欧盟模式条款

欧盟模式条款概述

欧盟 (EU) 数据保护法规范了向欧洲经济区 (EEA) 以外的国家/地区(包括所有欧盟国家/地区及冰岛、列支敦士登和挪威)转移欧盟客户个人数据的行为。 在实际层面上,遵守欧盟数据保护法还意味着客户在欧盟以外传输个人数据时需要较少的单个当局的批准,因为大多数欧盟成员国不需要额外的授权,如果传输是基于符合示范条款的协议。

Microsoft 和欧盟模式条款

欧盟 (EU) 一般数据保护条例 (GDPR) 规范了向欧洲经济区 (EEA) 以外的国家/地区(包括所有欧盟国家/地区及冰岛、列支敦士登和挪威)转移客户个人数据的行为。 Microsoft 向客户提供了欧盟标准合同条款 (SCC)(也称为欧盟示范条款),其中对范围内服务的个人数据传输进行了明确保证。 欧盟示范条款在服务提供商(如 Microsoft)与其客户之间达成的协议中使用,旨在确保在传输离开 EEA 的任何个人数据时始终遵循 GDPR 的要求。

2020 年 7 月,欧盟法院 (CJEU) 宣布欧盟-美国隐私保护框架无效,该框架用于将个人数据从欧盟传输到美国。 但是,欧盟示范条款继续为从欧盟和 EEA 以及瑞士和英国传输个人数据提供有效机制。 Microsoft 向客户提供欧盟示范条款,如 Microsoft 在线服务条款 (OST) 数据保护附录 (DPA) 中所述。

Microsoft 范围内的云平台和云服务

  • Azure 与 Azure 政府
  • Azure DevOps Services
  • Dynamics 365
  • Intune:Office 365 的 Intune 附加产品和移动设备管理的云服务部分
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint 针对以下云服务部分:终结点检测和响应、自动调查和修正、安全分数。
  • Microsoft 专业服务:针对 Azure、Dynamics 365、Intune 及 Microsoft 365 商业版中型企业客户的高级和本地支持。
  • Office 365
  • Power Automate (以前称为 Microsoft Flow) 云服务,作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
  • PowerApps 云服务,作为独立服务提供,后者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
  • Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供

Office 365 和欧盟模式条款

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 高级威胁防护、Microsoft Entra ID、Azure 信息保护、Bookings、合规性管理器、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 高级合规版加载项、Office 365 云应用安全、Office 365组、Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage

审核、报告和证书

Microsoft 会持续评估欧盟标准,并根据需要更新其服务。

常见问题解答

为什么遵守模式条款很重要?

按照合同规定遵守模式条款的服务提供商需向其客户保证,他们将按照欧盟数据保护法传输和处理个人数据。 使用模式条款还意味着,客户在将个人数据传输到欧盟以外的其他国家/地区时,只需接受为数不多的几个数据保护机构的审批即可。

在哪里可以找到有关 Microsoft 服务的合规性信息?

合规性是一项合同承诺。 Microsoft 标准合同条款适用于签订了在线服务条款的所有云客户;有关其他服务,请参阅与 Microsoft 的现有协议。

什么是 “下层数据处理者”?

下层数据处理者会按照数据控制者的指示以及欧盟模式条款和分包合同的相应条款来处理个人数据。 Microsoft 客户( 独立软件供应商 (ISV) )有时自己是数据处理者。 在这些实例中,Microsoft 是下层数据处理者。

从何处着手开展我自己组织的合规工作?

你可以签订协议(如在线服务条款),或探索修正现有协议以包含标准合同条款。

资源