10月11日，奥地利数据保护局（简称DSB）审理的一起隐私投诉裁决结果公布，认定Microsoft 365教育版非法追踪学生数据，拒绝披露数据收集和处理情况等行为，违反了欧盟《通用数据保护条例》（GDPR）相关规定，要求微软方面限期作出整改。对此，微软方回应称将对裁决结果进行审查。数年前，德国、法国等出于安全风险考虑试图“封杀”Micosoft 365，如今微软产品在奥地利又遭“审判”。

DSB裁决书

据了解，Microsoft 365教育版是专为学校打造的生产力云套件，含Word、Teams等常用工具与AI驱动的Copilot助手，能满足多场景下的教学需求，其在欧洲地区拥有广阔市场，被数百万学生和教师使用。

该事件的起因是一名奥地利学生依据GDPR相关规定，要求其学校披露在使用Microsoft 365教育版过程中，对学生数据的收集与处理情况。然而，学校称对该软件收集的数据没有实际控制权，无法提供这些信息。其后，该学生在欧洲数据保护组织NOYB（None of Your Business）的支持下，于2024年对学校、地方教育委员会、教育部及微软公司发起投诉，指控使用该软件侵犯了学生合法权益。

近日，DSB对该投诉作出裁决，公布该软件存在的多项违法行为。一方面，Microsoft 365教育版未经同意使用了跟踪cookie，并用于分析用户行为，此举违反了GDPR。微软、学校和教育部门被要求检查这些cookie是否仍在使用，并于十周内删除所有相关数据。

另一方面，微软未能回应用户提出的披露数据收集和处理情况的要求，在数据处理透明度方面存在严重问题，违反了GDPR赋予个人的知情权和数据访问权。DSB要求微软向原告提供完长期有效的访问通道，在四周内对学生数据使用情况作出解释。不仅如此，调查过程中还发现部分数据已被传输至LinkedIn、OpenAI以及广告技术公司Xandr，这意味着微软还存在违法数据传输行为。

NOYB数据保护律师Felix Mikolasch提到，“奥地利数据保护局的裁决真正凸显了Microsoft 365教育版缺乏透明度的问题。学校几乎不可能知道学生、家长和教师他们的数据被如何使用了。”

值得一提的是，调查过程中微软曾辩称Microsoft 365产品由其位于爱尔兰的欧盟子公司负责，公司应属于爱尔兰的管辖范围，此举目的是利用爱尔兰相对宽松的监管环境规避审查。然而，这一说法遭DSB否认，认定此事的关键决策由微软美国总部作出，应由总部承担主要责任。

据悉，微软方面在给媒体的声明中称，公司将对裁决结果进行审查，会在适当时机公布后续情况。微软方强调，Microsoft 365教育版符合所有必要的数据保护标准，教育领域机构可继续使用该软件。

南都N视频记者梳理发现，此前德国、法国也因安全风险出手“封杀”Micosoft 365。据报道，2022年，德国联邦和州数据保护局在一份监察报告中指出Micosoft 365违反GDPR规定，提出限制德国学校和公共机构使用该软件，而普通消费者和企业除外。同年，法国方面也以类似理由指出Micosoft 365不应在学校使用。

编译·综合：南都N视频记者 樊文扬

编辑：李玲