欧洲数据保护监管机构 (EDPS) 最近确定欧盟委员会使用 微软365 违反了欧盟严格的数据保护规则。
这一具有里程碑意义的决定凸显了基于云的生产力套件的便利性与保护敏感数据的迫切需要之间日益紧张的关系,尤其是在政府机构内。
委员会的数据做法被裁定不安全
EDPS 发起了 调查 早在 2021 年 5 月,出于对跨大西洋数据传输和遵守欧盟《通用数据保护条例》(GDPR) 的担忧,委员会就对 Microsoft 365 的使用进行了调查。
问题的关键在于,微软作为一家美国公司,必须遵守美国法律,例如 云法案,可能会授予美国当局访问存储在微软服务器上的数据的权限。
经过仔细审查后,EDPS 得出结论认为,委员会未能对向美国传输数据实施足够的保障措施。 这使得欧盟公民数据可能容易被美国情报机构获取,引发有关隐私和数据主权的严重问题。
该委员会的数据保护失败在哪里?
EDPS 不仅对 Microsoft 365 发出普遍警报,还准确指出了委员会的错误所在。
首先,在欧洲境外发送个人数据时没有足够的保护措施。 这是一个巨大的危险信号,特别是在 Schrems II 决定中整个《隐私保护盾》协议被抛弃之后,这清楚地表明美国的监控可能是一个问题。
接下来的问题是委员会是否真的需要 Microsoft 365。 他们无法真正解释为什么它如此重要。 这让我们怀疑他们通过微软处理的数据是否比实际需要的多。
最后,委员会在开始使用 Microsoft 365 之前的初步隐私检查似乎不够彻底。 这是一件大事——正确地进行评估可以发现这些隐私风险并在它们成为问题之前对其进行处理。
Microsoft 365 可能会在欧盟关闭
EDPS 的裁决不仅仅是一次警告。 这是一个严重的最后通牒,会产生重大后果。 该委员会现在有一个紧迫的期限,即 2024 年 12 月 9 日,以完全停止因使用 Microsoft 365 套件而流向 Microsoft 及其美国合作伙伴的所有数据。
不遵守规定可能会导致巨额罚款并损害欧盟中央管理机构的声誉。 这让他们陷入了困境。
他们是否会争先恐后地寻找一种符合欧盟法律的替代方法来处理他们的数据,或者他们是否面临违抗的潜在后果?
委员会回应
委员会确认已收到 EDPB 的决定,并表示在就如何进行做出任何决定之前需要“详细”分析推理。
在一系列声明中 在新闻发布会上,他们表示相信它符合“事实上和法律上适用的数据保护规则”。
他们还列举了在调查期间与 EDPS 签订的合同已做出的“各种改进”。
委员会进一步强调了其对数据保护以及与 EDPS 合作的承诺:
“自调查开始以来,我们一直与 EDPS 充分合作……委员会始终准备好实施,并感谢收到 EDPS 的任何经证实的建议。 数据保护是委员会的首要任务”。
困境:隐私与破坏
然而,该委员会的声明也暗示,如果被迫停止 Microsoft 365,可能会造成重大破坏。他们声称“不幸的是,遵守 EDPS 决定似乎可能会破坏当前高水平的移动和集成 IT 服务”。
该声明强调了维持无缝操作流程和确保铁定数据保护之间的紧张关系。
接下来是什么?
委员会发誓要仔细分析 EDPS 的决定,并建议未来进行一段时间的内部审议。 最终结果仍然不确定——他们会优先考虑合规性,从而可能牺牲操作的便利性,还是会寻求妥协的解决方案?
答案将对欧盟内部数据管理的未来产生更广泛的影响。
特色图片来源: 微软。