今天的文章是由 Microsoft 365 總監 Alym Rayani 所撰寫。
今天,隨著一般資料保護規定 (GDPR) 的生效,將劃下個人隱私權的里程碑。無論是與彼此聯結還是理解這個世界,我們全都生活在一個深深受到數位技術影響的年代。位於此數位轉換運動的核心,是儲存並分析巨量資料以產生更為深入見解及更加個人化之客戶體驗的能力。這能協助我們提供前所未有的細緻服務,但也會留下為數不少的資料痕跡,其中更包括需受到保護的個人資料及敏感性商務記錄。
在 Microsoft,我們的使命是要協助世界各地的每個人和每個組織實現更多夢想。信任一直都位於我們所有作為的核心,因為我們一直都明白人們不會使用自己無法信任的技術。我們也相信隱私權是人類與生俱來的權利,因此必須要受到保護。如同 Microsoft 隱私權負責人 Julie Brill 在她近日撰寫的部落格中所述,Microsoft 相信 GDPR 能建立適用於全球的重要原則。
除了持續致力於維護隱私權之外,我們在去年也做出數項投資以支援 GDPR 及個人隱私權。以下是如何使用這些功能以協助組織符合 GDPR 規範的重點回顧。
評估及管理合規性風險
由於達成組織合規性是一項艱鉅的挑戰,了解合規性風險應為最優先的首要工作。有許多客戶都表示他們缺乏可用來定義及實作控制項的內部功能,以及有效的稽核準備活動。
合規性管理員及合規性分數將能協助您持續監視合規性狀態。合規性管理員能擷取並提供每個 Microsoft 控制項的詳細資料;這些控制項都是針對符合特定需求而實作,包括實作及測試方案詳細資料,以及在必要時管理回應。它也能提供貴組織可採取以強化資料保護能力,並協助您達成合規性義務的建議動作。
以下是 Microsoft 365 客戶 Abrona 使用合規性管理員的方式:
保護個人資料
GDPR 的核心理念在於保護每個人的個人資料,並確保這些資料能獲得適當的安全性、控管及管理,以協助防止它被不當使用或外洩。若要協助確保貴組織能有效地保護個人資料,以及與組織合規性需求相關的敏感性內容,您必須實作使貴組織能探索、分類、保護並監視重要資料的解決方案及程序。
Microsoft 365 內的資訊保護功能 (例如 Office 365 資料控管和 Azure 資訊保護) 能提供整合式的分類、標記及保護體驗,並持續為您的資料提供保護,無論該資料位於何處。針對個人及敏感性資料進行分類的主動式資料控管策略,可讓您在需要尋找相關資料以滿足法規要求或需求 (如做為 GDPR 之一部分的資料主體要求 (DSR)) 時做出精確的回應。
Azure 資訊保護掃描程式可讓您設定原則來自動探索、分類、標記及保護內部部署存放庫 (例如檔案伺服器和內部部署的 SharePoint 伺服器) 中的文件,為混合式環境及內部部署環境提供解決方案。您可以依照此技術指南中的指示,在自己的環境中部署此掃描程式。
Azure 的完全管理資料庫服務 (例如 Azure SQL Database) 可協助減輕修補及更新資料平台的工作,同時引入可協助識別敏感性資料之儲存位置的智慧型內建功能。Azure SQL Database 資料探索與分類等新技術,能提供於資料庫層級針對敏感性資料進行探索、分類、標記及保護的進階功能。透過透明資料加密 (TDE) 等技術來保護個人資料,此技術可提供整合 Azure Key Vault 的「攜帶您自己的金鑰 (BYOK)」支援。
讓我們看看 Microsoft 365 客戶 INAIL 如何運用 Azure 資訊保護來分類、標記及保護其最具敏感性的資料:
自信地做出回應
對於許多組織來說,確保已實作能有效管理並符合特定 GDPR 要求的程序 (例如回應 DSR 或資料外洩),是一件相當沉重的負擔。
為了協助您瀏覽於各種雲端服務上提供的 GDPR 資源,我們於上個月在服務信任入口網站中引入了 [隱私權] 索引標籤。它能提供您自行針對 Microsoft Cloud 服務準備資料保護影響評估 (DIPA) 所需的資訊、如何回應 DSR 的指導方針,以及 Microsoft 如何偵測及回應個人資料外洩及您如何直接從 Microsoft 接收通知的相關資訊。
請觀賞新的 Mechanics 影片,以深入了解服務信任入口網站中的 GDPR 資源。
支援 DSR 的功能
有數個功能可協助在 Microsoft Cloud 服務上支援 DSR,其中包含 Office 365 中的 [資料隱私權] 索引標籤、Azure DSR 入口網站,以及 Dynamics 365 中的新 DSR 搜尋功能。
Office 365 中的新 [資料隱私權] 索引標籤、GDPR 儀表板及 DSR 體驗,現已針對所有商業客戶正式推出。此體驗是為了提供您可有效率地針對 Office 365 內容 (例如 Exchange、SharePoint、OneDrive、Groups,以及最新支援的 Microsoft Teams) 執行 DSR 的工具而設計。
如同 GlaxoSmithKline 的 Kelly Clay 所表示:「GDPR 2016/679 為歐盟法規針對歐盟境內所有個人之資料保護及隱私權所訂定的法規。在個人資料的經濟價值於數位經濟中持續提升的今日,GDPR 也將能為歐盟市民帶來一套全新的『數位權利』。GDPR 將要求大量資料持有者及資料處理者需管理 DSR,且組織在 Office 365 中將需具備能管理 DSR 的工具。」
Shook, Hardy & Bacon 律師事務所的 Patrick Oots 則對他的客戶組織及其邁向 GDPR 的作為做出觀察。「我們很高興能看到 Microsoft 對 Office 365 所做的投資。隨著客戶為 GDPR 進行準備,我們也查覺到資料隱私權入口網站內的工具,能在根據條例第 15 條對 DSR 進行管理上提供極大的價值。隨著資料隱私權的法律持續進化,我們也持續提醒 Office 365 客戶有關需要在安全性與合規性中心內適當實作資訊控管原則,以將風險降至最低的整體重要性。」 Patrick 進一步強調主動式資料控管策略如何能協助組織在必要時以精確的方式回應 GDPR 等的法規。
Azure DSR 入口網站現在也已正式推出。租用戶系統管理員可以透過 Azure DSR 入口網站,識別出與使用者相關聯的資訊,然後修正、增修、刪除或匯出該使用者的資料。系統管理員也可以識別出與資料當事人相關聯的資訊,並將能為 Microsoft Cloud 服務針對系統所產生的記錄檔 (Microsoft 產生以提供特定服務的資料) 執行 DSR。其他來自 Azure 的新內容包括正式推出的 Azure 原則、適用於 Azure GDPR 的合規性管理員,以及適用於 GDPR 的 Azure 安全性與合規性藍圖。
若要深入了解,請參閱針對 GDPR 功能的 Azure 部落格文章。
為了協助客戶在 Dynamics 365 中回應 DSR,我們推出了兩個搜尋功能:相關性搜尋和個人搜尋報表。由 Azure 搜尋服務所提供的相關性搜尋,可讓您快速且簡單地找出想要尋找的內容。個人搜尋報表提供由 Microsoft 撰寫的預先封裝可延伸實體集合,以識別用來定義某人的個人資料,以及可能指派給他們的角色。
若要深入了解,請參閱 Dynamics 365 部落格文章。
新的 Windows 隱私權中樞能整合位於 docs.microsoft.com 上的 Windows 隱私權相關內容。在這裡,您可以找到可協助 IT 決策者針對 GDPR 做好準備的新指導方針、用於保護個人資料隱私權的 Windows 10 服務及組態設定清單、了解 Windows 診斷資料,以及更多其他內容。
處理資料外洩
GDPR 的實施,也代表組織在發生資料外洩時必須遵守更加嚴格的法規。Microsoft 365 有提供各式各樣的豐富功能 (從 Office 365 進階威脅防護 (ATP) 到 Azure ATP),可協助保護不受資料外洩的威脅,並偵測資料外洩。
立即與 Microsoft 攜手邁向您的 GDPR 旅程
Microsoft 在保護資料、維護隱私權,以及符合各種複雜法規等各方面,皆具備非常廣泛的專業技術。我們相信 GDPR 是釐清並促進個人隱私權上非常重要的一步,並已在我們的合同承諾中提供 GDPR 的相關保證。
無論您在符合 GDPR 規範上的進度為何,我們都很樂意協助您朝符合 GDPR 規範的方向邁進。我們有數個資源可供您立即開始: