歐洲資料保護監管機關(European Data Protection Supervisor,EDPS)最近開始調查微軟與歐盟各組織之間的協議,以及歐盟組織所使用的微軟產品與服務,是否違反當地的資料保護規定,包括《歐盟通用資料保護規則》(GDPR)與Regulation 2018/1725。

在去年5月上線的GDPR被稱為史上最嚴格的資料保護法案,它明確規範了企業蒐集用戶資料的行為,且一旦違法,可能被判罰2,000萬歐元或企業全球營收的4%。在GDPR之後,歐洲也訂出專供歐盟政府機關使用的資料保護規定Regulation 2018/1725,Regulation 2018/1725與GDPR的內容相當一致,另也要求不管是政府機關或承包商都必須承擔合規責任。

此次EDPS的行動主要是受到荷蘭的啟發。去年荷蘭政府委託Privacy Company評估政府員工所使用的Office ProPlus(Office 2016及Office 365)對於資料保護的影響,發現微軟在未知會使用者的情況下,蒐集了大量的用戶資料,還把資料傳送到微軟的美國伺服器上。

EDPS說,任何使用微軟Office產品的歐盟組織都可能面臨同樣的問題,將替個人權利及自由帶來風險。

此外,歐盟的各組織都仰賴微軟的服務與產品來執行日常的任務,包括以它們來處理大量的個人資料,考量到此一資料處理的性質、範圍、目的與脈絡,更因採取適當的合約保障及降低風險的措施來確保它們可遵守上述法規。

上述種種都促使EDPS準備全面評估目前歐盟組織所使用的各項微軟服務與產品,以及微軟與這些組織所簽署的合約是否符合資料保護規定。

EDPS的舉動對微軟而言應該不會太意外,而且在經過與荷蘭政府的協商之後,微軟已經承諾將致力保護用戶的隱私,確保Office ProPlus及其它的微軟產品及服務都能符合GDPR及其它相關法令的規範。


Advertisement

更多 iThome相關內容