Báo cáo: sản phẩm doanh nghiệp của Microsoft bí mật thu thập dữ liệu cá nhân về người dùng
Microsoft thu thập và lưu trữ dữ liệu cá nhân về hành vi của người dùng cá nhân của các dịch vụ doanh nghiệp trên quy mô lớn, không có bất kỳ tài liệu công khai nào - theo một báo cáo mới của Privacy Company .
Đánh giá tác động bảo vệ dữ liệu (DPIA) đã được chính phủ Hà Lan ủy nhiệm để hướng dẫn các tổ chức của mình - bao gồm 300.000 máy trạm ở các bộ, ngành tư pháp, cảnh sát, cơ quan thuế, vv - trong các giao dịch của họ với phần mềm doanh nghiệp của Microsoft.
Trong một bài đăng trên blog thảo luận về những phát hiện của báo cáo, Công ty bảo mật nêu rõ rằng kết quả của DPIA trên Microsoft Office ProPlus cho các doanh nghiệp đang đáng báo động.
Microsoft có hệ thống thu thập dữ liệu trên quy mô lớn về việc sử dụng cá nhân Word, Excel, PowerPoint và Outlook. Covertly, mà không thông báo cho mọi người.Microsoft không cung cấp bất kỳ sự lựa chọn nào liên quan đến lượng dữ liệu hoặc khả năng tắt bộ sưu tập hoặc khả năng xem dữ liệu nào được thu thập, bởi vì luồng dữ liệu được mã hóa.Tương tự như thực hành trong Windows 10, Microsoft đã bao gồm phần mềm riêng trong phần mềm Office thường xuyên gửi dữ liệu từ xa đến các máy chủ riêng của mình tại Hoa Kỳ.
Về cơ bản, Microsoft thu thập rất nhiều dữ liệu về nhân viên sử dụng phần mềm của công ty, mà không cho họ biết, và không cung cấp tùy chọn để chọn không tham gia.
Một trong những mối quan tâm lớn nhất của báo cáo là việc Microsoft sử dụng dữ liệu đo từ xa, vì Microsoft đang đẩy các dịch vụ ngày càng nhiều ra khỏi tiền đề. Cho đến nay, các tổ chức chính phủ Hà Lan đã lưu trữ dữ liệu nội dung của họ tại địa phương, trong các trung tâm dữ liệu của riêng họ. Nhưng điều này được thiết lập để thay đổi.
Các nhà chức trách Hà Lan đang tiến hành các phi công lưu trữ dữ liệu trên đám mây của Microsoft, trong SharePoint và trong OneDrive - cùng với việc kiểm tra phiên bản Office 365 chỉ dành cho web. Mặc dù Microsoft thu thập dữ liệu về việc sử dụng phần mềm riêng lẻ trong các thiết lập hiện tại , DPIA cho thấy các phương pháp mới có “rủi ro bảo vệ dữ liệu cao cho các đối tượng dữ liệu”.
Blog nói rằng Microsoft đã thực hiện các cam kết để thực hiện các điều chỉnh cho phần mềm của mình để phù hợp với các mối quan tâm về quyền riêng tư, ví dụ như công cụ xem dữ liệu từ xa và "cài đặt không thải" mới.
Trong khi các kế hoạch của Microsoft hy vọng sẽ giúp giảm thiểu rủi ro cho người dùng của mình, Công ty bảo mật vạch ra sáu rủi ro cao còn lại cho các đối tượng dữ liệu:
- Việc lưu trữ trái phép các danh mục dữ liệu nhạy cảm / được phân loại / đặc biệt, cả trong siêu dữ liệu và trong ví dụ, dòng chủ đề của e-mail
- Trình độ không chính xác của Microsoft như một bộ xử lý dữ liệu, thay vì bộ điều khiển chung như được định nghĩa trong điều 26 của GDPR
- Không đủ kiểm soát đối với các bộ xử lý phụ và xử lý dữ liệu thực tế
- Việc thiếu hạn chế mục đích, cả cho việc xử lý dữ liệu chẩn đoán được thu thập trong lịch sử và khả năng tự động thêm các loại sự kiện mới
- Việc chuyển giao (tất cả các loại) dữ liệu chẩn đoán bên ngoài EEA, trong khi mặt bằng pháp lý hiện tại cho Office ProPlus là Bảo vệ quyền riêng tư và tính hợp lệ của thỏa thuận này là đối tượng của thủ tục tại Tòa án công lý châu Âu
- Thời gian lưu giữ dữ liệu chẩn đoán vô thời hạn và thiếu công cụ để xóa dữ liệu chẩn đoán lịch sử
Một phát ngôn viên của Microsoft nói với TNW rằng công ty đã cam kết tìm kiếm giải pháp cho các mối quan ngại được nêu trong báo cáo của Công ty Bảo mật:
Chúng tôi cam kết bảo mật quyền riêng tư của khách hàng, giúp họ kiểm soát dữ liệu của họ và đảm bảo rằng Office ProPlus và các sản phẩm và dịch vụ khác của Microsoft tuân thủ GDPR và các luật hiện hành khác.Chúng tôi đánh giá cao cơ hội thảo luận về thực tiễn xử lý dữ liệu chẩn đoán của chúng tôi trong Office ProPlus với Bộ Tư pháp Hà Lan và mong muốn có giải pháp thành công về bất kỳ mối lo ngại nào.
Trong thời gian đó, Công ty bảo mật khuyến cáo quản trị viên phiên bản Office ProPlus ở Hà Lan (mặc dù nhiều người trong số họ cũng nên áp dụng cho các quốc gia khác) để thực hiện các biện pháp sau để giảm rủi ro bảo mật cho nhân viên và người dùng khác:
- Áp dụng cài đặt xả khí thải mới
- Trung tâm cấm sử dụng Dịch vụ được kết nối
- Trung tâm cấm tùy chọn cho người dùng gửi dữ liệu cá nhân cho Microsoft để 'cải thiện Office'
- Không sử dụng SharePoint Online / OneDrive
- Không sử dụng phiên bản Office 365 chỉ dành cho web
- Định kỳ xóa tài khoản Active Directory của một số người dùng VIP và tạo tài khoản mới cho họ, để đảm bảo rằng Microsoft xóa dữ liệu chẩn đoán lịch sử
- Cân nhắc sử dụng triển khai độc lập không có tài khoản Microsoft cho dữ liệu bí mật / nhạy cảm
- Xem xét tiến hành thí điểm với phần mềm thay thế, sau khi thực hiện DPIA về việc xử lý cụ thể Đây có thể là một thí điểm với phần mềm năng suất nguồn mở thay thế.
