欧盟考虑限制非欧盟企业在欧盟境内提供云服务

欧盟正在起草新规，要求非欧盟云服务提供商必须通过与一家总部位于欧盟的公司合资，以获得欧盟网络安全标签，来处理敏感数据。

提议起草这项新规的欧盟网络安全机构是欧盟网络安全局（ENISA），该草案还将涉及一项欧盟认证计划（EUCS) ，以保证云服务的网络安全，并决定欧盟政府和公司如何为云业务选择供应商。

如果这项草案最终通过并生效，意味着亚马逊、谷歌以及微软等科技巨头，必须与一家欧盟企业合资，并且非欧盟企业只能占有少数股权，才能在欧盟范围运营和维护云服务。此外，所有的云服务客户数据都必须在欧盟存储和处理，有权访问欧盟数据的员工必须经过特定筛选。

文件草案称，欧盟以外的任何实体都无法对云服务提供商（CSP）进行实质性的控制，仅有经过欧盟认证的实体才有权控制CSP。“此举是为了减轻非欧盟实体干预并破坏欧盟法规和价值观的风险。”该文件称。欧盟还强调， 这些举措对于保护欧盟的数据权利和隐私是必要的。

按照计划，欧盟成员国将在本月晚些时候审查该草案，此后交由欧盟委员会通过最终方案。

ENISA起草该文件的背景是OpenAI的ChatGPT催生的人工智能繁荣将推动云服务需求的爆发式增长。目前，美国大型科技巨头都在积极争取各个领域的云服务市场，以驱动未来几年的业务增长。

ENISA上个月底发布了一份人工智能网络安全标准评估，并针对即将实施的欧盟AI法案发布建议。

在发给第一财经记者的一份声明中，欧盟网络安全局执行主任Juhan Lepassaar表示：“由AI系统提供支持的高级聊天机器人平台目前已被消费者和企业广泛使用。我们评估AI的影响、监测和控制它的能力，是希望充分发挥AI的潜力，同时使用适当的标准来确保运行AI系统所需处理的数据的安全性。”

根据ENISA的报告，欧盟的AI法案草案将AI系统定义为“使用一种或多种技术开发的软件，用于生成内容、预测、建议或影响决策等”。这些技术主要包括：机器学习和深度学习等方法。

不过欧盟强调，人工智能系统的确切范围是在不断演变的。目前ENISA正在研究欧盟人工智能网络安全认证计划的必要性和可行性，并与包括行业和成员国在内的广泛的利益相关者进行接触，目的是收集有关人工智能网络安全要求、人工智能相关数据安全、人工智能风险管理和合格评定的数据。