本指南說明如何使用Microsoft Intune產品、服務及管理工具,協助客戶尋找並處理個人資料,以回應資料主體請求 (DSR) 。
關於GDPR術語定義,請參見 《一般資料保護條例》。 關於 Microsoft 作為資料處理者的角色,請參見 Microsoft 作為資料處理者。
關於一般 DSR 流程資訊,包括 DSR 生命週期步驟、產品專屬指南的使用方法,以及 DSR 如何在 Microsoft Entra ID 租戶中適用,請參閱資料主體請求以及 GDPR 和 CCPA。
如何使用本指南
本指南包含兩個部分:
- 第 1 部分:回應資料主體對客戶資料的要求:本指南中的第 1 部分討論了如何從您所撰寫資料的應用程式中,存取、修正、限制、刪除以及匯出資料。 本節詳述如何針對客戶內容及用戶可識別資訊執行DSR。
- 第 2 部分:回應資料主體對系統所產生記錄檔的要求:當您使用 Microsoft 企業服務時,Microsoft 會產生某些資訊 (稱為「系統產生的記錄檔」) 以提供服務。 本指南中的第 2 部分將討論如何針對 Azure 來存取、刪除及匯出這類資訊。
了解 Microsoft Entra ID 與 Microsoft Intune 的 DSR
當你考慮提供給企業客戶的 Microsoft Intune 時,對與 Microsoft Entra 租戶相關的 Intune 帳號執行 DSR,僅涉及租戶內的資料。 此外,在處理租戶內的 Intune 帳戶時,請了解以下事項:
- 如果 Intune 使用者建立 Azure 訂閱,該訂閱會被當作 Microsoft Entra 租戶來處理。 因此,DSR 的範圍是在租戶內部,如前所述。
- 如果透過 Intune 帳號建立的 Azure 訂閱被刪除,實際的 Intune 帳號不會被刪除。 如前所述,在 Azure 訂閱內執行的 DSR 僅限於租戶本身的範圍。
你可以透過消費者隱私儀表板,針對 Intune 帳號本身執行 DSR,且不屬於特定租戶。 更多細節請參閱 Windows 資料主體請求指南。
第 1 部分:客戶資料的 DSR 指南
針對客戶資料執行DSR
Microsoft 提供透過Azure 入口網站存取、刪除及匯出特定客戶資料的能力,也可直接透過既有的應用程式介面 (API) 或使用者介面 (特定服務) 介面 (也稱為產品內體驗) 。 在上述服務各自的參考文件中有詳細資料,說明這類的產品內體驗。
重要事項
支援產品內 DSR 的服務需要直接使用該服務的應用程式介面 (API) 或使用者介面 (UI) ,描述適用的 CRUD (建立、讀取、更新、刪除) 操作。 因此,你必須在特定服務內執行 DSR,並且在 Azure 入口網站執行 DSR,才能完成對特定資料主體的完整請求。 欲了解更多詳情,請參閱各服務的參考文件。
步驟 1:探索
回應 DSR 的第一個步驟是先找出個人資料,也就是要求的主體。 這第一步——尋找並審查相關個人資料——有助於你判斷DSR是否符合貴組織對承認或拒絕DSR的要求。 例如,在找到並審查相關個人資料後,您可能判斷該請求不符合貴組織的要求,因為滿足該請求可能會對他人的權利與自由產生不利影響。
找到資料後,接著您可以執行指定的動作來滿足資料主體的要求。 詳情請參閱以下資源:
步驟 2:存取
當您找到可能對 DSR 有回應的個人資料後,您和您的組織決定要提供哪些資料給資料主體。 你可以提供文件本身、經過適當刪減的版本,或是你認為適合分享部分的截圖。 對於每一個存取請求的回應,你都必須取得包含回應資料的文件或其他項目的副本。
當你提供資料主體副本時,可能需要移除或遮蔽其他資料主體的個人資訊及任何機密資訊。
以下章節說明如何回應DSR存取請求時取得資料副本。
Microsoft Entra ID
Microsoft 提供入口網站與產品內體驗,讓企業客戶的租戶管理員能夠管理 DSR 存取請求。 DSR 存取請求允許存取使用者的個人資料,包括: () 可識別的使用者資訊,以及 (b) 系統產生的日誌。
服務特定介面
Microsoft Intune 能夠透過使用者介面 (UI) 或既有的應用程式開發介面 (API) 直接探索客戶資料。
步驟 3:修正
如果資料主體要求您更正組織資料中的個人資料,您與您的組織會判斷是否適當尊重該請求。 更正資料可能包括編輯、刪節或移除文件或其他類型或項目中的個人資料。
作為資料處理商,Microsoft 無法修正系統產生的日誌,因為它們反映了事實活動,並構成 Microsoft 服務內事件的歷史紀錄。 關於 Intune,管理員無法更新裝置或應用程式的專屬資訊。 如果使用者想要更正任何個人資料 (,例如裝置名稱) ,必須直接在裝置上進行。 這些變更會在下一次連接到 Intune 時同步。
步驟 4:限制
資料主體可能會要求你限制其個人資料的處理。 我們提供 Azure 入口網站與既有的應用程式開發介面 (API) 兩者,或使用者介面 (UI)。 這些體驗能夠讓企業客戶的租用戶系統管理員,透過匯出資料和刪除資料的組合功能管理這類 DSR。 如需詳細資訊,請參閱處理個人資料。
步驟 5:刪除
GDPR透過要求從組織的客戶資料中移除個人資料,來保護「刪除權」。 移除個人資料包括刪除所有個人資料及系統產生的日誌,唯獨審計日誌資訊除外。 詳情請參見 刪除使用者個人資料。
第 2 部分:系統所產生的記錄檔
稽核日誌讓租戶管理員能記錄產生 Microsoft Intune 變更的活動。 許多管理活動都有審計日誌。 這些日誌通常包括建立、更新 (編輯) 、刪除及指派動作。 管理員也能審查產生稽核事件的遠端任務。 這些稽核日誌可能包含已註冊 Intune 裝置使用者的個人資料。 管理員無法刪除稽核日誌。 詳情請參閱 查核個人資料。
匯出或刪除問題的通知
如果你在匯出或刪除 Azure 入口網站資料時遇到問題,請到 Azure 入口網站的幫助 + 支援刀片。 請在 訂閱管理 > 、隱私與合規請求中提交新的工單,針對訂閱 > 、隱私、Blade 及 GDPR 請求。