繼續套用至所有歐盟資料邊界服務的資料傳輸

在某些情況下，Microsoft 會繼續將資料傳輸到歐盟資料邊界之外，以滿足雲端服務的營運需求，其中儲存在歐盟資料邊界中的資料會由位於歐盟資料邊界外的人員遠端存取，而客戶使用歐盟資料邊界服務會導致資料傳輸出歐盟資料邊界，以達到客戶所要的結果。 Microsoft 確保在歐盟資料邊界之外的任何客戶資料和假名個人資料傳輸受到服務合約和產品檔中詳述的安全性保護措施所保護。

遠端存取在歐盟資料邊界中儲存和處理的資料

Microsoft 雲端服務是由世界各地的專家團隊所建置、營運、保持安全且持續維護，為客戶提供最高等級的服務品質、支援、安全性和可靠性。 此模型 (稱為 Microsoft DevOps 模型) 讓開發人員和營運人員同時合作，以持續地建置、維護及提供服務。 本節說明 Microsoft 如何將客戶資料和假名個人資料的遠端存取最小化，並在需要時限制這類存取。

Microsoft 採用多重重處理方法來保護客戶資料，避免 Microsoft 人員未經授權存取個人資料，這包括 Microsoft 及其子公司的員工，以及協助 Microsoft 員工之協力廠商組織的合約員工。 若要存取客戶資料或假名的個人資料，Microsoft 人員除了運用多重要素驗證做為 Microsoft 標準安全性需求的一部分，還必須具備良好的背景檔案檢查。

當 Microsoft 人員需要從歐盟邊界外部存取儲存在歐盟資料邊界內 Microsoft 系統的客戶資料或假名的個人資料時， (視為根據歐洲隱私權法傳輸資料，但資料仍保留在歐盟資料邊界的 Microsoft 資料中心基礎結構內) 我們仰賴確保這種類型的傳輸安全的技術， 在遠端存取點使用受控存取，且沒有持續性儲存空間。 當需要進行這樣的資料傳輸時，Microsoft 會使用最新狀態加密來保護待用和傳輸中的客戶資料和假名化的個人資料。 如需詳細資訊，請參閱 加密和金鑰管理概觀。

Microsoft 如何保護客戶資料

我們設計我們的服務和程式，以最大化 DevOps 人員執行服務的能力，而不需要存取客戶資料、採用自動化工具來識別及修復問題。 在極少數情況下，如果服務已關閉或需要修復而無法透過自動化工具運作，授權的 Microsoft 人員可能會需要遠端存取儲存在歐盟資料邊界內的資料，包括客戶資料。 沒有客戶資料的預設存取權;只有當工作需要時，才能存取 Microsoft 人員。 客戶資料的存取權必須適合用途、必須限制為達成適當目的所需的客戶資料數量和類型，以及目的只能透過此層級的存取來達成。 Microsoft 會使用即時 (JIT) 僅在達到該目的所需的時間內授與訪問核准。 Microsoft 也仰賴 RBAC) (角色型存取控制，其中個別存取受到嚴格要求限制，例如一或多位主管必須具備的知情原則、強制連續訓練和監督。

可從安全系統管理工作站 (SAW) 存取客戶資料的 Microsoft 人員。 SAW 是一種功能有限的電腦，可降低遭受惡意程式碼、網路釣魚攻擊、假名網站和 Pt) H (攻擊的風險，以及其他安全性風險，並啟用旨在讓資料外泄變得困難的問題。 例如，使用 SAWs 的 Microsoft 人員已限制這類裝置上的網際網路存取，而且無法存取外部或卸載式媒體，因為 SAW 實作會封鎖這些功能。 Microsoft SAW 和高風險環境計畫在2022 年、2020年和2019年從 csoonline.com 獲得CSO50獎項。

除了先前所述的控制項之外，客戶可能會啟用客戶加密箱，為許多 Microsoft 雲端服務建立其他存取控制。 客戶加密箱功能的實作會依服務而稍有不同，但客戶加密箱通常會確保 Microsoft 人員在未經客戶明確核准的情況下，無法存取客戶資料以執行服務作業。 請參閱Office 365 中的客戶加密箱、Microsoft Azure 的客戶加密箱和Power Platform 中的客戶加密箱，Dynamics 365取得客戶加密箱作用中的範例。

Microsoft 也會記錄和監控客戶資料的存取。 Microsoft 會執行定期稽核以檢閱並確認存取管理措施符合原則需求，包括 Microsoft 的承諾。

Microsoft 如何保護系統產生的記錄檔中假名的個人資料

目前，若要存取儲存在歐盟資料邊界中的虛擬個人資料，Microsoft 人員可能會使用 SAW 或虛擬桌面基礎結構 (VDI) 。 使用 SAW 存取虛擬化個人資料時，也適用前一節所述的 SAW 特定安全性措施。 使用 VDI 存取歐盟資料邊界中假名的個人資料時，Microsoft 會強制執行存取限制，為數據存取提供安全環境。 與 SAW 一樣，VPI 上允許的公用程式清單受到限制，而且在通過 VPI 認證之前，必須經過嚴格的安全性測試才能執行。 使用 VDI 時，歐盟資料邊界中的假名個人資料會透過裝載于歐盟資料邊界實體電腦上的虛擬機器存取，且不會在歐盟資料邊界以外保留任何資料。

根據我們的標準原則，會禁止大量傳輸歐盟資料邊界以外的資料，而且 VDI 使用者只能存取預先核准的 URL 目的地。 此外，使用 VDI 環境的 Microsoft 人員對位於歐盟資料邊界的實體電腦沒有系統管理存取權。

如需保護客戶資料及假名個人資料之技術的詳細資訊，請參閱下列資源：

• 使用安全的系統管理工作站保護高風險環境
• 使用受保護的虛擬機器來協助保護高價值資產
• Microsoft 用來保護 Azure 平臺的四種操作做法
• Microsoft 365 服務工程師存取控制
• VDI) (虛擬桌面基礎結構是什麼？

客戶啟動的資料傳輸

將客戶當做服務功能的一部分起始轉移客戶

歐盟資料邊界並不會干擾或限制客戶使用本公司服務時所預期的服務結果。 因此，如果客戶系統管理員或使用者在從歐盟資料邊界起始資料傳輸的服務中採取動作，Microsoft 不會限制此類客戶發起的傳輸不會發生;這麼做會中斷客戶的一般商務營運。 在歐盟資料邊界以外進行使用者啟動的資料傳輸可能會因為各種原因而發生，例如：

• 使用者存取儲存在歐盟資料邊界內的資料，或在歐盟資料邊界區域以外與服務互動。
• 使用者選擇與其他實際位於歐盟資料邊界以外之使用者通訊。 例如，傳送電子郵件或簡訊、初始 Teams 聊天或語音通訊，例如公用交換電話網路 (PSTN) 通話、語音信箱、跨地理位置會議等。
• 使用者設定服務，將資料移出歐盟資料邊界。
• 使用者選擇合併歐盟資料邊界服務與其他 Microsoft 或協力廠商方案，或連線體驗，但須遵守適用于歐盟資料邊界服務 (條款的不同條款，例如使用 Microsoft 365 應用程式所提供的選用 Bing 支援體驗，或使用可用的連接器將來自歐盟資料邊界服務內的資料同步處理至使用者在提供者以外的帳戶Microsoft) 。
• 客戶系統管理員選擇將歐盟資料邊界服務連線到 Microsoft 或協力廠商提供的其他服務，這些其他服務受限於適用于歐盟資料邊界服務 (的條款，例如設定 EU 資料邊界服務以傳送查詢至 Bing，或建立歐盟資料邊界服務與 Microsoft 以外的提供者所託管的服務之間的連線客戶也有帳戶) 。
• 使用者從在 Teams 市集 (歐盟資料邊界服務內展示的應用程式商店取得並使用應用程式，例如) ，該應用程式受限於與歐盟資料邊界服務相關條款分開的條款，例如應用程式提供者的終端使用者授權合約。
• 組織會要求或訂閱專業安全性服務，其中 Microsoft 會以遠端 安全性作業中心 容量執行，或代表 (以及作為組織安全性群組) 一部分執行分析。

全球通用的 GDPR 資料主體權利要求

Microsoft 已實作系統，讓我們的客戶能夠根據一般資料保護規定 (GDPR) (， (DSR) 回應資料主體權利要求，例如，在客戶判定適當的情況下，針對 GDPR) 第 17 條要求刪除個人資料，這些系統也適用于全球的客戶。 為了讓客戶能夠維持 GDPR 合規性，必須全域處理包含使用者識別碼的 DSR 訊號，以確保按照要求刪除或匯出與資料主體相關的所有資料。 當我們的客戶判斷資料刪除是適當的，以回應要求刪除其個人資料的資料主體時，所有與該資料主體相關的個人資料都必須在歐盟資料邊界內外的所有 Microsoft 資料存放區中找到並刪除。 同樣地，當客戶系統管理員提交匯出要求時，Microsoft 必須匯出至客戶系統管理員指定的儲存位置，即使超出歐盟資料邊界，該資料主體的所有個人資料也一樣。 如需詳細資訊，請參閱 GDPR：資料主體要求 (DSR) 。

專業服務資料

當客戶在與 Microsoft 接洽支援或付費諮詢服務的過程中向 Microsoft 提供資料時，該資料即為專業服務資料，如 Microsoft 產品與服務資料保護附錄 (DPA) 中所定義。 專業服務資料目前儲存在美國型 Microsoft 資料中心。

Microsoft 人員在進行支援時對專業服務資料的存取權僅限於視需要運用安全性與驗證控制措施的核准支援管理系統，包括雙因素驗證和虛擬化環境。 其他 Microsoft 人員只能透過提供必要的商務理由和主管核准，來存取與特定預訂相關聯的專業服務資料。 資料會在傳輸過程中和其餘時間加密。

客戶參與的小組可存取在付費諮詢期間所提供、取得及處理的專業服務資料，以提供購買的服務。 目前正在努力讓歐盟客戶指定其專業服務資料應在歐盟資料邊界中儲存及處理。

保護客戶

為了防範全球網路安全性威脅，Microsoft 必須在全球執行安全性作業。 若要這麼做，Microsoft 會根據 安全性作業) 歐盟資料邊界以外有限假名化的個人資料，以及在少數情況下的客戶資料受到限制，傳輸 (。 惡意行為者正在全球運作、啟動地理分散式攻擊、使用協調的隱身和避開偵測。 跨地理邊界分析關聯式威脅資料可讓 Microsoft 安全性服務提供高品質的自動化安全性偵測、保護和回應來保護客戶。

此跨邊界分析的結果摘要多個保護案例，包括提醒客戶惡意活動、攻擊或嘗試違反。

擁有強大的安全性保護，使客戶和運算生態系統都受益，並支援客戶資料、假名個人資料和重要基礎結構的安全性法規義務。 與 GDPR 和歐盟基本權利合約一致，Microsoft 的做法可藉由促進隱私權、資料保護和安全性來提供價值。

針對安全性作業而傳輸的有限客戶資料和假名的個人資料存取權僅限於 Microsoft 安全性人員，且使用方式僅限於安全性目的，包括偵測、調查、減輕及回應安全性事件。 傳輸的客戶資料和假名的個人資料會透過加密和存取限制受到保護。 如需有關 存取歐盟資料邊界中儲存及處理之資料 的詳細資訊，請參閱本文稍早所述。

Microsoft 透過使用跨邊界訊號所提供的用戶端功能範例包括：

• 為了防範複雜的現代化安全性威脅，Microsoft 仰賴其進階分析功能，包括人工智慧來分析匯總安全性相關資料，包括活動記錄檔，以防範、偵測、調查、回應和補救這些攻擊。 有限的客戶資料和全域合併假名的個人資料，可用來建立統計摘要，以減少誤判的結果、提升有效性，並建立唯一的機器學習模型，以在幾乎即時時進階偵測已知和未知的威脅。 全域模型可讓我們微調並啟用特定作業的自訂模型。 如果沒有全域資料的集中分析功能，這些服務的效率將會大幅降低，我們也無法保護我們的客戶，也無法提供一致的使用者體驗。
• 超階雲端可讓您在不事先瞭解特定攻擊的情況下，對安全性相關系統產生的記錄檔進行多樣化的持續分析。 在許多情況下，全域系統產生的記錄檔可讓 Microsoft 或其客戶停止先前未知的攻擊，而在其他情況下，Microsoft 和客戶可以使用系統產生的記錄來識別最初未偵測到但日後可根據新的威脅情報找到的威脅。
• 識別從多個地理區域登入單一帳戶，以偵測遭盜用的企業使用者， (稱為「無法出差」的攻擊) 。 若要防範這類案例，Microsoft 安全性產品 (和適用時，安全性作業和威脅情報小組) 處理及儲存資料，例如Microsoft Entra驗證系統產生的記錄檔，並集中跨地理位置儲存。
• 藉由匯總多個來自不同位置的惡意存取資料儲存訊號，偵測企業中的資料外流，這是惡意行為者在偵測雷達下飛出的技術， (稱為「低和慢」攻擊) 。

為了將這項工作的隱私權影響降到最低，Microsoft 的安全性威脅防護小組將系統產生的記錄檔和服務設定資訊的持續傳輸限制為偵測及調查惡意活動或入侵的早期指標。 這項假名化的資料主要儲存在美國，但可能會包含全球其他資料中心區域，以進行威脅偵測工作，如先前所述。 假名的個人資料會依照 DPA 條款和適用的合約承諾進行傳輸及保護。 In the rare instances where Customer Data is accessed or transferred as a result of security investigation, it is done so through elevated approvals and controls as set forth in the How Microsoft protects Customer Data section earlier in this article

安全性作業

Microsoft 安全性營運會使用內部服務集合來監控、調查及回應客戶日常作業所仰賴之平臺所面臨的威脅。 針對這些作業所處理的跨地理邊界虛擬化個人資料或有限的客戶資料，有助於封鎖對雲端基礎結構和 Microsoft 線上服務 的惡意嘗試。

針對安全性目的所處理的虛擬化個人資料會傳輸到全球任何 Azure 地區。 這可讓 Microsoft 的安全性作業，例如 Microsoft 資訊安全回應中心 (MSRC) ，以有效率且有效的方式，每天 24 小時、每年 365 天提供安全性服務，以有效回應全球性的威脅。 這些資料用於監控、調查及回應 Microsoft 平臺、產品和服務中的安全性事件，保護客戶和 Microsoft 免于安全性與隱私權的威脅。 例如，當 IP 位址或電話號碼經判定為用於詐騙活動時，會全域發佈該 IP 位址或電話號碼，以封鎖任何使用該 IP 位址或電話號碼的工作負載。

• 安全性分析師會存取來自全球各地位置的匯總資料，因為 MSRC 採用仿日操作模型，具備分散的專業知識和技能，可針對安全性調查提供持續監控和回應，包括但不限於下列案例：客戶識別其租使用者或訂閱中的惡意活動，並連絡 Microsoft 支援服務以協助解決事件。
• MSRC 已清楚指出 (客戶租使用者、訂閱或資源中遭到入侵的) ，並在客戶核准後通知客戶、協助調查及回應事件。
• 在調查過程中，如果發現影響客戶的隱私權事件，MSRC 會依照嚴格的通訊協定進行進一步調查，以支援通知和回應影響隱私權的事件。
• 在 Microsoft 內部安全小組之間分享威脅情報和調查詳細資料，以進行敏捷式回應和補救。

如需有關 存取歐盟資料邊界中儲存及處理之資料 的詳細資訊，請參閱本文稍早所述。

安全性威脅情報

Microsoft 威脅智慧 服務會監視、調查及回應客戶環境所面臨的威脅。 針對安全性調查所收集的資料可能會在系統產生的記錄檔中包含假名的個人資料，以及有限的客戶資料。 此資料可用來協助封鎖對客戶雲端基礎結構的惡意嘗試，並提供及時的威脅情報和向組織提供入侵的指示，協助他們提高保護層級。

針對偵測到威脅調查、偵測到 國家/地區威脅 或其他複雜行為者的惡意動作證據，Microsoft 小組會收集威脅情報，例如 Microsoft 威脅情報中心 (MSTIC) ，提醒客戶注意注意的活動。 MSTIC 可以透過從各種 Microsoft 產品和服務收集的全域合併系統產生的記錄檔和診斷資料，以及 MSTIC 人員的專家分析來識別惡意活動。

依據地理位置分散的分析師小組存取以全域整合系統產生的記錄，以利安全性之用，對於及時識別攻擊或缺口極為重要，以提供不受干擾的調查。 MSTIC 分析師擁有特定的攻擊者知識和技能，無法直接在其他地區複製，因為他們可能有特定的地區對手專長。 因此，MSTIC 分析作業必須跨越地緣政治界限，為客戶提供最高層級的專業知識。 如需存取控制的其他資訊，請參閱本文稍早所述的遠端 存取歐盟資料邊界中儲存及處理的資料 。

為客戶提供最佳的威脅智慧，MSTIC 需要運用全球訊號來處理下列情況：

• 用來達成國家情報目標的惡意國家國家/省活動。
• 在破壞性、無法復原的攻擊中使用商品惡意程式碼和作法的惡意程式碼，或是用來遮罩攻擊者的身分識別， (假標幟) ，並提供合理的刪除性。 非法財務詐騙中使用的惡意犯罪活動 (例如勒索軟體對重大資源或基礎結構) 攻擊。

預覽/試用中的服務

只有一般可用的付費 Microsoft 服務會包含在歐盟資料邊界中。 未包含預覽或免費試用的服務。

已過時的服務

截至 2022 年 12 月 31 日為止，Microsoft 已宣佈已遭取代的服務不包含在歐盟資料邊界中。 Microsoft 雲端服務遵循 新式生命週期原則，而在大多數情況下，當我們宣佈服務已遭取代時，我們也建議提供適用于歐盟資料邊界範圍的替代或後續產品。 例如，Microsoft Stream (傳統版) 是一種企業影片服務，可讓 Microsoft 365 在 SharePoint) 上由 Stream (取代。 雖然尚未宣佈Stream (傳統版) 的特定取代日期，但建議客戶在 2024 年淘汰Stream (傳統版) 。 移轉指導方針和公開預覽工具可協助客戶在歐盟資料邊界內的 SharePoint) 上移轉至 Stream (。

內部部署軟體和用戶端應用程式

儲存在內部部署軟體和用戶端應用程式中的資料不會包含在歐盟資料邊界中，因為 Microsoft 無法控制客戶內部部署環境中會發生什麼情況。 使用內部部署軟體和用戶端應用程式所產生的診斷資料，也不會包含在歐盟資料邊界中。

目錄資料

Microsoft 可能會從Microsoft Entra (複製有限的Microsoft Entra目錄資料，包括歐盟資料邊界以外) 使用者名稱和電子郵件地址以提供服務。

網路傳輸

為了減少路由延遲並維持路由復原，Microsoft 會使用可變網路路徑，有時可能會導致客戶流量路由超出歐盟資料邊界。 這可能包括 Proxy 伺服器的負載平衡。

服務與平臺品質與管理

Microsoft 人員可能需要全域整合系統產生的記錄檔中的一些假名個人資料，以確保服務有效率地執行，並針對服務的即時全域品質計量進行計算和監控。 物件識別碼或主要唯一識別碼 (PUID) 等有限數量的假名個人資料，可以包含在這些傳輸中，並用來解決各種服務的操作性與管理問題。 範例包括計算受服務影響事件影響的使用者數目，以判斷其效能和嚴重性，或計算每月作用中使用者 (MAU) 和每日作用中使用者 (DAU) 服務，以確保根據此資料計算的帳單是完整且正確的。 針對 MAU 和 DAU 計算目的所傳輸的假名化個人資料只會視需要而保留在歐盟資料邊界以外，以編譯匯總分析。