本公司致力達成透明化,以協助 貴用戶遵守法規需求。
本公司全球的客戶均受很多不同的法律及規定所拘束。在某個國家/地區或業界之法律要件可能與其他地區所適用之法律要件相牴觸。本公司身為全球雲端服務的提供者,必須採取可跨多個客戶及管轄區的通用營運作法及功能來執行本公司之服務。為了協助本公司之客戶遵守其各自的要件,本公司以通用的隱私權及安全性要件來建置本公司之服務。不過,最終仍由本公司的客戶自行根據其各自的要件針對本公司之項目進行評估,如此他們便能判斷本公司之服務是否滿足他們的法規需求。本公司致力提供其客戶有關本公司雲端服務的詳細資訊,藉此協助客戶進行他們自己的法規評估。
有關可協助法規規範之的相關憑證資訊位於安全性、稽核及憑證區段。
貴用戶有義務遵守 貴用戶之法規義務。本公司提供可協助 貴用戶達成上述目的相關資訊。本公司向來致力遵守廣泛適用於 IT 服務提供者的所有資料保護及隱私權法律。若 貴用戶受業界或管轄區法律要件所拘束, 貴用戶將必須自行評估本身遵守法律的能力,但是很多業界及地區之客戶發現他們可以透過保持遵守適用法規的方式來使用 Microsoft Online Services,但前提是客戶需以其特殊環境所適用的方式來使用服務。
例如,受 EU 資料保護指令所涵蓋之組織應該擁有自己的原則、安全性及訓練計劃,以確保其人員不會以違反指令的方式使用 Microsoft Online Services 服務。Microsoft Online Services 將就本公司之部分遵守承諾,同時協助 貴用戶保持遵守狀態。
例如,歐洲聯盟的客戶可以儲存一份客戶清單,內含連絡人資訊。Microsoft Online Services 已採用安全性程序,可確保 Microsoft 人員不會不適當地存取或揭露本資訊。不過,客戶員工中若有 Microsoft Exchange Online 的使用者,其可以不必取得適當的同意,便能使用服務來傳送此等客戶清單予商人。任何因 Microsoft Online Services 依照客戶指示 (也就是透過在一般提供服務的期間傳送電子郵件) 而產生之 EU 資料保護要件違反情事均屬客戶的責任。
依據歐盟資料保護 (EU Data Protection) 法律及本公司之契約式合約,Microsoft Online Services 係扮演 貴用戶資料保管人的角色,基本上像次承攬人 (法律稱本公司為「資料處理者」)。 貴用戶 (亦即客戶) 對資料依法擁有最終的所有權及責任,而該等法律可確保本公司依循規則且 貴用戶係合法傳送個人資料予本公司 (法律稱 貴用戶為「資料控制者」)。若 貴用戶得使用本公司之服務來處理及儲存 貴用戶之個人資料,則 貴用戶必須判斷 貴用戶之業務是否處於特殊狀況。
歐盟資料保護指令的要件已將本公司之一般使用的設計及作業納入考量,且本公司會持續監控此區域中與服務變革相關的變更。
Microsoft 同時也是由歐盟與美國商務部認證為美國 Safe Harbor 計劃的成員。這便會直接強制本公司遵守歐盟資料保護指令 (EU Data Protection Directive) 的要件,並允許本公司在歐盟以外的地區傳輸資料以提供 Microsoft Online Services。Microsoft 已依據美國商務部之歐盟 Safe Harbor 發行自我憑證,其幾乎與瑞士 Safe Harbor 計劃相同。Microsoft 的 Safe Harbor 憑證可以在下列網站找到:http://safeharbor.export.gov/。如需於歐盟以外地區傳輸資料的詳細資訊,請參閱信任中心的地理範圍區段。
在部分國家/地區中,本公司也會依法律所定義針對敏感的個人資料之儲存遵守安全性要件。
若 貴用戶因為所在國家/地區中之規則或 貴用戶正在儲存的資料類型而有所顧慮,或希望得到更多相關作法及 Microsoft Online Services 所支援之功能等詳細資訊,但 貴用戶無法在服務說明文件中找到該些資訊, 貴用戶可以連絡支援人員。為了協助 貴用戶就 貴用戶之需求自行判斷 Microsoft Online Services 的實作之可接受性,本公司會在不減弱本公司之安全性的範圍內透露有用的資訊。
貴用戶應該閱讀以上的常見問題集,並了解是因為 Microsoft Online Services 才能讓 貴用戶之組織遵守隱私權法律,並不表示 貴用戶之組織是相容的; 貴用戶可能還必須經歷額外的步驟,例如將該項權利加入公司原則中以及訓練員工進行良好的隱私權作法。同時,根據 貴用戶所在國家/地區, 貴用戶還必須採取額外的步驟才算遵守當地法律,例如將資訊歸檔至 貴用戶之資料保護單位。
如需詳細資訊,請參閱 HIPAA/HITECH 常見問題集。
Microsoft Online Services 會透過提供技術和組織保護以協助客戶維護安全性及防止未經授權的使用,藉此協助客戶遵守 GLBA 的安全性要件。Microsoft 可以依要求提供由獨立稽核員所完成的第三方憑證的摘要報告。
Microsoft Online Services 不支援處理、傳輸或儲存 PCI 規範的資料,例如信用卡號碼。PCI 標準並不適用於 Microsoft Online Services,因為信用卡處理及資料儲存並不是由 Microsoft Online Services 提供的功能。Microsoft Online Services 可適用由業界最佳作法所定義之相關安全性原則及控制,例如 ISO 27001 及其他。
不過請注意,Microsoft Online Services 之處理信用卡資料的訂購、計費及付款系統係屬第一等級的 PCI 相容 (Level One PCI Compliant),客戶可以放心使用信用卡支付服務。
不是,Microsoft Online Services 是資料處理者,它並不會在歐盟授權單位將其代表客戶處理的客戶資料進行註冊。