使用 Microsoft Priva 大規模管理權利主體要求
安全性解決方案領域進階法務遵循全球黑帶 Steve Vandenberg
對我們的客戶而言,隱私權的重要性正與日俱增。除了眾人皆知的歐盟《一般資料保護規定》(GDPR) 之外,幾乎每個地區都訂定了隱私權法規,截至目前為止,全球逾 70% 的國家/地區皆設有資料保護和隱私權法律1。
鑑於隱私權標準的數量和範圍不斷擴大,隱私權已成為客戶和利害關係人推展受信任業務的預設期望之一。過去合作過的許多大型組織,都設有成熟的隱私權法務遵循程序。自 2018 起,有些組織必須符合 GDPR 的規定。即便是無需遵守 GDPR 規定的組織,也將 GDPR 視為一大分水嶺,並承認涵蓋範圍更廣的隱私權法規即將到來。現在,許多組織已將焦點從隱私權法務遵循移轉至隱私權領導地位,藉此為客戶及自身品牌提供價值。為了協助眾多組織順利開展隱私權旅程,我們於 2021 年 10 月推出了 Microsoft Priva,旨在協助客戶守護個人資料,並尊重隱私權。
自 1980 年起,經濟合作暨發展組織 (OECD) 便已將尊重個人隱私權的概念列為《公平資訊實施原則》(FIPP) 中的「個人參與原則」2。這項原則涵蓋了個人存取和控制其專屬資料的權利。在某些情況下,個人有權修正或刪除這項資料。自 GDPR 生效以來,上述概念 (又稱為「資料主體要求」或「權利主體要求」) 已成為主流想法。美國有 12 州已通過法律或設有現行法案,藉此規範主體的資料存取權利3。
權利主體要求 (Subject Rights Reqeusts, SRRs) 管理不僅曠日費時,更所費不貲
因應權利主體要求 (SRRs) 的相關作業不僅需要投入大量的資源、耗用極大的成本,更面臨管理不易的問題。此外,回應時間也極具挑戰性:GDPR 規定的回應時間為 30 天,《加州隱私權法》(CPRA) 則為 45 天。半數以上的組織皆透過手動方式處理 SRR,三分之一的組織則採用自動化處理作業4。Gartner® 指出,多數組織每月可處理 51 到 100 筆 SRR,每筆要求的成本則超過 1,500 美元5。隨著越來越多的隱私權法規逐步生效,以及大眾更加了解自身的權利,SRRs 的數量勢必會大幅增加,並進一步衝擊組織資源。
擴大管理 SRR 為一大挑戰
每處理一筆 SRR,組織就必須驗證資料主體,以確保個人的身分正確無誤,且具有該資訊的權利,接著,則要收集資訊、檢閱、視需要進行編輯,並透過可稽核的方式向要求者做出回應。
儘管多數組織都設有 SRR 回應程序,卻需仰賴電子郵件進行協同合作、使用 eDiscovery 工具進行搜尋,並透過手動檢閱作業來找出資料衝突 (例如單一檔案包含多人的隱私權相關資料)。這些程序雖然運作無礙,卻難以擴大施行。此外,還會衍生資料蔓延的情況,並造成額外的安全性和法務遵循風險。
使用 Microsoft Priva 進行大規模管理並安心做出回應
為了協助組織因應上述挑戰,Microsoft 推出了名為 Microsoft Priva 的隱私權管理解決方案,有助於保護並尊重隱私權,同時簡化 SRRs 的回應程序。
Microsoft Priva SRRs 可自動收集 Microsoft 365 環境中的主體資料,包括含有要求者個人資料的電子郵件、訊息、文件和試算表等。隨後,則會偵測和標示各種衝突,例如其他人的個人資料,或是所收集檔案中的機密資訊。自動化的資料收集和偵測作業可協助您更精確地找出衝突,以避免發生任何資料外洩。
此外,這款解決方案也可在受保護的平台上進行協同合作,好讓利害關係人在原生檢視畫面中檢閱、分類並編輯所收集的檔案。其他解決方案或許只能提供檔案路徑報告,Microsoft Priva 則大不相同,可為您找出檔案,讓您無需費時在瀏覽器中手動複製和貼上檔案路徑,或透過電子郵件及訊息將檔案傳送給其他人檢閱。
隱私權管理員也能運用和 Microsoft Priva 解決方案整合的 Microsoft Teams 及 Power Automate,透過效率十足、符合法務遵循且可供稽核的方式,與人力資源部門、法律部門和其他部門通力合作。所有協同合作資料都會集中在單一平台上,藉此確保安全性和合規性。Microsoft Priva SRRs 能協助組織安心無虞地大規模管理 SRRs,同時防範個人資料蔓延的情況。
解決方案儀表板可提供視覺化的 SRR 指標,並篩選和管理有待完成的要求。如此一來,內部利害關係人及主管機關就能確認 SRR 已在要求的時限內,透過符合法務遵循的程序加以處理。
整合您的隱私權解決方案
許多組織正在使用其他工具管理 SRRs。我們有意協助這些組織發揮 Microsoft Priva 及其與 Microsoft 365 原生整合的價值,以提供相輔相成的解決方案。我們於這方面的其中一項努力,就是透過自身的 Microsoft Graph 主體權利要求 API,將 Microsoft Priva 與其他軟體廠商解決方案及客戶專屬解決方案予以整合。這款 API 能整合私人獨立軟體廠商 (ISV) 的解決方案 (包括 OneTrust、Securiti.ai 和 WireWheel 等),進而將 SRR 處理程序自動化,並提供納入組織整體資料資產的回應方式。
舉例來說,組織可使用這款 API,將專屬應用程式中收到的要求傳送至 Microsoft Priva,隨後,Microsoft Priva 就會自動收集主體的個人資料、啟動檢閱和編輯檔案等協同合作、建立資料套件連結,並透過 API 將其送回專屬應用程式。這樣一來,組織就能集結位於不同環境中的所有報告和資料,進而回應要求者。
深入了解
Microsoft 很高興能善盡一己之力,協助組織降低 SRR 管理的複雜度。若要深入了解如何大規模管理 SRR,請下載《使用 Microsoft 技術自動化 SRR 作業的五大秘訣》(Five tips from Microsoft to automate your SRRs) 電子書。
Microsoft Priva 解決方案會透過附加元件的方式提供,適用於所有 Microsoft 365 或 Office 365 企業版訂閱授權客戶。歡迎免費試用 Microsoft Priva SRR 90 天,或建立多達 50 筆主體權利要求 (以先達到的限制為準)。
如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
欲瞭解更多,請至微軟官方部落格