針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織,一般資料保護規定 (GDPR) 推出了新的規則,而無論您或您的企業位於何處都必須遵守。 你可以在 GDPR摘要主題中找到更多細節。 本文件會引導您了解依據 GDPR 使用 Microsoft 產品和服務時,完成外洩通知的相關資訊。
GDPR 規定的個人資料是由什麼所構成?
個人資料是指任何可直接或間接識別個人的資訊。 個人資料外洩是指「安全漏洞,導致傳送、儲存或以其他方式處理的個人資料意外或非法銷毀、遺失、變更、未經授權揭露或存取」。
關於GDPR術語定義,請參見 《一般資料保護條例》。
Microsoft 與外洩通知
Microsoft 很認真看待其在一般資料保護規定 (GDPR) 下所需承擔的責任。 安全事件或資料外洩指的是非法存取儲存在 Microsoft 設備或 Microsoft 設施中的客戶資料,或未經授權存取可能導致客戶資料遺失、揭露或更改的事件。
作為資料處理商,Microsoft 確保服務客戶能作為資料控制者符合 GDPR 的違規通知要求。 我們的通知提供進行該評估所需的資訊。 Microsoft 會在有任何個人資料外洩時通知客戶,除了個人資料經確認為無法辨識的情況 (例如,已確認其金鑰完整性的加密資料)。
資料控制者負責評估資料隱私權的風險,並且決定外洩時是否需要客戶 DPA 的通知。 Microsoft 伴隨您的 GDPR 合規性原則提供需要的通知,以進行該評估。
初始通知包含外洩本質、大致使用者影響及風險降低步驟 (如果有的話) 的描述。 若調查在初次通知時尚未完成,我們將會公布後續步驟及後續溝通時程。 如需 Microsoft 如何偵測及回應個人資料外洩的詳細資訊,請參閱服務信任入口網站中的 GDPR 規定的資料外泄通知。
以下列出特定 Microsoft 產品與服務的外洩通知細節。
-
Microsoft 在系統、處理程序及人員上花費許多心思,為求降低個人資料外洩的可能性,以及在資料外洩發生時進行快速偵測,並降低其造成的傷害。 你可以在 Office 365 資料安全投資頁面閱讀更多細節。
客戶可能得知資料外洩,並希望聯絡 Microsoft。 此時,通知 Microsoft 支援服務,該支援團隊會與工程團隊對接以獲得更多資訊。
-
Microsoft 有全球全年無休的事件回應服務,降低對於 Microsoft Azure 與 Dynamics 365 攻擊的風險。
外洩偵測:因為 Microsoft 和客戶都有維護安全性的義務,因此 Azure 服務使用共用模型來定義安全性與操作的責任。 Microsoft 不會監控或回應客戶責任範圍內的安全事件。 客戶事件回應可能需要與 Azure 客服合作,前提是有適當的服務合約。 Microsoft Azure 也提供多種服務 (例如雲端 ) Microsoft Defender,客戶可利用此工具開發和管理安全事件回應。
如需 Microsoft Azure 中觸發外洩調查的事件清單,請參閱偵測潛在缺口。 GDPR 規定的 Azure 和外洩通知進一步詳述 Microsoft 在 Azure 中調查、管理以及回應安全性事件的方式。
資料外洩回應:Microsoft 藉由調查事件的功能影響、恢復能力和資訊影響,決定外洩的適當優先順序和嚴重性層級。 隨著調查進行,優先順序與嚴重程度可能會根據新的發現與結論而改變。 Microsoft 安全性回應小組與全球法律顧問密切合作,以協助確保該鑑識是根據法律義務和對客戶的承諾來執行。 這些程序於 Azure 的資料外洩回應中詳述。
客戶通知:Microsoft Azure 視需要通知客戶和監管單位有資料外洩。 客戶通知會在我們宣告外洩的 72 小時內傳遞,除了下列情況:
- Microsoft 相信執行通知的動作會增加其他客戶的風險。
- 72小時的時間表可能會留下部分事件細節。 這些細節會在調查進行時提供給您。
如需進一步的詳細資料,請參閱客戶通知。
Microsoft 支援服務與專業服務
專業服務的性質意味著某些資料保護事件可能屬於客戶的責任範圍。 Microsoft 專業服務發現資料保護事件時,它會遵循如資料保護事件回應程序的範圍與限制中所述的記載業界標準回應計劃。-
Windows 診斷資料處理器的配置利用雲端服務基礎設施與內建安全功能來保障資料安全。 Microsoft 擁有全球 24 小時事件應變服務,致力於減輕針對 Microsoft Azure 與 Windows 診斷資料處理器配置的攻擊影響。
外洩通知系統管理工具
- 設定組織的隱私聯絡人:租戶管理員可以使用 Microsoft Entra 系統管理中心設定組織的隱私聯絡人,以備 Microsoft 需要與他們溝通時使用。