歐盟機構使用 Microsoft 365 被發現違反資料保護規則
調查結果
歐洲資料保護監督局(EDPS)對歐盟機構使用 Microsoft 365 進行了長時間調查,發現歐盟委員會在使用基於雲的生產力軟體上違反了該區塊內的資料保護規則。EDPS 表示歐盟委員會在使用 Microsoft 365 時未充分指定應收集的個人資料型別和明確的目的,未確保適當的資料出口保障措施,並違反了資料處理規則。
資料流出問題
調查發現,歐盟委員會未確保適當的安全保障措施應用於資料出口,以確保資料離開歐盟後仍具有基本相等的保護。EDPS 已命令委員會暫停因使用 Microsoft 365 導致的資料流向美國微軟及其附屬公司和非歐盟/歐洲經濟領域(EEA)國家的子處理者,並要求進行資料轉移對映演練。
合約修正
為了遵守 EDPS 的裁定,委員會必須修改與微軟的合同,確保其中包含必要的合同條款、組織措施和/或技術措施,以確保個人資料僅為明確和特定的目的收集。
技術保障
微軟在歐盟市場擴充套件資料本地化工作,為歐洲客戶提供了“微軟雲的歐盟資料邊界”。然而該技術基礎設施還在逐步推出中,且存在一些設計上的漏洞。
評論與建議
資料保護的重要性
EDPS 主任 Wiewiórowski 指出,歐盟機構有責任確保其在歐盟/歐洲經濟區內外處理個人資料時,配備堅固的資料保護措施和措施,以確保根據《歐盟規章 (EU) 2018/1725》的要求,個人訊息的保護。
資料轉移
技術上的挑戰和法規上的缺陷意味著歐盟機構面臨著在全球化環境中保護敏感資料的嚴峻挑戰。為了確保歐盟機構的合法性和聲譽,必須在技術和法律層面上加固措施,確保資料轉移和處理符合歐盟的規範。
眾說紛紜的資料安全
自去年 7 月 EU-US Privacy Shield 被廢除後,歐洲一直在尋求確保與美國之間的資料傳輸機制。EDPS 的指責暴露出歐盟機構在資料安全方面仍存在著漏洞,這需要進一步的技術升級和法律修訂。
對歐盟機構的建議
歐盟各機構應積極與微軟合作,確保其使用的雲端服務符合歐盟的資料保護法規,同時應全面評估資料轉移的風險,加固與雲端服務提供商的合作與監督,以確保資料安全。
