2024年3月11日,欧洲数据保护监督机构(EDPS)发布了一份新闻稿,指出欧盟委员会在使用Microsoft 365时违反了欧盟的数据保护规定。调查起始于2021年5月,旨在验证欧盟委员会是否遵守了EDPS之前发布的有关使用微软产品和服务的建议。
在该案例中,核心问题在于微软如何处理其云服务用户的数据及其相关的数据跨境活动。EDPS对该案件的调查起始于欧美隐私盾协议被废除后的2021年5月,持续到2024年8月,这期间经历了欧美在2023年7月达成新的跨大西洋数据跨境传输协议。也就是说,在 EDPS 调查欧盟委员会对 Microsoft 365 使用情况的大部分时间里,欧盟没有就从欧盟到美国的数据传输达成任何协议,但Microsoft 365 的使用通常会导致数据流回微软在美国的服务器。
本文梳理了EDPS所披露的欧盟委员会在该案件中涉及的主要违规行为及其纠正措施。对于其他类似的云服务产品提供商而言,这些内容也对他们的跨境业务开展也极具参考价值。
违规行为
1. 目的限制
A. 欧盟委员会未能在与Microsoft Ireland签订的“2021年机构间许可协议”(2021 ILA)充分确保:
每项数据处理目的所收集的个人数据类型,以使得处理目的清晰明确;
协议所允许Microsoft收集个人数据的目的是清晰和明确的;
哪些类型的个人数据将用于哪些目的,并对开展的处理活动提供充分清晰的书面指示。
B.未能确保Microsoft仅根据欧盟委员会的书面指示处理个人数据。
C. 未能评估进一步处理的目的是否与最初收集个人数据的目的相符合;
D. 未能评估将个人数据传输至位于欧洲经济区的Microsoft Ireland及次级处理者(包括关联公司)是否在公共利益的特定目的上是必要和相称的。
2. 将个人数据转移到欧盟/欧洲经济区之外
A.欧盟委员会未能在与Microsoft Ireland签订的“2021年机构间许可协议”(2021 ILA)清楚地规定哪些类型的个人数据可以转移到哪些第三国的接收方,以及为了哪些目的,且未向Microsoft提供相关的书面指示。
B. 欧盟委员会未能提供适当的保障措施,确保转移的个人数据享有与欧洲经济区基本相等的保护水平:
未在跨境转移开始前或之后评估将向哪些第三国的接收方转移哪些个人数据以及为了哪些目的,因而未获取确定“是否需要采取补充措施以确保基本相等保护水平”以及“是否存在可实施的有效补充措施”所需的最低限度的信息;
未对在美国充分性决定生效前发生的数据跨境转移实施有效的补充措施,未能证明存在此类措施,违反了Schrems II判决。
C.欧盟委员会未能在向Microsoft Corporation的跨境转移中清晰地映射拟开展的跨境转移活动,进行转移影响评估,并在标准合同条款(SCC)中涵盖适当的保障措施。
D.未获得EDPS对从欧盟委员会向Microsoft Corporation的跨境转移的SCC的授权。
E. 未能确保数据跨境转移仅为数据控制者(即欧盟委员会)所被允许职责范围内的任务得以执行。
3.未经授权披露个人数据
A. 在欧盟或成员国法律要求数据处理者不根据数据控制者的书面指示处理个人数据的情况下,处理者应告知数据控制者。欧盟委员会未能确保:对于在欧洲经济区内处理的个人数据,除非在欧盟或成员国法律禁止通知的情况下,数据处理者应在此等处理活动开始之前向欧盟委员会披露;并且,对于在欧洲经济区外处理的个人数据,任何禁止此类通知的规定都构成民主社会中必要和相称的措施,尊重宪章所承认的基本权利和自由的本质。
B. 未能实施有效的技术和组织措施,以确保在欧洲经济区内按照诚信和保密原则进行处理;且未能在欧洲经济区外采取有效的技术和组织措施,确保跨境转移的数据享有与欧洲经济区基本相等的保护水平。
纠正措施
对于上述违规行为,EDPS对欧盟委员会提出了以下纠正措施:
1. 从2024年12月9日起,欧盟委员会必须暂停所有因使用Microsoft 365而向Microsoft及其位于未受覆盖的第三国家的关联公司和次级处理者的数据流动,并且必须证明该暂停行为得到有效执行。
2.对因使用Microsoft 365而产生的数据处理活动采取合规措施,并在2024年12月9日之前证明合规措施的实施。这些合规措施包括:
A. 进行数据跨境转移映射分析,确定向第三国的哪些接收方传输了哪些个人数据,用于哪些目的以及受到哪些保障措施的约束,包括再转移。
B. 确保所有向第三国的数据跨境转移的目的仅限于数据控制者执行所被允许的职责范围内的任务。
C.通过订立合同条款及其他组织和技术措施,确保:
所有个人数据均是为明确的指定目的收集的;
已充分确定与处理目的相关的个人数据类型;
Microsoft或其关联公司或次级数据处理者的任何处理活动均仅根据欧盟委员会的记录指示进行,除非在欧洲经济区内的处理活动需要依据欧盟或成员国法律,或在欧洲经济区外的处理需要依据确保了与欧洲经济区中基本相等保护水平的第三国法律,且这些法律也适用于Microsoft或次级数据处理者;
任何个人数据都不得以与收集数据的目的不一致的方式进一步处理;
向位于欧洲经济区的Microsoft Ireland或其关联公司和次级数据处理者的任何传输都符合《2018/1725/欧盟法规》第9条;
对于在欧洲经济区内处理的个人数据,只有欧盟或成员国法律可以禁止向欧盟委员会通报要求披露的请求;对于在欧洲经济区外处理的个人数据,任何禁止此类通报的禁令均构成民主社会中必要和相称的措施,尊重宪章所承认的基本权利和自由的本质;
除非在欧洲经济区内的个人数据处理获得需要根据欧盟或成员国的法律要求披露,否则Microsoft或其次级数据处理者不得披露个人数据;对于在欧洲经济区外处理的个人数据,只有第三国法律要求披露,且该法律确保了与欧洲经济区中基本相等的保护水平,并适用于Microsoft或其次级数据处理者时,方可披露。
参考资料:
https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf
https://techcrunch.com/2024/03/11/edps-microsoft-365/
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。