歐盟示範條款

  • 發行項

歐盟示範條款概觀

歐盟 (EU) 資料保護法對將歐盟客戶個人資料傳輸到歐洲經濟區 (EEA) 以外的國家/地區加以規定,其中包括所有歐洲國家/地區、冰島、列支敦斯登和挪威。 在實際層級上,遵守歐盟數據保護法也表示客戶需要來自個別授權單位的核准較少,才能在歐盟外部傳輸個人資料,因為如果傳輸是以符合模型條款的合約為基礎,則大部分的歐盟成員國家不需要額外的授權。

Microsoft 和歐盟示範條款

歐盟 (EU) 一般資料保護規定 (GDPR) 對將客戶個人資料傳輸到歐洲經濟區 (EEA) 以外的國家/地區加以規定,其中包括所有歐洲國家/地區、冰島、列支敦斯登和挪威。 Microsoft 為客戶提供歐盟標準合約條款 (SCC) (也稱為歐盟示範條款),可針對範圍內服務的個人資料傳輸提供特定保證。 歐盟示範條款使用於服務提供者 (例如 Microsoft) 和客戶之間合約中,可確保任何離開 EEA 的個人資料,都能符合 GDPR 進行傳輸。

2020 年 7 月,歐盟法院 (CJEU) 針對將個人資料從歐盟傳輸至美國,使歐盟-美國隱私盾架構失效。 不過,歐盟示範條款會繼續為從歐盟和歐洲經濟區以及瑞士和英國傳輸個人資料提供有效的機制。 Microsoft 提供歐盟示範條款給客戶,如 Microsoft 線上服務條款 (OST) 資料保護增補合約 (DPA) 中所述。

Microsoft 範圍內雲端平台與服務

  • Azure 和 Azure Government
  • Azure DevOps Services
  • Dynamics 365
  • Intune:Intune 附加元件產品和適用於 Office 365 的行動裝置管理的雲端服務部分
  • Microsoft 雲端 App 安全性
  • 適用於下列雲端服務部分的適用於端點的 Microsoft Defender:端點偵測與回應、自動調查與修復、安全分數。
  • Microsoft 專業服務:Azure、Dynamics 365、Intune 及商務用 Microsoft 365 中型企業和企業客戶的頂級與內部部署
  • Office 365
  • Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中

Office 365 和歐盟示範條款

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 進階威脅防護、Microsoft Entra ID、Azure 資訊保護、Bookings、合規性管理員、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 進階合規性 附加元件、Office 365 雲端 App 安全性、Office 365 群組、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Viva Engage

稽核、報告和認證

Microsoft 會持續評估歐盟標準,並視需要更新服務。

常見問題集

為什麼符合示範條款很重要?

以合約形式承諾示範條款的服務提供者,可以向其客戶保證,個人資料的傳輸和處理都符合歐盟資料保護法的規定。 使用示範條款也表示客戶將個人資料傳輸到歐盟外部,需要向個別資料保護機構取得的核准較少。

可以在何處查看 Microsoft 服務的合規性資訊?

合規性是合約承諾。 Microsoft 標準合約條款可供所有雲端客戶在線上服務條款取得;如需其他服務,請參閱您與 Microsoft 的現有合約。

什麼是「子處理者」?

子處理者是指按照資料控制者指示以及歐盟示範條款和轉包合約,來處理個人資料的某個人員。 Microsoft 客戶—特別是 (ISV) 的獨立軟體廠商本身就是數據處理者。 在這些情況下,Microsoft 是子處理者。

我要從何處著手組織自身的合規性工作?

您可以進入合約,例如線上服務條款,或探索修改您現有的合約以納入標準合約條款。

資源