爆炸性内幕：微软如何将欧洲官员引渡到美国

Xpert 预发布版

在线联系方式（Konrad Wolfenstein）

语言选择 📢

发布日期：2026年6月7日 / 更新日期：2026年6月7日 – 作者： Konrad Wolfenstein

爆炸性爆料：微软如何将欧洲官员引渡到美国——图片来源：Xpert.Digital

巨大的云端幻象：为什么我们的政府数据在美国公司手中永远不安全

危险的依赖：当美国法律凌驾于欧洲数据保护之上时

TikTok vs. 微软：数据主权问题上令人痛心的双重标准

一个看似技术性的流程演变成了一场全面的政治丑闻：微软向美国国会提交了包含欧洲官员未删节姓名的内部文件。受影响的正是负责执行严苛的《数字服务法案》（DSA）以约束美国科技巨头的监管机构。这一事件无情地揭露了所谓欧洲“数字主权”的危险幻象。尽管欧洲各国政府和监管机构仍在依赖美国超大规模云服务提供商提供的“主权云”解决方案，但法律现实表明，诸如《云法案》之类的美国法律以及简单的议会传票就能轻易削弱欧洲的保障措施。此案生动地展现了，在关键时刻，美国科技公司不得不充当华盛顿的延伸——并迫使欧洲痛苦地意识到，如果没有自身独立的基础设施，真正的“数据主权”不过是空想。.

欧洲的数字主权不是一种承诺，而是一种幻觉。

2026年5月，荷兰新闻杂志《自由荷兰》（Vrij Nederland）披露了一起事件，虽然该事件并非新鲜事，但却具有巨大的政治影响。微软将包含电子邮件、会议记录和邀请函的内部文件泄露给了美国众议院的一个调查委员会，并且没有对其中提及的荷兰官员姓名进行任何删减。受影响的官员是荷兰消费者和市场管理局（ACM）以及荷兰数据保护局（AP）的员工，而这两个机构正是负责执行《数字服务法》（DSA）的机构。.

在此，准确描述至关重要，以避免过度简化：与最初的媒体报道相反，此次事件并非典型的《云法案》请求，即美国当局获取存储在云端的客户数据。其法律依据是美国众议院的传票，该传票强制微软交出其内部业务往来信函——即微软政府关系团队与欧洲当局之间的通信记录。根据所有现有信息，这些文件中官员姓名未被匿名化并非传票的明确要求，而是微软自身的疏忽。.

然而，这种技术上的细微差别并不能改变该事件的根本政治爆炸性；事实上，它反而加剧了这种爆炸性。传递的信息很明确：即使不完全启用《云法案》，美国政治机构也能获取那些参与制定令美国政治如鲠在喉的立法的欧洲监管机构的身份信息。一份简单的议会传票就足够了。.

荷兰国务秘书威勒米恩·艾尔茨称泄露这些姓名“令人不快”，并寻求与美国大使乔·波波洛会面。美国国务秘书埃里克·范德堡宣布，他将对数据共享的具体渠道展开调查。这些反应表明相关机构感到不安，但远不足以应对事态的严重性。.

政治动机：民主社会主义者协会（DSA）成为布鲁塞尔和华盛顿之间的战场

要全面理解这一事件，必须考虑其地缘政治背景。《数字服务法案》自2023年8月起适用于最大的平台，并自2024年2月起适用于所有数字服务，该法案要求谷歌、Meta和微软等公司满足更严格的内容审核、算法透明度和用户免受非法内容侵害等方面的要求。特朗普政府和共和党控制的众议院的大部分议员认为，这项法案是欧洲式的审查，旨在通过监管骚扰美国科技公司，并损害言论自由。.

这种敌意已经产生了切实的后果：美国对前欧盟委员蒂埃里·布雷顿实施了入境禁令，美国称布雷顿是《数据保护法》的“缔造者”。路透社报道称，华盛顿正在考虑对负责执行《数据保护法》的个人实施制裁。在此背景下，目前被曝光的荷兰官员不仅遭受了抽象的隐私侵犯——理论上，他们可能因为这些未经编辑的数据而被列入制裁名单或被禁止入境美国。.

美国众议院曾特别要求谷歌、Meta和微软等科技公司提供其内部信函，以证明其在执行欧洲监管项目方面存在问题，从而为批评《数据安全协议》（DSA）提供证据。微软遵照了这一命令——作为一家必须服从本国立法机构的美国公司，微软理应服从。至于为何未对欧洲官员的姓名进行删减，究竟是疏忽还是蓄意为之，其结果都是一样的。.

《云法案》：一部至今仍被欧洲低估的法律剖析

尽管荷兰的具体事件并不直接属于《云法案》的管辖范围，但了解该法案对于全面理解欧洲机构的结构性脆弱性至关重要。《澄清合法海外数据使用法案》于2018年3月23日由美国国会通过。该法案扩展了1986年的《存储通信法案》，并澄清了此前一直存在争议的问题：美国当局（包括联邦调查局、司法部等）可以要求美国科技公司交出其拥有、保管或控制的电子数据，无论这些数据是存储在美国还是欧洲的服务器上。.

具有讽刺意味的是，这项法律的起因竟是微软自己提起的一起诉讼。该公司拒绝交出存储在爱尔兰服务器上的客户数据，理由是当时的美国法律不具有域外效力。最高法院即将就此案作出裁决之际，《云法案》通过明确确立域外效力，使该案变得毫无意义。微软试图钻法律漏洞的伎俩，最终反而促成了立法者堵上了这个漏洞。.

该法律包含两项关键机制。首先，它规定，如果美国当局持有司法搜查令，且该搜查令能够充分证明存在犯罪行为，则美国服务提供商必须应美国当局的要求立即披露数据。其次，它允许美国与其他国家签订双边“行政协议”，以建立互惠的直接数据访问机制——美国已与英国和澳大利亚实施了这一框架。目前欧盟尚未与美国达成此类协议，这使得欧洲用户在使用美国云服务时继续处于不对称的境地。.

尤其令人担忧的是所谓的“封口令”：当局可以强制服务提供商在长达180天内不得向受影响的客户告知待处理的数据请求。这从根本上违背了GDPR的透明原则，并给服务于欧洲客户的美国公司造成了结构性的合规困境。.

《云法案》与《通用数据保护条例》之间存在根本性的法律冲突

《云法案》与《通用数据保护条例》（GDPR）之间的冲突并非隐晦，而是两个相互竞争的司法管辖区之间公开且悬而未决的法律纠纷。GDPR，特别是第48条规定，向第三国传输数据只能基于国际协议（例如《司法互助条约》）或其他适当的保障措施。《云法案》完全绕过了《司法互助条约》，允许美国当局在无需欧洲法院或数据保护机构参与的情况下，单方面直接获取数据。.

这给受影响的公司带来了一个典型的合规困境：遵守美国政府命令的公司可能违反GDPR，面临高达2000万欧元或全球年营业额4%的罚款；而拒绝遵守美国命令的公司则可能受到美国法律制裁，并在美国面临潜在的法律后果。美国云服务提供商陷入了这种矛盾之中，而他们的欧洲客户却在不参与诉讼的情况下承担了风险。.

欧洲数据保护委员会 (EDPB) 和欧洲数据保护监管机构 (EDPS) 在 2019 年的一份联合声明中明确指出，《云法案》在欧盟数据保护法框架下，对于向美国当局传输数据是否合法，其选择非常有限。欧洲法院 2020 年在“Schrems II”案中的裁决进一步强化了这一评估，该裁决宣布“隐私盾”框架无效，并明确指出仅靠合同保障措施无法凌驾于外国的访问权之上。.

微软的公开承诺与系统性胁迫的现实

多年来，微软一直奉行一贯的沟通策略：对于美国政府不合理的数据请求，微软将采取法律行动，过去也曾成功做到；同时，微软会竭尽所能保护客户数据。微软副董事长布拉德·史密斯在接受荷兰广播公司NOS采访时表示：“美国法院的命令可能适用于存储在美国境外的信息——但我们会诉诸法律。”

这种保证听起来令人安心，但却掩盖了这一立场的结构性局限性。微软既无力也无意对此次事件提出异议。该公司只是遵照议会传票行事，并未特别注意对第三方进行匿名化处理。此外，微软在多个国际场合承认，最终无法对欧洲用户的数据主权做出绝对保证。2025年6月，微软法律顾问安东·卡尼奥在法国参议院宣誓作证时表示，他无法保证法国公民的数据在未经法国当局授权的情况下永远不会被转移给美国实体。微软在致苏格兰警方的一封信中也表示，该公司“无法保证M365的数据主权”。.

这些声明并非仅仅是法律上的保障措施。它们揭示了美国科技公司所处的结构性现实：无论其服务器位于何处，无论其与欧洲客户的合同有何约定，它都必须遵守美国法律。.

一个影响深远的先例：国际刑事法院事件

荷兰的案例并非孤立事件，而是令人不安的模式的一部分。同样在2025年，微软代表特朗普政府，在特朗普对国际刑事法院（ICC）首席检察官卡里姆·汗实施制裁后，封锁了他的官方电子邮件账户。讽刺的是，国际刑事法院的总部设在海牙，而海牙正是荷兰的所在地。微软执行了美国政府的命令，从而剥夺了这一国际法律机构最高代表的数字访问权限。.

随后，Khan被迫转而使用瑞士供应商Proton Mail的服务。欧洲政界人士和国际法律专家对此感到震惊——但模式显而易见：一旦美国政府下令，美国科技公司就成为美国外交政策的延伸。服务合同、数据保护承诺和机构中立性在这个体系中都成了次要考虑因素。.

微软声称，此次暂停服务是与国际刑事法院协商后做出的，且仅针对受制裁的个人——卡恩，而非整个机构。然而，这种区分忽略了实际情况：如果一个国际机构的运营基础设施依赖于美国的云服务，那么该机构在结构上就很容易受到美国制裁令的影响。.

我们在欧盟和德国的业务拓展、销售和市场营销方面拥有丰富的专业知识

我们在欧盟和德国的业务拓展、销售和市场营销方面拥有丰富的专业知识——图片来源：Xpert.Digital

行业重点领域：B2B、数字化（从人工智能到扩展现实）、机械工程、物流、可再生能源和工业

更多信息请点击这里：

专家商业中心

一个提供见解和专业知识的主题中心：

涵盖全球和区域经济、创新和行业特定趋势的知识平台
汇集了我们重点关注领域的分析、见解和背景信息。
这里汇集了有关商业和技术最新发展的专业知识和信息。
一个为寻求市场、数字化和行业创新信息的企业提供的信息中心。

云端双重标准：为什么TikTok在美国受到的评判与微软在欧洲受到的评判截然不同

双重标准之争：TikTok 在美国与微软在欧洲的对比

此时，一个在公共辩论中鲜少被明确提及的考量因素是无法回避的。美国以TikTok的母公司可能将用户数据传递给中国政府或审查内容为由，禁止了TikTok（或者更确切地说，是强制其出售）。这一措施的理由是基于国家安全，而非已证实的事件，而是基于一种风险情景。.

与此同时，欧洲正在庆祝的模式与美国针对TikTok所采取的“主权云突破”在结构上如出一辙：一家外国公司运营本地基础设施，但仍受其母国司法管辖。唯一的区别在于，在欧洲的案例中，“外国”是美国——而且欧洲缺乏类似的战略决心来识别并终结这种依赖关系。.

美国立法将《云计算法案》视为合法的执法工具。然而，中国通过华为或字节跳动等公司所具备的类似能力却被视为国家安全风险。在这两种情况下，欧洲都因为尚未建立具有竞争力的独立数字基础设施而在谈判桌上缺乏筹码。.

欧洲的反应：在政治洞察力和结构性惯性之间

欧洲机构已经意识到局势的严重性——至少在口头上是如此。早在2025年3月，荷兰议会多数议员就呼吁政府停止将敏感政府数据迁移到美国云服务，并开发自己的欧洲解决方案。荷兰审计法院的一项调查显示，在1588个政府云服务中，有700个基于美国开放平台。.

2026年4月，甚至在DSA事件正式公开之前，荷兰政府就与德国供应商STACKIT（Schwarz Digits，Lidl集团旗下数字部门）达成了一项框架协议。该协议确保数据在欧盟境内合法存储，并赋予政府审计权。合同中还包含一项条款，规定如果服务控制权转移到欧洲经济区以外，则协议终止。尽管这更像是一项政治声明而非短期运营解决方案，但鉴于荷兰政府现有的IT基础设施目前仍主要由美国控制，因此该协议仍是一个重要的信号。.

2026年4月，欧盟委员会向四家欧洲供应商授予了价值高达1.8亿欧元的自主云服务合同：卢森堡-法国联合体（成员包括Post Telecom、OVHcloud和CleverCloud）、STACKIT、Scaleway以及Proximus（成员包括S3NS、Clarence和Mistral）。此次招标遵循一套专门制定的云主权框架，该框架包含八项目标，其中包括数据驻留、免受第三国法律约束以及技术开放性。.

与此同时，欧盟委员会正在制定一项全面的技术主权方案，预计将禁止美国云服务提供商将其服务用于医疗、司法和金融等领域的敏感公共部门数据。《商报》（Handelsblatt）于2026年5月独家报道了一项提案草案，该草案规定在公共采购中应优先考虑欧洲人工智能和云服务提供商。虽然美国服务提供商不会被完全排除在外，但它们将被排除在最高安全级别的考量范围之外——因为《云法案》从结构上使得绝对主权认证成为不可能。.

“主权云”幻觉：当合同不能取代法律时

近年来，欧洲数字政策领域最严重的误解之一是，人们普遍认为将数据物理存储在美国供应商的欧洲数据中心就能充分防止美国政府的访问。微软、亚马逊和谷歌投入大量营销资源，强化了这种误解：“欧盟数据边界”、“欧洲主权云”、“主权控制”——这些产品名称听起来很唬人，但存在根本性的设计缺陷。.

根本问题在于：主权取决于所有权，而非服务器所在地。任何使用美国云服务提供商的用户都受美国司法管辖——无论数据存储在法兰克福、阿姆斯特丹还是西雅图。微软副总裁布拉德·史密斯明确证实了这一点：“美国法院的命令可以适用于存储在美国境外的信息。” 2020年欧洲法院在“Schrems II”案中的裁决已经明确指出，如果东道国的法律无法提供同等水平的保护，那么仅凭标准合同条款无法提供充分的保护。.

美国超大规模数据中心运营商提供的“主权云”解决方案满足了一些合理的需求，例如国家数据本地化或合规性报告，但它们无法消除美国法律管辖权的结构性问题。外部密钥管理、数据驻留策略和欧盟运营模式等技术措施可以降低访问风险，但无法完全消除这些风险——微软在法庭和议会作证时也证实了这一点。.

经济层面：数字依赖的代价

除了数据保护和政治层面之外，欧洲对美国云服务提供商的结构性依赖还包含着显著的经济因素，而这种依赖很少被明确量化。据欧盟委员会估计，美国云服务提供商控制着欧洲约70%的市场份额，其中亚马逊和微软占据主导地位。这种市场主导地位不仅意味着对受外国法律约束的公司的依赖，还意味着大量资本从欧洲流向美国，以及欧洲技术生态系统的结构性发展不足。.

将您的数据委托给美国公司，实际上是在资助其研发预算，为人工智能系统提供训练数据，并增强那些能够左右美国外交政策的公司的市场力量。欧洲预算中拨出的数十亿欧元用于微软365、Azure、AWS或谷歌云服务，最终流入一个在关键时刻优先考虑欧洲利益而非其他利益的经济体系。此外，44%的欧洲公司认为，服务提供商缺乏主权保障是其采用云服务的主要障碍，32%的公司报告称去年发生过“主权事件”——最常见的是未经授权的跨境数据传输。.

欧洲数字经济面临着结构性困境：短期来看，美国超大规模数据中心运营商在技术性能、深度整合和成本方面优于欧洲本土企业。然而，从长远来看，它们会加剧欧洲对美国的依赖，而随着欧盟与美国之间地缘政治紧张局势的加剧，这种依赖性将对公共机构的生存构成治理风险。向欧洲本土替代方案转型并非政治上的权宜之计，而是关乎制度完整性的重大问题。.

欧洲机构的技术和法律选择

对于真正致力于数据主权而非仅仅模拟数据主权的公共机构和公司而言，分析揭示了一系列明确的要求。首先，使用没有美国母公司的欧洲云服务提供商是结构性地排除《云法案》管辖权的唯一途径。STACKIT、OVHcloud、Scaleway、Hetzner 和 IONOS (1&1) 等提供商在不同程度上提供符合 GDPR 标准的服务，这些服务不受美国法律的约束。.

其次，使用欧洲管理的密钥进行客户端加密可提供额外的保护层，理论上也适用于美国服务提供商。如果数据在传输到云端之前进行加密，且服务提供商无法访问密钥，则即使服务提供商有义务交出加密文件，美国当局也无法读取原始数据。第三，每一项采购决策都应包含完整的《数据保护影响评估》(DPIA)，明确评估并记录《云法案》风险。.

技术发展使得主权的实现不再依赖于孤立，而是依赖于架构：联邦系统、开源平台和零信任架构，这些架构通过技术手段强制执行控制机制，而不是通过合同承诺。.

冷静的评估：此案的意义何在，又不意味着什么

荷兰的案例意义重大，但其具体运作机制常被误解。它并非典型的违反《云法案》的案例，即客户数据从云端泄露。而是一家美国公司履行了其议会规定的提供信息的义务，却未能对第三方进行匿名化处理。起初，这似乎并不那么引人注目，但随后却愈发引人注目，因为它表明，除了《云法案》之外，还有许多美国法律机制可能危及欧洲政府的数据安全。.

然而，此案无疑证明，微软作为一家美国公司，受美国法律管辖，并在必要时会依法行事。任何合同安排、服务器位置或主权云营销活动都无法改变这一点。任何真正想要保护政府数据、敏感商业秘密或个人数据完整性的人，都无法在美国的基础设施上获得绝对的安全保障。.

巴伐利亚数字自由倡议组织、Xpert.Digital 以及其他多年来一直关注这些系统性问题的机构和个人，其分析已被证实是正确的：这场辩论长期以来一直局限于绥靖政策和合同承诺的舒适区。此案例使结构性困境显露出来，也使真正实现数字主权所必然带来的政治后果变得无法回避。.

关于微软软件是否构成“间谍软件”这个问题，答案更为复杂：该公司并非主动监视欧洲当局的间谍机构。然而，该公司在结构上无力（或许也不愿）全面捍卫欧洲的数据主权，使其免受美国政府指令的影响。这使得美国云服务在结构上不适合存储敏感的公共和政府数据——无论人们如何从法律或道德层面定义“间谍活动”。.

观点：欧洲的数字主权是一项关键战略问题

欧洲的数字化依赖是过去二十年政治短视、缺乏对自身技术生态系统投资以及优先考虑效率提升而非主权风险的经济逻辑所导致的。欧盟委员会拨款1.8亿欧元用于主权云服务、荷兰的STACKIT框架协议以及已宣布的技术主权方案，都是朝着正确方向迈出的第一步——但考虑到问题的规模和地缘政治升级的速度，这些举措仍然远远不够。.

数字主权并非要求建立数字民族主义或孤立全球技术市场。它的基本要求是，民主机构必须对其赖以运作的系统保持实际控制权——而且这种控制权不能被第三国的域外立法所削弱。只要欧洲尚未建立起具有足够规模的竞争性替代方案，只要公共机构仍在依赖数千个美国云系统运行，任何关于数据主权的保证都只是一种政治虚构——只不过是用服务器位置营销的华丽辞藻包装起来而已。.

荷兰发生的这起事件敲响了警钟。欧洲能否醒悟过来，仍然是一个关键问题。.