批量许可服务水平协议数据保护补充协议上次更新时间:2020年7月21日英语版本已于2020年7月21日发布,译文将在完成后由Microsoft发布.
这些承诺自2020年7月16日起对Microsoft具有约束力.
目录简介3适用的DPA条款与更新3电子通知3早期版本3定义4遵守法律5数据保护条款5范围5数据处理的性质;所有权5已处理数据的披露6个人数据的处理;GDPR6数据安全性7安全事件通知8数据传输和位置8数据保留和删除8处理方保密承诺9关于使用子处理方的通知和控制9教育机构9CJIS客户协议9HIPAABusinessAssociate9加州消费者隐私法(CCPA)9生物特征数据10如何联系Microsoft10附录A–安全措施111–声明13专业服务13加州消费者隐私法(CCPA)15生物特征数据152–标准合同条款(处理方)163–欧盟通用数据保护条例条款21简介双方同意,本Microsoft在线服务数据保护补充协议("DPA")规定了双方与在线服务涉及的客户数据及个人数据的处理活动和安全性相关的义务.
本DPA以引用的形式纳入在线服务条款(或使用权利的后续位置)中.
双方还同意,除非存在单独的专业服务协议,否则专业服务数据的处理活动和安全性均受本DPA约束.
客户使用非Microsoft产品的活动受单独条款(包括不同的隐私和安全条款)的约束.
如果本DPA条款与客户批量许可的任何其他条款之间存在任何冲突或不一致,则以本DPA为准.
本DPA条款将取代Microsoft隐私声明中的任何冲突条款,这些冲突条款原本适用于此处定义的客户数据、个人数据或专业服务数据的处理.
在此说明,2中的标准合同条款优先于本DPA条款中的任何其他条款,这与标准合同条款的第10条一致.
Microsoft在本DPA中向拥有批量许可协议的所有客户作出承诺.
对于客户而言,这些承诺对Microsoft具有约束力,无需考虑(1)适用于任何给定在线服务订购的使用权利,或(2)任何引用OST的其他协议.
适用的DPA条款与更新更新限制客户续订或新订购某个在线服务时,应遵守当时的DPA条款,且该DPA条款在该在线服务的订购期内不会更改.
新功能、补充程序或相关软件尽管已规定上述更新限制,Microsoft推出新的功能、补充程序或相关软件(即以前的订购不包含的内容)后,可以提供客户使用这些新的功能、补充程序或相关软件应遵循的条款或更新相应的DPA.
如果这些条款中包含对DPA条款的任何实质性不利变更,Microsoft将为客户提供新的功能、补充程序或相关软件以供其使用,且不会失去一般在线服务的现有功能.
如果公司不使用新功能、补充程序或相关软件,则相应的新条款将不适用.
政府规定和要求尽管已规定上述更新限制,Microsoft可能会修改或终止所在国家/地区或管辖权地的在线服务:(1)当前或未来的任何政府要求或义务要求Microsoft遵守并非普遍适用于在当地运营的所有企业的任何法规或要求;(2)由于存在该等政府要求或义务,如果Microsoft不对在线服务进行修改,则将无法继续运营在线服务;(3)基于该等政府要求或义务,Microsoft认为这些DPA条款或在线服务可能与此类要求或义务相冲突.
电子通知微软可能会通过电子方式向客户提供关于在线服务的信息和通知,包括通过电子邮件、在线服务门户或微软指定的网站.
通知自Microsoft发出之日起生效.
早期版本DPA条款提供适用于当前可用的在线服务的条款.
如需DPA条款的早期版本,客户可以参阅https://aka.
ms/licensingdocs,或联系其经销商或Microsoft客户经理.
目录/一般条款定义本DPA中使用但未定义的所有术语将与批量许可协议中的同一术语含义相同.
在本DPA中会使用以下术语(定义如下):"客户数据"指客户通过使用在线服务向Microsoft提供或以客户的名义提供的所有数据,包括所有文本、声音、视频或图像文件以及软件.
客户数据不包括专业服务数据.
"数据保护要求"指GDPR、当地EU/EEA数据保护法律和任何适用的法律法规,以及与以下两方面相关的其他法律要求:(a)隐私和数据安全;(b)任何个人数据的使用、收集、保留、存储、保护、披露、传输、处置及其他处理.
"诊断数据"指Microsoft从客户本地安装软件中收集或获取的与在线服务相关的数据.
诊断数据也可称为遥测.
诊断数据不包括客户数据、服务生成数据或专业服务数据.
"DPA条款"是指DPA中的条款以及使用权利中任何在线服务特定条款,这些条款专门针对特定在线服务(或在线服务功能)补充或修改DPA中的隐私和安全条款.
如果DPA与此类在线服务特定条款之间存在任何冲突或不一致,则对于适用的在线服务(或在线服务的功能),应以在线服务特定条款为准.
"GDPR"指欧洲议会和欧盟理事会2016年4月27日颁布的,关于在处理个人数据时对自然人的保护、此类数据的自由移动以及废除指令95/46/EC的法规(EU)2016/679(一般数据保护条例).
"当地EU/EEA数据保护法律"指实施GDPR的任何附属法律和法规.
"GDPR条款"指3中的条款,根据这些条款,Microsoft会按照GDPR第28条的要求,就其个人数据处理活动作出具有约束力的承诺.
"个人数据"指与已确定身份或可确定身份的自然人相关的任何信息.
可确定身份的自然人指能够直接或间接地通过身份标识(例如,姓名、身份证号、位置数据、在线身份标识)或特定于该自然人身体、生理、基因、心理、经济、文化或社会身份的一个或多个因素确定其身份的人.
"专业服务数据"指客户为获取专业服务,由客户或客户代表向Microsoft提供(或客户授权Microsoft通过在线服务获取)或者由Microsoft或Microsoft代表依据客户与Microsoft签订的合约获取或处理的所有数据,包括所有文本、声音、视频、图像文件或软件.
专业服务数据包括支持数据.
"服务生成数据"指Microsoft通过在线服务的操作生成或派生的数据.
服务生成数据不包括客户数据、诊断数据或专业服务数据.
"标准合同条款"指适用于将个人数据传输至在无法确保提供充分的数据保护的第三方国家/地区创立的处理方之事宜的标准数据保护条款(详见2010年2月5日欧盟委员会决议2010/87/EC批准的GDPR第46条).
标准合同条款位于2中.
"子处理方"指Microsoft所使用的负责处理客户数据和个人数据的其他处理方,如GDPR第28条所述.
"支持数据"指客户为获取本协议所涵盖的在线服务的技术支持,由客户或客户代表通过与Microsoft签订的合约向Microsoft提供(或客户授权Microsoft通过在线服务获取)的所有数据,包括所有文本、声音、视频、图像文件或软件.
支持数据是专业服务数据的一部分.
本DPA中使用但未定义的术语(例如"个人数据违规"、"处理"、"控制方"、"处理方"、"概况分析"、"个人数据"和"数据主体")将沿用GDPR第4条所定义的含义,而不管GDPR是否适用.
术语"数据导入者"和"数据导出者"具有标准合同条款中规定的含义.
在此说明,如上所述,定义为客户数据、诊断数据、服务生成数据和专业服务数据的数据可能包含个人数据.
为了便于说明,请参见下图:客户数据(由客户"提供")诊断数据(从客户安装的软件中"收集"或"获得")服务生成数据(由Microsoft"生成"或"衍生")专业服务数据(由客户"提供"且与专业服务相关)如上是DPA中定义的数据类型的直观表示.
所有个人数据均作为其他数据类型的一部分处理(所有这些数据也包括非个人数据).
支持数据是专业服务数据的一部分.
DPA条款主要针对于客户数据和个人数据(1中涵盖专业服务数据,其中包括专业服务数据和支持数据中涉及到的支持数据和任何个人数据).
目录/一般条款一般条款遵守法律Microsoft将遵守适用于在线服务的提供的所有法律和法规,包括安全违规行为通知法和数据保护要求.
但是,Microsoft没有责任遵守任何适用于客户或客户的行业但通常不适用于信息技术服务提供商的法律或法规.
微软无权决定客户数据是否包含受任何特定法律或法规约束的信息.
所有安全事件均受下面的安全事件通知条款约束.
客户必须遵守与其使用在线服务相关的所有适用法律和法规,包括与生物数据、通信保密和数据保护要求相关的法律.
客户应负责确定在线服务是否适合用于存储和处理受特定法律或法规约束的信息,且有责任以符合客户的法律和法规义务的方式使用在线服务.
客户负责响应第三方就客户对在线服务的使用提出的任何要求,如要求根据美国《数字千年版权法》或其他适用法律删除内容.
数据保护条款本部分DPA包括以下小节:范围数据处理的性质;所有权已处理数据的披露个人数据的处理;GDPR数据安全性安全事件通知数据传输和位置数据保留和删除处理方保密承诺关于使用子处理方的通知和控制教育机构CJIS客户协议HIPAABusinessAssociate加州消费者隐私法(CCPA)条款生物特征数据如何联系Microsoft附录A–安全措施范围本DPA条款适用于所有在线服务,但OST1(或使用权利的后续位置)中明确规定排除的任何在线服务除外,这些在线服务受适用的在线服务特定条款中引用的隐私和安全条款的约束.
与在线服务通常采用的隐私和安全措施相比,预览版采用的此类措施可能会减少或有所不同.
除非另有规定,否则客户不应使用预览版来处理具有法律或法规遵从性要求的个人数据或其他数据.
本DPA中的以下条款对预览版不适用:个人数据的处理;GDPR、数据安全性和HIPAABusinessAssociate.
DPA的1包含适用于专业服务数据的隐私和安全条款,其中包括在提供专业服务时涉及到的任何个人数据.
因此,除非1中明确规定,否则本DPA中的条款不适用于提供专业服务的活动.
数据处理的性质;所有权Microsoft将仅出于以下目的使用和以其他方式处理客户数据和个人数据:(a)依照客户记录在案的指令向客户提供在线服务以及(b)保证Microsoft在向客户交付在线服务时的合法经营活动,这两种情况的详情及限制如下文所示.
在双方之间,客户保有对客户数据的所有权利、所有权和权益.
除了本节中客户授予Microsoft的权利之外,Microsoft未获得有关客户数据的任何权利.
本段落不影响Microsoft向客户许可的软件或服务中包含的Microsoft的权利.
处理数据以便为客户提供在线服务就本DPA而言,"提供"在线服务包括:交付客户及其用户所许可、配置和使用的功能,包括提供个性化用户体验;故障排除(预防、检测和修复问题);以及持续改进(安装最新更新,以及对用户生产力、可靠性、效力和安全性进行改进).
提供在线服务时,Microsoft不会出于以下目的使用或以其他方式处理客户数据或个人数据:(a)用户概况分析、(b)广告或类似商业目的,或者(c)旨在创建新功能、服务或产品的市场调研或任何其他目的,除非此类使用或处理符合客户记录在案的指令.
为保证Microsoft的合法经营活动而进行处理就本DPA而言,"Microsoft的合法经营活动"由以下各项组成,每项均作为向客户交付在线服务的一个事件:(1)帐单和帐户管理;(2)报酬(例如计算员工佣金和合作伙伴奖励);(3)内部报告和业务建模(例如,预测、收入、产能规划、产品战略);(4)打击可能影响Microsoft或Microsoft产品的欺诈、网络犯罪或网络攻击;(5)改进可访问性、隐私或能效等核心功能;以及(6)财务报告和履行法律义务(遵守下文概述的已处理数据的披露限制).
在为保证Microsoft的合法经营活动而进行处理时,Microsoft将不会出于以下目的使用或以其他方式处理客户数据或个人数据:(a)用户分析,(b)广告或类似商业目的,或(c)任何其他目的,本节规定的目的除外.
已处理数据的披露Microsoft将不会披露或允许任何人访问已处理的数据,除非:(1)客户指示;(2)本DPA规定;或者(3)法律要求.
就本节而言,"已处理数据"指:(a)客户数据;(b)个人数据;以及(c)Microsoft根据批量许可协议处理的与在线服务相关的、属于客户机密信息的任何其他数据.
所有已处理数据的处理都应遵守Microsoft在批量许可协议中的保密义务.
除非法律要求,否则Microsoft不会向执法部门披露或允许其访问已处理数据.
如果执法部门要求Microsoft提供已处理数据,Microsoft将建议执法部门直接与客户联系,由客户向其提供相关数据.
如果Microsoft被强制要求向执法部门披露或允许其访问已处理数据,Microsoft将立即通知客户并提供要求的副本,除非法律禁止这样做.
收到任何其他第三方对已处理数据的请求后,Microsoft应立即通知客户,除非法律禁止这样做.
Microsoft会拒绝相关请求,但法律另有要求的除外.
如果请求有效,Microsoft会尝试安排第三方直接从客户处请求数据.
Microsoft不会向任何第三方提供以下内容:(a)对已处理数据的直接、间接、全部或自由访问权限;(b)用于保护已处理数据安全的平台加密密钥或破解此类加密的能力;或(c)对已处理数据的访问权限(如果Microsoft意识到相关数据将用于第三方的请求中所述内容以外的目的).
为支持上述条款,Microsoft可能会向第三方提供客户的基本联系信息.
个人数据的处理;GDPR所有由Microsoft处理的与在线服务相关的个人数据都将以客户数据、诊断数据或服务生成数据的形式获得.
客户通过使用在线服务向Microsoft提供的或以客户的名义提供的个人数据也属于客户数据.
假名标识符可能包含在诊断数据或服务生成数据中,也属于个人数据.
假名化或去标识化但不匿名的任何个人数据,或从个人数据派生的个人数据同样属于个人数据.
如果Microsoft是受GDPR约束的个人数据的处理方或子处理方,则该处理活动受3中GDPR条款的约束,并且双方还同意本小节("个人数据的处理;GDPR")中的以下条款:处理方和控制方的角色和责任客户和Microsoft同意,客户是个人数据的控制方,而Microsoft是此类数据的处理方,但以下情况除外:(a)由客户充当个人数据处理方,此时Microsoft是子处理方;或(b)特定于在线服务的条款或本DPA中另有规定的情况.
当Microsoft充当个人数据的处理方或子处理方时,只能依照记录在案的客户指令来处理个人数据.
客户同意,其批量许可协议(包括DPA条款和任何适用的更新)连同产品文档以及客户使用和配置在线服务中相关功能的活动,系客户就个人数据的处理向Microsoft作出的完整的记录在案的指令.
可以在https://docs.
microsoft.
com/en-us/或后续位置中找到有关在线服务的使用和配置的信息.
任何附加或替代的说明必须依照修订客户的批量许可协议的流程得到认可.
在GDPR适用且客户是处理方的情况下,客户向Microsoft保证,客户的指令(包括指派Microsoft作为处理方或子处理方)已获得相关控制方的授权.
如果Microsoft在向客户提供在线服务的合法经营过程中按照GDPR使用或以其他方式处理个人数据,则Microsoft应遵守GDPR针对此类使用规定的独立数据控制方应尽的义务.
Microsoft为保证合法经营活动而处理此类数据时,将接受数据"控制方"的额外责任,以便:(a)在GDPR规定的范围内,遵守法规要求;(b)为客户提供更高的透明度,并确认Microsoft在进行此类处理时应承担的责任.
Microsoft使用保护措施保护正在处理的客户数据和个人数据,包括本DPA中指明以及GDPR第6(4)条中所述的数据.
处理详细信息双方确认并同意:主题事项.
处理活动的主题事项仅限于本DPA的上述"数据处理的性质;所有权"一节以及GDPR范围内的个人数据.
处理活动的持续时间.
处理活动的持续时间应遵照客户指令和DPA条款.
处理活动的性质和目的.
处理活动的性质和目的应为依照客户的批量许可协议提供在线服务,以及保证Microsoft向客户提供在线服务时的合法经营活动(详见本DPA的上述"数据处理的性质;所有权"一节).
数据类别.
Microsoft在提供在线服务时处理的个人数据类型包括:(i)客户选择包含在客户数据中的个人数据;以及(ii)GDPR第4条明确规定的可能包含在诊断数据或服务生成数据中的个人数据.
对于客户选择包含在客户数据中的个人数据的类型,可以是客户根据GDPR第30条作为控制方所维护记录中指明的个人数据的任何类别,包括本DPA的2的附录1"标准合同条款(处理方)"中规定的个人数据的类别.
数据主体.
数据主体的类别为客户的代表和最终用户(如员工、承包商、合作方和客户),可能包括客户根据GDPR第30条作为控制方所维护记录中指明的数据主体的任何其他类别,包括本DPA的2的附录1"标准合同条款(处理方)"中规定的数据主体的类别.
数据主体权利;协助完成请求Microsoft将通过与在线服务的功能和Microsoft所担任的处理方角色相一致的方式,向客户提供数据主体的个人数据,并使客户能够满足数据主体的请求,令其能够行使GDPR赋予他们的权利.
如果Microsoft收到客户的数据主体发出的要求行使GDPR赋予的一项或多项与由Microsoft充当数据处理方或子处理方的在线服务相关的权利的请求,则Microsoft应让数据主体直接向客户提出请求.
客户应负责回应任何此类请求,包括在必要时使用在线服务的功能进行回应.
Microsoft应满足客户的合理请求,协助客户响应此类数据主体请求.
处理活动的记录如果GDPR要求Microsoft收集和维护与客户有关的某些信息的记录,客户将应要求将此类信息提供给Microsoft,并保持其准确和最新.
如果GDPR要求,Microsoft可将任何此类信息提供给监管机关.
数据安全性安全实践和策略Microsoft将实施并维持适当的技术和组织措施来保护客户数据和个人数据,防止传输、存储或以其他方式处理的个人数据遭到意外或非法破坏、丢失、更改、未经授权的披露或访问.
Microsoft安全策略会规定这些措施.
Microsoft将向客户提供该策略,以及在线服务安全控制措施的说明和客户合理要求获取的有关Microsoft安全实践和策略的其他信息.
此外,这些措施应符合ISO27001、ISO27002和ISO27018中规定的要求.
每项核心在线服务还符合OST1此外,这些措施应符合ISO27001、ISO27002和ISO27018中规定的要求.
每项核心在线服务还符合OST1的表中(或使用权利的后续位置)所示的控制标准和框架,并实施和维持附录A中规定的安全措施,以保护客户数据.
Microsoft可随时添加行业或政府标准.
Microsoft将不会删除ISO27001、ISO27002、ISO27018或者OST1的表中(或使用权利的后续位置)的标准或框架,除非该标准或框架不再在行业中使用并且已被后续标准或框架(如果有)取代.
数据加密默认情况下,在客户和Microsoft之间的公共网络上或Microsoft数据中心之间传输的客户数据(包括其中涉及的任何个人数据)是经过加密的.
Microsoft也会对在线服务中静态存储的客户数据加密.
在客户或代表客户的第三方可以基于在线服务而构建应用程序的情况下(例如某些Azure服务),客户可以自行决定使用Microsoft提供的功能或客户从第三方获得的功能对存储在这类应用程序中的数据进行加密.
数据访问Microsoft采用最低访问权限机制来控制对客户数据(包括其中涉及的任何个人数据)的访问.
对于核心在线服务,Microsoft坚持实施附录1"须知"的"安全措施"表中所述的访问控制机制,且Microsoft人员不能长期访问客户数据.
对于服务活动所需的客户数据访问,采用了基于角色的访问控制,以确保只有在目的合理并得到管理层监督批准的情况下方可限时访问.
客户责任客户需自行负责独立确定在线服务的技术和组织措施是否符合客户的要求,包括其在适用的数据保护要求下的任何安全义务.
客户承认并同意,(考虑到技术现状、实施成本以及个人数据处理活动的性质、范围、情境和目的及对个人的风险)Microsoft实施和维持的安全实践和政策能够提供与个人数据相关的风险相适应的安全级别.
客户负责针对客户提供或控制的组件(例如通过MicrosoftIntune登记的设备或MicrosoftAzure客户虚拟机或应用程序中的组件)实施和维持隐私保护及安全措施.
合规性审计Microsoft将通过下列方式,对其在处理客户数据和个人数据的过程中使用的计算机、计算环境和物理数据中心的安全性进行审计:在提供标准或框架进行审计的情况下,每年至少发起一次此类控制标准或框架的审计.
每次审计将根据每个适用的控制标准或框架的监管或认证机构的标准和规则执行.
每次审计将由合格、独立的第三方安全审计人员执行,这些人员由Microsoft选择并支付相关费用.
每次审计均会生成审计报告(以下简称"Microsoft审计报告"),Microsoft会在https://servicetrust.
microsoft.
com/或Microsoft确定的其他位置提供该报告.
Microsoft审计报告系Microsoft的机密信息,该报告会清楚地披露审计人员的任何重大发现.
Microsoft将立即修正任何Microsoft审计报告中提出的问题以让审计人员满意.
如果客户要求,Microsoft会向客户提供各份Microsoft审计报告.
Microsoft审计报告将受Microsoft和审计人员的保密和分发限制的约束.
如果客户在标准合同条款或数据保护要求下的审计要求无法通过Microsoft向其客户普遍提供的审计报告、文档或合规性信息合理地予以满足,Microsoft将立即回应客户的其他审计指令.
开始审计之前,客户和Microsoft应就审计的范围、时间、持续时间、控制和证据要求以及费用达成一致,但前提是要商定的此项要求不允许Microsoft无故延迟审计的执行.
如果执行审计需要,Microsoft将提供与Microsoft、其关联公司及其子处理方处理客户数据和个人数据有关的处理系统、设施和支持文档.
此类审计将由一家获得认证的独立第三方审计公司在正常工作时间执行,事先应向Microsoft发出合理通知,并遵守合理的保密程序.
客户和审计人员均不得访问Microsoft其他客户的任何数据,也不得访问与在线服务无关的Microsoft系统或设施.
客户负责承担与此类审计相关的所有成本和费用,除Microsoft执行服务产生的费用之外,还包括Microsoft在任何此类审计上花费的所有时间的一切合理成本和费用.
如果客户审计生成的审计报告中发现任何严重违约行为,客户应与Microsoft共享该审计报告,并且Microsoft应立即纠正任何严重违约行为.
如果标准合同条款适用,则本节是标准合同条款中的条款5的第f段和条款12的第2段的附加内容.
DPA本节中的任何内容均不会更改标准合同条款或GDPR条款的内容,也不会影响任何监管机关或数据主体在标准合同条款或数据保护要求下享有的权利.
微软公司是本节中的目标第三方受益人.
安全事件通知如果Microsoft意识到存在导致意外或非法地破坏、丢失、更改、在未经授权情况下披露或访问Microsoft处理的客户数据或个人数据的违反安全性规定的活动(以下均简称"安全事件"),Microsoft应立即(1)向客户通知安全事件;(2)调查安全事件并向客户提供有关安全事件的详细信息;并(3)采取合理措施减缓影响并最大限度地减少安全事件导致的损坏,且不得出现不当延误.
安全事件通知将通过Microsoft选择的任何方式(包括电子邮件)发送给客户的一个或多个管理员.
客户须自行负责确保其管理员维护每个适用的在线服务门户上的联系信息的准确性.
客户须自行负责遵守适用于客户的事件通知法下的义务,并履行与任何安全事件相关的任何第三方通知义务.
Microsoft应采取合理的措施协助客户履行GDPR第33条和其他适用法律和法规的规定的将此类安全事件通知相关监督机构和数据主体的客户义务.
Microsoft根据本节规定通知或响应安全事件不表示Microsoft承认与安全事件有关的任何过错或责任.
如有任何可能的帐户或身份验证凭据的误用或任何与在线服务有关的安全事件,客户必须立刻通知Microsoft.
数据传输和位置数据传输除非依照DPA条款规定以及采取本节下方规定的保护措施,否则不得将Microsoft代表客户处理的客户数据和个人数据传输到某个地理位置,或在该地理位置进行存储和处理.
考虑到这些保护措施,除非DPA条款中另有规定,否则客户应委托Microsoft将客户数据和个人数据传输到美国或者Microsoft或其子处理方在其中运营的任何其他国家/地区,并在这些地点存储和处理客户数据和个人数据以提供在线服务.
在欧盟、欧洲经济区、英国和瑞士以外地区为提供在线服务而进行的所有客户数据和个人数据的传输活动都应受2中标准合同条款的约束.
关于欧洲经济区、英国和瑞士个人数据的收集、使用、传输、维护和其他处理,Microsoft将遵循欧洲经济区和瑞士数据保护法律的要求.
应对所有将个人数据传输到第三方国家/地区或国际组织的传输活动采取适当的安全保护措施(如GDPR第46条所述),并依照GDPR第30(2)条的规定将此类传输活动和安全保护措施记录在案.
此外,Microsoft已通过"欧盟-美国隐私保护协议框架"和"瑞士-美国隐私保护协议框架"的认证,并作出所需的必要承诺,尽管Microsoft在欧盟法院对案例C-311/18的判决中未将"欧盟-美国隐私保护协议框架"作为个人数据传输的法律依据.
Microsoft同意,如果Microsoft认为自己无法再履行其义务,不能为客户提供与隐私保护协议原则所要求的保护级别同等的保护,则应将此情况通知客户.
静态客户数据的位置对于核心在线服务,Microsoft会按照OST1(或使用权利的后续位置)中的规定,将静态客户数据存储在特定的主要地理区域(以下均简称"地理区域")内.
Microsoft不会控制或限制客户或其最终用户访问或迁移客户数据的地区.
数据保留和删除在客户订购期限内,客户可随时访问、提取和删除存储在每项在线服务中的客户数据.
除免费试用和LinkedIn服务外,在客户的订购期满或终止后,Microsoft会将仍然存储在在线服务中的客户数据在功能受限制的帐户中保留九十(90)天,以便客户提取这些数据.
为期九十(90)天的保留期限结束后,Microsoft将禁用客户的帐户并在接下来的九十(90)天内删除客户数据和个人数据,除非适用法律允许或要求Microsoft保留此类数据,或者本DPA授权Microsoft予以保留.
在线服务可能不支持客户提供的软件的保留或提取.
对于依照本节之规定删除客户数据或个人数据的活动,Microsoft不承担任何责任.
处理方保密承诺Microsoft将确保其负责处理客户数据和个人数据的人员(i)仅依照客户指令或本DPA规定处理此类数据;且(ii)有义务维护此类数据的机密性和安全性,即便在任务结束之后仍是如此.
Microsoft应依照适用的数据保护要求和行业标准,定期为具有客户数据和个人数据访问权限的Microsoft员工提供强制性数据隐私和安全培训与教育.
关于使用子处理方的通知和控制Microsoft可能会聘用子处理方来代表Microsoft提供某些有限或辅助服务.
客户同意这种参与方式并且同意Microsoft关联公司以子处理方的身份进行参与.
如果标准合同条款或GDPR条款要求征得此类同意,上述授权将构成客户对"Microsoft分包对客户数据和个人数据处理工作"的事先书面同意.
Microsoft应负责保证其子处理方履行本DPA中规定的Microsoft的义务.
Microsoft会在Microsoft网站上提供有关子处理方的信息.
在聘请任何子处理方时,Microsoft将通过书面合同确保子处理方仅会出于交付Microsoft委托其提供的服务之目的而访问和使用客户数据或个人数据,并禁止其将客户数据或个人数据用于任何其他目的.
Microsoft应确保子处理方受相应书面协议的约束,且此类协议须要求子处理方至少提供本DPA要求Microsoft提供的数据保护级别,包括已处理数据的披露限制.
Microsoft同意监督子处理方,以确保履行这些合同义务.
Microsoft可随时聘请新的子处理方.
在向任何新的子处理方提供对客户数据的访问权限之前,Microsoft应至少提前六(6)个月(通过更新网站并为客户提供获取该更新通知的机制)将此新的子处理方告知客户.
此外,在向任何新的子处理方提供对个人数据(而非客户数据中包含的数据)的访问权限之前,Microsoft应至少提前十四(30)天(通过更新网站并为客户提供获取该更新通知的机制)将此新的子处理方告知客户.
如果Microsoft指定新的子处理方负责新的在线服务,Microsoft将在提供在线服务之前通知客户.
如果客户不认可新的子处理方,则可以终止对受影响在线服务的任何订购,而不会受到处罚,但前提是应在相关通知期结束之前提供书面终止通知.
客户还可以随终止通知一起解释不认可的理由,以便Microsoft能够根据适用的顾虑重新评估任何此类新的子处理方.
如果受影响的在线服务是套件(或单独购买的服务)的一部分,则任何终止在线服务的行为也将适用于整个套件.
终止后,Microsoft将从后续客户账单或客户经销商账单中删除对已终止在线服务的任何订购的付款义务.
教育机构如果客户是适用《家庭教育权和隐私权法案》(20U.
S.
C.
§1232g)(FERPA)条例的教育机构,则Microsoft承认,在本DPA中,Microsoft将具备寓于客户数据之中的"法定教育权益"的"学校官员"(请参见FERPA中相关术语的定义),且Microsoft同意遵守34CFR99.
33(a)规定的对学校官员的限制和要求.
客户了解,Microsoft可能仅具备有限的客户的学生和学生父母的联系信息,或并不具备此类信息.
因此,如果有任何司法命令或依法开出的传票根据适用法律要求Microsoft披露其所掌握的客户数据,客户将负责根据适用法律要求获取任何最终用户使用在线服务所需的任何父母许可,并代表Microsoft向学生(对于未满18岁的学生或尚未开始接受高等教育的学生,则应告知学生的父母)通知有关命令或传票的事宜.
CJIS客户协议Microsoft依照《FBI刑事司法信息服务("CJIS")安全策略》("CJIS策略")提供某些政府云服务("所涵盖的服务").
CJIS策略约束刑事司法信息的使用和传播.
所有MicrosoftCJIS所涵盖的服务须受此处《CJIS客户协议》中的条款和条件约束:http://aka.
ms/CJISCustomerAgreement.
HIPAABusinessAssociate如果客户是"涵盖的实体"或"业务关联公司",并且在客户数据中包括了"受保护的运行状况信息"(45CFR§160.
103中对这些术语有定义),则执行客户的批量许可协议包括执行HIPAABusinessAssociate协议(以下简称"BAA"),其完整文本指定了其适用的在线服务并可在http://aka.
ms/BAA中查阅.
客户可以通过书面通知的形式向Microsoft发送以下信息来选择退出BAA(依照客户的批量许可协议条款):不接受条款的客户及任何关联公司依法登记的完整名称;以及退出条款适用的批量许可协议(如果客户拥有多个批量许可协议).
加州消费者隐私法(CCPA)如果Microsoft在CCPA范围内处理个人数据,则Microsoft对客户作出以下额外承诺.
Microsoft将代表客户处理客户数据和个人数据,不会出于本DPA条款规定目的以及CCPA(包括任何"销售"豁免)允许目的以外的任何其他目的保留、使用或披露这些数据.
在任何情况下,Microsoft都不会出售任何此类数据.
这些CCPA条款并不会限制或减少Microsoft在与客户签署的DPA条款、使用权利或其他协议中向客户作出的数据保护承诺.
生物特征数据如果客户使用在线服务处理生物识别数据,客户负责:(i)向数据主体下达通知,包括关于保留期和销毁的通知;(ii)征得数据主体的同意;以及(iii)删除生物特征数据,所有这些活动均为适用数据保护要求的合理要求.
Microsoft将依照客户书面指示(如上文"处理方和控制方的角色和责任"一节所述)处理该生物特征数据,并根据本DPA下的数据安全和保护条款保护该生物特征数据.
在本节中,"生物特征数据"将具有GDPR第4条中规定的含义,如适用,还包括其他数据保护要求中的等效术语.
如何联系Microsoft如果客户认为Microsoft未遵守其隐私或安全承诺,可以联系客户支持或使用Microsoft的隐私网站表格,网址为http://go.
microsoft.
com/linkid=9846224.
Microsoft的邮寄地址为:Microsoft企业服务隐私MicrosoftCorporationOneMicrosoftWayRedmond,Washington98052USAMicrosoftIrelandOperationsLimited是Microsoft在欧洲经济区和瑞士的数据保护代表.
可以通过以下地址联系MicrosoftIrelandOperationsLimited的隐私代表:MicrosoftIrelandOperations,Ltd.
收信人:数据保护OneMicrosoftPlaceSouthCountyBusinessParkLeopardstownDublin18,D18P521,Ireland目录/一般条款附录A–安全措施对于核心在线服务中的客户数据,Microsoft已经实施并将维持以下安全措施,这些措施连同本DPA(包括GDPR条款)中的安全承诺是Microsoft在此类数据安全性方面的唯一责任.
领域惯例信息安全组织安全责任方.
Microsoft已任命一位或多位安全官负责协调和监控安全规则及程序.
安全角色和责任.
能够访问客户数据的Microsoft人员必须遵守保密义务.
风险管理程序.
在处理客户数据或启动在线服务之前,Microsoft已执行风险评估.
在安全文档失效之后,Microsoft将根据相应保留要求来保留其安全文档.
资产管理资产清单.
Microsoft维护存储客户数据的所有介质的清单.
只有获得书面访问授权的Microsoft人员方可访问此类介质清单.
资产处理-微软对客户数据进行分类,以帮助标识此类数据,并允许对访问进行适当限制.
-微软对打印客户数据实施限制,并制定了处置包含客户数据的打印材料的程序.
在将客户数据存储在便携式设备上、远程访问客户数据或在微软设施外部处理客户数据之前,微软人员必须获得微软授权.
人力资源安全安全培训.
Microsoft向其员工通告有关安全程序及其相应角色的事宜.
Microsoft还向其员工通告违反安全规则和程序可能带来的后果.
Microsoft在培训中将只使用匿名数据.
物理和环境安全出入设施.
Microsoft只允许已确认身份的授权人员出入处理客户数据的信息系统所在的设施.
访问组件.
Microsoft维护包含客户数据的介质的收发记录,包括介质类型、授权发送人/接收人、日期和时间、介质数量、所含客户数据类型.
防止中断.
Microsoft使用各种行业标准系统,防止由于电源故障或线路干扰导致数据丢失.
组件报废处置.
不再需要客户数据时,Microsoft将使用行业标准流程来删除该数据.
通信和运营管理运营策略.
Microsoft维护安全文档,此类文档描述Microsoft的安全措施和相关程序,以及能够访问客户数据的Microsoft人员的责任.
数据恢复程序-微软长期维护客户数据的多份副本,以便能够从该副本恢复客户数据,但备份频率不得低于每周一次(除非在该时段内没有更新任何客户数据).
-微软将客户数据副本和数据恢复程序保存在不同于处理客户数据的主要计算机设备所在位置的地方.
-微软制定特定程序来监管对客户数据副本的访问.
-Microsoft至少每六个月对数据恢复程序审核一次,但不包括Azure政府服务数据恢复程序(该程序每十二个月审核一次).
-Microsoft记录数据恢复工作,包括负责人员、所恢复数据的描述,以及在适用的情况下,在数据恢复过程中必须手动输入哪些数据(如果有).
恶意软件.
Microsoft实施了反恶意软件控制,帮助防止恶意软件获得对客户数据的未授权访问权限,包括来自公共网络的恶意软件.
跨界数据-微软会加密或允许客户加密通过公共网络传输的客户数据.
-微软限制对从其设施取出的介质上的客户数据的访问.
活动记录.
Microsoft会记录或允许客户记录信息系统的访问和使用情况,包含客户数据、注册访问ID、时间、授予或拒绝的授权以及相关活动.
访问控制访问策略.
Microsoft维护能够访问客户数据的人员的安全权限记录.
访问授权-微软将维护并更新有权访问包含客户数据的微软系统的相关人员的记录.
-对于已有一段时间(不超过六(6)个月)未使用的身份验证凭据,Microsoft将予以停用.
-微软将指定可以授权、更改或取消数据和资源的访问权限的人员.
-微软确保如果有多个人员具有访问客户数据所在系统的权限,则每个人都具有单独的标识符/登录名.
最小权限-仅允许技术支持人员在需要时访问客户数据.
-微软只允许需要访问客户数据才能履行其工作职能的人员访问客户数据.
完整性和保密性-Microsoft指示Microsoft人员在离开Microsoft控制的场所或在计算机无人照看时禁用管理会话.
-Microsoft以一种在生效期间确保不会泄密的方式来存储密码.
身份验证-Microsoft使用行业标准做法来确定试图访问信息系统的用户的身份,并对他们进行身份验证.
-如果身份验证机制是基于密码的,则Microsoft要求该密码必须定期更新.
-如果身份验证机制是基于密码的,则Microsoft要求该密码长度至少为八个字符.
-Microsoft确保不将已停用或过期的标识符授予其他人员.
-微软将监控或允许客户监控使用无效密码反复尝试访问信息系统的行为.
-Microsoft维护行业标准程序,以停用已被破坏或无意中泄露的密码.
-Microsoft使用行业标准密码保护做法,包括在分配或分发密码时和存储期间保持密码的机密性和完整性的做法.
网络设计.
Microsoft采取控制措施,避免人员获取对未授权他们访问的客户数据的访问权限.
信息安全事件管理事件响应流程-Microsoft维护安全违规行为的记录,包括违规行为的描述、时间、违规行为的后果、报告者名称、接收违规报告的人员,以及恢复数据的程序.
-对于属于安全事件的每次安全违规,Microsoft应在72小时内发出通知(见上文中"安全事件通知"一节的规定),任何情况下均不得无正当理由拖延.
-Microsoft会跟踪或允许客户跟踪客户数据的披露情况,包括披露的具体数据、披露对象和披露时间.
服务监控.
Microsoft安全人员至少每六个月验证一次日志,如果需要将会提议修正措施.
业务连续性管理-微软维护处理客户数据的微软信息系统所在的设施的应急计划.
-微软的冗余存储及其恢复数据的程序旨在尝试按照客户数据丢失或破坏之前的原始或上次复制的状态来重建数据.
目录/一般条款1–声明专业服务专业服务依照下面的"专业服务条款"提供.
不过,如果专业服务根据单独的协议提供,则适用该单独协议的条款.
适用本声明的专业服务不是在线服务,并且使用权利和DPA的其余部分将不适用,除非下面的专业服务条款另有明确规定.
专业服务数据的处理;所有权Microsoft将仅出于以下目的使用和以其他方式处理专业服务数据:(a)依照客户记录在案的指令向客户提供专业服务以及(b)保证Microsoft在向客户提供专业服务时的合法经营活动,这两种情况的详情及限制如下文所示.
在双方之间,客户拥有对专业服务数据的所有权利、所有权和权益.
除了客户授予Microsoft的向客户提供专业服务的权利之外,Microsoft不获得有关专业服务数据的任何权利.
本段落不影响Microsoft向客户许可的软件或服务中包含的Microsoft的权利.
处理数据以便为客户提供专业服务就本DPA而言,"提供"专业服务包括:提供专业服务,包括提供技术支持、专业计划、建议、指导、数据迁移、部署和解决方案/软件开发服务;故障排除(预防、检测、调查、缓解和修复问题,包括安全事件);以及持续改进(维护专业服务,包括安装最新更新,以及对可靠性、效力、质量和安全性进行改进).
提供专业服务时,Microsoft不会出于以下目的使用或以其他方式处理专业服务数据:(a)用户概况分析、(b)广告或类似商业目的,或者(c)旨在创建新功能、服务或产品的市场调研或任何其他目的,除非此类使用或处理符合客户记录在案的指令.
为保证Microsoft的合法经营活动而进行处理就本DPA而言,"Microsoft的合法经营活动"包括以下各项:(1)帐单和帐户管理;(2)报酬(例如计算员工佣金);(3)内部报告和业务建模(例如,预测、收入、产能规划、产品战略);(4)打击可能影响Microsoft或Microsoft产品的欺诈、网络犯罪或网络攻击;(5)改进可访问性、隐私或能效等核心功能;以及(6)财务报告或遵守法律义务(遵守下文概述的披露限制),上述每项都是一个向客户提供专业服务的事件.
在为保证Microsoft的合法经营活动而进行处理时,Microsoft将不会出于以下目的使用或以其他方式处理专业服务数据:(a)用户分析,或(b)广告或类似商业目的,或(c)任何其他目的,本节规定的目的除外.
专业服务数据的披露DPA"数据保护条款"部分中关于"已处理数据的披露"的规定适用于客户针对专业服务数据签订的专业服务协议.
个人数据的处理;GDPR通过与Microsoft合作以获得专业服务而由客户或代表客户提供给Microsoft的个人数据也属于专业服务数据.
如果Microsoft是受GDPR约束的个人数据的处理方或子处理方,则该处理活动受3中GDPR条款的约束,并且双方还同意本小节("个人数据的处理;GDPR")中的以下条款:处理方和控制方的角色和责任客户和Microsoft同意,客户是专业服务数据中所含个人数据的控制方,而Microsoft是处理方,但以下情况除外:(a)由客户充当个人数据处理方,此时Microsoft是子处理方;或(b)本专业服务条款另有规定.
当Microsoft充当个人数据的处理方或子处理方时,只能依照记录在案的客户指令来处理个人数据.
客户同意,其批量许可协议(包括DPA条款和任何适用更新)以及双方之间达成的任何服务声明是客户就专业服务数据中包含的个人数据的处理向Microsoft作出的最终且完整的记录在案的指令.
任何附加或替代的说明必须依照修订客户的批量许可协议或服务声明的流程得到认可.
在GDPR适用且客户是处理方的情况下,客户向Microsoft保证,客户的指令(包括指派Microsoft作为处理方或子处理方)已获得相关控制方的授权.
如果Microsoft在向客户提供专业服务的合法经营过程中按照GDPR使用或以其他方式处理专业服务数据,则Microsoft将负责遵守GDPR规定的独立数据控制方在使用时应尽的义务.
Microsoft为保证合法经营活动而处理此类数据时,将接受数据"控制方"的额外责任,以便:(a)在GDPR规定的范围内,遵守法规要求;(b)为客户提供更高的透明度,并确认Microsoft在进行此类处理时应承担的责任.
Microsoft使用保护措施保护正在处理的专业服务数据,包括本DPA中指明以及GDPR第6(4)条中所述的数据.
处理详细信息双方确认并同意:主题事项.
处理活动的主题事项仅限于这些专业服务条款的上述"专业服务数据的处理;所有权"一节以及GDPR范围内的个人数据.
处理活动的持续时间.
处理活动的持续时间应遵照客户指令和这些专业服务条款.
处理活动的性质和目的.
处理活动的性质和目的应为依照客户的批量许可协议和任何服务声明提供专业服务,以及保证Microsoft向客户提供专业服务时的合法经营(详见这些专业服务条款的上述"专业服务数据的处理;所有权"一节).
数据类别.
Microsoft处理的与提供专业服务相关的个人数据的类型包括(i)客户选择包含在专业服务数据中的个人数据;以及(ii)GDPR第4条中明确标明的类型.
对于客户选择包含在客户数据中的专业服务数据的类型,可以是客户根据GDPR第30条作为控制方所维护记录中指明的个人数据的任何类别,包括本DPA的2的附录1"标准合同条款(处理方)"中规定的个人数据的类别.
数据主体.
数据主体的类别为客户的代表和最终用户(如员工、承包商、合作方和客户),可能包括客户根据GDPR第30条作为控制方所维护记录中指明的数据主体的任何其他类别,包括本DPA的2的附录1"标准合同条款(处理方)"中规定的数据主体的类别.
数据主体权利;协助完成请求对于客户在在线服务中存储的专业服务数据,Microsoft将履行DPA的"数据保护条款"部分的"数据主体权利;协助完成请求"条款中规定的义务.
对于其他专业服务数据,Microsoft将根据下面的"数据删除或退回"部分删除或退回专业服务数据的所有副本.
处理活动的记录如果GDPR要求Microsoft收集和维护与客户有关的某些信息的记录,客户将应要求将此类信息提供给Microsoft,并保持其准确和最新.
如果GDPR要求,Microsoft可将任何此类信息提供给监管机关.
数据安全性安全实践和策略Microsoft将实施并维持适当的技术和组织措施来保护专业服务数据,防止传输、存储或以其他方式处理的个人数据遭到意外或非法破坏、丢失、更改、未经授权的披露或访问.
这些措施应在Microsoft安全策略中规定.
Microsoft将向客户提供该策略,以及客户合理要求获取的有关Microsoft安全实践和策略的其他信息.
客户责任DPA数据保护条款中关于"客户责任"的规定适用于客户针对专业服务数据签订的专业服务协议.
此外,关于客户的专业服务合约,客户同意不向Microsoft提供除支持数据以外的任何专业服务数据,对于这些专业服务数据,应遵守家庭教育权利和隐私法案20U.
S.
C.
§1232g(FERPA)或1996年健康保险流通与责任法案(Pub.
L.
104-191)(HIPAA).
安全事件通知DPA的"数据保护条款"部分的"安全事件通知"条款适用于客户关于专业服务数据的专业服务合约.
数据传输除非依照专业服务条款规定以及采取本节下方规定的安全保护措施,否则不得将Microsoft代表客户处理的专业服务数据传输到某个地理位置,或在该地理位置进行存储和处理.
考虑到这些安全保护措施,除非专业服务条款中另有规定,否则客户应委托Microsoft将专业服务数据传输到美国或者Microsoft或其子处理方经营业务的任何其他国家/地区,并在这些地点存储和处理专业服务数据以提供专业服务.
在欧盟、欧洲经济区、英国和瑞士以外地区为提供专业服务而进行的所有专业服务数据的传输活动都应受2中标准合同条款的约束.
关于欧洲经济区、英国和瑞士个人数据的收集、使用、传输、维护和其他处理,Microsoft将遵循欧洲经济区和瑞士数据保护法律的要求.
应对所有将个人数据传输到第三方国家/地区或国际组织的传输活动采取适当的安全保护措施(如GDPR第46条所述),并依照GDPR第30(2)条的规定将此类传输活动和安全保护措施记录在案.
此外,Microsoft已通过"欧盟-美国隐私保护协议框架"和"瑞士-美国隐私保护协议框架"的认证,并作出所需的必要承诺,尽管Microsoft在欧盟法院对案例C-311/18的判决中未将"欧盟-美国隐私保护协议框架"作为个人数据传输的法律依据.
Microsoft同意,如果Microsoft认为自己无法再履行其义务,不能为客户提供与隐私保护协议原则所要求的保护级别同等的保护,则应将此情况通知客户.
数据删除或退回在实现收集或传输专业服务数据的商业目的之后,或在这之前但客户提出请求后,Microsoft将删除或退回专业服务数据的所有副本,除非适用法律允许或要求Microsoft保留此类数据,或者本DPA授权Microsoft予以保留.
处理方保密承诺Microsoft将确保其负责处理专业服务数据的人员(i)仅依照客户指令或这些专业服务条款中的规定处理此类数据;且(ii)有义务维护此类数据的机密性和安全性,即便在任务结束之后仍是如此.
Microsoft应依照适用的数据保护要求和行业标准,定期为具有专业服务数据访问权限的Microsoft员工提供强制性数据隐私和安全培训与教育.
关于使用子处理方的通知和控制Microsoft可能会聘用子处理方来代表Microsoft提供某些有限或辅助服务.
客户同意这种参与方式并且同意Microsoft关联公司以子处理方的身份进行参与.
如果标准合同条款或GDPR条款要求征得此类同意,上述授权将构成客户对"Microsoft分包对专业服务数据处理工作"的事先书面同意.
Microsoft应负责保证其专业服务数据子处理方履行DPA1中规定的Microsoft义务.
Microsoft将通过书面合同确保子处理方仅会出于交付Microsoft委托其提供的服务之目的而访问和使用专业服务数据,并禁止其将专业服务数据用于任何其他目的.
Microsoft应确保子处理方受相应书面协议的约束,且此类协议要求子处理方至少提供这些专业服务条款要求Microsoft提供的数据保护级别.
Microsoft同意监督子处理方,以确保履行这些合同义务.
关于支持数据以外的专业服务数据,在接到请求后,Microsoft会提供其子处理方列表.
如果接到了要求提供此类列表的请求,则在授权任何新的子处理方访问个人数据之前,Microsoft将至少提前十四(30)天更新此列表,并为客户提供用于获得该更新通知的机制.
如果客户不认可新的子处理方,则可以终止受影响的专业服务合约,但前提是应在相关通知期结束之前提供书面终止通知.
客户还可以随终止通知一起解释不认可的理由,以便Microsoft能够根据适用的顾虑重新评估任何此类新的子处理方.
关于支持数据,Microsoft在提供在线服务技术支持时使用子处理方的活动须遵守一些限制和程序,这些限制和程序与其对在线服务使用子处理方的活动时应遵守的限制和程序相同,如DPA"关于使用子处理方的通知和控制"的条款所述.
针对支持数据的附加条款支持数据的保护措施Microsoft将实施并维护适当的技术和组织措施来保护支持数据.
这些措施应符合ISO27001、ISO27002和ISO27018中规定的要求教育机构Microsoft的确认和协议以及DPA的"数据保护条款"部分的"教育机构"条款中规定的客户须征得家长同意和传达通知的责任同样适用于支持数据.
加州消费者隐私法(CCPA)如果Microsoft在CCPA范围内处理个人数据,则Microsoft对客户作出以下额外承诺.
Microsoft将代表客户处理专业服务数据,不会出于本DPA条款规定目的以及CCPA(包括任何"销售"豁免)允许目的以外的任何其他目的保留、使用或披露这些数据.
在任何情况下,Microsoft都不会出售任何此类数据.
这些CCPA条款并不会限制或减少Microsoft在与客户签署的DPA条款、使用权利或其他协议中向客户作出的数据保护承诺.
生物特征数据如果客户使用专业服务来处理生物特征数据,客户有责任:(i)向数据主体下达通知,包括关于保留期和销毁的通知;(ii)征得数据主体的同意;以及(iii)删除生物特征数据,所有这些活动均为适用数据保护要求的合理要求.
Microsoft将依照客户书面指示(如上文"处理方和控制方的角色和责任"一节所述)处理该生物特征数据,并根据本DPA下的数据安全和保护条款保护该生物特征数据.
在本节中,"生物特征数据"将具有GDPR第4条中规定的含义,如适用,还包括其他数据保护要求中的等效术语.
目录/一般条款2–标准合同条款(处理方)客户签署批量许可协议的同时会签署本2,后者由微软公司进行会签.
根据欧盟委员会2010/87/EU(2010年2月)的规定,在使用标准合同条款需要监管机构批准的国家/地区,标准合同条款无法用于从该国家/地区合法出口数据,除非客户获得了监管机构的批准.
2018年5月25日起,在下面的标准合同条款中引用指令95/46/EC中的各个条款将被视为引用GDPR中相关及相应的条款.
依据有关将个人数据传输至位于第三方国家/地区(无法确保提供充分的数据保护)的处理方事宜的95/46/EC指令第26(2)条,客户(作为数据导出者)和微软公司(作为签名出现在下方的数据导入者,单独使用时称为"各方",合称"双方")均同意以下合同条款(以下简称"条款"或"标准合同条款"),以便针对数据导出者将本附录1中指定的个人数据传输给数据导入者事宜,给予隐私保护以及个人的基本权利和自由方面的充分保护.
条款1:定义(a)"个人数据"、"特殊类别的数据"、"处理"、"控制方"、"处理方"、"数据主体"和"监督机构"沿用欧洲议会和欧盟理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的95/46/EC指令中的定义;(b)"数据导出者"指传输个人数据的控制方;(c)"数据导入者"指同意从数据导出者接收个人数据,以依照其指示和标准合同条款中的条款,在传输之后代表其自身对数据进行处理的处理方.
该处理方不受95/46/EC指令第25(1)条所定义的确保充分保护的第三方国家/地区系统的约束;(d)"子处理方"指由数据导入者或数据导入者的任何其他子处理方雇用的处理方,其同意从数据导入者或数据导入者的任何其他子处理方接收个人数据(专门用于处理数据传输之后、代表数据导出者进行的活动,并且依照其指示、条文中的条款和书面子合同中的条款);(e)"适用的数据保护法"指保护个人的基本权利和自由(特别是其关于处理个人数据的隐私权)的法律,适用于在其中建立数据导出者的成员国中的数据控制方;(f)"技术和组织安全措施"指旨在保护个人数据免受意外或非法破坏,或者避免意外丢失、更改、未经授权的披露或访问(特别是数据处理涉及通过网络进行数据传输),以及所有其他非法形式的数据处理的措施.
条款2:转让详细信息有关转让的详细信息,特别是特殊类别的个人数据(如果适用),将在下面构成条款的组成部分的附录1中指定.
条款3:第三方受益人条款1.
数据主体可以作为第三方受益人,对数据导出者实施本条款、条款4(b)至(i)、条款5(a)至(e),以及(g)至(j)、条款6(1)和(2)、条款7、条款8(2)和条款9至12.
2.
如果数据导出者事实上已消失或者在法律上已不复存在,数据主体可以对数据导入者实施本条款、条款5(a)至(e)和(g)、条款6、条款7、条款8(2)和条款9至12,除非任何后续实体已根据协议或依照现行法律承担数据导出者的全部法定义务,从而享有数据导出者的权利并承担其义务,在此情况下,数据主体可以对此类实体实施这些条款.
3.
如果数据导出者和数据导入者事实上已消失、在法律上已不复存在或者已经破产,数据主体可以对子处理方实施本条款、条款5(a)至(e)和(g)、条款6、条款7、条款8(2)和条款9至12,除非任何后续实体已根据协议或依照现行法律承担数据导出者的全部法定义务,从而享有数据导出者的权利并承担其义务,在此情况下,数据主体可以对此类实体实施这些条款.
子处理方的此类第三方责任应限于其根据条款的自有的处理操作.
4.
如果数据主体明确表明此类意愿且国家/地区法律允许,双方不反对数据主体由关联公司或其他机构进行代表.
条款4:数据导出者的义务数据导出者同意并保证:(a)个人数据的处理(包括传输本身)已经并将继续根据适用的数据保护法的相关规定(在适用时已通知在其中建立数据导出者的成员国中的有关当局)执行,并且不违反与该成员国的相关规定.
(b)其已指示并将在整个个人数据处理服务期间指示数据导入者仅代表数据导出者,且根据适用的数据保护法和条款来处理传输的个人数据;(c)数据导入者将提供关于下面的附录2中指定的技术和组织安全措施的充分保证;(d)在评估适用的数据保护法要求之后,安全措施是适当的,可以保护个人数据免受意外或非法破坏,或者避免意外丢失、更改、未经授权的披露或访问(特别是数据处理涉及通过网络进行数据传输),以及所有其他非法形式的数据处理,并且这些措施可以确保适当的安全级别来应对要保护的数据的处理及其性质所带来的风险,同时还考虑到技术现状以及实施这些措施的成本;(e)其将确保遵守这些安全措施;(f)如果传输涉及特殊类别的数据,数据主体已被通知,或者在传输之前(或在之后尽快)被通知其数据可传输至未根据95/46/EC指令中的定义提供充分保护的第三方国家/地区;(g)在数据导出者决定继续传输或取消暂停的情况下,将从数据导入者或任何子处理方接收到的通知转发给数据保护监督机构(依照条款5(b)和条款8(3);(h)根据请求向数据主体提供条款的副本(附录2除外)、安全措施的概述,以及须根据条款签订的任何子处理服务协议的副本,除非条款或合同包含商业信息,在此情况下,其可以删除此类商业信息;(i)在进行子处理时,处理活动须由子处理方根据条款11执行,并且应根据条款,至少提供与个人数据保护相同的保护级别,以及与数据主体相同的权利;以及(j)其将确保遵守条款4(a)至(i).
条款5:数据导入者的义务数据导入者同意并保证:(a)仅代表数据导出者处理个人数据,并且遵守其指示和条款;如果出于任何原因,无法遵守此类指示和条款,其同意立即通知数据导出者,此时数据导出者有权暂停数据传输并且/或者终止协议;(b)其没有任何理由相信,对其适用的法律可使其免于遵守从数据导出者获得的说明、免于根据协议履行义务,并且在该法律发生变更,且可能会对条款提供的保证和义务产生重大不利影响时,其一旦知道,会立即就这一变更通知数据导出者,此时数据导出者有权暂停数据传输并且/或者终止协议;(c)在处理传输的个人数据之前,其已实施附录2中指定的技术和组织安全措施;(d)其将立即通知数据导出者关于:(i)由执法机构提出、要求披露个人数据的任何具有法律约束力的请求,除非另有规定禁止,例如根据刑法保持执法调查的机密性而禁止披露的情况,(ii)任何意外或未授权的访问,以及(iii)直接从数据主体收到且未进行回应的请求,除非其已被授权这样做;(e)及时妥善处理数据导出者提出的关于其处理传输的个人数据的所有查询,以及遵守监督机构关于处理传输数据的建议;(f)在数据导出者的请求下,提交其数据处理设备以进行条款规定的处理活动审查,该审查应由数据导出者或由独立成员构成、具有受保密义务约束的所需专业资格的检查机构执行,并且在征得监督机构同意的情况下,应由数据导出者选定(如果适用);(g)根据请求向数据主体提供条款或任何现有子处理协议的副本,除非条款或协议包含商业信息,在此情况下,其可以删除此类商业信息(应由安全措施概述替换的附录2除外,此时数据主体无法从数据导出者获得副本);(h)如果进行子处理,其之前已通知数据导出者,并已事先获得数据导出者的书面同意;(i)子处理方提供的处理服务将依照条款11执行;以及(j)立即向数据导出者发送根据条款达成的任何子处理方协议的副本.
条款6:责任1.
双方同意因任何一方或子处理方违反条款3或条款11中所提及的义务而遭受损失的任何数据主体均有权针对所遭受的损失从数据导出者那里得到相应补偿.
2.
如果由于数据导出者事实上已消失、在法律上已不复存在或者已经破产,数据主体无法根据第1段的内容对数据导出者提出索赔(由数据导入者或其子处理方违反任何条款3或条款11中所提及的义务而产生),数据导入者同意数据主体可以对数据导入者提出索赔,如同其就是数据导出者,除非任何后续实体已根据协议或依照现行法律承担数据导出者的全部法定义务,在此情况下,数据主体可针对此类实体行使其权利.
数据导入者不得依赖于子处理方违反其义务的行为,来逃避其自身的责任.
3.
如果由于数据导出者和数据导入者事实上已消失、在法律上已不复存在或者已经破产,数据主体无法对第1段和第2段中所提及的数据导出者或数据导入者提出索赔(由数据导入者或其子处理方违反任何条款3或条款11中所提及的义务而产生),子处理方同意数据主体可以根据条款对数据子处理方就其自有的处理操作提出索赔,如同其就是数据导出者或数据导入者,除非任何后续实体已根据协议或依照现行法律承担数据导出者的全部法定义务,在此情况下,数据主体可针对此类实体行使其权利.
子处理方的责任应限于其根据条款的自有的处理操作.
条款7:仲裁和管辖权1.
数据导入者同意,如果数据主体根据条款对其提出第三方受益者权利和/或损失索赔,数据导入者将接受数据主体的决定:(a)将争议提交独立人士或监督机构(如果适用)进行调解;(b)将争议提交到数据导出者所在成员国的法院.
2.
双方同意数据主体作出的选择不会影响其依照其他国家/地区或国际法规定寻求补救措施的实体和程序权利.
条款8:与监督机构协作1.
数据导出者同意备案与监督机构签署的协议的副本(如果其要求备案,或者适用的数据保护法要求备案).
2.
双方同意,监督机构有权对数据导入者和任何子处理方进行审查,审查范围和所依据的条件与根据适用的数据保护法审查数据导出者相同.
3.
数据导入者应立即就存在对其或任何子处理方适用的法律(使其免于依照第2段对数据导入者或任何子处理方进行的审查)一事通知数据导出者.
在此情况下,数据导出者应有权采取条款5(b)中预见的措施.
条款9:管辖法律.
这些条款应受在其中建立数据导出者的成员国的法律的约束.
条款10:合同的变动双方保证不改变或修改条款.
但这并不排除双方还会在需要时就业务相关的问题添加条款(只要不与条款相矛盾).
条款11:子处理1.
在未事先获得数据导出者的书面同意时,数据导入者不应分包根据条款代表数据导出者执行的处理操作.
当数据导入者征得数据导出者的同意并根据条款分包其义务时,其只应通过与子处理方签署书面协议的方式进行分包,该协议将向子处理方施加与根据条款向数据导入者施加的义务相同的义务.
当子处理方无法根据此类书面协议履行其数据保护义务时,数据导入者应对数据导出者根据此类协议履行子处理方的义务完全负责.
2.
数据导入者和子处理方事先签署的书面协议还应提供条款3中规定的第三方受益人条款,该条款适用于由于数据导出者或数据导入者事实上已消失或者在法律上已不复存在,或者已经破产且无后续实体根据协议或依照现行法律承担数据导出者或数据导入者的全部法定义务,数据主体无法对他们提出条款6第1段中所提及索赔的情况.
子处理方的此类第三方责任应限于其根据条款的自有的处理操作.
3.
第1段所提及的与合同中的子处理数据保护方面有关的规定应受在其中建立数据导出者的成员国的法律的约束.
4.
数据导出者应保留根据条款签署、由数据导入者依照条款5(j)通知的子处理协议的列表(应至少每年更新一次).
该列表应提供给数据导出者的数据保护监督机构.
条款12:个人数据处理服务终止之后的义务1.
双方同意,在数据处理服务的规定终止之后,数据导入者和子处理方应根据数据导出者的选择,向数据导出者退回所有传输的个人数据和副本,或者应销毁所有个人数据并向数据导出者证明数据已销毁,除非法律禁止数据导入者退回或销毁传输的全部或部分个人数据.
在此情况下,数据导入者应保证它能保证传输的个人数据的机密性,而且将不再主动处理传输的个人数据.
2.
数据导入者和子处理方保证,其将按照数据导出者和/或监督机构的请求,提交其数据处理设备以进行第1段中所提及的措施的审查.
标准合同条款的附录1数据导出者:客户是数据导出者.
数据导出者是DPA和OST中定义的在线服务或专业服务用户.
数据导入者:数据导入者是MicrosoftCorporation(全球软件和服务生产商).
数据主体:数据主体包括数据导出者的代表和最终用户,包括数据导出者的员工、承包商、合作者和客户.
数据主体还可以包括尝试与数据导入者提供的服务的用户进行通信或向其传输个人信息的个人.
Microsoft确认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含以下任何数据主体类型的个人数据:数据导出者的(当前、以前或准)员工、承包商和临时员工;上述人员的家属;数据导出者的合作方/联系人(自然人)或者法律实体合作方/联系人的员工、承包商或临时员工(当前、以前或准员工);用户(例如,顾客、客户、患者、访客等)以及作为数据导出者服务用户的其他数据主体;与数据导出者的员工进行积极协作、交流或以其他方式互动,和/或使用数据导出者提供的应用程序和网站等通信工具的合作伙伴、利益相关方或个人;被动地与数据导出者互动的利益相关方或个人(例如,因为他们是调查研究的主体,或在与数据导出者的往来文档或通信中被提及);未成年人;或者拥有专业特权的专业人员(例如,医生、律师、公证人、宗教工作者,等等).
数据类别:传输的包含在电子邮件或文档中的个人数据,以及在线服务或专业服务环境中的其他电子数据.
Microsoft确认,根据客户对在线服务或专业服务的使用情况,客户可以选择在个人数据中包含以下任何类别的个人数据:基本个人数据(例如出生地点、街道名称和门牌号(地址)、邮政编码、居住城市、居住国家/地区、手机号码、名字、姓氏、姓名的首字母、电子邮件地址、性别、出生日期),包括有关家庭成员和子女的基本个人数据;身份验证数据(例如用户名、密码或PIN码、安全性问题、审计线索);联系人信息(例如地址、电子邮件、电话号码、社交媒体标识符;紧急联系人详细信息);唯一标识号和签名(例如社会保障号、银行帐号、护照和身份证号、驾照号码和车辆登记号码、IP地址、员工编号、学号、门诊号、签名、采用跟踪Cookie或类似技术的唯一标识符);假名标识符;财务和保险信息(例如保险号、银行帐户名称和帐号、信用卡名称和号码、发票号码、收入、保险类别、支付行为、信用状况);商业信息(例如购买历史记录、特别优惠、订购信息、付款历史记录);生物特征信息(例如DNA、指纹和虹膜扫描);位置数据(例如小区标识、地理位置网络数据、开始呼叫/结束呼叫的位置.
使用WiFi接入点获得的位置数据);照片、视频和音频;Internet活动(例如浏览历史记录、搜索历史记录、阅读、看电视、听收音机活动);设备标识(例如IMEI号码、SIM卡号、MAC地址);概况分析(例如基于观察到的犯罪或反社会行为,或基于访问过的URL、点击流、浏览日志、IP地址、域、安装的应用程序的匿名配置文件,或基于营销偏好的配置文件);人力资源和招聘数据(例如就业状况声明、招聘信息(如履历、就业经历、教育经历详细信息)、工作和职位数据(包括工作时间、评估和工资)、工作许可详细信息、工作机会、雇用条款、税收详细信息、付款详细信息、保险详细信息以及位置和组织);教育数据(例如教育经历、当前教育、分数和成绩、获得的最高学位、学习障碍);公民和居住信息(例如公民身份、入籍状态、婚姻状况、国籍、移民身份、护照资料、居住详细信息或工作许可证);为执行维护公共利益或行使官方权力的任务而处理的信息;特殊数据类别(例如种族或民族、政见、宗教或哲学信仰、工会成员资格、遗传数据、用于唯一识别自然人的生物数据、有关健康的数据、有关自然人的性生活或性取向的数据,或与刑事定罪或犯罪有关的数据);或者GDPR第4条规定的任何其他个人数据.
处理操作:传输的个人数据将受以下基本处理活动的约束:a.
数据处理的持续时间和目标.
数据处理的持续时间应为数据导出者与被附加这些标准合同条款的Microsoft实体(以下简称"Microsoft")之间签订的适用批量许可协议所指定的期限.
数据处理的目的是提供在线服务和专业服务.
b.
数据处理的范围和目的.
DPA的"个人数据的处理;GDPR"一节中介绍了处理个人数据的范围和目的.
数据导入者在全球范围内运营数据中心和管理/支持设施网络,则可依照DPA的"安全实践和策略"一节,在数据导入者或其子处理方运营此类设施的任何法律管辖范围内进行数据处理.
c.
客户数据和个人数据访问.
在适用的批量许可协议下指定的期限内,数据导入者将依据适用的法律,根据需要自行选择实施欧盟数据保护指令第12(b)条,以便:(1)让数据导出者能够更正、删除或阻止客户数据和个人数据,或(2)Microsoft能够代表数据导出者执行此类更正、删除或阻止操作.
d.
数据导出者的指示.
对于在线服务和专业服务,数据导入者将仅遵照数据导出者的指示(如Microsoft所转达)行事.
e.
客户数据和个人数据删除或返还.
依照适用于本协议的DPA条款的规定,数据导出者使用在线服务或专业服务的权利期满或终止后,可提取客户数据和个人数据,并且数据导入者将删除客户数据和个人数据.
分包商:依照DPA,数据导入者可以聘请其他公司代表其提供有限服务,例如提供客户支持.
仅允许所有此类分包商为了交付数据导入者委托提供的服务而获取客户数据和个人数据,不得将客户数据和个人数据用于任何其他目的.
标准合同条款的2数据导入者依照条款4(d)和5(c)实施的技术和组织安全措施说明:1.
人员.
在未获得授权的情况下,数据导入者的人员将不会处理客户数据或个人数据.
这些人员有义务维护任何此类客户数据和个人数据的保密性,即便在离职之后仍有义务继续保密.
2.
数据隐私联系人.
可以通过以下地址联系数据导入者的数据隐私官:MicrosoftCorporation收信人:首席隐私专员1MicrosoftWayRedmond,WA98052USA3.
技术和组织措施.
数据导入者已经实施并将维持适当的技术和组织措施、内部控制和信息安全例程,以保护客户数据和个人数据(如DPA的"安全实践和策略"部分中所定义),防止意外丢失、销毁或更改;未经授权的披露或访问;或者非法销毁,如下所述:DPA的"安全实践和策略"部分中规定的技术和组织措施、内部控制和信息安全例程在此通过提及方式纳入本附录2,并且对数据导入者有约束力,如同它们全部在本附录2中规定一样.
代表数据导入者签订标准合同条款、附录1和附录2:RajeshJha,执行副总裁MicrosoftCorporationOneMicrosoftWay,RedmondWA,USA98052目录/一般条款3–欧盟通用数据保护条例条款Microsoft在GDPR条款中向所有客户作出的承诺将于2018年5月25日生效.
对于客户而言,这些承诺对Microsoft具有约束力,无需考虑(1)适用于任何给定在线服务订购的OST和DPA版本,或(2)任何引用此的其他协议.
在这些GDPR条款中,客户和Microsoft同意,客户是个人数据的控制方,而Microsoft是此类数据的处理方,但由客户充当个人数据处理方的情况除外,此时Microsoft是子处理方.
这些GDPR条款适用于Microsoft代表客户在GDPR的范围内处理个人数据的情况.
这些GDPR条款并不会限制或减少Microsoft在使用权利或与客户签署的其他协议中向客户所作出的数据保护承诺.
这些GDPR条款不适用于由Microsoft充当个人数据控制方的情况.
相关GDPR义务:第28、32和33条1.
在未事先获得客户的特定或一般书面授权的情况下,Microsoft不得雇用其他处理方.
如果获得的是一般书面授权,则Microsoft应将有关增加或更换其他处理方的任何拟议变更通知客户,以便客户有机会就此类变更提出反对意见.
(第28(2)条)2.
依照欧洲联盟(以下简称"欧盟")法律或欧盟成员国法律的规定,Microsoft处理个人数据的活动应受这些GDPR条款的约束,对于客户而言,这些条款对Microsoft具有约束力.
客户的许可协议(包括这些GDPR条款)规定了处理的内容和持续期间、处理的性质和目的、个人数据的类型、数据主体的类别以及客户的义务和权利.
特别是,Microsoft应满足以下要求:(a)只能依照客户已成文的指令处理个人数据,包括有关将个人数据传输到第三方国家/地区或国际组织,但对Microsoft有约束力的欧盟法律或欧盟成员国法律要求这样做的情况除外;在此类情况下,Microsoft应在处理个人数据之前通知客户收到该法律要求,除非该法律以保护公共利益为由禁止发出此类通知;(b)确保授权处理个人数据的人员承诺对个人数据进行保密或承诺履行相应的法定保密义务;(c)采取GDPR第32条所要求的所有措施;(d)遵守第1段和第3段中所述的有关雇用其他处理机构的条件;(e)根据处理性质,通过采取适当的技术和组织措施,竭尽所能协助客户履行其义务,以满足GDPR第III章中规定的行使数据主体权利的要求;(f)根据处理性质并结合Microsoft所掌握的信息,协助并确保客户履行GDPR第32至36条所规定的义务;(g)在停止提供与处理相关的服务时,根据用户所做出的选择,删除所有个人数据或将所有个人数据返还给客户,并删除现有副本,但欧盟法律或欧盟成员国法律要求存储个人数据的情况除外;(h)为客户提供所有必要信息,以证明已履行GDPR第28条所规定的义务,并允许客户或受客户委托的其他审计师进行审计(包括检查)并积极配合审计工作.
新网好不好?新网域名便宜吗?新网怎么样?新网是国内老牌知名域名注册商,企业正规化运营,资质齐全,与阿里云万网和腾讯云DNSPOD同为国内服务商巨头。近日新网发布了最新的七月放价季优惠活动,主要针对域名、云主机、企业邮箱、SSL证书等多款云产品推送了超值的优惠,其中.com顶级域名仅19.9元/首年,.cn域名仅16元/首年,云主机1核心2G内存3Mbps带宽仅9.9元/月,企业邮箱更是免费送1年,...
Digital-VM商家目前也在凑热闹的发布六月份的活动,他们家的机房蛮多的有提供8个数据中心,包括日本、洛杉矶、新加坡等。这次六月份的促销活动全场VPS主机六折优惠。Digital-VM商家还是有一点点特点的,有提供1Gbps和10Gbps带宽的VPS主机,如果有需要大带宽的VPS主机可以看看。第一、商家优惠码优惠码:June40全场主机六折优惠,不过仅可以月付、季付。第二、商家VPS主机套餐1...
mineserver怎么样?mineserver是一家国人商家,主要提供香港CN2 KVM VPS、香港CMI KVM VPS、日本CN2 KVM VPS、洛杉矶cn2 gia端口转发等服务,之前介绍过几次,最近比较活跃。这家新推出了洛杉矶CN2 GIA VPS,512MB内存/20GB NVME/800GB流量/200Mbps/KVM,58元/季,并且进行了带宽升级,同时IP更改为美国IP。点击...