跳转至主内容
Microsoft 365
订阅
Image of a woman in an airport working on her phone.

使用 Microsoft 智能云保护 GDPR 下的个人隐私权

今日博文的作者是 Microsoft 365 主管 lym Rayani。

随着《一般数据保护条例》(GDPR) 的生效,今天将是个人隐私权的一个重要里程碑。当今时代,数字化技术深刻影响着我们生活的方方面面,从我们彼此联系的方式,到我们解读世界的思维方式。这种数字化转换的核心是能够存储和分析大量数据,以产生更深刻的见解和更多个人客户体验。这有助于我们每一个人都能比以往获得更大的成就,但它也留下了大量数据线索,包括需要保护的个人信息和敏感商业记录。

在 Microsoft,我们的使命是为每个人和每个组织提供支持,帮助他们获得更大成就。信任是我们所做的一切的核心,因为我们早就意识到人们不会使用他们不信任的技术。我们也相信隐私是一项需要保护的基本人权。正如 Microsoft 隐私负责人 Julie Brill 在最近的博客中指出的那样,Microsoft 相信,GDPR 确立了与全球相关的重要原则。

除了我们对隐私的持续承诺,我们在过去一年里还进行了一些投资,以支持 GDPR 和个人隐私权。下文回顾了如何使用这些功能来帮助组织遵从 GDPR 合规性。

评估和管理合规性风险

由于实现组织合规性具有很大难度,因此必须首先了解你的合规性风险。客户已经告诉我们他们的挑战,即缺乏内部功能来定义和实施控制以及审核准备活动低效。

合规性管理器和合规性分数有助于持续监视合规性状态。合规性管理器捕获并提供每种 Microsoft 控制(这些控制已得以实施以满足特定要求)的详细信息,包括实施和测试计划详细信息,以及必要时的管理响应。它还提供了组织可以采取的建议操作,以增强数据保护功能并有助于履行合规性义务。

合规性管理器仪表板的屏幕截图。

以下是 Microsoft 365 客户 Abrona 使用合规性管理器的情况:

保护个人数据

GDPR 的核心是保护个人的个人数据 – 确保这些数据得到适当的保护、治理和管理,以防止这些数据被滥用或落入坏人之手。为了帮助确保组织有效地保护个人数据以及与组织合规性需求相关的敏感内容,需要实施使组织能够发现、分类、保护和监视最重要数据的解决方案和流程。

Microsoft 365 中的信息保护功能(如 Office 365 数据管理和 Azure 信息保护)提供了集成的分类、标记和保护体验 – 使数据无论在哪里或移至哪里都能得到更持久的保护。对个人和敏感数据进行分类的主动数据管理策略使你能够在需要查找相关数据以满足监管请求或需求(如数据主体请求 (DSR) 作为 GDPR 的一部分)时做出精确响应。

安全与合规中心的“保护”设置屏幕截图。

Azure 信息保护扫描程序可配置策略以在本地存储库(如文件服务器和本地 SharePoint 服务器)中自动查找、分类、标记和保护文档,从而满足混合和本地方案需要。可以按照本技术指南中的说明进行操作,以在自己的环境中部署扫描程序。

Azure 的完全托管数据库服务(如 Azure SQL 数据库)有助于减轻数据平台补丁安装和更新的负担,同时提供智能内置功能,帮助识别存储敏感数据的位置。新技术(如 Azure SQL 数据发现和分类)提供了在数据库级别上发现、分类、标记和保护敏感数据的高级功能。使用透明数据加密 (TDE) 等技术保护个人数据,这些技术使用 Azure Key Vault 集成提供创建自己的密钥 (BYOK) 支持。

让我们了解一下 Microsoft 365 客户 INAIL 如何利用 Azure 信息保护对其最敏感的数据进行分类、标记和保护:

自信回应

确保流程能够有效地管理并满足某些 GDPR 要求,例如对 DSR 或数据泄露的响应,这对许多组织来说都是一个艰难的障碍。

为了有助于浏览云服务提供的 GDPR 资源,我们上个月在服务信任门户中引入了“隐私”选项卡。该选项卡提供了为 Microsoft 云服务上自己的数据保护影响评估 (DPIA) 所需准备的信息、对 DSR 的响应指导以及有关 Microsoft 如何检测和响应个人数据泄露和如何直接从 Microsoft 接收通知的信息。

若要了解有关服务信任门户中 GDPR 资源的详细信息,请观看新的 Mechanics 视频

支持 DSR 的功能

有助于支持 Microsoft 云服务中的 DSR 的部分功能包括:Office 365 中的“数据隐私”选项卡、Azure DSR 门户以及 Dynamics 365 中的新 DSR 搜索功能。

Office 365 中的新“数据隐私”选项卡、GDPR 仪表板和 DSR 体验现已正式发布,可供所有商业客户使用。此体验旨在提供快速有效执行适用于 Office 365 内容的 DSR 的工具,例如 Exchange、SharePoint、OneDrive、Groups 以及现在的 Microsoft Teams。

正如 GlaxoSmithKline 的 Kelly Clay 所说,“GDPR 2016/679 是欧盟法律中关于欧洲联盟内所有个人的数据保护和隐私的一项规定。在数字经济中个人数据的经济价值不断增加的时代,GDPR 还为欧盟公民带来了一套新的‘数字权利’。GDPR 将需要大型数据持有者和数据处理器来管理 DSR,而各组织将需要 Office 365 中的工具来管理 DSR。”

法律事务所 Shook, Hardy & Bacon 的 Patrick Oots 观察了他的客户组织以及他们迈向 GDPR 的步骤。“我们很高兴看到 Microsoft 在 Office 365 上投资。在我们的客户为 GDPR 做准备时,我们看到数据隐私门户中的工具在根据第 15 条管理 DSR 方面具有巨大的价值。随着数据保密法的发展,我们提醒 Office 365 客户在安全与合规中心内正确实施信息管理策略以尽量减少风险的总体重要性。” Patrick 进一步强调了主动数据管理策略是如何帮助组织在需要时精确地对 GDPR 等法规作出反应的。

安全与合规中心中 GDPR 仪表板的屏幕截图。

Azure DSR 门户现已公开发布。使用 Azure DSR 门户,租户管理员可以识别与用户相关的信息,然后更正、修改、删除或导出用户的数据。管理员还可以识别与数据主体相关的信息,并能够对系统为 Microsoft 云服务生成的日志(Microsoft 生成的数据,用于提供给定服务)执行 DSR。Azure 的其他新产品/服务包括 Azure 策略的一般可用性、Azure GDPR 的合规性管理器以及 GDPR 的 Azure 安全与合规蓝图。

阅读关于 GDPR 功能的 Azure 播客文章了解详细信息。

Azure Directory 中“用户隐私入门”屏幕的屏幕截图。

为了帮助客户回应 Dynamic 365 中的 DSR,我们有两个搜索功能:相关性搜索和人员搜索报告。相关性搜索提供一种用于查找内容的快捷方式,由 Azure 搜索提供支持。人员搜索报告提供预打包的一组可扩展实体(由 Microsoft 创作),用于识别个人数据,这些数据用于定义个人及其可能分配到的角色。

有关详细信息,可参阅 Dynamics 365 博客文章

展示 Dynamics 365 中相关性搜索功能的屏幕截图。

新的 Windows 隐私中心涵盖 docs.microsoft.com 上的 Windows 隐私相关内容。在这里可以找到新的帮助 IT 决策者准备好 GDPR 的指导(用于个人数据隐私保护的Windows 10 服务配置设置列表),了解 Windows 诊断数据等。

处理数据泄露

GDPR 的启动还意味着组织在发生数据泄露时必须遵守更严格的规定。Microsoft 365 具有一套强大的功能,涉及从 Office 365 高级威胁防护 (ATP) 到 Azure ATP 范围,可以帮助防止和检测数据泄露。

在 Microsoft 的帮助下,立即开启你的 GDPR 旅程

Microsoft 在保护数据、维护隐私以及遵守复杂法规方面拥有丰富的专业经验。我们相信,GDPR 代表着人类在阐释和赋予个人隐私权方面迈出了重要一步,我们在合同承诺中提供 GDPR 相关保证。

无论你处在 GDPR 工作中的哪个位置,我们都会在你的 GDPR 合规性之旅上提供帮助。以下资源可帮助你立即开始使用:

深入了解 Microsoft 如何帮助你做好 GDPR 工作