针对 GDPR 和 CCPA 的 Azure 数据主体请求

  • 项目

数据主体请求 (DSR) 简介

欧盟一般数据保护条例 (GDPR) 赋予民众(在条例中称为数据主体)权利,即管理已由雇主或其他类型机构或组织(称为数据控制者或简称为控制者)收集的个人数据。 根据 GDPR,个人数据的定义很宽泛,即指与已识别或可识别的自然人相关的任何数据。 GDPR 赋予数据主体对其个人数据的特定权利;这些权利包括,获取个人数据副本、请求更正个人数据、限制个人数据处理、删除个人数据,或接收能转移给另一个控制者的电子格式个人数据。 数据主体向控制者发出的对其个人数据执行操作的正式请求,称为数据主体请求 (DSR)。

同样,加州消费者隐私法案 (CCPA) 规定了加州消费者的隐私权和义务,包括与 GDPR 的数据主体权利类似的权利,例如删除、访问和接收(可移植性)其个人信息的权利。 CCPA 还规定了某些披露、在选择行使权利时免受歧视的保护,以及对分类为“销售”的某些数据传输的“选择退出/选择加入”要求。销售被广泛定义为包括共享数据,这是一个有价值的考虑因素。 有关 CCPA 的详细信息,请参阅加州消费者隐私法案加州消费者隐私法案常见问题解答

本指南介绍了如何使用 Microsoft 产品、服务和管理工具来帮助我们的控制者客户查找和处理个人数据以响应 DSR。 具体而言,此信息包括如何查找、访问和处理驻留在 Microsoft 云中的个人数据。 以下是本指南中所述的过程的快速概览:

  • 发现:使用搜索和发现工具更轻松地查找可能是 DSR 主体的客户的数据。 收集了潜在的响应性文档后,你便可以执行下列步骤中所述的一项或多项 DSR 操作来响应请求。 或者,你也可以确定请求是否不符合组织的 DSR 响应指南。
  • 访问:检索驻留在 Microsoft 云中的个人数据,如果提出请求,还制作可供数据主体使用的个人数据副本。
  • 纠正:进行更改或者对个人数据实施其他请求的操作(如果适用)。
  • 限制:通过移除各种 Azure 服务的许可证,或者在可能的情况下关闭所需的服务,限制对个人数据的处理。 此外还可以从 Microsoft 云中删除数据,并将其保留在本地或其他位置。
  • 删除:永久删除保存在 Microsoft 云中的个人数据。
  • 导出/接收(可移植性):向数据主体提供个人数据或个人信息的电子副本(采用机器可读格式)。 根据 CCPA 的定义,个人信息是指与已识别或可识别人员相关的任何信息。 个人角色、公共角色或工作角色之间没有区别。 所定义的“个人信息”术语与 GDPR 下的“个人信息”大致相同。 但是,CCPA 还包括家人和家庭数据。 有关 CCPA 的详细信息,请参阅加州消费者隐私法案加州消费者隐私法案常见问题解答

本指南中的每个部分概述了数据控制者组织为响应对 Microsoft 云中个人数据的 DSR 而采取的技术过程。

术语

下面提供了与本指南相关的术语定义。

  • 控制者:单独或与其他人一起确定个人数据处理的用途和途径的自然人或法人、公共机构、机关或其他实体;如果欧盟或成员国法律确定了此类处理的用途和途径,欧盟或成员国法律可能会规定控制者或具体提名条件。
  • 个人数据和数据主体:身份已识别或可识别的自然人(“数据主体”)的任何相关信息;身份可识别的自然人是指可被直接或间接识别的自然人,尤其是通过参考姓名、证件号码、位置数据、联机标识符等标识,或通过参考特定于该自然人的身体、生理、基因、精神、经济、文化或社会标识的一个或多个因素进行识别。
  • 处理者:代表控制者处理个人数据的自然人或法人、公共机构、机关或其他主体。
  • 客户数据:客户或代表客户通过使用企业服务提供给 Microsoft 的所有数据,包括所有文字、声音、视频或图像文件以及软件。 客户数据包括 (1) 最终用户 (的可识别信息,例如,Microsoft Entra ID) 中的用户名和联系信息,以及客户上传到特定服务或创建的客户内容 (例如 Azure 存储帐户中的客户内容、Azure SQL数据库的客户内容或客户在 Azure 中的虚拟机映像虚拟机) 。
  • 系统生成日志:Microsoft 生成的日志和相关数据,可帮助 Microsoft 向用户提供企业服务。 系统生成的日志主要包含假名化的数据,例如唯一标识符,通常是系统生成的数字,无法自行标识个人,但用于向用户提供企业服务。 系统生成的日志还可能包含有关最终用户的身份信息,例如用户名。

如何使用本指南

本指南由两部分组成:

  • 第 1 部分:响应针对客户数据发出的数据主体请求:本指南的第 1 部分介绍了如何在你用来创作数据的应用程序中访问、校正、限制、删除和导出数据。 本节详细介绍了如何响应针对客户内容和最终用户的个人身份信息发出的 DSR。
  • 第 2 部分:响应针对系统生成日志发出的数据主体请求:在你使用 Microsoft 的企业服务时,Microsoft 会生成一些信息(称为“系统生成日志”)来提供服务。 本指南的第 2 部分介绍了如何为 Azure 访问、删除和导出此类信息。

了解Microsoft Entra ID和 Microsoft 服务帐户的 DSR

通过使用扩展目录直接令牌 (EDDT) ,租户中的来宾用户能够跨多个租户启动 DSR。 对用户获得相应租户管理员授权的所有租户执行任何用户启动的 DSR。

在提供给企业客户的服务上下文中,Microsoft 服务帐户 (MSA) 也是如此:针对与Microsoft Entra租户关联的 MSA 帐户执行 DSR 将仅涉及租户中的数据。 此外,在处理租户中的 MSA 帐户时,必须了解以下事项:

  • 如果 MSA 用户创建 Azure 订阅,则会像处理Microsoft Entra租户一样处理订阅。 因此,DSR 的范围在租户内,如上所述。
  • 如果删除了通过 MSA 帐户创建的 Azure 订阅, 则不会影响 实际的 MSA 帐户。 同样,如上所述,在 Azure 订阅中执行的 DSR 仅限于租户本身的范围。

针对 给定租户外部的 MSA 帐户本身的 DSR 通过使用者 隐私仪表板执行。

第 1 部分:客户数据的 DSR 指南

针对客户数据执行 DSR

Microsoft 提供通过Azure 门户访问、删除和导出某些客户数据的功能,还可以直接通过预先存在的应用程序编程接口 (API) 或用户界面 (UI) 特定服务 (也称为产品内体验) 。 有关此类产品内体验的详细信息,在各个服务的参考文档中进行了介绍。

重要

支持产品内 DSR 的服务要求直接使用服务的应用程序编程接口 (API) 或用户界面 (UI),描述了适用的 CRUD(创建、读取、更新、删除)操作。 因此,除了在 Azure 门户内执行 DSR 之外,还必须在给定服务内执行 DSR,以便完成针对给定数据主体的完整请求。 请参考特定服务的参考文档以了解更多详细信息。

步骤 1:发现

在对 DSR 做出响应时,第一步是查找作为请求主体的个人数据。 第一步(查找和查看有关个人数据)将帮助你确定 DSR 是否满足组织遵守或拒绝 DSR 的要求。 例如,查找并审查所涉及的个人数据之后,你可能会确定该请求不符合组织的要求,因为这样做可能会对他人的权利和自由产生不利影响。

找到数据后,可执行特定操作以满足数据主体的请求。

通过 Azure 门户 管理的 DSR

Microsoft Entra ID是 Microsoft 基于云的多租户目录和标识管理服务。 可以使用 Azure 门户 查找最终用户的可识别信息,例如客户和员工用户配置文件以及包含Microsoft Entra ID环境中的个人数据的用户工作信息。

如果要查找或更改特定用户的个人数据,这将很有帮助。 你还可以添加或更改用户配置文件和工作信息。 必须使用作为该目录的全局管理员的帐户进行登录。

如何查找或查看用户配置文件和工作信息?

  1. 使用作为该目录的全局管理员的帐户登录到 Azure 门户

  2. 选择“Microsoft Entra ID”。

  3. 选择 用户

  4. 在“所有用户”边栏选项卡上,从列表中选择用户,然后在所选用户的边栏选项卡上,选择“配置文件”以查看可能包含个人数据的用户配置文件信息。

  5. 如果需要添加或更改用户配置文件信息,可以在命令栏中选择“编辑”,然后在做出更改后选择“保存”。

通过服务 API 托管的 DSR

Microsoft 提供通过预先存在的应用程序编程接口 (API) 或用户界面 (特定服务的 UI) 直接发现客户数据的功能。 各个服务的参考文档中介绍了详细信息,其中介绍了适用的 CRUD (创建、读取、更新、删除) 操作。

步骤 2:访问

找到包含可能响应 DSR 的个人数据的客户数据后,由你和你的组织决定向数据主体提供哪些数据。 可以通过实际文档副本、经过适当编校的版本或者你认为适合共享的部分的屏幕截图来提供。 对于访问请求的每个响应,必须检索包含响应数据的文档或其他项的副本。

将副本提供给数据主体时,可能需要删除或修订有关其他数据主体和任何机密信息的个人信息。

通过 Azure 门户 管理的 DSR

Microsoft 提供了门户和产品内体验,让企业客户的租户管理员能够管理 DSR 访问请求。 DSR 访问请求允许访问用户的个人数据,包括:(a) 最终用户的身份信息以及 (b) 系统生成的日志。

通过服务 API 托管的 DSR

Microsoft 提供通过预先存在的应用程序编程接口 (API) 或用户界面 (特定服务的 UI) 直接发现客户数据的功能。 各个服务的参考文档中介绍了详细信息,其中介绍了适用的 CRUD (创建、读取、更新、删除) 操作。

步骤 3:纠正

如果数据主体要求你纠正驻留在你的组织数据中的个人数据,你和你的组织需要确定是否可以接受该请求。 纠正数据可能需要进行多种操作,如编辑、修订个人数据,或将个人数据从文档或其他类型或项目中删除。

通过 Azure 门户 管理的 DSR

企业客户能够管理 DSR 修正请求,包括根据给定 Microsoft 服务的性质限制编辑功能。 作为数据处理者,Microsoft 不提供更正系统生成的日志的功能,因为它反映了事实活动,并构成 Microsoft 服务中事件的历史记录。 关于Microsoft Entra ID,有限的编辑功能用于纠正有关最终用户的可识别信息,如下文所述。

Microsoft Entra ID:纠正/更正不准确或不完整的个人数据

通过使用 Azure 门户,可以在Microsoft Entra ID环境中更正、更新或删除最终用户的身份信息,例如客户和员工用户配置文件以及包含个人数据的用户工作信息,例如用户名、工作职务、地址或电话号码。 必须使用作为该目录的全局管理员的帐户进行登录。

如何实现Microsoft Entra ID中更正或更新用户配置文件和工作信息?

  1. 使用作为该目录的全局管理员的帐户登录到 Azure 门户

  2. 选择“Microsoft Entra ID”。

  3. 选择 用户

  4. 在“所有用户”边栏选项卡上,从列表中选择用户,然后在所选用户的边栏选项卡上,选择“配置文件”以查看需要更正或更新的用户配置文件信息。

  5. 在命令栏中选择 “编辑 ”,然后选择“ 更改后保存 ”,更正或更新用户配置文件信息(包括工作信息)。

通过服务 API 托管的 DSR

Microsoft 提供通过预先存在的应用程序编程接口 (API) 或用户界面 (特定服务的 UI) 直接发现客户数据的功能。 各个服务的参考文档中介绍了详细信息,其中介绍了适用的 CRUD (创建、读取、更新、删除) 操作。

步骤 4:限制

数据主体可能要求限制对其个人数据的处理。 我们同时提供了 Azure 门户和预先存在的应用程序编程接口 (API) 或用户界面 (UI)。 这些体验为企业客户的租户管理员提供了一种通过数据导出与数据删除相结合来管理此类 DSR 的能力。 客户可以 (1) 导出用户的个人数据的电子副本,其中包括 (a) 帐户、(b) 系统生成的日志和 (c) 关联的日志,然后 (2) 删除帐户和位于 Microsoft 系统中的关联数据。

步骤 5:删除

“擦除权限”可从组织的客户数据中移除个人数据,这是 GDPR 中的一项关键保护措施。 移除个人数据包括移除所有个人数据和系统生成的日志(审核日志信息除外)。 当用户被软删除(请参阅下面的详细信息)时,该帐户将被禁用 30 天。 如果在此 30 天内没有采取进一步操作,则会永久删除此用户(同样,请参阅下面的详细信息)。 永久删除后,用户的帐户、个人数据和系统生成的日志将在下一个 30 天内被清除。 如果租户管理员直接发出永久删除指令,则用户的帐户、个人数据和系统生成的日志将在此后的 30 天内被清除。

重要

你必须是租户管理员才能从租户中删除用户。

通过 Azure 门户删除用户和关联数据

你在收到对数据主体的删除请求后,可以使用 Azure 门户删除用户和关联的个人信息,以及系统生成日志。

删除此数据还意味着从租户中删除用户。 最初软删除用户,这意味着租户管理员可在标记为软删除后的 30 天内恢复帐户。 30 天后,帐户会自动从租户中永久删除。 在此之前 30 天,可以从回收站手动删除软删除的用户。

下面是从租户删除用户的高级流程。

  1. 转到 Azure 门户并找到用户。

  2. 删除用户。 最初删除用户时,用户的帐户将发送到回收站。 此时,用户将被软删除,但不会从Microsoft Entra ID中删除。

  3. 转到“最近删除的用户”列表并永久删除该用户。 此时,用户将被永久删除 (也称为硬删除) ,这意味着帐户已从Microsoft Entra ID

从 Azure 租户删除用户

  1. 使用作为该目录的全局管理员的帐户登录到 Azure 门户

  2. 选择“Microsoft Entra ID”。

  3. 选择 用户

  4. 选中想要删除的用户旁边的框,选择“删除用户”,然后在询问你是否要删除用户时在框中选择“是”

  5. 在“ 所有用户 ”边栏选项卡上,选择“ 已删除的用户”。

  6. 再次选择同一用户,在命令栏中选择 “永久删除” ,然后在询问是否确定的框中选择“ ”。

重要

请注意,通过单击“”,将永久且不可挽回地删除用户和所有关联的数据及系统生成日志。 如果错误地执行了该操作,必须手动将用户添加回租户。 关联的数据和系统生成日志是不可恢复的。

在 Azure 租户中没有帐户时删除用户的数据

虽然某些用户在 Azure 租户中有一个可以删除的帐户,但 企业到企业 (B2B) 直连用户 不会。 B2B 直连用户使用其本机标识来接收对租户中托管的应用和资源的跨租户访问权限。 他们使用托管在其主租户中的用户帐户,而无需在租户中使用来宾帐户。

若要为这些用户使用 DSR,需要删除与租户中的用户关联的个人数据,而不是用户帐户本身。

  1. 打开 Azure 门户,选择“所有服务”,在筛选器中键入“策略”,然后选择“策略”

  2. “策略” 边栏选项卡中,依次选择“ 用户隐私”、“ 管理用户请求”和“ 添加删除请求”。

  3. 完成 “新建删除数据”请求

    • 用户。 键入请求删除的Microsoft Entra用户的电子邮件地址。

  4. 选择“删除”。

删除请求进入 “挂起” 状态。 可以在“ 用户隐私>概述 ”边栏选项卡上查看报告状态。

重要

由于个人数据可能来自多个系统,因此删除过程可能需要长达一个月才能完成。

DSR 删除通过服务 API 进行托管

Microsoft 提供通过预先存在的应用程序编程接口 (API) 或用户界面 (特定服务的 UI) 直接发现客户数据的功能。 各个服务的参考文档中介绍了详细信息,其中介绍了适用的 CRUD (创建、读取、更新、删除) 操作。

步骤 6:导出

“数据可携带性权限”允许数据主体可请求为个人数据保存电子格式的副本(这是一种“结构化、常用、机器可读、可互操作的格式"),该副本可传输给另一个数据控制者。 Azure 通过让组织以本机 JSON 格式将数据导出到指定 Azure 存储容器来支持此操作。

重要

你必须是租户管理员才能从租户中导出用户数据。

通过 Azure 门户管理的 DSR

关于客户数据,Microsoft 提供了门户和产品内体验,让企业客户的租户管理员能够管理对一个最终用户的身份信息的导出请求。

通过服务 API 托管的 DSR

Microsoft 提供通过预先存在的应用程序编程接口 (API) 或用户界面 (特定服务的 UI) 直接发现客户数据的功能。 各个服务的参考文档中介绍了详细信息,其中介绍了适用的 CRUD (创建、读取、更新、删除) 操作。

第 2 部分:系统生成的日志

Microsoft 还使租户管理员能够执行 DSR 来访问、删除和导出特定的系统生成的日志。

重要

不支持限制或纠正系统生成的日志。 系统生成的日志构成在 Microsoft 云和诊断数据中执行的事实操作,对此类数据的修改将损害操作的历史记录,从而增加欺诈和安全风险。

针对系统生成日志执行 DSR

租户管理员可以通过 Azure 门户为特定系统生成的日志执行 DSR,也可以直接通过特定服务的编程接口或用户界面执行 DSR。 详细信息在各个服务的参考文档中进行了介绍。

重要

支持产品内 DSR 的服务要求直接使用服务的应用程序编程接口 (API) 或用户界面 (UI)。 除了在 Azure 门户中执行 DSR 之外,还必须执行产品内 DSR,才能完成对给定数据主体的完整请求。有关更多详细信息,请参阅特定服务的参考文档。

步骤 1:访问

租户管理员是组织中唯一可以执行与系统生成日志中捕获的个人数据相关的数据主体请求的人员。 为访问请求检索到的数据将以机器可读格式提供,并在允许用户知道数据与哪些服务关联的文件中提供。 如上所述,检索到的数据不包括可能会危及服务安全性的数据。

通过 Microsoft Entra ID 管理的系统生成日志的 DSR 访问权限

Microsoft 提供了门户和产品内体验,让企业客户的租户管理员能够管理访问请求。 访问请求将允许访问用户的个人数据,包括:(a) 最终用户的身份信息以及 (b) 服务生成的日志。 该过程与第 1 部分步骤 2: Access 的 Microsoft Entra ID 部分中所述的过程相同。

通过服务 API 托管的系统生成日志的 DSR 访问权限

Microsoft 提供通过预先存在的应用程序编程接口 (API) 或用户界面 (特定服务的 UI) 直接发现客户数据的功能。 各个服务的参考文档中介绍了详细信息,其中介绍了适用的 CRUD (创建、读取、更新、删除) 操作。

步骤 2:删除

租户管理员是组织内唯一可以对 Azure 租户内的特定用户执行 DSR 删除请求的人员。

通过 Azure 门户管理的 DSR

Microsoft 提供了门户和产品内体验,让企业客户的租户管理员能够管理 DSR 删除请求。 DSR 删除请求遵循第 1 部分“步骤 5:删除”中的“通过 Azure 门户删除用户和关联数据”部分所述的流程。

通过服务 API 托管的 DSR

Microsoft 提供通过预先存在的应用程序编程接口 (API) 或用户界面 (特定服务的 UI) 直接发现客户数据的功能。 各个服务的参考文档中介绍了详细信息,其中介绍了适用的 CRUD (创建、读取、更新、删除) 操作。

租户中来宾的 DSR 删除

所有来宾都可以在 “我的帐户 - 组织 (microsoft.com) ”中查看他们可以与哪些组织协作。

如果用户选择“ 离开”

  1. 如果该帐户是 B2B 来宾帐户,它将从具有租户管理员权限的租户中删除该用户。
  2. 如果该帐户是 direct Connect 帐户 (EDDT) ,则会向 DSR 堆栈发出“删除我的数据”请求,该请求将在租户管理员权限后发出。

步骤 3:导出

租户管理员是组织中唯一可以执行与系统生成日志中捕获的个人数据相关的数据主体请求的人员。 为导出请求检索到的数据将以机器可读格式提供,并在允许用户知道数据与哪些服务关联的文件中提供。 如上所述,检索到的数据不包括可能会危及服务安全性或稳定性的数据。

通过Azure 门户管理的 DSR

你收到对数据主体的导出请求后,可使用 Azure 门户导出与给定用户相关联的系统生成日志。

下面是从租户导出用户数据的高级流程。

  1. 转到 Azure 门户并代表用户创建导出请求。
  2. 导出数据并将文件发送给用户。
从 Azure 租户导出用户信息

  1. 打开Azure 门户,选择“所有服务”,在筛选器中键入“用户隐私”,然后选择“用户隐私”。

  2. “用户隐私”中,选择“ 管理用户请求”,然后选择“ 添加导出请求”。

  3. 完成 导出数据请求

  • 用户。 键入请求导出的Microsoft Entra用户的电子邮件地址。
  • 订阅。 选择用于报告资源使用情况并计算服务费用的帐户。 这也是您的 Azure 存储帐户位置。
  • 存储帐户。 选择 Azure 存储的位置 (Blob)。 有关详细信息,请参阅 Microsoft Azure 存储简介 — Blob 存储一文。
  • 容器。 创建新的(或选择现有的)容器作为存放用户导出的隐私数据的存储位置。
  1. 选择“创建”

导出请求进入挂起状态。 你可以在“用户隐私”—“概述”边栏选项卡上查看报告状态。

重要

由于个人数据可能来自多个系统,因此导出过程可能需要长达一个月才能完成。

通过服务 API 托管的 DSR

Microsoft 提供通过预先存在的应用程序编程接口 (API) 或用户界面 (特定服务的 UI) 直接发现客户数据的功能。 各个服务的参考文档中介绍了详细信息,其中介绍了适用的 CRUD (创建、读取、更新、删除) 操作。

如何通知 Microsoft 有关导出或删除问题

如果在从Azure 门户导出或删除数据时遇到问题,请转到“Azure 门户帮助 + 支持”边栏选项卡,并在“订阅管理隐私”边栏选项卡和 GDPR 请求的“订阅>管理>隐私和合规性请求”下提交新票证。

了解详细信息