按条款访问数据

Microsoft 业务云服务中，管控对客户数据的访问的操作流程受强有力控制措施和身份验证的保护，且分为两类：物理的和逻辑的。

随着每个级别的安全性逐渐增加，对物理数据中心设施的访问受外部和内部边界保护，其中包括边界围栏、安全人员、锁定的服务器机架、多因素访问控制、集成警报系统和运营中心的全天候视频监视。

通过基于角色的访问控制、多重身份验证、最大程度减少对生产数据的长期访问和其他控制，可以根据业务需要限制对客户数据的虚拟访问。对客户数据的访问也会严格记录，Microsoft 和第三方都会执行定期审核（以及样本审核），以证明所有访问都是适当的。

数据在网络上（用户设备与 Microsoft 数据中心之间或数据中心之间）传输时，Microsoft 产品和服务使用行业标准的安全传输协议。为保护静态数据，Microsoft 提供一系列内置加密功能。

大多数 Microsoft 业务云服务都是多租户服务，这意味着你与其他客户的数据、部署和虚拟机可能存储在同一物理硬件上。Microsoft 使用逻辑隔离，通过专业技术隔离不同客户的存储和处理，确保你的数据不会与其他任何人的数据混合。

具有经过审计的认证（例如 ISO 27001）的业务云服务由 Microsoft 和官方认可的审计事务所进行定期验证，这些审计事务所执行样本审计，以证明访问仅限合法的业务目的。

Microsoft 的运营和支持人员分布在全球各地每天 24 小时、每年 365 天随时待命。大部分服务运营已自动化，因此只有一小部分需要人工交互。

Microsoft 工程师不具有对云客户数据的默认访问权限。只有在必要时，他们才会获得受管理监督的访问权限。

Microsoft 人员仅将客户数据用于与提供签约服务相关的用途，例如故障排除和改进 防御恶意软件等功能。

• 为与 Microsoft Online Services 和 Microsoft 云功能集成的云技术提供支持：次级处理商可以处理、存储或以其他方式访问客户和个人数据（包括假名化的个人标识符），同时帮助提供此服务。
  
• 提供辅助服务：次级处理商帮助支持、运营和维护 Microsoft Online Services。在这些情况下，次级处理商可以处理、存储或访问客户和个人数据（包括假名化的个人标识符），同时提供辅助服务。
• 提供合同员工：合同员工与 Microsoft 员工紧密协作，运营、交付和维护 Microsoft Online Services。在此过程中，合同员工可以代表 Microsoft 处理客户或个人数据（包括假名个人标识符）。上述情况中，数据只驻留在 Microsoft 系统中，并受到 Microsoft 政策和监管约束。这些合同员工在 Microsoft Online Services 中的处理活动须接受 Microsoft 每年进行的独立审核。

Microsoft 将客户数据定义为其使用 Microsoft 商务云服务时客户提供给 Microsoft 的所有数据（参阅Microsoft 如何对数据进行分类）。根据 GDPR 定义，部分客户数据为个人数据。Microsoft 还会处理一些在联机服务操作过程中生成或收集到的、未包含在客户服务中的个人数据。

Microsoft 联机服务次级处理商列表 确定了有权在 Microsoft Online Services 中对客户或个人数据进行次级处理的次级处理商。此列表适用于受 Microsoft 数据保护附录治理的所有 Microsoft Online Services。

Microsoft 在任何新次级处理商经授权执行可能涉及访问客户数据的服务之前，会至少提前 6 个月发布其联网服务的任何新的次级处理商的名称。¹

要接收此次级处理商列表的更新通知，请按照描述我的库功能的说明进行操作。