Microsoft供应商资料保护要求.PDFVIP

Microsoft 供應商資料保護要求 適用性 Microsoft 供應商資料保護要求 (DPR) 適用於所有與 Microsoft 簽訂訂購單或合約條款以提供服務，而在提供服務 的過程中處理Microsoft 個人資訊或 Microsoft 機密資訊的 Microsoft 供應商。 • 若此處包含的要求和供應商與 Microsoft 間的合約協議中指定的要求有所衝突，以合約條款為優先。 • 若此處包含的要求與任何法律或法定要求有所衝突，則以法律或法定要求為優先。 在不限制供應商其他義務的情況下，如果 Microsoft 已事先提供Microsoft 個人資訊國際傳輸的書面核准，供應商 應遵守任何標準合約條款的資料保護要求，並結合公司規則或由任何資料保護授權單位 (如歐洲資料保護委員會 或歐盟) 核准且由 Microsoft 採用或同意之其他規範，包含但不僅限於歐盟與美國地區和瑞士與美國地區。隱私盾 協議和歐盟一般資料保護規範。供應商同意，在供應商判斷其無法再履行義務以提供如隱私盾原則所要求之相同 保護層級時通知 Microsoft 。供應商也應確保任何或所有次承攬人(如做為歐盟委員會決議附件C(2010)593 所發佈 之2010 標準格式合約條款中的條款 1(d) 所定) 遵守上述規定。 「Microsoft 機密資訊」是指凡機密性或完整性經洩露，可能會導致Microsoft 的聲譽或財務嚴重受損的任何資訊。 這包括但不限於：Microsoft 硬體和軟體產品、內部企業營運應用程式、發行前的行銷資料、產品授權金鑰，以 及 Microsoft 產品和服務的相關技術文件。 「Microsoft 個人資訊」是指由Microsoft 處理或代 Microsoft 處理的任何個人資訊。 「個人資訊」是指已識別或可識別該自然人( 「資料當事人」) 的任何相關資訊；可識別之自然人，是指透過參酌 姓名、身分證號碼、位置資料、線上識別資訊，或其他一項以上之專屬於其個人身分之身體、精神、基因、心理、 經濟、文化或社會身分，而可直接或間接識別之自然人。 「個人資訊外洩」是指違反安全導致意外或非法損毀、遺失、竄改、未經授權公開或存取傳輸、儲存或處理的個 人資訊。 「處理」是指對個人資訊或多組個人資訊執行的任何單一操作或一組操作，無論是透過收集、記錄、組織、結構 化、儲存、調整或更改等自動化方式，或透過傳播和發送等方式擷取、諮詢、使用、公開，或者經由其他方式提 供、調整或組合、限制、刪除或銷毀 。 DPR 結構 DPR 是以美國會計師協會(American Institute of Certified Public Accountants (AICPA)) 為衡量隱私權慣例所設計的架 構為基礎。一般公認隱私權原則(GAPP) 分為 10 個部分，包含關於保護和管理個人資訊的可量化標準。另外， Microsoft 安全性和隱私權需求也加強了這個架構 。 4 版 2017 年7 月 頁 | 1 # Microsoft 供應商資料保護要求 建議評估條件 回應 部分A ：管理 供應商在處理 Microsoft 個人資訊或機密資訊前，必 須先： 1 簽署一份有效且包含隱私權和安全性資料保護聲明的 供應商必須出具包含必要處理活 Compliant Not Compliant Microsoft 合約、工作說明書或訂購單，聲明中要包含 動描述的有效 Microsoft 合約、 Does not Apply Legal Conflict 主題和處理時間、處理