数据保护影响评估:使用 Microsoft Office 365 的数据控制者指南
根据 GDPR) 一般数据保护条例 (,数据控制者需要准备数据保护影响评估 (DPIA) ,以便处理“可能给自然人的权利和自由带来高风险”的操作。 Microsoft Office 365 中没有任何固有的东西需要数据控制器使用它创建 DPIA。 相反,是否需要 DPIA 将取决于你作为数据控制者如何部署、配置和使用 Office 365 的详细信息和上下文。
本文档的第 1 部分提供了有关 Office 365 的信息,以帮助你(数据控制者)确定是否需要 DPIA。 如果答案为“是”,本文档的第 2 部分和第 3 部分提供了来自 Microsoft 的重要信息,以帮助起草该信息。 具体来说,第 2 部分为 DPIA 的每个必需元素提供了适用于所有 Office 365 服务的答案。 第 3 部分提供了针对客户许多最相关信息需求的附加产品特定信息,用于起草其 DPIA。 第 3 部分还包含一个说明性的 DPIA 文档,你可以下载和修改该文档,以简化 DPIA 的起草。
Office 365 应用程序和服务包括但不限于 Exchange Online、SharePoint、适用于工作和学校的 OneDrive、Viva Engage 和 Microsoft Teams。 通过 Office 365 可获得的更完整的服务列表可以在 Office 365 数据主题请求指南的表 1 和表 2 中看到。
第 1 部分:确定是否需要 DPIA
GDPR 第 35 条要求数据控制者创建数据保护影响评估,“用于在考虑某种处理类型的本质、范围、上下文和目的的情况下评估该处理类型(尤其是使用新技术的处理类型)是否会对自然人的权力和自由产生高风险。” 它还列出了指示此类高风险的特定因素,我们将在下表中对其进行讨论。 确定是否需要 DPIA 时,你(数据控制者)应根据控制者对 Office 365 的特定实施和使用,考虑这些因素以及任何其他相关因素。
风险因素 | Office 365 的相关信息 |
---|---|
基于自动化处理对自然人的私人方面进行系统全面的评估(包括剖析以及会对自然人产生法律效应或显著影响自然人的决策)。 | 根据数据控制者的配置,Office 365 可能会对数据执行某些自动处理,例如 Viva Personal Insights 执行的分析,该分析允许数据控制者根据用户邮箱中的电子邮件和日历标头信息获取有关组织内人员协作方式的见解。 Office 365 并不适合执行对个人产生法律或类似显著影响的决策所依据的自动处理。 但是,由于 Office 365 是一项高度可定制的服务,数据控制者可能会将其用于此类处理。 |
处理大量 1 特殊类别的数据,如种族或族裔、政治观点、宗教或哲学信仰、工会成员身份、基因数据、用于唯一标识自然人的生物识别数据、关于自然人性生活健康或性取向数据的数据,或与刑事犯罪和违法行为相关的个人数据; | Office 365 并非旨在大规模处理特殊类别的个人数据。 不过,数据控制者可使用 Office 365 处理枚举的特殊类别的数据。 Office 365 是一项高度可定制的服务,支持客户跟踪或处理任何类型的数据,包括特殊类别的个人数据。 任何此类使用都与控制者确定是否需要 DPIA 有关。 但作为数据处理者,Microsoft 不对此类使用进行任何控制,且通常对此类使用鲜有或没有任何见解。 |
大规模系统化监视公开可访问区域 | Office 365 不专用于进行或促进此类监视。 不过,数据控制者可用它处理通过此类监视收集的数据。 |
注意
1 关于处理“大量”数据的标准,GDPR 的第 91 篇声明陈述如下:“如果涉及由个体医生、其他医疗保健专业人员或律师来处理患者或客户的个人数据,则个人数据的处理不应视为处理大量数据。 在这种情况下,不得强制进行数据保护影响评估。”
第 2 部分:DPIA 的内容
第 35(7) 条规定,数据保护影响评估应指定处理的目的和预期处理的系统化说明。 在 Microsoft 的 DPIA 中,此类系统化说明包括所处理数据的类型、数据保留时间、数据存储位置和传输位置以及有权访问数据的第三方等因素。 此外,DPIA 还必须包括:
- 对与处理操作的目的相关的必要性和合理性的评估;
- 对自然人的权力和自由带来的风险的评估;以及
- 应对风险的措施(包括保护措施、安全措施和机制),以确保对个人数据的保护并证明符合一般数据保护条例的规定(将数据使用者和其他相关人员的合法权益考虑在内)。
下表提供了来自 Microsoft 的重要信息,可以帮助你起草 DPIA。 它包含有关 Office 365 的信息,这些信息与 DPIA 所需的各个元素息息相关。 与第 1 部分一样,数据控制者必须考虑下面提供的详细信息,以及具体实施和使用 Office 365 的详细信息。
风险因素 | Office 365 的相关信息 |
---|---|
处理目的 | 使用 Office 365 处理数据的目的由实现、配置和使用它的控制者确定。 根据 产品条款 和 Microsoft产品和服务数据保护附录 (DPA) 所指定,Microsoft作为数据处理者处理客户数据,以按照客户记录的说明为客户提供在线服务。 如标准 产品条款 和 Microsoft产品和服务数据保护附录 (DPA) 中所述,Microsoft还使用个人数据来支持有限的合法业务操作,包括: (1) 计费和帐户管理; (2) 薪酬 (例如,计算员工佣金和合作伙伴奖励) : (3) 内部报告和建模 (,例如预测、收入、容量规划、产品策略) ; (4) 财务报告和遵守法律义务 (受产品条款和数据保护附录) 中所述的客户数据披露限制的约束。 Microsoft接受个人数据处理控制者的义务,以支持这些特定的合法业务操作。 Microsoft在将个人数据用于我们的合法业务运营之前对其进行聚合,消除Microsoft识别特定个人的能力,并且以最不识别的形式使用个人数据,这将支持合法业务运营所需的处理。 Microsoft 不会将因此获得的客户数据或信息用于分析、广告或类似商业目的。 |
处理的个人数据类别 |
客户数据:这是客户或代表客户通过使用 Microsoft 联机服务向 Microsoft 提供的所有数据,包括文本、声音、视频或图像文件和软件。 它包括客户上传用于存储或处理的数据以及定制数据。 Office 365 中处理的客户数据示例包括 Exchange Online 中的电子邮件内容,以及存储在 SharePoint 或 OneDrive 中的工作和学校文档或文件。 服务生成的数据:这是由 Microsoft 通过服务操作生成或派生的数据,例如使用或性能数据。 这些数据大多包含由 Microsoft 生成的假名标识符。 诊断数据:此数据由 Microsoft 从客户本地安装的与联机服务相关的软件中收集或获取,也称为遥测。 此数据通常由本地安装的软件或运行该软件的计算机的属性进行标识。 支持数据:客户或代表客户通过与 Microsoft 签订协定以获取联机服务技术支持而提供给 Microsoft 的数据(或客户授权 Microsoft 从联机服务获取的数据)。 客户数据、系统生成的数据和支持数据不包括管理员和数据,例如客户管理员联系信息、订阅信息和付款信息,Microsoft 在其作为数据控制者的角色中收集和处理这些数据,这不在本文档的讨论范围内。 |
数据保留 |
客户数据: 如产品条款和数据保护附录中的数据保护条款中所述,Microsoft在客户使用服务的权利期间保留客户数据,直到根据客户的指示或产品条款和数据保护附录的条款删除或返回所有客户数据为止。 在客户的订阅期限内,客户始终能够访问、提取和删除存储在服务中的客户数据,在某些情况下,受特定产品功能的约束,旨在降低意外删除的风险 (例如 Exchange 恢复的项目文件夹) ,如产品文档中所述。 除免费试用版和领英服务外,如果客户订阅到期或终止,帐户功能将受到限制,Microsoft 会将该帐户存储在该联机服务中的客户数据保留 90 天,便于客户提取数据。 90 天保留期结束后,Microsoft 将禁用客户帐户并删除客户数据。 服务生成的数据:在收集后,此数据的默认保留期限为长达 180 天,为了确保服务的安全性或履行法律或监管义务,可能会将该数据保留更长时间。 如需进一步了解可让客户随时删除在服务中维护的个人数据的服务功能,请参阅 Office 365 数据主体请求指南。 |
个人数据的位置和传输 | 如产品条款附件 1 中所述,如果客户在澳大利亚、加拿大、欧盟、法国、印度、日本、韩国、英国或美国设置了 Office 365 实例,Microsoft仅在该位置存储以下客户数据: (1) Exchange Online 邮箱内容 (电子邮件正文, 日历条目和电子邮件附件的内容) , (2) SharePoint 网站内容和存储在该网站中的文件, (3) 文件上传到 OneDrive 以用于工作和学校, (上传到 Project Online 的 4) 项目内容。 对于从欧洲经济区、瑞士和英国传出的个人数据,Microsoft将确保向第三国或国际组织传输个人数据受到 GDPR 第 46 条中所述的适当保障。 除了Microsoft处理者标准合同条款和其他模型合同下的承诺外,Microsoft遵守 数据隐私框架的条款。 |
与第三方下级处理者分享的数据 | Microsoft 会与充当下级处理者角色的第三方分享数据,以实现客户和技术支持、服务维护和其他操作。 Microsoft传输客户数据、支持数据或个人数据的任何分包商都将与Microsoft签订书面协议,这些协议的保护程度不低于 产品条款的数据保护条款。 联机服务子处理者披露中包括与Microsoft核心在线服务的客户数据共享的所有第三方 子处理者。 可以访问支持数据的所有第三方下级处理者(包括客户在其支持互动期间选择共享的客户数据)都包含在 Microsoft 商业支持承包商列表中。 |
与独立第三方分享的数据 | 某些 Office 365 产品包含扩展性选项,可根据控制者的选择与独立第三方共享数据。 例如,Exchange Online 是一种可扩展的平台,它允许第三方加载项或连接器与 Outlook 集成并扩展 Outlook 的功能集。 这些加载项或连接器的第三方提供商独立于 Microsoft,并且必须由使用其加载项或连接器帐户进行身份验证的用户或企业管理员来启用。 除非法律要求,否则Microsoft不会向执法部门披露客户数据或支持数据。 如果执法部门联系Microsoft要求客户数据或支持数据,Microsoft将尝试重定向执法机构,直接向客户请求该数据。 如果被迫向执法部门披露客户数据或支持数据,Microsoft将立即通知客户并提供要求的副本,除非法律禁止这样做。 收到任何其他第三方客户数据或支持数据请求后,Microsoft将立即通知客户,除非法律禁止。 除非法律要求遵守,否则Microsoft将拒绝该请求。 如果请求有效,Microsoft将尝试重定向第三方以直接从客户请求数据。 |
数据使用者权力 | 当以处理者的身份操作时,Microsoft 向客户(即数据控制者)提供其数据使用者的个人数据以及依据 GDPR 行使权力时满足数据使用者请求的能力。 我们以与产品功能和我们作为处理者的角色一致的方式完成此操作。 如果我们收到来自客户数据使用者的请求,请求依据 GDPR 行使其一项或多项权力,我们将重定向数据使用者,使其直接向数据控制者提出请求。
Office 365 数据主体请求指南向数据控制者介绍了如何使用 Office 365 中的功能来支持数据主体权限。 根据 GDPR 对为支持合法业务流程而处理的个人数据行使权利的数据主体发出的请求应定向到Microsoft,如 Microsoft隐私声明中所述。 Microsoft通常会在将个人用于合法业务运营之前对其进行聚合,并且无法识别聚合中特定个人的个人数据。 这将极大地降低个人的隐私风险。 如果 Microsoft 不能识别个人身份,它将无法支持数据主体的访问权、擦除权、可移植权或对处理的限制权或反对权。 |
对与处理操作的目的相关的必要性和合理性的评估 | 此类评估取决于控制者的需求和处理目的。 为了向数据控制者提供服务,Microsoft 需要进行某些处理,此类是必要且合理的。 |
对数据使用者的权力和自由带来的风险的评估 | 使用 Office 365 对数据使用者的权力和自由带来的关键风险取决于数据控制者实施、配置和使用它的方式和背景。 Microsoft 采取相关措施来支持提供服务,例如对用于支持其合法业务运营的个人数据进行匿名化或汇总处理,以便最大程度地降低对使用该服务的数据主体进行此类处理的风险。 然而,与其他所有服务一样,该服务中保存的个人数据也可能存在未经授权访问或意外泄露的风险。 OTS 中介绍了 Microsoft 为应对此类风险而采取的措施,详见本文后面的详细信息。 |
应对风险的措施(包括保护措施、安全措施和机制),以确保对个人数据的保护并证明符合此 GDPR 的规定(将数据使用者和其他相关人员的合法权益考虑在内)。 | Microsoft 致力于帮助保护客户的信息安全。 按照 GDPR 第 32 条的规定,Microsoft 已采取并且将维持和遵循适当的技术和组织措施,这些措施旨在防止客户数据和支持数据意外泄露、未经授权或非法访问、公开、篡改、丢失或损坏。 此外,Microsoft 履行 GDPR 规定的适用于数据处理者的所有其他义务,包括但不限于数据保护影响评估和记录保存。 当 Microsoft 为其合法业务运营处理个人数据时,它将履行适用于数据控制者的 GDPR 义务。 |
第 3 部分: DPIA 很难,但可能有所帮助
如果你确定组织需要起草 DPIA,则本节中的信息旨在帮助你简化该流程。
本节内容:
- 提供与 Office 365 和特定于产品的信息相关的服务元素,以及
- 提供空白模型 DPIA 模板供你下载、修改和使用,以便起草你自己的 DPIA。
DPIA 服务元素矩阵
DPIA 服务元素矩阵是一个内容组织,你在开始记录 DPIA 时可能会发现它有所帮助。 它是按服务组织的,并且提供了特定于产品的信息和文档链接,可以帮助你更轻松地为所需的 DPIA 元素起草响应性答案。
可自定义的 DPIA 文档
我们意识到,起草 DPIA 可能是一项耗时的工作。 尽管每个客户的 DPIA 因各个组织配置和使用 Office 365 的方式而异,但是以下文档可以为你节省时间。 你可以下载可自定义的 DPIA 文档作为可修改的说明性模板,以便快速上手。 你可以免费使用,并根据具体实施情况调整服务。 本文档不应被解释为 Microsoft 或其任何附属机构提供的法律意见。 如果你对 DPIA 的起草流程有任何疑问,建议咨询你的律师。