Các câu hỏi hàng đầu về quyền riêng tư mà khách hàng nên hỏi nhà cung cấp dịch vụ điện toán đám mây

Microsoft Office 365 cung cấp các tính năng cần thiết về quyền riêng tư cho tất cả khách hàng của Office 365. Mục đích của phần này là mô tả các tính năng về quyền riêng tư này và cách chúng đáp ứng các tiêu chuẩn cao về quyền riêng tư mà các cơ quan có thẩm quyền của Châu Âu đặt ra. Vào ngày 1 tháng 7 năm 2012, Article 29 Working Party của Liên minh Châu Âu (WP29)—một nhóm được thiết lập từ các cơ quan bảo vệ dữ liệu quốc gia —đã lựa chọn Ý kiến 05/2012 về Điện toán Đám mây. Ý kiến về Điện toán Đám mây nêu bật lợi ích của điện toán đám mây, bao gồm tính hiệu quả cao hơn và tính bảo mật lớn hơn. Trong Ý kiến này, WP29 nhấn mạnh tầm quan trọng của việc chọn nhà cung cấp dịch vụ đám mây minh bạch về cách thức bảo vệ dữ liệu và tôn trọng tính riêng tư của dữ liệu khách hàng.

Ý kiến WP29 cung cấp hướng dẫn cần thiết cho những người đang và sẽ sử dụng dịch vụ đám mây. Ý kiến này cũng nêu ra một số câu hỏi mà các khách hàng sử dụng dịch vụ đám mây với vai trò là bên kiểm soát dữ liệu nên xem xét khi chọn nhà cung cấp dịch vụ đám mây. Các câu hỏi chính về quyền riêng tư và các câu trả lời của Office 365 được mô tả tại đây.

Tài liệu tham khảo WP29: Trong Mục 4.1 (dấu đầu dòng đầu tiên bên dưới tiêu đề “Tuân thủ các nguyên tắc bảo vệ dữ liệu cơ bản”), WP29 nêu rõ rằng “nhà cung cấp dịch vụ điện toán đám mây phải thông báo cho khách hàng sử dịch vụ điện toán đám mây về tất cả các khía cạnh liên quan (bảo vệ dữ liệu) của các dịch vụ của họ…cụ thể, khách hàng phải được thông báo về tất cả các nhà thầu phụ tham gia cung cấp dịch vụ điện toán đám mây tương ứng và tất cả vị trí mà dữ liệu có thể được lưu trữ hoặc được nhà cung cấp dịch vụ điện toán đám mây và/hoặc nhà thầu phụ của nhà cung cấp đó xử lý”. Mục 3.4.1.1 (Tính minh bạch) tiếp tục nhấn mạnh tầm quan trọng của tính minh bạch trong mối quan hệ nhà cung cấp dịch vụ điện toán đám mây-khách hàng sử dụng dịch vụ điện toán đám mây.

Office 365: Microsoft cung cấp thông tin về cách thức bảo vệ tính riêng tư và bảo mật của Microsoft trong Trung tâm Tin cậy Office 365. Trung tâm Tin cậy Office 365 chứa thông tin về vị trí lưu trữ dữ liệu, những ai có thể truy nhập dữ liệu và trong những trường hợp nào và những nhà thầu phụ nào tham gia vào quá trình xử lý dữ liệu.
Tài liệu tham khảo WP29 Opinion: Mục 3.4.1.2 (Chi tiết và giới hạn về mục đích). WP29 nêu rõ là “dữ liệu cá nhân phải được thu thập cho mục đích đã được chỉ định, rõ ràng và hợp pháp và không được tiếp tục xử lý theo cách không phù hợp với các mục đích đó” và khách hàng của dịch vụ điện toán đám mây chịu trách nhiệm “đảm bảo[] là dữ liệu cá nhân không được xử lý (bất hợp pháp) cho các mục đích khác của nhà cung cấp dịch vụ điện toán đám mây”.

Office 365: Các dịch vụ điện toán đám mây dành cho doanh nghiệp của Microsoft chỉ sử dụng dữ liệu của khách hàng để cung cấp dịch vụ. Điều này có thể bao gồm việc khắc phục sự cố nhằm ngăn chặn, phát hiện và sửa chữa các sự cố ảnh hưởng đến hoạt động của các dịch vụ và việc cải tiến các tính năng liên quan đến việc phát hiện và bảo vệ trước các mối đe dọa đang xuất hiện và đang phát triển đối với người dùng (chẳng) hạn như phần mềm có hại hoặc thư rác. Office 365 không tạo các sản phẩm quảng cáo từ dữ liệu của khách hàng. Chúng tôi không quét email hoặc tài liệu của bạn để phân tích, khai thác dữ liệu, quảng cáo hoặc cải tiến dịch vụ.

Microsoft không tiết lộ dữ liệu của khách hàng cho bên thứ ba (bao gồm cơ quan thực thi pháp luật, các tổ chức chính phủ khác hoặc bên đương sự trong vụ kiện dân sự, ngoại trừ các nhà thầu phụ của chúng tôi) trừ khi khách hàng của chúng tôi yêu cầu hoặc luật pháp quy định.
Tài liệu tham khảo WP29 Opinion: Mục 3.4.1.2 (Chi tiết và giới hạn về mục đích) và Mục 3.3.1 (Máy khách điện toán đám mây và nhà cung cấp dịch vụ điện toán đám mây).

Office 365: Về mặt vật lý và lôgic, các máy chủ điện toán đám mây dành cho doanh nghiệp của Microsoft đều tách biệt với các máy chủ dành cho các dịch vụ tiêu dùng trực tuyến. Dữ liệu của khách hàng doanh nghiệp, dữ liệu trong các dịch vụ tiêu dùng trực tuyến của Microsoft và dữ liệu được tạo bằng cách hoặc nhờ hoạt động quét, chỉ mục hoặc khai thác dữ liệu của Microsoft không bị trộn lẫn với nhau trừ khi được khách hàng phê duyệt trước.
Tài liệu tham khảo WP29 Opinion: Mục 3.4.1.2 (Chi tiết và giới hạn về mục đích) và Mục 3.3.1 (Máy khách điện toán đám mây và nhà cung cấp dịch vụ điện toán đám mây).

Office 365: Microsoft không quét email hoặc tài liệu để phục vụ mục đích quảng cáo. Các dịch vụ dành cho doanh nghiệp của Microsoft duy trì, quét và chỉ mục dữ liệu của khách hàng để cung cấp các tính năng đa phương tiện cho phép khách hàng truy nhập và tổ chức dữ liệu của khách hàng. Ví dụ: người dùng cuối có thể dễ dàng tìm kiếm tài liệu của họ và nội dung khác trong Office 365.
Tài liệu tham khảo WP29 Opinion: Mục 3.4.3 (Các biện pháp kỹ thuật và tổ chức để bảo vệ và bảo mật dữ liệu).

Office 365: Về mặt lôgic, dịch vụ thương mại của Office 365 tách biệt với các dịch vụ tiêu dùng trực tuyến. Dữ liệu của khách hàng doanh nghiệp và dữ liệu trong các dịch vụ tiêu dùng trực tuyến của Microsoft không bị trộn lẫn với nhau trừ khi được khách hàng phê duyệt trước.
WP29 kết luận rằng cơ chế truyền thống để chuyển dữ liệu ra khỏi Khu vực Kinh tế Châu Âu có “các giới hạn” khi được áp dụng cho đám mây. WP29 chọn các nguyên tắc của Luật An toàn Cảng đồng thời khuyên các khách hàng sử dụng dịch vụ điện toán đám mây rằng “chỉ có cam kết của nhà nhập khẩu dữ liệu về các nguyên tắc của Luật An toàn Cảng thì có thể không được coi là đủ” để chuyển dữ liệu tới các nhà cung cấp ở Hoa Kỳ. WP29 cũng nhắc nhở khách hàng sử dụng dịch vụ điện toán đám mây về sự cần thiết phải đảm bảo tuân thủ mọi nghĩa vụ theo luật quốc gia có thể được áp dụng.

Office 365 cung cấp bản thỏa thuận bảo vệ dữ liệu toàn diện (DPA) và cung cấp Các điều khoản Mẫu của Liên minh Châu Âu ngoài sự tự xác nhận theo khuôn khổ của Luật An toàn Cảng Hoa Kỳ - Liên minh Châu Âu. Mặc dù Các điều khoản Mẫu của Liên minh Châu Âu được tạo riêng cho khách hàng của Liên minh Châu Âu, PDA tổng hợp các cách thức bảo vệ quyền riêng tư hữu hiệu nhất của các quốc gia khác nhau và được cung cấp cho tất cả khách hàng bất kể vị trí địa lý hoặc quy mô của họ là gì. Các quy trình mà Office 365 đã xây dựng để tuân thủ Các điều khoản Mẫu của Liên minh Châu Âu không bị giới hạn trong phạm vi các khách hàng của Liên minh Châu Âu mà khả dụng với tất cả khách hàng.