Microsoft 365 Copilot 的資料、隱私權和安全性
Microsoft 365 Copilot 是複雜的處理和協調流程引擎,可藉由協調下列元件來提供 AI 支援的生產力功能:
- 大型程式設計語言模型 (LLM)
- Microsoft Graph 中的內容,例如電子郵件、聊天和文件,您皆有權限存取。
- 您每天使用的 Microsoft 365 生產力應用程式,例如 Word 和 PowerPoint。
如需這三個元件如何搭配運作的概觀,請參閱 Microsoft 365 Copilot 概觀。 如需與 Microsoft 365 Copilot 相關的其他內容連結,請參閱 Microsoft 365 Copilot 文件。
重要事項
- Microsoft 365 Copilot 符合我們對 Microsoft 365 商業客戶的現有隱私權、安全性和合規性承諾,包括一般資料保護規定 (GDPR) 和歐盟 (EU) 資料邊界。
- 透過 Microsoft Graph 存取的提示、回應和資料不會用於訓練基礎 LLM,包括 Microsoft 365 Copilot 所使用的 LLM。
- Microsoft 365 Copilot 具有多項保護,其中包括但不限於 封鎖有害內容、偵測受保護的教材,以及 封鎖提示插入 (越獄攻擊)。
本文中的資訊旨在協助提供下列問題的解答:
- Microsoft 365 Copilot 如何使用您的專屬組織資料?
- Microsoft 365 Copilot 如何保護組織資訊和資料?
- 關於使用者與 Microsoft 365 Copilot 的互動,會儲存什麼資料?
- Microsoft 365 Copilot 會做出哪些資料落地承諾?
- 哪些擴充性選項可供 Microsoft 365 Copilot 使用
- Microsoft 365 Copilot 如何符合法規遵循需求?
- Microsoft 365 Apps 的連線體驗隱私權控制項是否適用於 Microsoft 365 Copilot?
- 我可以信任 Microsoft 365 Copilot 建立的內容嗎? 誰擁有該內容?
- 什麼是 Microsoft 對以符合倫理的方式使用 AI 的承諾?
注意事項
Microsoft 365 Copilot 會隨著時間推出新功能而持續演進。 若要隨時掌握 Microsoft 365 Copilot 或提出問題,請造訪 Microsoft 技術社群上的 Microsoft 365 Copilot 社群。
Microsoft 365 Copilot 如何使用您的專屬組織資料?
Microsoft 365 Copilot 會透過將 LLM 連線到您的組織資料來提供價值。 Microsoft 365 Copilot 會透過 Microsoft Graph 存取內容和關聯式資訊。 它可以根據貴組織資料產生回應,例如使用者文件、電子郵件、行事曆、聊天、會議和連絡人。 Microsoft 365 Copilot 會將此內容與使用者的工作內容結合,例如使用者正在參加的會議、使用者按主題進行的電子郵件往來,或使用者上週的聊天交談。 Microsoft 365 Copilot 會使用此內容和關聯式資訊的組合,協助提供正確、相關的和關聯式回應。
重要事項
透過 Microsoft Graph 存取的提示、回應和資料不會用於訓練基礎 LLM,包括 Microsoft 365 Copilot 所使用的 LLM。
Microsoft 365 Copilot 僅向個別使用者顯示具有最低檢視權限的組織資料。 請務必使用 Microsoft 365 服務中可用的權限模型,例如 SharePoint,以確保正確的使用者或群組能夠正確存取貴組織內的正確內容。 這包括您透過租用戶間共同作業解決方案授與組織外部使用者的權限,例如 Microsoft Teams 中的共用頻道。
當您使用 Microsoft 365 Copilot 輸入提示時,您提示中所包含的資訊、所擷取的資料,以及產生的回應都會保留在 Microsoft 365 服務界限內,以符合我們目前的隱私權、安全性和合規性承諾。 Microsoft 365 Copilot 使用 Azure OpenAI 服務進行處理,而不是 OpenAI 的公開線上服務。 Azure OpenAI 不會快取客戶內容,且 Copilot 已修改 Microsoft 365 Copilot 的提示。 如需詳細資訊,請參閱本文稍後的 關於 Microsoft 365 Copilot 使用者互動的存儲的資料 一節。
注意事項
- 當您使用外掛程式來協助 Microsoft 365 Copilot 提供更相關的資訊時,請檢查該外掛程式的隱私權聲明和使用規定,以判斷其處理貴組織資料的方式。 如需詳細資訊,請參閱 Microsoft 365 Copilot 的擴充性。
- 當您使用 Web 內容外掛程式時,Microsoft 365 Copilot 會剖析使用者的提示,並識別可改善回應品質的以網頁內容為基礎的詞彙。 根據這些詞彙,Copilot 會產生搜尋查詢,並將之傳送至 Bing 搜尋服務。 如需詳細資訊,請參閱 Microsoft 365 Copilot 和 Microsoft Copilot 中的網頁查詢的資料、隱私權和安全性。
雖然 Azure OpenAI 中提供包含內容人工審查的濫用監控,但Microsoft 365 Copilot 服務已退出該功能。 如需內容篩選的相關資訊,請參閱本文稍後的 Copilot 如何封鎖有害內容? 一節。
注意事項
我們可以使用選擇性的客戶意見反應來改善 Microsoft 365 Copilot,就像我們使用客戶意見反應來改善其他 Microsoft 365 服務和 Microsoft 365 生產力應用程式一樣。 我們不會使用此意見反應來訓練 Microsoft 365 Copilot 所使用的基礎 LLM。 客戶可以透過系統管理員控制來管理意見反應。 如需詳細資訊,請參閱 管理貴組織的 Microsoft 意見反應 和 提供有關具有 Microsoft 365 的 Microsoft Copilot 應用程式的意見反應。
關於使用者與 Microsoft 365 Copilot 的互動所儲存的資料
當使用者與 Microsoft 365 Copilot (使用如 Word、PowerPoint、Excel、OneNote、Loop 或 Whiteboard 等應用程式) 互動時,我們會儲存這些互動的相關資料。 儲存的資料包括使用者的提示和 Copilot 的回應,包括用來建立 Copilot 回應之任何資訊的引文。 我們將使用者的提示和 Copilot 對該提示的回應稱為「互動的內容」,而這些互動的記錄則是使用者的 Copilot 互動歷程記錄。 例如,此儲存資料為使用者提供 Business Chat 和 Microsoft Teams 中的會議 中的 Copilot 互動歷程記錄。 此資料會依照與貴組織在 Microsoft 365 中的其他內容的合約承諾進行處理和儲存。 儲存該資料時會進行加密,而且該資料不會用來定型基礎 LLM,包括 Microsoft 365 Copilot 所使用的 LLM。
若要檢視和管理此儲存資料,系統管理員可以使用內容搜尋或 Microsoft Purview。 系統管理員也可以使用 Microsoft Purview 來設定與 Copilot 聊天互動相關資料的保留原則。 如需詳細資訊,請參閱下列文章:
針對與 Copilot 的 Microsoft Teams 聊天,系統管理員也可以使用 Microsoft Teams 匯出 API 來檢視儲存的資料。
刪除使用者與 Microsoft 365 Copilot 互動的歷程記錄
您的使用者可以移至 [我的帳戶] 入口網站,刪除其 Copilot 互動歷程記錄,其中包括其提示和 Copilot 傳回的回應。 如需詳細資訊,請參閱 刪除您的 Microsoft 365 Copilot 互動歷程記錄。
Microsoft 365 Copilot 和歐盟資料邊界
Microsoft 365 Copilot 對 LLM 的呼叫會路由傳送至區域中最接近的資料中心,但也可以呼叫在高使用率期間可提供容量的其他區域。
對於歐盟 (EU) 使用者,我們有額外的保護措施以遵守 歐洲資料邊界。 歐盟流量會保持在歐盟資料邊界內,而全球流量則可傳送至歐盟和其他國家/地區以進行 LLM 處理。
Microsoft 365 Copilot 和資料落地
Microsoft 365 Copilot 正在履行資料落地承諾,如 Microsoft 產品條款和資料保護增補合約中所述。 Microsoft 365 Copilot 在 2024 年 3 月 1 日於 Microsoft 產品條款的資料落地承諾中新增為涵蓋的工作負載。
Microsoft 進階資料落地 (ADR) 和 多地理位置功能 供應項目包含自 2024 年 3 月 1 日起 Microsoft 365 Copilot 客戶的資料落地承諾。 針對歐盟客戶,Microsoft 365 Copilot 是歐盟資料邊界服務。 歐盟以外的客戶的查詢可能會在美國、歐盟或其他區域進行處理。
Microsoft 365 Copilot 的擴充性
雖然 Microsoft 365 Copilot 已經能夠在 Microsoft 365 生態系統中使用應用程式和資料,但許多組織仍然依賴各種外部工具和服務來進行工作管理和共同作業。 使用 Microsoft Graph 連接器 或外掛程式回應使用者的要求時,Microsoft 365 Copilot 體驗可以參考第三方工具和服務。 如果使用者具有存取該資訊的權限,則可在 Microsoft 365 Copilot 回應中傳回 Graph 連接器的資料。
啟用外掛程式時,Microsoft 365 Copilot 會判斷它是否需要使用特定外掛程式,以協助提供相關的回應給使用者。 如果需要外掛程式,Microsoft 365 Copilot 會產生搜尋查詢,以代表使用者傳送至外掛程式。 此查詢基於使用者的提示、Copilot 互動歷程記錄,以及使用者可在 Microsoft 365 中存取的資料。
在 Microsoft 365 系統管理中心的 [整合式應用程式] 區段中,系統管理員可以檢視外掛程式所要求的權限和資料存取權,以及外掛程式的使用條款和隱私權聲明。 系統管理員對於選取其組織中允許哪些外掛程式具有完全的控制權。 使用者只能存取其系統管理員允許的外掛程式,以及使用者已安裝或已指派使用者的外掛程式。 Microsoft 365 Copilot 只會使用使用者開啟的外掛程式。
如需詳細資訊,請參閱下列文章:
Microsoft 365 Copilot 如何保護組織資料?
Microsoft 365 租用戶內的權限模型可協助確保資料不會在使用者、群組和租用戶之間意外洩漏。 Microsoft 365 Copilot 只呈現每個人可以使用在其他 Microsoft 365 服務中所使用的資料存取之相同基礎控制項存取資料。 語意索引會接受使用者身分識別型的存取界限,因此接地流程只會存取目前使用者有權存取的內容。 如需詳細資訊,請參閱 Microsoft 的 隱私權原則和服務文件。
當您有由 Microsoft Purview 資訊保護加密的資料時,Microsoft 365 Copilot 會遵守授與使用者的使用權限。 您可以透過使用資訊版權管理 (IRM) 依 敏感度標籤 或依 Microsoft 365 應用程式中的應用程式限制權限來套用此加密。 如需搭配 Microsoft 365 Copilot 使用 Microsoft Purview 的詳細資訊,請參閱 Microsoft Purview 資料安全性和生成式 AI 應用程式的合規性保護。
我們已實作多種保護形式,以協助防止客戶入侵 Microsoft 365 服務和應用程式,或取得其他租用戶或 Microsoft 365 系統本身的未經授權存取權。 以下是這些保護形式的一些範例:
Microsoft 365 服務的每個租用戶內的客戶內容邏輯隔離,是透過 Microsoft Entra 授權和角色型存取控制而達成。 如需詳細資訊,請參閱 Microsoft 365 隔離控制。
Microsoft 使用嚴格的實體安全性、背景篩檢和多層式加密策略來保護客戶內容的機密性和完整性。
Microsoft 365 使用服務端技術來加密待用和傳輸中的客戶內容,包括 BitLocker、個別檔案加密、傳輸層安全性 (TLS) 和網際網路通訊協定安全性 (IPsec)。 如需 Microsoft 365 中加密的特定詳細資料,請參閱 Microsoft Cloud 中的加密。
Microsoft 承諾遵守廣泛適用的隱私權法律,例如 GDPR 和隱私權標準,例如 ISO/IEC 27018,這是全球第一個雲端隱私權國際行為守則,藉此強化您對資料的控制。
對於透過 Microsoft 365 Copilot 外掛程式存取的內容,加密可以排除程式設計存取,進而限制外掛程式存取內容。 如需詳細資訊,請參閱 設定 Azure 資訊保護的使用權限。
符合法規遵循需求
隨著 AI 領域中的法規演進,Microsoft 會繼續調整和回應,以滿足未來的法規需求。
Microsoft 365 Copilot 是依據 Microsoft 目前對於企業資料安全性和隱私權的承諾而建構。 這些承諾沒有任何變更。 Microsoft 365 Copilot 已整合到 Microsoft 365 中,並遵守對 Microsoft 365 商業客戶的所有現有隱私權、安全性和合規性承諾。 如需詳細資訊,請參閱 Microsoft 合規性。
除了遵守法規之外,我們也將與客戶、合作夥伴和監管機關的開放對話排定為優先次序,以進一步瞭解並解決疑慮,進而促進信任與合作的環境。 我們確認隱私權、安全性和透明度不只是功能,也是 Microsoft 中 AI 驅動環境的必要條件。
其他資訊
Microsoft 365 Copilot 和連線體驗的的隱私權控制項
Microsoft 365 Apps 的連線體驗部分隱私權控制項可以影響 Microsoft 365 Copilot 功能的可用性。 這包括分析內容的連線體驗隱私權控制項,以及選擇性連線體驗的隱私權控制項。 如需關於這些隱私權控制項的詳細資訊,請參閱 Microsoft 365 Apps 企業版隱私權控制的概觀。
分析內容連線體驗的隱私權項目
如果您關閉分析組織中 Windows 或 Mac 裝置上的內容的連線體驗,下列應用程式中的使用者將無法使用 Microsoft 365 Copilot 功能:
- Excel
- PowerPoint
- OneNote
- Word
另外還有一個隱私權控制項,可關閉所有連線體驗,包括分析內容的連線體驗。 如果您使用該隱私權控制項,某些裝置上的某些應用程式將無法使用 Microsoft 365 Copilot 功能,如上所述。
選擇性連線體驗的隱私權控制項
如果您關閉組織中的選擇性連線體驗,Microsoft 365 Copilot 選擇性連線體驗的功能將無法供給您的使用者使用。 例如,Web 接地 將無法供您的使用者使用。 如需選擇性連線體驗的 Microsoft 365 Copilot 功能清單,請參閱 Microsoft 365 Copilot 的體驗。
另外還有一個隱私權控制項,可關閉所有連線體驗,包括選擇性的連線體驗。 如果您使用該隱私權控制項,將無法使用選擇性連線體驗的 Microsoft 365 Copilot 功能。
關於 Microsoft 365 Copilot 建立的內容
生成式 AI 產生的回應不保證是 100% 事實。 雖然我們持續改善回應,但使用者仍應在檢閱輸出時運用判斷力,再將輸出的結果傳送給其他人。 我們的 Microsoft 365 Copilot 功能提供實用的草稿和摘要,可協助您達成更多目標,同時讓您有機會檢閱產生的 AI,而不是將這些工作完全自動化。
我們會繼續改善演算法以主動解決問題,例如資訊錯誤和虛假訊息、內容封鎖、資料安全,以及防止根據我們的負責任的 AI 原則推廣有害或歧視性的內容。
Microsoft 不會宣稱對服務的輸出擁有所有權。 也就是說,我們不會判斷客戶的輸出是否受到著作權保護,或可對其他使用者強制執行。 這是因為生成式 AI 系統可能會對多個客戶的類似提示或查詢產生類似的回應。 因此,多個客戶可能會對相同或大致類似的內容擁有或主張權利。
如果協力廠商因為使用 Microsoft 的 Copilots 或其產生的輸出而針對著作權侵權對商業客戶提出告訴,只要客戶使用了我們產品內建的保護和內容篩選程式,我們將保護客戶並支付任何因訴訟案件而造成之不利判決或和解。 如需詳細資訊,請參閱 Microsoft 宣布為客戶提供新的 Copilot 著作權承諾。
Copilot 如何封鎖有害的內容?
Azure OpenAI 服務包含與核心模型搭配運作的內容篩選系統。 針對「仇恨 & 公平」、「性愛」、「暴力」和「自殘」類別的內容篩選模型,已經過特別訓練並以各種語言進行測試。 此系統的運作方式是透過旨在識別和封鎖有害內容輸出的分類模型,同時執行輸入提示和回應。
仇恨和公平性相關的傷害是指任何基於像是種族、民族、國籍、性別認同和表達、性傾向、宗教、移民狀態、能力狀態、個人外表和體型大小等內容所使用的貶義或歧視語言內容。 公平性關乎於確保 AI 系統能公平地對待所有群組的人員,而不助長現有的社會不公平現象。 性愛內容牽涉到有關人類生殖器官、感情關係、以情色或親暱方式表達的動作、懷孕、生理性行為的討論,包括那些被當作性暴力的攻擊或強迫行為、性交易、色情和虐待的行為。 暴力描述與想要傷害或殺害的身體動作相關的語言,包括動作、武器及相關物品。 自我傷害語言是指刻意要傷害或殺害自己本人的故意動作。
Copilot 是否提供受保護的教材偵測?
是,Microsoft 365 Copilot 提供受保護教材的偵測,其中包括受著作權保護的文字和受授權限制的代碼。 並非所有這些風險降低措施都與所有的 Microsoft 365 Copilot 案例相關。
Copilot 是否會封鎖提示插入 (越獄攻擊)?
越獄攻擊 是使用者提示,其設計目的是要刺激生成式 AI 模型,使其做出違反訓練的行為,或破壞系統告知要遵循的規則。 Microsoft 365 Copilot 旨在防範提示插入式攻擊。 深入了解越獄攻擊,以及如何使用 Azure AI 內容安全來偵測攻擊。
致力於負責任的 AI
由於 AI 已準備改變我們的生活,因此我們必須針對這項技術的使用和影響,共同定義新的規則、規範和做法。 自 2017 年起,Microsoft 一直走在負責任的 AI 旅程中,我們定義了原則和方法,以確保是由以人為優先的道德原則為導向來使用這項技術。
在 Microsoft,我們受到我們的 AI 原則、負責任的 AI 標準,以及數十年來在 AI、接地和隱私權保護機器學習的研究所指引。 由研究人員、工程師和原則專家組成的多領域小組檢閱我們的 AI 系統中的潛在損害和風險降低措施: 精簡訓練資料、篩選以限制有害內容、封鎖敏感性主題的查詢和結果,以及應用 Microsoft 技術,例如 InterpretML 和 Fairlearn,以協助偵測和修正資料偏差。 我們藉由記錄限制、連結來源,以及提示使用者根據主題專業知識檢閱、事實查核及調整內容,來說明系統做決定的方式。 如需詳細資訊,請參閱 控管 AI: 未來的藍圖。
我們的目標是協助客戶負責任地使用我們的 AI 產品、分享我們的學習,以及建立以信任為基礎的合作關係。 針對這些新服務,我們想要為客戶提供 AI 平台服務預定用途、功能和限制的相關資訊,讓他們具備做出負責任部署選擇所需的知識。 我們也會與企業內部的開發人員和獨立軟體供應商 (ISV) 共用資源和範本,以協助他們建置有效、安全且透明的 AI 解決方案。