共用方式為


GDPR 與 CCPA 和資料主體要求

針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織,一般資料保護規定 (GDPR) 推出了新的規則,而無論您或您的企業位於何處都必須遵守。 如需其他詳細數據,請參閱 GDPR摘要一文

同樣地,加州消費者隱私法 (CCPA) 為加州消費者提供隱私權和義務,包括與 GDPR 資料主體權利相似的權利,例如,刪除、存取和接收 (可攜性) 其個人資訊的權利。 CCPA 也提供特定揭露、針對選擇行使權時的歧視提供保護,以及特定資料傳輸的「選擇退出/選擇加入」需求分類為「銷售」。 本文件會引導您了解依據 GDPR 和 CCPA 使用 Microsoft 產品和服務時,完成資料主體要求 (DSR) 的相關資訊。

術語

本文件中使用的 GDPR 術語的實用定義:

  • 資料控制者 (控制者):法律人員、公開授權單位、公司或其他實體,不論單獨或聯合其他單位,會決定個人資料處理方式的用途及方式。
  • 個人資料和資料主體:與已識別或可識別的自然人 (資料主體) 相關的任何資訊;可識別的自然人為可直接或間接識別的個人。
  • 處理者:自然人或法人、公家機關、公司,或代表控制者處理個人資料的其他主體。
  • 客戶資料:在公司運作的日常作業中產生並儲存的資料。

什麼是 DSR?

一般資料保護規定 (GDPR) 賦予人們 (在此法規中稱為資料主體) 權利來管理雇主或其他類型的代理機構或組織 (稱為資料控制者或僅稱為控制者) 所收集的個人資料。 GDPR 為資料主體提供其個人資料的特定權限;這些權限包括取得個人資料副本、要求對該資料的變更、限制對該資料的處理、刪除該資料,或是以電子格式接收該資料以移至另一個控制者。

加州消費者隱私法 (CCPA) 為加州客戶提供隱私權和義務,包括與 GDPR 資料主體權利相似的權利,例如有權刪除、存取和接收 (可攜性) 其個人資訊。

身為控制者,您必須立即考慮每個 DSR,並藉由採取要求的動作,或提供控制器無法容納 DSR 的原因說明,來提供實質回應。 控制者應向其法律或法務遵循顧問諮詢有關適當處置任何特定 DSR 的方法。

受限於組織的 GDPR 符合性規則,完成 DSR 可能涉及數個程序。

  • 探索。 決定需要什麼資料才能完成 DSR 的程序。
  • 存取。 擷取並可能傳輸給所發現資訊的資料主體。
  • 修正。 實作變更或其他要求的個人資料變更。
  • 限制。 利用限制存取或從 Microsoft 雲端中移除資料來變更存取或個人資料的處理。
  • 匯出。 對資料主體提供「結構化、常用、機器可讀取格式」的個人資料,如 GDPR 的「資料可攜帶權」所提供。
  • 刪除。 從 Microsoft 雲端永久移除個人資料。

指定 DSR 考量

Microsoft 產品或服務產生的深入資訊

見解可能由個人見解等 (Viva 服務產生。) Office 365 包含 線上服務,可為使用這些見解的使用者和組織提供見解。 這些服務所產生的資料可能會產生與 DSR 相關的個人資料。 請遵循下列連結來取得有關特定服務 DSR 程序的詳細資料。

系統產生的記錄檔的 DSR

根據 GDPR 的「個人資料」定義,Microsoft 所產生的記錄和相關數據可能包含被視為個人的數據。不支援在系統產生的記錄中限制或修正數據。 系統產生的記錄檔中的資料構成了 Microsoft 雲端內所進行的實際動作和診斷資料,修改會危害動作的歷程記錄,並增加詐騙和安全性風險。 Microsoft 提供存取、匯出和刪除系統產生的記錄檔的功能,這些記錄檔可能是完成 DSR 所需。 這類資料的範例可能包括:

  • 產品和服務使用情況資料 (例如使用者活動記錄)
  • 使用者搜尋要求和查詢資料
  • 產品和服務透過系統功能和使用者或其他系統的互動產生的資料。

Viva Engage

刪除使用者的帳戶並不會移除系統產生的 Viva Engage 記錄。 若要移除這些應用程式中的資料,請參閱下列其中一項資源:

國家/地區雲端

在某些國家/地區的雲端中,全域 IT 系統管理員必須刪除由系統產生的記錄檔。

Microsoft 服務

如果您的組織或使用者與 Microsoft 接洽以接收,與 Microsoft 產品和服務相關的支援可能會包含個人資料。 如需詳細資訊,請參閱 GDPR 的 Microsoft 支援服務與專業服務資料主體要求

Microsoft 控制者產品

在某些情況下,組織的使用者可以存取 Microsoft 為資料控制者的 Microsoft 產品或服務。 在這些情況下,使用者必須直接向 Microsoft 起始自己的 DSR,而 Microsoft 會直接向使用者履行要求。

協力廠商產品

針對透過 Microsoft 帳戶驗證存取的協力廠商產品和服務,應該將任何資料主體要求導向至適當的協力廠商。

資料主體要求系統管理工具

  • 安全性與合規性中心:使用者產生的資料是由安全性與合規性中心匯出,或以應用程式功能匯出。
  • Microsoft Entra 管理員 中心:使用 Microsoft Entra 管理員 Center 從 Microsoft Entra ID 和相關服務刪除數據主體。
  • Microsoft 資料記錄匯出:租用戶系統管理員可以使用 Microsoft 資料記錄匯出,將系統產生的記錄匯出。

深入了解