隱私權風險管理中的數據傳輸原則
移轉個人資料會帶來風險,尤其是當您在組織外部傳輸,或在組織內的特定部門或地理位置之間傳送時。 例如,如果數據是透過未加密的電子郵件或未經授權的收件者傳送,數據可能就不再安全。 這類數據傳輸活動可能會對法規造成影響,或違反既有的組織隱私權做法。
Microsoft Priva 隱私權風險管理 中的數據傳輸原則可讓您監控組織外部的個人資料傳輸,以及不同部門或國家或地區之間的內部傳輸。 偵測到原則相符專案時,您可以在 Microsoft Teams 或電子郵件中傳送通知給使用者,並提供包括撤銷存取權、保留或刪除專案的補救選項, (查看原則 建立程式) 步驟 10 的詳細數據。
我們的原則設定程式可讓您輕鬆設定原則條件。 您可以完全控制電子郵件的警示時間和頻率,以及Microsoft Teams 中的即時秘訣,讓使用者注意安全的數據處理做法。
您有兩種方式可以建立原則:從 範本建立,也就是使用預設設定的快速「現成」選項;或 自定義 選項,這是設定條件、警示和通知的引導程式。
快速設定:搭配預設設定使用範本
當個人資料傳送給組織外部的收件者時,會偵測到預設的數據傳輸原則。 例如,當貴組織中的使用者在 [收件者 ]、[副本] 或 [密件抄送] 欄位中傳送 Exchange 電子郵件給外部收件者 時,就會出現 此問題 。
請依照下列步驟建立預設數據傳輸原則:
使用 Microsoft 365 組織中系統管理員帳戶的認證登入下列其中一個入口網站:
- 新的 Priva 入口網站 (預覽) 。 若要深入瞭解,請參閱 瞭解新的 Priva 入口網站 (預覽) 。
- Microsoft Purview 合規性入口網站。 若要深入瞭解此入口網站,請參閱 Microsoft Purview 合規性入口網站。
移至隱私權風險管理解決方案,然後選取 [ 原則] 頁面。
選 取 [建立原則]。
在 [ 數據傳輸] 方塊中 ,選取 [ 建立]。
飛出窗格包含原則詳細數據。 選 取 [檢視設定 ] 將會顯示 預設設定。 您可以從這裡編輯設定,這會帶您進入下方概述的引導程式。 若要繼續使用預設設定建立原則,只要輸入描述性的名稱,然後選取 [建立原則]。
系統會建立您的原則,您會發現該原則列在 [ 原則 ] 頁面上。 它會以 測試模式 開始,讓您可以在開啟之前監控其執行情況。
默認數據傳輸原則設定
從樣本建立的數據傳輸原則將會偵測到:
當貴組織內的個人資料傳輸至或與您組織外部的收件者或位置共享時。
從貴組織內的任何位置外部共享個人資料時:
- Exchange。 範例:傳送包含個人資料的電子郵件到組織外部的收件者電子郵件位址。
- OneDrive 和 SharePoint。 範例:傳送包含個人資料之檔案或網站的連結給組織外部人員;將檔案複製或移動到組織外部的 OneDrive 或 SharePoint 位置。
- Teams。 範例:傳送包含個人資料的 Teams 聊天訊息給組織外部的收件者。
根據下列 分類群組的數據類型:
- GDPR (歐盟一般數據保護規定)
- 美國個人標識資訊
- 美國聯邦法案
- 美國州立州違反通知法
- (GLBA) US Gramm-Leach-Blley Act
- 美國健康保險可移植性和責任法案 (HIPAA)
- HRIP () 澳大利亞健康記錄法
- 澳大利亞隱私法
- 日本個人標識資訊
- 日本個人信息保護
自定義設定:引導式原則建立程式
自定義原則選項是透過設定條件、指定警示嚴重性和頻率,以及開啟使用者電子郵件通知來建立新原則的引導式程式。
完成下列步驟以建立新的數據傳輸原則:
使用 Microsoft 365 組織中系統管理員帳戶的認證登入下列其中一個入口網站:
- 新的 Priva 入口網站 (預覽) 。 若要深入瞭解,請參閱 瞭解新的 Priva 入口網站 (預覽) 。
- Microsoft Purview 合規性入口網站。 若要深入瞭解此入口網站,請參閱 Microsoft Purview 合規性入口網站。
移至隱私權風險管理解決方案,然後選取 [ 原則] 頁面。
選 取 [建立原則]。
在 [ 自定義] 方塊中,選取 [ 建立]。
在 [ 名稱及類型] 頁面上,選取 [數據傳輸原則 範本]。 輸入原則名稱,以協助您從 [原則 ] 頁面上的 清單中輕鬆識別該原則,然後輸入選擇性描述,然後選取 [ 下一步]。
在 [ 數據源] 頁面上,選取Microsoft 365 中您希望原則涵蓋的所有數據源。 從 Exchange 電子郵件帳戶、OneDrive 帳戶、Teams 聊天和頻道訊息,以及 SharePoint 網站中選擇。
在 SharePoint 中,您可以指定所有網站或特定網站。 如果您選取 [特定 SharePoint 網站],您可以在 [URL] 欄位中輸入網站 URL。 您也可以選取 [+選擇網站],然後在飛出窗格中,選取您要選取之網站名稱左側的方塊。
深入瞭解 如何選擇數據源。 完成後,選取 [下一步]。
在 [ 要監視的數據 ] 頁面上,選擇您要原則監控的個人資料類型。 有兩個選項:
- 分類群組:用來偵測個人資料或特定法規相關內容之機密資訊類型的群組。 如果您選取此選項,則必須選取 [+新增分類群組 ] 以從提供的清單中選擇一或多個群組。
- 個別機密資訊類型:選取此選項以從個別 機密資訊類型清單中選擇。
深入瞭解 如何選擇要監視的數據。 當您選取要監視的數據完成後,請選取 [下一步]。
在 [ 使用者和群組 ] 頁面上,選擇您組織中原則適用的使用者。 您可以選取所有個別使用者和所有 Office 365 通訊群組,也可以選取特定的使用者和群組。 深入瞭解 如何選擇使用者和群組。 完成後,選取 [下一步]。
在 [ 條件] 頁面上,選取原則將偵測到的數據傳輸條件類型:
- 組織外部移轉:偵測從組織內部使用者或群組移轉給組織外部的外部或來賓使用者。
- 跨國家/地區傳輸:針對此選項,您將選取發件人地區和收件者地區。 從顯示的飛出窗格中選擇指定的國家或地區,然後選取 [ 新增]。
- 使用者之間的轉移:根據使用者的 Microsoft Entra 屬性偵測傳輸,例如部門、郵遞區號或職稱。
- Microsoft 365 群組之間的傳輸:偵測任何兩個Microsoft 365 群組使用者之間的傳輸。 這包括與群組相關聯的 Exchange 信箱和 SharePoint 網站。
- SharePoint 網站之間的傳輸:偵測包含個人資料的專案何時已複製或從一個 SharePoint 網站移至另一個 SharePoint 網站。
在 [ 結果] 頁面上,決定是否要在符合原則條件時通知使用者。 您可以選擇下列其中一個或兩個選項,或將複選框留白來選擇:
當內容符合原則條件時,請提供用戶原則提示與建議:當用戶採取符合原則條件的動作時,數據處理秘訣會顯示在使用者Microsoft Teams 的實例中。 您必須提供慣用隱私權訓練的 URL,這項訓練也會顯示在提示中。
當原則符合時,傳送通知電子郵件給使用者:當用戶的動作符合原則條件時,會收到電子郵件通知。 複選框之後,您可以預覽和編輯電子郵件,然後設定頻率並提供隱私權訓練的連結, (深入瞭解 通知電子郵件) 。 電子郵件中的補救選項取決於資料來源:
- 從 SharePoint 或 OneDrive - 補救選項為 [撤銷存取權 ] 和 [ 保留]。
- 從 Teams - 補救選項為 [ 垃圾桶 ] 和 [ 保留]。
- 從 Exchange - 補救選項為 [保留]。
當您完成定義結果時,請選取 [ 下一步]。
在 [通知] 頁面上,使用切換開關開啟系統管理員會在隱私權風險管理之 [原則] 區段的 [通知] 頁面上看到的警示。 您將指定警示的產生頻率、產生通知前相符項目的臨界值,以及警示嚴重性。 深入瞭解 設定原則相符專案的警示。 完成後,選取 [下一步]。
在 [ 模式] 頁面上,選擇要將原則放在哪個模式: 先測試 或 立即開啟。 在測試模式中,不會傳送任何通知或通知。 深入瞭解 測試原則時的建議和分析內容。 完成後,選取 [下一步]。
在 [ 完成] 頁面上,檢閱您的選擇。 選取任何區段下方的 [ 編輯 ],以調整設定。 當您對原則設定感到滿意時,請選取 [ 提交 ] 以建立原則。
幾秒鐘后,您會看到原則建立的確認。 在確認頁面上選取 [ 完成 ],這會將您帶到 [原則 ] 頁面, 您會在數據表頂端看到新原則。
後續步驟
如需如何編輯及管理原則的詳細數據,請瀏覽 隱私權風險管理 原則。