发布日期:2025年5月4日 / 更新日期:2025年7月21日 – 作者:Konrad Wolfenstein
欧洲的数据安全和数字主权:微软在欧洲的投资是否安全?——图片来源:Xpert.Digital
为什么服务器位置无法保证数据安全
微软近期宣布了对欧洲的重大投资,包括在瑞士部署源代码安全设施并扩展其云基础设施。这些举措被解读为对政治不确定性和欧洲客户日益增长的担忧的回应。尽管如此,美国法律与欧洲数据保护法规之间仍然存在根本冲突,这引发了人们对欧洲服务器位置是否真正能够提供充分保护的质疑。本报告分析了微软对欧洲的各项保证,阐述了美国《云法案》与欧盟《通用数据保护条例》(GDPR)之间的法律冲突,并探讨了为何仅凭数据的物理位置并不能保证数据安全和主权。
适合:
更新于2025年7月21日:
微软面向欧洲推出的全新数字化保障
鉴于特朗普政府发动的贸易战和突如其来的政治决策,许多欧洲消费者对美国数字产品失去了信心。微软正以在欧洲的具体承诺和投资来应对这一局面。
大规模基础设施投资
微软宣布计划在未来两年内将其在欧洲的数据中心容量扩大约40%,覆盖范围增至16个欧洲国家。该公司计划每年为此投资数百亿美元。这些举措不仅旨在满足日益增长的云服务和人工智能基础设施需求,也旨在增强欧洲客户的信任。
微软总法律顾问兼总裁布拉德·史密斯在其博客文章中强调了公司与欧洲紧密的经济联系,并向读者保证微软不会撤出欧洲市场。欧洲数据中心将独立运营,由欧盟公民管理,并遵守和执行欧洲法律。
瑞士源代码备份和业务连续性
其中一项尤其值得关注的保障措施是微软在瑞士对其源代码进行备份。该公司在瑞士的安全数据存储设施中创建源代码备份,并授予欧洲合作伙伴具有法律约束力的访问权限。这项措施旨在应对“极小概率事件”——即微软被迫停止其在欧洲的服务。
微软还计划寻找欧洲合作伙伴并实施应急预案,以确保业务连续性。目前,微软已通过与法国 Bleu 和德国 Delos 数据中心的合作,在法国和德国落实了这一计划。
欧盟数据边界:微软对隐私问题的回应
微软在欧洲战略的一个关键组成部分是为微软云实施所谓的“欧盟数据边界”。
欧盟内部的全面数据驻留
自 2024 年 1 月起,欧洲商业和公共部门的客户已能够在欧盟和欧洲自由贸易联盟 (EFTA) 地区内存储和处理其所有数据和用户凭证,用于微软的核心云服务,包括 Microsoft 365、Dynamics 365、Power Platform 和 Azure 服务。2025 年 2 月,欧盟数据边界的第三阶段(也是最后一个阶段)完成,该阶段将微软专业服务技术支持交互数据也纳入其中。
通过这项服务,微软比许多其他云提供商更进一步:该公司不仅支持本地存储和处理客户数据,还支持所有个人数据,包括来自自动生成的系统日志的数据。
附加安全选项
微软为欧洲客户提供多种数据安全和加密方案。其中包括 Azure 中的机密计算功能,该功能可防止第三方(包括微软自身)访问客户数据;以及适用于 Azure、Dynamics 365 和 Microsoft 365 的“锁箱”功能,该功能允许客户在微软访问其数据之前审核并批准请求。
其他安全选项包括 Azure Key Vault 和 Microsoft Purview Customer Key,它们允许客户使用自行控制的加密技术来保护其数据。
根本冲突:云法案与GDPR
尽管各方都做出了努力和保证,但仍然存在根本性的法律冲突,这引发了一个问题:欧洲公司的数据在美国供应商那里是否真的安全。
《云法案》的域外效力
《澄清合法海外数据使用法案》(CLOUD Act)于2018年生效,该法案允许美国执法机构强制美国公司提供数据访问权限,无论数据实际存储于何处。该法案也适用于存储在欧盟境内但由美国公司或其子公司管理的数据。
该法律规定,即使数据存储在美国境外,美国互联网公司和IT服务提供商也有义务允许美国当局访问存储的数据。如果数据所有者并非美国公民,且公司披露数据将违反其他国家的法律,则相关公司有权提出异议。但这项权利仅适用于与美国签署了《云法案》(CLOUD Act)协议的国家,而目前只有英国符合该协议。
对GDPR的反对
欧洲通用数据保护条例 (GDPR) 与《云法案》直接冲突。GDPR 第 48 条禁止公司在未签署司法互助协议的情况下传输存储在欧盟境内的数据传输。违反此条款者将被处以最高 2000 万欧元或公司全球年营业额 4% 的罚款。
美国《云法案》与欧盟《通用数据保护条例》(GDPR)之间的这种不兼容性,使使用云服务的公司陷入了进退两难的境地。他们面临着要么违反《云法案》,要么违反GDPR的选择,而这两者都可能导致巨额罚款。
适合:
为什么服务器位置无法保证数据安全
与普遍的看法相反,仅仅将数据存储在德国或欧盟境内的服务器上并不能提供足够的保护,防止外国访问。
通过位置选择实现数据安全的误解
认为存储在德国服务器上的数据会自动免受境外访问的观点被认为是一种“危险的误解”。即使个人数据存储在欧盟境内的数据中心,美国云服务提供商也可能依法有义务在刑事调查中向美国当局披露这些数据。
如果云服务提供商总部设在美国或在美国运营,数据处理通过美国基础设施进行,或者美国公司直接或间接拥有数据访问权限,则存在特定风险。在这种情况下,即使欧洲数据主体不知情或未经其同意,美国当局也可能获取个人数据。
对知识产权和商业秘密的威胁
这个问题远不止于个人数据保护。《云法案》带来的实际风险还会危及各类敏感数据的安全性和保密性,包括知识产权、研发原型、客户数据和私人通信。
即使数据存储在欧盟数据中心,《云法案》仍可强制美国公司将这些数据移交给美国当局。这不仅削弱了《通用数据保护条例》(GDPR)和欧盟的数据主权保护,而且还使关键商业信息(例如原型或战略计划)面临未经授权访问的风险。
由于美国当局可能采取访问手段,“公司实际上失去了对其数据的控制权,从而失去了对其知识产权的控制权”,这对于商业秘密和商业机密尤其重要。
增强数据主权的解决方案
鉴于上述问题,企业可以采取哪些措施来维护其数据主权就成了一个问题。
替代云服务提供商和技术措施
只有当所有提供商和子服务提供商都在美国法律之外运营,使用完全欧洲的基础设施,并实施完全由用户端密钥控制的端到端加密时,才能保证根据《云法案》有效防止访问。
因此,专家建议在选择云存储或备份服务提供商时采取以下预防措施:
- 选择一家不受《云法案》约束的欧盟供应商
- 保障数据主权,数据和加密密钥均完全保留在欧盟境内。
- 咨询法律和合规专家,专门从事 GDPR 和数据保护方面的工作
其他方法:开源策略
瑞士采取了一种有趣的替代方法:2023 年 4 月,《关于使用电子手段执行政府任务的联邦法案》(EMBAG)获得通过,该法案规定政府软件必须是开源的,并且源代码应该公开。
伯尔尼应用科技大学的马蒂亚斯·施图默教授是这项法律的倡导者,他将其描述为“对国家、IT行业和社会而言都是一个绝佳的机会”。该方案旨在减少公共部门对供应商的依赖,使企业能够扩展其数字化业务解决方案,并有可能降低IT成本,为纳税人提供更优质的服务。
通往真正数字主权的道路
微软在欧洲的投资以及欧盟数据边界的实施,是欧洲企业和公共机构提升数据主权的重要举措。然而,这些举措并未完全解决美国《云法案》与欧洲《通用数据保护条例》(GDPR)之间根本的法律冲突。
如果云服务提供商受美国法律管辖,仅仅将数据存储在欧洲服务器上并不能充分防止美国当局的潜在访问。这种情况不仅引发了数据保护方面的质疑,也威胁到欧洲公司的知识产权和商业秘密。
因此,真正的数字主权需要更全面的方法,兼顾法律和技术层面。这包括使用完全不受美国法律管辖的云服务、采用一致的端到端加密并由用户端控制密钥,以及可能加大对开源解决方案的投资。
归根结底,欧洲需要拥有独立自主的云基础设施,不仅在技术上,而且在法律上也应享有主权。在此之前,企业和公共机构必须认真考虑存储哪些数据、数据存储在何处以及如何存储,以及可以信任哪些服务提供商。
适合:
您的全球营销和业务发展合作伙伴
☑️我们的业务语言是英语或德语
☑️ 新:用您的国家语言进行通信!
Konrad Wolfenstein
我很乐意作为个人顾问为您和我的团队提供服务。
您可以通过填写此处的联系表,或者直接致电+49 89 89 674 804 (慕尼黑)。我的电子邮件地址是: wolfenstein ∂ xpert.digital
我很期待我们的联合项目。
