了解資料生命週期 - 收集
當客戶註冊 Microsoft Online Services 時,客戶必須了解他們適用的使用條款。 由於隱私權和法規需求會因產業和地理界限而有所不同,因此客戶必須自行判斷服務是否符合其特定使用需求。
Microsoft 與客戶相關的使用條款包括:
- 線上服務條款 (OST):適用於線上服務商業客戶的標準合約承諾 (其中 Microsoft 是資料處理者)
- 線上服務資料保護增補合約 (DPA):處理和使用服務中資料類型的各別義務
DPA 和 OST 原本是同一份文件,直到 2020 年 1 月,我們才將其分開,讓客戶可以更容易地找到資料隱私權條款。 Microsoft 會與監管人員和商業客戶合作,以取得有關資料保護法的意見反應,而且我們會隨著法規變更而進行調整。
隱私權注意事項、同意和資料分類法
通知和同意是全世界隱私權法律的基本原則。 Microsoft 會維護客戶資料治理委員會 (CDGB),以管理客戶資料分類法 (分類法) 和客戶資料使用架構 (架構) - 一組適用於通知、同意和使用者控制措施的全公司規則。 分類法會定義資料類型和用途的類別。 架構會指定使用每種資料類型所需的通知、同意和收集後使用者控制措施。 Microsoft 也會使用隱私權審查 (包括合法利益分析) 來支援此程序。 還有其他需求可能會套用於特定情況 (例如,可能需要家長同意,才能向小孩收集資料)。
資料處理與用途
資料處理標準提供關於如何管理特定活動或案例內各類資料分類的指引,包括為了達成 OST/DPA 以及各種稽核標準和法規中所述的義務而制定的一組整體需求。 這些是建立新功能或執行服務時常使用的標準,而且可以專屬於該服務,例如 Microsoft 365。
為了遵守廣泛適用的隱私權法律,我們嚴格地將所有個人資料用途限制在四種資料處理類別內。 為了保護客戶商務資料的機密性,我們進一步嚴格限制所有客戶資料和所有專業服務資料的用途。 我們不會藉由存取客戶資料內容來判斷何者為個人資料。 相反地,我們會假設所有客戶資料和所有專業服務資料都包含個人資料。 以下是 DPA 中所定義資料類型的視覺標記法。 藍色方塊協助說明所有個人資料都會作為其他資料類型的其中一個來進行處理 (所有類型也包含非個人資料)。 支援資料是專業服務資料的子集。
在診斷資料和服務所產生的資料中,個人資料的形式多為可連結至使用者且由機器產生的獨有數字。
國際資料傳輸
Microsoft 代表客戶處理的客戶數據和個人資料,可能會傳送到美國或 Microsoft 或其轉包處理者運作的任何其他國家/地區,並儲存及處理這些數據。 如果客戶想要根據服務來深入了解,請查閱資料保護增補合約。
Microsoft 遵守有關跨邊界傳輸客戶資料的國際資料保護法。 例如,歐盟模型條款會規範將歐盟客戶個人資料傳輸至歐洲經濟區域以外的國家/地區, (EEA) 。 Microsoft EU 標準合約條款提供個人資料傳輸的特定合約保證,由歐洲隱私權監管人員判定涵蓋服務符合歐盟國際資料傳輸標準。 歐盟示範條款也提供從瑞士和英國傳輸個人資料的有效機制。