根据苏格兰警察局信息自由文件披露，微软拒绝向执法机构提供其国际数据流的关键信息。文档显示，存储在微软超大规模云基础设施中的警务数据可能在100多个国家被处理，但微软通过分散在非索引网页中的文档刻意隐藏了这一事实。

数据主权缺失 微软在 correspondence 中承认，无法保证其O365基础设施中警务数据的主权。这与微软高管向法国参议院作出的声明一致，即无法保证欧洲数据在其服务中的主权。

隐藏的访问范围 尽管微软向警方提供的链接显示数据可能传输至34个国家，但其Learn平台另一份文档列出100多个国家/地区的微软员工或合同工可远程访问M365客户数据。独立安全顾问Owen Sayers的分析表明，来自105个国家、148个子处理商的微软人员可远程访问数据。

合规性风险 这意味着苏格兰警方无法满足《数据保护法2018》第三部分的执法专用数据保护规则，该规则严格限制警务数据转移出英国。多位数据保护诉讼专家指出，数据主体可能因此有权向警方索赔。

微软的回应 微软未对报道内容作出正式回应，仅重申“遵守所有适用法律法规”，且未质疑远程访问地点数量的准确性。

技术细节 Sayers发现，关键页面“Locations of Microsoft Online Services Personnel with Remote Access to Data”无法通过常规搜索找到，需使用特定筛选器。微软将信息分散在大量文档中，使得客户难以全面了解数据流向。

潜在法律后果 律师指出，若警方违反第三部分义务部署M365，受影响个人可根据DPA2018第169条索赔。赔偿适用于非经济损失，包括因数据可能被非法转移至“敌对”国家而产生的担忧。

行业影响 这一问题影响整个英国政府和公共部门，根据G-Cloud和TEPAS框架，这些机构有义务确保数据默认保留在英国境内。专家警告，若不解决此问题，年度赔偿负担可能达数亿英镑。