符合 GDPR 和 CCPA 的 Azure DevOps Services 数据主体请求
欧盟 一般数据保护条例 (GDPR) 赋予人员(在法规中称为 数据主体)管理 数据控制者收集的个人数据的权利。 数据控制者(或只是 控制者)是雇主或其他类型的机构或组织。 根据 GDPR,个人数据的定义很宽泛,即指与已识别或可识别的自然人相关的任何数据。 GDPR 授予数据主体对其个人数据的特定权利。 这些权利包括获取个人数据的副本、请求更正、限制个人数据的处理、删除数据或以电子格式接收数据,以便将其移动到另一个控制者。 数据主体向控制者提出的对其个人数据执行操作的正式请求称为 “数据主体请求”或“DSR”。
同样,加州消费者隐私法案 (CCPA) 规定了加州消费者的隐私权和义务,包括与 GDPR 的数据主体权利类似的权利,例如删除、访问和接收(可移植性)其个人信息的权利。 CCPA 还就某些披露规定了在选择行使权限时防止歧视的保障措施,并就分类为“销售”的特定数据传输提出了“选择退出/选择加入”要求。 “出售”广义定义为包含共享数据来换取有值对价的行为。 有关 CCPA 的详细信息,请参阅加州消费者隐私法案和加州消费者隐私法案常见问题解答。
有关 GDPR 的一般信息,请参阅服务信任门户的 GDPR 部分。
本指南介绍如何使用 Microsoft 工具在经过身份验证的 Azure DevOps Services(以前称为 Visual Studio Team Services)的(已登录)会话过程中导出或删除所收集的个人数据。
其他隐私信息
Microsoft 隐私声明、在线服务条款 (OST) 和 Microsoft 对 GDPR 的承诺文章介绍我们的数据处理做法。
我们收集的个人数据
Microsoft 会从用户那里收集数据以操作和改进 Azure DevOps Services。 Azure DevOps Services 会收集两个类别的数据:客户数据和系统生成的日志。 客户数据包括 Azure DevOps Services 运行服务所需的可识别用户身份的事务和交互数据。 系统生成的日志包括针对每个产品领域和功能聚合的服务用法数据。
删除 Azure DevOps 数据
Azure DevOps 作为管理更改的系统,必须遵守严格的数据完整性、可跟踪性和审核规则。 这些义务会影响我们在 GDPR 下删除和保留数据的责任,因此,我们不履行个人匿名或删除请求。 从 Azure DevOps 中消除个人数据的唯一方法是完全删除组织。 终止Microsoft Entra ID 或 Microsoft 帐户 (MSA) 标识帐户不会更改或删除与 Azure DevOps 组织中个人标识关联的任何项目或记录,例如拉取请求或工作项。 我们确保在删除 Azure DevOps 组织时,在强制 30 天软删除时间范围内删除所有相关个人数据,并且系统生成的日志将匿名化。
导出 Azure DevOps 数据
控制器可以通过两种方法之一导出从其数据主体收集的客户数据和系统生成的日志,具体取决于用于登录 Azure DevOps 服务的标识提供者 (MSA 或Microsoft Entra ID) 。
使用 Azure 租户支持的帐户(例如,Microsoft Entra帐户或与 Azure 订阅关联的 MSA 帐户)进行身份验证的用户可以按照 GDPR 的 Azure 数据主体请求中的说明进行操作。
使用 MSA 标识进行身份验证的用户可以使用此 隐私请求站点 跨多个 Microsoft 服务查看与其 MSA 标识关联的活动数据。 在该场景中,用户是其自己的个人数据的控制者。
导出或删除问题
对于Microsoft Entra标识,如果在从Azure 门户导出或删除数据时遇到问题,请转到“Azure 门户帮助 + 支持”边栏选项卡,并在“订阅管理隐私”边栏选项卡和 GDPR 请求的“订阅>管理>隐私和合规性请求”下提交新票证。
对于 MSA 身份,如果在从隐私请求网站导出数据时遇到问题,请登录到隐私请求网站,并通过请求 Web 窗体提交请求,以获取来自 Microsoft 隐私团队的帮助。
了解更多
Microsoft 致力于确保Azure DevOps Services数据保持安全和私密,无一例外。 请访问Azure DevOps Services数据保护概述白皮书,详细了解我们如何保护Azure DevOps Services数据。