本文作者:邹玙璠
摘要
虽然法国在SREN法案中力图强调数字主权,但在实际操作中,如EDF仍选择将数据存储在美国公司的云服务上,这表明法国在云计算领域仍未有与GAFAM竞争的本土替代方案。同时,法国SREN法案与欧盟的《数字服务法案》存在冲突,欧盟委员会指出,如果SREN法案通过,将绕过DSA第四章中规定的执行规则,导致监管和执行任务仅交给法国当局,违反了DSA的规定。此外,云计算市场缺乏互操作性也是争议焦点之一,法国SREN法案中的规定是否足以解决这一问题仍有争议。综上,法国在数字主权和云计算领域的探索与挑战仍在继续。
图源:Vincent Thiebaut
一、 法国SREN法案关键争议:敏感数据的云服务
2024 年 2 月 13 日,法国讽刺周刊Le Canard enchaîné透露,法国国有电力公司EDF决定将其维护应用程序和IT服务转移到Amazon Web Services (AWS),其中包括核领域的部分云服务。该合同涉及运行法国核电站的IT 系统的现代化。议员 Philippe Pradal和 Philippe Latombe对法国主权数据存储在美国云上表示担忧。2024年1月31日,据法国Next报道,法国数据监管机构 (CNIL) 授权健康数据中心使用微软云 (Azure) 进行深度学习技术的科学研究。法国中间派参议员 Catherine Morin-Desailly就此事致函政府。她提到SREN法案是加强主权数据云安全存储的正确工具。由于美国科技巨头受到《外国情报监视法 FISA》的约束,该法案要求任何一家美国公司,即使是在美国本土以外开展活动,也必须向美国机构传达数据,法国担忧将涉及国家安全的重要数据储存在美国科技巨头所提供的云服务上会危害法国的数字主权和欧洲公民的个人敏感数据。法国民主运动*党** (Democratic Movement)副手兼CNIL专员Philippe Latombe此前表示,希望通过SREN法案第10条第2款第A项,要求法国敏感数据必须使用不受域外法律约束的云提供商。
SREN法案全称为《数字空间安全和监管法》((Law to Secure and Regulate the Digital Space,the “Loi SREN”)),由法国数字事务部长Jean-Noël Barrot领导提出,旨在监管法国数字空间的服务和活动。2022年7月,法国参议院一致通过了《数字空间安全和监管法》(SREN)草案第10条第2款第A项,该条规定要求所有敏感数据必须使用不受域外法律约束的云服务提供商,旨在规范数字市场的竞争活动,有望创建一个大型欧洲云市场,让企业和政府转向欧洲的云提供商。这意味着包括国防机密和健康数据在内的敏感数据将不再储存在美国大型科技公司(GAFAM)例如亚马逊、微软和谷歌所提供的云服务上,亚马逊网络服务,微软Azure和谷歌云等美国科技巨头共占了71%的法国市场份额。2023年9月21日,在特别委员会审查期间,该条法规被删除。
2023年10月5日,修正案提交法国参议院要求重新引入该条规定。在10月11日最终通过的法案草案中,它要求使用欧洲云服务商来处理公共实体的敏感数据。国家、社区及其运营商会注意在欧洲云上托管其“敏感数据”,但前提是“其违规行为可能导致对公共秩序、公共安全、人民健康或生命或知识产权保护的攻击”。最重要的是,新版本建议对所有正在进行的项目给予豁免,这种豁免必须根据国务委员会未来法令中规定的条款提出申请。
2023年10月17日,法国国民议会(Assemblée nationale)一读后表决通过了《数字空间安全和监管法》(Law to Secure and Regulate the Digital Space,the “Loi SREN”)。根据法国立法程序,法案还需联合委员会审阅才能最终通过。在该版法案中,明确排除了GAFAM在处理敏感数据存储市场中的地位。
然而,2023年10月25日,欧盟委员会针对该法案发布了详细的反对意见,巴黎于12月22日向欧盟委员会发出正式回应,为该法案辩护。根据欧盟法律,收到详细批评意见的成员国必须将其采纳法案草案的时间延长四个月,自通知之日起算。因此,法案的最终通过的时间再次被推迟,最早要到2024年3月11日。2024年1月17日,欧盟委员会针对该法案发表了第二份批评意见。由于遭到欧盟的反对,目前该法案的审查处于停滞阶段。
二、SREN法案背后,法国与欧盟的数字主权之争
欧盟的两份意见均指出,SREN法案的内容与欧盟《数字服务法案》(DSA)发生冲突。第一:根据DSA,网络服务应受到服务提供者所在成员国法律的监管,然而SREN法案的条款适用于在法国境内提供其服务的网络服务提供商,不论其注册国家是否在法国境内;第二,SREN法案的内容与DSA条款发生重合,欧盟委员会要求法国当局尊重DSA的直接适用原则;第三,如果SREN法案被通过,它将把通报的规定的监测和执行任务仅交给法国当局,这样就绕过了DSA第四章中规定的执行规则。在托管数据的云计算领域,法国SREN法案和欧盟的分歧主要有以下三点:
1. 传出数据传输费:
三大美国主要云计算提供商(AWS,Azure,Google Cloud)的传出数据传输费比其他提供商高十倍,而法国提供商Scaleway和OVH则不收取费用。
欧盟DSA第25条试图消除传出数据传出费,自数据法实施之日起三年内逐步取消转换费,预计日期为2027年2月15日。但SREN第七条预先部分使用了DSA第25条的规定。
2. 云积分:
云积分是一种类似优惠券代码的机制,由于授予这些积分的期限,分配的金额以及美国大型数字公司在其托管的数据传输到其他基础设施和软件时施加的限制性条件,云积分或许会加强年轻初创企业对某些云服务商的技术依赖风险。在目前的市场状况下,GAFAM所给予的云积分优惠阻碍了法国和欧洲的云计算服务商参与公平竞争。例如,Google 和 Amazon Web Services 每年授予高达 100,000 美元的积分,有时还提供对某些功能的额外临时免费访问,但是Oracle只提供两年内最高500美元的积分和70%的折扣。法国希望为云积分设定具体的法律框架,例如授予云积分的最长期限为一年,且规定云积分的使用不能附带与供应商相关的排他性条件。但在欧盟层面,云积分还未纳入DSA的管辖范畴可见,法国在云计算市场上有比欧盟层面更激进的数字主权诉求。
3. 互操作性:
云计算市场的各个层面(包括基础实施laas,平台Paas和软件Saas)都缺乏互操作性,这加剧了技术垄断和排他性竞争。
DSA已经规定了数据处理服务互操作性和开放互操作性的欧洲标准,但SREN有更严格的规范。
三、SREN法案背后的法国*党**派共识
2013年,欧盟议员凯瑟琳·莫林-德塞利 (Catherine Morin-Desailly) 就警告称,欧盟有可能成为数字世界的殖民地。根据2023年6月17日特别委员会所提供的第777号特别报告,云计算作为数据经济的支柱,在2025年全球范围内的市场价值将超过1.2万亿欧元。然而,云计算领域的服务也高度剧中在美国科技巨头AWS,Azure和谷歌云平台上,占据了法国约70%的市场份额。65%的法国初创企业声称依赖美国GAFAM,而其中73%的企业至少使用其一项服务。此外,云计算市场缺乏互操作性以及技术的重叠,导致了*绑捆**销售和市场的不公平行为,从而限制了其它服务商提供云的能力。法国希望通过有效的监管在打击美国科技巨头的同时鼓励法国本土科技创新。SREN法案中有关敏感数据托管在欧洲云服务商既是为保护数据安全,也是鼓励法国和欧洲本土云计算市场的发展。
SREN的草案内容此前经过了长期的议会辩论,议员Philippe Latombe 先生(DeMo)强硬表示:欧盟法院实际上在 2020 年宣布了隐私盾无效,“出于商业目的而将欧洲个人数据转移到美国领土时,对个人数据的保护水平不足”。因此,议员Philppe Latombe呼吁努力将欧洲领土上的数据本地化,并加强有关这一主题的国家和欧洲立法。在国家层面,“以云为中心”的原则通过国家安全系统信息局 (Anssi) 建立的 SecNumCloud 认证,可以保证对最敏感数据的最大程度的数据保护。该认证旨在识别被认为“值得信赖”的服务提供商,以保证相关数据的高水平保护。保证数据在欧洲领土上的本地化,并构成针对域外立法适用风险的保护。
LFI-NUPES*党**的Ségolène Amiot 议员也表示要求主管部门和国家运营商尊重 SecNumCloud 标准。但应该更进一步,强加数据处理的地域性。自由文艺复兴*党**的女士Marie Guévenoux则表示:该草案移植了欧洲法规的规定,源自法国上届欧盟轮值主席国期间共和国总统所捍卫的雄心勃勃的计划;这些措施增强了法国企业的独立性并提高了它们的吸引力。数字技术提供的经济机会对于法国和欧洲来说都是真正的机会。通过通过这份文本,法国将抓住这些机会,同时确保在这些新空间中传播安宁和安全。
综上,虽然在具体监管措施上,法国各*党**派有所争议,但各*党**派在捍卫数据主权上达成一致。
然而,2024年1月法国国有电力公司EDF决定将其维护应用程序和IT服务转移到Amazon Web Services (AWS),其中包括核领域的部分云服务。该合同涉及运行法国核电站的IT 系统的现代化。在议员对数字主权的强烈诉求之下,法国国有电力公司还是将电力和健康数据订单托管在了美国公司的云服务上。这显示出,目前法国本土仍然没有能够提供同GAFAM一样强大的云计算服务的科技公司。例如,法国云服务提供商Oodrive能够满足欧洲与法国的安全要求,但其技术水平与服务规模仍与GAFAM有较大差距。
在云计算领域,法国与欧盟都提倡主权优先,然而目前各国科技竞争激烈,美国公司在技术发展上遥遥领先。法国的技术发展速度能否支撑起其捍卫数字主权的诉求仍然有待考察。
四、结语
综上所述,法国SREN法案在多个方面引发了争议。法案要求敏感数据必须使用不受域外法律约束的云服务提供商,这与欧盟《数字服务法案》存在冲突。此外,法国试图通过设定云积分的法律框架来限制美国科技巨头的优惠政策,以促进本土云计算市场的竞争力,但对于如何实施这一制度存在争议。云计算市场缺乏互操作性也是一个争议点,虽然欧盟已经制定了相关标准,但SREN法案中的规定是否足以解决这一问题仍有争议。此外,法案与欧盟法律的冲突也引发了争议,特别是在数据存储位置和通报规定监测执行任务方面。尽管法国政府和议会在保护数据主权和促进本土技术创新方面达成了一致,但在具体监管措施上存在分歧。未来,法国将继续努力应对各种挑战,寻求与欧盟的合作与妥协,以实现数字主权的目标。
参考文献
1) Assemblée nationale. (n.d.). Mme Naïma Moutchou - Val-d’Oise (4e circonscription). Assemblée Nationale. https://www.assemblee-nationale.fr/dyn/deputes/PA720908
2) Bascou, S. (2023, October 12). Quel est cet article 10 Bis A qui met le bazar dans le projet de loi pour sécuriser l’espace numérique (SREN) ? 01net.com. https://www.01net.com/actualites/quel-est-cet-article-10-bis-a-qui-met-le-bazar-dans-le-projet-de-loi-pour-securiser-lespace-numerique-sren.html
3) Besnard, G. (2023, November 3). Adoption en séance publique du projet de loi visant à sécuriser et réguler l’espace numérique (ou PJL SREN) à l’Assemblée nationale - Fevad, la Fédération du e-commerce et de la vente à distance. Fevad, La Fédération Du E-commerce Et De La Vente À Distance. https://www.fevad.com/adoption-en-seance-publique-du-projet-de-loi-visant-a-securiser-et-reguler-lespace-numerique-ou-pjl-sren-a-lassemblee-nationale/
4) Bohic, C. (2023a, May 11). IT souveraine : le cloud de confiance cherche sa voie. Silicon. https://www.silicon.fr/dossiers/it-souveraine-le-cloud-de-confiance-cherche-sa-voie
5) Bohic, C. (2023b, June 5). Les données sensibles (enfin) explicitées dans la doctrine cloud de l'État. Silicon. https://www.silicon.fr/donnees-sensibles-doctrine-cloud-etat-466894.html
6) Bohic, C. (2023c, October 20). Encadrement des fournisseurs cloud : ce qui s'est joué à l'Assemblée nationale. Silicon. https://www.silicon.fr/projet-loi-sren-fournisseurs-cloud-472456.html
7) Bonfillon, R. (2023, November 12). Loi SREN : le cloud souverain au cœur des débats. Mind Health. https://www.mind.eu.com/health/financement-et-politiques-publiques/loi-sren-le-cloud-souverain-au-coeur-des-debats/
8) Cloud Computing Regulation in France and EU | Chambers Expert Focus. (n.d.). https://chambers.com/legal-trends/regulating-the-digital-space
9) Comment le projet de loi sur l’espace numérique est allé droit (européen) dans le mur, en 7 moments-clés - Contexte. (n.d.). https://www.contexte.com/article/medias/comment-le-projet-de-loi-sur-lespace-numerique-est-alle-droit-europeen-dans-le-mur-en-8-moments-cle_181640.html
10) CURIA - Documents. (n.d.-a). https://curia.europa.eu/juris/document/document.jsf?text=&docid=280771&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=2032845
11) CURIA - Documents. (n.d.-b). https://curia.europa.eu/juris/document/document.jsf?text=&docid=280771&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=2032845
12) Devillers, O. (n.d.). Les députés adoptent la loi sur la régulation de l’espace numérique (Sren). Banque Des Territoires. https://www.banquedesterritoires.fr/les-deputes-adoptent-la-loi-sur-la-regulation-de-lespace-numerique-sren
13) Document Contexte - Projet de loi sur l’espace numérique : la Commission européenne envoie une seconde salve de critiques - Contexte. (n.d.). https://www.contexte.com/article/medias/la-commission-europeenne-persiste-et-signe-dans-un-nouvel-avis-circonstancie_181948.html
14) Krim, T. (2024, March 18). ��� Quel écosystème cloud pour conserver notre souveraineté numérique. Éditions Cybernetica. https://www.cybernetica.fr/loi-sren/
15) Le règlement sur les services numériques (DSA) - Contexte. (n.d.). https://www.contexte.com/le-reglement-sur-les-services-numeriques-dsa/
16) Libre à lire ! (2024, January 14). Le député geek Éric Bothorel défend son point de vue : projet de loi Sren, AI Act, très haut débit. . . – Libre à lire ! Libre À Lire ! https://www.librealire.org/le-depute-geek-eric-bothorel-defend-son-point-de-vue-projet-de-loi-sren-ai-act-tres-haut-debit
17) L’Union européenne, colonie du monde numérique ? - Sénat. (n.d.). Sénat. https://www.senat.fr/notice-rapport/2012/r12-443-notice.html
18) Projet de loi n°175. (n.d.). https://www.assemblee-nationale.fr/dyn/16/textes/l16t0175_texte-adopte-seance
19) Projet de loi sur l’espace numérique - Contexte. (n.d.-a). https://www.contexte.com/projet-de-loi-sur-lespace-numerique/
20) Projet de loi sur l’espace numérique - Contexte. (n.d.-b). https://www.contexte.com/projet-de-loi-sur-lespace-numerique/
21) Projet de loi visant à sécuriser et réguler l’espace numérique - Sénat. (n.d.-a). Sénat. https://www.senat.fr/rap/l22-777/l22-77714.html#toc122
22) Projet de loi visant à sécuriser et réguler l’espace numérique - Sénat. (n.d.-b). Sénat. https://www.senat.fr/rap/l22-777/l22-777.html
23) Team, O. (2024, February 8). Loi SREN : Bouclier innovant pour protéger l’espace numérique européen. Oodrive. https://www.oodrive.com/fr/blog/reglementation/loi-sren-protection-espace-numerique/
24) The Digital Services Act package. (2024, March 26). Shaping Europe’s Digital Future. https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package
作者:邹玙璠
编辑:张尹琳
责编:邹明蓁
刊物介绍
《人工智能资讯周报》探讨人工智能对公共政策、治理和政策建议的影响,探索人工智能对商业、政治和社会的影响,以确定潜在的研究领域,探讨可能的合作研究和机构伙伴关系。本刊着重提供中国人工智能发展动态和对人工智能的思考,同时关注全球范围内人工智能相关研究动态。本刊旨在通过可靠的研究,来帮助企业、研究机构和公民预测和适应技术引领的变化。