透過 Microsoft Cloud 為隱私權法規的新時代做好準備
Microsoft 在保護資料、維護隱私權,以及符合各種複雜法規等各方面,皆具備非常廣泛的專業技術。Microsoft 遵守一系列的隱私權原則,並為所有客戶提供歐盟示範條款 (EU Model Clauses) (英文)。我們相信一般資料保護規定 (GDPR),在釐清並維護個人隱私權上是非常重要的下一步。
隨著強制執行 GDPR 的日子越來越接近,您的組織可能很快就會需要證明組織已採取適當步驟保護客戶的個人資料,以回應法規稽核和資訊要求。
實作適當的安全性控制,是展現決心承擔責任的重要步驟。同樣重要的,是實作正確的處理程序 (例如回應資料主體要求 (DSR) 並提供外洩通知),以協助您符合 GDPR 的規範並獲得客戶的信任。
今日,我們將推出數個新資源與功能,協助您透過 Microsoft Cloud 回應履行 GDPR 義務的要求。這些更新包含:
- Microsoft Cloud 上新隱私權資源的公開預覽。
- 可協助 Microsoft Cloud 服務上的 DSR 符合 GDPR 的新功能。
- Office 365 中稽核完備的新特殊權限存取管理功能。
- 讓單一 Office 365 租用戶可橫跨多個 Office 365 資料中心地理位置的能力。
請繼續閱讀以了解更多詳細資料及數個其他更新。
透過服務信任入口網站強化符合履行 GDPR 義務要求的能力
為了支援 GDPR,我們於今日推出新 GDPR 相關工具和資源的公開預覽,其中包括適用於 Office 365、Dynamics 365、Azure、Windows、Intune 及服務信任入口網站 (英文) 上專業服務的 DSR 與資料外洩通知。
GDPR 資源包含關於資料外洩通知 (英文) 的文件,這些文件會描述 Microsoft 在發生個人資料外洩情事時,向您發出通知的時機和方式、Microsoft 提供了哪些資訊,以及您可以用於協助確保組織中正確人員會收到通知的工具。
我們已將所有 DSR 資源 (英文) 集中至單一頁面上,該頁面提供可在 Office 365 安全性與合規性中心及 Azure 系統管理中心中運用的工具,以及能引導您在 Microsoft Cloud 服務中尋找、匯出及清除資料的文件。
若要深入了解,請造訪服務信任入口網站隱私權資源 (英文)。
在 Microsoft Cloud 服務上回應 DSR
為了在所有 Microsoft Cloud 服務上支援 DSR,我們正在實作數個新功能,包含 Office 365 中的 [資料隱私權] 索引標籤、Azure DSR 入口網站,以及 Dynamics 365 中的新 DSR 搜尋功能。
- Office 365 [資料隱私權] 索引標籤:為了協助您有效率地管理與 Office 365 相關的 DSR,我們已將 [資料隱私權] 索引標籤 (預覽) 新增至 Office 365 安全性與合規性中心。在 [資料隱私權] 索引標籤底下,您將能找到 GDPR 專用區段,其中包含可協助您符合 GDPR 規範的文件與資源,以及執行 DSR 時專用的索引標籤。
新的 DSR 體驗是設計為可提供相關工具,協助您針對資料主體要求建立案例,以搜尋並精簡所有 Office 365 位置 (例如 Exchange、SharePoint、OneDrive、Groups,以及最新的 Microsoft Teams) 上的相關資料,以及匯出資料。
組織可能會遇到的其中一個 DSR 案例,便是離職員工要求組織提供屬於他們的資料。為了協助此案例及其他類似案例,我們已針對 Office 365 E5 客戶正式推出進階資料控管的事件型保留功能。
在技術社群部落格中,深入了解 Office 365 中的 [資料隱私權] 索引標籤,以及進階資料控管的事件型保留功能。
若要了解 Office 365 中 DSR 體驗的運作方式,請觀賞下列 Mechanics 影片:
- Azure DSR 入口網站:我們計畫在 2018 年 5 月 25 日的 GDPR 合規性期限之前,推出處理 Azure DSR 的功能。Azure 租用戶系統管理員將能透過這項簡單且強大的工具,迅速地針對 GDPR 處理 DSR。租用戶系統管理員可以透過 Azure DSR 入口網站,識別出與使用者相關聯的資訊,然後修正、增修、刪除或匯出該使用者的資料。系統管理員也可以識別出與資料當事人相關聯的資訊,並將能針對系統所產生的記錄檔 (Microsoft 產生以提供特定服務的資料) 執行 DSR。
協助處理 DSR 的 Azure DSR 入口網站。
若要深入了解,請造訪 Azure 部落格 (英文)。
- Dynamics 365 DSR 搜尋能力:為了協助客戶在 Dynamics 365 中回應 DSR,我們將提供兩個新的搜尋功能:相關性搜尋和個人搜尋報表。由 Azure 搜尋服務所提供的相關性搜尋,可讓您快速且簡單地找出想要尋找的內容。個人搜尋報表提供由 Microsoft 撰寫的預先封裝可延伸實體集合,以識別用來定義某人的個人資料,以及可能指派給他們的角色。
依據新的 GDPR 法規處理資料外洩
針對 GDPR,組織在發生資料外洩的情況時,將必須符合更嚴格的要求。這包含通知監管機構及受外洩事件影響的人員,並通常需在查覺到資料外洩後的 72 小時內完成通知。Microsoft 365 具有一組建全的功能,可協助保護、偵測及回應資料外洩情況。例如,Office 365 進階威脅防護 (ATP) 能透過防止惡意電子郵件或關鍵商務檔案破解使用者帳戶,以保護組織的 Office 365 生態系統。Windows Defender ATP 會著重於保護使用者帳戶不會因為惡意 Web 型檔案或裝置惡意軟體而損毀。
ATP 安全附件正在封鎖惡意電子郵件附件。
當 Microsoft 依據 GDPR 的定義識別出個人資料外洩時,我們將會通知您的租用戶系統管理員。此外,我們也建議您在 Azure Active Directory 中指派一個隱私權連絡人別名,以和系統管理員一起接收此通知。
透過 Azure Active Directory 收集、處理並檢閱使用者同意
在 GDPR 的規範之下,公司現在需要能處理使用者同意的方式,以及稽核完備的報告功能。在 Azure Active Directory 使用規定之下,組織現在可以輕鬆地收集、處理並檢閱使用者同意。您可以在使用者能存取應用程式之前,要求他們檢閱並同意貴組織的使用規定。這些規定可以是與貴組織的商務或法務原則相關的任何文件。
以多種語言提供之 Azure Active Directory 使用規定的範例。
若要深入了解,請檢閱我們的 Azure Active Directory 使用規定文件。
針對特殊權限的系統管理員存取運用稽核完備的控制項
在組織嘗試將特殊權限帳戶因受威脅導致資料外洩的風險降至最低的同時,他們也發現自己需要向監管機構作出回應,並提供描繪客戶資料存取情況的特殊權限存取文件記錄。為了協助組織保護其資料並響應履行這些合規性義務,我們今天在 Microsoft 365 中推出新的特殊權限存取管理功能,它將能提供稽核完備的存取控制項,且這些控制項將具有時限,並能限制資料存取的範圍。
您可以透過 Office 365 中的特殊權限存取管理功能,在 Office 365 中透過追蹤或強制執行將範圍設定為高風險工作的核准工作流程,以更妥善地保護您的資料。例如,廣泛的系統管理員權限能讓系統管理員執行可完整存取組織資料 (例如日誌規則) 的工作,並在不被偵測到的情況下傳送電子郵件至外部信箱,並將敏感性資料外流。Office 365 中的特殊權限存取管理可讓您套用原則,要求任何人員都必須先獲得核准,才能執行這些高風險工作。存取權的要求可由系統自動核准,或是由人員手動核准,且系統會記錄所有的這些活動並且可供稽核。請觀賞此影片以深入了解:
我們很高興能在 Office 365 中推出特殊權限存取管理的公開預覽。 若要開始使用,請瀏覽 Office Previews 頁面 (輸入代碼 PAM044),然後閱讀詳細的技術社群部落格文章。
解決全球資料落地需求
越來越多的政府、第三方監管機構及企業合規性要求開始制定資料落地指導方針,以解決隱私權問題。這些指導方針會做出限制,使資訊無法自由地跨國界傳輸,並要求組織的資料必須儲存在定義的地理位置內。雖然 GDPR 並未要求資料落地,但我們有許多客戶皆表示他們需要能彈性地將資料儲存在指定的地理位置,以符合區域性、業界特定或組織資料落地上的需求。
多地理位置功能可讓單一 Office 365 租用戶橫跨多個 Office 365 資料中心地理位置,並給予客戶在指定的地理位置中依個別員工儲存其 Office 365 待用資料的能力。多地理位置已於 Exchange Online 和商務用 OneDrive 中推出。請閱讀<使用 Office 365 中的多地理位置功能來取得全球資料位置控制>以深入了解。
立即與 Microsoft Cloud 攜手邁向您的 GDPR 旅程
無論您已為 GDPR 做好多少準備,我們很樂意協助您完成符合 GDPR 合規性的旅程,並提供數個資源協助您立即開始進行:
深入了解 Microsoft 可協助您為 GDPR 做好準備 (英文)。
—Alym Rayani,Microsoft 365 總監