瑞士数据保护委员会Privatim上周发布决议，为国家安全考虑，瑞士政府机构应尽可能避免使用微软、谷歌及AWS等美国云服务，尤其是以Microsoft 365为代表的美国SaaS服务。

该决议指出，近年来虽然公共机构被允许将数据外包给第三方软件即服务（SaaS）平台，但将数据外包给第三方平台时，必须确保该平台具备足够的数据保护与信息安全能力，特别是针对高度敏感的个人信息或受法定保密义务约束的数据。

Privatim认为，在大多数情况下，将高度敏感的个人信息及受保密义务约束的数据外包给大型国际供应商的SaaS方案（尤其是Microsoft 365）是不符合要求的。原因之一是大多数SaaS服务尚未提供真正的端到端加密。其次，这些平台的技术运作（例如安全更新发布或软件变更）以及员工及其分包商的管理缺乏透明度，无法满足瑞士对数据保护和信息安全的严格要求，导致瑞士对SaaS服务的管控能力丧失。

此外，美国2018年生效的《云法案》规定，美国政府可强制美国云服务提供商提供其用户数据，无需遵循国际司法协助程序，且该义务同样适用于存储在瑞士数据中心的数据。

根据决议，瑞士政府机构只有在能够自行对高度敏感或受法定保密义务约束的个人信息进行加密，且云服务提供商无权获取解密密钥的情况下，方可使用国际供应商的SaaS服务。

不过，瑞士联邦委员会发言人对媒体表示，Privatim的声明不具有法律强制力，瑞士政府机构是否遵守仍有待观察。