Microsoft 的歐洲數位承諾
為進一步強化我們對強化網路韌性以及保護您在歐洲數位基礎結構的承諾,Microsoft 與各國政府及組織合作,建立了 [歐洲安全性計畫]。
宣佈 Microsoft 主權雲端——深入了解這套全面的主權解決方案及其如何建立在我們的歐洲數位承諾之上。
向歐洲客戶做出新承諾
Microsoft 在協助歐洲組織實現數位主權、韌性、安全性和創新方面具備獨特能力。我們在歐洲數十年的信任夥伴關係、業界領先的合規性產品組合,以及對當地資料中心和服務的持續投資,協助客戶在持續發展創新、韌性或效能的情況下,滿足不斷變化的法律要求。有了 Microsoft,歐洲組織可以有自信地根據自己的條件和資料,完全掌握未來建設。
Microsoft 宣佈對歐洲做出的五項數位承諾。這些承諾包括:
- 協助在整個歐洲建立廣泛的 AI 和雲端生態系統。
- 在地緣政治不穩定的情況下,維護歐洲的數位韌性。
- 持續保護歐洲資料的隱私。
- 始終協助保護和捍衛歐洲的網路安全性。
- 協助提升歐洲經濟競爭力,包括開放原始碼。
"在地緣政治不穩定的時期,我們承諾提供數位穩定性。"
Microsoft 副主席兼總裁 Brad Smith
增強 Microsoft 歐洲雲端營運的韌性
Microsoft 致力於協助歐洲應對全球不確定性,透過加強和擴展歐洲大陸的數位韌性。為此,Microsoft 已宣布在其歐洲雲端營運中進行一系列投資,並將繼續擴展目前歐洲最大的雲端基礎結構足跡。
-
Microsoft 已承諾對其歐洲雲端營運進行多項變更,加強 Microsoft 與歐洲之間的聯繫,並協助歐洲國家更好地管理風險。未來,Microsoft 的歐洲中心營運和董事會將由以歐洲國籍人士組成、並根據歐洲法律運作的歐洲董事會進行監督。Microsoft 也將在所有與歐洲國家政府和歐洲執委會簽訂的合約中納入「數位韌性承諾」,以對抗任何下令停止在歐洲提供雲端服務的命令。在極不可能發生此類命令的情況下,Microsoft 承諾與歐洲合作夥伴合作,確保歐洲的雲端營運持續進行。
-
Microsoft 已宣布計劃在未來兩年內將增加 40% 的歐洲資料中心容量。結合我們最近的建設,這將在 2023 年至 2027 年之間使歐洲產能提升至兩倍。
-
為了加強歐洲的網路安全性,Microsoft 已為該地區指定了一位專職副首席資訊安全官 (副 CISO),負責監督與 DORA、NIS2 和《網路韌性法案》 (CRA) 等重要法規的合規性。
-
Microsoft 優先考量開放原始碼互通性,以賦予客戶選擇權、推動創新,並在歐洲培育充滿活力的技術生態系統。Microsoft 支援超過 1,800 個 AI 模型,包括來自 Hugging Face 和 Mistral 等知名歐洲開放原始碼模型。開放平台使歐洲企業和新創公司能夠快速創新、有效採用新興技術,並在日益以 AI 驅動的經濟中保持全球競爭力。
Microsoft 在歐洲的主權能力
這些新承諾受 Microsoft 一系列全面功能的支援,讓歐洲的組織能夠對其資料擁有更多控制權、更好的透明度和穩定的雲端創新。
-
Microsoft 在歐洲擁有最全面的雲端足跡,擁有遍佈整個歐洲大陸的資料中心區域,以支援本機資料落地和韌性。這其中包括屬於歐盟成員國和 EFTA 國家的多個區域,如法國、德國、挪威、瑞士、愛爾蘭、荷蘭和波蘭 (以及其他國家)。Azure 是由多個資料中心和可用性區域所組成的區域來劃分。
-
Microsoft EU 資料邊界保證歐洲客戶資料會在歐盟/EFTA 區域內進行儲存及處理。這是一項涵蓋 Azure、Microsoft 365、Dynamics 365 和 Power Platform 服務的正式承諾。透過在 2025 年初完成的分階段推出,Microsoft 現已將客戶內容、個人身分識別碼,甚至是支援資料,完全保留在歐洲境內的資料中心。此計劃透過加強資料保護和使用者信任,與歐洲的數位價值觀保持一致。這讓歐盟客戶對其資料所在位置擁有更大的控制權和透明度,盡可能減少不必要的資料外洩至歐洲區域外。簡而言之,Azure 提供增強的資料落地,協助滿足主權需求。
-
在歐洲許多地區,針對希望將 Microsoft 365 資料保留在國界內的客戶,也提供了其他選擇。針對 2022 年前啟用的當地地區 (包括法國、德國、挪威、瑞典、瑞士和英國),Exchange Online、商務用 OneDrive、SharePoint Online、Microsoft 365 Copilot 和 Microsoft Teams 的核心資料落地承諾是透過 Microsoft 365 產品條款所提供。針對 2022 年後啟用的當地地區,以及需要額外工作負載涵蓋範圍的較早區域,Microsoft 365 進階資料落地附加元件 向特定的當地資料中心區域提供已承諾資料落地,並擴大 Microsoft 365 工作負載和客戶資料的涵蓋範圍,以及優先的租用戶移轉服務。
-
Azure 機密運算確保資料在靜止、傳輸和使用過程中都受到保護。此創新能力使用硬體型受信任執行環境 (TEE),為工作負載建立加密位址。記憶體中的資料會加密並隔離,防止在處理過程中 Microsoft 或任何第三方進行存取。Azure 機密 VM 和容器利用專用芯片 (如 Intel SGX、Intel TDX 和 AMD SEV-SNP) 來強制執行這個環繞資料的「保險箱」。這表示從個人資料到專屬演算法,這些敏感性工作負載可以在 Azure 中執行,而不會遭雲端提供者存取。藉由加密使用中的資料,Azure 協助組織滿足嚴格的隱私要求,減輕內部或外部威脅,進一步促進高度敏感性或受監管資料的雲端採用。
-
Microsoft Cloud for Sovereignty 是一個基於 Azure 公用雲端的解決方案,為政府和受監管客戶提供額外的主權控制、治理工具和指引。這不是一個獨立雲端,而是一種設定方法,協助客戶在 Azure 上部署工作負載,同時滿足國家專用的合規性、安全性和政策要求。Cloud for Sovereignty 提供一個「主權登陸區域」,配備 Azure 原則、藍圖和護欄,將資料保留在選定區域內,強制執行加密,並提升操作透明度。這讓公共部門組織能夠充分利用 Azure 超大規模服務的完整潛力,包括廣泛的開發工具、AI 和分析,同時對資料位置、管理存取和稽核保持更好的控制。就本質而言,Cloud for Sovereignty 將客戶在歐洲的雲端創新和敏捷程度最大化,但在主權和合規性方面遵循客戶的條件。
與歐洲合作夥伴的主權雲端
除了公用雲端功能外,Microsoft 也率先推出完全主權的雲端環境,讓當地實體可自行擁有並運營。
-
作為 Orange 和 Capgemini 之間的合資企業,Bleu 是在法國法律和監管下營運的「可信雲端」(cloud de confiance)。它將提供廣泛的 Microsoft Azure 和 Microsoft 365 雲端服務,僅由法國公司和位於法國的資料中心人員營運。Bleu 將提供滿足法國政府和關鍵基礎結構客戶獨特安全性、韌性和主權需求的現代雲端能力。Bleu 將獲得 SecNumCloud 認證 (法國政府的安全標準) 以驗證其控制權。
-
根據 Microsoft 和 Delos Cloud (SAP 子公司) 之間的合約,德國主權雲端將提供廣泛的 Microsoft Azure 和 Microsoft 365 雲端服務,僅由德國公司及位於德國的資料中心地區人員營運。與 Bleu 一樣,其獨立於 Microsoft 的全球雲端,同時使用 Azure 技術結構,從而結合了受信任的本機營運與最先進的雲端功能。Delos 旨在協助德國聯邦、州和地方機構以完全符合德國嚴格的資料主權和 IT 安全性要求的方式移動至雲端。
常見問題集
-
Microsoft 與客戶的關係建立在信任之上。在地緣政治不確定的時期,我們希望向歐盟展現我們致力於提供數位穩定性的承諾。以 Microsoft 強大的主權產品組合為本,我們希望展示我們堅定的支援和領導能力,以及五項額外承諾。
-
位於歐洲的 Microsoft 客戶無需採取任何行動,並且可以利用我們目前在歐洲託管的雲端區域所提供的一系列全面功能。Microsoft 的數位韌性承諾已納入與歐洲國家政府和歐洲執委會簽訂的合約中,使該承諾對 Microsoft 公司及其所有子公司具有法律約束力。
-
Microsoft 在歐洲已擁有許多主權能力。Microsoft Cloud for Sovereignty 於 2023 年 12 月在所有 Azure 區域正式推出。這表示歐洲 (及全球) 政府和受監管客戶現在可以啟用主權功能來部署 Azure。此外,Microsoft Cloud 的 Microsoft EU 資料邊界於 2025 年 2 月全面導入。Microsoft 365 進階資料落地已在法國、德國、義大利、挪威、波蘭、西班牙、瑞士、瑞典和英國推出,未來將在奧地利、丹麥和希臘等地區推出。我們將繼續擴展我們的雲端服務,為客戶改善透明度和控制權。未來將分享更多資訊。
-
Microsoft 認為,大多數客戶可以透過我們的公用雲端來滿足主權需求。 隨著時間的推移,我們在 Azure 中建立了一套強大的主權能力,包括歐洲資料邊界、Microsoft Cloud for Sovereignty 和機密運算。 該清單現在包括我們向歐洲合作夥伴承諾提供的程式碼使用權利,以確保營運持續性。 另一方面,Bleu 和 Delos Cloud 是獨立執行個體,執行於由法國和德國獨立當地合作夥伴營運的主權雲端資料中心 Microsoft 雲端服務,不屬於公用雲端。 這些服務適用於符合資格標準,並需要滿足國家特殊要求的特定客戶,例如在當地合作夥伴的治理下營運,以及滿足法國的 SecNumCloud 要求和德國的雲端平台要求。
-
我們去年宣佈 AI 存取原則,確保開放存取我們的 AI 和雲端平台,以取得各種商務模型 (包括開放原始碼和專屬) 的存取權,並在接下來幾個月內擴大這些承諾。
-
Microsoft 透過合規性認證和獨立稽核,提供廣泛的第三方保證。Microsoft 的商業雲端產品擁有業界最廣泛的合規產品組合之一,在全球提供超過 100 項合規產品,並且經由獨立第三方稽核。Microsoft 定期進行 ISO/IEC 27001 (資訊安全性管理)、ISO/IEC 27017 (雲端安全性)、ISO/IEC 27018 (雲端隱私) 等標準的評估,以及由獨立稽核人員提供的 SOC 1、SOC 2、SOC 3 認證。在歐洲,Azure 已獲得德國的雲端運算合規性準則目錄 (C5) 等計劃的認證,並符合 EU 法規 (如 GDPR,以及可在 Microsoft 信任中心取得的稽核報告)。Microsoft 在其服務信任入口網站上發佈稽核報告和合規文件,供客戶檢閱。這些第三方稽核驗證 Azure 控制權的有效運作,並確保您所使用的雲端平台安全且合規。如需詳細資訊。
-
Microsoft 的端到端韌性策略,涵蓋無與倫比的全球基礎結構、容錯服務結構和強大的災害復原計劃,讓客戶設計高可用性結構。擁有任務關鍵性工作負載的組織受益於 Microsoft 的可靠性保護措施,例如可用性區域、異地備援區域和經過嚴格測試的連續性計劃,這些都降低了技術問題的風險。
此外,為了應對由於地緣政治問題導致的服務中斷風險,Microsoft 正在設立指定的歐洲合作夥伴,並為營運持續性制定應變計劃,防止 Microsoft 在極少數情況下遭到法院要求暫停服務。 我們期待在未來分享更多資訊。
-
這項公告著重於我們在歐洲的投資。我們將繼續投資以滿足全球客戶的需求,並視情況進行地區和國家的特定投資。Microsoft 致力於遵守我們營運市場的所有適用法令規定。
-
您保有您資料的所有權和控制權: Microsoft 的資料管理資料擁有權及控制權一律由您保有。Microsoft 僅在提供您選擇的服務時存取您的內容,並遵循您的合約。我們不會為行銷或廣告探勘資料,也不會與第三方廣告商分享資料。Microsoft 生成式 AI 服務不會使用客戶資料來訓練任何生成式 AI 基礎模型,除非根據客戶的書面指示。您控制內容的儲存、存取、分類和刪除。這些原則受到 Microsoft 合約的支援,並符合如 ISO/IEC 27018 隱私權標準的規範。
-
您可以透過選取服務的地理區域來決定客戶內容的儲存位置。例如,Azure 擁有遍佈全球基礎結構,相較於其他提供商涵蓋更多區域 (全球超過 60 個區域,包括許多歐洲區域),讓您可以更靈活地選擇資料位置。Microsoft 不會在未經您授權的情況下,在指定的區域/地理位置之外儲存或處理資料。除非您確定複製內容到其他位置以提高韌性,或因法規要求,客戶內容將保留在所選的 Azure 區域 (或地理區域) 內。例如,如果您選擇 EU 的 Azure 區域,Microsoft 將在該區域內保留您的資料。針對 Microsoft 365,符合條件的客戶可以透過 Microsoft 365 進階資料落地附加元件選擇其資料的位置。
-
Microsoft Azure 使用產業標準強式加密演算法。針對待用資料,Azure 為儲存在雲端中的所有客戶資料進行 256 位元 AES 加密。AES-256 是最強的區塊加密演算法之一,應用於 Azure 儲存體、SQL 資料庫、Azure Key Vault 等服務,並符合 FIPS 140-2 加密標準。針對傳輸中的資料,Microsoft 使用最新的 TLS (傳輸層安全性) 協議。Azure Front Door - 使用 Azure Front Door 進行 TLS 加密Azure Front Door 支援 TLS 1.2 (並支援 TLS 1.3) 進行通訊,使用強大的加密套件,確保傳輸中資料的加密至少具有 256 位元對稱式加密和新式金鑰交換。
-
Microsoft 提供完善的選項來管理和保護 Azure 中的加密金鑰。在預設情況下,所有 Azure 服務使用增強式加密和 Microsoft 管理的金鑰來保護客戶的待用資料。不過,需要更多控制權的客戶有多個選擇:您可以將儲存在 Azure Key Vault 中的客戶自控金鑰 (CMK) 用於 Azure 儲存體、Azure Cosmos DB 等服務,讓您保有金鑰的變換和存取原則控制權。您還可以選擇 Azure Key Vault 的受控 HSM,這為您提供專用的硬體安全性模組 (通過 FIPS 140-2 Level 3 驗證) 來儲存您完全控制的金鑰。此外,Azure 支援攜帶您自己的金鑰和客戶提供金鑰的案例,讓您可以在內部部署或第三方 HSM 中生成金鑰並在雲端使用。
-
不可以。Microsoft 的雲端設計旨在防止 Microsoft 人員在未經客戶許可的情況下存取客戶內容。在預設情況下,Microsoft 工程師對客戶資料擁有「零信任網路存取」(ZSA),他們不具備長期管理權限來查看您的內容。如果 Microsoft 人員需要存取客戶內容以解決問題,他們必須通過嚴格的即時存取請求流程,該流程需要客戶核准 (針對使用客戶加密箱的特定服務) 或管理層核准,所有存取不僅有時間限制,也會完全記錄和稽核。這些控制權會定期進行稽核 (例如,作為 SOC 2 和其他認證的一部分),以確保 Microsoft 的合規性。
如需有關客戶資料的要求和 Microsoft 保護客戶資料的原則 (包括其他常見問題) 的詳細資訊,請參閱: 政府對客戶資料的要求報告 | Microsoft CSR。
-
Microsoft 透過設計安全的雲端基礎結構和廣泛的內建安全性服務來協助滿足資料保護要求。Azure 的資料中心和網路架構旨在滿足高度安全性敏感組織的需求。Microsoft 採用多層安全性控制和零信任原則,並提供 Azure 機密運算來保護使用中的資料 (讓雲端營運商在處理過程中無法存取您的資料)。此外,Microsoft 提供各種安全性工具 (超過 200 種安全、合規和治理功能) 來保護應用程式和資料。例如,根據預設,所有資料在靜態和傳輸中都會加密,且 Microsoft 持續監控威脅,利用每日超過 65 兆的安全性訊號快速偵測和應對新興風險。Microsoft 合規性產品組合 (具有超過 100 個認證) 和強大的安全性做法,協助客戶履行 Microsoft Cloud 中的法規和資料保護義務。
-
Microsoft 提供針對多雲端和可移植性案例所設計的結構框架指引。Microsoft Azure 與開放原始碼技術高度相容,因此設計可移植元件的應用程式非常簡單。例如,您可以透過 Azure Kubernetes Service (AKS) 使用容器化和協調流程,或在 Azure 上使用 PostgreSQL/MySQL 等採用標準引擎的資料庫,以輕鬆進行移轉。建議使用基礎結構即程式碼 (IaC) 模板 (Azure Resource Manager 或 Terraform) 以可移植方式定義您的環境。Azure 也與跨雲端工作的 CI/CD 工具 (如 GitHub) 整合。多雲端和混合式服務 (如 Azure Arc 和 Azure Local) 可協助您在內部部署或其他雲端部署 Azure 服務,確保一致性並可移植工作負載。
-
可以,Microsoft 支援將資料從 Microsoft Cloud 服務移轉或複製到外部目的地。針對將資料移轉出雲端,Microsoft 不具有任何技術限制。您隨時都可以透過標準機制從 Azure 擷取所有客戶資料,包括與 Microsoft 服務 (如 Microsoft 365) 相關的資料。Azure 提供資料匯出服務、Azure 資料箱 (透過運送硬體進行 PB 級資料移轉) 和高速網路選項 (例如 Azure ExpressRoute 或 VPN) 等功能,以協助將資料移轉到其他環境。Microsoft 也不會向您要求冗長通知或特殊存取權限以取得資料,您可以隨需啟用移轉,而 Microsoft 則提供免費的資料匯出至內部部署,或至其他雲端提供者。此外,Microsoft 擁有合約承諾,確保客戶可以擷取其資料,並在客戶離開後將其從 Microsoft 雲端中刪除 (符合資料保護承諾)。
關注 Microsoft
