奥地利数据保护局裁定微软 365 教育版非法追踪学生

IT之家 10 月 14 日消息，科技媒体 BornCity 昨日（10 月 13 日）发布博文，报道称奥地利数据保护局（DSB）于 2025 年 10 月 10 日发布裁决，认定微软 Microsoft 365 教育版非法追踪学生数据，严重违反了欧盟《通用数据保护条例》（GDPR）。

IT之家援引博文介绍，此案的导火索源于一名奥地利学生的维权行动。该学生依据 GDPR 赋予的权利，要求所在学校提供相关说明，明确其使用 Microsoft 365 教育版时的数据信息处理方案。

而由于该学校自身也不清楚微软收集了哪些数据以及如何使用这些数据，因此学校表示无法提供。随后，在奥地利数据保护组织 noyb 的代理下，该学生向 DSB 提起申诉，从而揭开了微软数据处理不透明情况。

noyb 的法学家指出，微软试图将数据保护的责任完全推卸给学校，但这种做法已被官方认定为无效。

在深入调查后，奥地利数据保护局发现了微软存在的多项违规行为。首先，Microsoft 365 教育版未经用户同意便部署了追踪 Cookie，用于分析用户行为，这被直接判定为非法。

其次，微软未能充分响应学生的合法数据访问请求，违反了 GDPR 第 15 条规定的“访问权”。DSB 已责令微软删除相关数据并提供完整的访问权限。

更严重的是，调查发现有数据痕迹表明，学生数据可能已被传送至 LinkedIn、OpenAI 及广告技术公司 Xandr，而微软并未对此做出清晰说明。

裁决明确指出，责任主体是位于美国的微软公司，而非其设在爱尔兰的欧盟子公司。微软曾试图以后者为挡箭牌，利用爱尔兰相对宽松的监管环境规避审查，但 DSB 驳回了这一论点，认定关键决策由美国总部做出。