Microsoft供应商数据保护要求.PDFVIP

Microsoft 供应商数据保护要求 适用性 Microsoft 供应商数据保护要求(DPR) 适用于所有Microsoft 供应商，根据供应商与Microsoft 所达成的采购订单或 合同的相关条款规定，处理Microsoft 个人信息或Microsoft 机密信息的行为属于执行Microsoft 提供的服务的一 部分。 • 如果本文所包含的要求与供应商与Microsoft 达成的合同协议中规定的要求有冲突，则以合同中的条款 为准。 • 如果本文所包含的要求与任何法律或法规要求有冲突，则以此类法律法规要求为准。 如果不限制其其他义务（Microsoft 已对Microsoft 个人信息在国际范围内的转移提供事前书面批准），供应商应 遵守所有标准合同条款、有约束力的企业规则或任何数据保护机构、欧洲数据保护委员会或欧盟委员会批准、 Microsoft 采用或同意的任何方案的数据保护要求，包括但不限于《欧盟-美国隐私盾框架》、《瑞士-美国隐私盾 框架》和《欧盟一般数据保护条例》。供应商同意在做出以下决定时通知Microsoft ：供应商无法再履行其义务 来提供隐私盾原则所要求的相同级别的保护。供应商还应确保任何和全部子处理商（以欧盟委员会决定 C(2010)593 的附件形式发布的“2010 年标准合同条款”之条款1(d) 中对此进行了定义）也遵守这些要求。 “Microsoft 机密信息”是指机密性或完整性一旦遭到破坏便会使Microsoft 遭受重大声誉损失或财务损失的任何 信息。敏感信息包括但不限于：Microsoft 硬件和软件产品，内部业务线应用程序、之前发布的营销材料、产品 许可证密钥和与Microsoft 产品和服务相关的技术文档。 “Microsoft 个人信息”是指由Microsoft 处理或代表Microsoft 处理的任何个人信息。 “个人信息”是指与已确认身份或可确定身份的自然人（ “资料当事人”）有关的任何信息；可识别的自然人是 指可直接或间接确定身份的个人，特别是通过参考身份标识确定身份，身份标识包括姓名、个人识别号、位置数 据、在线身份标识或特定于该自然人的身体、生理、基因、精神、经济、文化或社会身份的一个或多个因素等。 “个人信息违规”是指在传输、存储或以其他方式处理个人信息时导致其意外或非法销毁、丢失、更改、未经授 权披露或访问的安全违规行为。 “处理”是指对个人信息或一组个人信息执行的任意操作或一组操作（无论是否通过自动方法），例如收集、激 励、整理、调整结构、存储、改写或更改、检索、查阅、使用、通过传输/传播披露，或以其他方式提供、调整、 合并、限制、擦除或销毁。 DPR 的结构 DPR 基于美国注册会计师协会(AICPA) 设计的框架，用于衡量隐私惯例。公认隐私原则(GAPP) 分为10 部分，包 括与保护和管理个人信息相关的可衡量准则。该框架已根据附加的Microsoft 安全和隐私要求得以加强。 版本4 2017 年7 月 页码 | 1 编号 Microsoft 供应商数据保护要求 建议的评估标准 回复 A 部分：管理 在处理Microsoft 个人或机密信息之前，供应商 必须： 1 已签署有效的Microsoft 合同、工作说明书或包含隐 供应商必须提供有效的 合规 私和安全数据保护语言的采购订单，其中规定了处 Microsoft 合同、工作说明书或 不合规 不适用 理的主旨和持续时间、处理的性质和用途、 包含必要的处理活动说明的采购 法律冲突 Microsoft 个人信息的类型和资料当事人的类别以及 订单。 合同冲突 Microsoft 的义务和权利。 2 将遵守Microsoft 供应商数据保护要求指定为公司内 供应商必须标识负责确保供应