了解 Microsoft 轉包處理者需求
在為客戶提供雲端服務的過程中,Microsoft 會處理許多種類的資料。 我們會將處理的資料進行分類,以確保以適當的安全性和隱私權保護措施處理這些資料。 Microsoft所處理的數據類別定義於 Microsoft 產品和服務數據保護增補 (DPA) 中。
當Microsoft利用供應商提供在線服務的層面,而該服務可能需要供應商處理這類數據時,會根據 GDPR 術語) ,將供應商識別為「轉包處理者」 (。 處理「個人資料」和「Microsoft機密數據」的所有轉包處理者,都必須遵守 Microsoft 供應商安全性與隱私權保證 (SSPA) 計劃,才能代表Microsoft處理數據。
與 Microsoft 共用的資料類型
個人資料會定義為與已識別或可識別的自然人相關的任何資訊,也稱為數據主體。 個人資料可分成四個不同且不同的數據類別:
- 客戶數據 是所有數據,包括所有文字、音效、視訊或圖像檔案,以及客戶透過使用在線服務提供給客戶或代表客戶Microsoft的軟體,不包括Microsoft專業服務數據。
- 服務產生的資料包含由 Microsoft 透過線上服務的運作「產生」或「衍生」的所有資料。 Microsoft 會從我們的線上服務彙總並使用此資料,以確保效能、安全性、規模及其他影響客戶體驗的服務能在客戶所需的層級運作。
- 診斷資料包括所有自應用程式「收集」或「取得」的資料,那些應用程式均安裝在本機、用於與 Microsoft 企業線上服務連線。 其用來協助 Microsoft 確保用戶端軟體是安全且運作正常。
- 專業服務數據 表示所有數據,包括提供給Microsoft的所有文字、音效、視訊、圖像檔或軟體、客戶 (或客戶授權Microsoft從產品) 取得,或是透過與Microsoft合作取得專業服務,或代表Microsoft取得或處理。 專業服務資料包含線上服務技術支援期間提供給 Microsoft 的支援資料。
- Microsoft機密數據 是指任何資訊,如果透過機密性或完整性方法入侵,可能會對Microsoft造成重大信譽或財務損失。 這可能包括開發、測試或製造Microsoft產品、授權密鑰和發行前行銷數據的相關信息。
| 數據類型 | 定義 |
|---|---|
| 客戶資料 | 由客戶提供 |
| 診斷資料 | 從客戶安裝的軟體收集或取得 |
| 服務產生的數據 | 由 Microsoft 產生或衍生 |
| 專業服務資料 支持數據 |
由客戶與專業服務連線提供 客戶與技術支持相關聯的專業服務數據子集 |
| 個人數據 | 上述任何與已識別或可識別自然人相關的已定義數據類型 |
Microsoft 供應商安全性與隱私權保證 (SSPA) 計畫
Microsoft 供應商安全性與隱私權保證 (SSPA) 計畫是一個公司計畫,其旨在為 Microsoft 供應商制定隱私權和安全性需求,以標準化及強化資料處理做法。 SSPA 計畫要求供應商證明其遵守 Microsoft 嚴格的隱私權和安全性原則、法律義務和客戶期望。 若要保護提供給供應商的數據,Microsoft要求所有處理個人資料或Microsoft機密數據的轉包處理者都必須遵守 SSPA 計劃。
SSPA 計畫包含一組安全性和隱私權控制措施,轉包處理者在代表 Microsoft 處理資料前必須先實作這些控制措施。 我們會在數據保護需求 (DPR) 中定義這些控制件。 在 SSPA 計畫註冊的所有轉包處理者,在開始承包工作之前,都必須審查並證明其符合適用 DPR 控制措施。 此外,轉包處理者必須每年完成一份遵守 DPR 的自我證明。 根據與數據處理和轉包處理者所提供服務相關聯的風險層級,可能需要額外的需求。 我們將在本課程模組稍後討論這些額外需求。
在 Microsoft 購買工具中追蹤轉包處理者是否符合 SSPA 計畫的需求。 在完成所有需求之前,購買工具不允許與轉包處理者有進一步的互動。 無法維持 SSPA 需求的合規性,導致轉包處理者無法代表 Microsoft 存取或處理資料。