2025年10月11日,奥地利数据保护局公布一起隐私投诉裁决,认定Microsoft 365教育版非法追踪学生数据且拒绝披露数据收集处理情况,违反欧盟《通用数据保护条例》,责令微软限期整改。微软回应将审查裁决。此前,德国、法国等国就曾因安全风险试图禁用Microsoft 365,如今其产品在奥地利又面临审查。
(DSB裁决书)
Microsoft 365教育版是专为学校设计的生产力云套件,包含Word、Teams等常用工具及AI驱动的Copilot助手,能满足教学多场景需求,在欧洲有庞大市场,数百万师生都在使用。
事件源于一名奥地利学生依据GDPR要求学校披露使用该软件时对学生数据的收集与处理情况,但学校表示对软件收集的数据无实际控制权,无法提供。随后,该学生在欧洲数据保护组织NOYB的支持下,于2024年向学校、地方教育委员会、教育部及微软公司发起投诉,指控使用此软件侵犯学生合法权益。
近日,DSB对该投诉作出裁决,公布该软件存在的多项违法行为。一方面,Microsoft 365教育版未经同意使用了跟踪cookie,并用于分析用户行为,此举违反了GDPR。微软、学校和教育部门被要求检查这些cookie是否仍在使用,并于十周内删除所有相关数据。
另一方面,微软未能回应用户提出的披露数据收集和处理情况的要求,在数据处理透明度方面存在严重问题,违反了GDPR赋予个人的知情权和数据访问权。DSB要求微软向原告提供完长期有效的访问通道,在四周内对学生数据使用情况作出解释。不仅如此,调查过程中还发现部分数据已被传输至LinkedIn、OpenAI以及广告技术公司Xandr,这意味着微软还存在违法数据传输行为。
NOYB数据保护律师Felix Mikolasch提到,“奥地利数据保护局的裁决真正凸显了Microsoft 365教育版缺乏透明度的问题。学校几乎不可能知道学生、家长和教师他们的数据被如何使用了。”
值得一提的是,调查过程中微软曾辩称Microsoft 365产品由其位于爱尔兰的欧盟子公司负责,公司应属于爱尔兰的管辖范围,此举目的是利用爱尔兰相对宽松的监管环境规避审查。然而,这一说法遭DSB否认,认定此事的关键决策由微软美国总部作出,应由总部承担主要责任。
微软在给媒体的声明中表示,将对裁决结果进行审查,并在合适时机公布后续进展。微软强调,Microsoft 365教育版符合所有必要的数据保护标准,教育机构可继续使用。
南都N视频记者梳理发现,此前德国、法国曾因安全风险对Microsoft 365出手“封杀”。2022年,德国联邦和州数据保护局在监察报告中指出该软件违反GDPR规定,建议限制德国学校和公共机构使用(普通消费者和企业除外);同年,法国也以类似理由提出Microsoft 365不宜在学校使用。
图文来源网络,如侵联删!
□ 来源 | 个人信息与数据保护实务评论
□ 责编 | 个人信息保护专业人员社群
□ 投稿邮箱 | gebaozhuanyuan@163.com
长按识别二维码
关注我们
