红包分享
钱包管理
0- 0
- 0
来源:数字经济与社会
以下文章来源于数字治理全球洞察 ,作者梦溪拾笔
吴沈括
网络法治国际中心执行主任、博导
中国互联网协会研究中心副主任
黄诗亮
网络法治国际中心研究助理
本文是国家社会科学基金项目的阶段性成果。
Facebook(脸书)
Facebook(脸书)的隐私保护逻辑是强调隐私保护责任落实到公司每个员工,从CEO和高管,到全球的工程师和销售团队,以及公司中的每一个人,都对隐私保护负责。因此Facebook设计了一个治理框架——问责基金会,以促进公司各个层面各个环节的隐私问责制——
在此治理框架下,Facebook建立了多层次的隐私保护组织架构:
1、隐私权小组。该小组由产品首席隐私官Michel Protti领导,隐私权团队由数十个技术和非技术团队组成,仅专注于隐私。隐私团队是公司建立全面的隐私计划的中心。它的使命:在Facebook所做的所有事情中尊重人们的隐私,以此指导各项工作。
2、隐私公共政策团队。在政策副总裁兼首席隐私官Erin Egan的带领下,隐私公共政策团队领导参与有关隐私的全球公共讨论,包括新的法规框架,并确保在工作中考虑来自世界各地政府和专家的反馈产品设计和数据使用惯例,包括在隐私审查过程中。
3、隐私法律团队。既嵌入在程序的设计中,又负责就隐私审查过程中法律上的要求提供咨询。
4、隐私委员会。隐私委员会是Facebook董事会的独立委员会,每季度召开一次会议,以确保履行隐私承诺。该委员会由具有丰富经验的独立董事组成,担任过类似的监督职务。他们会从独立隐私评估员那里定期收到有关我们隐私计划状态和FTC订单遵守情况的简报,该评估员的工作是持续审查和报告我们的隐私计划。
5、内部审计团队。内部审计为我们的隐私计划和支持控制框架的整体健康状况提供了独立保证。
同时,Facebook推动持续的隐私学习和教育,包括培训,内部活动,定期提供的隐私内容和其他动态资源等。
Facebook隐私委员会
(The Privacy Committee of the Board of Directors of Facebook, Inc)
基本概况
隐私委员会是Facebook董事会的独立委员会,每季度召开一次会议,以确保履行隐私承诺。Facebook公司董事会的隐私委员会由董事会授权,主要负责在隐私和数据使用事项方面协助董事会,包括监督:
(一)遵守公司根据联邦贸易委员会于2020年4月28日发布的FTC文件摘要C-4365号中的命令(“FTC命令”)采用的全面隐私程序;
(二)管理层对隐私计划以及有关风险评估和风险管理的任何相关政策的定期评估;
(三)选择一名或多名合格员工来协调和负责隐私计划;
(四)由公司选择独立的第三方评估人员来审查公司的隐私惯例;
(五)评估者对隐私计划的两年期评估。
在履行职责时,隐私委员会不是公司的全职员工性质。委员会的职能并非旨在重复或替代管理层、任何指定的合规官或评估员在涉及隐私计划和公司的隐私惯例的活动。委员会在履行其职责时所享有的权利和承担的责任由隐私委员会章程(自2020年5月12日生效)规定。除非得到委员会的批准需要根据本章程的特别要求、联邦贸易委员会的命令或其他适用的法律,监督公司数据和信息隐私事项的责任由公司管理层负责。
为了进一步履行该章程中所述的委员会职责,委员会的每个成员都应有权依靠接收信息的公司内部和外部的个人和组织的完整性,以及缺乏实际知识的此类人员或组织向委员会提供的信息的准确性。
尽管该章程应在联邦贸易委员会的命令、公司注册证书和公司细则的背景下进行解释,但其意图并非凭自己的力量确立任何具有法律约束力的义务。
人员构成
该委员会将由三名或以上的董事会成员组成,确切人数由董事会根据薪酬、提名和治理委员会的先前建议不时确定。组成委员会的成员人数的任何减少均不得缩短委员会现任成员的任期,除非根据本章程以其他方式将该成员从委员会中撤职。委员会的每一位成员都必须:
(一)根据公司证券上市交易的证券交易所适用规则,法规和上市要求所定义的“独立董事”;
(二)薪酬、提名和治理委员会认为没有任何关系会妨碍该成员行使其独立的判断力履行其作为委员会成员的职责;
(三)不是公司的执行官或员工;
(四)薪酬、提名和治理委员会认为,具有了解公司合规性和问责制程序以及阅读和理解数据保护和隐私政策及程序的能力,以及合理必要的其他相关隐私和合规经验行使其作为委员会成员的职责。
委员会的所有成员将由董事会任命,并由其酌情决定任职情况,但前提是薪酬、提名和治理委员会应具有唯一的权力,可建议任命或任命委员会成员,以使董事会在未缺席的情况下不得批准任何此类任命或罢免薪酬、提名和治理委员会的建议人选。成员应各自任职,直至董事会成员任期届满为止,但如须提前辞职,辞职或在薪酬、提名和治理委员会建议撤职的范围内,则由董事会罢免。如果董事会不任命主席,则委员会成员可以以多数票任命主席。主席将确定委员会会议的议程并进行会议的会议记录。
Twitter(推特)
Twitter于2019年12月2日启动Twitter隐私中心,以更加清楚地展示Twitter为保护人们与其共享的信息所做的工作和努力。在其隐私中心的运行历史中,反映了Twitter对于隐私保护组织工作的三个重点领域:
一、解决技术负担。自14年前发送第一条Tweet以来,Twitter已经发生了很大变化。解决技术负担问题对每家公司来说都是一个持续的挑战。这项工作不仅对Twitter用户的隐私和安全有好处,对商业也有好处。这将帮助Twitter更快地为用户提供更好的产品和服务。另外,在过去两年中,Twitter一直在进行更多与数据和安全性相关的披露工作。
二、在Twitter发布的产品中完善隐私保护。隐私保护设计是每个产品要解决的首要问题。为了实现这一目标,Twitter将继续完善相关流程,以审查发布的产品。此过程的完善涉及信息安全、产品和隐私顾问团队以及Twitter独立的数据保护办公室。这是将继续投入的重要工作。每位新员工都要接受数据隐私、安全性和管理培训。Twitter成立了一个内部组织,称为Twitter Doves,旨在为公司中的每个人培养最佳的数据隐私、安全性和管理实践。最后,公司正在与世界各地的人们对话,以更好地了解不同文化背景的群体如何看待隐私,以及他们与公司共享信息时所具有的期望。这种反馈非常重要,因为公司建立了人们使用Twitter时想要的隐私和数据控制。
三、让公司对信任其数据保护的用户负责。Twitter已经采取了多种措施,将问责制纳入其运营。公司的数据保护官Damien Kieran每季度都会对董事会所有与隐私和数据保护的相关工作进行独立评估,以确保能够及时地讨论所遇到的任何问题和疑虑。公司将继续对数据管理组织进行投资,以便能始终核算拥有的数据、如何使用数据以及何时共享数据。为确保Twitter上的每个人都负责任,隐私和数据保护是2020年全公司优先考虑的核心,即打造能够赢得使用者信任的产品。此外,启动Twitter隐私中心可为用户提供一个中心位置,使用户可以随时了解Twitter的隐私和数据保护工作。
从Twitter的架构设计中,可以得出Twitter对于隐私保护的工作组织如下图:
整体而言,Twitter隐私治理框架的设置逻辑与Facebook在若干关键节点上有着很高的相似之处,例如强调所有公司员工对于隐私保护的参与、重视员工的隐私知识培训、设立独立的数据保护机构、设立问责制等诸多方面。
Apple(苹果)
一、苹果产品及服务的隐私保护设计
苹果公司设计产品和提供服务以保护隐私并让用户控制自己的信息为出发点。苹果公司默认根据隐私权原则设计产品和服务,并仅收集为用户提供产品或服务所需的最少数据量。公司收集数据时,仅在达到收集目的的必要时间内保留数据。隐私是在产品和服务中是从一开始就内置的,内置的隐私保护措施有以下:
(一)数据最小化。苹果公司只收集用户必要的个人数据,会尽可能处理并分析您设备上的个人数据。在需要特定个人信息的情况下,我们会尽量减少用于提供预期服务的数据量(例如在地图中搜索时的位置信息)。苹果不会针对用户在所有产品和服务中的数据资料,以提供有针对性的广告。
(二)设备的智能化。苹果通过机器学习使设备上的处理不断改善用户的体验和隐私。这种方法已用于照片应用中的设备图像和场景识别、键盘中的联想文字等。因此,用户的设备可以创建个性化体验,而不必分析苹果服务器上的个人信息。开发人员可以使用苹果公司的框架(例如Create ML和Core ML)来创建功能强大的新应用程序体验,这些体验不需要您的数据就可以离开设备。这意味着应用程序可以分析用户情绪、对场景进行分类、翻译文本、识别手写内容、预测文本、标记音乐等,而不会危及用户的隐私。
(三)透明度和控制力。苹果在收集个人数据过程中做到清楚而透明,确保用户知道如何使用其个人信息,以及如何、随时退出。数据和隐私信息屏幕可帮助用户了解苹果在登录或开始使用新功能之前将如何使用用户的个人信息。
(四)保护用户的身份。苹果公司开发了一些技术,可以在数据必须发送到苹果服务器时帮助隐藏用户的身份。用户的数据不会与Apple ID关联。公司还率先使用差异隐私来了解行为模式,同时保护个人用户的隐私。此类技术可帮助保护用户隐私的同时提供和改善服务。
(五)数据安全。每台苹果设备都配置了协同工作以实现最大安全性和透明度的硬件、软件和服务。硬件为关键的安全功能提供了支持,软件保护有助于确保操作系统和第三方应用程序的安全,服务提供了一种安全及时地更新软件的机制。苹果设备不仅可以保护静止的设备及其数据,还可以保护整个生态系统。
苹果公司还设置了业界领先的同意机制,使客户可以选择是否共享数据。设备的“设置”经过精心设计,可让用户控制数据。您可以调整共享的信息,共享的位置以及备份时间。
App Store中的每个应用都必须遵循严格的准则来保护用户的隐私,并提供有关其如何使用用户数据的自我报告摘要。应用程序必须先获得用户的许可,然后才能访问诸如照片、位置等信息。从2020年12月开始,开发人员必须自行报告他们如何使用用户数据,以及是否使用这些数据来跟踪用户。用户可以随时在App Store的应用程序产品页面上查看每个自我报告的隐私标签。同时,通过“设置”中的新应用跟踪部分,用户可以查看哪些应用已被授予跟踪的权限,用户可以更改选项,并禁止此应用以后再询问授权。
二、苹果隐私保护的公司内部架构
苹果公司采用了跨职能的隐私治理方法。隐私治理涵盖了公司的所有领域,包括客户数据和员工数据。法律团队有一名负责隐私和执法合规的高级总监,直接向Apple的总法律顾问负责。苹果公司还拥有一个隐私工程团队,与隐私法律团队和专门的产品法律顾问合作,从头开始设计产品,以保护客户的隐私,并确保只要数据在苹果的控制之下就可以采取保护措施。
苹果公司还有一个由苹果总法律顾问主导的隐私权指导委员会。其成员包括苹果机器学习和AI策略高级副总裁,以及来自互联网软件和服务、软件工程、产品营销、企业传播、信息服务和技术、信息安全,隐私法律和业务保证主管等领域的跨职能高级代表小组。隐私指导委员会为整个Apple的团队设置了隐私标准,并充当了解决隐私合规性问题的角色。
隐私指导委员会还监督由第三方代表苹果公司管理或托管其负责的数据的情况。苹果公司在聘用第三方之前会先对其进行审核,然后再通过审核和文档审查来确保这些第三方能够满足与Apple相同的安全标准。
此外,董事会的审计与财务委员会还协助董事会监督和监控隐私和数据安全。
苹果公司的员工都必须接受年度商业行为培训,隐私培训是商业行为培训的重要组成部分。公司要求有权访问客户数据和个人信息的员工每两年接受一次额外的隐私和安全培训课程,或者根据最新法律(例如GDPR和CCPA)进行培训。对于处理或可以访问大量数据、敏感个人信息或当地法律有特别要求的员工,每个团队还会为他们提供额外量身定制的隐私和安全培训。
公司会对主要产品和服务进行隐私影响评估(PIA),并在开发新产品和服务时整合PIA。审查包括评估是否有决策依赖算法系统,以及决策对个人及其权利的影响。在PIA流程中,还将全面评估所有收购活动的隐私惯例。
苹果还定期与全球范围内的民间社会代表进行接触,讨论各种隐私和表达自由问题。
三、苹果关于数据安全事件响应机制
苹果公司当意识到经历了可能会影响用户个人信息的数据安全事件时,将设立专门的团队来调查和了解发生的情况并确定应采取的措施。如果发现任何影响,公司将立即予以解决,并确定补救措施。
公司在适用法律、法规、行业规范以及苹果公司对隐私所有既定承诺的背景下分析这些事实,以确定是否应通知受影响的个人或监管机构等其他相关方。
Google(谷歌)
Google 致力于为用户的业务以及为每一个人保证数据安全。因为数据隐私对于用户的业务是至关重要的,因此Google向用户提供数据保护指南和工具。
Google在以下五个方面进行了努力以保障用户数据安全。
一、 合规。
Google致力于保持合规,这也让用户合规运营。为此Google定期接受第三方审计、维护认证、提供行业标准的合同保护并且分享可以用于加强商业合规的工具和信息。
(一) 保持用户的信息安全、私密是Google最高优先的事项之一
多年来,Google与世界各地的数据保护机构密切合作,并进行了在这些机构指导下的有力隐私保护。其包括以下内容。
1. 鲁棒的安全措施。
Google认为其完全有能力满足适用数据保护法律的安全要求。Google的服务有强大的、最先进的技术和组织保障措施、专门的安全和隐私团队支持,Google的项目每年由第三方审计机构审查。
2. 事故响应。
Google将根据协议中的数据事件条款,及时通知用户涉及的数据事件。Google维护并继续投资于先进的威胁检测和避免技术,以及严格的24/7事件管理程序,以帮助用户毫不延迟地识别和响应安全或隐私事件,并提供可用信息。
3. 用户透明。
数据如何在Google的广告产品中使用是透明的。Google要求用户允许使用数据来个性化推荐广告,并通过“Why this ad”功能提供实时数据使用的透明度。Google对如何在safety.google.com和隐私政策中使用数据提供了详细的解释。Google还为用户提供了在Google帐户中保存的关于他们的数据的透明度,用户可以查看和管理他们的数据、隐私和安全设置。用户可以进入他们的广告设置来控制使用数据的广告个性化和Google显示的所有广告,包括在Google营销平台产品。作为Google持续承诺的一部分,其已经更新了Google的账户创建体验,让用户可以选择在他们的账户中保存什么数据。
4. 隐私实践。
Google从早期阶段就已经有了将隐私纳入产品的流程,其也在不断改进Google的实践,包括数据保护影响评估,以满足全球范围内不断变化的要求,包括GDPR中关于“设计隐私”和“默认隐私”的要求。
5. 广告数据保留政策。
Google会随时更新广告数据保留政策,并对产品做出改变,以统一数据保留的做法。
(二) 数据保护法律合规
隐私监管规则一直在变化。Google知道用户需要选择符合所有数据保护法律的产品,并以符合法律的方式使用个人数据。因此Google针对GDPR、LGPD和CCPA等不同法域的监管规则都采取了合规措施。
(三) 审计和认证
与Google共享的任何数据都受到保护。Google产品的安全控制定期审计符合国际标准,以确保所有个人信息的处理安全和负责任。此外,Google的管制措施至少每两年由独立的第三方审核一次。其认证标准包括:ISO 27001、ISO 27017、ISO 27018、ISO 27701、SSAE16/ISAE 3402、FedRAMP、PCI DSS。
二、 产品控制
数据对用户的业务很关键,因此以正确的方式对其进行管理是至关重要的。无论用户使用Google的哪种产品和服务,Google承诺用户都可以控制其所共享的信息,包括但不限于YouTube、Android Auto、Google Marketing Platform、Google Cloud Platform and Google Pay。
与Google共享的任何商业敏感数据(如cookie列表和转换数据)都将按照严格的使用指南进行处理。当Google发布任何基准、行业队列报告或产品统计数据时,这些数据都是基于公开的或汇总的数据——这意味着除非用户给予许可,否则不会以其他方式使用该数据确定用户的业务。如果用户使用多个产品,则可以将它们连接起来,并将数据从一个共享到另一个,所有的数据将遵循适用于连接产品最广泛的使用指南。
Google将其产品分为了三类:
1. 保持业务数据的独立
除非用户选择共享,Google将此类产品的数据与其他产品分开。这包括以下产品:Google Marketing Platform、Google Cloud Platform、G Suite、Google Pay、Android TV、Android Enterprise。
2. 让用户可以选择分享数据以获得新的视角
为用户设计的此类产品可以共享数据,以获得更多的数据,从而帮助用户有新的观察视角并提高性能。这包括以下产品:Google Ad Manager、Google Analytics & Google Analytics 360、Play apps。
3. 依赖Google数据的产品,较少使用用户个人分享数据
产品利用Google聚合的大数据和算法——仅从用户处获得有限的数据。这包括以下产品:Google Ads、Google Adsense、YouTube、Android Auto。
三、 数据安全
(一) 使用最先进的技术保护数据
采取主动保护数据的措施意味着Google所做的每一件事都要考虑到安全和隐私。Google不断投资于各种方式,以加强每一个企业的安全,并与世界分享Google的技术创新——使互联网成为每个人更安全的地方。
(二) 建立层层防御
1. 保护数据完整性的物理安全
Google将数据分布在多个数据中心,因此在发生火灾或其他灾难时,数据可以自动转移到稳定的受保护地点。每个数据中心都受到全天候的监控和保护,使用生物识别和激光监控等措施对访问进行严格控制。
2. 以安全为核心的定制硬件
安全从硬件开始。Google创建了流程来帮助确保硬件的安全性,包括审查合作的供应商,设计定制芯片,并采取措施来识别和验证合法Google设备。这个基础使Google能够在各个层面提供安全保障。
3. 加密以保持数据的隐私和被保护
加密技术为Google的服务带来更高的安全性和私密性。当用户创建的数据在其设备、Google服务以及数据中心之间移动时,它受到HTTPS和传输层安全(Transport Layer security)等安全技术的保护。Google还默认加密静止和传输中的电子邮件,默认加密身份cookie。
四、 引领负责任的创新
(一) Google承诺用户的隐私是被负责任的数据实践所保护的
Google致力于负责任地处理数据,并通过严格的协议和创新的隐私技术保护用户的隐私。
1. 隐私审查
每一个产品的开发都遵循严格的隐私协议。隐私是Google构建产品的核心,严格的隐私标准指导产品开发的每个阶段。每个产品和功能都遵循这些隐私标准,这些标准是通过全面的隐私审查实现的。
2. AI伦理与原则
人工智能在帮助解决具有挑战性的问题方面具有巨大潜力,包括通过推进医学、理解语言和促进科学发现。要实现这一潜力,关键是要负责任地使用和开发人工智能。为此,Google建立了指导Google人工智能应用的原则,与Google之外的社区分享Google工作的最佳实践,以及工作的运行程序。
(二) 帮助使在线世界更安全
为所有人创造技术意味着保护所有使用它的人。Google致力于建立和分享隐私和安全技术,以保护Google的用户和推动行业向前发展。
1. 差分隐私
帮助组织使用差分隐私匿名化数据。差分隐私是一种先进的匿名化技术,它允许Google在不损害用户匿名性的情况下从数据中获得分析内容。Google花了十多年的时间建立了世界上最大的不同隐私算法库,Google开放了这个库,以帮助其他组织轻松地将同样的隐私保护应用到他们的数据上。
2. 联邦学习
开发有帮助的产品和保护隐私是同步进行的。联邦学习是Google首创的一种数据最小化技术,它训练机器学习模型,为Google的许多有用功能提供支持,比如单词预测。这种新方法通过Google的产品中提供有益的体验,同时将用户的个人信息保存在其的设备上,从而帮助保护用户的隐私。
3. 隐私交集和计算
帮助组织在不收集数据的情况下能做得更多。隐私交集和计算既确保了个人的安全,又允许组织精确地计算并从汇总统计数据中获得有用的见解。通过更广泛地共享技术,Google希望这能扩展安全计算的使用案例。Google将继续投资新研究,推动创新,保护个人隐私,同时从数据中获得有价值的见解。
五、 资源
帮助用户负责任地管理数据的资源。Google提供培训、免费分析工具和开源隐私技术,帮助企业更有效、更负责地理解和管理数据。Google还强调研究、分享见解,并确定可以用来激发变革想法的关键趋势。
用户隐私是WhatsApp的最高优先事项。WhatsApp认为他的使命是通过设计一款简单而私密的产品来私密地连接世界。其强调无论用户是给朋友或家人发送私人信息,还是与公司发短信,用户的通信都是安全的,用户都在控制之中。具体涵盖以下主要方面——
一、 用户的隐私保护是自动的
1. 端到端加密
端到端加密聊天中的对话都清楚地标注了一条黄金消息;这些信息和电话只有用户知道,其他人不能阅读或收听它的内容,甚至包括WhatsApp。
2. 信息存储在你的设备上
用户的信息属于用户自己。这就是为什么用户的信息存储在用户的手机上,而WhatsApp不与广告商分享信息。
二、 用户控制自己的隐私
WhatsApp可以简单地理解和定制用户的隐私和安全。
1. 群体隐私设置
选择是否每个人、所有联系人或只有一些联系人可以添加该用户到一个群聊。
2. 两步验证
两步验证是一个可选的功能,为用户的WhatsApp帐户增加了更多的安全性。当用户启用两步验证时,可以选择输入电子邮件地址。这允许WhatsApp向用户发送电子邮件,其中包括重置链接,以防用户忘记PIN,也有助于保护帐户。为了帮助用户记住PIN, WhatsApp将提示用户定期输入PIN。
3. 给WhatsApp上锁
启用Touch ID, Face ID或Android指纹锁来保护用户的WhatsApp。
4. 阅读收据
选择联系人是否可以查看用户是否阅读了他们的消息。
5. 最后一次看到
选择只有你的联系人、所有人或者没有人可以看到你最后一次打开WhatsApp的时间。
6. 档案照片隐私
决定是只有联系人、所有人还是没人可以看到你的头像。
7. 身份隐私
选择谁可以看到你的状态更新。
三、 致力于保护用户安全
WhatsApp提供了一系列的工具、功能和资源,以帮助用户做出明智的决定,并保持用户的通信安全和安全。
其中包括:
1. 自定义用户Android | iPhone上的隐私功能
2. 阻止(拉黑)用户
3. 报告垃圾邮件
4. 负责任地使用WhatsApp
5. 限制错误信息地传播
四、 数据透明度
WhatsApp致力明确哪些信息是隐私的,哪些信息是其收集并与母公司Facebook共享的。WhatsApp分享的信息帮助其提供最好的用户体验和提高安全性。
Microsoft(微软)
微软信任中心
(Microsoft Trust Center)
Microsoft信任中心展示了Microsoft在云服务中维护数据完整性的原则。 Microsoft信任中心从安全、隐私、合规性和透明度等方面支持所有 Microsoft 云产品和服务。信任中心是“Microsoft 受信任云计划”的一部分,并将为“Microsoft法律和合规性社区”的建立提供支持和资源等帮助。具体来说,Microsoft信任中心是一个负责支持进行政策合规、安全需求和风险管理相关操作的组织,它可以识别出现的新风险以及找到已知风险和风险应对措施。
信任中心可以提供以下服务:
1. 有关 Microsoft 云产品的安全性、隐私、合规性产品、策略、功能和实践的详细信息。
2. 每个主题的其他资源。
3.安全、隐私和合规相关的资讯,比如通过博客形式,以及近期安全活动的介绍。
对于外部企业、组织中负责安全、隐私和合规方面的工作人员,信任中心是一个很好的学习资源。 这些人可能包括其他公司内部的业务经理、风险评估和隐私专员以及法律合规性团队。
Microsoft 信任中心的具体职能如下:
一、安全性
在信任中心负责的安全性方面,其主要在安全解决方案、产品安全、运营安全、协同合作伙伴和安全知识资源提供进行工作和服务。
二、隐私
在信任中心负责的隐私方面,其主要在数据控制、数据位置、数据保护和数据捍卫四个方面进行工作,另外其还有数据管理、GDPR和隐私知识资源提供方面的服务。
在隐私方面,Microsoft有以下六个原则:
1. 掌控: Microsoft将通过向用户提供便捷的工具和清晰的选择方式来帮助用户控制自己的隐私信息。
2. 透明化: Microsoft将公开对用户的数据收集和使用情况,以便用户能够选择和思考如何管理的自己的隐私信息。
3. 安全性: Microsoft将通过有力的安全保障措施和数据加密措施来保护其处理、储存的用户数据。
4. 有力的法律保护: Microsoft将尊重用户所在地与隐私相关的法律法规,并将法律保护的隐私作为一项基本人权来为所有的用户充分保护。
5. 禁止基于广告内容的定向投放: Microsoft禁止使用用户的电子邮件、聊天记录、文件或其他个人信息来个性化投放广告。
6. 用户的利益: 当Microsoft收集数据时,用户将可以受益于Microsoft的数据处理,从而获得更好的使用体验。
三、合规性
在信任中心负责的隐私方面,其主要在产品/服务的合规、国际和地区的合规、云服务的尽职调查清单以及其他辅助功能方面进行工作和服务。
微软良好实践之一:
欧盟DPO设置运行情况
(The operation of the EU Data Protection Officer's setting)
Microsoft 已指定了一名欧盟数据保护官 (DPO) 作为 Microsoft 工程和业务组的独立顾问。DPO可以帮助确保所有有关个人数据的处理都符合欧盟法律的要求以及 Microsoft的内部企业标准。
一、资格
Microsoft的DPO职位要求候选人至少具有七年的专业数据保护经验,或者10年的数据保护、数据安全和企业风险管理的综合经验。另外,候选人还必须在国际数据保护法律和实践方面具有丰富的专业知识。只有这样才能胜任Microsoft的DPO职位。
二、职位性质
DPO在企业内部可以参与个人数据保护相关的任何关键问题处理。给予DPO这样的职权,其部分原因是DPO 在对Microsoft所生成的所有数据保护影响评估 (DPIA) 的审查和建议中所担任的重要职责。DPIA计划需要通过获取 Microsoft 处理的所有个人数据来进行评估,因此DPO 获得了跨公司所有部门的全局观察机会。在此过程中,DPO需要根据Microsoft在处理个人数据时对GDPR规定义务的履行情况给予通知和建议。这一机制还允许 DPO 审查Microsoft对数据保护法规的遵循情况(包括GDPR以及Microsoft内部策略和控制)。
三、DPO的职责
欧盟 DPO 直接向 Microsoft 首席隐私官(同时也是Microsoft 企业和法律事务部的高级主管)报告。DPO 这一职位具有相当的自主权,可以以独立地行使职能。在首席隐私官团队中,DPO可以根据需要接受培训以及获取客户的响应资源用以行使DPO的职能。DPO通过签署保密协议保证对其任务的保密。
微软良好实践之二:
Microsoft Office 365中的数据治理
(Data Governance in Microsoft Office 365)
Office 365提供了一组工具,这可以保护用户的业务数据免受安全威胁、潜在的意外泄漏或删除,还可以帮助降低数据保留和完整性以及合规性的其他风险。数据治理工具位于Microsoft软件产品中Office 365平台的安全与合规中心中。
Microsoft Office 365 在数据管理中的主要优势:
1. 一组功能即可轻松评估和管理产品的合规性
Microsoft Cloud服务允许用户使用Office 365 Compliance Manager评估合规风险并加强数据保护。 Compliance Manager可以在数据治理行动中进行持续地风险评估、可行性分析和简化的合规行动。用户可以通过“服务信任门户”获取有关数据保护和合规的进一步信息。
2. 更便捷的数据处理管理,全生命周期的敏感数据保护
Microsoft Office 365实施了全面的数据治理项目,该项目将自动对公司所有连接的设备、云服务和应用程序中的重要数据进行分类和保护。Microsoft Office 365使用了应用加密、访问和保留规则以及其他治理策略,从而可以帮助用户确保数据合规、数据能受到保护以及数据的质量。
3. 利用AI快速有效响应监管机构要求以及其他更多合规要求
使用Microsoft Office 365强大的电子数据展示功能,即使在非结构化的数据中,也可以找到模糊的相关法律信息。Office 365全面的活动API和审核工具,可以帮助用户轻松获取与其业务数据活动相关的深入分析。
