避免GDPR違法疑慮，微軟修改全球企業雲端服務條款

在歐盟主管機關質疑違反GDPR後，微軟宣佈已更新全球企業的雲端服務條款，說清楚蒐集用戶資料的明確用途。

事情起於今年2月荷蘭司法與安全部評估微軟的雲端服務隱私性。當時發現，微軟的Office 365 ProPlus及Office 365在未告知並取得同意情況下，就蒐集了這些產品用戶的遙測資料，違反GDPR。8月後續研究還是發現有隱私風險，當時微軟承諾將修改服務條款。

而10月是歐盟資料保護監管機關（European Data Protection Supervisor, EDPS）介入調查，並表示初步調查結果令其對微軟雲端和歐盟境內企業和個人的雲端服務合約以及微軟作為歐盟企業資料處理者（processor）的角色，是否符合GPDR有嚴重疑慮。

微軟周一宣佈已對微軟針對商用雲端合約的線上服務條款（Online Services Terms，OST）的隱私部份完成更新，這是將微軟和荷蘭司法部間的協議修改擴大適用全球客戶。微軟隱私長Jullie Brill指出，經過更新後，其線上服務條款將提高透明度，使企業客戶了解微軟雲的資料處理行為。

微軟將更新針對全球企業客戶，涵括公部門、私部門、大型企業或中小型企業的雲端合約條款。微軟將更清楚說明，微軟擔任合約涵蓋的雲服務如Azure、Office 365、Dynamics 和Intune的資料控管者（controller），基於管理及營運目的進行用戶資料的蒐集及處理，這些目的包括帳號管理、財務報告、防制微軟所有產品或服務上的網路攻擊，以及法規義務遵循等。

微軟說，透過說明資料明確用途及微軟作為控管者，有助於釐清微軟怎麼使用資料，及符合GDPR的規定。同時間微軟仍然是其服務的資料處理者（processor），負責強化資料的安全防護。

微軟表示現在已經開始對政府及企業客戶更新OST，並預計於2020年初推向全球政府和企業客戶。

一旦被歐盟認定違反GDPR的企業將損失慘重，最高可判罰全球年營收的4%。去年9月發生網站和行動app遭駭導致大批旅客信用卡及個資外洩的英國航空，7月因違反歐盟個資法GDPR，遭英國主管機關重罰1.83億英鎊（約台幣64億元）。年初Google則因以廣告對消費者資訊透明度不足，被法國罰款5千萬歐元。