了解重要的隱私權條款和資料類別

  • 8 分鐘

讓我們從檢閱一些重要隱私權條款開始。

資料控制者:法律人員、公開授權單位、公司或其他實體,不論單獨或聯合其他單位,會決定個人資料處理方式的用途及方式。

客戶是其使用 Microsoft 線上服務和專業服務的資料控制者。 Microsoft 是資料處理者 (除非客戶是資料處理者,在這種情況下,Microsoft 是副處理者)。 若資料用於提供一組有限的合法商務營運 (LBO) 以支援 Microsoft 線上服務和專業服務的使用,Microsoft 則是該資料的獨立資料控制者。

個人資料與資料主體:與已識別或可識別的自然人 (資料主體) 相關的任何資訊。 可識別的自然人是可直接或間接識別的人。 企業服務有兩種類型的資料主體:租用戶內的終端使用者,以及租用戶外部的使用者。

資料處理者:自然人或法人、公家機關、公司,或代表控制者處理個人資料的其他主體。 在企業服務中,Microsoft 作為資料處理者,根據客戶記載的指示處理資料,以提供線上服務或專業服務。 Microsoft 只會根據您記載的指示處理資料。 大量授權合約 (包括資料保護條款) 以及客戶設定及使用服務的方式,構成了客戶記載的指示。

下圖詳細說明資料控制者、資料處理者、資料主體與個人資料之間的關係。 在下列範例中,C1 是企業服務的直接客戶,而 C2 是 C1 的客戶。

提供線上和專業服務時,資料處理者是 Microsoft。資料控制器是 C1 系統管理員 (授權持有者)。例如 Contoso 租用戶管理員。C1 使用者和 C2 使用者都可以是資料主體。C1 使用者的範例是 contoso 員工,而 C2 使用者的範例是 contoso 外部使用者。

有兩種類型的 C1 角色和一種類型的 C2 角色:

  • C1 管理員 (即授權持有者) 通常是已註冊 Microsoft 服務訂閱的租用戶管理員。 C1 管理員會被視為資料控制者,因為他們代表其企業註冊服務。 他們會在服務中設定租用戶的設定和策略、決定誰在 Microsoft 服務中取得授權,以及將授權指派給該使用者。
  • C1 使用者是由租用戶管理員指派授權給的授權使用者。 一般來說,C1 使用者是企業的員工,我們通常指企業終端使用者。 C1 使用者會被視為資料主體。
  • C2 使用者是 C1 的客戶。 C2 使用者是企業外部的使用者。 例如,當 C1 使用者邀請外部商務合作夥伴加入 Contoso 的 SharePoint 網站時,此商務合作夥伴即為 C2 使用者。 C2 使用者也會被視為資料主體。

Microsoft 所處理的資料類別

在客戶帳戶的整個生命週期中用來提供 Microsoft Online Services 或專業服務的資料,均屬於四個不同資料類別的其中一種:

  • 客戶資料是指客戶提供給 Microsoft 或透過 Microsoft 企業線上服務 (不包括 Microsoft 專業服務) 代表客戶提供的所有資料,包括文字、音效、影片或圖像檔案及軟體。 其中包含客戶內容,這是客戶上傳用來儲存或處理的資料,以及客戶上傳用來透過 Microsoft 企業服務發佈的應用程式。

    例如,客戶內容包括 Exchange Online 電子郵件和附件、Power BI 報告、SharePoint Online 網站內容或即時訊息交談。

  • 服務產生的資料包含由 Microsoft 透過線上服務的運作「產生」或「衍生」的所有資料。 Microsoft 會從我們的線上服務彙總並使用此資料,以確保效能、安全性、規模及其他影響客戶體驗的服務能在客戶所需的層級運作。

    例如,為了了解如何隨著客戶對 Microsoft Teams 的使用量增加而提高資料中心容量,我們會處理其 Teams 使用量記錄資料。 然後,我們會檢查尖峰時間的記錄,並決定要新增哪些資料中心以滿足此容量。

  • 診斷資料包括所有自軟體「收集」或「取得」的資料,而那些軟體均安裝在本機、用於與 Microsoft 企業線上服務連線。 其用來協助 Microsoft 確保用戶端軟體是安全且運作正常。

    例如,Microsoft 會收集以下資訊:啟動應用程式需要的時間、是否有當機的附加元件,以及登入的嘗試次數。 診斷資料也可以稱為遙測資料。 其不包含名稱、電子郵件地址或檔案內容。

  • 專業服務資料指經授權,並透過與 Microsoft 的互動獲得專業服務,而提供給 Microsoft 或由 Microsoft 處理的所有資料。 專業服務資料包含線上服務技術支援期間提供給 Microsoft 的支援資料。

    例如,專業服務資料包含疑難排解期間提供給 Microsoft 的文字、音效、影片、影像檔或軟體。

當客戶使用 Microsoft 線上服務時,會處理上述四種資料類別中的三種:客戶資料、服務產生的資料及診斷資料。 當客戶使用專業服務時,我們只會處理專業服務資料,以及客戶授權我們存取以便執行所要求服務的任何其他資料。 上述四種資料類別中的資料也用於執行一組有限的合法商務營運 (LBO),而這組 LBO 可支援我們提供 Microsoft 線上服務和專業服務的能力。 我們只會使用來自診斷資料的匿名化資料,以限制我們對於 LBO 的個人資料使用,並在將該資料用於 LBO 之前彙總個人資料,讓該資料無法再與使用者連結。

在我們使用資料來執行 LBOS 時,Microsoft 作為獨立資料控制者。 使用受限於下列函數:

  • 帳單與帳戶管理
  • 補償 (例如,計算員工佣金)
  • 內部報告和模型 (例如預測、營收、容量規劃、產品策略)
  • 對付可能影響 Microsoft 或 Microsoft 產品的詐騙、網路犯罪或網路攻擊
  • 改善協助工具、隱私權或能源效率的核心功能
  • 財務報告或法律義務的合規性

深入了解