GDPR 與 CCPA 和資料主體要求

針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織，一般資料保護規定 (GDPR) 推出了新的規則，而無論您或您的企業位於何處都必須遵守。 你可以在 GDPR摘要文章中找到更多細節。

同樣地，加州消費者隱私法 (CCPA) 提供加州消費者隱私權利與義務。 這些權利包括類似GDPR資料主體權利的權利，例如刪除、存取及接收 (可攜性) 個人資訊的權利。 CCPA 也提供特定揭露、針對選擇行使權時的歧視提供保護，以及特定資料傳輸的「選擇退出/選擇加入」需求分類為「銷售」。 本文件會引導您了解依據 GDPR 和 CCPA 使用 Microsoft 產品和服務時，完成資料主體要求 (DSR) 的相關資訊。

• Azure DevOps Services
• Azure
• Dynamics 365
• Intune
• Microsoft 支援服務與專業服務
• Office 365
• Visual Studio 系列
• Windows 365
• Windows

關於GDPR術語定義，請參見 《一般資料保護條例》。 關於 Microsoft 作為資料處理者的角色，請參見 Microsoft 作為資料處理者。

什麼是 DSR？

GDPR (《通用資料保護條例》) 賦予 (規定中稱為資料主體) 者管理雇主或其他機構或組織（稱為資料控制者或控制者) (的個人資料的權利。 GDPR賦予資料主體對其個人資料的特定權利。 這些權利包括取得個人資料副本、請求變更、限制處理、刪除資料，或以電子格式接收資料以便轉移至其他控制者。

作為管制員，你有義務迅速考慮每一項DSR，並提供實質性的回應，無論是採取所要求的行動，或解釋為何管制員無法配合DSR。 請諮詢您自己的法律或合規顧問，了解任何DSR的妥善處置。

完成DSR可能需要多個流程，但須遵守貴組織的GDPR合規規定。

• 探索： 使用搜尋與發現工具，更容易找到可能被 DSR 影響的客戶資料。 一旦你收集到可能有回應性的文件，就可以執行以下步驟中描述的一項或多項DSR行動來回應請求。 或者，你可能會判斷該請求不符合你組織回應DSR的指引。
• 存取方式： 取得存放在 Microsoft 雲端的個人資料，若有要求，請複製一份讓資料主體存取。
• 修正：在適用情況下，對個人資料進行變更或實行其他要求的動作。
• 限制：藉由盡可能移除各種 Azure 服務的授權或關閉所需的服務，以限制個人資料的處理。 您也可以從 Microsoft 雲端移除資料，並將它保留在內部部署或另一個位置。
• 刪除：永久移除 Microsoft 雲端中常駐的個人資料。
• 匯出/接收 (可攜性)：將個人資料或個人資訊以電子複本 (以電腦可讀取的格式) 提供給資料主體。

產品專屬指南中的每個章節都說明了資料控制組織在 Microsoft 雲端中回應 DSR 的技術程序。

如何使用產品專屬指南

每份產品專屬指南包含兩部分：

• 第一部分：回應資料主體對客戶資料的請求： 第一部分討論如何存取、更正、限制、刪除及匯出您所撰寫資料的應用程式資料。 本節詳述如何針對客戶內容及用戶可識別資訊執行DSR。
• 第 2 部分：回應資料主體對系統所產生記錄檔的要求：當您使用 Microsoft 企業服務時，Microsoft 會產生某些資訊 (稱為「系統產生的記錄檔」) 以提供服務。 第二部分討論如何存取、刪除及匯出此類資訊。

了解 Microsoft Entra ID 與 Microsoft 服務帳號的 DSR

透過使用 EDDT) (擴展目錄直接令牌，租戶內的訪客使用者可以跨多個租戶發起 DSR。 任何由使用者發起的 DSR 都會對所有由相應租戶管理員授權的租戶執行。

同樣的流程也適用於Microsoft服務帳戶 (MSA) ，特別是在企業客戶提供的服務情境下。 對與 Microsoft Entra 租戶相關的 MSA 帳號執行 DSR，僅涉及租戶內的資料。 此外，在處理租戶內的 MSA 帳戶時，了解以下事項也很重要：

• 如果 MSA 使用者建立 Azure 訂閱，訂閱會被當作 Microsoft Entra 租戶來處理。 因此，DSR的範圍會依上述所述，在租戶內部進行。
• 如果透過 MSA 帳號建立的 Azure 訂閱被刪除，並不會影響實際的 MSA 帳號。 如前所述，在 Azure 訂閱內執行的 DSR 僅限於租戶本身的權限範圍。

使用者可透過消費者隱私儀表板，對 MSA 帳號本身執行 DSR，且租戶不在指定租戶中。

DSR 的特定考量

由 Microsoft 產品或服務產生的洞察

洞察可能由像 Viva Personal Insights 這類服務產生。 Office 365 包含線上服務，為使用者及使用者組織提供洞察。 這些服務產生的資料可能會產生與DSR相關的個人資料。 有關各軍種DSR流程的詳細資訊，請參閱以下章節。

系統產生的記錄檔的 DSR

Microsoft 產生的日誌及相關資料可能包含 GDPR 視為個人資料。 你無法限制或修正系統產生的日誌中的資料。 系統產生日誌中的資料是指在 Microsoft 雲端及診斷資料中進行的事實行為。 修改將損害歷史紀錄，並增加詐欺與安全風險。 Microsoft 提供存取、匯出及刪除系統產生日誌的功能，這些日誌可能用於完成 DSR。 此類資料的範例包括：

• 產品和服務使用情況資料 (例如使用者活動記錄)
• 使用者搜尋要求和查詢資料
• 由系統功能及使用者或其他系統互動所產生的產品與服務所產生的資料。

欲了解更多關於資料主體權利 (DSR) 導出產生的系統日誌資訊，請參閱資料 主體請求 (DS) R匯出系統產生日誌概覽。

Viva Engage

刪除用戶帳號並不會移除 Viva Engage 的系統產生日誌。 若要移除這些應用程式中的資料，請參閱下列其中一項資源：

• 在 Viva Engage 管理 GDPR 資料主體請求

國家/地區雲端

在某些國家/地區的雲端中，全域 IT 系統管理員必須刪除由系統產生的記錄檔。

Microsoft 服務

如果您的組織或使用者與 Microsoft 聯繫以獲得與 Microsoft 產品和服務相關的支援，這些資料中可能包含個人資料。 如需詳細資訊，請參閱 GDPR 的 Microsoft 支援服務與專業服務資料主體要求。

Microsoft 控制者產品

在某些情況下，您的組織用戶可能會存取Microsoft作為資料控制者Microsoft產品或服務。 在這些情況下，使用者必須直接向 Microsoft 起始自己的 DSR，而 Microsoft 會直接向使用者履行要求。

協力廠商產品

對於透過 Microsoft 帳號驗證存取的第三方產品與服務，請將任何資料主體請求轉交給相關第三方。

資料主體要求系統管理工具

• Microsoft 入口網站：透過 Microsoft Purview 入口網站 或應用程式內功能，匯出使用者撰寫或產生的資料。
• Microsoft Entra 管理員中心：透過Microsoft Entra 管理員中心刪除Microsoft Entra ID及相關服務中的資料主體。
• Microsoft 資料日誌匯出：租戶管理員可透過 Microsoft 資料日誌匯出系統產生的日誌。

深入了解

• Microsoft 信任中心