跳過主内容

使用 Microsoft Priva 大規模管理權利主體要求

安全性解決方案領域進階法務遵循全球黑帶 Steve Vandenberg

對我們的客戶而言,隱私權的重要性正與日俱增。除了眾人皆知的歐盟《一般資料保護規定》(GDPR) 之外,幾乎每個地區都訂定了隱私權法規,截至目前為止,全球逾 70% 的國家/地區皆設有資料保護和隱私權法律1

鑑於隱私權標準的數量和範圍不斷擴大,隱私權已成為客戶和利害關係人推展受信任業務的預設期望之一。過去合作過的許多大型組織,都設有成熟的隱私權法務遵循程序。自 2018 起,有些組織必須符合 GDPR 的規定。即便是無需遵守 GDPR 規定的組織,也將 GDPR 視為一大分水嶺,並承認涵蓋範圍更廣的隱私權法規即將到來。現在,許多組織已將焦點從隱私權法務遵循移轉至隱私權領導地位,藉此為客戶及自身品牌提供價值。為了協助眾多組織順利開展隱私權旅程,我們於 2021 年 10 月推出了 Microsoft Priva,旨在協助客戶守護個人資料,並尊重隱私權。

自 1980 年起,經濟合作暨發展組織 (OECD) 便已將尊重個人隱私權的概念列為《公平資訊實施原則》(FIPP) 中的「個人參與原則」2。這項原則涵蓋了個人存取和控制其專屬資料的權利。在某些情況下,個人有權修正或刪除這項資料。自 GDPR 生效以來,上述概念 (又稱為「資料主體要求」或「權利主體要求」) 已成為主流想法。美國有 12 州已通過法律或設有現行法案,藉此規範主體的資料存取權利3

權利主體要求 (Subject Rights Reqeusts, SRRs) 管理不僅曠日費時,更所費不貲

因應權利主體要求 (SRRs) 的相關作業不僅需要投入大量的資源、耗用極大的成本,更面臨管理不易的問題。此外,回應時間也極具挑戰性:GDPR 規定的回應時間為 30 天,《加州隱私權法》(CPRA) 則為 45 天。半數以上的組織皆透過手動方式處理 SRR,三分之一的組織則採用自動化處理作業4。Gartner® 指出,多數組織每月可處理 51 到 100 筆 SRR,每筆要求的成本則超過 1,500 美元5。隨著越來越多的隱私權法規逐步生效,以及大眾更加了解自身的權利,SRRs 的數量勢必會大幅增加,並進一步衝擊組織資源。

Pie chart showing 1 in 3 organizations have partially automated subject rights requests.
圖 1:近三分之一的組織會透過局部自動化作業處理主體權利要求。

擴大管理 SRR 為一大挑戰

每處理一筆 SRR,組織就必須驗證資料主體,以確保個人的身分正確無誤,且具有該資訊的權利,接著,則要收集資訊、檢閱、視需要進行編輯,並透過可稽核的方式向要求者做出回應。

儘管多數組織都設有 SRR 回應程序,卻需仰賴電子郵件進行協同合作、使用 eDiscovery 工具進行搜尋,並透過手動檢閱作業來找出資料衝突 (例如單一檔案包含多人的隱私權相關資料)。這些程序雖然運作無礙,卻難以擴大施行。此外,還會衍生資料蔓延的情況,並造成額外的安全性和法務遵循風險。

使用 Microsoft Priva 進行大規模管理並安心做出回應

為了協助組織因應上述挑戰,Microsoft 推出了名為 Microsoft Priva 的隱私權管理解決方案,有助於保護並尊重隱私權,同時簡化 SRRs 的回應程序。

Microsoft Priva SRRs 可自動收集 Microsoft 365 環境中的主體資料,包括含有要求者個人資料的電子郵件、訊息、文件和試算表等。隨後,則會偵測和標示各種衝突,例如其他人的個人資料,或是所收集檔案中的機密資訊。自動化的資料收集和偵測作業可協助您更精確地找出衝突,以避免發生任何資料外洩。

此外,這款解決方案也可在受保護的平台上進行協同合作,好讓利害關係人在原生檢視畫面中檢閱、分類並編輯所收集的檔案。其他解決方案或許只能提供檔案路徑報告,Microsoft Priva 則大不相同,可為您找出檔案,讓您無需費時在瀏覽器中手動複製和貼上檔案路徑,或透過電子郵件及訊息將檔案傳送給其他人檢閱。

圖 2:如果偵測到多人的資料,就能在原生檢視畫面中檢閱、分類和編輯所收集的檔案。

隱私權管理員也能運用和 Microsoft Priva 解決方案整合的 Microsoft TeamsPower Automate,透過效率十足、符合法務遵循且可供稽核的方式,與人力資源部門、法律部門和其他部門通力合作。所有協同合作資料都會集中在單一平台上,藉此確保安全性和合規性。Microsoft Priva SRRs 能協助組織安心無虞地大規模管理 SRRs,同時防範個人資料蔓延的情況。

Flow chart showcasing how Microsoft Priva Subject Rights Requests helps manage requests at scale and with confidence.
圖 3:Microsoft Priva SRRs 可協助組織安心無虞地大規模管理要求。

解決方案儀表板可提供視覺化的 SRR 指標,並篩選和管理有待完成的要求。如此一來,內部利害關係人及主管機關就能確認 SRR 已在要求的時限內,透過符合法務遵循的程序加以處理。

Microsoft 365 compliance center dashboard showing SRR progress over time.
圖 4:Microsoft Priva SRRs 可提供 SRRs 進度的深入解析,並顯示長時間的趨勢。

整合您的隱私權解決方案

許多組織正在使用其他工具管理 SRRs。我們有意協助這些組織發揮 Microsoft Priva 及其與 Microsoft 365 原生整合的價值,以提供相輔相成的解決方案。我們於這方面的其中一項努力,就是透過自身的 Microsoft Graph 主體權利要求 API,將 Microsoft Priva 與其他軟體廠商解決方案及客戶專屬解決方案予以整合。這款 API 能整合私人獨立軟體廠商 (ISV) 的解決方案 (包括 OneTrust、Securiti.ai 和 WireWheel 等),進而將 SRR 處理程序自動化,並提供納入組織整體資料資產的回應方式。

舉例來說,組織可使用這款 API,將專屬應用程式中收到的要求傳送至 Microsoft Priva,隨後,Microsoft Priva 就會自動收集主體的個人資料、啟動檢閱和編輯檔案等協同合作、建立資料套件連結,並透過 API 將其送回專屬應用程式。這樣一來,組織就能集結位於不同環境中的所有報告和資料,進而回應要求者。

Microsoft Graph A P I showing how organizations leverage Microsoft Priva along with their existing privacy tools.
圖 5:Microsoft Graph API 可讓組織搭配運用 Microsoft Priva 和現有的隱私權工具。

 

深入了解

Microsoft 很高興能善盡一己之力,協助組織降低 SRR 管理的複雜度。若要深入了解如何大規模管理 SRR,請下載《使用 Microsoft 技術自動化 SRR 作業的五大秘訣》(Five tips from Microsoft to automate your SRRs) 電子書。

Microsoft Priva 解決方案會透過附加元件的方式提供,適用於所有 Microsoft 365 或 Office 365 企業版訂閱授權客戶。歡迎免費試用 Microsoft Priva SRR 90 天,或建立多達 50 筆主體權利要求 (以先達到的限制為準)。

如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。

欲瞭解更多,請至微軟官方部落格

更多故事