【编者按】:
数据保护影响评估制度是欧盟《一般数据保护条例》中重要的风险管理工具之一,与“基于风险的规制路径”思想保持一致,与“问责制”等原则协调配合,能够帮助数据控制者和处理者降低个人数据处理活动对数据主体带来的威胁和风险。2018年,荷兰司法和安全部通过SLM Rijk(负责微软、谷歌和AWS等产品供应商管理的荷兰政府部门)委托评估方对包括Office 365在内的一系列微软产品进行数据保护影响评估,2019年发布了针对Word、PowerPoint、Outlook、Excel和Microsoft Teams等Office 365应用程序的数据保护影响评估报告。2022年2月21日,受SLM Rijk以及SURF(荷兰教育机构和研究机构的合作协会)的委托,Privacy Company针对微软Teams软件与OneDrive、SharePoint两个云存储服务器以及访问控制工具Azure Active Directory的交互中涉及的数据处理活动中的风险进行了新的调查,并发布了新的数据保护影响评估报告。[1]报告对于数据处理活动的事实情况、可能的数据保护风险、可行的降低风险的措施进行了细粒度的分析,对于数据保护影响评估制度如何落地实施、业务过程中应当注意的关键点有参考意义。本文尝试结合欧盟法律规定、行业方法论对报告内容进行简要梳理和分析,以期为理论界和实务界提供参考。
目 录
一、DPIA制度及可用工具简介
二、DPIA报告概述
三、DPIA报告关键点分析
关键点一:明确限定DPIA涉及的数据处理活动范围
关键点二:明确区分DPIA涉及的数据类别和性质
关键点三:明确数据处理活动中的角色划分(合同安排vs事实情况,兼考量控制能力,基于具体场景分析)
关键点四:为用户提供控制手段
1、系统管理员可用的隐私控制手段
2、终端用户可采用的隐私控制手段
关键点五:对数据跨境传输的情况进行重点分析和评估
关键点六:进一步关注到数据传输至第三方后再次传输至第四方的情况,为用户针对向第三方传输数据的情况提供有效控制的手段
关键点七:特别关注国外执法机构进行数据调取的情况
关键点八:逐项评估数据处理的合法性
1、涉及Teams, OneDrive, Sharepoint Online和Azure AD中诊断数据的数据处理活动
2、涉及Web端Office软件的遥测数据和必要服务数据的数据处理活动
3、涉及控制者互联体验的数据处理活动
4、涉及Teams中Analytics & reports功能、Viva中Advanced Insights功能的数据处理活动
关键点九:提高数据处理活动中的透明度以及软件使用者对于数据传输的控制能力
关键点十:积极采取措施响应数据主体行使权利的请求
关键点十一:非个人数据的集合可能构成个人数据
关键点十二:为控制者或处理者的提供对其行为解释说明的机会,并如实记录在DPIA报告中;用户交叉处理文件时的特殊做法
关键点十三:基于事实描述,逐项精细化评估数据处理活动产生的风险
(高风险)失去控制、失去保密性:美国政府当局对内容数据中敏感和特殊类别的个人数据的不当访问
(低风险)失去控制:美国政府当局对诊断数据的不当访问
(低风险)将用户名/电子邮件地址/OneDrive路径名意外转移到美国
(低风险)对遥测数据的处理缺乏透明度
(低风险)数据主体无法行使对必需服务数据的访问权
(低风险)缺乏控制:未经授权的第三方数据处理活动
(低风险)员工监控系统
关键点十四:降低风险的措施
一、DPIA制度及可用工具简介
我国《个人信息保护法》第55条正式引入了个人信息保护影响评估制度,并规定了强制适用的场景和评估的内容框架。类似的数据保护影响评估/隐私影响评估制度(以下统称为“DPIA”)在域外已施行多年,[2]由于相关的法律文本表述通常较为笼统,仅为DPIA的实施提供了最低标准或原则性指导,因此在实践中发展出了许多更细致的指南、标准、实施框架等文件。较为有影响力的指南或框架性文件如文后附表所示。
在我国,全国信息安全技术标准委员会发布的推荐性国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020,以下简称“《评估指南》”)已于2021年6月1日生效。《评估指南》充分借鉴了美、欧等国家和地区的法律规定、制度设计、标准文本和实践做法,对我国DPIA的评估原理、评估实施流程作出了细致地指引。[3]
然而,可用的框架、标准虽多,实践中公开的高质量DPIA报告却十分稀少。此次荷兰政府公布的微软DPIA报告长达121页,虽然是针对特定软件的特定业务流程进行的DPIA,而非普适性的框架指南,但对于数据保护影响评估的落地实施、数据处理活动中应当注意的关键点等问题均有重要参考意义。为此,笔者撰得此文,对这份DPIA报告作简要的梳理和分析,以期抛砖引玉。
二、DPIA报告概述
荷兰政府提出了包含总括性(Umbrella)DPIA方法在内的DPIA框架,控制者可以先使用总括性DPIA对数据处理活动进行评估,将此DPIA作为基于特定使用场景的DPIA的基础。[4]例如,本DPIA报告就采用了总括性DPIA的方式,帮助作为数据控制者的政府部门和大学对使用微软相关软件(Teams与OneDrive,SharePoint Online以及云身份验证服务Azure Active Directory)处理个人数据所导致的数据保护风险进行评估,并敦促政府部门、大学为代表的数据控制者以及微软对这类风险采取措施。在此基础上,又对涉及服务必需数据的特定数据处理活动提出进行更细致DPIA的建议。
报告与GDPR第35条第7款的规定相符,分为四大部分。第一部分对进行评估的数据处理活动进行了描述,包括诊断数据的处理活动,涉及的个人数据类别和数据主体,隐私控制手段,处理活动的目的,各方在处理活动中的角色(控制者、共同控制者及处理者)及相应义务,数据处理活动相关方的利益,向欧盟外传输个人数据的情况,数据处理活动的技术和方法,额外的法律义务,数据保留期限等问题。第二部分对数据处理的合法性进行了评估和分析,包括开展数据处理活动合法性基础,数据处理活动是否符合目的限制等原则,是否符合必要性和相称性原则,相关的数据主体权利等问题。第三部分对处理活动可能导致对数据主体的风险进行了讨论和评估。最终将风险归纳为1类高风险和6类低风险。第四部分对降低风险的措施进行了描述。整体来看,第一部分占据了约70%的篇幅,表明对于数据处理活动事实情况的描述和分析是DPIA的重中之重。
三、DPIA报告关键点分析
关键点一:明确限定DPIA涉及的数据处理活动范围
DPIA第一步明确限定了待评估数据处理活动的范围,即Teams在五类可用平台上(PC端和笔记本电脑端(Windows,Mac OS),智能手机端和平板电脑端(iOS,Android平台),以及浏览器端(Office for the Web))与OneDrive、SharePoint Online以及Azure AD交互时有关的数据处理活动。如下图所示:
|
补充内容 |
|
Microsoft Teams是一个在线通信和协作平台,可以实现即时通讯、视频会议、文件存储和共享等功能。 SharePoint Online和OneDrive for Business为Teams功能实现提供云存储服务。 Azure Active Directory(Azure AD)是微软的云身份验证服务,Office 365使用Azure AD进行微软云服务的访问控制。微软对此类数据的处理可以使得其获取有关终端用户工作模式的信息。 Connected Experiences(互联体验)是Office软件中基于微软云的服务,微软将其分为三类:一是内容分析式互联体验。例如Excel数据分析,文本翻译等功能。二是内容传输式互联体验。例如插入PowerPoint图表,免费模板下载,天气内容更新等功能。三是其他互联体验,例如“提及”(@)功能、寻求帮助和支持、数据丢失防护(DLP)策略提示等。[5]这些互联体验有些是可以选择的,有些可以和外部软件进行交互,可由账户管理员进行管理。[6]微软作为软件服务提供商,在本DPIA涉及的数据处理活动中的大部分情况下处于“数据处理者”的身份,但一些互联体验服务场景下,微软事实上取得了数据控制者的地位。这类服务称为“控制者互联体验”(Controller Connected Experiences)。包括:第一,用户向微软提供反馈;第二,用户使用Bing插入在线图片;第三,用户从Giphy中插入图像;第四,用户向微软提出建议;第五,用户联系微软以获取支持服务。 |
关键点二:明确区分DPIA涉及的数据类别和性质
明确区分DPIA涉及的数据类别和性质,有助于业务过程中和DPIA中对可能产生的风险进行更为精准的把握和判断。
本DPIA报告将微软作为服务提供者的数据分为三类:第一,与微软服务器进行通信的内容数据(Content Data)。例如云服务器上存储文件的内容,包括SharePoint和OneDrive上的文件名和路径名;第二,诊断数据(Diagnostic Data)。诊断数据用于保持Office的安全和更新,检测、诊断、修复问题以及改进产品。这类数据不包括用户的姓名或电子邮件地址、用户文件的内容或与Office无关的应用程序的信息。指微软保存在日志文件中的有关其个人用户及其服务行为的所有数据,包括用户在终端上使用相关服务和软件生成的元数据,系统生成的云服务器日志文件中收集的有关其Office应用程序使用情况的数据,以及不同平台应用程序系统性发送给微软的“遥测数据”(Telemetry Data),[7]有时诊断数据还包括内容数据;第三,功能性数据(Functional Data)。即为保障微软在线通信服务和存储服务而必需从终端设备发送的数据,例如验证用户是否持有有效许可证所需要的数据。功能性数据被排除在本DPIA范围之外,其与诊断数据之间的区别在于,功能性数据是瞬态的(transient),微软并不存储此类数据。
在此基础上,微软对该等数据中涉及的个人数据和数据主体作出界定。在2021年9月的DPIA中,微软认为其处理的与提供产品和服务有关的所有个人数据包括以下三类,第一,用户数据。包括用户或其代表通过使用在线服务向微软提供的个人数据;第二,专业服务数据。包括用户或其代表通过使用专业服务向微软提供的个人数据;第三,由微软生成、派生或收集的数据。包括因用户使用基于服务的功能(service-based capabilities)而发送给微软的数据,或由微软从本地安装的软件获得的数据。除此之外,在微软处理的与提供产品有关的数据中,可能包含假名标识符,此类假名标识符属于个人数据。任何假名或去标识化但没有达到匿名化程度的数据,或从原始个人数据中派生的推论数据,均属于个人数据。
本次DPIA中,评估方对微软主动记录的遥测数据进行技术分析,与DPIA过程中截获的网络流量进行比较,结合对管理员可访问的审计日志中诊断数据的分析结果,来判断相应的数据是否属于个人数据,以及相应的数据主体。个人数据类型包括:包含个人数据的国家机密信息;GDPR第9条第(1)款规定的特殊类别的个人数据;具备敏感性质的个人信息(未被GDPR第9条第(1)款涵盖在内的具备敏感性质的信息,敏感度与数据保密性被破坏时带来的风险水平有关)。数据主体类型包括:员工和学生;访客用户;其他非用户类数据主体。
关键点三:明确数据处理活动中的角色划分(合同安排vs事实情况,兼考量控制能力,基于具体场景分析)
微软作为软件服务提供商,在本DPIA涉及的数据处理活动中的大部分情况下处于“数据处理者”的身份。根据2019年与荷兰政府达成的协议(以下简称“协议”),微软作为处理者只能够在以下情况对在线服务中获取的个人数据进行处理(以下简称“经授权目的”):第一,为提供和改进服务的目的;第二,为保障最新服务水平的目的;第三,为保障安全的目的。
此外,该协议还禁止微软出于以下目的进行处理:第一,为数据分析的目的;第二,为数据画像的目的;第三,为广告投放的目的或类似的商业目的,包括通过屏幕推荐用户未使用的微软产品或服务;第四,为开发新功能、服务或产品进行市场研究的目的。
评估方认为,虽然根据协议,微软仅在经授权目的下作为数据处理者处理有关的个人数据,但合同安排并不是决定性的,某一方在数据处理活动中承担何种角色须得根据实际情况确定,必须评估是由谁在实践中决定了处理的目的和方式。
经评估,在某些有限的合法业务目的和控制者互联体验的情形下,微软作为数据控制者处理数据。例如,微软允许Windows平台的Teams在默认设置下向第三方传输个人数据,将个人数据从SharePoint Online发送到自己,再将Teams用户重定向至微软support网站,并将数据传输至Cloudflare。在这个过程中,微软至少部分地确定了这种数据处理的目的,事实上取得了数据控制者的身份。而此后通过Teams Store、Bing和Cloudflare访问的第三方则构成独立的数据控制者。
评估还发现,从Office for the Web端处理遥测数据的场景下,管理员完全无法控制遥测事件的发生与否,无法最小化遥测数据收集范围,也无法使用data Viewer工具或等效工具对数据进行检查和处理。Microsoft不发布事件信息,不提供对诊断数据的访问,将大多数浏览器遥测数据都归类为服务所必需的服务数据。在此类情况下,由于数据处理活动的透明度缺失,用户无法指示微软以数据处理者的身份处理相关个人数据,可能导致微软事实上成为此类数据的联合控制者。
一个值得注意的问题是,倘使微软出于配合行政执法的目的将数据交由某一行政执法机关,应当如何界定相关角色?2019年协议中对此作出了约定,在微软必须将个人数据(无论是内容数据还是诊断数据)移交给美国的执法机构、安全机构或特勤局的情况下,当不允许微软通知用户且不允许将行政命令重定向到原本的控制者时,微软充当数据控制者的角色。
关键点四:为用户提供控制手段
用户是否可以有效实现对其个人数据的控制,成为DPIA过程中判断风险的主要因素之一。微软在此过程中为管理员账户和一般终端用户提供了不同的隐私控制手段,主要包括端到端加密、双密钥加密、最小化数据收集范围(仅收集提供服务所必要的数据)、启用/禁用互联体验功能的选择权、假名化等手段。
01 系统管理员可用的隐私控制手段
启用端到端加密(E2EE):管理员可以负责用户在Teams管理中心选择加入E2EE。此选项目前不是标准选项,但可以通过PowerShell中的组策略激活。
启用Customer Lockbox和/或双密钥加密:管理员可以通过启用主Microsoft 365管理员门户中的Customer Lockbox,为存储在Exchange Online(包括Teams数据)、SharePoint和OneDrive中的数据启用额外级别的加密。
最小化遥测数据收集范围:微软目前在Office 365的企业版中区分了三种收集范围:可选;必需;均不。管理员可以选择最低等级的“均不”级别。
禁用控制者互联体验:管理员可以在所有平台上关闭所有Office 365服务的控制者互联体验。
禁止访问Team store中的非Microsoft应用程序:管理员可以通过应用设置,在Teams商店—Teams管理中心-管理应用页面上禁用对非微软应用的访问。
禁用Teams中的Giphy功能:管理员可以通过在Teams中选择单独的组策略禁用Giphy功能。
通过Azure AD中的条件访问规则强制用户接受组织的隐私规则:管理员可以通过Azure AD强制终端用户(包括访问用户)接受组织策略。
在Teams Analytics & reports服务中将用户名假名化:管理员可以选择在Teams Analytics & reports和users reports中以假名显示终端用户的姓名和电子邮件地址。须得注意的是,微软在此项说明中错误地使用了“匿名”(anonymous)概念,可能会给使用者造成误会。
启用Microsoft Viva:微软提供的企业内部办公平台。
02 终端用户可采用的隐私控制手段
在一对一通话中启用端到端加密:如果管理员启用了E2EE,终端用户可以启用此选项。
启用Data Viewer Tool:终端用户可以在移动设备(Android和iOS)上为Teams和OneDrive启用Data Viewer工具,也可以在Windows和MacOS台式机上为Teams启用Data Viewer工具。
关键点五:对数据跨境传输的情况进行重点分析和评估
DPIA过程中纳入了相对独立的数据传输影响评估(Data Transfer Impact Assessment,DTIA),着重分析了数据跨境传输情况下可能存在的数据保护风险。
首先,DPIA报告分析了目前受测软件存在的数据跨境传输情况。例如:涉及核心在线服务的内容数据,仅在欧盟内部进行处理。涉及Azure AD的内容数据存储在Azure AD服务运行的数据中心,即荷兰政府机构和大学。遥测数据和系统生成的关于非核心服务的在线服务的日志文件则直接在美国的Microsoft服务器上传输或生成。
由于计算机网络数据包传输的特性,无法提前预知数据传输的路径,微软仅针对静态数据最终存储地提供保证。因此,虽然存在数据在传输过程中被不当访问的风险,在采取了合适的加密手段的情况下,DPIA报告认为微软无需对路由的路径提供法律上的承诺。
方式上,微软采用标准合同条款(SCC)进行数据跨境传输。DPIA报告指出,尽管欧洲法院承认欧盟委员会采纳SCC决定的有效性,因此原则上仍然允许基于SCC的数据传输,但SCC适用于个案判断,对于系统地向美国传输个人数据的情况,不能当然地认定这种方式满足了数据保护的相关要求。根据GDPR的规定,通过SCC进行的跨境传输也需要接收方提供充分的数据保护,须得由控制者在业务开展时自行判断有关风险。EDPB对接收方的数据保护水平提出了四项必要但不充分的判断要求:(1)数据处理活动应基于清晰、准确和可访问的规则;(2)需要证明所追求的合法目标的必要性和相称性;(3)应当存在独立的监督机制;(4)应当存在个人可以寻求有效补救的措施。[8]
值得注意的是,DPIA中微软提到了名为“欧盟数据边界”的计划。2021年5月,微软首次公布“欧盟数据边界”(EU Data Boundary)计划,[9]承诺在2022年年底前,商业用户和公共部门用户使用微软核心云服务涉及的数据将完全在欧盟境内完成处理。2021年12月,微软更新了该计划进展。[10]本次DPIA中,该计划的进展和完成时间段成为认定风险层级时考虑的重要因素。
关键点六:进一步关注到数据传输至第三方后再次传输至第四方的情况,为用户针对向第三方传输数据的情况提供有效控制的手段
2020年6月,微软与SLM Rijk和SURF就当时DPIA后的隐私改善措施达成协议,约定管理员禁用控制者互联体验的情况下,任何平台上的任何Office 365应用都不应当向第三方发送任何流量。
在2021年5月的DPIA中,评估方没有检测出应用程序向未记录在案的第三方进行数据传输的情况。但存在三类情形:第一,Windows平台版本的Teams向第三方传输数据;第二,通过浏览器访问时,无法禁用Bing在SharePoint Online中的控制者互联体验;第三,如果用户在iOS上访问Teams的隐私设置,则会从support.microsoft.com域向美国内容分发网络Cloudflare传输数据。
本次DPIA中发现,在第一种情况下,Windows平台版本的Teams向Teams.Polly.AI传输数据,[11]通过对捕获的流量数据进行技术分析,评估方发现向Polly发送的流量触发了一系列事件,导致向多个第三方传输唯一标识符,并且导致跟踪cookie的设置。在初始数据流中,用户界面中加载了一个iframe,[12]微软向Polly发送的请求(Request)中包括了用户代理(UA)、referrer(generic)、以及终端用户的IP地址,但不包含cookie或跟踪标识符。之后,Polly向[Intercom.io 和 Intercomcnd.com]、[Stripe.com]、[YouTube YSC cookies]、[Google DoubleClick IDE tracking cookie]等第四方发送了数据。微软对此解释说,管理员可以为终端用户禁用此Teams store中非Microsoft应用的访问。评估方经验证,该选项可有效防止Teams store向第三方传输数据,因此也有效降低了相关的风险。
又如,通过浏览器访问SharePoint的情况下,当用户插入图片时,SharePoint会将用户名、IP地址和组织名称等用户信息发送给Bing。作为响应,Bing发送了三个具有唯一标识符的cookie。微软认为自己是Bing处理的所有个人数据的独立数据控制者,评估方则认为,当政府机构和大学的管理员关闭控制者互联体验时,插入图片的功能不应可用。微软对此回应,如果用户在2022年7月1日之前禁用了控制者互联体验,将停止此类数据传输。
关键点七:特别关注国外执法机构进行数据调取的情况
如何应对国外执法机构进行数据调取的请求和命令,是影响数据保护风险大小的重要因素。因为涉及受测软件的数据跨境传输和云存储服务,本次DPIA重点分析了此种情况。并将美国执法当局的数据调取认为是一类高风险数据处理活动。
微软每年会发布两次关于其收到的执法请求和监控命令的详细报告,[13]IBM、AWS、Zoom、Cisco和谷歌等企业云存储和通信服务的市场参与者也会披露收到的请求情况。[14]这样的详细报告有助于提升有关事项的透明度,帮助数据控制者在选择数据处理者时有效判断、比较可能产生的风险。根据透明度报告,在2021上半年,微软收到了来自世界各地执法机构的121个关于企业云用户账户的请求。微软被迫响应了51个请求,其中31个请求涉及部分用户内容数据的披露(27个与美国执法部门有关),20个请求涉及非内容数据的披露。[15]
如前所述,EDPB对数据跨境传输接收方的数据保护水平提出了四项必要但不充分的判断要求。DPIA报告认为,根据Schrems II案的裁决,美国当前的法律制度,尤其是《外国情报监视法》(Foreign Intelligence Surveillance Act,FISA)的规定不符合这四个要求,原因如下:(1)FISA第702节和E.O.12333并未对为外国情报目的实施监控计划所赋予的权力进行限制;(2)美国法律允许公共机构普遍性地访问电子通信的内容;(3)美国行政监察专员(Ombudsman)监督(oversight)机制的范围不包括对个人的监控(surveillance)措施,其是否满足欧洲人权法院在判例中定义的独立性亦值得怀疑;(4)美国宪法第四修正案仅适用于美国公民和居住在美国境内的其他国家的公民,如果数据被转移到美国,则数据主体的权利难以获得有效的司法救济。因此,DPIA报告认为,美国基于《云法》、FISA Section 702的请求均不能满足欧盟数据保护的要求。
值得注意的是,DPIA报告认为,有效的承诺是降低有关风险的有效手段。例如微软承诺,在数据传输过程中和静态存储时均使用高标准的强加密手段;不响应任何政府直接、不受限制地访问用户数据的要求,而是遵循确定的法律程序,并且第一时间尝试将调取命令重定向至用户或对用户进行通知;将会质疑(Challenge)每一项数据调取请求,当最终因应政府要求披露用户数据时,承诺向受影响用户的用户提供金钱赔偿。[16]
关键点八:逐项评估数据处理的合法性
DPIA报告的第二部分对数据处理的合法性进行了评估,涉及对合法性基础、处理的必要性和相称性,以及处理与目的的兼容性的分析。具体方式上,是在对数据类别和性质进行明确区分的情况下,逐项考量对某类数据进行处理的合法性。在某些情况下,微软事实上成为了数据控制者,为此需要寻求适当的合法性基础以开展数据处理活动。具体说来:
01 涉及Teams, OneDrive, Sharepoint Online和Azure AD中诊断数据的数据处理活动
如前所述,根据2019年协议,微软只能在适当情况下出于经授权目的对诊断数据进行处理,在此用途限制情形下,保证了微软作为诊断数据处理者的角色。由于处理者进行数据处理的合法性依托于控制者对数据处理的合法性基础,本DPIA报告对这三类情形的合法性基础进行了分析:
就“为合同所必需”这一合法性基础而言,DPIA报告认为,在员工或学生使用微软在线服务完成工作或参加课程学习的场景下,微软为了履行数据主体与政府机构或大学签订的合同以提供服务,对于诊断数据的处理是绝对必要的,实体可以援引这一法律依据。而实体使用Office软件与其他数据主体(非员工、非学生)进行沟通时,则需要考虑其他合法性基础。
就“为执行公共任务所必需”这一合法性基础而言,DPIA报告认为,当与外部主体进行沟通所必需使用Teams软件时,相关的数据处理活动可以援引这一合法性基础。
就“合法利益”这一合法性基础而言,DPIA报告认为,荷兰政府机构和大学可以根据其合法利益的需要处理受限的诊断数据集,但不能够处理内容数据。适用的数据处理活动包括由微软作为数据处理者处理诊断数据,以确定要提供哪些安全更新,并通过故障排除和技术错误修复来提供功能良好的产品。
02 涉及Web端Office软件的遥测数据和必要服务数据的数据处理活动
如前所述,评估过程中发现,在处理遥测数据的某些场景下(从Office for the Web端,也即浏览器端),管理员完全无法控制遥测事件,无法最小化遥测数据收集范围,无法使用data Viewer工具或等效工具对数据进行检查和处理。Microsoft也不发布事件信息,不提供对诊断数据的访问,将大多数浏览器遥测数据都归类为服务所必需的服务数据。在此类情况下,由于数据处理活动的透明度缺失,用户无法指示微软以数据处理者的身份处理这些个人数据,可能导致微软事实上成为此类数据的联合控制者,因此微软需要选择独立的合法性基础进行此类数据处理活动。
03 涉及控制者互联体验的数据处理活动
DPIA报告发现,即使管理员统一禁用对控制者互联体验的访问,也不能阻止微软搜索引擎Bing在SharePoint Online中收集个人数据,以及微软支持网站与Cloudflare的数据传输。此类数据处理是不必要的,并且违反了微软的隐私承诺。政府机构、大学以及微软都不能经授权的三类处理目的以外的其他目的,就这一处理提出任何法律依据。
04 涉及Teams中Analytics & reports功能、Viva中Advanced Insights功能的数据处理活动
DPIA报告认为,由于并不存在要求政府机构和大学在沟通工具中对员工和学生行为进行详细分析的法律义务,对这两类功能中涉及的数据处理活动,大学和政府组织不能援引“为公共利益所必需”的合法性基础,只能尝试将“为合法利益所必需”作为合法性基础。为了确认是否能够援引这一合法性基础,则需要进行平衡性测试。微软默认开启Teams Analytics & reports的全部功能,此类处理过程将对数据主体的权利产生相当大的影响。如果政府机构和大学不首先评估这种处理的必要性,处理可能不具备合法性。
由于微软在默认情况下开启Teams Analytics & reports服务,并启用了所有监控选项,因此微软还实际参与确定了处理的目的,在这种情况下成为联合控制者。微软也并没有践行默认的隐私友好设置,DPIA报告认为,与微软的隐私承诺相反,它尚未有效限制所有诊断数据的处理目的。当微软是政府机构和大学的联合控制者时,双方都没有合法性基础对此类数据进行该等处理。
关键点九:提高数据处理活动中的透明度以及软件使用者对于数据传输的控制能力
微软主要通过其在线服务条款(Online Service Terms,OST)和数据保护附录(Data Protection Addendum,DPA)公示数据处理活动的情况。2019年微软曾向荷兰政府和大学承诺,将通过包括以下方式在内的多种途径提高诊断数据的透明度:(1)足量发布有关遥测事件及其云服务器上生成的日志文件的文档;(2)为所有核心在线办公服务创建有效的Data Viewer工具;(3)通过更好地支持管理员披露诊断数据或解释其无法提供访问权限的原因,改进对数据主体访问请求的回复。
2019年其与SLM Rijk达成了改进计划,在全球范围内进行了三项改动,以减轻遥测数据处理带来的数据保护风险:第一是为管理员提供减少遥测数据收集数量的选择权;[2]第二是发布有关不同平台、不同应用、不同遥测事件、不同遥测等级的详细信息;[3]第三是为终端用户提供Data Viewer工具,以检查一些应用程序和平台的遥测数据。[4]目前,微软已经在Word、PowerPoint、Excel和OneDrive等应用程序和平台上提供了Data Viewer工具以供终端用户以可读的形式查看数据。
但DPIA显示微软尚未实现上述承诺,原因是:(1)现有的Office for web仅存在简单描述,并没有事件的文档,即使将遥测数据收集级别设置为最低,微软也会在五个平台上生成关于三个受测试应用的约100个不同遥测事件,仅有10%存在于公开记录,用户无法验证微软收集的个人数据,以及此类数据收集行为是否符合所选择的最小化设置。管理员和终端用户对此类数据处理的情况几乎一无所知;(2)微软已经改进了Teams和OneDrive的Data Viewer工具,但还不能用于Windows和MacOS上的OneDrive。微软也没有为终端用户提供有关任何Office for Web应用程序的数据处理情况的查看工具;(3)微软用于访问遥测事件的数据主体访问请求工具无法生成易于理解的输出结果。由于微软对原始遥测事件进行了处理,评估方无法有效地将生成的数据与从网络流量中捕获的遥测数据进行比较,这使得诊断数据的数据主体访问请求工具作为验证诊断数据处理范围的工具而言不可靠。评估方通过拦截流量分析的方式,才发现微软确实在某些OneDrive事件中收集了可直接识别的用户名,但微软没有告诉其用户。为此,评估方认为微软需要通过对收集到的遥测事件的内容进行独立的DPIA,以向用户保证数据处理的合法性。
DPIA报告认为,微软还没有达到数据处理活动所需的和此前商定的透明度标准。而由于缺乏透明度,数据处理活动不满足公平性原则的要求。
关键点十:积极采取措施响应数据主体行使权利的请求
DPIA发现,在以下情况下,微软未满足响应数据主体权利请求的义务:第一,关于知情权,微软提供的有关诊断数据处理的信息不完整,因此管理员和终端用户都无法完全了解处理的个人数据范围以及处理目的,侵害了数据主体的知情权。第二,关于访问权,微软作为数据处理者,为管理员提供了不同的工具来搜索和导出微软认为是用户个人数据的所有数据。尽管微软已经在大多数平台上为Teams和OneDrive提供了诊断Data Viewer工具,但微软没有解释为什么在MacOS和Windows上没有针对OneDrive的此类工具。并且。由于该工具仅显示大约10%的遥测事件(根据微软的说法,其余是“必需的服务数据”),DPIA认为作为控制者的政府机构和大学目前无法完全响应数据主体的权利请求。
关键点十一:非个人数据的集合可能构成个人数据
DPIA中,评估方针对遥测数据进行了重点审查。在有关遥测数据处理活动的公开声明中,微软承诺遥测数据中只包含假名标识符,不能包含姓名、电子邮件地址或文件内容。[5]然而,检测人员通过对Teams、OneDrive和SharePoint诊断数据流量的截取分析显示,设备标识符“DeviceInfo.Id”,非直接可读的用户账户标识符UUID的数据字段“UserInfo.Id”,以及包含设备唯一标识符和事件发生准确时间的“EventInfo.Time”数据字段均出现在诊断数据中。评估方认为,由于遥测数据中包含设备标识符和用户标识符(虽然添加了扰动),使得微软能够识别触发事件的单个数据主体。通过对活动类型、时间戳和相关向量ID的记录,微软可以在一段时间内将单个用户的不同活动联系起来。因此,所有的遥测事件涉及的数据都属于个人数据。
关键点十二:为控制者或处理者的提供对其行为解释说明的机会,并如实记录在DPIA报告中;用户交叉处理文件时的特殊做法
微软为管理员提供了减少发送遥测数据量的选项,但DPIA评估方经检测发现,即便将这个选项设置为最低级别“Neither”,在使用OneDrive访问或者共享时,仍可能导致在OneDrive URLs中处理直接可识别的数据。为此,微软解释称,由于在OneDrive中存在多个用户对于同一文件进行处理的情况,如果不同用户访问同一文件给系统造成过多负担,可能会对其他文件的可用性产生负面影响。因此,对于此类直接可识别的个人数据的收集对于确保产品可靠性、正确性和性能方面的高服务质量是必要的,在此情况下,数据通过单独的通道收集,仅限定于微软作为处理者角色时的bug修复目的,数据保留期至多不超过30天,并受到更严格的访问控制的保护。
关键点十三:基于事实描述,逐项精细化评估数据处理活动产生的风险
与传统的安全评估相比,GDPR项下的数据保护影响评估将“能否有效响应数据主体行使权利的请求”也纳入风险的考量范围之中。详细说来,需要考虑的风险包括:
|
数据主体无法行使权利 |
|
数据主体无法获得服务或机会 |
|
数据主体对个人数据的使用失去控制 |
|
数据主体遭受歧视 |
|
数据主体遭受身份盗窃或身份欺诈 |
|
财产损失 |
|
数据主体遭受名誉损害 |
|
数据主体遭受物理上的伤害 |
|
数据的保密性被破坏 |
|
对假名化数据的重识别 |
|
数据主体遭受其他任何经济层面或社交层面的重大不利影响 |
在分析了数据处理活动的事实情况及合法性后,本DPIA报告从数据类别、数据处理活动本身的不同维度开展正式的风险评估。认为受评估的数据处理活动中存在一类高风险、六类低风险。
(高风险)失去控制、失去保密性:美国政府当局对内容数据中敏感和特殊类别的个人数据的不当访问
DPIA报告认为,由于微软并未针对Teams组会议和聊天数据流提供E2EE选项,如果使用者不使用自己的密钥加密OneDrive和SharePoint中存储的数据,就存在美国执法部门要求微软披露数据后访问该等数据的可能性。
经DTIA评估,这种风险实现的可能性非常小,但其造成的影响大小取决于数据的性质。如果数据被有效地匿名化或已经公开,影响则较小。而对于假名化数据或者一般的个人数据,影响相对较大。如果微软提供了E2EE加密,或者使用者使用了微软提供的E2EE加密选项,这类风险会被评估为较低。
综前所述,根据微软披露的历史数据,以及同业市场主体披露的透明度报告,再加上微软为此所作出的承诺,DPIA报告认为美国执法机构不当访问内容数据的可能性非常低。但即使发生的可能性极低,由于缺乏透明度(执法任务通常保密),以及欧盟公民缺乏有效的救济手段,向美国执法部门或安全部门披露其敏感和特殊类别的个人数据时,对数据主体的影响也可能极高。这种风险甚至发生在这些数据仅在欧盟进行处理和存储时,因为美国执法机构可以通过相关法律(如《云法》)发出命令访问这些数据。因此,只要组织无法控制自己的加密密钥,通过Teams、OneDrive和SharePoint处理敏感和特殊类别的数据的风险就很高。
(低风险)失去控制:美国政府当局对诊断数据的不当访问
DPIA报告认为,微软目前系统性地将诊断数据转移到美国会带来数据保护风险,因为美国政府当局可能会不正当地访问这些数据。实践来看,微软在此过程中只收集假名标识符,一定程度上减小了这类风险。除此之外,微软为使用者提供了减少遥测数据收集范围的选择。根据DTIA中的风险计算结果,微软被迫向美国政府当局披露这些数据的可能性很小。同时,因为这些风险最迟将在2022年底微软欧盟数据边界计划实现后得到缓解,因此这些风险是可以接受的。
DPIA分析认为,为了进一步降低诊断数据在美国进行非法处理的风险,政府机构和大学(控制者)可以制定政策性规则,防止微软通过诊断数据处理机密或敏感数据。例如,可以禁止在文件名和路径名中直接识别个人或机密数据。根据数据的敏感性和保密性,应用额外的数据最小化措施,例如在Azure AD中使用假名数据,并通过Azure AD附条件访问确保访问用户接受组织的隐私规则。总体而言,考虑到微软的措施、其透明度报告、核心在线服务中所有个人数据的欧盟数据边界的建立,以及各组织和大学应用建议的数据最小化措施,美国执法机构不当访问诊断数据的可能性非常低,为此产生的数据保护风险也较低。
(低风险)将用户名/电子邮件地址/OneDrive路径名意外转移到美国
DPIA报告认为,当管理员将遥测数据收集范围设置为最低时,微软只能够收集假名化个人数据,不能收集内容数据或用户名(除了OneDrive URL中观察到可读的用户名和文件名这个例外)。微软为此设置了严格的访问控制措施和数据保留期限,对此类OneDrive诊断数据的访问是经过审核的,仅限于即时安全组,并且仅限于具有经批准的商业理由的工程师。此外,这些数据的保存时间均不超过30天。因此类数据意外转移到美国导致的数据保护风险可以被认定为较低。
(低风险)对遥测数据的处理缺乏透明度
如前所述,微软对Office for Web遥测数据以及对设置为最低级别时的应用程序遥测数据进行收集时的透明度不足。微软解释说,这些事件仅在严格必要时收集,而且过于动态,成本太高,无法记录。技术分析表明,微软的处理过程中没有重大变化,不会导致对这些遥测事件进行新的或意外的处理。微软已经确认,它只为三个商定的处理者目的处理这些数据。
DPIA报告认为,在对所需服务数据的内容进行具体的DPIA之前,数据主体的隐私风险可以被认定为低。
(低风险)数据主体无法行使对必需服务数据的访问权
在2021年5月进行的检测显示,诊断数据查看工具(Diagnostic Data Viewer,DDV)仅可用于Android上的Teams所产生的遥测数据。2022年1月的重新检测表明,DDV现在可以用于所有平台上的Teams,也可以在用于两类移动端平台的OneDrive。然而,大多数数据属于所需的服务数据,并且没有显示在DDV中,这使得DDV并不是符合要求的数据主体实现访问请求的工具。为此,Microsoft向管理员提供了其他工具,以获取有关Teams、OneDrive、SharePoint和Azure AD的个人使用记录的内容和元数据的详细信息。但因为微软对原始遥测事件进行了处理,此类诊断数据的搜索查询无法生成易于理解的输出,Privacy Company无法有效地将生成的数据与从网络流量中捕获的遥测数据进行比较。
微软向SLM Rijk解释,有三个原因导致不能查询到全部的遥测事件:微软会立即删除一些事件,快速删除允许识别的标识符,或者根本不收集任何个人数据。此外,微软还致力于改进诊断数据的检查工具,以便更好地帮助管理员处理单个员工提出的任何数据主体访问请求。鉴于这种解释和承诺,DPIA认定数据主体的风险为较低。
(低风险)缺乏控制:未经授权的第三方数据处理活动
如前所述,评估方检测显示,微软存在通过Teams,OneDrive和SharePoint中的内置服务将数据传输给多个第三方的事实情况。为此微软已经通过签订子处理者协议或者为管理员提供禁用权限的方式降低风险,但在某些控制者互联体验服务中(在SharePoint插入图像时)或者支持服务中(访问Microsoft Support时数据重定向至非子处理者Cloudflare),仍存在此种数据传输情况。
DPIA报告认为,鉴于微软已经在为降低风险作出努力(提供了管理员可用的控制手段),也为此作出相应承诺(结构性的传输将于2022年7月停止),微软出于经授权目的以外的目的非法处理数据的可能性较低,因此认定相应的数据保护风险也较低。
(低风险)员工监控系统
Teams提供两种不同的分析服务:Teams Analytics & reports和Viva Insights。Teams Analytics & reports是默认启用的,为管理员提供有关个人工作行为的详细信息。根据分析结果,管理员可以在员工之间创建关于Teams使用情况的比较,包括消息、电话、群聊等的数量,报告的项目还包括时间戳,这使得管理员能够详细了解每个员工的生产力和可用性。因此,当员工知道雇主可以为评估目的处理这些数据,可能使其感到受到限制,并且此类分析行为这可能会侵犯员工的隐私权,妨碍员工行使相关的基本权利,例如发送和接收信息的自由。尽管微软提供了将员工姓名假名化的可能性,但评估方尚未能够检测出假名化是否会对微软的原始数据日志产生任何影响。
另一个工具Viva Insights是默认禁用的。该工具包括MyAnalytics和Workplace Analytics,这两种工具分别为员工提供有关其生产力的信息,并为管理者提供有关员工个人工作模式的分析。如果管理员明确启用该服务,个人用户仍然可以选择退出。如果管理员要启用这些工具,必须考虑到Viva Advanced Insights的相关数据是在美国生成和处理的。
DPIA报告认为,如果政府机构和大学等控制者遵循SLM Rijk和SURF的建议,禁用此类工具,则对数据主体造成的风险很低。如果控制者确实想使用这些分析工具,必须进行更加细致的DPIA,制定并公示相关政策,以清楚说明有关此类数据处理活动的具体规则
关键点十四:降低风险的措施
根据DPIA识别的风险,报告最后描述了数据控制者(荷兰政府机构/大学)以及处理者(微软)可以采取的降低风险的措施,整体而言,主要包括增强加密强度、尽可能使用假名化数据、增强数据处理活动的透明度、研发可用工具以保障数据主体行使权利、默认情况下采用隐私友好的设置等手段。如下表所示:
|
控制者措施 |
处理者措施 |
|
欧盟处理的内容数据在传输时未使用E2EE进行加密,可能导致外国执法机构的访问 |
|
|
禁止通过非E2EE的Teams通信传输敏感或特殊类别的数据 |
对Teams会议和聊天功能提供E2EE作出明确承诺 |
|
对存储在SharePoint/OneDrive中的敏感或特殊类别数据的文件使用双密钥加密。包括Teams会议的录音。使用Customer Lockbox对其他存储的个人数据进行加密。 |
|
|
将E2EE设置为Teams 中1对1通话的默认设置,并提示终端用户启用E2EE。 |
|
|
一旦Microsoft作出改进,立即在Teams中为所有会议和聊天功能启用E2EE。 |
严格遵守SCC要求,在Microsoft无法再遵守SCC中的数据保护条款时通知用户 |
|
为内部用户和访客用户创建Teams和OneDrive隐私政策,设置文件和图像共享规则。通过Azure AD让内部用户和访客用户接受此类规则。 |
|
|
系统性向美国传输遥测数据(至2022年12月) |
|
|
接受在微软开发欧盟数据边界期间转移此类假名数据的暂时性风险。 |
最迟在2022年底前将欧盟数据边界应用于所有个人数据(已知例外情况除外) |
|
美国访问在欧盟处理和存储的审计日志、Azure AD和遥测数据(2022年后) |
|
|
接受Azure AD中的姓名和电子邮件地址的风险,或者考虑在Azure AD中使用假名数据。 |
告知用户有关欧盟数据边界服务的实际情况。 |
|
不使用短信进行身份验证,以防止未加密的手机号码转移到第三国。使用验证程序或硬件token。 |
|
|
当通过Azure AD以单点登录方式访问外部供应商时,员工工作身份必须保密的情况下,使用假名化数据。 |
|
|
出于安全目的向美国传输假名数据 |
|
|
使用OneDrive和SharePoint时,制定政策规则防止文件名和文件路径包含个人数据。 |
告知用户有关欧盟数据边界服务的实际情况。 |
|
向美国传输OneDrive上的用户名/电子邮件地址/路径名 |
|
|
考虑对工作身份必须保密的员工使用假名账户。 |
告知用户有关欧盟数据边界服务的实际情况。 |
|
使用OneDrive和SharePoint时,制定政策规则防止文件名和文件路径包含个人数据。 |
|
|
遥测数据缺乏透明度 |
|
|
定期使用Data Viewer工具,并将结果与Microsoft的公开文档进行比较。 |
为Windows和MacOS上的OneDrive遥测数据提供功能完善的Data Viewer工具。 |
|
管理员可以使用Microsoft的数据主体访问请求工具访问诊断数据,并与网络流量分析进行比较。 |
通过对必需服务数据的内容、使用目的和保留期限的审计,验证是否符合目的限制原则。 |
|
告知员工其通过Data Viewer工具访问的可能性,或向组织管理员提交数据主体访问请求。 |
提供有关必需服务数据的更多信息。 |
|
难以行使数据主体对所需服务数据的访问权 |
|
|
使用微软的数据主体访问请求工具获取诊断数据,并与网络流量分析进行比较。 |
改进关于诊断数据的数据主体访问请求工具。 |
|
支持SLM Rijk对微软收集和使用必需服务数据的进一步详细审计。 |
对必需服务数据的内容提供清晰易懂的解释。 |
|
由审计师独立验证为什么数据主体访问请求工具对必需服务数据的访问非常有限:原因是数据不再存储,还是没有收集个人数据。 |
|
|
缺乏控制:微软和作为控制者的第三方共享个人数据 |
|
|
禁用附加可选互联体验(Microsoft作为控制者的情况) |
2022年第二季度末:所有向Bing传输的数据从SharePoint Online中删除。 |
|
在Teams中禁用对第三方应用的访问 |
禁止向Microsoft支持页面上的Cloudflare发送数据 |
|
提示终端用户不要在SharePoint Online中使用Bing图像搜索(直到功能被删除) |
|
|
员工监控系统:寒蝉效应 |
|
|
禁用Teams analytics & reports功能,使用假名化数据:不启用Viva Insights |
采用默认的隐私友好设置; 默认情况下禁用Teams analytics & reports功能 |
|
在使用Viva和Teams analytics & reports等分析工具之前进行详细的DPIA |
|
|
制定政策,防止将Teams analytics & reports用作员工监控工具 |
|
附表:常见DPIA框架及指南性文件
|
发布机构 |
文件名称及链接 |
|
European Commission |
When is a Data Protection Impact Assessment (DPIA) required? https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-dpia-required_en |
|
Article 29 Data Protection Working Party |
WP 248 – Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 |
|
European Data Protection Supervisor |
Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en_0.pdf |
|
ICO |
Data Protection Impact Assessments https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/ |
|
Guidance for UK organisations on Data Protection Impact Assessments (DPIAs) https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/ |
|
|
CNIL |
PIA method and software https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment |
|
PRIVACY IMPACT ASSESSMENT (PIA) : APPLICATION TO CONNECTED OBJECTS PRIVACY IMPACT ASSESSMENT (PIA) 1 : METHODOLOGY PRIVACY IMPACT ASSESSMENT (PIA) 2 : TEMPLATE PRIVACY IMPACT ASSESSMENT (PIA) 3 : KNOWLEDGE BASES https://www.cnil.fr/en/PIA-privacy-impact-assessment-en |
|
|
The Data Protection Commission of Ireland |
Data Protection Impact Assessments (DPIA) https://www.dataprotection.ie/en/organisations/know-your-obligations/data-protection-impact-assessments |
|
List of Types of Data Processing Operations which require a DPIA https://www.dataprotection.ie/sites/default/files/uploads/2018-11/Data-Protection-Impact-Assessment.pdf |
|
|
BfDI(Germany) |
The standard data protection model(SDM) https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/ |
|
The Office of the Privacy Commissioner (New Zealand) |
Privacy Impact Assessment Handbook https://www.privacy.org.nz/publications/guidance-resources/privacy-impact-assessment-handbook/ |
|
EU publications |
Handbook on European data protection law – Data protection impact assessment and prior consultation https://publications.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1 |
|
Bitkom |
Risk Assessment & Data Protection Impact Assessment Guide (2017) https://www.bitkom.org/sites/default/files/file/import/170919-LF-Risk-Assessment-ENG-online-final.pdf |
|
ISO |
ISO/IEC 29134:2017 Guidelines for privacy impact assessment https://www.iso.org/obp/ui/#iso:std:iso-iec:29134:ed-1:v1:en |
|
IAPP |
A Process for Data Protection Impact Assessment Under the European General Data Protection Regulation https://iapp.org/media/pdf/resource_center/Springer-DPIA-whitepaper.pdf |
|
CIPL |
Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under the GDPR https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl_gdpr_project_risk_white_paper_21_december_2016.pdf |
|
How Organisations can Deliver Accountability under the GDPR https://web.archive.org/web/20180623144906/https://www.dataprotection.ie/docimages/documents/Session%202%20Part%201.pdf |
[1] 完整英文报告请见:
https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad
[2] 代表性的研究,请见:Reuben Binns, Data protection impact assessments: a meta-regulatory approach, International Data Privacy Law, Vol.7, No.1, 2017, P.22–35; see also Atanas Yordanov, Nature and ideal steps of the data protection impact assessment under the general data protection regulation, European Data Protection Law Review, Vol.3 , 2017, p.486; see also Katerina Demetzou, Data Protection Impact Assessment: A tool for accountability and the unclarified concept of ‘high risk’ in the General Data Protection Regulation, Computer Law & Security Review, Vol.35, No.6, 2019;程莹:《风险管理模式下的数据保护影响评估制度》,载《网络与信息安全学报》2018年第8期;崔聪聪、许智鑫:《数据保护影响评估制度:欧盟立法与中国方案》,载《图书情报工作》2020年第5期;肖冬梅,谭礼格:《欧盟数据保护影响评估制度及其启示》,载《中国图书馆学报》2018年第5期;陈美,梁乙凯:《加拿大隐私影响评估政策:历程、内容、分析与启示》,载《图书情报工作》2021年第17期;陈美,梁乙凯:《英国数据保护影响评估制度及其启示》,载《情报理论与实践》。
[1] 完整英文报告请见:https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad
[2] 请见:https://docs.microsoft.com/en-us/deployoffice/privacy/overview-privacy-controls
[3] 请见:https://docs.microsoft.com/en-us/deployoffice/privacy/required-diagnostic-data
[4] 请见:https://support.microsoft.com/en-us/office/using-the-diagnostic-data-viewer-with-office-cf761ce9-d805-4c60-a339-4e07f3182855
[5] 请见:https://support.microsoft.com/en-us/office/diagnostic-data-in-office-f409137d-15d3-4803-a8ae-d26fcbfc91dd
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。
本文由 华域联盟 原创撰写:华域联盟 » 数据保护影响评估要点:基于微软DPIA报告的梳理和分析
转载请保留出处和原文链接:https://www.cnhackhy.com/157317.htm
