適用於 Microsoft 365 的 Microsoft Copilot 的資料、隱私權和安全性

  • 發行項

適用於 Microsoft 365 的 Microsoft Copilot 是複雜的處理和協調流程引擎,可藉由協調下列元件來提供 AI 支援的生產力功能:

  • 大型程式設計語言模型 (LLM)
  • Microsoft Graph 中的內容,例如電子郵件、聊天和文件,您皆有權限存取。
  • 您每天使用的 Microsoft 365 應用程式,例如 Word 和 PowerPoint。

如需這三個元件如何搭配運作的概觀,請參閱 適用於 Microsoft 365 的 Microsoft Copilot 概觀。 如需與適用於 Microsoft 365 的 Microsoft Copilot 相關的其他內容連結,請參閱 適用於 Microsoft 365 的 Microsoft Copilot 文件

重要事項

  • 適用於 Microsoft 365 的 Microsoft Copilot 符合我們對 Microsoft 365 商業客戶的現有隱私權、安全性和合規性承諾,包括一般資料保護規定 (GDPR) 和歐盟 (EU) 資料邊界。
  • 透過 Microsoft Graph 存取的提示、回應和資料不會用於訓練基礎 LLM,包括適用於 Microsoft 365 的 Microsoft Copilot 所使用的 LLM。

本文中的資訊旨在協助提供下列問題的解答:

注意事項

適用於 Microsoft 365 的 Microsoft Copilot 會隨著時間推出新功能而持續演進。 若要隨時掌握適用於 Microsoft 365 的 Microsoft Copilot 或提出問題,請造訪 Microsoft 技術社群上的 Microsoft 365 Copilot 社群

適用於 Microsoft 365 的 Microsoft Copilot 如何使用您的專屬組織資料?

適用於 Microsoft 365 的 Microsoft Copilot 會透過將 LLM 連線到您的組織資料來提供價值。 適用於 Microsoft 365 的 Microsoft Copilot 會透過 Microsoft Graph 存取內容和關聯式資訊。 它可以根據貴組織資料產生回應,例如使用者文件、電子郵件、行事曆、聊天、會議和連絡人。 適用於 Microsoft 365 的 Microsoft Copilot 會將此內容與使用者的工作內容結合,例如使用者正在參加的會議、使用者按主題進行的電子郵件往來,或使用者上週的聊天交談。 適用於 Microsoft 365 的 Microsoft Copilot 會使用此內容和關聯式資訊的組合,協助提供正確、相關的和關聯式回應。

重要事項

透過 Microsoft Graph 存取的提示、回應和資料不會用於訓練基礎 LLM,包括適用於 Microsoft 365 的 Microsoft Copilot 所使用的 LLM。

適用於 Microsoft 365 的 Microsoft Copilot 僅會向個別使用者顯示具有最低檢視權限的組織資料。 請務必使用 Microsoft 365 服務中可用的權限模型,例如 SharePoint,以確保正確的使用者或群組能夠正確存取貴組織內的正確內容。 這包括您透過租用戶間共同作業解決方案授與組織外部使用者的權限,例如 Microsoft Teams 中的共用頻道

當您使用適用於 Microsoft 365 的 Microsoft Copilot 輸入提示時,您提示中所包含的資訊、所擷取的資料,以及產生的回應都會保留在 Microsoft 365 服務界限內,以符合我們目前的隱私權、安全性和合規性承諾。 適用於 Microsoft 365 的 Microsoft Copilot 使用 Azure OpenAI 服務進行處理,而不是 OpenAI 的公開線上服務。

注意事項

使用適用於 Microsoft 365 的 Microsoft Copilot 時,貴組織的資料可能會在下列情況下離開 Microsoft 365 服務界限:

針對適用於 Microsoft 365 的 Microsoft Copilot 的濫用監視會即時發生,而不提供 Microsoft 任何客戶資料的常設存取權 (不論是針對人工或自動化審查)。 雖然 Azure OpenAI 中提供包含內容人工審查的濫用仲裁,但適用於 Microsoft 365 的 Microsoft Copilot 服務已退出該功能。 Azure OpenAI 不會收集或儲存 Microsoft 365 資料。

注意事項

我們可以使用選擇性的客戶意見反應來改善適用於 Microsoft 365 的 Microsoft Copilot,就像我們使用客戶意見反應來改善其他 Microsoft 365 服務和 Microsoft 365 應用程式一樣。 我們不會使用此意見反應來訓練適用於 Microsoft 365 的 Microsoft Copilot 所使用的基礎 LLM。 客戶可以透過系統管理員控制來管理意見反應。 如需詳細資訊,請參閱 管理貴組織的 Microsoft 意見反應提供有關適用於 Microsoft 365 的 Microsoft Copilot 的意見反應

關於使用者與適用於 Microsoft 365 的 Microsoft Copilot 互動的儲存資料

當使用者與適用於 Microsoft 365 的 Microsoft Copilot 應用程式 (例如 Word、PowerPoint、Excel、OneNote、Loop 或 Whiteboard) 互動時,我們會儲存這些互動的相關資料。 儲存的資料包括使用者的提示和 Copilot 的回應,包括用來建立 Copilot 回應之任何資訊的引文。 我們將使用者的提示和 Copilot 對該提示的回應稱為「互動的內容」,而這些互動的記錄則是使用者的 Copilot 互動歷程記錄。 例如,此儲存資料為使用者提供 具有以圖形為基礎的聊天的 Microsoft CopilotMicrosoft Teams 中的會議 中的 Copilot 互動歷程記錄。 此資料會依照與貴組織在 Microsoft 365 中的其他內容的合約承諾進行處理和儲存。 儲存該資料時會進行加密,而且該資料不會用來定型基礎 LLM,包括適用於 Microsoft 365 的 Microsoft Copilot 所使用的 LLM。

若要檢視和管理此儲存資料,系統管理員可以使用內容搜尋或 Microsoft Purview。 系統管理員也可以使用 Microsoft Purview 來設定與 Copilot 聊天互動相關資料的保留原則。 如需詳細資訊,請參閱下列文章:

針對與 Copilot 的 Microsoft Teams 聊天,系統管理員也可以使用 Microsoft Teams 匯出 API 來檢視儲存的資料。

刪除使用者與適用於 Microsoft 365 的 Microsoft Copilot 互動的歷程記錄

您的使用者可以移至 [我的帳戶] 入口網站,刪除其 Copilot 互動歷程記錄,其中包括其提示和 Copilot 傳回的回應。 如需詳細資訊,請參閱 刪除您的 Microsoft Copilot 互動歷程記錄

適用於 Microsoft 365 的 Microsoft Copilot 和歐盟資料邊界

適用於 Microsoft 365 的 Microsoft Copilot 對 LLM 的呼叫會路由傳送至區域中最接近的資料中心,但也可以呼叫在高使用率期間可提供容量的其他區域。

對於歐盟 (EU) 使用者,我們有額外的保護措施以遵守 歐洲資料邊界。 歐盟流量會保持在歐盟資料邊界內,而全球流量則可傳送至歐盟和其他國家/地區以進行 LLM 處理。

適用於 Microsoft 365 的 Microsoft Copilot 和資料落地

適用於 Microsoft 365 的 Copilot 正在履行資料落地承諾,如 Microsoft 產品條款和資料保護增補合約中所述。 適用於 Microsoft 365 的 Copilot 在 2024 年 3 月 1 日於 Microsoft 產品條款的資料落地承諾中新增為涵蓋的工作負載。

Microsoft 進階資料落地 (ADR)多地理位置功能 供應項目包含自 2024 年 3 月 1 日起適用於 Microsoft 365 的 Copilot 客戶的資料落地承諾。 針對歐盟客戶,適用於 Microsoft 365 的 Copilot 是歐盟資料邊界服務。 歐盟以外的客戶的查詢可能會在美國、歐盟或其他區域進行處理。

適用於 Microsoft 365 的 Microsoft Copilot 和 Web 內容外掛程式

適用於 Microsoft 365 的 Copilot 可以選擇使用來自網路的最新資訊,來增強聊天解答。 啟用 Web 內容外掛程式時,Copilot 可能會在 Copilot 判斷來自 Web 的資訊是否有助於提供更佳、更準確的回應時,從 Bing 搜尋索引擷取資訊。

系統管理員控制項和使用者層級切換可用來 管理是否已在您的環境中啟用 Web 內容外掛程式

Web 內容外掛程式的運作方式

當 Web 內容外掛程式在聊天中啟用時,適用於 Microsoft 365 的 Copilot 會剖析使用者的提示,並識別可以改善回應品質的以網頁內容為基礎的詞彙。 根據這些詞彙,Copilot 會產生搜尋查詢,並傳送至 Bing 搜尋 API 以要求詳細資料。 此搜尋查詢與使用者的提示不同,通常是由使用者的提示和/或 Microsoft 365 資料所告知的幾個字詞所組成。 它不會自動包含與提示相關聯的整個 Microsoft 365 文件。

下表提供使用者的提示、傳送的搜尋查詢和 Copilot 回應的範例。

實體 Text
提示 (由使用者所撰寫) 我們正在考慮 Fabrikam 收購的可能性。 協助我整理一份包括其業務策略的 200 字公司公開可用財務資訊的摘要報告。
搜尋查詢 (由 Copilot 產生並傳送至 Bing 搜尋 API) Fabrikam 策略
Fabrikam 財務
回應 (由 Copilot 所產生) Fabrikam 是一家 CPG 新創公司,提供更健康的食物替代項目,但提供與傳統品牌相同的熟悉口味。 該公司在 2019 年獲得了 450 萬美元的種子資金,並在 2022 年的 B 輪融資中籌集了 3,150 萬美元。 截至 2023 年 1 月,Fabrikam 總共已募集到 8,340 萬美元的資金,且今年的銷售額目標是增加一倍以上。

隨著疫情的爆發,Fabrikam 面臨著從實體商店轉向線上銷售的挑戰,而這就是其網紅行銷策略發揮作用的地方。 Fabrikam 不依賴店內活動和促銷,而是轉向社交媒體和網紅合作,以建立品牌知名度並觸及更廣泛的客群。 該公司也從真正的角度進行創新,在傳統消費驅動因素與對自己更好的產品之間取得平衡,並制定了全面、穩健的分銷策略。

總而言之,Fabrikam 已募集了超過 5,500 萬美元的資金,並擁有強大的網紅行銷策略,而這協助了他們在疫情期間轉向線上銷售。

在此範例中,只有兩個搜尋查詢會傳送至 Bing 搜尋 API。 在使用者輸入其提示之後,聊天體驗會顯示產生並傳送至 Bing 的任何查詢。 使用者的提示和 Copilot 的回應會儲存在 Microsoft 365 中。 由適用於 Microsoft 365 的 Copilot 傳送至 Bing 搜尋 API 的搜尋查詢會與使用者識別碼和租用戶識別碼解除關聯。

Bing 搜尋 API 由 Bing.com 所提供,其與 Microsoft 365 獨立作業,而且有不同的資料處理做法。 Bing 的使用受每位使用者與 Microsoft 之間的 Microsoft 服務合約 以及 Microsoft 隱私權聲明 的約束。 Microsoft 產品和服務資料保護增補合約 (DPA) 不適用於使用 Web 內容外掛程式或 Bing 搜尋 API。

可用來管理 Web 內容使用的控制項

系統管理員可以在適用於 Microsoft 365 的 Copilot 中封鎖對 Web 內容的存取權。 如需詳細資訊,請參閱 在適用於 Microsoft 365 的 Microsoft Copilot 回應中管理 Web 內容的存取權。 即使系統管理員允許,使用者仍可以選擇是否要使用 Web 外掛程式。 如需詳細資訊,請參閱 搭配 Microsoft 365 Copilot 使用其他資料來源

注意事項

控制在 Microsoft 365 Apps 中使用選擇性連線體驗的原則設定不適用於適用於 Microsoft 365 的 Microsoft Copilot 和 Web 內容。

適用於 Microsoft 365 的 Microsoft Copilot 的擴充性

雖然適用於 Microsoft 365 的 Microsoft Copilot 已經能夠在 Microsoft 365 生態系統中使用應用程式和資料,但許多組織仍然依賴各種外部工具和服務來進行工作管理和共同作業。 使用 Microsoft Graph 連接器 或外掛程式回應使用者的要求時,適用於 Microsoft 365 的 Microsoft Copilot 體驗可以參考第三方工具和服務。 如果使用者具有存取該資訊的權限,則可在適用於 Microsoft 365 的 Microsoft Copilot 回應中傳回 Graph 連接器的資料。

啟用外掛程式時,適用於 Microsoft 365 的 Microsoft Copilot 會判斷它是否需要使用特定外掛程式,以協助提供相關的回應給使用者。 如果需要外掛程式,適用於 Microsoft 365 的 Microsoft Copilot 會產生搜尋查詢,以代表使用者傳送至外掛程式。 此查詢基於使用者的提示、Copilot 互動歷程記錄,以及使用者可在 Microsoft 365 中存取的資料。

Microsoft 365 系統管理中心[整合式應用程式] 區段中,系統管理員可以檢視外掛程式所要求的權限和資料存取權,以及外掛程式的使用條款和隱私權聲明。 系統管理員對於選取其組織中允許哪些外掛程式具有完全的控制權。 使用者只能存取其系統管理員允許的外掛程式,以及使用者已安裝或已指派使用者的外掛程式。 適用於 Microsoft 365 的 Microsoft Copilot 只會使用使用者開啟的外掛程式。

注意事項

控制在 Microsoft 365 Apps 中使用選擇性連線體驗的原則設定不適用於外掛程式。

如需詳細資訊,請參閱下列文章:

適用於 Microsoft 365 的 Microsoft Copilot 如何保護組織的資料?

Microsoft 365 租用戶內的權限模型可協助確保資料不會在使用者、群組和租用戶之間意外洩漏。 適用於 Microsoft 365 的 Microsoft Copilot 只呈現每個人可以使用在其他 Microsoft 365 服務中所使用的資料存取之相同基礎控制項存取資料。 語意索引會接受使用者身分識別型的存取界限,因此接地流程只會存取目前使用者有權存取的內容。 如需詳細資訊,請參閱 Microsoft 的 隱私權原則和服務文件

當您有由 Microsoft Purview 資訊保護加密的資料時,適用於 Microsoft 365 的 Microsoft Copilot 會遵守授與使用者的使用權限。 您可以透過使用資訊版權管理 (IRM) 依 敏感度標籤 或依 Microsoft 365 應用程式中受限的權限來套用此加密。 如需搭配適用於 Microsoft 365 的 Microsoft Copilot 使用 Microsoft Purview 的詳細資訊,請參閱 Microsoft Purview 資料安全性和適用於 Microsoft Copilot 的合規性保護

我們已實作多種保護形式,以協助防止客戶入侵 Microsoft 365 服務和應用程式,或取得其他租用戶或 Microsoft 365 系統本身的未經授權存取權。 以下是這些保護形式的一些範例:

  • Microsoft 365 服務的每個租用戶內的客戶內容邏輯隔離,是透過 Microsoft Entra 授權和角色型存取控制而達成。 如需詳細資訊,請參閱 Microsoft 365 隔離控制

  • Microsoft 使用嚴格的實體安全性、背景篩檢和多層式加密策略來保護客戶內容的機密性和完整性。

  • Microsoft 365 使用服務端技術來加密待用和傳輸中的客戶內容,包括 BitLocker、個別檔案加密、傳輸層安全性 (TLS) 和網際網路通訊協定安全性 (IPsec)。 如需 Microsoft 365 中加密的特定詳細資料,請參閱 Microsoft Cloud 中的加密

  • Microsoft 承諾遵守廣泛適用的隱私權法律,例如 GDPR 和隱私權標準,例如 ISO/IEC 27018,這是全球第一個雲端隱私權國際行為守則,藉此強化您對資料的控制。

  • 針對透過適用於 Microsoft 365 的 Microsoft Copilot 外掛程式存取的內容,加密可以排除程式設計存取,進而限制外掛程式存取內容。 如需詳細資訊,請參閱 設定 Azure 資訊保護的使用權限

符合法規遵循需求

隨著 AI 領域中的法規演進,Microsoft 會繼續調整和回應,以滿足未來的法規需求。

適用於 Microsoft 365 的 Microsoft Copilot 是依據 Microsoft 目前對於企業資料安全性和隱私權的承諾而建構。 這些承諾沒有任何變更。 適用於 Microsoft 365 的 Microsoft Copilot 已整合到 Microsoft 365 中,並遵守對 Microsoft 365 商業客戶的所有現有隱私權、安全性和合規性承諾。 如需詳細資訊,請參閱 Microsoft 合規性

除了遵守法規之外,我們也將與客戶、合作夥伴和監管機關的開放對話排定為優先次序,以進一步瞭解並解決疑慮,進而促進信任與合作的環境。 我們確認隱私權、安全性和透明度不只是功能,也是 Microsoft 中 AI 驅動環境的必要條件。

其他資訊

適用於 Microsoft 365 的 Microsoft Copilot 和連線體驗的原則設定。

如果您關閉分析組織中 Windows 或 Mac 裝置上 Microsoft 365 Apps 內容的連線體驗,下列應用程式中的使用者將無法使用適用於 Microsoft 365 的 Microsoft Copilot 功能:

  • Excel
  • PowerPoint
  • OneNote
  • Word

同樣地,如果您關閉 Microsoft 365 Apps 的連線體驗使用,則 Windows 或 Mac 裝置上那些應用程式中的適用於 Microsoft 365 的 Microsoft Copilot 功能將無法使用。

如需這些原則設定的詳細資訊,請參閱以下文章:

關於適用於 Microsoft 365 的 Microsoft Copilot 建立的內容

生成式 AI 產生的回應不保證是 100% 事實。 雖然我們持續改善回應,但使用者仍應在檢閱輸出時運用判斷力,再將輸出的結果傳送給其他人。 我們的適用於 Microsoft 365 的 Microsoft Copilot 功能提供實用的草稿和摘要,可協助您達成更多目標,同時讓您有機會檢閱產生的 AI,而不是將這些工作完全自動化。

我們會繼續改善演算法以主動解決問題,例如資訊錯誤和虛假訊息、內容封鎖、資料安全,以及防止根據我們的負責任的 AI 原則推廣有害或歧視性的內容。

Microsoft 不會宣稱對服務的輸出擁有所有權。 也就是說,我們不會判斷客戶的輸出是否受到著作權保護,或可對其他使用者強制執行。 這是因為生成式 AI 系統可能會對多個客戶的類似提示或查詢產生類似的回應。 因此,多個客戶可能會對相同或大致類似的內容擁有或主張權利。

如果協力廠商因為使用 Microsoft 的 Copilots 或其產生的輸出而針對著作權侵權對商業客戶提出告訴,只要客戶使用了我們產品內建的保護和內容篩選程式,我們將保護客戶並支付任何因訴訟案件而造成之不利判決或和解。 如需詳細資訊,請參閱 Microsoft 宣布為客戶提供新的 Copilot 著作權承諾

致力於負責任的 AI

由於 AI 已準備改變我們的生活,因此我們必須針對這項技術的使用和影響,共同定義新的規則、規範和做法。 自 2017 年起,Microsoft 一直走在負責任的 AI 旅程中,我們定義了原則和方法,以確保是由以人為優先的道德原則為導向來使用這項技術。

在 Microsoft,我們受到我們的 AI 原則負責任的 AI 標準,以及數十年來在 AI、接地和隱私權保護機器學習的研究所指引。 由研究人員、工程師和原則專家組成的多領域小組檢閱我們的 AI 系統中的潛在損害和風險降低措施: 精簡訓練資料、篩選以限制有害內容、封鎖敏感性主題的查詢和結果,以及應用 Microsoft 技術,例如 InterpretMLFairlearn,以協助偵測和修正資料偏差。 我們藉由記錄限制、連結來源,以及提示使用者根據主題專業知識檢閱、事實查核及調整內容,來說明系統做決定的方式。 如需詳細資訊,請參閱 控管 AI: 未來的藍圖

我們的目標是協助客戶負責任地使用我們的 AI 產品、分享我們的學習,以及建立以信任為基礎的合作關係。 針對這些新服務,我們想要為客戶提供 AI 平台服務預定用途、功能和限制的相關資訊,讓他們具備做出負責任部署選擇所需的知識。 我們也會與企業內部的開發人員和獨立軟體供應商 (ISV) 共用資源和範本,以協助他們建置有效、安全且透明的 AI 解決方案。