发布于:2025年5月4日 /更新,发表于:2025年5月4日 - 作者: Konrad Wolfenstein
为什么服务器位置不保证数据安全性
微软最近宣布了在欧洲进行的大量投资,包括在瑞士获得源代码以及扩大其云基础设施。这些措施是根据政治不确定性和日益严重的欧洲客户关注来解释的。尽管做出了这些努力,但美国法律与欧洲数据保护法规之间存在根本的冲突,这提出了一个问题,即欧洲服务器位置是否可以真正提供足够的保护。该报告分析了微软对欧洲的保证,解释了《美国云法与GDPR》之间的法律冲突,并研究了为什么仅数据的物理位置并不能为数据安全和主权提供任何保证。
适合:
微软对欧洲的新数字保证
鉴于贸易斗争和特朗普政府的突然政治决定,许多欧洲客户对美国的数字产品失去了信任。微软对欧洲的具体保证和投资对此做出了反应。
广泛的基础设施投资
微软宣布,它将在未来两年将其在欧洲的数据中心容量扩大约40%,并将其扩展到16个欧洲国家。对于这一扩展,该公司正在计划年度投资,以两倍数亿美元的高度。这些措施不仅应满足对云服务和AI基础设施的不断增长的需求,而且还可以增强欧洲客户的信任。
微软大法官兼总裁布拉德·史密斯(Brad Smith)在他的博客文章中强调了与欧洲的密切经济联系,并确保微软不会退出该地区。欧洲数据中心应独立行动,并在欧盟公民的指导下进行,并应遵守欧洲法律。
瑞士源代码安全和操作连续性
一个特别显着的保证是在瑞士确保微软的源代码。该公司在瑞士的安全数据存储中创建其源代码的备份,并授予欧洲合作伙伴的法律访问权。这项措施是Microsoft应该被迫停止在欧洲的服务的“不太可能情况”的紧急计划。
微软还计划命名欧洲合作伙伴并采取紧急预防措施,以保证运营连续性。法国和德国与BLEU和DELOS数据中心的合作伙伴关系已经实施。
欧盟数据限制:微软对数据保护问题的回答
微软在欧洲战略的核心组成部分是实施了Microsoft Cloud的所谓“欧盟数据限制”(EU数据边界)。
欧盟内的全面数据居住
自2024年1月以来,来自商业和公共部门的欧洲客户能够为Microsoft-Microsoft 365,Dynamics 365,Power Platform和Azure Services的Microsoft云服务保存和处理其所有数据和用户检测。欧盟数据限制的第三阶段也是最后一个阶段是在2025年2月完成的,从技术支持交互中,该限制也扩展到Microsoft专业服务数据。
通过此优惠,微软比许多其他云提供商更进一步:该公司不仅可以启用客户数据的本地存储和处理,还可以从所有个人数据(包括自动创建的数据)中获得。
其他安全选项
微软为欧洲客户提供了几种保护和加密数据的选择。这包括Azure中的机密计算,该计算阻止了包括Microsoft本身的客户数据在内的第三方,以及用于Azure,Dynamics 365和Microsoft 365的“ Lockbox”功能,客户可以在Microsoft访问他们的数据之前先检查和批准。
其他安全选项包括Azure密钥保险库和Microsoft Purview Customer键,使客户能够使用自控的加密技术保护其数据。
基本冲突:云行为与GDPR
尽管做出了所有努力和保证,但仍有一场基本的法律冲突提出了一个问题,即欧洲公司的数据是否真的与美国提供商相比。
《云法》的域外范围
2018年生效的《云法案》(澄清有关数据法的合法法案)使美国刑事起诉当局能够迫使总部位于美国的公司授予对数据的访问,无论数据物体存储的位置。这也适用于欧盟存储的数据,但由美国公司或其子公司管理。
该法律规定美国互联网公司和IT服务提供商,以确保如果在美国没有存储的情况下,也可以访问美国当局对存储数据的访问。如果数据的所有者不是美国公民,那么有关的公司有权有权反对,并且该公司将在其他国家 /地区违反法律,这仅适用于已根据《云法》达成协议的国家,目前仅在英国案件。
与GDPR的矛盾
欧洲一般数据保护法规(GDPR)与《云法》直接矛盾。 GDPR的第48条禁止公司在欧盟内部确保的数据转移,而无需法律援助协议。违反该规定的行为可以被罚款高达2000万欧元,占全球年营业额的四分之一。
美国云法案和欧盟一般数据保护法规的这种不相容性将使用云服务的公司陷入了无法解决的困境。他们面临违反云法或反对GDPR的选择,尽管两者都可能导致重大制裁。
适合:
为什么服务器位置不保证数据安全性
与广泛的假设相反,仅数据存储在德国境内或欧盟的服务器上的事实并不能提供足够的保护,以防止外国访问。
通过选择位置的数据安全性错误
人们坚信德国服务器的数据会自动保护免于外国访问,称为“危险错误”。即使将个人数据存储在欧盟的数据中心内,在刑事调查的背景下,美国云提供商也可以合法地将这些数据传递给美国当局。
有一个特定的风险,尤其是如果云提供商在美国设有总部或在那里工作的情况下,通过美国基础架构或美国公司可以直接或间接访问数据的数据处理。在这种情况下,即使没有欧洲有关人员的知识或同意,美国当局也有可能获得个人数据的访问权。
威胁知识产权和商业秘密
这个问题远远超出了个人数据的保护。 《云法案》具有实际风险,也危害所有类型的敏感数据的安全性和机密性,包括知识产权,F&E原型,客户数据和私人通信。
即使数据存储在欧盟数据中心中,云ACT美国公司也可以强迫此数据发布此数据。这不仅破坏了GDPR的保护和欧盟的数据主权,还暴露了关键的业务信息,例如原型或战略计划,即未经授权的访问风险。
由于美国当局的潜在访问选择权,“实际上,公司对其信息以及有关知识产权的信息失去了主权”,这对商业和公司的秘密尤其批评。
解决更多数据主权的解决方案方法
鉴于所描述的问题,问题是公司可以采取哪些措施来保护其数据主权。
替代云提供商和技术措施
只有在美国法律之外的所有提供商和细分提供者法案,仅使用欧洲基础架构并使用独有的用户密钥控制实施端到端加密的情况下,才能保证有效保护基于云法案的访问权限。
因此,专家建议在选择云存储或备份提供商时采取以下预防措施:
- 选举不受《云法案》的基于欧盟的提供商
- 保证数据和加密密钥完全保留在欧盟内的数据主权
- 添加专门从事GDPR和数据保护的法律和合规专家
替代方法:开源作为一种策略
瑞士采取了一种有趣的替代方式:2023年4月,关于使用电子资源的联邦法律决定履行当局(ombag),该法规定必须开源政府软件,并应披露源代码。
为这项法律而战的伯尔尼应用科学大学的MatthiasStürmer博士将其描述为“对国家,IT行业和社会的绝佳机会”。该方法旨在减少提供者对公共部门的承诺,使公司能够扩展其数字业务解决方案,并有可能导致IT成本降低和为纳税人提供更好的服务。
真正的数字主权的方式
微软在欧洲的投资以及欧盟数据限制的实施是朝着欧洲公司和公共机构更多数据主权的重要步骤。但是,它们并未完全解决《美国云法与欧洲GDPR》之间的基本法律冲突。
如果云提供商受美国法律的约束,则仅在欧洲服务器上存储数据并不能提供足够的保护,以防止美国当局的潜在访问权限。这不仅质疑数据保护,还威胁着欧洲公司的知识产权和商业秘密。
因此,对于真正的数字主权,需要考虑法律和技术方面的更广泛的方法。这包括使用云服务的使用,这些服务完全超出了美国法律的范围,始终如一的端到端加密和用户端密钥控制,并且可能增加了对开源解决方案的投资。
最终,欧洲需要自己的独立云基础架构,不仅在技术上而且在法律上也是自信的。在此之前,公司和公共机构必须仔细考虑他们保存在哪里以及如何以及他们可以信任哪些提供商的数据。
适合:
您的全球营销和业务发展合作伙伴
☑️我们的业务语言是英语或德语
☑️ 新:用您的国家语言进行通信!
我很乐意作为个人顾问为您和我的团队提供服务。
您可以通过填写此处的联系表,或者直接致电+49 89 89 674 804 (慕尼黑)。我的电子邮件地址是: wolfenstein ∂ xpert.digital
我很期待我们的联合项目。