数据驻留需求的两大问题已经有了答案，但是两大方案都没能完全解决云供应商关于国际数据传输挥之不去的疑虑。

欧洲委员会正式采用了欧美《Privacy Shield》，为横渡大西洋的数据传输提供合法的支持。同时，联邦法院推翻了要求Microsoft提供某个爱尔兰客户邮箱的判决。这两个事件都给云供应商和依赖全球数据中心网络在全世界开展业务的客户提供了一定的指导意义，如何在全球开展业务，即使前方仍有很多挑战。

Privacy Shield填补了去年十月Safe Harbor协议解除后所留出的空白，被认为是隐私和透明领域的改进，虽然一些倡导团体仍然认为它不够完善。它代替了自汇报模型，这是4500家企业通过Safe Harbor协议所达成的模型，由美国商务部监督，对参与者的实践有较高的审批条件和合规审查。

Privacy Shield框架的最初协议于二月份达成，虽然到现在为止有一些调整，它包括了大量数据收集的限制和美国政府的监管。

总部位于纽约的全球软件公司CA Technologies，依赖于企业绑定规则，并且和客户一起使用新条款来更新合约，回应Safe Harbor协议解除所导致的“法律真空”，Christoph Luykx说，他是该企业的EMEA政府关系总监。

来自CA客户的关于Safe Harbor协议的问题已经很少了，或者优先级比较低，绝大多数问题出现在特定合约谈判或者更新阶段。CA并没有在新协议里添加一系列条款，只要框架能够反应欧洲法院的关注点，并且能够保证商业的稳定性和法律的确定性，Luykx说。

企业可以在8月1号开始签约，CA应该会在其法律团队审核完全部完整的内容后签署Privacy Shield。“我们是安全的，但是并非已经高枕无忧，因为我们知道前面还会面临更多的挑战，”Luykx说。

Safe Harbo协议在去年秋天被欧洲法院解除之前，已经存在快15年了。法院的裁决基于Max Schrems的诉求，他是来自澳大利亚的隐私激进主义者，他关注Facebook如何使用客户数据。据报道，Schrems还准备起诉Privacy Shield——但是即使他没有这么做，行业观察家们也预计在接下来的几个月里会突然出现某种形式的法律问题。

Privacy Shield是Safe Harbor的重要改进，但是仍然存在很多灰色空间，并且尚未解决的法律争端只会给云服务供应商和客户带来不确定性，Duncan Brown说，他是IDC的欧洲安全实践部门的研究总监。

一些企业并不担心数据传输的效果，但是对于那些处理敏感数据的企业而言，要知道Privacy Shield并非是其唯一的选择，他补充道。云服务供应商能够使用捆绑企业规则或者将模型合同条款插入到欧洲客户的合同里。

“我们推荐供应商和终端用户客户认真调研其中之一或者这两种机制，作为Privacy Shield的备份，并且很可能会成为长期的选择，”Brown说。

云数据中心的复制并非灵丹妙药

Microsoft曾经说它会实现Privacy Shield，但是其他主流云供应商是否也会跟进还不太清楚。这里，Amazon、Google、IBM和Oracle，为其客户提供了欧洲模型合同条款。

他们战略的一部分是得到数据的控制权，隐私关注点是这几年在欧洲构建数据中心，启用一系列新设备，还有更多的在计划中，或者已经在建设中。供应商已经构建了自己的网络，允许用户限制数据流，从而让数据驻留在欧洲内部，或者甚至驻留在某个特定的数据中心里，防止该信息是受限不能离开某个国家的。

CA并不是云基础架构供应商，但是它确实以托管在多个地点的服务的形式来提供软件。大家都在研究基于一系列要素应该把数据中心放置在何处，这些要素包括运行成本以及靠近用户，Luykx说。合法的分支很重要，但是这些保障措施对于服务欧洲客户并且需要访问处在欧洲的数据库的欧洲外部企业而言，可能并不充分，他补充道。

“很多关注在于将数据保持在一个数据中心内，但是它并不是这么工作的，”Luykx说。“数据仍然需要流动。”

Microsoft的获胜在云领域掀起波澜

就在美国法院裁决发生的几天之后，也引入了Privacy Shield方案。该裁决表明会持续推进保护数据主权，并且很可能会深刻地影响云供应商的运维方式。

Microsoft案件从属于存储通信保障法之下所签署的2013年12月的委任状，该保障法要求企业上交存储在美国外的客户邮件内容。联邦检察官坚信该账户被用于毒品非法交易，但是该委任状上周被美国上诉法院在二审中驳回了。

在云计算的早期，你的数据驻留在哪里并不重要，但是现在大家开始意识到这是不对的，Brown说。该裁决很重要，因为它从本质上阻止了美国执法机构进入总部在美国的企业在海外的数据中心来获得信息，他补充道。

“他们获胜的事实不仅仅对于他们来说是好消息，对我们所有人来说都是好消息，因为它重申了驻留地的重要性，”Brown说。

超过二十四家媒体和技术企业申请了非当事人意见陈述，来支持Microsoft，这些企业包括云供应商，比如Amazon, Salesforce 和 Rackspace。该裁决“为解决隐私和法律执行所需提供了更好的解决方案，” Brad Smith在博客里说，他是Microsoft的董事长及首席法务专员。

Smith提倡用全新的国际传播隐私法案代替已经数十年之久的管控数据保护法案，并且他赞扬了美国司法部门的工作，在该起特殊的案件里和英国达成了双边条约。

所有这些事件都会在2018年General Data Protection Regulation在欧洲生效的时候重新审查。欧洲在这一事件上起着领导作用，并且新的协议让数据保护和隐私“更上一层楼”，其中不受管辖的条款覆盖了欧洲公民的数据，而不管数据的物理处理地点在何处，Brown说。

因此，除了国际数据传输领域挥之不去的不确定性，Microsoft案例和Privacy Shield至少已经唤醒了人们在该领域的意识。

“这些事件所起的作用是让大家进一步意识到数据传输和数据驻留地这整个领域的重要性，”Brown说。“该事件有更好的理解，总部位于美国的云供应商对此的理解对于一些总部位于欧洲的企业而言的确是一个问题。”