瑞士政府呼籲轄下機關避免使用M365等美國雲端服務

瑞士資料保護委員會議Privatim上周發佈決議，為國安考量，瑞士政府機關應儘可能避免使用微軟、Google及AWS等美國雲端服務，尤其是Microsoft 365代表的美國SaaS。

這項決議指出，近年雖然公務機關被允許將資料委外給第三方軟體即服務（SaaS）平臺，但資料委外給第三方平臺，必須確保第三方平臺的資料保護及資訊安全能力，尤其是高度敏感的個資或受法定保密義務約束的資料。

Privatim認為，將高度敏感的個資及具有保密義務的資料委外給大型國際供應商的SaaS方案（尤其是Microsoft 365），在大多數情況下是不符合要求的。 原因之一是大多數SaaS尚未提供真正的全程加密。其次，這些平臺技術運作（例如安全更新發佈或軟體變更）或員工、其下包商的管理不夠透明，無法滿足該國對資料保護及資安的確保要求，造成瑞士對SaaS控管的能力喪失。

另外，美國2018年生效的《雲端法案(CLOUD Act)》規定，美國政府可強制美國雲端供應商提供其用戶資料，而無需遵循國際司法互助程序，且該義務也適用於儲存在瑞士資料中心的資料。

根據決議，瑞士公務機關只有在能自行加密高度敏感或具法定保密義務的個人資料，且雲端供應商無權取得解密金鑰的情況下，才可使用國際供應商的SaaS服務。

不過瑞士聯邦委員會發言人對媒體指出，Privatim的聲明並不具法律強制性。瑞士政府機關是否會遵守有待觀察。