针对 GDPR 和 CCPA 的 Intune 数据主体请求
欧盟一般数据保护条例 (GDPR) 赋予民众(在条例中称为数据主体)权利,即管理已由雇主或其他类型机构或组织(称为数据控制者或简称为控制者)收集的个人数据。 根据 GDPR,个人数据的定义很宽泛,即指与已识别或可识别的自然人相关的任何数据。 GDPR 赋予数据主体对其个人数据的特定权利;这些权利包括,获取个人数据副本、请求更正个人数据、限制个人数据处理、删除个人数据,或接收能转移给另一个控制者的电子格式个人数据。 数据主体向控制者发出的对其个人数据执行操作的正式请求,称为数据主体请求 (DSR)。
同样,加州消费者隐私法案 (CCPA) 规定了加州消费者的隐私权和义务,包括与 GDPR 的数据主体权利类似的权利,例如删除、访问和接收(可移植性)其个人信息的权利。 CCPA 还就某些披露规定了在选择行使权限时防止歧视的保障措施,并就分类为“销售”的特定数据传输提出了“选择退出/选择加入”要求。 “出售”广义定义为包含共享数据来换取有值对价的行为。 有关 CCPA 的详细信息,请参阅加州消费者隐私法案和加州消费者隐私法案常见问题解答。
本指南介绍了如何使用 Microsoft 产品、服务和管理工具来帮助我们的控制者客户查找和处理个人数据以响应 DSR。 具体而言,本指南包括如何查找、访问和处理驻留在 Microsoft 云中的个人数据或个人信息。 以下是本指南中所述的过程的快速概览:
- 发现:使用搜索和发现工具更轻松地查找可能是 DSR 主体的客户的数据。 收集了潜在的响应性文档后,你便可以执行下列步骤中所述的一项或多项 DSR 操作来响应请求。 或者,你也可以确定请求是否不符合组织的 DSR 响应指南。
- 访问:检索驻留在 Microsoft 云中的个人数据,如果提出请求,还制作可供数据主体使用的个人数据副本。
- 纠正:进行更改或者对个人数据实施其他请求的操作(如果适用)。
- 限制:通过移除各种 Azure 服务的许可证,或者在可能的情况下关闭所需的服务,限制对个人数据的处理。 此外还可以从 Microsoft 云中删除数据,并将其保留在本地或其他位置。
- 删除:永久删除保存在 Microsoft 云中的个人数据。
- 导出/接收(可移植性):向数据主体提供个人数据或个人信息的电子副本(采用机器可读格式)。 根据 CCPA 的定义,个人信息是指与已识别或可识别人员相关的任何信息。 个人的私人、公共或工作角色之间没有任何区别。 所定义的“个人信息”术语与 GDPR 下的“个人信息”一致。 但是,CCPA 还包括家人和家庭数据。 有关 CCPA 的详细信息,请参阅加州消费者隐私法案和加州消费者隐私法案常见问题解答。
本指南中的每个部分概述了数据控制者组织为响应对 Microsoft 云中个人数据的 DSR 而采取的技术过程。
术语
以下列表提供了与本指南相关的术语定义。
- 控制者:单独或与其他人一起确定个人数据处理的用途和途径的自然人或法人、公共机构、机关或其他实体;如果欧盟或成员国法律确定了此类处理的用途和途径,欧盟或成员国法律可能会规定控制者或具体提名条件。
- 个人数据和数据主体:身份已识别或可识别的自然人(“数据主体”)的任何相关信息;身份可识别的自然人是指可被直接或间接识别的自然人,尤其是通过参考姓名、证件号码、位置数据、联机标识符等标识,或通过参考特定于该自然人的身体、生理、基因、精神、经济、文化或社会标识的一个或多个因素进行识别。
- 处理者:代表控制者处理个人数据的自然人或法人、公共机构、机关或其他主体。
- 客户数据:客户或代表客户通过使用企业服务提供给 Microsoft 的所有数据,包括所有文字、声音、视频或图像文件以及软件。 客户数据包括 (1) 最终用户 (的可识别信息,例如,Microsoft Entra ID) 中的用户名和联系信息,以及客户上传到特定服务或创建的客户内容 (例如 Azure 存储帐户中的客户内容、Azure SQL数据库的客户内容或客户在 Azure 中的虚拟机映像虚拟机) 。
- 系统生成日志:Microsoft 生成的日志和相关数据,可帮助 Microsoft 向用户提供企业服务。 系统生成日志主要包括化名数据,例如唯一标识符 — 这通常是系统生成的无法单独识别个人但用于向用户提供企业服务的一个数字。 系统生成日志还可能包含最终用户的身份信息,例如用户名。
如何使用本指南
本指南由两部分组成:
- 第 1 部分:响应针对客户数据发出的数据主体请求:本指南的第 1 部分介绍了如何在你用来创作数据的应用程序中访问、校正、限制、删除和导出数据。 本节详细介绍了如何响应针对客户内容和最终用户的个人身份信息发出的 DSR。
- 第 2 部分:响应针对系统生成日志发出的数据主体请求:在你使用 Microsoft 的企业服务时,Microsoft 会生成一些信息(称为“系统生成日志”)来提供服务。 本指南的第 2 部分介绍了如何为 Azure 访问、删除和导出此类信息。
了解Microsoft Entra ID和Microsoft Intune的 DSR
考虑向企业客户提供的服务时,必须始终在特定Microsoft Entra租户的上下文中了解 DSR 的执行。 值得注意的是,DSR 始终在给定Microsoft Entra租户内执行。 如果用户参与多个租户,请务必强调,给定 DSR 仅在 收到请求的特定租户的上下文中执行。 此上下文对于理解至关重要,因为这意味着一个企业客户执行 DSR 不会影响 相邻企业客户的数据。
这同样适用于提供给企业客户的Microsoft Intune:针对与Microsoft Entra租户关联的Intune帐户执行 DSR 仅与租户中的数据相关。 此外,在处理租户中的Intune帐户时,必须了解以下事项:
- 如果Intune用户创建 Azure 订阅,则将像处理Microsoft Entra租户一样处理订阅。 因此,DSR 的范围在租户内,如前所述。
- 如果删除了通过 Intune 帐户创建的 Azure 订阅,则不会影响实际Intune帐户。 同样,如前所述,在 Azure 订阅中执行的 DSR 仅限于租户本身的范围。
针对给定租户外部的 Intune 帐户本身的 DSR 通过消费者隐私仪表板执行。 有关更多详细信息,请参阅 Windows 数据主体请求指南。
第 1 部分:客户数据的 DSR 指南
针对客户数据执行 DSR
Microsoft提供通过Azure 门户访问、删除和导出某些客户数据的功能,还可以直接通过预先存在的应用程序编程接口 (API) 或用户界面 (UI) 特定服务 (也称为产品内体验) 。 有关此类产品内体验的详细信息,在各个服务的参考文档中进行了介绍。
重要
支持产品内 DSR 的服务要求直接使用服务的应用程序编程接口 (API) 或用户界面 (UI),描述了适用的 CRUD(创建、读取、更新、删除)操作。 因此,除了在 Azure 门户内执行 DSR 之外,还必须在给定服务内执行 DSR,以便完成针对给定数据主体的完整请求。 请参考特定服务的参考文档以了解更多详细信息。
步骤 1:发现
在对 DSR 做出响应时,第一步是查找作为请求主体的个人数据。 第一步-查找和查看所涉及的个人数据-将帮助你确定 DSR 是否满足组织接受或拒绝 DSR 的要求。 例如,查找并审查所涉及的个人数据之后,你可能会确定该请求不符合组织的要求,因为这样做可能会对他人的权利和自由产生不利影响。
找到数据后,可执行特定操作以满足数据主体的请求。 有关详细信息,请参阅以下资源:
步骤 2:访问
在找到包含潜在响应 DSR 的个人数据的客户数据后,应该由你和你的组织决定将哪些数据提供给数据主体。 可以通过实际文档副本、经过适当编校的版本或者你认为适合共享的部分的屏幕截图来提供。 对于访问请求的每个响应,需要检索包含响应数据的文档或其他项目的副本。
将副本提供给数据主体时,可能需要删除或修订有关其他数据主体和任何机密信息的个人信息。
下面说明了如何获取数据副本来响应 DSR 访问请求。
Microsoft Entra ID
Microsoft 提供了门户和产品内体验,让企业客户的租户管理员能够管理 DSR 访问请求。 响应 DSR 访问请求时可以访问用户的个人数据,包括:(a) 最终用户的个人身份信息,以及 (b) 系统生成日志。
特定于服务的界面
Microsoft Intune 通过用户界面 (UI) 或预先存在的应用程序编程接口 (API) 直接提供发现客户数据的功能。
步骤 3:纠正
如果数据主体要求你纠正驻留在你的组织数据中的个人数据,你和你的组织需要确定是否可以接受该请求。 纠正数据可能需要进行多种操作,如编辑、修订个人数据,或将个人数据从文档或其他类型或项目中删除。
作为数据处理者,Microsoft无法更正系统生成的日志,因为它反映了事实活动,并构成Microsoft服务内事件的历史记录。 对于Intune,管理员无法更新特定于设备或应用的信息。 如果最终用户要更正任何个人数据(如设备名),必须直接在其设备上执行该操作。 此类更改在下次连接到 Intune 时同步。
步骤 4:限制
数据主体可能要求限制对其个人数据的处理。 我们同时提供了 Azure 门户和预先存在的应用程序编程接口 (API) 或用户界面 (UI)。 这些体验为企业客户的租户管理员提供了一种通过数据导出与数据删除相结合来管理此类 DSR 的能力。 有关详细信息,请参阅处理个人数据。
步骤 5:删除
“擦除权限”可从组织的客户数据中移除个人数据,这是 GDPR 中的一项关键保护措施。 移除个人数据包括移除所有个人数据和系统生成的日志(审核日志信息除外)。 有关详细信息,请参阅 删除最终用户个人数据。
第 2 部分:系统生成的日志
审核日志为租户管理员提供导致 Microsoft Intune 有所变化的活动记录。 审核日志可用于许多管理活动,通常包括创建、更新(编辑)、删除和分配操作。 还可查看生成审核事件的远程任务。 这些审核日志可能包含已在 Intune 中注册其设备的用户的个人数据。 管理员不能删除审核日志。 有关详细信息,请参阅 审核个人数据。
通知导出或删除问题
如果在从Azure 门户导出或删除数据时遇到问题,请转到“Azure 门户帮助 + 支持”边栏选项卡,并在“订阅管理隐私”边栏选项卡和 GDPR 请求的“订阅>管理>隐私和合规性请求”下提交新票证。