数据保护注意事项
重要
本文适用于旧版工作区分析应用,不反映更新后的 Viva Insights 平台上可用的功能。 在此处访问 Viva Insights 高级见解的当前文档:高级见解文档。
通过使用 Microsoft 365 中日常工作生成的数据,不同的Microsoft Viva Insights功能可帮助人们了解他们如何使用有限的时间以及他们花在谁身上,然后提供有关如何更智能地工作的智能提示。
以下内容包括角色、职责、数据类型和数据隐私建议的基本概述。 此处提供的一般建议是规划数据保护策略和部署的起点。 这些不能替代通过与组织内的法律、隐私、人力资源和其他主题专家接触来满足组织的独特需求。
角色和职责
数据控制者、数据处理者和数据主体的概念源于欧洲隐私法。 无论你的组织位于何处,或者是否涉及欧盟公民的任何个人数据,这些概念都为在使用Viva Insights时考虑数据保护提供了一个有用的框架。
下图显示了数据控制者 (组织) 在数据主体 (左侧) 与数据处理者 Microsoft (右侧) 之间的中心位置:
在设置Viva Insights之前,请先考虑组织和 Microsoft 在保护个人数据和尊重数据主体权利方面各自的角色和责任。
数据控制器
数据控制者是确定处理数据主体个人数据的目的和方式的一方。
使用 Viva Insights 时,组织是数据控制者,因为组织确定Viva Insights是否、如何以及为何处理任何个人数据。
作为数据控制者,组织应:
确定要分析的数据范围以及分析的目的和目标。
请与组织的法律、隐私和人力资源团队协作完成以下任务:
- 确定是否应获得公司员工的同意。
- 确定向员工提供有关组织如何处理Viva Insights个人数据的信息。
- 考虑特定于本地或国家/地区的注意事项。
注意
一些国家要求雇主在工作场所部署某些信息技术之前咨询员工代表或寻求工作委员会批准,而另一些国家则限制雇主何时以及如何处理某些员工数据。 例如,如果你的公司在德国或荷兰有员工,则应考虑是否需要工作委员会参与或批准。 此外,Viva Insights处理员工通信中的数据,这些数据可被视为“通信数据” (包括芬兰 ) 的“交通数据”。 因此,如果你的公司在芬兰有员工,那么你应该了解芬兰法律如何适用于处理员工个人数据和通信或交通数据,以确定是否允许使用Viva Insights。
- 使用Viva Insights隐私控制来指示要分析的数据、数据在结果中的显示方式,以及谁将有权访问原始数据和分析结果。
- 查看并熟悉此文档以及 Microsoft 提供的其他Viva Insights隐私文档。
数据处理者
数据处理者是代表数据控制者处理个人数据的一方。 当组织使用Viva Insights时,Microsoft 是数据处理者。
作为数据处理者,Microsoft 将:
- 根据组织的指示,在 Viva Insights 中的设置配置中处理个人数据。
- 通过使用Viva Insights,根据在线服务条款 (OST) 与 Microsoft 365 相同的一般隐私和安全条款,处理提供给 Microsoft (的所有数据,包括个人数据) 。
- 作为 Microsoft 在 OST 下承诺的一部分,仍符合欧盟-美国和瑞士-美国认证。隐私盾框架以及这些框架对将个人数据从欧盟和瑞士传输到美国合法化的承诺。
- 从 2018 年 5 月 25 日起,以合同方式承诺遵守欧盟一般数据保护条例 (GDPR) 的适用条款。
- 提供Viva Insights功能,帮助组织履行其数据控制者义务并履行 GDPR 下的数据主体权利,包括排除处理、访问和擦除的权利,以及有关处理方法的透明度权。
- 实施技术和组织安全措施,以保护组织 (和员工 ) Viva Insights数据的机密性。
此外,Microsoft 不会将数据用于广告,也不会自愿向执法部门提供数据。
数据主体
数据主体是通过个人数据识别的人员。 在Viva Insights的上下文中,数据主体是组织中正在处理其个人信息的员工或其他用户。 个人数据是直接或间接标识 (数据主体) 的任何信息。
注意
在大多数情况下,在Viva Insights产品和文档中,我们仅将数据主体称为“用户”、“人员”、“个人”或“员工”。
取消标识数据
为了防止泄露个人数据,Viva Insights取消标识用户数据。 有关详细信息 ,请参阅取消个人数据标识 。
分析中使用的数据类型
在使用高级见解应用及其分析工具或使用经理和领导者见解之前,应考虑可能看到并可能包含在高级分析中的数据类型。 具体而言,请考虑是否必须包含个人数据才能实现分析目的,或者无法用于识别特定个人的其他类型的数据是否会产生与使用个人数据时一样有效且具有洞察力的结果。
组织可能有自己的数据分类系统,但在实现Viva Insights时,你可能希望考虑以下数据类型:
| 隐私风险 | 数据类型 | 定义 | Viva Insights 中的示例 |
|---|---|---|---|
| Highest | 个人数据 | 个人数据是直接或间接识别人员的信息 | 默认情况下,Viva Insights从 Microsoft 365 或 Microsoft Entra ID取消标识电子邮件地址和其他信息,这些信息直接标识任何产品内仪表板或查询结果中的个人。 但是,它确实显示组织为分析提供的组织数据集中的信息。 因此,如果上传包含个人数据的组织数据 (例如员工姓名和标识号) ,则个人数据将显示在产品内仪表板和查询结果中。 |
| Higher | 假名化数据 | 假名化数据是其中个人标识符已替换为不直接标识 (人员的值的信息,例如数字标识符,如果不使用其他信息) ,则无法再归因于特定人员。 | Viva Insights自动将电子邮件地址替换为假名, (你选择包含在分析的 Microsoft 365 协作数据中加密模糊的数字和字母字符串) 。 使用假名可以降低识别特定人员的可能性,但识别的风险仍然存在。 |
| Lower | 聚合数据 | 聚合数据是从多个个人或源计算的信息。 | Viva Insights计算整个组织的平均值。 由于平均值是从许多人的数据中计算的,因此几乎不可能派生有关特定人员活动的信息。 从聚合数据中识别某人的可能性取决于样本的大小。 为组织实现Viva Insights时,必须选择用于聚合的样本大小阈值。 较小的样本量 ((例如少于 10 人)) 可能会揭示有关个人活动的一些见解,尤其是当个人已知时,其他信息 (例如,个人是否在度假) 可以与平均值随时间推移的变化相关联。 |
| Lowest | 去标识的数据 | 去标识数据是与特定个人无关的信息,不会增加识别特定个人的可能性,或者已以某种方式呈现的信息,以便无法用于识别特定个人。 | 使用 Viva Insights 中的默认设置时,作为分析输出的所有计算指标都将是去标识数据。 |
数据隐私建议
在开始使用 Viva Insights 之前,请考虑实现以下数据隐私建议。
制定明确的分析计划
通过在高级见解应用中使用高级分析工具,可以通过多种方式处理数据,因此在开始之前,请务必明确要分析的内容和原因。 确定要回答的组织的具体问题,然后考虑Viva Insights如何帮助你找到这些答案。
有一个明确的问题,然后确定Viva Insights的数据分析如何回答问题,有助于实现以下目标:
- 将工作集中在有限的目的上,并有助于防止分析师简单地筛选分析数据。
- 它可帮助你确定数据使用范围,并避免隐私缺陷,例如,包含的数据超过必要的数量、保留数据的时间超过必要时间,以及无法让员工了解其个人数据的使用方式。
- 在组织受 GDPR 约束的情况下,规划分析是确定和记录使用Viva Insights处理个人数据的合法利益的关键步骤。
确定是否 (DPIA) 完成数据保护影响评估
组织中的员工和其他用户的隐私风险程度在很大程度上由你控制。 这种风险主要取决于要导入到高级见解应用的组织数据集,以及如何使用这些数据。
在制定分析计划之后,但在开始在高级见解应用中处理数据之前,请确定是否需要完成 DPIA。 如果建议使用Viva Insights涉及以可能导致组织中员工和其他用户权利面临高风险的方式处理个人数据,则可能需要完成 DPIA。 如果不确定是否需要 DPIA,请咨询组织的隐私主题专家,例如法律或人力资源人员。
高风险数据包括敏感的人口统计数据,例如种族或种族、性别或性别以及工会成员身份。 Viva Insights的高风险用途包括使用服务进行分析或对员工做出自动决策或预测。 (请注意,Microsoft 设计Viva Insights来帮助组织中的人员做出数据驱动的决策,而不是自动执行这些决策。)
如果您确定 DPIA 对于建议使用Viva Insights是必需的,则需要记录如何使用服务处理个人数据的几个方面,包括数据收集方式、数据处理方式、处理目的的必要性、处理员工面临的风险、数据在内部和外部流动Viva Insights;你从员工那里收到的关于建议数据处理的反馈;以及组织数据保护专员 (或同等) 认为 DPIA 所需的任何其他信息。 作为数据控制者,组织完全负责确定组织使用Viva Insights的目的。 作为数据处理者,Microsoft 会根据你的服务配置通知产品如何运行和处理数据。
尽可能使用聚合或去标识的数据
若要最大程度地降低隐私风险,请使用进行研究所需的最低数据。 虽然采用严格的策略,即从不使用个人数据,并将假名化数据与标识属性结合使用,可以帮助解决使用此类数据时固有的许多风险,但此类策略可以限制Viva Insights可以执行的分析类型。 由组织决定适合你的组织的最佳方法和策略。
例如,许多公司都看到了了解其组织内不同团队或部门之间的聚合协作模式的好处。 很少有公司愿意分析高度敏感信息,如健康数据、实时位置、文档内容和某些类型的多样性人口统计。
与主题专家密切合作
咨询你希望使用Viva Insights的国家/地区的组织的人力资源、隐私和法律主题专家。 在一个国家/地区可能可接受的分析可能受到更多要求 (例如,通知和同意义务在其他国家) 甚至非法。 尽职调查在欧盟等高度监管的司法管辖区尤其重要。
确定使用哪些数据以及谁可以查看这些数据
可以使用Viva Insights完全控制在分析中包括哪些数据。 主要数据源是 Microsoft 365 中的协作数据。 此数据由要包括的人力资源或其他组织数据进行补充,以便可以按职务、位置或其他属性对信息进行分组。
Microsoft 365 提供的数据
Viva Insights使用 Microsoft 365 电子邮件和日历项目中的标头信息。 此标头信息包括发件人和收件人、日期和主题行的电子邮件,以及组织者、与会者和会议持续时间。 Viva Insights绝不包括电子邮件和日历项中的附件和内容。 有关包含和排除的内容的完整说明,请参阅 隐私和数据访问。
请务必注意,虽然Viva Insights使用此 Microsoft 365 数据,但大多数标头信息永远不会直接提供给服务中的用户。 相反,Viva Insights基于此信息提供计算和指标。 此外,使用服务中的设置,可以决定和配置要使用的数据以及谁可以看到这些数据。 有关完整详细信息,请查看产品隐私功能文档。
控件中的隐私功能
首先,确定要包含在Viva Insights研究中的用户邮箱。 然后,可以使用多个控件进一步限制数据。
- 可以控制分析师是否有权访问电子邮件和日历主题行。
- 你可以根据你认为敏感的主题行中的关键字 (排除所有会议和电子邮件) 。
- 可以从已包含用于分析的初始用户邮箱集中删除对任何个人的所有引用。
- 可以排除机密或私人电子邮件,或者使用 Microsoft 的数字权限管理技术保护的电子邮件。
若要了解有关隐私的详细信息,请参阅 隐私和数据访问权限 和 将角色分配给管理员和分析员。
组织提供的数据
你可以控制要包含在Viva Insights分析中的其他信息。
若要按组织线启用分析,可以提供人力资源数据,例如学科、职务、位置和经理。 Viva Insights可确保永远不会在分析此信息时使用个人标识。 但是,请务必注意防止基于个人数据(例如姓名、员工标识号或特定办公室位置)意外识别用户。 此外,请考虑包含其特定值可能直接标识某些个人 ((例如包含 CEO) 的标题字段)或可能会将个人集减少到聚合阈值以下(使个人易于识别 (例如,可能只有几个董事) )的风险。
谁可以查看数据
你可以控制谁将看到数据和分析结果。 与处理敏感数据的其他产品(如人力资源系统)一样,Viva Insights不适用于一般员工。 相反,用户应该接受有关如何处理敏感信息的培训。 培训营特定于组织的内容。 建议的主题可能包括组织的人力资源策略、员工隐私策略、如何处理和存储敏感数据以及内部交易。
两种类型的分析师可以访问Viva Insights内的信息。 第一种类型是 Analyst (Limited Access) ,它提供数据的探索性视图,并填充了仅提供聚合信息且不共享个人数据的预设视图。 对于不需要全能Viva Insights来理解数据的分析师,建议使用此视图。 此视图中提供的分析抑制了公开用户特定信息的任何机会。
Viva Insights中提供的第二种类型的访问权限是具有完全访问权限的分析师。 这种类型的分析师可以使用会议和电子邮件信息运行查询数据进行分析,所有这些都属于去标识数据类别。 但是,如果选择提供个人数据,分析师可以识别要计算的指标。 因此,在获得访问Viva Insights之前,必须对这些分析师进行必要的培训。 此外,Viva Insights记录此类分析人员创作的所有查询,因此你可以审核这些查询,以确保与组织策略和完成的任何 DPIA 保持一致。
这两个角色都由租户管理员预配。
支持处理数据主体请求
根据 GDPR,数据主体可能有权请求排除其个人数据的处理、访问、更正或删除。 组织作为数据控制者的角色是评估特定数据主体请求是否有效,并在适当的情况下采取措施来完成请求。 作为数据处理者,Microsoft 为组织提供机制,作为数据控制者,通过内置于Viva Insights中的控件来尊重数据主体权限。
排除处理 - 数据主体有权将其个人信息排除在处理之外。 在Viva Insights中,只需不向该员工分配Viva Insights许可证,即可排除员工的个人信息被处理。
访问 - 数据主体有权要求处理哪些个人信息,Viva Insights使你能够导出可能包含个人数据的原始数据。 此类信息的范围仅限于个人可关联的信息,并且不包含无法从中收集个人信息的聚合指标。
更正 - 数据主体有权更正其个人数据。 Viva Insights仅对来自其他源(例如 Microsoft 365 的电子邮件和会议数据或你上传的组织数据)提供的数据执行 (主要是算术) 。 无法通过Viva Insights更正此数据。
删除 - Microsoft 支持 GDPR 擦除权限。 此外,如有必要,客户本身还可以删除标识数据主体的报表。 客户还可以从任何其他数据 (中删除数据主体,例如他们可能已提供给Viva Insights的组织数据或 CRM 数据) 。
有关处理的透明度 - 有关Viva Insights计算的指标及其含义的详细信息,请参阅指标说明。
注意
Microsoft 365 用户可以确定他们是否具有Viva Insights许可证,从而确定是否正在处理其数据。 有关详细信息,请参阅 订阅状态。
其他资源
- 隐私数据访问
- 第 29 条 数据保护工作组 意见 2/2017 关于工作中的数据处理
- 欧盟 一般数据保护条例
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈