本文介绍了EDPS对欧洲机构、机构、办公室和机构(欧盟机构)使用微软产品和服务的主动调查所提出的问题。它介绍了EDPS的调查结果和建议,以便与更广泛的受众分享,采用高标准的透明度3,同时对欧盟机构合同的某些内容和EDPS的调查保持必要的机密性。
大量的个人数据是通过欧盟机构使用微软的产品和服务进行处理的。包括EDPS在内的欧盟机构超过45000名员工是这些产品和服务的用户。此外,员工使用Microsoft产品和服务处理非员工的个人数据。
EDPS的调查重点是欧盟机构在2018年与微软签署的“机构间许可协议”(ILA)的条款。EDPS还考虑了欧盟委员会作为欧盟最大的机构,承担着各种各样的任务,已经实施的影响个人数据流向微软的技术措施。
EDPS在2020年3月调查结束后向欧盟机构发布了调查结果和建议。EDPS报告的目的是为欧盟机构提供前瞻性援助,使其安排符合数据保护法。特别是,EDPS的调查结果和建议旨在支持重新谈判ILA和欧盟机构的合同,并实施合同应附带的强有力的技术和组织措施。
欧盟机构对个人数据的处理以及EDPS自身的监督和调查权力受(EU)2018/1725号法规的管辖。4EDPS根据该规例所载的规定,评估“国际劳工协议”的遵行情况。尽管条例(EU)2018/1725是为欧盟机构量身定做的数据保护制度,有别于更知名的一般数据保护条例5(“GDPR”),但条例(EU)2018/1725的规定与GDPR的规定之间有广泛的重叠。
因此,与欧盟机构相比,EDPS的调查结果和建议可能会引起更广泛的兴趣。6不仅EDPS在调查中适用的法律基于相同的原则,并与GDPR共享绝大多数条款,而且欧盟机构签署的协议基于标准的微软批量许可文件,因此可能与其他组织达成的协议有相似之处。EDPS的调查结果和建议可能会引起欧盟成员国公共当局的特别兴趣。
除了签订和实施微软产品和服务的批量许可协议外,它们还可能具有重要意义。在EDPS看来,将数码服务的提供或运营外包给其他服务提供商的机构很可能会遇到类似的问题。
EDPS建议欧盟机构在分析并实施EDPS的建议之前,仔细考虑购买微软产品和服务或对现有产品和服务的新用途。他们在决定如何实施电子数据处理计划的建议时,应让其资料保护人员参与。欧盟机构应在每个具体的公共信息和通信技术采购程序中适当嵌入数据保护,具体说明针对正在采购的特定产品和服务要实施的安全和数据保护措施。
这将有助于欧盟机构从一开始就以适当的合同和其他组织措施、技术和安全措施采购产品和服务,以便通过这些工具处理个人数据符合法规(EU)2018/1725,特别是在设计和默认情况下保护数据的原则。7个。
EDPS审查的ILA具有复杂的结构,有多种相互关联的文件,以各种方式相互补充和修改。
然而,大体上说,国际法协议有三个主要组成部分。第一个是总括许可协议,该协议基于一系列标准格式的批量许可文件,欧盟机构与微软就这些文件谈判了一套定制的修正案。第二个组成部分包括几套标准的微软条款,这些条款通过引用并入总括协议。在EDPS的调查中,最重要的一组标准条款是产品条款和在线服务条款。第三部分包括各欧盟机构遵守许可协议和订阅最适合其需要的微软产品和服务套餐的文件。
国际法协议的条款并不固定。Microsoft会定期更改伞形协议中包含的标准Microsoft条款集,并在其批量许可网站上发布新版本。8例如,微软每月发布新版本的在线服务条款。
确定标准文档的哪个版本的哪些部分适用于给定Microsoft产品或服务的哪些方面可能是一件复杂的事情。再次以在线服务条款为例,本文档的适用版本因每项在线服务而异,具体取决于相关客户首次购买或续订该服务的日期。9但是,更高版本的在线服务条款中引入的条款也可能适用于订阅中以前未包括的相关软件的新功能和补充。10个。
在EDPS调查的背景下,EDPS分析的最新版本的标准文件是2020年1月的标准文件。11就本文件而言,EDPS仅指这些版本。然而,在调查中,EDPS还分析了一些以前的版本12,这些版本通常以类似的术语起草,并提出了类似或更大的合规性问题。总体而言,EDPS关于ILA、非合同文件和事实背景的声明代表了2020年3月之前的立场。
在EDPS看来,ILA的范围和条款导致微软以不透明的方式充当控制器。这是由于国际法的几个方面的综合作用。环境保护计划在这方面考虑三个主要问题:
对于在它之下进行的处理缺乏具体和明确定义的目的。
ILA允许微软单方面修改数据保护条款。这项权利有两个方面。
首先,ILA授予微软无限制的权利,可以修改所有通过引用并入其中的标准条款集。
微软有可能通过更改纳入其中的一组标准条款,对ILA的数据保护条款进行深远的修改。这是因为标准条款填补了谈判达成的总括协议中的许多空白,因此往往有必要参考这些条款,以了解如何执行总括协议中的条款。
微软在2020年1月做出的改变表明,这种单方面的修改可能会产生多么深远的影响。Microsoft将许多重要的数据保护术语从在线服务术语中移到一个新的标准文档中,称为“数据保护附录”。这些数据保护条款的内容也进行了重大修改。
由于这一变化,目前还不清楚是否有大量的数据保护条款已不再适用于欧盟机构对微软产品和服务的使用。由于在2018年签署《ILA》时并不存在《数据保护附录》,因此仅通过引用将在线服务条款纳入《ILA》,而不是新分离的《数据保护附录》。在EDPS结束调查时,“数据保护附录”与“国际法协议”之间也没有任何明确的合同联系,例如“在线服务条款”中的一项声明,即“数据保护附录”构成“在线服务条款”的一部分。为了进行主动调查,环境保护署假定“数据保护附录”确实适用于“国际劳工协议”。
微软单方面修改权的第二个方面涉及各种合同文件的优先顺序。“国际法协议”载有若干条款,影响哪些文件优先于哪些文件。其中一些条款彼此直接冲突,导致我们得出结论,确切的优先顺序是模棱两可的。尽管如此,EDPS认为,在线服务条款、产品条款等标准文件以及潜在的数据保护附录等标准文件仍有很高的风险凌驾于总括协议的谈判条款之上。鉴于微软有权随时更改这些标准文件,这相当于微软可能单方面修改ILA的整个合同套件的风险很高,包括双方之间的任何控制器-处理器协议。
总体而言,EDPS认为,微软有很高的风险可能会改变,例如,它处理个人数据的目的、数据的位置以及管理数据披露和转移的规则,而欧盟机构对这些改变没有任何合同追索权。是否做出这样的改变取决于微软。
这一级别的自由裁量权超出了可以分配给处理器的范围;它有效地使Microsoft成为了一个控制器。13个
微软在协商的ILA文件中的主要数据保护义务的范围仅限于特定类型的处理和数据类别。存在这样一种风险,即ILA下的某些数据处理活动超出了谈判条款的范围,并受益于微软单独确定的较低级别的保护。由于欧盟机构使用微软的产品和服务,微软收集和使用的某些类别的数据完全不在合同保护范围之内。
电子数据处理系统的分析显示,大体上有四类个人资料在“国际劳工法”下获得不同程度的保护。第一类最受保护的个人数据是通过使用所谓的在线服务提供的数据。在线服务实质上是根据ILA提供的微软托管服务,包括微软软件产品的在线组件。属于这一类别的数据属于“国际劳工协议”和“数据保护附录”中协商的主要数据保护义务的范围。
第二类包括没有提供给微软但由微软在欧盟机构使用在线服务时收集的数据。处理这些数据的部分内容属于在线服务条款(自其创建之日起,可能还包括数据保护附录),而不属于总括协议的主要谈判义务。
第三类数据是微软在欧盟机构使用其所谓的专业服务时获得的数据。“数据保护附录”附件中另有一套较轻的数据保护条款涵盖了这一点。它也脱离了伞形协议的主要谈判义务的范围。
微软不仅将前三类数据作为处理器处理,还将其作为控制器处理。14当它充当控制人时,除了合同文件外,还适用Microsoft隐私声明。
存在第四类数据。这些数据都是在欧盟机构使用微软不认为是在线服务的产品和软件时提供给微软并由微软收集的。这类数据的处理不在任何有意义的合同控制范围之内。它们作为控制器由Microsoft处理,并包含在Microsoft隐私声明中。所有版本的Windows和Office生产力套件(包括Office 2016版本)的诊断数据都属于这一类。来自本地安装的Office 365 ProPlus生产力套件应用程序(例如,Word、Excel、PowerPoint)的诊断数据不是在线服务,也可能属于这一类。
总体而言,对于哪些合同控制(如果有的话)适用于微软根据ILA处理的不同类别的数据,缺乏透明度。电子数据处理系统无法准确地根据合同文件划分不同的类别。
鉴于微软产品、在线服务和专业服务的相互关联性质,也不清楚是否有可能将属于最受保护类别的数据转移到保护较少的类别,反之亦然。
在EDPS看来,欧盟机构很少或根本没有合同控制微软从用户那里收集了哪些个人数据,或者微软可以对这些数据做什么,除非这些数据是通过在线服务提供的,而且肯定会留在这一类。如上一节所述,Microsoft还保留单方面修改许多(或可能全部)控件的权利。因此,微软在这方面保留了广泛的自由裁量权。
当处理器的数据保护义务的范围不明确时,这可能会造成这样的风险,即处理器将由于业务关系而决定充当其处理的所有数据的一部分的控制器。在ILA的案例中,微软数据保护义务范围的不明确性导致我们发现,它可能会成为ILA下处理的所有数据的控制人,这是一个很高的风险。
在EDPS看来,ILA中的目的限制不够具体和明确。这造成了欧盟机构认为他们根据ILA对微软施加的目的限制与微软认为根据此类协议允许的处理之间存在不匹配的风险。
在ILA文件中,微软作为加工者的活动的最明确的目的声明是“提供产品或专业服务”。这可能包含的处理操作范围可能非常广泛。
在影响大量数据主体(如ILA)的复杂操作员之间达成详细而复杂的协议的情况下,适当的做法是,指定允许处理的目的,使人们几乎不怀疑哪些是包括在目的内的,哪些不是包括在目的内的。15描述还应全面,使客户和监管机构能够了解处理过程中的风险,并能够向数据主体解释这些风险。在经济发展局看来,国际法协议中的目的声明留下了太多的解释空间。
数据保护附录在某种程度上澄清了什么可能属于服务的“提供”范围,什么可能不属于服务的“提供”范围。它定义了“提供”在线或专业服务的含义,创建了一系列被禁止的目的,除非客户另有指示,并明确认识到当微软打算充当控制器时的一系列目的。该报告于2020年1月发表,代表着微软处理业务的合同文件更加透明的重大转变,因此受到欢迎。
不过,这并不是全部答案:正如所解释的那样,它没有涵盖大量的处理。也不清楚它是否适用于国际法协议。
此外,目的限制的清晰度仍然存在一些困难。例如,“数据保护附录”将“提供个性化用户体验”包括在“提供”在线服务的定义中。16这与“用户概况”的默认禁令直接冲突,17提出了一个问题,即微软如何狭隘地解释“用户概况”。
“提供在线服务”的定义也足够模糊,以至于没有回答以下问题。18首先,定义足够宽泛,可以包括数据分析。因此,不清楚是否允许出于培训、机器学习或人工智能系统等目的进行处理。第二,不清楚提供某一项网上或专业服务是否只包括该服务的“故障排除”、“提供功能”和“持续改善”,还是分别包括其他或所有网上或专业服务的“故障排除”、“提供功能能力”和“持续改进”。第三,服务的“持续改进”被描述为包括“提高用户生产力”和“提高用户效率”。目前还不清楚哪些生产力和有效性包括在内。
在“数据保护附录”中,目的限制的另一个模糊的例子是,它对“出于任何广告或类似的商业目的”的处理施加了默认的禁止。19这些术语没有得到解释。这一点意义重大,因为微软曾在2018年表示,它不考虑为客户提供有针对性的应用内推荐,因为他们不使用或订阅的产品属于广告或类似的商业目的。20如果微软仍然持有这样的解释,它可能会认为这样的处理在允许的目的范围内。
数据保护附录还授予微软在其“合法业务运营”方面担任控制人的权利,这些业务被定义为涵盖六个目的。21这六个目的的陈述性质表明,与GDPR下可能符合控制人追求的合法利益的内容有很大重叠。从宽泛和模糊的措辞中不清楚这些目的在多大程度上是提供在线和专业服务所必需的。至少,为什么可能需要欧盟机构的个人数据来决定微软员工的奖金,这一点值得怀疑。如以下小节所述,EDPS没有考虑由微软作为控制人进行处理,特别是为了其自身的合法利益,这在欧盟机构根据ILA使用微软产品和服务的情况下是适当的。
EDPS认为,ILA最令人担忧的方面之一在于,给予微软的自由裁量权在很大程度上是含蓄的:EDPS的分析主要基于找出合同起草中的差距,并指出在特定背景下留下空白或不确定的后果。
EDPS得出的结论是,尽管谈判文件中有相反的明文规定,ILA仍授予微软影响深远的单方面修改权。EDPS对某些合同条款范围的限制赋予微软的自由裁量权的分析,取决于确定哪些类型的处理可能不包括全部或部分。
EDPS对ILA中的目的限制的担忧是基于这样一种理解,即如果控制员指示承包商为模糊定义的目的处理数据,这会造成承包商或多或少为自己定义这些目的的风险。
范围含糊和目的含糊的隐含自由裁量权有效地授予处理器许可证以执行。
..