避免GDPR违法疑虑,微软修改全球企业云计算服务条款

在欧盟主管机关质疑违反GDPR后,微软宣布已更新全球企业的云计算服务条款,说清楚搜集用户数据的明确用途。

事情起于今年2月荷兰司法与安全部评估微软的云计算服务隐私性。当时发现,微软的Office 365 ProPlus及Office 365在未告知并取得同意情况下,就搜集了这些产品用户的遥测数据,违反GDPR。8月后续研究还是发现有隐私风险,当时微软承诺将修改服务条款。

而10月是欧盟数据保护监管机关(European Data Protection Supervisor, EDPS)介入调查,并表示初步调查结果令其对微软云计算和欧盟境内企业和个人的云计算服务合约以及微软作为欧盟企业数据处理者(processor)的角色,是否符合GPDR有严重疑虑。

微软周一宣布已对微软针对商用云计算合约的线上服务条款(Online Services Terms,OST)的隐私部分完成更新,这是将微软和荷兰司法部间的协议修改扩大适用全球客户。微软隐私长Jullie Brill指出,经过更新后,其线上服务条款将提高透明度,使企业客户了解微软云的数据处理行为。

微软将更新针对全球企业客户,涵盖公部门、私部门、大型企业或中小型企业的云计算合约条款。微软将更清楚说明,微软担任合约涵盖的云服务如Azure、Office 365、Dynamics和Intune的数据管控者(controller),基于管理及运营目的进行用户数据的搜集及处理,这些目的包括账号管理、财务报告、防制微软所有产品或服务上的网络攻击,以及法规义务遵循等。

微软说,通过说明数据明确用途及微软作为管控者,有助于厘清微软怎么使用数据,及符合GDPR的规定。同时微软仍然是其服务的数据处理者(processor),负责强化数据的安全防护。

微软表示现在已经开始对政府及企业客户更新OST,并预计于2020年初推向全球政府和企业客户。

一旦被欧盟认定违反GDPR的企业将损失惨重,最高可判罚全球年营收的4%。去年9月发生网站和行动app遭黑导致大批旅客信用卡及个人信息外泄的英国航空,7月因违反欧盟个人信息法GDPR,遭英国主管机关重罚1.83亿英镑(约台币64亿元)。年初Google则因以广告对消费者信息透明度不足,被法国罚款5千万欧元。