適用于所有歐盟資料界限服務的持續資料傳輸

在某些情況下，Microsoft 會繼續將資料從歐盟資料界限傳輸，以符合雲端服務作業需求，其中儲存在歐盟資料界限中的資料會由位於歐盟資料界限外的人員從遠端存取，而客戶使用歐盟資料界限服務會導致資料傳輸離開歐盟資料界限，以達成客戶所需的結果。 Microsoft 確保歐盟資料界限以外的任何客戶資料傳輸都受到我們服務合約中詳述的安全性保護措施所保護。

在歐盟資料界限中儲存和處理之資料的遠端存取

Microsoft 雲端服務是由世界各地的專家小組所建置、運作、保持安全及維護，為客戶提供最高層級的服務品質、支援、安全性和可靠性。 此模型 (稱為 Microsoft DevOps 模型) 讓開發人員和營運人員一起合作，持續建置、維護及提供服務。 我們會設計我們的服務和程式，讓這些小組能夠跨界限操作服務，而不需要直接存取客戶資料，並採用自動化工具來識別和修復問題。 在服務已關閉或需要修復且無法透過自動化工具生效的罕見情況下，授權的 Microsoft 人員可能需要遠端存取儲存在歐盟資料界限內的資料，包括客戶資料。 本節說明 Microsoft 如何將客戶資料的遠端存取降至最低，並在需要時限制這類存取。

Microsoft 使用多層式方法來保護客戶資料不受 Microsoft 人員未經授權的存取，其中包含 Microsoft 及其子公司的員工，以及協助 Microsoft 員工的協力廠商組織合約員工。 沒有客戶資料的預設存取權;只有當工作需要存取權時，才能將存取權提供給 Microsoft 人員。 存取客戶資料的目的必須適當、必須限制為達到適當目的所需的客戶資料數量和類型，且目的只能透過此層級的存取來達成。 Microsoft 會使用 Just-In-Time (JIT) 僅授與的存取權核准，只要達到該目的就必須如此。 Microsoft 也依賴角色型存取控制 (RBAC) ，其中的個別存取受限於嚴格的需求，例如需要知道的原則、必要的持續訓練，以及由一或多位管理員監督。 若要存取客戶資料，除了利用多重要素驗證作為 Microsoft 標準安全性需求的一部分之外，Microsoft 人員還必須對檔案進行良好的背景檢查。

可存取客戶資料的 Microsoft 人員會從安全的系統管理工作站 (SAW) 。 SAW 是功能有限的電腦，可降低惡意程式碼入侵、網路釣魚攻擊、假名網站和傳遞雜湊 (PtH) 攻擊的風險，以及其他安全性風險，並透過因應措施來使資料外泄變得困難。 例如，處理 SAW 的 Microsoft 人員在這類裝置上限制存取網際網路，而且無法存取外部或抽取式媒體，因為 SAW 實作中已封鎖這些功能。 Microsoft SAW 和高風險環境計畫在 2020 和 2019 年從 csoonline.com 中贏得 CSO50 獎。

當 Microsoft 人員需要從邊界外部存取儲存在歐盟資料界限內 Microsoft 系統的客戶資料時， (根據歐洲隱私權法將資料傳輸視為資料傳輸，雖然資料仍保留在歐盟資料界限的 Microsoft 資料中心基礎結構內) 我們依賴可確保這種傳輸類型的技術是安全的， 具有受控制存取權，且遠端存取點沒有永續性儲存體。 需要這類 資料傳輸時 ，Microsoft 會使用最先進的加密來保護待用和傳輸中的客戶資料。 如需詳細資訊，請參閱加密和金鑰管理概觀。

除了先前所述的控制項之外，客戶也可以啟用客戶加密箱，為許多 Microsoft 雲端服務建立額外的存取控制。 客戶加密箱功能的實作會因服務而稍有不同，但客戶加密箱通常會確保 Microsoft 人員在未經客戶明確核准的情況下，無法存取客戶資料來執行服務作業。 如需客戶加密箱的運作範例，請參閱 Office 365 中的客戶加密箱、Microsoft Azure 的客戶加密箱和Power Platform 中的客戶加密箱 (預覽) 。

Microsoft 也會記錄及監視對客戶資料的存取。 Microsoft 會定期執行稽核，以檢閱並確認存取管理措施可根據原則需求運作，包括 Microsoft 的合約承諾。

如需詳細資訊，請參閱下列資源：

• 使用安全的系統管理工作站保護高風險環境
• 使用受防護的虛擬機器來協助保護高價值資產
• Microsoft 用來保護 Azure 平臺的四個作業做法
• Microsoft 365 服務工程師存取控制

客戶起始的資料傳輸

轉移客戶起始為服務功能的一部分

歐盟資料界限的目的不是要干擾或限制客戶在使用我們的服務時所要的服務成果。 因此，如果客戶系統管理員或使用者在從歐盟資料界限起始資料傳輸的服務中採取動作，Microsoft 就不會限制這類客戶起始的傳輸發生;這麼做會中斷客戶的正常商務營運。 使用者起始的資料傳輸可能因各種原因而在歐盟資料界限外進行，例如：

• 使用者在歐盟資料界限區域外旅行時，會存取儲存在歐盟資料界限內的資料。
• 使用者選擇與其他實際位於歐盟資料界限外部的使用者通訊。 範例包括傳送電子郵件、起始 Teams 聊天或語音通訊、語音信箱、跨地區會議等等。
• 使用者設定服務以將資料移出歐盟資料界限。
• 使用者選擇將歐盟資料界限服務與其他 Microsoft 或協力廠商供應專案或連線體驗結合，受限於不同于適用于歐盟資料界限服務 (的條款，例如，利用可透過 Microsoft 365 應用程式取得的選擇性 Bing 支援體驗，或使用可用的連接器，將來自歐盟資料界限服務內的資料同步處理至使用者可能具有提供者以外的帳戶Microsoft) 。
• 客戶系統管理員會選擇將歐盟資料界限服務連線到 Microsoft 或協力廠商所提供的其他服務，其中其他服務受限於與適用于歐盟資料界限服務的服務不同的條款 (例如，設定 EU 資料界限服務將查詢傳送至 Bing，或在歐盟資料界限服務與 Microsoft 以外的提供者所裝載的服務之間建立連線客戶也有帳戶) 。
• 使用者從歐盟資料界限服務 (Teams 市集內呈現的應用程式市集取得並使用應用程式，例如) ，其中應用程式的條款與適用于歐盟資料界限服務的條款不同，例如應用程式提供者的使用者授權合約。
• 組織會要求或訂閱專業安全性服務，其中 Microsoft 會在遠端 安全性作業中心 容量中執行，或代表 (執行鑒識分析，並作為組織安全性群組) 一部分。

履行全球 GDPR 資料主體權利要求

Microsoft 已實作系統，讓我們的客戶能夠回應資料主體權利要求， (一般資料保護規定 (GDPR) (所) 的 DSR，例如，在客戶判斷適當時，刪除個人資料以回應 GDPR 第 17 條) 的要求，而且這些系統可供全球客戶使用。 若要讓客戶維持 GDPR 合規性，必須全域處理包含使用者識別碼的 DSR 訊號，以確保所有與資料主體相關的資料都會依要求刪除或匯出。 當我們的客戶判斷刪除資料是適當的，以回應要求刪除其個人資料的資料主體時，所有與該資料主體相關的個人資料都必須在歐盟/EFTA 內和歐盟資料界限外部的所有 Microsoft 資料存放區中找到並刪除。 同樣地，當客戶系統管理員提交匯出要求時，Microsoft 必須匯出至客戶系統管理員所指定的儲存位置，即使在歐盟資料界限之外，也必須匯出該資料主體的所有個人資料。 如需詳細資訊，請參閱 GDPR：資料主體要求 (DSR) 。

系統產生之記錄中的匿名個人資料

Microsoft 線上服務建立系統產生的記錄，作為服務一般作業的一部分。 目前所有系統產生的記錄都會在美國中全域匯總。 這些系統產生的記錄可能包含化為假名的個人資料。 系統產生的記錄範例可能包含假名的個人資料，包括：

• 產品和服務使用情況資料 (例如使用者活動記錄)
• 使用者與其他系統互動特別產生的資料

如 GDPR 中所定義的匿名化，第 4 條 (5) ，是個人資料的處理，因此不需要使用其他資訊，就無法再將其歸屬於特定資料主體。 換句話說，它會接受資料記錄內的個人識別資訊，並以一或多個人工識別碼或假名取代它，進而保護資料主體的身分識別。

Microsoft 要求系統產生之記錄中的所有個人資料都以假名化。 Microsoft 會使用各種技術，將系統產生之記錄中的個人資料化為假名，包括加密、遮罩、權杖化和資料模糊化。 不論特定的假名化方法為何，這都可讓授權的 Microsoft 人員使用僅包含經過假名化安全性步驟的個人資料的系統記錄，以保護使用者隱私權。 這可讓我們的人員確保線上服務的品質、安全性和可靠性，而不需要識別或重新識別使用者。 例如，這可讓 DevOps 人員識別跨區域的服務問題範圍，包括任何指定區域中受影響的使用者數目，而這些人員無法識別或重新識別特定人員。 如果未經授權存取系統產生的記錄，假名化有助於保護使用者隱私權。

相反地，保護使用者隱私權以消除匿名等個人資料的其他方法，會永久改變數據，使其無法用來識別唯一的事件或發生次數，而且會消除重新識別個人的能力。 從假名記錄中重新識別個人的控制項，與套用至客戶資料的控制項相同。 由於系統產生的記錄包含事實動作的相關資訊，例如在 Microsoft 雲端內執行的交易類型、內容或時間，匿名會危害動作的歷程記錄，進而增加詐騙和安全性風險。

Microsoft 會採取數個步驟來限制存取和使用系統產生的記錄。 安全性控制包括：

• 透過實作保留原則來將資料最小化，這些原則會設定為每種記錄類型所需的最短保留時間。
• 定期檢查和清除系統產生的記錄，以偵測錯誤或原則不一致。
• 僅限服務作業相關用途的使用量有限。
• 存取控制所支援的原則會限制個人資料的 解除凍結 或 重新識別 ，使其回到其原始形式。

專業服務資料

當客戶在與 Microsoft 合作取得支援或付費諮詢服務的過程中提供 Microsoft 資料時，該資料就是專業服務資料，如 Microsoft 產品和服務資料保護增補 (DPA) 中所定義。 專業服務資料目前儲存在 Microsoft 美國型資料中心。

在支援參與期間存取專業服務資料僅限於利用安全性和驗證控制措施的已核准支援管理系統，包括必要時的雙因素驗證和虛擬化環境。 其他 Microsoft 人員只能藉由提供必要的業務理由和經理核准，來存取與特定參與相關聯的專業服務資料。 資料會在傳輸中和待用時加密。

客戶參與的小組可存取在付費諮詢參與期間所提供、取得及處理的專業服務資料，以提供購買的服務。 工作正在進行中，可讓歐盟客戶指定其專業服務資料應該儲存並處理在歐盟資料界限中。

保護客戶

保護客戶免于受到國家/地區和犯罪執行者日益複雜的攻擊，是 Microsoft 的優先順序。 使用 Microsoft 超大規模資料庫雲端服務的客戶可受益于 Microsoft 的深度專業知識，以及對雲端安全性的大量持續投資。 Microsoft 在處理歐盟資料界限時，必須不要危害其繼續為客戶提供領先業界安全性的能力，但 Microsoft 仍會設法將必須存取或傳輸到歐盟資料界限外部的資料降到最低，才能執行這項重要工作。 本節詳細說明 Microsoft 所遵循的資料最小化做法，以及 Microsoft 在保護客戶時所面臨的一些挑戰。

威脅偵測

惡意執行者，包括國家/地區和進階犯罪群組，會定期以整個運算生態系統中的組織為目標，以取得資料的存取權、引進勒索軟體，或造成其他損害。 這些惡意執行者會全域運作，並啟動異地分散式攻擊來規避偵測。 由於這些攻擊者的複雜性和創意，Microsoft 只能藉由分析跨地理界限的內容威脅資料來偵測這些威脅。 Microsoft 安全性小組會使用各種策略來偵測和封鎖惡意活動。 這些包括特殊機器學習服務模型，必須進行微調，以偵測 Microsoft 線上服務 基礎結構特有的異常和惡意行為。 Microsoft 安全性小組會在美國集中訓練這些模型，然後在本機為全球客戶部署機器學習模型，作為 Microsoft 偵測網路的一部分。 由於惡意執行者經常一次攻擊許多客戶，因此 Microsoft 安全性小組會尋找跨多個租使用者的常見攻擊模式，並將這些模式連結至特定的不良執行者。

為了將這項工作的隱私權影響降到最低，Microsoft 的安全性小組會限制持續傳輸至服務產生的記錄檔，以及偵測惡意活動或缺口早期指標所需的服務組態資訊。 這些記錄中包含的個人資料包含特定的企業驗證資料、來自 Azure Active Directory 記錄，以及從其他系統以假名化的個人資料，以識別與威脅執行者相關聯的活動模式。 這項資訊會合並並儲存在美國中，以供先前所述的威脅偵測工作使用。 所有個人資料都會根據 DPA 和任何其他適用的合約承諾來傳輸和保護。

威脅調查

Microsoft 會使用 日 後操作模型，搭配位於世界各地的安全性威脅分析師小組，這些分析師可以在潛在安全性事件期間持續調查。 許多專家在區域敵人中具有多年來的特定專業知識，這對有效回應已識別的威脅非常重要，而且無法輕易地複製到其他位置的人員。 藉由操作全域專家小組，Microsoft 可確保它具備必要的專業知識，可追蹤及回應一天中任何時間從世界各地最複雜的攻擊。

如同威脅偵測，Microsoft 會根據資料最小化做法進行安全性調查。 一開始，分析師小組會藉由分析用於威脅偵測 (的有限資料來進行調查，如先前) 所述。 如果需要存取其他客戶資料，安全性分析師會依賴遠端存取機制，與本文 中儲存和處理的歐盟資料界限一節中儲存和處理之資料的遠端存取 一節中的描述一致。 只有當調查判斷威脅屬於全域性質，或只能跨全域資料集瞭解時，安全性小組才會將有限的客戶資料傳輸到其所在地理位置之外，以進行更深入的分析或跨類似事件相互關聯。 只有在明確指出惡意活動時，才會傳輸任何這類資料、需要傳輸以保護客戶，以及根據 DPA 中詳述的保護和任何其他適用的合約承諾。 為了安全性調查而傳輸的資料會儲存在美國、英國和/或印度，並僅基於安全性目的限制存取。 當不再需要達到安全性目的時，就會刪除所有這類傳輸的資料。

預覽/試用版中的服務

只有正式推出的服務會包含在歐盟資料界限中。 不包含處於預覽狀態或以免費試用版形式提供的服務。

已淘汰的服務

自 2022 年 12 月 31 日起，Microsoft 宣佈已淘汰的服務未包含在歐盟資料界限中。 Microsoft 雲端服務遵循 新式生命週期原則，在大部分情況下，當我們宣佈服務已被取代時，我們也建議在歐盟資料界限範圍內的替代或後續產品供應專案。 例如，Microsoft Stream (傳統版) 是 Microsoft 365 的企業影片服務，由 SharePoint) 上的 Stream (取代。 雖然尚未宣佈Stream (傳統版) 的特定淘汰日期，但已建議客戶在 2024 年淘汰Stream (傳統版) 。 移轉指引和公開預覽工具可用來協助客戶移轉至位於歐盟資料界限內 SharePoint) 上的 Stream (。

內部部署軟體和用戶端應用程式

儲存在內部部署軟體和用戶端應用程式中的資料不包含在歐盟資料界限中，因為 Microsoft 不會控制客戶內部部署環境中會發生什麼事。 使用內部部署軟體和用戶端應用程式所產生的診斷資料也不會包含在歐盟資料界限中。 如果內部部署軟體的資料是由或代表客戶透過使用歐盟資料界限服務提供給 Microsoft，則該資料是接收歐盟資料界限服務中的客戶資料，但服務合約中的任何例外狀況都受限，如本檔所述。

目錄資料

歐盟資料界限服務可以從 Azure Active Directory 複寫歐盟資料界限外的目錄資料，包括使用者名稱和電子郵件地址，以啟用對歐盟資料界限服務的驗證，以及取得存取歐盟資料界限服務內資料的許可權。

網路傳輸

為了減少路由延遲並維持路由復原，Microsoft 會使用變數網路路徑，有時可能會導致客戶流量在歐盟資料界限之外路由傳送。