欧盟出台云服务新规，亚马逊、谷歌等美国巨头或被挡在七成市场门外

欧盟委员会将于周三提出严格的采购标准，此举可能将亚马逊、微软和谷歌排除在所有27个成员国的敏感政府云合同之外。

根据路透社看到的一份草案文件，欧盟委员会将于周三提出严格的采购标准，可能将亚马逊、微软和谷歌排除在所有27个成员国的敏感政府云合同之外。

"技术主权意味着欧洲有能力自由设计、理解、从不同的本土来源中选择、构建、运营并有效监管其社会和经济所依赖的数字系统，"13家欧洲云服务提供商及立法者在一封公开信中表示，路透社看到了这封信。

该提案是欧盟委员会《云与人工智能发展法案》的一部分，引入了强制性非价格授标标准，包括要求软件和硬件在欧盟内部开发。这些限制针对的是处理金融、司法和医疗数据的公共部门工作负载——这是最敏感的政府信息类别。私营企业被明确排除在规则适用范围之外。

这一举措源于对美国2018年《云法案》（CLOUD Act）下监控行为的担忧，威胁到了AWS、微软Azure和谷歌云所控制的欧洲云市场约70%的份额。该立法需要在未来几个月内获得欧盟成员国和欧洲议会的支持，北欧国家和爱尔兰——美国云公司在此有大量业务——与推动更严格主权要求的国家之间已经出现内部分歧。

美国国会于2018年3月通过的《云法案》解决了一场长期的法律争端，规定在美国注册的公司无论其服务器位于何处，都必须遵守美国政府的数数据请求。法律专家表示，没有任何合同性的数据驻留条款可以超越这一法定义务。欧盟法院2020年的"Schrems II"裁决确立了合同不能凌驾于外国政府访问法之上的原则，为主权推动提供了法律基础。

欧盟委员会宣布该方案的时间点进一步强化了这一论点。在该方案公布前10天，美国网络安全和基础设施安全局的一名承包商将一个包含三个AWS GovCloud账户管理凭证的文件留在了公共GitHub存储库中，时间长达六个月。该存储库包含844兆字节的数据，包括数十个CISA内部系统的明文密码。CISA表示没有发现数据被泄露的证据，但这一事件暴露了依赖美国控制的基础设施所固有的程序性风险。

荷兰先例设下投资审查标准

在欧盟委员会公布方案的前一天，荷兰政府根据国家投资审查局的规定发布了首个收购禁令。国务秘书Willemijn Aerdts阻止了IBM分拆公司Kyndryl收购Solvinity，后者是一家荷兰云公司，托管着DigiD——数百万荷兰公民用于访问政府服务、医疗记录和税务申报的国家数字身份系统。荷兰投资审查局得出结论，将Solvinity置于Kyndryl的所有权下将使其身份数据面临《云法案》下的潜在强制披露风险。

欧盟委员会的提案现在需要经过所有27个成员国的立法程序。根据Gartner的数据，全球主权云支出预计在2026年达到800亿美元，而欧洲的支出将从2025年69亿美元的基础上同比增长83%。欧洲本地云服务商仅占约15%的市场份额，留下了巨大的产能缺口，欧盟委员会的折中方案——允许在严格治理框架内使用非欧洲技术——旨在弥合这一缺口。

欧盟委员会于4月将一笔1.8亿欧元的主权云合同授予了四个欧洲供应商集团，其中包括由比利时电信公司Proximus牵头的一个财团，该财团使用S3NS的基础设施，S3NS是一家法国防务公司泰雷兹持有多数股权、谷歌云提供底层技术的合资企业。这一入选引发了欧洲云贸易协会CISPE的批评，其秘书长Francisco Mingorance称将S3NS认定为主权云供应商"明显是一个乌龙球"，"威胁要在最高层面将'主权洗白'制度化"。

本文仅供参考，不构成投资建议。