10月14日,科技媒体BornCity发布最新报道称,奥地利数据保护局(DSB)于2025年10月10日作出裁决,认定微软Microsoft 365教育版存在非法追踪学生数据的行为,严重违反欧盟《通用数据保护条例》(GDPR)相关规定。
报道透露,这起案件的起因是一位奥地利学生依据GDPR赋予的合法权利,要求所在学校说明在使用Microsoft 365教育版过程中对其个人数据的处理情况。

由于学校方面对微软具体收集了哪些数据以及如何使用这些数据并不知情,因此无法满足学生的要求。随后,在奥地利数据保护组织noyb的代理下,该学生向DSB正式提出申诉,从而揭露了微软在数据处理方面存在的不透明问题。
noyb的法律专家指出,微软试图将数据保护责任完全转嫁给学校的做法,在最新裁决中被认定无效。
经过深入调查,奥地利数据保护局发现微软存在多项违规行为。首先,Microsoft 365教育版在未经用户同意的情况下部署了追踪Cookie用于分析用户行为,这一做法被直接判定为非法。
其次,微软未能充分响应学生提出的合法数据访问请求,违反了GDPR第15条关于“访问权”的规定。DSB已责令微软删除相关数据并确保提供完整的访问权限。
更为严重的是,调查发现的数据痕迹显示,学生数据可能已被传输至LinkedIn、OpenAI以及广告技术公司Xandr,而微软始终未能对此给出明确解释。
裁决明确指出,责任主体应是在美国的微软公司,而非其设在爱尔兰的欧盟子公司。微软曾试图以爱尔兰子公司作为挡箭牌,利用当地相对宽松的监管环境规避审查,但DSB驳回了这一论点,认定关键决策均由美国总部做出。

