了解数据生命周期 - 收集
在注册 Microsoft 联机服务时,客户必须了解适用于他们的使用条款。 由于隐私和法规要求因行业和地理边界而异,因此客户必须自行确定服务是否满足其特定使用需求。
Microsoft 与其客户的使用条款包括:
- 联机服务条款 (OST):对使用联机服务(其中 Microsoft 充当数据处理者)的商业客户的标准合同承诺
- 联机服务数据保护附录 (DPA):各自在处理和使用我们服务中存在的数据类型方面的义务
DPA 和 OST 最初在一个文件中。2020 年 1 月,我们将它们分开,以便客户能够更轻松地查找数据隐私条款。 Microsoft 与监管机构和商业客户合作以获取有关数据保护法律的反馈,我们会根据法规的变化进行调整。
隐私声明、同意和数据分类
声明和同意是世界各地隐私法的基本原则。 Microsoft 维护着一个客户数据治理委员会 (CDGB),该委员会管理客户数据分类法(分类法)和客户数据使用框架(框架)- 公司范围内针对声明、同意和用户控制措施的一套规则。 分类法定义了数据类型和用途的类别。 框架指定了使用每种数据类型所需的声明、同意和收集后用户控制措施。 Microsoft 还通过隐私审查(包括合法利益分析)来支持此流程。 其他要求可能适用于特定情况(例如,可能需要父母同意才能从儿童手中收集数据。)
数据处理和使用
数据处理标准提供了有关如何在特定活动或场景中管理每种数据分类类型的指导,包括为满足 OST/DPA 和各种审计标准和法规中概述的义务而制定的一组集体要求。 这些标准通常在构建新功能或运行服务时使用,并且可以特定于该服务,例如 Microsoft 365。
为了遵守广泛适用的隐私法,我们将所有个人数据的使用严格限制在四种处理数据类别内。 为保护客户业务数据的机密性,我们进一步严格限制所有客户数据和所有专业服务数据的使用。 我们不会访问客户数据的内容来确定哪些是个人数据,哪些不是。 相反,我们假设所有客户数据和所有专业服务数据都包含个人数据。 下面是 DPA 中定义的数据类型的直观表示。 蓝框有助于说明所有个人数据都作为其他数据类型之一(所有这些数据类型也包括非个人数据)的一部分进行处理。 支持数据是专业服务数据的子集。
诊断数据和服务生成数据中的个人数据大多采用可链接到用户的唯一计算机生成的数字形式。
国际数据传输
Microsoft 代表客户处理的客户数据和个人数据可能会传输到美国或 Microsoft 或其子处理方运营的任何其他国家/地区,并在美国进行存储和处理。 如果客户希望更深入地了解服务,请查看数据保护附录。
Microsoft 遵守以下有关跨边界传输客户数据的国际数据保护法律。 例如,欧盟示范条款规范将欧盟客户个人数据传输到欧洲经济区以外的国家/地区 (欧洲经济区) 。 Microsoft 欧盟标准合同条款针对所涵盖服务(欧洲隐私监管机构已确定这些服务符合欧盟国际数据传输标准)的个人数据传输提供具体的合同保证。 但是,欧盟示范条款继续为从瑞士和英国传输个人数据提供有效机制。