2025年10月14日,奥地利数据保护局公布了一项重要裁定:微软Microsoft 365教育版因在处理用户数据时严重违反欧盟《通用数据保护条例》(GDPR),被认定存在非法追踪学生数据的行为。
事件的导火索是一名奥地利学生依据GDPR赋予的个人权利,向所在学校申请获取其在使用Microsoft 365教育版过程中被收集和处理的个人数据信息。学校方面未能提供具体细节后,该学生在隐私保护组织noyb的支持下,向奥地利数据保护局提出了正式申诉,从而揭开了对微软数据处理行为的深入调查。
监管机构的调查结果显示,Microsoft 365教育版在未经用户明确同意的情况下,擅自部署追踪Cookie用于分析用户行为,这一做法被直接认定为违法行为。与此同时,微软未能妥善回应学生提出的合法数据访问请求,违反了GDPR第15条关于个人数据访问权的规定。为此,监管机构已下令要求微软删除非法获取的所有数据,并向申诉人提供完整透明的数据访问渠道。
更为严重的是,调查过程中发现部分学生数据存在被传递至LinkedIn、OpenAI以及广告技术公司Xandr的迹象,但微软方面未能对这些数据的流转路径提供合理解释或法律依据。
裁决特别指出,本案的法律责任主体应归属于位于美国的微软总公司,而非其在爱尔兰设立的欧盟子公司。微软曾试图通过爱尔兰实体来规避奥地利更严格的监管审查,但经评估认定,涉及数据处理的关键决策均源自在美总部,因此无法转移相关法律责任。
这一裁决再次凸显了跨国科技企业在欧洲运营时面临的数据合规挑战,同时也警示了教育领域数字服务在隐私保护方面存在的潜在风险。
