歐盟執委會將於週三提出嚴格的採購標準,可能導致亞馬遜、微軟與 Google 被排除在全部 27 個成員國的敏感政府雲端合約之外。
返回
歐盟雲端法規擬限制亞馬遜、Google 取得七成市場
歐盟執委會將於週三提出嚴格的採購標準,可能導致亞馬遜、微軟與 Google 被排除在全部 27 個成員國的敏感政府雲端合約之外。
根據路透社取得的一份草案文件,歐盟執委會將於週三提出嚴格的採購標準,可能導致亞馬遜、微軟與 Google 被排除在全部 27 個成員國的敏感政府雲端合約之外。
「技術主權意味著歐洲有能力自由設計、理解、從不同的本土來源中選擇、建構、營運並有效監管其社會與經濟所依賴的數位系統,」13 家歐洲雲端供應商與立法者在一封公開信中表示,該信函內容已由路透社取得。
該提案為執委會《雲端與人工智慧發展法案》的一部分,引入了強制性的非價格授標標準,包括要求軟硬體須在歐盟境內開發。這些限制針對處理金融、司法與醫療保健數據的公部門工作負載——這些是政府資訊中最敏感的類別。私營企業明確被排除在該法規之外。
此項推動源自對 2018 年《美國雲端法案》(CLOUD Act)下美國監控行為的擔憂,威脅到 AWS、Microsoft Azure 與 Google Cloud 所控制的歐洲雲端市場約七成佔有率。該立法需在未來數月內獲得歐盟成員國與歐洲議會的支持,而北歐及愛爾蘭——美國雲端公司在當地擁有重大業務——與主張更嚴格主權要求的國家之間已開始出現內部分歧。
美國國會於 2018 年 3 月通過的《美國雲端法案》解決了一場長期的法律爭議,確立在美國註冊的公司無論其伺服器位於何處,都必須遵守美國政府的數據請求。法律專家指出,沒有任何合約性的數據駐留條款可以凌駕於該法定義務之上。歐盟法院於 2020 年作出的 Schrems II 裁決確立了合約不能凌駕於外國政府存取法律之上,為此次主權推動奠定了法律基礎。
執委會宣布該方案的時機進一步強化了此論點。在該方案公布前十日,美國網路安全暨基礎設施安全局(CISA)的一名承包商將三個 AWS GovCloud 帳戶的管理員憑證遺留在公開的 GitHub 儲存庫中長達六個月。該儲存庫包含 844 MB 的數據,包括數十個 CISA 內部系統的明文密碼。CISA 表示未發現數據遭到洩露的證據,但此事件說明了依賴美國控制基礎設施所固有的程序風險。
荷蘭先例確立投資審查標準
在執委會方案公布的前一天,荷蘭政府根據其國家投資審查局發布了首個收購禁令。國務秘書 Willemijn Aerdts 阻止了 IBM 分拆公司 Kyndryl 收購 Solvinity,這是一家荷蘭雲端公司,負責託管 DigiD——數百萬荷蘭公民用以存取政府服務、醫療記錄與稅務申報的國家數位身分系統。荷蘭投資審查局認定,將 Solvinity 置於 Kyndryl 所有權之下,將使身分數據面臨《美國雲端法案》下的潛在強制披露風險。
執委會的提案現在將在全部 27 個成員國中展開立法程序。根據 Gartner 的數據,全球主權雲端支出預計在 2026 年達到 800 億美元,歐洲支出將從 2025 年 69 億美元的基礎上實現年增 83%。歐洲本地雲端供應商約佔市場的 15%,留下了巨大的產能缺口,而執委會的折衷方案——允許在嚴格的治理框架內使用非歐洲技術——正是旨在填補這一缺口。
執委會已於今年四月將一項總額 1.8 億歐元的主權雲端標案授予四個歐洲供應商集團,其中包括由比利時電信商 Proximus 領導的聯合體,該聯合體使用 S3NS 的基礎設施——這是一家合資企業,法國國防公司 Thales 持有控股權,而 Google Cloud 提供底層技術。該入選決定遭到歐洲雲端貿易協會 CISPE 的批評,其秘書長 Francisco Mingorance 稱將 S3NS 認定為主權雲端「顯然是擺烏龍」,並「威脅要在最高層級將主權洗白行為制度化」。
本文僅供參考,不構成投資建議。
