歐盟示範條款概觀
歐盟 (歐盟) 資料保護法規範歐盟客戶個人資料轉移至歐洲經濟區 (EEA) 以外的國家或地區,該區域涵蓋所有歐盟國家與地區,以及冰島、列支敦士登和挪威。 在實務層面上,遵守歐盟資料保護法也意味著客戶在歐盟外傳輸個人資料時,對個別主管機關的批准需求減少,因為大多數歐盟成員國若基於符合範本條款的協議進行轉移,並不需要額外授權。
Microsoft 和歐盟示範條款
歐盟 (歐盟) 通用資料保護條例 (GDPR) 規範客戶個人資料轉移至歐洲經濟區 (EEA) 以外的國家或地區,該區域涵蓋所有歐盟國家及地區,以及冰島、列支敦士登和挪威。 Microsoft 為客戶提供歐盟Standard契約條款 (SCC) ,亦稱歐盟範本條款,針對範圍內服務的個人資料轉移提供具體保證。 歐盟範本條款用於服務提供者 (如Microsoft) 與其客戶之間的協議,以確保任何離開EEA的個人資料都能依照GDPR規定轉移。
2020 年 7 月,歐盟法院 (CJEU) 針對將個人資料從歐盟傳輸至美國,使歐盟-美國隱私盾架構失效。 不過,歐盟示範條款會繼續為從歐盟和歐洲經濟區以及瑞士和英國傳輸個人資料提供有效的機制。 Microsoft 提供歐盟示範條款給客戶,如 Microsoft 線上服務條款 (OST) 資料保護增補合約 (DPA) 中所述。
Microsoft 範圍內的雲端平台與服務
- Azure 和 Azure Government
- Azure DevOps Services
- Dynamics 365
- Intune:Intune 附加元件產品和適用於 Office 365 的行動裝置管理的雲端服務部分
- Microsoft Defender for Cloud Apps
- 適用於下列雲端服務部分的適用於端點的 Microsoft Defender:端點偵測與回應、自動調查與修復、安全分數。
- Microsoft 專業服務:Azure、Dynamics 365、Intune 及商務用 Microsoft 365 中型企業和企業客戶的頂級與內部部署
- Office 365
- Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
Office 365 和歐盟示範條款
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | 進階威脅防護、Microsoft Entra ID、Azure 資訊保護、預約、合規管理、深入調查、Exchange Online、Exchange Online Protection、表單、Kaizala、Microsoft 分析、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft 網頁版 To-Do、MyAnalytics、Office 365 進階合規性 外掛、Office 365 雲端 App 安全性、Office 365 群組、Office 365 安全 & 合規中心、Office Online、Office Pro Plus,OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Viva Engage |
稽核、報告和憑證
Microsoft 持續評估歐盟標準,並視需要更新其服務。
常見問題集
為什麼符合示範條款很重要?
服務提供者若在合約上承諾遵守範本條款,則能讓客戶確信個人資料傳輸與處理符合歐盟資料保護法。 使用範本條款時,將個人資料轉移到歐盟以外時,所需獲得的個別資料保護主管機關核准較少。
可以在何處查看 Microsoft 服務的合規性資訊?
合規性是合約承諾。 所有雲端客戶皆可存取 Microsoft Standard 合約條款中的線上服務條款。 其他服務請參考你與 Microsoft 現有的合約。
什麼是「子處理者」?
子處理商是依照資料控制者的指示,以及歐盟範本條款和分包商條款處理個人資料的人。 Microsoft客戶——獨立軟體供應商 (ISV) ,有時本身也是資料處理商。 在這些情況下,Microsoft 就是子處理器。
我要從何處著手組織自身的合規性工作?
您可以簽訂如線上服務條款等協議,或考慮修訂現有協議,納入Standard Contractual Clauses。