了解角色和责任
Microsoft 联机服务基于共享责任模型,其中部分安全和隐私责任由云服务提供商承担,部分由客户承担。 Microsoft 与其客户之间的责任划分取决于使用中的服务模型(基础结构、平台或软件即服务)、每个客户配置和使用服务的方式以及适用的隐私法律和法规。
例如,以下角色和责任阐明了 GDPR 规定:
数据控制者 – 控制者控制个人数据并确定其使用方式。 控制者的责任包括但不限于收集、维护、定向操作、保护、修改和删除个人数据。 控制者可以将用户添加到系统、授予对系统的访问权限并从数据主体收集数据,或让员工代表公司完成这些任务。 控制者承担理解 GDPR 请求的流程并执行 GDPR 请求的责任。
此角色由 Microsoft 的客户承担。
数据处理者 – 处理者向数据控制者提供服务,并代表其处理数据。 处理者代表控制者执行操作。 处理者帮助控制者遵守 GDPR,但不具有数据所有权,且不直接响应数据主体请求或执行数据保护影响评估。
此角色由 Microsoft 承担。 作为数据处理者,Microsoft 实施安全和隐私控制以保护我们的服务,并协助数据控制者履行其合规性义务。 例如,Microsoft 提供管理员切换功能以控制其租赁中的隐私功能。 此外,我们直接与客户租户管理员合作,并重定向最终用户有关个人数据的服务或数据主体请求的问题。
需要思考的一个重要方面是我们启用合规性的方式意味着什么。 我们的客户经常问,“这意味着什么,你是否遵守这些法律和法规?对于大多数行业或地理特定法规,可以采用符合法律或法规的方式使用 Microsoft 在线服务。 但 Microsoft 联机服务无法确保端到端合规性,因为 Microsoft 不会分析其客户个人数据的内容。
例如,HIPAA 或其他法规涵盖的组织应实施其自己的培训计划和安全措施,以确保其人员不会使用 Microsoft 服务违反这些法规。 Microsoft 最能保证的是,我们将竭尽所能,使客户能够运行合法程序。
例如,美国医生可以在我们的服务中存储患者受保护的健康信息,受 HIPAA 监管。 Microsoft 已实施安全措施和隐私控制,以确保人员无法不当访问或披露此患者信息。 但作为服务用户的医生可能会加以使用,将患者机密信息发送给营销人员。 Microsoft 会在不知情的情况下传递该消息,导致客户违反 HIPAA。 Microsoft 会认为自己是在遵循客户代表的指示。
Microsoft 致力于通过实施一流的技术、安全和隐私实践来运行并运营服务;我们服务的每个客户和用户都有责任确定其遵守特定要求和义务的方式。