求更正、限制其處理、刪除或以電子格式接收,以便將其移至另一個控制器。 受控制者要求對其個人資料採取動作之資料主體的正式要求稱為 「資料主體要求」或「DSR」。

同樣地,加州消費者隱私法 (CCPA) 為加州客戶提供隱私權和義務,包括與 GDPR 資料主體權利相似的權利,例如有權刪除、存取和接收 (可攜性) 其個人資訊。 CCPA 也提供特定揭露、針對選擇行使權時的歧視提供保護,以及特定資料傳輸的「選擇退出/選擇加入」需求分類為「銷售」。 銷售的廣泛定義,包括出於有價值的考量而共用資料。 如需 CCPA 的詳細資訊,請參閱加州消費者隱私法常見問題集

如需關於 GDPR 的一般資訊,請參閱服務信任入口網站的 GDPR 區段

本指南將討論如何使用 Microsoft 工具,將 Visual Studio Team Services (先前稱為 Visual Studio Team Services) 的驗證 (登入) 工作階段期間所收集的個人資料匯出或刪除。

其他隱私權資訊

Microsoft 隱私權聲明線上服務條款 (OST),和 Microsoft 的 GDPR 承諾文章描述我們的資料處理做法。

我們收集的個人資料

Microsoft 會收集使用者的資料以進行操作並改善 Azure DevOps Services。 Azure DevOps Services 會收集兩種類別的資料:客戶資料和系統產生的記錄。 客戶資料包含 Azure DevOps Services 運作服務所需、可識別使用者的交易資料和互動資料。 系統產生的記錄包含針對每個產品區域和功能匯總的服務使用資料。

刪除 Azure DevOps 資料

Azure DevOps 作為管理變更的系統,必須遵守資料完整性、可追蹤性和稽核的嚴格規則。 這些義務會影響我們在 GDPR 下的資料刪除和保留責任,因此我們不會履行匿名或刪除的個別要求。 從 Azure DevOps 中排除個人資料的唯一方法是完全刪除組織。 在 MSA) 身分識別帳戶 (終止Microsoft Entra識別碼或 Microsoft 帳戶,並不會改變或刪除與 Azure DevOps 組織內個別身分識別相關聯的任何成品或記錄,例如提取要求或工作專案。 我們已確保當您刪除 Azure DevOps 組織時,會移除所有相關聯的個人資料,且系統產生的記錄會在 30 天的虛刪除時間範圍之後匿名。

匯出 Azure DevOps 資料

控制者可以根據身分識別提供者 (MSA 或Microsoft Entra識別碼) 用來登入 Azure DevOps 服務,透過兩種方法之一,匯出從其資料主體收集的客戶資料和系統產生的記錄。

  • 使用 Azure 租使用者所支援之帳戶進行驗證的使用者,例如,Microsoft Entra帳戶或與 Azure 訂用帳戶相關聯的 MSA 帳戶,可以遵循GDPR 的 Azure 資料主體要求中的指示。

  • 使用 MSA 身分識別進行驗證的使用者可以使用此 隱私權要求網站 ,檢視跨多個 Microsoft 服務系結至其 MSA 身分識別的活動資料。 在此案例中,使用者是自己個人資料的控制者。

匯出或刪除問題

針對Microsoft Entra身分識別,如果您在從Azure 入口網站匯出或刪除資料時遇到問題,請移至 [Azure 入口網站說明 + 支援] 刀鋒視窗,然後在 [訂 > 用帳戶管理隱私權] 和[GDPR 要求] 的 [訂用帳戶管理>隱私權與合規性要求] 下提交新的票證。

針對 MSA 身分識別,如果您從隱私權要求網站匯出資料時遇到問題,請登入隱私權要求網站並提交要求,以透過要求網路表格取得 Microsoft 隱私權小組提供的協助。

深入了解

Microsoft 致力於確保您的Azure DevOps Services資料保持安全且私密,而無例外。 請流覽Azure DevOps Services資料保護概觀白皮書,以深入瞭解我們如何保護您的Azure DevOps Services資料。

另請參閱