Microsoft 的欧洲数字承诺

我们希望向欧洲客户表明，即便在地缘政治局势动荡不安之时，我们仍致力于为他们提供数字稳定性。 通过作出更多数字化承诺，我们进一步在信任的基础上巩固与客户的关系，并依托我们强大的主权产品组合，彰显我们坚定不移的支持态度与引领风范。

Microsoft 的欧洲客户无需采取任何行动，即可充分利用我们欧洲托管云区域提供的全面功能。Microsof 的数字复原承诺已纳入与欧洲各国政府和欧盟委员会签订的合同中，使此承诺对 Microsoft Corporation 及其所有子公司具有法律约束力。

已在欧洲推出多项主权功能。Microsoft Cloud for Sovereignty 目前在所有 Azure 区域可用，旨在助力欧洲乃至全球的政府机构及受监管客户部署启用主权功能的 Azure 服务。 此外，Microsoft Cloud 的 EU 数据边界已于 2025 年 2 月全面实施，Microsoft 365 高级数据驻留目前在法国、德国、意大利、挪威、波兰、西班牙、瑞士、瑞典和英国可用，未来还将为奥地利、丹麦和希腊等地区提供本地服务。我们将继续扩展我们的云服务，并在可用时通知客户。

Microsoft 认为，通过我们的公有云产品，能够满足大多数客户的主权需求，因为我们在 Azure 中构建了一套强大的主权能力，包括欧洲数据边界、Microsoft Cloud for Sovereignty 和机密计算。如今，我们承诺在必要时向一组欧洲合作伙伴提供使用我们代码的权利，以确保运营的连续性。另一方面，Bleu 和 Delos Cloud 是 Microsoft 云服务的独立实例，它们在由法国和德国独立本地合作伙伴运营的主权云数据中心中运行，位于公有云之外。它们面向符合资格标准并需要满足特定国家要求的特定客户，例如在当地合作伙伴的控制下运营，并满足法国的 SecNumCloud 要求和德国的云平台要求。

我们去年宣布，确保各种商业模式（包括开放源代码和专有）都可以开放访问我们的 AI 和云平台，并将在未来几个月继续扩展这些承诺。
 

我们通过合规性认证和独立审核提供广泛的第三方保证。 我们的商业云产品/服务拥有业内最广泛的合规性项目组合之一（全球超过 100 种合规性产品/服务，均由独立第三方审核）。Microsoft 定期接受独立审计机构的 ISO/IEC 27001（信息安全管理）、ISO/IEC 27017（云安全）、ISO/IEC 27018（云隐私）以及 SOC 1、SOC 2、SOC 3 证明等标准评估。在欧洲，Azure 已通过德国云计算合规性控制目录 (C5) 等计划认证，并符合欧盟法规（如 GDPR，审核报告可在 Microsoft 信任中心获取）。Microsoft 在其服务信任门户上发布审核报告和合规性文档，供客户查看。这些第三方审核验证 Azure 的控制是否有效运行以及你是否继承了安全、合规的云平台。
 

我们的端到端复原策略（涵盖无与伦比的全球基础架构、容错服务体系结构和强大的灾难恢复计划）使客户能够构建高可用性架构。具有任务关键型工作负载的组织受益于可靠性保护措施，例如可用性区域、异地冗余区域和经过严格测试的连续性计划，从而降低出现技术问题的风险。

此外，为了应对由于地缘政治问题导致的服务中断风险，Microsoft 正在与指定的欧洲合作伙伴制定应急安排，以便在万一 Microsoft 被法院要求暂停服务时能够保持运营连续性。

这一数字承诺专注于我们在欧洲的投资。 我们将继续投资以满足全球客户的需求，并根据需要进行特定于区域和国家/地区的投资。Microsoft 致力于遵守我们运营所在市场的所有适用法律法规。

始终如此。Microsoft 仅会根据协议访问你的内容以提供你选择的服务。我们不会出于营销或广告目的挖掘数据，也不会与第三方广告商共享数据。Microsoft 生成式 AI 服务不会使用客户数据来训练任何生成式 AI 基础模型，除非遵循客户的书面指示。你可以控制内容的存储、访问、分类和删除。这些原则由 Microsoft 的合同和 ISO/IEC 27018 等隐私标准支持。
 

可以通过选择服务的地理区域来决定客户内容的存储位置。 Azure 的全球基础结构具有比任何其他提供商更多的区域（全球超过 60 个，包括欧洲许多区域），这使你能够灵活选择数据位置。在未经授权的情况下指定。除非你明确启用复制到其他位置以实现复原能力，或除非需要遵守法律，否则客户内容将保留在所选的 Azure 区域内。例如，如果选择欧盟的 Azure 区域，Microsoft 会将数据保留在该特定区域。对于 Microsoft 365，符合条件的客户可以通过 Microsoft 365 高级数据驻留加载项选择其数据所在的位置。
 

Microsoft Azure 使用行业标准的强加密算法。对于静态数据，Azure 对存储在云中的所有客户数据采用 256 位 AES 加密。AES-256 是最强的分组加密之一，用于 Azure 存储、SQL 数据库、Azure Key Vault 等服务，并符合 FIPS 140-2 加密标准。对于传输中的数据，Microsoft 使用最新的传输层安全性 (TLS) 协议。 Azure Front Door 支持 TLS 1.2 和 TLS 1.3 进行通信，并使用可靠的密码套件，确保使用至少 256 位对称加密和新式密钥交换对传输中的数据进行加密。
 

Microsoft 提供了用于管理和保护 Azure 中的加密密钥的可靠选项。默认情况下，所有 Azure 服务都使用强加密和 Microsoft 管理的密钥来保护客户静态数据。然而，需要更多控制的客户有多种选择。 存储在 Azure Key Vault 中的客户管理密钥，适用于 Azure 存储、Azure SQL 和 Azure Cosmos DB 等服务，允许你控制密钥的轮换和访问策略。你还可以使用 Azure Key Vault 托管 HSM，它为你提供专用的硬件安全模块（经 FIPS 140-2 3 级验证）来存储你完全控制的密钥。此外，Azure 还支持“创建自己的密钥”和客户提供的密钥应用场景，使你能够在本地或第三方 HSM 中生成密钥并在云中使用它们。
 

不能。 Microsoft Cloud 的设计旨在防止 Microsoft 人员在未经客户许可的情况下访问客户内容。默认情况下，Microsoft 工程师对客户数据拥有“零长期访问”(ZSA)，他们没有查看内容的长期管理特权。如果 Microsoft 人员需要访问客户内容来解决问题，他们必须遵循严格的即时访问请求流程，该流程需要客户批准（对于某些服务通过客户密码箱）或管理层批准。 所有访问均有时间限制，并经过完整记录和审核。这些控制措施会定期审核（例如，作为 SOC 2 的一部分），以确保 Microsoft 的合规性。

有关客户数据请求和 Microsoft 保护客户数据的原则的信息（包括其他常见问题解答），请参阅：政府对客户数据报告的要求。

通过设计即安全的云基础结构和丰富的内置安全服务，来满足你的数据保护要求。Azure 中的数据中心和网络体系结构旨在满足最注重安全的组织的需求。我们采用多层安全控制和零信任原则，同时提供 Azure 机密计算来保护使用中的数据，使云运营商无法在处理过程中访问你的数据。此外，我们还提供各种安全工具（超过 200 种安全、合规性和治理功能）来保护你的应用程序和数据。例如，默认情况下，我们会加密所有静态和传输中的数据，持续监控威胁，利用超过 65 万亿个每日安全信号快速检测和应对新出现的风险。通过我们强大的安全实践和拥有超过 100 项认证的合规性项目组合，帮助满足你的监管和数据保护义务。
 

Microsoft 提供了针对多云和可移植性应用场景设计的体系结构框架指导。 由于 Azure 与开放源代码技术高度兼容，因此使用可移植组件设计应用程序非常简单。例如，可以通过 Azure Kubernetes 服务 (AKS) 使用容器化和业务流程编排，或者在 Azure 上使用 PostgreSQL/MySQL 等数据库（由于它们使用标准引擎，因此可以迁移）。 建议使用基础结构即代码 (IaC) 模板（Azure 资源管理器模板或 Terraform）以可移植的方式定义环境。Azure 还与跨云工作的 CI/CD 工具（例如 GitHub）集成。Azure Arc 和 Azure Local 等多云和混合服务可以帮助在本地或其他云中部署 Azure 服务，从而确保一致性并使工作负载可移植。
 

是。 Microsoft 支持将数据从 Microsoft 云服务传输或复制到外部目标。 我们不会对从 Microsoft Cloud 中迁移数据设置任何技术限制，你可以通过标准机制随时从 Azure 中检索所有客户数据，包括与 Microsoft 服务（如 Microsoft 365）相关的数据。Azure 提供数据导出服务、Azure Data Box（用于通过提供的硬件进行 PB 级数据迁移）和高速网络选项（如 Azure ExpressRoute 或 VPN）等功能，以帮助将数据迁移到其他环境。 我们不需要长时间通知或特殊权限来获取数据，你可以按需启动传输，我们还在本地或为其他云提供商提供免费的数据流出量服务。此外，我们还签订了合同承诺，确保客户可以提取其数据，并且在他们离开后，这些数据将从 Microsoft Cloud 中删除（符合数据保护承诺）。