微软将用户数据传输至境外?确实如此吗?
“
一名微软技术支持中心的客服人员表示,如果用户订阅的是国际版Office365可能会出现数据传输提醒的情况。同一时期,中国正在数据领域启动多个重大动向;微软公司也正不断高调升级Office系列产品,从而成为全球舆论焦点。
本文字数4025,阅读时长约16分钟
文|财经E法 樊朔
编辑|郭丽琴
近期,一则消息在网络上不胫而走:中国用户在登录微软Office、Windows、Azure等产品账户时,会出现数据传输提醒:“你的数据将在你所在国家或地区之外进行处理。”
随后,该消息在自媒体上发酵,进而引发猜测:微软此举是否因为拒绝“数据处理本地化”的要求,或将退出中国?
3月9日,微软中国针对上述情况发布声明,表示微软始终严格遵守个人隐私保护与数据安全等方面的各项法律法规。微软提供的所有产品与服务以及跨境数据管理,都严格遵从法律法规。为何部分用户登录账号时出现了数据传输至境外的提醒?微软退出中国的消息是否属实?财经E法就此问题联系上微软的相关负责人,截至发稿前未获回应。
财经E法记者以Microsoft Office 365用户的身份咨询了一名微软技术支持中心的客服人员。对方表示,如果用户订阅的是国际版Office 365,可能会出现此数据传输提醒的情况。
值得注意的是,微软自2014年起在中国设立了五个数据中心。上述数据中心由微软的合作伙伴世纪互联蓝云运营。《世纪互联运营的在线服务隐私声明》显示,其运营的微软在线服务包括Microsoft Azure、Microsoft 365、Microsoft Dynamics 365 以及Microsoft Power Platform。一名世纪互联蓝云的客服人员告诉财经E法,以微软云服务Azure为例,中国区Azure的用户数据都储存在中国大陆地区,不需要将数据导出到境外。
回溯过往,财经E法发现,早在2月17日,就有用户在微软官网的用户社区中发帖称,在登录Office账号时出现了“数据传输提醒”,但却在3月初发酵。
受访专家认为,这与同期中国在数据领域的多个重大动向,并引发公众关切有关。
北京航空航天大学法学院副教授赵精武表示,首先,此事件发酵之时,正值国家网信办公布了《个人信息出境标准合同办法》,并且北京网信办也公布了全国首例和第二例数据出境安全评估审查案例,中国数据安全出境法律制度已经形成常态化机制;二是微软旗下的产品涉及到广大的中国用户,如果微软要求境外传输的数据涉及到用户的身份、地址以及存储文件等,海量数据出境明显威胁到国家安全;三是近期国家数据局即将成立,未来国家数据局该如何回应和解释境外企业要求用户同意境外传输数据这类事件,也广泛受到社会各界关注。
与此同时,微软公司也正不断高调升级Office系列产品,成为全球舆论焦点。
01
源于微软国际版软件弹窗
2月17日,一名用户在微软官网的用户社区中发帖称,自己的Office账户登录出现问题,在登录时弹出提醒:“Microsoft可能会将你的个人数据传输至中国以外的地区,以便为你提供此产品和服务以及其他Microsoft产品和服务。”点击“继续”后该界面还会重复弹出,并持续循环。
该用户提供的数据传输提醒与网传截图内容一致。提醒表示,若用户不同意此数据传输,则可以选择停止使用产品。有关退款资格,需参阅产品使用条款,并提供了“了解有关数据选择的详细信息”链接。目前该链接显示正处于维护中。
在跟帖中,有多名用户表示也出现了同样的状况。部分用户提及,提醒对话框不断循环的情况出现在更新完Office软件后。再次更新软件登录后没有再出现相似的提醒。
针对上述情况,财经E法以Office 365和Azure用户的身份分别咨询了微软和世纪互联技术支持人员。一名微软技术支持中心的客服人员表示,如果用户订阅的是国际版365可能会出现此数据传输提醒的情况。世纪互联蓝云的客服人员则告诉财经E法,中国区Azure的用户数据都储存在中国大陆地区,不需要将数据导出到境外。
3月9日,微软中国发布声明,表示微软始终严格遵守个人隐私保护与数据安全等方面的各项法律法规。微软提供的所有产品与服务以及跨境数据管理,都严格遵从法律法规。在处理个人数据时,微软仅在法律法规允许的范围内并获得用户许可的情况下,才会收集在提供和维持服务时所必须的最基本数据,这不包括个人用户在应用中与设备上存储的数据。
微软官网显示,由世纪互联运营的 Microsoft Azure、Microsoft 365、Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务与全球其他地区由微软运营的服务在物理上和逻辑上完全独立。所有客户数据、处理这些数据的应用程序,以及承载上述在线服务的数据中心,全部位于中国境内。
“因为传输数据提醒而推测微软将要退出中国,这件事情是非常没有逻辑的,甚至是有恶意炒作嫌疑的一场闹剧。”北京师范大学互联网发展研究院院长助理吴沈括表示。
值得关注的是,同一时期,微软公司正因频繁升级Office系列产品,成为全球舆论中心。
当地时间1月17日,微软CEO萨蒂亚•纳德拉(Satya Nadella)在世界经济论坛上表示,微软正在迅速推进OpenAI的工具商业化,计划将包括 ChatGPT、DALL-E 等人工智能工具整合进旗下所有产品。
当地时间2月7日,微软首席执行官萨蒂亚•纳德拉(Satya Nadella)表示,推出整合了ChatGPT等AI技术的新版Bing搜索引擎和Edge浏览器。
当地时间3月15日,微软宣布,将把GPT-4接入Office全家桶,新名为“Microsoft 365 Copilot”。但截至发稿前,这一功能还没正式开放给个人用户使用。
同期,微软副总裁兼消费者首席营销官余瑟夫·梅迪发文表示,新版必应搜索引擎已经在 GPT-4 上运行。
但GPT-4目前并未向全体中国市场开放。正如财经E法在2月17日发布的文章(OpenAI独家回应|ChatGPT为何不向所有中国用户开放注册?)所述,中国内地和中国香港的手机号均无法注册ChatGPT账号。此外,虽然OpenAI的应用程序编程接口(API)已向161个国家和地区开放,但不包括中国内地和中国香港。
02
微软的数据跨境传输是否合规
《个人信息保护法》第三十九条规定,个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
吴沈括认为,微软的做法实际是按照中国法律的要求做出了告知,是一个常规操作。
对外经贸大学数字经济与法律创新研究中心主任许可表示,数据流动是一般原则,禁止数据流通是例外。中国法律没有禁止数据跨境流动,一般数据流动无限制,对于重要数据和达到一定规模的个人信息流动,只是需要通过安全评估。
《数据出境安全评估办法》第四条规定了向国家网信部门申报数据出境安全评估的四种情形:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
赵精武认为,要判断微软公司的行为是否违反中国《数据安全法》《网络安全法》等相关规定,其判断要素主要以传输的数据类型、规模和性质为依据。倘若微软公司所要求向境外传输的数据仅限于用以支撑软件运行、更新、维护所必要的业务数据,则这些数据并不属于个人信息,也不属于重要数据,那么其行为并不违反中国现行立法。但是,倘若微软公司要求用户同意境外传输的数据涉及到软件用户的身份信息、地址信息、存储数据,超出了维护软件功能正常运行的必要范围,则明显与《数据安全法》《网络安全法》《数据出境安全评估办法》等强制性规定相悖。
此外,《数据安全法》和《网络安全法》均对关键信息基础设施运营者的数据存储本地化做出了相关规定。其中《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
微软Azure官网提及,《网络安全法》没有提供有关如何进行网络安全评估的具体指导。微软制定网络安全评估框架的条例草案和准则草案已发出,但尚未通过。截至 2020 年 7 月,Azure中国尚未正式归类为“关键信息基础设施”。
实际上,微软已在中国建设多个服务本土业务的数据中心。
早在2014年3月,微软智能云Azure与其合作伙伴世纪互联战略合作,正式启用华北和华东两个数据中心,成为首例进入中国市场的国际公有云服务。由世纪互联运营的 Microsoft Office 365、Dynamics 365 及 Power Platform 也相继于 2014 年、2019 年和 2020 年落地中国市场。2022年3月17日,微软智能云Microsoft Azure宣布启用其在中国的第五个数据中心,该中心由世纪互联蓝云运营,中国用户可以不受限制地对其进行访问。2022年10月,在微软年度技术大会 Ignite 2022 及 Ignite China 中国技术峰会上,微软宣布多项Azure、Dynamics 365、Power Platform服务落地中国北部三数据中心区域,提升中国市场服务能力。
目前,特斯拉、苹果、亚马逊等多家国际科技企业也已在中国设立数据中心。
自2018年2月28日起,中国内地的iCloud服务将转由云上贵州公司负责运营。根据贵州省政府与苹果公司共同签订协议,云上贵州公司作为运营主体,在中国大陆境内运营iCloud服务;iCloud服务在中国境内使用iCloud和云上贵州公司双品牌向用户提供体验。
2021年10月,特斯拉方面表示,按照《上海市数据中心建设导则(2021版)》相关要求,特斯拉已经完成数据中心相关审批备案要求,并建成特斯拉上海超级工厂数据中心,用于存储工厂生产等中国运营数据。2022年3月,特斯拉宣布在提交年度数据安全报告进行审查后,其数据安全标准已获得上海市有关部门的批准,特斯拉强调,它会将会把在中国产生的所有数据存储在本地,并继续扩大与监管机构的合作。
2021年9月,在世界互联网大会乌镇峰会上,特斯拉首席执行官埃隆·马斯克表示,特斯拉已在中国建设数据中心,所有中国业务所产生的所有数据,包括生产数据、销售数据、服务数据和充电数据等,完全存储在中国境内,同时通过数据加密、鉴权、访问控制等技术手段确保存储安全。马斯克强调:“特斯拉车主所有个人身份信息都安全地存储在中国国内,不会转移到海外,只有在采购进口零部件等极少数情况下,部分数据才会在获得相关批准后跨境传输。”
亚马逊云科技AWS官网显示,目前亚马逊云科技在北京和宁夏两地建有数据中心。其中北京区域(北京总部以及相邻地区)的服务运营商和提供商是北京光环新网科技股份有限公司(Sinnet)。宁夏区域(宁夏总部)的服务运营商和提供商是宁夏西云数据科技有限公司(西云数据)。