德國學校封殺Office 365：因隱私擔憂、使用是非法的

德國黑森州稱，廣大師生的信息可能會“洩露”給美國間諜機構。

德國中部黑森州的學校已被告知現在使用Microsoft Office 365是非法的。

該州的數據保護專員已裁定，使用這個流行雲平台的標準配置會洩露廣大師生的個人信息，“有可能被美國官員訪問”。

這可能聽起來是歐洲擔心數據隱私或擔心美國現行政府的外交政策的另一起事件。

但實際上，黑森州數據保護和信息自由辦公室的這項裁定是數年來關於德國學校及其他政府機構是否應該使用微軟軟體的國內辯論的結果。

除了德國用戶在使用該平台時提供的詳細信息外，Microsoft Office 365還將遙測數據發回到美國。

去年荷蘭的調查人員發現，這類數據可能包括從標準軟體診斷結果到來自內部應用程序的用戶內容的任何內容，比如來自文檔和電子郵件主題行的句子。荷蘭方面稱，所有這些都違反了歐盟的《數據保護通用條例》（GDPR）。

德國本國的聯邦信息安全辦公室最近也對Windows作業系統發送的遙測數據表示了擔憂。

為了緩解德國的隱私擔憂，微軟往一項德國的雲服務投入了數百萬美元；而在2017年，黑森州當局稱地方學校可以使用Office 365。黑森州的數據隱私專員Michael Ronellenfitsch表示，如果德國數據仍在該國，那沒問題。

但在2018年8月，微軟決定關閉其德國服務。因此，來自地方Office 365用戶的數據會再次跨大西洋傳輸。美國的幾部法律賦予美國政府擁有更大的權利，可以向科技公司索要數據，包括2018年的《澄清境外合法使用數據法案》（CLOUD Act）和2015年的《美國自由法案》。

奧地利數字版權倡導者Max Schrems本周把一起關於歐盟和美國之間數據傳輸的訴訟打到了歐洲最高法院，他告訴IT外媒ZDNet，這其實很簡單。

他指出，學校學生通常無法表示同意。“如果數據發送到遠在美國的微軟，需遵守美國的大規模監控法律。按照歐盟法律，這是非法的。”

黑森州的Ronellenfitsch在一份聲明中解釋，即使不是這樣，德國的公共機構（比如學校）也對它們對於個人數據的處理、它們在此問題上多透明負有特殊責任。

儘管德國當局與微軟之間一直在進行討論，但履行那些責任仍不可能。

微軟發言人告訴ZDNet他們正在努力解決此問題：“我們感謝黑森州專員提出這些擔憂，我們期待與他們合作，更好地了解他們的擔憂。”

發言人還指出，微軟已對美國政府提出起訴以保護客戶數據，學校和工作場所帳戶的管理員自己可以限制將哪些信息發回給微軟。不過，無法完全關閉信息傳輸。

學校絕不是德國唯一對微軟有疑慮的公共機構。今年早些時候，德國市政IT服務提供商聯邦協會Vitako抱怨，地方議會使用Office 365意味著有關德國公民的私人信息（比如申領駕駛執照或結婚證書的公民）可能也洩露給了美國窺探者。

科隆市的一位高級IT管理員抱怨道，既然我們花錢購買了軟體許可證，自然期望產品所需的管理較少，提供的安全性較高：“相反，這對市政當局來說是成本高昂的風險。”

2018年，德國聯邦政府部門及下屬辦公室花了將近7300萬歐元（大約8200萬美元）購買微軟軟體許可證——比預算多出近2600萬歐元（大約2900萬美元），極可能是由於許可證到期。

德國內政部在關於這個話題的信函中表示，雖然正在嘗試使用開源軟體及其他替代方案，但德國各部門目前除了微軟外幾乎沒多少選擇。

實際上，這一切只是歐洲人如何保護自己的數據避免被美國和中國窺視的長期鬥爭的一部分。要求德國政府更努力地做好“數字主權”工作的呼聲日益高漲。

德國內政部的高級成員Andreas Koenen今年早些時候在柏林召開的一次會議上主張使用國內雲服務，當時他說：“我們必須再次考慮這個問題，為此提供切合現實的資金。政治形勢迫使我們這麽做。”

法律形勢也很快會迫使德國這麽做。周二，歐洲法院審理了奧地利活動積極分子Schrems提起的訴訟。2015年，Schrems已經在歐洲法院取得了一次備受媒體關注的成功，當時他提起的訴訟推翻了所謂的安全港協議，對歐盟和美國之間的數據傳輸做出了裁決。

新訴訟可能會質疑“隱私盾”（Privacy Shield），這是2016年取代安全港的規定。由於此案在原籍國愛爾蘭受理，它現在可能也會對適用於跨大西洋傳輸數據的所謂的“標準合約條款”提出質疑。

微軟的一些數據傳輸也受這些規定的製約，這可能導致國際數據流動受到重大干擾。

預計要到12月中旬盧森堡才會做出決定。因此在此期間，德國中部的學校學生將只好勉強應付：黑森州隱私專員建議他們使用採用內部部署許可證的類似辦公產品，每個人都在等微軟給自己反饋。