避免GDPR违法疑虑微软修改全球企业云端服务条款

示意图，与新闻事件无关。

Microsoft

在欧盟主管机关质疑违反GDPR后，微软宣布已更新全球企业的云端服务条款，说清楚蒐集用户资料的明确用途。

事情起于今年2月荷兰司法与安全部评估微软的云端服务隐私性。当时发现，微软的Office 365 ProPlus及Office 365在未告知并取得同意情况下，就蒐集了这些产品用户的遥测资料，违反GDPR。8月后续研究还是发现有隐私风险，当时微软承诺将修改服务条款。

而10月是欧盟资料保护监管机关（European Data Protection Supervisor, EDPS）介入调查，并表示初步调查结果令其对微软云端和欧盟境内企业和个人的云端服务合约以及微软作为欧盟企业资料处理者（processor）的角色，是否符合GPDR有严重疑虑。

微软周一宣布已对微软针对商用云端合约的线上服务条款（Online Services Terms，OST）的隐私部份完成更新，这是将微软和荷兰司法部间的协议修改扩大适用全球客户。微软隐私长Jullie Brill指出，经过更新后，其线上服务条款将提高透明度，使企业客户了解微软云的资料处理行为。

微软将更新针对全球企业客户，涵括公部门、私部门、大型企业或中小型企业的云端合约条款。微软将更清楚说明，微软担任合约涵盖的云服务如Azure、Office 365、Dynamics 和Intune的资料控管者（controller），基于管理及营运目的进行用户资料的蒐集及处理，这些目的包括帐号管理、财务报告、防制微软所有产品或服务上的网路攻击，以及法规义务遵循等。

微软说，透过说明资料明确用途及微软作为控管者，有助于釐清微软怎么使用资料，及符合GDPR的规定。同时间微软仍然是其服务的资料处理者（processor），负责强化资料的安全防护。

微软表示现在已经开始对政府及企业客户更新OST，并预计于2020年初推向全球政府和企业客户。

一旦被欧盟认定违反GDPR的企业将损失惨重，最高可判罚全球年营收的4%。去年9月发生网站和行动app遭骇导致大批旅客信用卡及个资外洩的英国航空，7月因违反欧盟个资法GDPR，遭英国主管机关重罚1.83亿英镑（约台币64亿元）。年初Google则因以广告对消费者资讯透明度不足，被法国罚款5千万欧元。