德国资料保护组织DSK上周发布报告指出,微软的Microsoft 365依然违反欧盟《通用资料保护规则》(GDPR)隐私法令,因此不适用于德国的公主机关与学校,而微软随后提出反驳,指出微软符合、甚至超越欧盟的隐私法令。
这两年来,DSK持续与微软合作,共同解决Microsoft 365在欧盟可能面临的法律问题,特别是与隐私有关的GDPR法令,但现在DSK依然认为Microsoft 365与法不容。
DSK主要调查微软服务所搜集与使用的用户资料,指出微软并未披露操作细节,也未公开哪些操作是替客户执行,而哪些又是应对自身目的而采用,由于缺乏透明度,使得监管机关无法从外部准确评估微软所搜集的资料;也说Microsoft 365中的许多服务要求微软访问未加密的非匿名资料。
另一方面,微软与DSK的看法截然不同,认为Microsoft 365不仅符合、而且经常超越欧盟严苛资料保护法令的要求,不管是德国或整个欧盟的客户都可毫不迟疑地以合法及安全的方式继续使用Microsoft 365。
微软指出,微软不仅已依照DSK的建议改善了资料处理协议,提供透明化且详细的报告,且欧盟大多数的客户资料都存放在欧盟的数据中心,其资料疆界很快就要从公主机关延伸到私人企业,大幅减少流出欧盟的资料。
外电分析,双方最大的歧见应该是源自于13岁以下的用户,因为GDPR认为该年龄层的用户并不具备可同意资料搜集的能力,但受到学校欢迎的Microsoft 365并未满足该规定。