欧盟云主权政策为美国超大规模云服务商预留空间

欧盟委员会上周发布了科技主权一揽子政策，其中包含迄今为止最明确的信号，表明欧盟有意强化欧洲云主权、降低对美国超大规模云服务商的依赖。

此举源于欧洲各组织和监管机构对美国科技公司依赖程度不断加深的担忧，以及《美国云法案》等立法的威胁——该法案可能赋予美国官员访问数据的权力，即便数据存储在欧洲境内也不例外。

然而，分析师指出，向本地主权云服务商的转型必然是一个渐进过程。《云与AI发展法案》（CADA）的相关提案为美国服务商继续向欧洲公共部门客户提供云计算服务留下了充足空间。

Gartner高级总监分析师费尔南多·佩雷罗表示："方向是对的，但执行将是缓慢的。"他指出，尽管欧盟委员会已准确识别出欧盟对境外服务商依赖程度最深的领域，但将雄心转化为现实是另一回大事。他认为，扩大替代美国供应商的规模"需要时间、资本以及欧洲难以持续维系的协调能力"。

Forrester高级分析师达里奥·迈斯托则对CADA提案在短期内推动欧洲云服务商大规模崛起的前景持保留态度，即便近期业界对本土欧洲供应商承接关键业务和高度敏感数据的兴趣明显上升。他表示："我不认为云基础设施市场会立即受到冲击。全面迁移成本高昂，往往需要数年时间，在可预见的未来不太可能大规模发生。"

佩雷罗预计，针对政府和受监管行业等敏感业务，将逐步出现"主权飞地"或受控环境。他表示："在这些领域之外，市场仍将是全球性的，但会越来越多地受到欧洲规则的塑造。"

尽管如此，占据欧洲云市场约70%份额的三大美国超大规模云服务商——亚马逊云科技（AWS）、谷歌和微软——可能将面临竞争加剧的局面。佩雷罗指出："真正的转变在于象征意义和结构层面：超大规模云服务商将从默认选择变为众多选项之一，其竞争力将越来越多地取决于能否满足欧洲的管控要求，而不仅仅是技术或价格。"

CADA的核心内容

CADA是欧盟委员会发布的"科技主权一揽子政策"的组成部分，与《芯片法案2.0》、开源战略以及能源领域数字化与AI战略路线图一并推出。

CADA包含一系列提升欧洲科技主权的举措，包括：通过放宽欧盟范围内新基础设施项目的限制，在未来五至七年内将数据中心容量提升至三倍；同时推动云与AI技术的研究与开发。

此外，CADA还设立了一套主权框架，一旦付诸实施，将要求欧盟公共机构评估主权风险，并按照四个保障等级采购云服务。

这四个等级被分析师迈斯托称为"存在诸多悬而未决问题的政治愿景"，具体内容如下：

一级要求主要聚焦于数据驻留，超大规模云服务商基本可以满足。

二级要求更具争议性，涉及第三国数据访问及服务中断等方面的规定。

三级为美国服务商保留了赢得采购合同的空间，尤其是在其与欧洲云服务商成立合资企业的情况下，例如泰雷兹子公司S3NS与谷歌的合作。

四级仅适用于极少比例（1%）的最敏感业务。

根据欧盟委员会自身的影响评估，欧盟公共部门现有业务中，约70%属于一级，20%属于二级，因此前两个等级均向美国超大规模云服务商开放。仅有9%的业务需达到三级要求。

最为严格的四级要求云服务商"对其软件供应链拥有完全的透明度和控制权，且不受任何第三国干预"。

佩雷罗表示，对于公共部门机构而言，CADA规则有助于厘清采购工作的边界。他说："如今，'主权云'的概念往往模糊不清，在服务商的市场推广中缺乏一致性。这一政策将主权的具体标准规范化，从根本上终结了'主权洗白'的时代。"他还指出，相关提案赋予公共部门机构"更完善的风险评估要求，尤其是在司法管辖权和数据访问方面"。"对于企业而言，重点不在于监管本身，而在于议价筹码。"他表示，"企业将获得更清晰的基准和更多可行的替代方案，尤其是通过开源方案和新兴欧洲服务商。"

业界反应

欧洲云基础设施服务提供商协会（CISPE）——一家非营利行业组织——对三级和四级"明确定义"表示欢迎，并表示若执行得当，相关规则有望"挑战境外成熟云与AI服务商的商业主导地位"。

然而，CISPE同时批评现行的一级和二级标准"混乱且缺乏逻辑"，认为由于美国超大规模云服务商同样能够满足这些要求，不应将其定性为"主权"级别。CISPE在博文中指出："这将继续扰乱市场，令公共和私营客户困惑不已，并助长更多'主权洗白'行为。"CISPE还表示，相关提案未要求公共机构在选择境外供应商之前，先行核查是否存在符合条件的欧洲服务商，并警告称"评估流程有可能沦为走过场，使IT部门得以借此继续出于便利性采购非主权服务"。

法国云计算公司OVHcloud对相关提案表示欢迎，但强调任何规则都必须谨慎界定，以确保实际效果。该公司发言人表示："这份文件迈出了正确的一步，也代表着强化欧洲战略自主的机会——这在几年前还是难以想象的事。它提供了一个有用的框架，但不能为例外情况和变通操作留下过多空间。欧洲必须也能够以更快的速度推进，制定清晰的规则，并真正践行欧洲优先原则。"该发言人还表示："欧洲拥有相应的市场主体和专业能力，现在是将政治抱负转化为欧洲工业实力的时候了。"

德国云与托管服务商Ionos的发言人表示，整个科技主权一揽子政策"标志着从诊断迈向治疗的迟来转变"。Ionos援引欧盟委员会的数据指出，欧盟超过80%的数字产品、服务和基础设施来自非欧洲服务商，每年有2640亿欧元从欧盟组织流向以美国为主的IT产品。"这是一次战略性失误，必须加以纠正。"该发言人表示，尽管公司对欧盟委员会聚焦"高度关键用例的安全与主权云及AI基础设施"表示赞赏，但认为CADA提案仍有不足："这套方案的核心弱点在于：整体思路仍以供给侧为主，而关键的需求侧杠杆付之阙如。公共采购是推动数字主权最有力的工具，公共部门作为锚定客户，对主权云与AI解决方案的规模化发展至关重要。"发言人还指出："欧洲在GPU计算方面将继续依赖英伟达和AMD。关键不在于是否合作，而在于合作条件——数据须受欧洲法律约束，由欧洲服务商运营，不得存在域外访问……若专项资金最终流向美国超大规模云服务商在欧洲的子公司，这套方案将背离其既定目标。"

对云服务商的影响

拟议中的规则可能要求超大规模云服务商调整策略，以适应欧洲客户的需求，或至少加强现有的主权云战略。佩雷罗表示："对于服务商而言，这本质上是对'竞争力'定义的重塑。过去十年，规模和与超大规模云服务商的对接已经足够，但如今情况已不同。"他指出，云服务商需要在数据、基础设施和运营层面展现真实的管控能力，而不仅仅是给解决方案贴上"主权"标签。"门槛已经提高，部分现有产品将难以达标。"

尽管CADA规则在某些情形下旨在向欧洲服务商倾斜，但提案并未明确禁止美国服务商参与公共部门合同。佩雷罗表示："这并不会将它们拒之门外，但会大幅改变竞争条件。"拟议中的采购要求将主权视为敏感业务的"准入门槛"，并"为那些运营模式依赖集中管控或非欧盟司法管辖权的服务商制造了实质性障碍"。

美国超大规模云服务商的回应

美国超大规模云服务商公开表示欢迎相关提案，并表示计划与政策制定者合作，确保客户在云服务采购中拥有充分的选择权。

谷歌发言人表示："我们期待审阅相关规则草案，并继续与合作伙伴携手合作，确保欧洲各组织拥有选择权和主权管控能力。"

亚马逊云科技发言人表示，公司已向欧洲云基础设施投入"数百亿欧元"，并声称这些投入"已切实提升欧洲大陆的竞争力，助力各组织创新发展，并为欧洲民众日常依赖的公私服务的建设与韧性提供了有力支撑"。"欧洲各组织理应能够从可信赖的服务商处获取最优质的技术，评判标准应基于安全性、性能、可验证的管控能力以及整体价值。我们期待与政策制定者合作，确保《云与AI发展法案》促进技术选择，并奖励在欧洲数字未来上的长期投入。"

微软发言人表示，公司认同欧盟"在开放、合作与公平竞争基础上强化技术主权与AI全球竞争力"的目标，并指出："实现这一目标，有赖于规模化获取世界一流的基础设施与技术。这意味着要使欧洲企业和公共行政机构能够在开放、竞争性市场中，基于全面的风险评估作出采购决策。微软提供安全的主权云解决方案，将控制权交予客户，我们随时准备协助在欧洲构建强大、具有韧性且与全球互联互通的AI生态系统。"

佩雷罗表示，尽管相关提案为美国超大规模云服务商带来了潜在挑战，但那些能够适应新监管方向、回应欧洲机构关切的服务商将从中受益。"如果你的产品符合主权要求，你的企业将很可能获得更多机遇，而非更少。"

Q&A

Q1：欧盟《云与AI发展法案》（CADA）的四个保障等级具体有什么区别？

A：一级主要关注数据驻留，美国超大规模云服务商可以满足；二级涉及第三国数据访问及服务中断，要求更为严格；三级允许美国服务商与欧洲云服务商合资参与采购；四级仅适用于1%的最敏感业务，要求对软件供应链拥有完全透明度和控制权，且不受任何第三国干预。

Q2：CADA对美国超大规模云服务商（如AWS、谷歌、微软）的影响是什么？

A：CADA并未明确禁止美国超大规模云服务商参与欧洲公共部门合同，但会大幅改变竞争条件。这些服务商需要在数据、基础设施和运营层面展现真实的主权管控能力，而不能仅依靠规模优势或价格竞争。分析师指出，它们将从"默认选择"变为"众多选项之一"，竞争力将更多取决于能否符合欧洲管控要求。

Q3：欧洲本土云服务商对CADA提案有什么看法？

A：欧洲本土云服务商总体持欢迎态度，但也提出了批评。CISPE认为一级和二级标准定义模糊，允许美国服务商满足要求，可能助长"主权洗白"；OVHcloud认为方向正确，但规则不能留有太多例外；Ionos则指出提案过于聚焦供给侧，忽视了公共采购这一推动数字主权最有力的需求侧工具。