中心研究 | 数据保护影响评估要点—基于微软DPIA报告的梳理和分析(上)
全文共计约10000字,细读时间约20分钟
文|姬祥 信通院互联网法律研究中心助理研究员
CIPP/US CIPP/E
【编者按】:
数据保护影响评估制度是欧盟《一般数据保护条例》中重要的风险管理工具之一,与“基于风险的规制路径”思想保持一致,与“问责制”等原则协调配合,能够帮助数据控制者和处理者降低个人数据处理活动对数据主体带来的威胁和风险。2018年,荷兰司法和安全部通过SLM Rijk(负责微软、谷歌和AWS等产品供应商管理的荷兰政府部门)委托评估方对包括Office 365在内的一系列微软产品进行数据保护影响评估,2019年发布了针对Word、PowerPoint、Outlook、Excel和Microsoft Teams等Office 365应用程序的数据保护影响评估报告。2022年2月21日,受SLM Rijk以及SURF(荷兰教育机构和研究机构的合作协会)的委托,Privacy Company针对微软Teams软件与OneDrive、SharePoint两个云存储服务器以及访问控制工具Azure Active Directory的交互中涉及的数据处理活动中的风险进行了新的调查,并发布了新的数据保护影响评估报告。[1]报告对于数据处理活动的事实情况、可能的数据保护风险、可行的降低风险的措施进行了细粒度的分析,对于数据保护影响评估制度如何落地实施、业务过程中应当注意的关键点有参考意义。本文尝试结合欧盟法律规定、行业方法论对报告内容进行简要梳理和分析,以期为理论界和实务界提供参考。
目录一、DPIA制度及可用工具简介
二、DPIA报告概述
三、DPIA报告关键点分析
关键点一:明确限定DPIA涉及的数据处理活动范围
关键点二:明确区分DPIA涉及的数据类别和性质
关键点三:明确数据处理活动中的角色划分(合同安排vs事实情况,兼考量控制能力,基于具体场景分析)
关键点四:为用户提供控制手段
1、系统管理员可用的隐私控制手段
2、终端用户可采用的隐私控制手段
关键点五:对数据跨境传输的情况进行重点分析和评估
关键点六:进一步关注到数据传输至第三方后再次传输至第四方的情况,为用户针对向第三方传输数据的情况提供有效控制的手段
关键点七:特别关注国外执法机构进行数据调取的情况
关键点八:逐项评估数据处理的合法性
1、涉及Teams, OneDrive, Sharepoint Online和Azure AD中诊断数据的数据处理活动
2、涉及Web端Office软件的遥测数据和必要服务数据的数据处理活动
3、涉及控制者互联体验的数据处理活动
4、涉及Teams中Analytics & reports功能、Viva中Advanced Insights功能的数据处理活动
关键点九:提高数据处理活动中的透明度以及软件使用者对于数据传输的控制能力
关键点十:积极采取措施响应数据主体行使权利的请求
关键点十一:非个人数据的集合可能构成个人数据
关键点十二:为控制者或处理者的提供对其行为解释说明的机会,并如实记录在DPIA报告中;用户交叉处理文件时的特殊做法
关键点十三:基于事实描述,逐项精细化评估数据处理活动产生的风险
(高风险)失去控制、失去保密性:美国政府当局对内容数据中敏感和特殊类别的个人数据的不当访问
(低风险)失去控制:美国政府当局对诊断数据的不当访问
(低风险)将用户名/电子邮件地址/OneDrive路径名意外转移到美国
(低风险)对遥测数据的处理缺乏透明度
(低风险)数据主体无法行使对必需服务数据的访问权
(低风险)缺乏控制:未经授权的第三方数据处理活动
(低风险)员工监控系统
关键点十四:降低风险的措施
一、DPIA制度及可用工具简介一、DPIA制度及可用工具简介
二、DPIA报告概述
三、DPIA报告关键点分析
关键点一:明确限定DPIA涉及的数据处理活动范围
关键点二:明确区分DPIA涉及的数据类别和性质
关键点三:明确数据处理活动中的角色划分(合同安排vs事实情况,兼考量控制能力,基于具体场景分析)
关键点四:为用户提供控制手段
1、系统管理员可用的隐私控制手段
2、终端用户可采用的隐私控制手段
关键点五:对数据跨境传输的情况进行重点分析和评估
关键点六:进一步关注到数据传输至第三方后再次传输至第四方的情况,为用户针对向第三方传输数据的情况提供有效控制的手段
关键点七:特别关注国外执法机构进行数据调取的情况
关键点八:逐项评估数据处理的合法性
1、涉及Teams, OneDrive, Sharepoint Online和Azure AD中诊断数据的数据处理活动
2、涉及Web端Office软件的遥测数据和必要服务数据的数据处理活动
3、涉及控制者互联体验的数据处理活动
4、涉及Teams中Analytics & reports功能、Viva中Advanced Insights功能的数据处理活动
关键点九:提高数据处理活动中的透明度以及软件使用者对于数据传输的控制能力
关键点十:积极采取措施响应数据主体行使权利的请求
关键点十一:非个人数据的集合可能构成个人数据
关键点十二:为控制者或处理者的提供对其行为解释说明的机会,并如实记录在DPIA报告中;用户交叉处理文件时的特殊做法
关键点十三:基于事实描述,逐项精细化评估数据处理活动产生的风险
(高风险)失去控制、失去保密性:美国政府当局对内容数据中敏感和特殊类别的个人数据的不当访问
(低风险)失去控制:美国政府当局对诊断数据的不当访问
(低风险)将用户名/电子邮件地址/OneDrive路径名意外转移到美国
(低风险)对遥测数据的处理缺乏透明度
(低风险)数据主体无法行使对必需服务数据的访问权
(低风险)缺乏控制:未经授权的第三方数据处理活动
(低风险)员工监控系统
关键点十四:降低风险的措施
我国《个人信息保护法》第55条正式引入了个人信息保护影响评估制度,并规定了强制适用的场景和评估的内容框架。类似的数据保护影响评估/隐私影响评估制度(以下统称为“DPIA”)在域外已施行多年,[2]由于相关的法律文本表述通常较为笼统,仅为DPIA的实施提供了最低标准或原则性指导,因此在实践中发展出了许多更细致的指南、标准、实施框架等文件。较为有影响力的指南或框架性文件如文后附表所示。
在我国,全国信息安全技术标准委员会发布的推荐性国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020,以下简称“《评估指南》”)已于2021年6月1日生效。《评估指南》充分借鉴了美、欧等国家和地区的法律规定、制度设计、标准文本和实践做法,对我国DPIA的评估原理、评估实施流程作出了细致地指引。[3]
然而,可用的框架、标准虽多,实践中公开的高质量DPIA报告却十分稀少。此次荷兰政府公布的微软DPIA报告长达121页,虽然是针对特定软件的特定业务流程进行的DPIA,而非普适性的框架指南,但对于数据保护影响评估的落地实施、数据处理活动中应当注意的关键点等问题均有重要参考意义。为此,笔者撰得此文,对这份DPIA报告作简要的梳理和分析,以期抛砖引玉。
二、DPIA报告概述荷兰政府提出了包含总括性(Umbrella)DPIA方法在内的DPIA框架,控制者可以先使用总括性DPIA对数据处理活动进行评估,将此DPIA作为基于特定使用场景的DPIA的基础。[4]例如,本DPIA报告就采用了总括性DPIA的方式,帮助作为数据控制者的政府部门和大学对使用微软相关软件(Teams与OneDrive,SharePoint Online以及云身份验证服务Azure Active Directory)处理个人数据所导致的数据保护风险进行评估,并敦促政府部门、大学为代表的数据控制者以及微软对这类风险采取措施。在此基础上,又对涉及服务必需数据的特定数据处理活动提出进行更细致DPIA的建议。
报告与GDPR第35条第7款的规定相符,分为四大部分。第一部分对进行评估的数据处理活动进行了描述,包括诊断数据的处理活动,涉及的个人数据类别和数据主体,隐私控制手段,处理活动的目的,各方在处理活动中的角色(控制者、共同控制者及处理者)及相应义务,数据处理活动相关方的利益,向欧盟外传输个人数据的情况,数据处理活动的技术和方法,额外的法律义务,数据保留期限等问题。第二部分对数据处理的合法性进行了评估和分析,包括开展数据处理活动合法性基础,数据处理活动是否符合目的限制等原则,是否符合必要性和相称性原则,相关的数据主体权利等问题。第三部分对处理活动可能导致对数据主体的风险进行了讨论和评估。最终将风险归纳为1类高风险和6类低风险。第四部分对降低风险的措施进行了描述。整体来看,第一部分占据了约70%的篇幅,表明对于数据处理活动事实情况的描述和分析是DPIA的重中之重。
三、DPIA报告关键点分析DPIA第一步明确限定了待评估数据处理活动的范围,即Teams在五类可用平台上(PC端和笔记本电脑端(Windows,Mac OS),智能手机端和平板电脑端(iOS,Android平台),以及浏览器端(Office for the Web))与OneDrive、SharePoint Online以及Azure AD交互时有关的数据处理活动。如下图所示:
补充内容 |
Microsoft Teams是一个在线通信和协作平台,可以实现即时通讯、视频会议、文件存储和共享等功能。 SharePoint Online和OneDrive for Business为Teams功能实现提供云存储服务。 Azure Active Directory(Azure AD)是微软的云身份验证服务,Office 365使用Azure AD进行微软云服务的访问控制。微软对此类数据的处理可以使得其获取有关终端用户工作模式的信息。 Connected Experiences(互联体验)是Office软件中基于微软云的服务,微软将其分为三类:一是内容分析式互联体验。例如Excel数据分析,文本翻译等功能。二是内容传输式互联体验。例如插入PowerPoint图表,免费模板下载,天气内容更新等功能。三是其他互联体验,例如“提及”(@)功能、寻求帮助和支持、数据丢失防护(DLP)策略提示等。[5]这些互联体验有些是可以选择的,有些可以和外部软件进行交互,可由账户管理员进行管理。[6]微软作为软件服务提供商,在本DPIA涉及的数据处理活动中的大部分情况下处于“数据处理者”的身份,但一些互联体验服务场景下,微软事实上取得了数据控制者的地位。这类服务称为“控制者互联体验”(Controller Connected Experiences)。包括:第一,用户向微软提供反馈;第二,用户使用Bing插入在线图片;第三,用户从Giphy中插入图像;第四,用户向微软提出建议;第五,用户联系微软以获取支持服务。 |
明确区分DPIA涉及的数据类别和性质,有助于业务过程中和DPIA中对可能产生的风险进行更为精准的把握和判断。
本DPIA报告将微软作为服务提供者的数据分为三类:第一,与微软服务器进行通信的内容数据(Content Data)。例如云服务器上存储文件的内容,包括SharePoint和OneDrive上的文件名和路径名;第二,诊断数据(Diagnostic Data)。诊断数据用于保持Office的安全和更新,检测、诊断、修复问题以及改进产品。这类数据不包括用户的姓名或电子邮件地址、用户文件的内容或与Office无关的应用程序的信息。指微软保存在日志文件中的有关其个人用户及其服务行为的所有数据,包括用户在终端上使用相关服务和软件生成的元数据,系统生成的云服务器日志文件中收集的有关其Office应用程序使用情况的数据,以及不同平台应用程序系统性发送给微软的“遥测数据”(Telemetry Data),[7]有时诊断数据还包括内容数据;第三,功能性数据(Functional Data)。即为保障微软在线通信服务和存储服务而必需从终端设备发送的数据,例如验证用户是否持有有效许可证所需要的数据。功能性数据被排除在本DPIA范围之外,其与诊断数据之间的区别在于,功能性数据是瞬态的(transient),微软并不存储此类数据。
在此基础上,微软对该等数据中涉及的个人数据和数据主体作出界定。在2021年9月的DPIA中,微软认为其处理的与提供产品和服务有关的所有个人数据包括以下三类,第一,用户数据。包括用户或其代表通过使用在线服务向微软提供的个人数据;第二,专业服务数据。包括用户或其代表通过使用专业服务向微软提供的个人数据;第三,由微软生成、派生或收集的数据。包括因用户使用基于服务的功能(service-based capabilities)而发送给微软的数据,或由微软从本地安装的软件获得的数据。除此之外,在微软处理的与提供产品有关的数据中,可能包含假名标识符,此类假名标识符属于个人数据。任何假名或去标识化但没有达到匿名化程度的数据,或从原始个人数据中派生的推论数据,均属于个人数据。
本次DPIA中,评估方对微软主动记录的遥测数据进行技术分析,与DPIA过程中截获的网络流量进行比较,结合对管理员可访问的审计日志中诊断数据的分析结果,来判断相应的数据是否属于个人数据,以及相应的数据主体。个人数据类型包括:包含个人数据的国家机密信息;GDPR第9条第(1)款规定的特殊类别的个人数据;具备敏感性质的个人信息(未被GDPR第9条第(1)款涵盖在内的具备敏感性质的信息,敏感度与数据保密性被破坏时带来的风险水平有关)。数据主体类型包括:员工和学生;访客用户;其他非用户类数据主体。
微软作为软件服务提供商,在本DPIA涉及的数据处理活动中的大部分情况下处于“数据处理者”的身份。根据2019年与荷兰政府达成的协议(以下简称“协议”),微软作为处理者只能够在以下情况对在线服务中获取的个人数据进行处理(以下简称“经授权目的”):第一,为提供和改进服务的目的;第二,为保障最新服务水平的目的;第三,为保障安全的目的。
此外,该协议还禁止微软出于以下目的进行处理:第一,为数据分析的目的;第二,为数据画像的目的;第三,为广告投放的目的或类似的商业目的,包括通过屏幕推荐用户未使用的微软产品或服务;第四,为开发新功能、服务或产品进行市场研究的目的。
评估方认为,虽然根据协议,微软仅在经授权目的下作为数据处理者处理有关的个人数据,但合同安排并不是决定性的,某一方在数据处理活动中承担何种角色须得根据实际情况确定,必须评估是由谁在实践中决定了处理的目的和方式。
经评估,在某些有限的合法业务目的和控制者互联体验的情形下,微软作为数据控制者处理数据。例如,微软允许Windows平台的Teams在默认设置下向第三方传输个人数据,将个人数据从SharePoint Online发送到自己,再将Teams用户重定向至微软support网站,并将数据传输至Cloudflare。在这个过程中,微软至少部分地确定了这种数据处理的目的,事实上取得了数据控制者的身份。而此后通过Teams Store、Bing和Cloudflare访问的第三方则构成独立的数据控制者。
评估还发现,从Office for the Web端处理遥测数据的场景下,管理员完全无法控制遥测事件的发生与否,无法最小化遥测数据收集范围,也无法使用data Viewer工具或等效工具对数据进行检查和处理。Microsoft不发布事件信息,不提供对诊断数据的访问,将大多数浏览器遥测数据都归类为服务所必需的服务数据。在此类情况下,由于数据处理活动的透明度缺失,用户无法指示微软以数据处理者的身份处理相关个人数据,可能导致微软事实上成为此类数据的联合控制者。
一个值得注意的问题是,倘使微软出于配合行政执法的目的将数据交由某一行政执法机关,应当如何界定相关角色?2019年协议中对此作出了约定,在微软必须将个人数据(无论是内容数据还是诊断数据)移交给美国的执法机构、安全机构或特勤局的情况下,当不允许微软通知用户且不允许将行政命令重定向到原本的控制者时,微软充当数据控制者的角色。
用户是否可以有效实现对其个人数据的控制,成为DPIA过程中判断风险的主要因素之一。微软在此过程中为管理员账户和一般终端用户提供了不同的隐私控制手段,主要包括端到端加密、双密钥加密、最小化数据收集范围(仅收集提供服务所必要的数据)、启用/禁用互联体验功能的选择权、假名化等手段。
01系统管理员可用的隐私控制手段
启用端到端加密(E2EE):管理员可以负责用户在Teams管理中心选择加入E2EE。此选项目前不是标准选项,但可以通过PowerShell中的组策略激活。
启用Customer Lockbox和/或双密钥加密:管理员可以通过启用主Microsoft 365管理员门户中的Customer Lockbox,为存储在Exchange Online(包括Teams数据)、SharePoint和OneDrive中的数据启用额外级别的加密。
最小化遥测数据收集范围:微软目前在Office 365的企业版中区分了三种收集范围:可选;必需;均不。管理员可以选择最低等级的“均不”级别。
禁用控制者互联体验:管理员可以在所有平台上关闭所有Office 365服务的控制者互联体验。
禁止访问Team store中的非Microsoft应用程序:管理员可以通过应用设置,在Teams商店—Teams管理中心-管理应用页面上禁用对非微软应用的访问。
禁用Teams中的Giphy功能:管理员可以通过在Teams中选择单独的组策略禁用Giphy功能。
通过Azure AD中的条件访问规则强制用户接受组织的隐私规则:管理员可以通过Azure AD强制终端用户(包括访问用户)接受组织策略。
在Teams Analytics & reports服务中将用户名假名化:管理员可以选择在Teams Analytics & reports和users reports中以假名显示终端用户的姓名和电子邮件地址。须得注意的是,微软在此项说明中错误地使用了“匿名”(anonymous)概念,可能会给使用者造成误会。
启用Microsoft Viva:微软提供的企业内部办公平台。
02终端用户可采用的隐私控制手段
在一对一通话中启用端到端加密:如果管理员启用了E2EE,终端用户可以启用此选项。
启用Data Viewer Tool:终端用户可以在移动设备(Android和iOS)上为Teams和OneDrive启用Data Viewer工具,也可以在Windows和MacOS台式机上为Teams启用Data Viewer工具。
DPIA过程中纳入了相对独立的数据传输影响评估(Data Transfer Impact Assessment,DTIA),着重分析了数据跨境传输情况下可能存在的数据保护风险。
首先,DPIA报告分析了目前受测软件存在的数据跨境传输情况。例如:涉及核心在线服务的内容数据,仅在欧盟内部进行处理。涉及Azure AD的内容数据存储在Azure AD服务运行的数据中心,即荷兰政府机构和大学。遥测数据和系统生成的关于非核心服务的在线服务的日志文件则直接在美国的Microsoft服务器上传输或生成。
由于计算机网络数据包传输的特性,无法提前预知数据传输的路径,微软仅针对静态数据最终存储地提供保证。因此,虽然存在数据在传输过程中被不当访问的风险,在采取了合适的加密手段的情况下,DPIA报告认为微软无需对路由的路径提供法律上的承诺。
方式上,微软采用标准合同条款(SCC)进行数据跨境传输。DPIA报告指出,尽管欧洲法院承认欧盟委员会采纳SCC决定的有效性,因此原则上仍然允许基于SCC的数据传输,但SCC适用于个案判断,对于系统地向美国传输个人数据的情况,不能当然地认定这种方式满足了数据保护的相关要求。根据GDPR的规定,通过SCC进行的跨境传输也需要接收方提供充分的数据保护,须得由控制者在业务开展时自行判断有关风险。EDPB对接收方的数据保护水平提出了四项必要但不充分的判断要求:(1)数据处理活动应基于清晰、准确和可访问的规则;(2)需要证明所追求的合法目标的必要性和相称性;(3)应当存在独立的监督机制;(4)应当存在个人可以寻求有效补救的措施。[8]
值得注意的是,DPIA中微软提到了名为“欧盟数据边界”的计划。2021年5月,微软首次公布“欧盟数据边界”(EU Data Boundary)计划,[9]承诺在2022年年底前,商业用户和公共部门用户使用微软核心云服务涉及的数据将完全在欧盟境内完成处理。2021年12月,微软更新了该计划进展。[10]本次DPIA中,该计划的进展和完成时间段成为认定风险层级时考虑的重要因素。
2020年6月,微软与SLM Rijk和SURF就当时DPIA后的隐私改善措施达成协议,约定管理员禁用控制者互联体验的情况下,任何平台上的任何Office 365应用都不应当向第三方发送任何流量。
在2021年5月的DPIA中,评估方没有检测出应用程序向未记录在案的第三方进行数据传输的情况。但存在三类情形:第一,Windows平台版本的Teams向第三方传输数据;第二,通过浏览器访问时,无法禁用Bing在SharePoint Online中的控制者互联体验;第三,如果用户在iOS上访问Teams的隐私设置,则会从support.microsoft.com域向美国内容分发网络Cloudflare传输数据。
本次DPIA中发现,在第一种情况下,Windows平台版本的Teams向Teams.Polly.AI传输数据,[11]通过对捕获的流量数据进行技术分析,评估方发现向Polly发送的流量触发了一系列事件,导致向多个第三方传输唯一标识符,并且导致跟踪cookie的设置。在初始数据流中,用户界面中加载了一个iframe,[12]微软向Polly发送的请求(Request)中包括了用户代理(UA)、referrer(generic)、以及终端用户的IP地址,但不包含cookie或跟踪标识符。之后,Polly向[Intercom.io 和 Intercomcnd.com]、[Stripe.com]、[YouTube YSC cookies]、[Google DoubleClick IDE tracking cookie]等第四方发送了数据。微软对此解释说,管理员可以为终端用户禁用此Teams store中非Microsoft应用的访问。评估方经验证,该选项可有效防止Teams store向第三方传输数据,因此也有效降低了相关的风险。
又如,通过浏览器访问SharePoint的情况下,当用户插入图片时,SharePoint会将用户名、IP地址和组织名称等用户信息发送给Bing。作为响应,Bing发送了三个具有唯一标识符的cookie。微软认为自己是Bing处理的所有个人数据的独立数据控制者,评估方则认为,当政府机构和大学的管理员关闭控制者互联体验时,插入图片的功能不应可用。微软对此回应,如果用户在2022年7月1日之前禁用了控制者互联体验,将停止此类数据传输。
如何应对国外执法机构进行数据调取的请求和命令,是影响数据保护风险大小的重要因素。因为涉及受测软件的数据跨境传输和云存储服务,本次DPIA重点分析了此种情况。并将美国执法当局的数据调取认为是一类高风险数据处理活动。
微软每年会发布两次关于其收到的执法请求和监控命令的详细报告,[13]IBM、AWS、Zoom、Cisco和谷歌等企业云存储和通信服务的市场参与者也会披露收到的请求情况。[14]这样的详细报告有助于提升有关事项的透明度,帮助数据控制者在选择数据处理者时有效判断、比较可能产生的风险。根据透明度报告,在2021上半年,微软收到了来自世界各地执法机构的121个关于企业云用户账户的请求。微软被迫响应了51个请求,其中31个请求涉及部分用户内容数据的披露(27个与美国执法部门有关),20个请求涉及非内容数据的披露。[15]
如前所述,EDPB对数据跨境传输接收方的数据保护水平提出了四项必要但不充分的判断要求。DPIA报告认为,根据Schrems II案的裁决,美国当前的法律制度,尤其是《外国情报监视法》(Foreign Intelligence Surveillance Act,FISA)的规定不符合这四个要求,原因如下:(1)FISA第702节和E.O.12333并未对为外国情报目的实施监控计划所赋予的权力进行限制;(2)美国法律允许公共机构普遍性地访问电子通信的内容;(3)美国行政监察专员(Ombudsman)监督(oversight)机制的范围不包括对个人的监控(surveillance)措施,其是否满足欧洲人权法院在判例中定义的独立性亦值得怀疑;(4)美国宪法第四修正案仅适用于美国公民和居住在美国境内的其他国家的公民,如果数据被转移到美国,则数据主体的权利难以获得有效的司法救济。因此,DPIA报告认为,美国基于《云法》、FISA Section 702的请求均不能满足欧盟数据保护的要求。
值得注意的是,DPIA报告认为,有效的承诺是降低有关风险的有效手段。例如微软承诺,在数据传输过程中和静态存储时均使用高标准的强加密手段;不响应任何政府直接、不受限制地访问用户数据的要求,而是遵循确定的法律程序,并且第一时间尝试将调取命令重定向至用户或对用户进行通知;将会质疑(Challenge)每一项数据调取请求,当最终因应政府要求披露用户数据时,承诺向受影响用户的用户提供金钱赔偿。[16]
DPIA报告的第二部分对数据处理的合法性进行了评估,涉及对合法性基础、处理的必要性和相称性,以及处理与目的的兼容性的分析。具体方式上,是在对数据类别和性质进行明确区分的情况下,逐项考量对某类数据进行处理的合法性。在某些情况下,微软事实上成为了数据控制者,为此需要寻求适当的合法性基础以开展数据处理活动。具体说来:
01涉及Teams, OneDrive, Sharepoint Online和Azure AD中诊断数据的数据处理活动
如前所述,根据2019年协议,微软只能在适当情况下出于经授权目的对诊断数据进行处理,在此用途限制情形下,保证了微软作为诊断数据处理者的角色。由于处理者进行数据处理的合法性依托于控制者对数据处理的合法性基础,本DPIA报告对这三类情形的合法性基础进行了分析:
就“为合同所必需”这一合法性基础而言,DPIA报告认为,在员工或学生使用微软在线服务完成工作或参加课程学习的场景下,微软为了履行数据主体与政府机构或大学签订的合同以提供服务,对于诊断数据的处理是绝对必要的,实体可以援引这一法律依据。而实体使用Office软件与其他数据主体(非员工、非学生)进行沟通时,则需要考虑其他合法性基础。
就“为执行公共任务所必需”这一合法性基础而言,DPIA报告认为,当与外部主体进行沟通所必需使用Teams软件时,相关的数据处理活动可以援引这一合法性基础。
就“合法利益”这一合法性基础而言,DPIA报告认为,荷兰政府机构和大学可以根据其合法利益的需要处理受限的诊断数据集,但不能够处理内容数据。适用的数据处理活动包括由微软作为数据处理者处理诊断数据,以确定要提供哪些安全更新,并通过故障排除和技术错误修复来提供功能良好的产品。
02涉及Web端Office软件的遥测数据和必要服务数据的数据处理活动
如前所述,评估过程中发现,在处理遥测数据的某些场景下(从Office for the Web端,也即浏览器端),管理员完全无法控制遥测事件,无法最小化遥测数据收集范围,无法使用data Viewer工具或等效工具对数据进行检查和处理。Microsoft也不发布事件信息,不提供对诊断数据的访问,将大多数浏览器遥测数据都归类为服务所必需的服务数据。在此类情况下,由于数据处理活动的透明度缺失,用户无法指示微软以数据处理者的身份处理这些个人数据,可能导致微软事实上成为此类数据的联合控制者,因此微软需要选择独立的合法性基础进行此类数据处理活动。
03涉及控制者互联体验的数据处理活动
DPIA报告发现,即使管理员统一禁用对控制者互联体验的访问,也不能阻止微软搜索引擎Bing在SharePoint Online中收集个人数据,以及微软支持网站与Cloudflare的数据传输。此类数据处理是不必要的,并且违反了微软的隐私承诺。政府机构、大学以及微软都不能经授权的三类处理目的以外的其他目的,就这一处理提出任何法律依据。
04涉及Teams中Analytics & reports功能、Viva中Advanced Insights功能的数据处理活动
DPIA报告认为,由于并不存在要求政府机构和大学在沟通工具中对员工和学生行为进行详细分析的法律义务,对这两类功能中涉及的数据处理活动,大学和政府组织不能援引“为公共利益所必需”的合法性基础,只能尝试将“为合法利益所必需”作为合法性基础。为了确认是否能够援引这一合法性基础,则需要进行平衡性测试。微软默认开启Teams Analytics & reports的全部功能,此类处理过程将对数据主体的权利产生相当大的影响。如果政府机构和大学不首先评估这种处理的必要性,处理可能不具备合法性。
由于微软在默认情况下开启Teams Analytics & reports服务,并启用了所有监控选项,因此微软还实际参与确定了处理的目的,在这种情况下成为联合控制者。微软也并没有践行默认的隐私友好设置,DPIA报告认为,与微软的隐私承诺相反,它尚未有效限制所有诊断数据的处理目的。当微软是政府机构和大学的联合控制者时,双方都没有合法性基础对此类数据进行该等处理。
(其余内容,请见下篇推送,谢谢!)
[1] 完整英文报告请见:
https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad
[2] 代表性的研究,请见:Reuben Binns, Data protection impact assessments: a meta-regulatory approach, International Data Privacy Law, Vol.7, No.1, 2017, P.22–35; see also Atanas Yordanov, Nature and ideal steps of the data protection impact assessment under the general data protection regulation, European Data Protection Law Review, Vol.3 , 2017, p.486; see also Katerina Demetzou, Data Protection Impact Assessment: A tool for accountability and the unclarified concept of ‘high risk’ in the General Data Protection Regulation, Computer Law & Security Review, Vol.35, No.6, 2019;程莹:《风险管理模式下的数据保护影响评估制度》,载《网络与信息安全学报》2018年第8期;崔聪聪、许智鑫:《数据保护影响评估制度:欧盟立法与中国方案》,载《图书情报工作》2020年第5期;肖冬梅,谭礼格:《欧盟数据保护影响评估制度及其启示》,载《中国图书馆学报》2018年第5期;陈美,梁乙凯:《加拿大隐私影响评估政策:历程、内容、分析与启示》,载《图书情报工作》2021年第17期;陈美,梁乙凯:《英国数据保护影响评估制度及其启示》,载《情报理论与实践》。
[3] 请见洪延青:《中国个人信息保护立法 | 善用个人信息保护影响评估 灵活实现创新和个人保护的平衡》,载微信公众号“网安寻路人”,https://mp.weixin.qq.com/s/rSETYZHPg-BpVso75h3DnA.
[4] 这一模型于2021年11月更新,但只有荷兰语版本,请见:https://www.kcbr.nl/beleid-en-regelgeving-ontwikkelen/integraal-afwegingskader-voor-beleid-en-regelgeving/verplichte-kwaliteitseisen/data-protection-impact-assessment.
[5] 请见:
https://docs.microsoft.com/en-us/deployoffice/privacy/connected-experiences
[6] 请见:
https://docs.microsoft.com/en-us/deployoffice/privacy/optional-connected-experiences
[7] 微软通过一个内置的遥测客户端系统地收集有关其软件使用的遥测数据。该软件记录用户执行的所有操作,并定期将这些数据批量发送到美国的Microsoft服务器。
[8] See EDPB, Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, at https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf.
[9] 请见:
https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/
[10] 请见:
https://blogs.microsoft.com/eupolicy/2021/12/16/eu-data-boundary-for-the-microsoft-cloud-a-progress-report/
[11] Polly是一款提高生产力的工具,具备员工互动、设置调查问卷、内部沟通、会议安排、新员工培训等辅助性功能,详情请见:polly.ai/employee-engagement
[12] HTML 内联框架元素 (<iframe>) 表示嵌套的browsing context。它能够将另一个 HTML 页面嵌入到当前页面中。请见:MDN,https://developer.mozilla.org/zh-CN/docs/Web/HTML/Element/iframe.
[13] See Microsoft, Compliance with EU transfer requirements for personal data in the Microsoft cloud, at https://go.microsoft.com/fwlink/p/?LinkID=2184913.
[14] See Google Transparency Report, Enterprise cloud requests for customer information, at
https://transparencyreport.google.com/user-data/enterprise?hl=en_GB; see also Zoom second transparency report, at https://explore.zoom.us/docs/en-us/trust/transparency.html; see also Cisco Transparency Report, at https://trustportal.cisco.com/c/r/ctp/trust-portal.html?search_keyword=transparency#/1640125994492149; see also Computer Weekly, IBM pushes back against US government data requests, at https://www.computerweekly.com/news/252501996/IBM-pushes-back-against-US-government-data-requests; see also AWS Information Requests Report June-December 2021, at https://d1.awsstatic.com/Information_Request_Report_December_2021_bia.pdf.
[15] See Microsoft, How many enterprise cloud customers are impacted by law enforcement requests?, at https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report.
[16] See Microsoft blog, Julie Brill, New steps to defend your data, at https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/.
//未完待续
(滑动浏览)
中心研究 | 域外关于数据所有权法律问题的探讨
中心研究 | 关于数据伦理国内外研究评述与发展动态分析
域外观察 | 为什么2022年只是人工智能规制的开始?
中心研究|元宇宙中的潜在法律问题研究中心研究 | 美国私营部门隐私保护成文法框架概述中心研究 | 欧洲议会表决通过《数字服务法》草案修正案,九大变化强化平台监管治理拜登政府执政一周年观察(一):美国数字经济领域反托拉斯工作要点分析及趋势判断中心研究 | 简评美国伊利诺伊州Cothron诉White Castle指纹识别信息侵权案
中心会议 | 算法治理研讨会暨《算法治理蓝皮书》发布会在北京顺利召开(后附蓝皮书原文与解读)新书推荐 |《个人信息保护立法研究》
年度观察 | 2021年网络法治盘点与回顾(一):平台治理篇
年度观察 | 2021年网络法治盘点与回顾(二):个人信息保护篇
域外观察 | 韩国率先发布全球首部《数据基本法》,大力发展数据产业
域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订
中心解读|《个人信息保护法》与GDPR的个人信息权利对比
中心研究|十问十答看懂我国个人信息去标识化规则中心研究 | 透视“数字守门人”制度:对大型平台的事前监管机制
中心研究|美国打压我国科技公司的政策工具梳理
中心研究|关于APP与关联方共享个人信息问题研究
中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解