借助 Microsoft 云,做好迎接隐私监管新时代的准备
Microsoft 在保护数据、维护隐私以及遵守复杂法规方面拥有丰富专业的经验。Microsoft 坚持一套隐私原则,并向所有客户提供欧盟示范条款。我们相信,《一般数据保护条例 (GDPR)》代表着人类在阐释和赋予个人隐私权方面迈出了重要一步。
随着 GDPR 实行日期的临近,你的组织可能即将需要证明已采取适当措施来保护客户的个人数据,以响应法规审核和信息申请。
实施适当的安全控制是体现责任履行的重要措施。另一项同样重要的措施是正确设置流程(例如响应数据主体请求 (DSR) 和提供泄露通知),帮助符合 GDPR 规定和赢得客户信任。
今天,我们公布了多项新资源和功能,可帮助客户借助 Microsoft 云实现 GDPR 合规性。这些更新包括:
- Microsoft 云中新隐私资源的公共预览版。
- 用于帮助跨 Microsoft 云服务处理 DSR 以应对 GDPR 的新功能。
- Office 365 中符合审核标准的全新 Privileged Access Management 功能。
- 允许单个 Office 365 租户跨越多个 Office 365 数据中心地理区域。
继续阅读以了解详细信息和其他多项更新。
通过服务信任门户增强履行 GDPR 义务的能力
为了支持 GDPR,今天我们发布了与 GDPR 相关的新工具和资源的公共预览版,包括服务信任门户上适用于 Office 365、Dynamics 365、Azure、Windows、Intune 和专业服务的 DSR 和数据泄露通知。
GDPR 资源包括有关数据泄露通知的文档,其中介绍了 Microsoft 会在何时以及如何发送有关个人数据泄露的通知、Microsoft 将提供的信息以及可帮助确保组织中相关人员收到通知的工具。
我们将所有 DSR 资源集中到一个页面中,该页面提供可在 Office 365 安全与合规中心和 Azure 管理中心中使用的工具,还提供介绍如何从 Microsoft 云服务查找、导出和擦除数据的相关文档。
请访问服务信任门户隐私资源,了解详细信息。
响应 Microsoft 云服务中的 DSR
为支持 Microsoft 云服务中的 DSR,我们将推出多项新功能,包括 Office 365 中的“数据隐私”选项卡、Azure DSR 门户以及 Dynamics 365 中的新 DSR 搜索功能。
- Office 365“数据隐私”选项卡 – 为帮助有效且高效管理与 Office 365 相关的 DSR,我们向 Office 365 安全与合规中心添加了“数据隐私”选项卡(预览版)。在“数据隐私”选项卡下,可找到专用于 GDPR 的部分,其中包括可帮助实现 GDPR 合规性的文档和资源,同时还可找到专用于执行 DSR 的选项卡。
全新 DSR 功能提供用于创建数据主体请求案例的工具、跨 Office 365 地理位置(如 Exchange、SharePoint、OneDrive、组以及现在的 Microsoft Teams)搜索和优化相关数据,然后导出数据。
组织可能遇到的一种涉及 DSR 的情形是离职员工请求获取自己的数据。为帮助处理这种情况及其他类似情况,现已面向 Office 365 E5 客户正式推出高级数据管理的基于事件的保留功能。
通过技术社区博客详细了解 Office 365 中的“数据隐私”选项卡和高级数据管理中的基于事件的保留。
若要了解 Office 365 中 DSR 功能的工作原理,请观看 Mechanics 视频:
- Azure DSR 门户 – 我们计划在 GDPR 合规性最后期限 2018 年 5 月 25 日之前发布用于处理 Azure DSR 的功能。Azure 租户管理员将拥有一个强大便捷的工具来快速处理 DSR,以符合 GDPR 的规定。使用 Azure DSR 门户,租户管理员可以识别与用户相关的信息,然后更正、修改、删除或导出用户的数据。管理员还可以识别与数据主体相关的信息,并能够对系统生成的日志(Microsoft 生成的数据,用于提供给定服务)执行 DSR。
可帮助处理 DSR 的 Azure DSR 门户。
若要了解详细信息,请访问 Azure博客。
- Dynamics 365 DSR 搜索功能 – 为帮助客户响应 Dynamics 365 中的 DSR,我们提供两种新的搜索功能:相关性搜索和人员搜索报告。相关性搜索提供一种用于查找内容的快捷方式,由 Azure 搜索提供支持。人员搜索报告提供预打包的一组可扩展实体(由 Microsoft 创作),用于识别个人数据,这些数据用于定义个人及其可能分配到的角色。
按照全新 GDPR 法规的要求处理数据泄露
根据 GDPR 的规定,在发生数据泄露时,组织须采取更严格的措施来应对。这包括通知监管机构和受泄露事件影响的各方,通常应在发现数据泄露后 72 小时内通知。Microsoft 365 提供一组强大的功能,可帮助检测和应对数据泄露并提供相应保护。例如,Office 365 高级威胁防护 (ATP) 通过帮助防止恶意电子邮件或业务关键文件泄露用户帐户信息,为组织的 Office 365 生态系统提供保护。Windows Defender ATP 专注于防止基于 Web 的恶意文件或设备恶意软件破坏用户帐户。
用于阻止恶意电子邮件附件的 ATP 安全附件。
如果 Microsoft 识别到符合 GDPR 定义的个人数据泄露,我们将通知租户管理员。此外,建议同时在 Azure Active Directory 中指定专用联系人别名,除管理员外,该别名也会收到通知。
使用 Azure Active Directory 收集、处理和查看用户同意
根据 GDPR,企业现在需要采用一种方法来处理用户同意并提供符合审核要求的报表。利用 Azure Active Directory 使用条款,组织现在可以轻松收集、处理和查看用户同意。可要求用户查看并同意组织的使用条款,然后才能访问应用程序。这些条款可以关联与组织业务或法律政策相关的任何文件。
多种语言的 Azure Active Directory 使用条款示例。
若要了解详细信息,请参阅 Azure Active Directory 使用条款文档。
针对特许管理员访问使用符合审核标准的控制措施
组织在设法将威胁到特许帐户的数据泄露风险降到最低的同时,也需要响应监管机构的要求,提供特许访问跟踪记录(其中概述了客户数据的访问方式和过程)。为帮助组织保护其数据和响应这些合规要求,我们在 Microsoft 365 中引入了新的 Privileged Access Management 功能,该功能提供符合审核标准的访问控制,这些访问控制有时间限制且可以限制数据访问范围。
借助 Office 365 中的 Privileged Access Management,可以通过在 Office 365 中跟踪或执行针对高风险任务的审批工作流,更好地保护数据。例如,较大的管理员特权使管理员能够执行某些任务,这些任务可提供对组织数据(如日记规则)的无限制访问,这有可能导致将电子邮件发送到外部邮箱及泄漏敏感数据而不被检测到。借助 Office 365 中的 Privileged Access Management,可以应用策略,要求任何人需在审批后方可执行这些高风险任务。可自动或手动批准访问请求,且这一活动过程将被全程记录,并可对其进行审核。观看此视频了解详细信息:
我们将在 Office 365 中推出 Privileged Access Management 功能的公共预览版,我们感到很开心。 若要开始,请访问 Office Previews 页面(输入代码 PAM044),然后阅读详细的技术社区博客。
应对全球数据驻留需求
越来越多的政府、第三方监管机构和企业的合规规范中都制定了数据驻留指导条例,旨在解决隐私问题。这些指导条例对信息跨境自由流动进行限制,并要求将组织数据存储在限定地理区域内。尽管 GDPR 并未要求强制执行数据驻留,但许多客户告诉我们,他们需要在选定地理区域内灵活存储数据,以满足区域、特定行业或组织的数据驻留要求。
多地理位置功能使单个 Office 365 租户可跨越多个 Office 365 数据中心地理区域,并使客户能够以员工为单位,将 Office 365 数据静态存储在其选定的地理区域内。现已推出适用于 Exchange Online 和 OneDrive for Business 的多地理位置功能。阅读“在 Office 365 中通过多区域功能实现全球数据位置控制”,了解详细信息。
在 Microsoft 云的帮助下,立即开启你的 GDPR 合规之旅
无论你的 GDPR 合规工作进展到哪个阶段,我们都可为你提供相关帮助,并提供多个资源帮助你立即启动工作并加快进度:
深入了解 Microsoft 如何帮助你做好 GDPR 合规准备工作。
——Microsoft 365 主管 Alym Rayani