Windows 隐私合规:
面向 IT 和合规专业人员的指南
适用于:
- Windows 10 和 Windows 11 企业版
- Windows 10 和 Windows 11 教育版
- Windows 10 和 Windows 11 专业版
- Windows Server 2016 和更高版本
概述
在 Microsoft,我们一直致力于保护所有产品和服务的数据隐私权。 在本指南中,我们为管理员和合规专业人员提供 Windows 的数据隐私注意事项。
Microsoft 通过与 Windows 设备的用户进行多项交互来收集数据。 此信息可以包含可用于提供、保护、改进 Windows 的个人数据,并提供连接的体验。 为了帮助用户和组织控制个人数据的收集,Windows 提供全面的透明度功能、设置选项、控件和数据主体请求支持,所有这些都将在本文章中详细介绍。
此信息允许管理员和合规专业人员协同工作,以便更好地管理个人数据隐私注意事项和相关法规,例如一般数据保护条例 (GDPR)。
1. Windows 数据收集透明度
透明度是 Windows 中数据收集过程的重要部分。 在设备设置期间和完成之后,将在 Windows 内直接向用户和管理员提供有关用于收集数据的功能和进程的全面信息。
1.1 设备设置体验和对分层透明度的支持
设置设备时,用户可以配置其隐私设置。 这些隐私设置对确定收集的个人数据量至关重要。 对于每个隐私设置,用户将提供有关设置的信息以及指向支持信息的链接。 此信息说明了收集哪些数据、如何使用数据以及如何在设备设置完成后管理设置。 在设置设备期间,用户还可以在连接到网络时查看隐私声明。 如需简要了解隐私设置的设置体验,请参阅 Windows 博客上的以下博文:Windows 预览体验成员将抢先体验即将在 Windows 10 中推出的全新隐私屏幕设置布局。
下表概述了在设备设置体验期间显示的 Windows 10 和 Windows 11 隐私设置,这些设置涉及处理个人数据和查找其他信息的位置。
注意
此表仅限用于隐私设置,最常在设置当前版本的 Windows 10 或更高版本时使用。 有关涉及数据收集设置的完整列表,请参阅:管理 Windows 操作系统组件和 Microsoft 服务的连接。
| 功能/设置 | 描述 | 支持内容 | 隐私声明 |
|---|---|---|---|
| 诊断数据 | Microsoft 使用诊断数据保持 Windows 安全和使其保持最新状态、解决问题,并进行产品改进。 无论你对诊断工具数据收集作出那种选择,该设备都将安全,并正常运行。 此数据由 Microsoft 收集,以便快速识别并解决影响其客户的问题。 诊断数据分为以下几种: |
了解详细信息 在组织中配置 Windows 诊断数据 |
隐私声明 |
| 墨迹书写和键入 | Microsoft 将收集可选墨迹书写和键入诊断数据,以改进 Windows 上运行的应用和服务的语言识别和建议功能。 | 了解详细信息 | 隐私声明 |
| 位置 | 获取基于位置的体验(例如路线和天气)。 让 Windows 和应用请求你的位置,并允许 Microsoft 使用你的位置数据改进定位服务。 | 了解详细信息 | 隐私声明 |
| 查找我的设备 | 如果丢失设备,请使用设备的位置数据以帮助你查找设备。 | 了解详细信息 | 隐私声明 |
| 定制体验 | 让 Microsoft 根据你选择送出的诊断数据为你提供定制体验。 定制体验包含着用于根据你的需要增强 Microsoft 产品和服务的个性化提示、广告和建议。 | 了解详细信息 | 隐私声明 |
| 广告 ID | 应用可以使用广告 ID 根据应用提供商的隐私策略提供更个性化的广告。 | 了解详细信息 | 隐私声明 |
1.2 数据收集监控
诊断数据查看器 (DDV) 是 Windows 10 版本 1803 及更高版本以及 Windows 11 中提供的一个 Microsoft Store 应用,它允许用户查看正在其 Windows 设备上收集并实时发送到 Microsoft 的 Windows 诊断数据。 DDV 会将信息分组成简单类别,来描述正在收集的数据。
管理员还可以使用适用于 PowerShell 的诊断数据查看器模块(而不是使用诊断数据查看器 UI)查看从设备收集的诊断数据。 适用于 PowerShell 的诊断数据查看器概述 提供了进一步的信息。
注意
如果启用了 Windows 诊断数据处理器配置,则 IT 管理员应使用管理门户来满足数据主体访问或导出与特定用户设备使用情况关联的 Windows 诊断数据的请求。 请参阅 行使数据主体权利的流程。
2. Windows 数据收集管理
Windows 提供了通过多种不同方法管理隐私设置的功能。 用户可以通过在 Windows 中打开“设置”应用来更改其隐私设置,或者组织还可使用组策略或移动设备管理 (MDM)管理隐私设置。 以下部分概述了如何管理本文前面所述的隐私设置。
2.1 用户的隐私设置选项
设置 Windows 设备后,用户可以通过导航到 Windows 中的“设置”应用来管理数据收集设置。 管理员可以在设备上通过设置策略来控制隐私设置(请参阅下面的 2.2 部分)。 如果是这种情况,用户将在导航到“设置”页面时看到警报,显示“组织隐藏了某些设置或对其进行管理”。 在这种情况下,用户仅能根据管理员已对设备应用的策略更改设置。
2.2 管理员的隐私设置控制
管理员可以通过使用组策略、移动设备管理 (MDM)或 Windows 注册表设置在其组织中配置和控制隐私设置。
下表概述了本文档中前面讨论的隐私设置以及有关策略配置这些设置的详细信息。 如果你不使用策略管理设置并在设备设置期间禁止全新安装体验 (OOBE),该表还提供有关其中每个隐私设置对应的默认值的信息。 如果你对数据收集最小化感兴趣,我们还提供要设置的推荐值。
注意
这不是涉及管理数据收集或连接到 Windows 连接体验的设置的完整列表。 要查看更详细的列表,请参阅 管理 Windows 操作系统组件与 Microsoft 服务 之间的连接。
| 连接体验/设置 | GP/MDM 文档 | 如果禁止设置体验,则为默认状态 | 停止/最小化数据收集的状态 |
|---|---|---|---|
| 语音 | 组策略: 计算机配置>控制面板>区域和语言选项>允许用户启用联机语音识别服务 MDM:Privacy/AllowInputPersonalization |
关闭 | 关闭 |
| 位置 | 组策略: 计算机配置>Windows 组件>应用隐私>允许 Windows 应用访问位置 MDM:Privacy/LetAppsAccessLocation |
关闭 (Windows 10,版本 1903 和更高版本以及 Windows 11) | 关闭 |
| 查找我的设备 | 组策略: 计算机配置>Windows 组件>查找我的设备>打开/关闭查找我的设备 MDM:Experience/AllFindMyDevice |
关闭 | 关闭 |
| 诊断数据 | 组策略: 计算机配置>Windows组件>数据收集和预览版>允许遥测(或允许 Windows 11 或 Windows Server 2022 中的诊断数据) MDM:System/AllowTelemetry 注意:如果计划使用 Windows 诊断数据处理器配置选项配置设备,则不建议使用最小化数据收集的状态。 有关详细信息,请参阅启用 Windows 诊断数据处理器配置。 |
必需诊断数据 (Windows 10 版本 1903 和更高版本以及 Windows 11) 服务器版本: 增强的诊断数据 |
安全性(关闭)和阻止终结点 |
| 墨迹书写和键入诊断 | 组策略: 计算机配置>Windows 组件>文本输入>改进墨迹书写和键入识别 MDM:TextInput/AllowLinguisticDataCollection |
关闭 (Windows 10 版本 1809 及更高版本以及 Windows 11) | 关闭 |
| 定制体验 | 组策略: 用户配置>Windows 组件>云内容>不使用诊断数据进行定制体验 MDM: Experience/AllowTailoredExperiencesWithDiagnosticData |
关闭 | 关闭 |
| 广告 ID | 组策略: 计算机配置>系统>用户配置文件>关闭广告 ID MDM:Privacy/DisableAdvertisingId |
关闭 | 关闭 |
| 活动历史记录/时间线 - 云同步 | 组策略: 计算机配置>系统>操作系统策略>允许上传用户活动 MDM:Privacy/EnableActivityFeed |
关闭 | 关闭 |
| Cortana | 组策略: 计算机配置>Windows 组件>搜索>允许 Cortana MDM:Experience/AllowCortana |
关闭 | 关闭 |
2.3 配置选项指南
本部分提供一般详细信息和指向更详细信息的链接,以及面向管理员和合规专业人员的说明。 这些指令可用于管理设备设置以管理组织的合规性目标。 此信息包含有关设置设备的详细信息,用于在安装配置设备的设置以最大限度地减少数据收集和与驱动器隐私相关的用户体验。
2.3.1 管理设备设置体验
可以使用多种不同的方法配置 Windows 部署,这些方法为管理员提供了控制选项:包括如何设置设备、选择默认启用的功能以及用户在登录后可以在设备上更改的内容。
如果你想要完全控制及应用传回 Microsoft 资料的限制,可以使用配置管理器作为部署解决方案。 配置管理器可用于使用各种部署方法来部署自定义的启动映像。 你可以通过此指令关闭此设置,可以进一步限制任何特定于配置管理器的诊断数据被发送回 Microsoft Corporation。
另外,你的管理员可以选择使用 Windows Autopilot。 Windows Autopilot 减轻了部署的总体负担,同时允许管理员完全自定义开箱即用的体验。 但是,Windows Autopilot 是基于一种云的解决方案,管理员应注意初始设备启动时,只会传回少数的设备标识符回 Microsoft。 这种设备特定的信息是用来识别设备,让其能够接收管理员设定的 Windows Autopilot 配置文件和策略。
你可以阅读以下文章,以了解更多 Windows Autopilot 的资讯以及如何使用 Windows Autopilot 部署 Windows:
2.3.2 管理 Windows 连接体验和基本服务
Windows 包括连接到 Internet 以提供增强体验和其他基于服务的功能的功能。 这些功能称为连接体验。 例如,Microsoft Defender 防病毒是一种连接体验,可提供更新的保护,以确保组织中的设备安全。
基本服务是产品中连接到 Microsoft 的服务,用于确保产品处于安全、最新的状态,并按预期运行或保证产品正常运行。 例如,许可服务用于确认你已获得使用 Windows 的正确授权。
Windows 基本服务和连接体验提供最常见的 Windows 基本服务和连接体验的列表。
使用连接体验时,数据将发送到 Microsoft 并由 Microsoft 进行处理,以提供该连接体验。 管理员可以通过配置与 Windows 连接体验和基本服务提供的功能关联的设置来管理从其组织发送到 Microsoft 的数据。 有关详细信息,请参阅 管理 Windows 操作系统组件与 Microsoft 服务之间的连接。 本文章包含有关配置每个设置的不同方法、对功能的影响,以及适用的 Windows 版本。
文章 管理 Windows 11 企业版 的连接终结点提供了连接体验为最新 Windows 版本传输数据的终结点列表,以及对限制数据收集将影响的任何功能的说明。
2.3.3 有限功能基线
组织可能希望通过管理连接并在其设备上配置其他设置来最大限度地减少发送回 Microsoft 或与 Microsoft 应用共享的数据量。 与Windows 安全基准类似,Microsoft已发布有限功能基准,重点在于配置设置,最小化地将数据传送回Microsoft。 但是,应用以下设置可能会影响其设备的功能。 管理 Windows 操作系统组与 Microsoft 服务之间的连接文章提供了有关如何应用基线的详细信息,以及基线中涉及的完整设置列表和将受影响的功能。 不想应用基线的管理员仍可查找有关如何单独配置每个设置的详细信息,以在数据共享和对其组织的功能影响之间寻求适当的平衡。
重要提示
- 建议在组织中部署这些设置之前,对这些设置的修改进行全部测试。
- 我们还建议,如果计划启用 Windows 诊断数据处理器配置,请在部署之前调整有限的配置基线,以确保不会关闭 Windows 诊断设置。
2.3.4 诊断数据:管理登录时级别更改的通知
从 Windows 10 版本 1803 和 Windows 11 开始,如果管理员修改诊断数据收集的设置,用户在首次登录设备时将收到有关此更改的通知。 例如,如果配置设备为发送可选诊断数据,用户下次登录设备时将收到通知。 你可以使用设置组策略(计算机配置>管理模板>Windows 组件>数据收集和预览版>配置遥测选择加入更改通知)或 MDM 策略 ConfigureTelemetryOptInChangeNotification 来禁用这些通知。
2.3.5 诊断数据:管理用于更改设置的最终用户选择
Windows 10 版本 1803 和更高版本以及 Windows 11 允许用户将其诊断数据级别更改为比其 IT 管理员设置的更低的级别。 例如,如果已将设备配置为发送可选诊断数据,用户可以更改设置,以便仅通过在 Windows 中打开“设置”应用并转到“诊断和反馈”来发送所需的诊断数据。 管理员可以通过启用组策略,以限制用户更改设置:计算机配置>管理模板> Windows 组件> 数据收集和预览版 > 配置遥测选择加入设置用户界面或 MDM 策略ConfigureTelemetryOptInSettingsUx 。
2.3.6 诊断数据:管理基于设备的数据删除
Windows 10 版本 1809及更高版本以及 Windows 11 允许用户删除从设备收集的诊断数据,方法是在 Windows 中打开“设置”应用并导航到诊断诊断和反馈,单击删除诊断数据标题下的删除按钮。 管理员还可以使用 Clear-WindowsDiagnosticData PowerShell cmdlet 删除设备的诊断数据。
管理员可以通过设置组策略(计算机配置>管理模板>Windows 组件>数据收集和预览版>禁用删除诊断数据)或 MDM 策略 DisableDeviceDelete 来禁用用户删除其设备的诊断数据功能。
注意
如果启用 Windows 诊断数据处理器配置,则将禁用“删除诊断数据”按钮,并且 powershell cmdlet 将不会删除在此配置下收集的数据。 IT 管理员可以改为通过从管理门户调用删除请求来删除收集的诊断数据。
2.3.7 诊断数据:启用 Windows 诊断数据处理器配置
适用于:
- Windows 11 企业版、专业版和教育版
- Windows 10、企业版、专业版和教育版版本 1809,包含 2021 年 7 月更新和更高版本。
根据欧盟一般数据保护条例 (GDPR) 的规定,Windows 诊断数据处理器配置可让 IT 管理员成为从已加入 Azure Active Directory (AAD) 且满足配置要求的 Windows 设备收集的 Windows 诊断数据的控制者。 有关详细信息,请参阅启用 Windows 诊断数据处理器配置。 Windows 诊断数据不包括由 Microsoft 处理的与提供基于服务的功能相关的数据。
从启用 Windows 诊断数据处理器配置的设备收集的 Windows 诊断数据可能与特定的 Azure Active Directory 用户 ID 或设备 ID 相关联。 Windows 诊断数据处理器配置提供帮助响应数据主体请求 (DSR) 的控件,以在用户帐户关闭时删除特定 Azure AD 用户 ID 的诊断数据。 此外,你还能够对与特定 Azure AD 用户 ID 相关的诊断数据执行导出 DSR。 有关详细信息,请参阅 执行数据主体权限的流程。 Microsoft 还将允许关闭租户帐户,或是因为你决定关闭你的 Azure 或 Azure AD 租户帐户,或是因为你决定不再希望成为 Windows 诊断数据的数据控制者,但仍希望保留 Azure 客户身份。
建议已启用 Windows 诊断数据处理器配置的 IT 管理员考虑以下事项:
- 限制用户使用 阻止Microsoft 帐户组策略 通过 Microsoft 帐户 (MSA) 登录的功能。
- 限制用户提交反馈的能力,因为用户提交的任何反馈或其他日志都不受 Windows 诊断数据处理器配置选项的管理。 可以使用 PowerShell 删除反馈中心应用,并且可以使用 反馈组策略 阻止在 Microsoft Edge 中提交反馈的功能。
注意
租户帐户的关闭将导致与该租户关联的所有数据被删除。
有关 Microsoft 如何在使用 Windows 诊断数据处理器配置时帮助旅行 GDPR 规定的权利和义务的详细信息,请参阅 一般数据保护条例摘要。
3. 行使数据主体权利的流程
本部分讨论 Microsoft 为用户和管理员提供用于针对从 Windows 设备收集的数据行使数据主体权利的不同方法。
对于具有使用 Windows 诊断数据处理器配置设备的 IT 管理员,请参阅 GDPR 和 CCPA的数据主体请求。 否则,请继续阅读以下部分。
3.1 删除
用户可以删除其基于设备的数据,方法是打开 Windows 设置应用,并导航到诊断和反馈,然后单击删除诊断数据标题下的删除按钮。 管理员还可以使用 Clear-WindowsDiagnosticData PowerShell cmdlet。
注意
如果使用 Windows 诊断数据处理器配置,则将禁用删除诊断数据功能。 IT 管理员可以从管理门户中删除与用户关联的诊断数据。
3.2 查看
该诊断数据查看器 (DDV) 提供从 Windows 设备收集的诊断数据的视图。 管理员还可以使用 Get-DiagnosticData PowerShell cmdlet。
注意
如果启用了 Windows 诊断数据处理器配置,则 IT 管理员可以从管理门户查看与用户关联的诊断数据。
3.3 导出
使用诊断数据查看器 (DDV),可以通过单击顶部菜单中的导出数据按钮导出在应用运行时捕获的诊断数据。 管理员还可以使用 Get-DiagnosticData PowerShell cmdlet 脚本。
注意
如果启用 Windows 诊断数据处理器配置,则 IT 管理员还可以从管理门户导出与用户关联的诊断数据。
3.4 连接到 Microsoft 帐户的设备
如果用户使用其 Microsoft 帐户 登录到其设备上的 Windows 体验或应用,他们可以在隐私仪表板上查看、删除和导出与其 Microsoft 帐户相关联的数据。
4. 跨边界数据传输
Microsoft 遵守关于收集、使用和保留个人信息(包括其跨境传输)的适用法律。
Microsoft 的 隐私声明 提供了有关如何存储和处理个人数据的详细信息。
5. 相关的 Windows 产品注意事项
以下部分提供了有关如何跨相关的 Windows 产品收集和管理隐私数据的详细信息。
5.1 Windows Server 2016 和更高版本
Windows Server 遵循与 Windows 10 用于处理个人数据相同的机制。
注意
Windows 诊断数据处理器配置不适用于 Windows Server。
5.2 Surface Hub
Surface Hub 是在组织中使用的共享设备。 作为诊断数据的一部分收集的设备标识符未连接到用户。 要为 Surface Hub 删除发送给 Microsoft 的 Windows 诊断数据,你可以使用 Microsoft Store 中可用的 Surface Hub 删除诊断数据工具。
重要提示
在 Windows 上运行但不属于 Windows 的应用和服务将使用其自己的控件管理数据收集。 有关如何控制数据收集和这些应用和服务的传输的进一步指南,请联系发布者。
管理员可以配置与隐私相关的设置,例如选择只传送必需诊断数据。 Surface Hub 不支持集中式管理的组策略。 但是,管理员可以使用 MDM 将这些设置套用与 Surface Hub。 有关 Surface Hub 和 MDM 的详细信息,请参阅 使用 MDM 提供程序管理设置 (Surface Hub)。
注意
Windows 诊断数据处理器配置不适用于 Surface Hub。
5.3 使用适用于企业的 Windows 更新报表
适用于企业的 Windows 更新报表 是基于云的解决方案,它提供有关组织的 Azure Active Directory 加入的设备与 Windows 更新的合规性的信息。 适用于企业的 Windows 更新报表将 Windows 诊断数据用于其所有报告。
5.4 Windows Autopatch
Windows Autopatch 是一项云服务,可自动执行 Windows、Microsoft 365 企业应用、Microsoft Edge 和 Microsoft Teams 更新,以提高整个组织的安全性和工作效率。 Windows Autopatch 报表使用 Windows 诊断数据进行报告。
5.5 Windows 更新报表(Microsoft Intune)
Microsoft Intune 是基于云的终结点管理解决方案。 它可以管理用户访问,并简化大量设备(包括移动设备、台式计算机和虚拟终结点)的应用和设备管理。 Microsoft Intune 包括可帮助准备 Windows 升级或更新的报表。 例如,应用和驱动程序兼容性报表、Windows 驱动程序更新和 Windows Autopilot。 这些报表使用 Windows 诊断数据进行报告。
其他资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈