Microsoft 的歐洲數位承諾
為進一步擴展我們對強化網路韌性以及保護您在歐洲數位基礎結構的承諾,Microsoft 與各國政府及組織合作,建立了 [歐洲安全性計畫]。
向歐洲客戶做出新承諾
與 Microsoft 攜手在歐洲實現數位主權、韌性、安全與創新。透過數十年受信任的合作夥伴關係、領先業界的合規性組合,及對本地資料中心與服務的持續投資,我們會協助您因應不斷演進的歐洲法律要求,自信打造符合您條件、利用您資料並完全由您控制的未來基礎。
我們對歐洲提出的五項數位承諾:
協助在整個歐洲建置廣泛的 AI 和雲端生態系統。
在地緣政治不穩定的情況下,維護歐洲的數位韌性。
持續保護歐洲資料的隱私。
始終協助保護和捍衛歐洲的網路安全性。
協助提升歐洲經濟競爭力,包括開放原始碼。
"在地緣政治不穩定的時期,我們承諾提供數位穩定性。"
Microsoft 副主席兼總裁 Brad Smith
增強 Microsoft 歐洲雲端營運的韌性
Microsoft 致力於協助歐洲應對全球不確定性,透過加強和擴展歐洲大陸的數位韌性。為實現此目標,我們已宣布在歐洲雲端營運中進行一系列投資,並將繼續擴展目前已是歐洲最大的雲端基礎結構足跡。
-
我們已承諾對歐洲雲端營運進行多項變更,進而加強 Microsoft 與歐洲之間的聯繫,並協助歐洲國家/地區更好地管理風險。未來,Microsoft 的歐洲中心營運和董事會將由以歐洲國籍人士組成、並根據歐洲法律運作的歐洲董事會進行監督。我們也將在我們所有與歐洲國家政府和歐洲執委會簽訂的合約中納入「數位韌性承諾」 ,以對抗任何下令停止在歐洲提供雲端服務的命令。在極不可能發生此類命令的情況下,我們承諾與歐洲合作夥伴合作,確保歐洲的雲端營運持續進行。
-
我們宣佈規劃在未來兩年內將歐洲資料中心容量提升 40%,並於 2023 年至 2027 年間使歐洲資料中心容量倍增。
-
為了加強歐洲的網路安全性,我們已為該地區指定了一位專職副資訊安全長 (副 CISO),負責監督與 DORA、NIS2 和《網路韌性法案》 (CRA) 等重要法規的合規性。
-
為了賦予客戶選擇權、推動創新,並在歐洲培育充滿活力的技術生態系統,我們已將開放原始碼的互通性列為首要任務。Microsoft 支援超過 1,800 個 AI 模型,包括來自 Hugging Face 和 Mistral 等知名歐洲開放原始碼模型。 這些開放平台可協助您的歐洲企業和新創公司能夠快速創新、有效採用新興技術,並在日益以 AI 驅動的經濟中保持全球競爭力。
符合數位與營運主權需求
使用 Microsoft 提供的一系列全方位功能,可在歐洲掌握更高資料控制權、提升透明度,並實現不受限制的雲端創新。
-
我們在歐洲擁有最全面的雲端足跡,擁有遍佈整個歐洲大陸的資料中心區域,以支援本地資料落地和韌性。這其中包括屬於歐盟成員國和 EFTA 國家/地區的多個區域,如法國、德國、挪威、瑞士、愛爾蘭、荷蘭和波蘭 (以及其他國家)。Azure 是由多個資料中心和可用性區域所組成的區域來劃分。
-
透過 EU 資料邊界,在 EU/EFTA 區域內儲存與處理您的客戶資料。這項正式承諾涵蓋 Azure、Microsoft 365、Dynamics 365 與 Microsoft Power Platform 服務,確保客戶內容、個人身分識別資料,甚至支援資料皆保留於歐洲的資料中心內。 此動作可強化資料保護與使用者信任,與歐洲的數位價值觀一致,同時讓您對資料所在位置具有更高的控制權與透明度,減少不必要之資料外流至歐洲以外地區的情形。
-
如果您有全面的資料落地要求,並想要將 Microsoft 365 資料保留於國家/地區邊界之內,您還有其他選項。針對 2022 年前啟用的當地地區 (包括法國、德國、挪威、瑞典、瑞士和英國),Exchange Online、商務用 OneDrive、SharePoint Online、Microsoft 365 Copilot 和 Microsoft Teams 的核心資料落地承諾是透過 Microsoft 365 產品條款所提供。針對 2022 年後啟用的當地地區,以及需要額外工作負載涵蓋範圍的較早區域,Microsoft 365 進階資料落地附加元件向特定的當地資料中心區域提供已承諾資料落地,並擴大 Microsoft 365 工作負載和客戶資料的涵蓋範圍,以及優先的租用戶移轉服務。
-
在雲端中,不僅在待用靜止與傳輸期間保護您的資料,也在使用期間加以保護。 Azure 機密運算使用硬體型受信任執行環境 (TEE),為工作負載建立加密區域。記憶體中的資料會加密並隔離,防止 Microsoft 或任何第三方在處理期間進行存取。Azure 機密 VM 和容器使用專用晶片 (包括 Intel SGX、Intel TDX 和 AMD SEV-SNP) 來強制這個資料的「加密箱」。這表示例如從個人資料到專屬演算法等這些敏感性工作負載皆可在 Azure 中執行,而不會遭雲端提供者存取。 當您加密使用中資料時,更可效地滿足嚴格的隱私需求,並有助於減輕內部或外部威脅,進而促進對高度敏感性或受監管資料的雲端採用。
-
使用額外的主權控制、治理工具與專為政府與受監管客戶提供的指導,在歐洲提升您的雲端創新與彈性。 Cloud for Sovereignty 建構於 Azure 公用雲端基礎上,是一種設定方法,協助客戶在 Azure 上部署工作負載,同時滿足各國專用的合規性、安全性和原則要求。 它提供了一個「主權登陸區域」,搭配 Azure 原則、藍圖和護欄,將資料保留在選定區域內,強制執行加密,並提升營運透明度。這讓公共部門組織能夠充分利用 Azure 超大規模資料庫服務的完整潛力,包括廣泛的開發人員工具、AI 和分析,同時對資料位置、系統管理存取和稽核保持更好的控制。
與歐洲合作夥伴的主權雲端
除了公用雲端功能外,Microsoft 也率先推出完全主權的雲端環境,讓當地實體可自行擁有並運營。
-
作為 Orange 和 Capgemini 之間的合資企業,Bleu 是在法國法律和監管下營運的「可信雲端」(cloud de confiance)。它將提供廣泛的 Microsoft Azure 和 Microsoft 365 雲端服務,僅由法國公司和位於法國的資料中心人員營運。Bleu 將提供滿足法國政府和關鍵基礎結構客戶獨特安全性、韌性和主權需求的現代雲端能力。Bleu 將獲得 SecNumCloud 認證 (法國政府的安全標準) 以驗證其控制權。
-
根據 Microsoft 和 Delos Cloud (SAP 子公司) 之間的合約,德國主權雲端將提供廣泛的 Microsoft Azure 和 Microsoft 365 雲端服務,僅由德國公司及位於德國的資料中心地區人員營運。與 Bleu 一樣,其獨立於 Microsoft 的全球雲端,同時使用 Azure 技術結構,從而結合了受信任的本機營運與最先進的雲端功能。Delos 旨在協助德國聯邦、州和地方機構以完全符合德國嚴格的資料主權和 IT 安全性要求的方式移動至雲端。
常見問題集
-
我們想要向歐洲客戶證明,即使在地緣政治不確定的時期,我們仍致力於提供數位穩定性。 透過提出額外的數位承諾,我們進一步以信任為基礎鞏固與客戶的關係,並藉由打造我們堅實的主權供應項目組合,展現堅定的支持與領導力。
-
位於歐洲的 Microsoft 客戶無需採取任何行動,並且可以利用我們目前在歐洲託管的雲端區域所提供的一系列全方位功能。Microsoft 的數位韌性承諾已納入與歐洲國家政府和歐洲執委會簽訂的合約中,使該承諾對 Microsoft Corporation 及其所有子公司具有法律約束力。
-
在歐洲已提供許多主權功能。Microsoft Cloud for Sovereignty 現已於所有 Azure 區域提供,可協助歐洲及全球的政府與受監管客戶以啟用主權功能的方式部署 Azure。 此外,Microsoft Cloud 的 EU 資料邊界已於 2025 年 2 月全面實作,而 Microsoft 365 進階資料落地目前已在法國、德國、義大利、挪威、波蘭、西班牙、瑞士、瑞典與英國提供,未來也將拓展至奧地利、丹麥與希臘等當地區域。我們會繼續持續擴展雲端服務,並於服務可用時通知客戶。
-
Microsoft 認為,大多數客戶的主權需求可透過我們的公用雲供應項目得到滿足,因為我們已在 Azure 中建置出一套強固的主權功能,包括歐洲資料邊界、Microsoft Cloud for Sovereignty,以及機密運算。該清單現在包括我們的承諾:在有需要時向歐洲合作夥伴提供程式碼使用權利,以確保營運持續性。另一方面,Bleu 和 Delos Cloud 是獨立執行個體,執行於由法國和德國獨立當地合作夥伴營運的主權雲端資料中心 Microsoft 雲端服務,不屬於公用雲端。這些服務適用於符合資格標準,並需要滿足國家特殊要求的特定客戶,例如在當地合作夥伴的治理下營運,以及滿足法國的 SecNumCloud 要求和德國的雲端平台要求。
-
我們去年宣佈會確保各種商務模式 (開放原始碼或專屬模式) 均可開放存取我們的 AI 與雲端平台,並將在未來數月中持續擴展這些承諾。
-
我們透過合規性認證與獨立稽核,提供廣泛的第三方保證。 我們的商業雲端產品擁有業界最廣泛的合規性組合之一,在全球提供超過 100 項合規性供應項目,並且經由獨立第三方稽核。Microsoft 定期進行 ISO/IEC 27001 (資訊安全性管理)、ISO/IEC 27017 (雲端安全性)、ISO/IEC 27018 (雲端隱私權) 等標準的評定,以及由獨立稽核人員提供的 SOC 1、SOC 2、SOC 3 認證。在歐洲,Azure 已通過例如德國雲端運算合規性控制項目目錄 (C5) 等標準認證,並符合 EU 法規 (如 GDPR),相關稽核報告可於 Microsoft 信任中心查閱。Microsoft 在其服務信任入口網站上發佈稽核報告和合規文件,供客戶檢閱。這些第三方稽核驗證 Azure 控制權的有效運作,並確保您所使用的雲端平台安全且符合規範。
-
我們的端到端韌性策略涵蓋了無與倫比的全球基礎結構、容錯服務結構和強固的災害復原規劃,讓客戶設計高可用性結構。擁有任務關鍵性工作負載的組織受益於可靠性保護措施,例如可用性區域、異地備援區域和經過嚴格測試的持續性計劃,這些都降低了技術問題的風險。
此外,為了應對由於地緣政治問題導致的服務中斷風險,Microsoft 正在設立指定的歐洲合作夥伴,並為營運持續性制定應變計劃,防止 Microsoft 在極少數情況下遭到法院要求暫停服務。 -
這項數位承諾聚焦於我們在歐洲的投資。 我們將繼續投資以滿足全球客戶的需求,並視情況進行地區和國家的特定投資。Microsoft 致力於遵守我們營運市場的所有適用法令規定。
-
所有時間。Microsoft 僅在提供您選擇的服務時存取您的內容,並遵循您的合約。我們不會為行銷或廣告探勘資料,也不會與第三方廣告商分享資料。Microsoft 生成式 AI 服務不會使用客戶資料來訓練任何生成式 AI 基礎模型,除非根據客戶的書面指示。您控制內容的儲存、存取、分類和刪除。這些準則受到 Microsoft 合約的支援,並符合如 ISO/IEC 27018 隱私權標準的規範。
-
您可以透過選取服務的地理區域來決定客戶內容的儲存位置。 Azure 擁有遍佈全球基礎結構,相較於其他提供商涵蓋更多區域 (全球超過 60 個區域,包括許多歐洲區域),讓您可以更靈活地選擇資料位置。未經您授權,不會指定資料位置。除非您明確啟用複製內容到其他位置以提高韌性,或因法規規範而有必要,客戶內容將保留在所選的 Azure 區域內。例如,若您選擇歐盟中的 Azure 區域,Microsoft 將會將您的資料保留在該特定區域內。針對 Microsoft 365,符合資格的客戶可透過 Microsoft 365 進階資料落地附加元件選擇其資料的位置。
-
Microsoft Azure 使用產業標準增強式加密演算法。針對待用資料,Azure 為儲存在雲端中的所有客戶資料進行 256 位元 AES 加密。AES-256 是最強的區塊加密演算法之一,已應用於如 Azure 儲存體、SQL 資料庫和 Azure Key Vault 等服務,並符合 FIPS 140-2 加密標準。針對傳輸中的資料,Microsoft 使用最新的傳輸層安全性 (TLS) 通訊協定。 Azure Front Door 支援 TLS 1.2 與 TLS 1.3 進行通訊,使用強固位元的加密套件,確保傳輸中資料透過至少 256 位元的對稱式加密與新式金鑰交換進行加密。
-
Microsoft 提供強固的選項來管理和保護 Azure 中的加密金鑰。在預設情況下,所有 Azure 服務使用增強式加密和 Microsoft 受控金鑰來保護客戶的待用資料。不過,需要更多控制權的客戶有多個選擇。 針對如 Azure 儲存體、Azure SQL 和 Azure Cosmos DB 等服務,您可以使用儲存在 Azure Key Vault 中的客戶受控金鑰,以自行控制金鑰的輪替與存取原則。您還可以使用 Azure Key Vault 的受控 HSM,這為您提供專用的硬體安全性模組 (已通過 FIPS 140-2 等級 3 驗證) 來儲存由您完全控制的金鑰。此外,Azure 支援自備金鑰和客戶提供金鑰的案例,讓您可以在內部部署或第三方 HSM 中產生金鑰並在雲端使用。
-
否。 Microsoft Cloud 設計旨在防止 Microsoft 人員在未經客戶授權的情況下存取客戶內容。根據預設,Microsoft 工程師對客戶資料採具有「無長期存取權」(ZSA),亦即他們不具備長期管理權限來檢視您的內容。若 Microsoft 人員因解決問題而必須存取客戶內容,必須通過嚴格的 Just-In-Time 存取要求流程,該流程需取得客戶核准 (特定服務透過客戶加密箱) 或管理層的核准。 所有存取有時間限制,也會完全記錄和稽核。這些控制措施會定期稽核,例如作為 SOC 2 稽核的一部分,以確保 Microsoft 的合規性。
如需有關客戶資料的要求和 Microsoft 保護客戶資料的準則 (包括其他常見問題) 的資訊,請參閱:政府對客戶資料的要求報告。 -
透過設計安全的雲端基礎結構和廣泛的內建安全性服務,您將可滿足資料保護要求。Azure 中的資料中心和網路架構旨在滿足高度安全性敏感組織的需求。我們採用多層安全性控制和零信任準則,並提供 Azure 機密運算來保護使用中的資料,讓雲端營運人員在處理期間無法存取您的資料。此外,我們還提供各種安全性工具 (超過 200 種安全性、合規性和治理功能) 來保護您的應用程式和資料。例如,我們預設會加密所有待用與傳輸中的資料,持續監控威脅並運用每日超過 65 兆筆的安全性訊號,以快速偵測並因應新興風險。透過我們強固的安全性做法與具備 100 多項認證的合規性組合,協助您履行法規要求與資料保護義務。
-
Microsoft 提供針對多雲端和可攜性案例所設計的結構框架指導。 由於 Azure 與開放原始碼技術高度相容,因此設計可攜性元件的應用程式非常簡單。例如,您可以透過 Azure Kubernetes Service (AKS) 使用容器化和協調流程,或在 Azure 上使用 PostgreSQL/MySQL 等採用標準引擎的資料庫,以輕鬆進行移轉。 建議使用基礎結構即程式碼 (IaC) 模板 (Azure Resource Manager 或 Terraform) 以可移植方式定義您的環境。Azure 也與跨雲端工作的 CI/CD 工具 (如 GitHub) 整合。多雲端和混合式服務 (如 Azure Arc 和 Azure Local) 可協助您在內部部署或在其他雲端中部署 Azure 服務,確保一致性並可攜性的工作負載。
-
是的。 Microsoft 支援將資料從 Microsoft Cloud 服務移轉或複製到外部目的地。 我們不會對您將資料移出 Microsoft Cloud 設定任何技術限制,您隨時都可以透過標準機制從 Azure 擷取您的所有客戶資料,包括與 Microsoft 服務 (如 Microsoft 365) 相關的資料。Azure 提供多項功能,如資料匯出服務、Azure 資料箱 (用於透過硬體運送進行 PB 級資料移轉),以及高速網路選項 (如 Azure ExpressRoute 或 VPN),以協助將資料移轉至其他環境。 我們不會向您要求冗長通知或特殊存取權限以移轉您的資料,您可以隨需啟動移轉,另外我們還提供將資料移出至內部部署環境或其他雲端提供者的免費資料傳出服務。此外,我們擁有合約承諾,確保客戶可以擷取其資料,並在客戶離開後將其從 Microsoft Cloud 中刪除 (符合資料保護承諾)。
關注 Microsoft