چارچوب جدید «حاکمیت ابری» اتحادیه اروپا چگونه میتواند غولهای فناوری آمریکایی را از قراردادهای دولتی حذف کند؟
قانون پیشنهادی کمیسیون اروپا در مورد توسعه ابر و هوش مصنوعی (CADA)، یک سیستم امنیتی چهار سطحی را معرفی میکند که عملاً برای دادههای حساس بخش دولتی، مالکیت محلی را الزامی میسازد. این چارچوب، تضاد صلاحیتی مستقیمی با قوانین نظارتی ایالات متحده ایجاد کرده و نحوه تأمین زیرساختهای ابری را وادار به یک تغییر ساختاری میکند.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- حامیان حاکمیت دیجیتال اروپا
- استدلال میکنند که اتکا به زیرساخت ابری خارجی برای عملکردهای حیاتی دولت، یک خطر امنیتی ملی غیرقابل قبول است که باید از طریق کنترل صلاحیتی سختگیرانه کاهش یابد.
- ابرشرکتهای جهانی
- ادعا میکنند که این چارچوب حمایتگرایانه است، دسترسی اروپا به بهترین فناوریها را به طور مصنوعی محدود میکند و تحول دیجیتال قاره را کُند خواهد کرد.
- تحلیلگران امنیت سازمانی
- این چارچوب را به عنوان یک تغییر انطباقی عظیم میبینند که شرکتهای چندملیتی را مجبور میکند تا معماریهای ابری خود را برای برآورده کردن الزامات جدید زنجیره تأمین بخش دولتی بازطراحی کنند.
زوایای پوششدادهنشده
- · مشتریان سازمانی بخش خصوصی
- · ارائهدهندگان ابری غیر اتحادیه اروپا و غیر ایالات متحده (مانند شرکتهای فناوری چینی)
چرا مهم است
سالها، حاکمیت ابری به عنوان یک مشکل جغرافیایی تلقی میشد که با ساخت مراکز داده محلی حل میشد. چارچوب جدید اتحادیه اروپا این مفهوم را به عنوان یک مشکل صلاحیتی بازتعریف میکند، به این معنی که ارائهدهندگان ابری آمریکایی ممکن است به زودی از میزبانی حساسترین دادههای عمومی اروپا، صرف نظر از محل فیزیکی سرورهایشان، منع شوند.
نکات کلیدی
- قانون پیشنهادی توسعه ابر و هوش مصنوعی اتحادیه اروپا (CADA) یک چارچوب حاکمیتی چهار سطحی را برای قراردادهای ابری بخش دولتی معرفی میکند.
- بالاترین سطوح (UAL 3 و ۴) نیازمند مالکیت شرکتی اروپایی و الزامی میکنند که تمام پرسنل شهروند اتحادیه اروپا باشند.
- این قوانین برای مقابله با قانون CLOUD ایالات متحده طراحی شدهاند، قانونی که به نهادهای مجری قانون آمریکا اجازه میدهد به دادههای ذخیره شده در سراسر جهان توسط شرکتهای آمریکایی دسترسی پیدا کنند.
- ابرشرکتهای آمریکایی مانند AWS، Google Cloud و Azure احتمالاً از حساسترین قراردادهای دولتی اروپا محروم خواهند شد.
- این چارچوب یک مزیت ساختاری عظیم به ارائهدهندگان ابری داخلی اروپا مانند OVHcloud و T-Systems میدهد.
در طول دهه گذشته، بازار جهانی رایانش ابری بر اساس یک مصالحه جغرافیایی عمل میکرد: غولهای فناوری ایالات متحده میتوانستند به دولتهای اروپایی خدمات دهند، به شرطی که مراکز داده را به صورت فیزیکی در داخل مرزهای اروپا بسازند. آن دوران در حال پایان است. با معرفی قانون توسعه ابر و هوش مصنوعی (CADA)، کمیسیون اروپا در حال بازتعریف اساسی مفهوم کنترل زیرساخت دیجیتال است.[4][7]
قانون CADA محور اصلی «بسته گستردهتر حاکمیت فناوری اروپا» است، یک طرح قانونی فراگیر که در ژوئن ۲۰۲۶ رونمایی شد. این بسته ناشی از یک واقعیت آماری تلخ است: اتحادیه اروپا در حال حاضر برای بیش از ۸۰ درصد از محصولات دیجیتال، خدمات و مالکیت فکری خود به ارائهدهندگان غیر اتحادیه اروپا وابسته است. بروکسل اکنون این وابستگی را نه صرفاً یک عدم تعادل اقتصادی، بلکه یک آسیبپذیری استراتژیک حیاتی میداند که قابل مقایسه با وابستگی سابقش به گاز طبیعی روسیه است.[3][4]
برای اصلاح این وضعیت، CADA مکانیزمی را معرفی میکند که به عنوان چارچوب حاکمیت رایانش ابری اتحادیه شناخته میشود. این چارچوب که در ماده ۱۶ مقررات پیشنهادی تشریح شده است، چهار «سطح تضمین اتحادیه» (UAL 1 تا ۴) متمایز را تعیین میکند. این سطوح دقیقاً مشخص میکنند که کدام ارائهدهندگان ابری مجاز به میزبانی دستههای مختلف دادههای بخش دولتی هستند و تمرکز را از محل ذخیره دادهها به کنترل قانونی شرکتی که آن را ذخیره میکند، تغییر میدهد.[6][7]
سیستم سطوح به عنوان یک فیلتر درجهبندی شده عمل میکند. سطح تضمین اتحادیه ۱ (UAL 1) به عنوان خط مبنای جدید برای تمام خریدهای ابری بخش دولتی عمل میکند. این سطح ایجاب میکند که ارائهدهنده در اتحادیه اروپا تأسیس شده باشد و تمام دادههای مشتری، از جمله فرادادهها (metadata) و تلهمتری، به صورت فیزیکی در داخل اتحادیه باقی بماند، مگر اینکه یک نهاد عمومی صراحتاً استثنا قائل شود. امروزه اکثر ارائهدهندگان بزرگ ابری بینالمللی میتوانند این خط مبنا را رعایت کنند.[6][7]
سطح تضمین اتحادیه ۲ (UAL 2) محدودیتها را سختتر میکند. این سطح ایجاب میکند که هم ارائهدهنده مورد حسابرسی و هم تمامی پیمانکاران فرعی، زیرساخت، داراییها و پرسنل خود را منحصراً در داخل اتحادیه اروپا حفظ کنند. علاوه بر این، آموزش مدلهای هوش مصنوعی بر اساس دادههای استفاده مشتری در خارج از مرزهای اروپا را ممنوع میکند و یک دفاع قوی در برابر انتقال دادههای فرامرزی ایجاد مینماید.[7]
موانع ساختاری برای غولهای فناوری خارجی از سطح تضمین اتحادیه ۳ (UAL 3) آغاز میشود. در این سطح، تمام پرسنل درگیر در مدیریت خدمات ابری باید شهروند اتحادیه اروپا باشند و در صورت رسیدگی به اطلاعات طبقهبندی شده، دارای مجوزهای امنیتی ملی باشند. نکته حیاتی این است که ارائهدهنده و پیمانکاران فرعی آن نباید تحت کنترل شرکتی یک کشور ثالث باشند، که عملاً شرکتهای تابعه چندملیتیهای خارجی را مسدود میکند، مگر اینکه معافیتهای خاص و محدودی اعطا شود.[5][6]
سطح تضمین اتحادیه ۴ (UAL 4) سقف مطلق است و منحصراً برای حساسترین حجم کاری دولت طراحی شده است—مانند دفاع، امنیت ملی، عدالت و مدیریت مرزها. UAL 4 کنترل کامل و بدون استثنای اتحادیه اروپا را الزامی میکند. این سطح نیازمند مالکیت شرکتی اروپایی، زیرساخت اروپایی و شهروندی اجباری اتحادیه اروپا برای هر کسی است که دسترسی فیزیکی یا منطقی به سیستمها دارد. تحت این معیارها، هیچ ابرشرکت (Hyperscaler) مستقر در ایالات متحده در حال حاضر نمیتواند واجد شرایط باشد.[5][7]
سطح تضمین اتحادیه ۴ (UAL 4) سقف مطلق است و منحصراً برای حساسترین حجم کاری دولت طراحی شده است—مانند دفاع، امنیت ملی، عدالت و مدیریت مرزها.
حذف غولهای فناوری ایالات متحده از سطوح بالا، تصادفی در فرآیند تدوین نیست؛ بلکه پاسخی مستقیم به قانون CLOUD ایالات متحده است. این قانون که در سال ۲۰۱۸ توسط کنگره ایالات متحده تصویب شد، به نهادهای مجری قانون آمریکا اختیار قانونی میدهد تا شرکتهای فناوری مستقر در ایالات متحده را وادار به تحویل دادهها کنند، صرف نظر از اینکه آن سرورها در کجای جهان به صورت فیزیکی قرار دارند.[1][2]
قانونگذاران اروپایی مدتهاست استدلال میکنند که قانون CLOUD ایالات متحده تضادی آشتیناپذیر با قوانین حفاظت از دادههای اروپا ایجاد میکند. مقامات اروپایی استدلال میکنند که از آنجایی که یک ابرشرکت که مرکز دادهای را در فرانکفورت اداره میکند، همچنان تابع قوانینی است که بر شرکت مادر آمریکایی آن حاکم است، ارائهدهندگان آمریکایی ذاتاً یک «کلید کشتار» صلاحیتی بر دادههای بخش دولتی اروپا دارند.[2][3]
با تدوین سیستم چهار سطحی، CADA این تضاد حقوقی نظری را به یک عامل رد صلاحیت سخت در مناقصات تبدیل میکند. ماده ۳۰ قانون پیشنهادی، کشورهای عضو را ملزم میکند تا ارزیابیهای ریسک اجباری را بر روی حجم کاری بخش دولتی خود انجام دهند. فعالیتهایی که برای «نظم عمومی» حیاتی تلقی میشوند، باید به UAL 3 یا UAL 4 اختصاص یابند، که به طور قانونی ارائهدهندگان آمریکایی را از شرکت در مناقصه برای آن قراردادها منع میکند.[6][7]
این امر یک سقف ساختاری برای شرکتهایی مانند خدمات وب آمازون (Amazon Web Services)، گوگل کلود (Google Cloud) و مایکروسافت آژور (Microsoft Azure) ایجاد میکند. در حالی که این ابرشرکتها سرمایه لازم برای ساخت مراکز داده محلی بیشمار در سراسر اروپا را دارند، نمیتوانند مالکیت نهایی شرکتی خود را تغییر دهند یا خود را از دسترسی صلاحیتی قانون فدرال ایالات متحده محافظت کنند، مگر اینکه کسبوکارهای جهانی خود را به طور اساسی بازسازی نمایند.[1][5]
در مقابل، این چارچوب یک مزیت ساختاری عظیم به اپراتورهای ابری داخلی اروپا میدهد. شرکتهایی مانند OVHcloud و Scaleway فرانسه، یا T-Systems آلمان، در موقعیت ایدهآلی برای واجد شرایط شدن در UAL 3 و UAL 4 قرار دارند. برای این شرکتها، CADA یک فرصت بیسابقه برای کسب قراردادهای دولتی با ارزش بالا، بدون نیاز به پیشی گرفتن از رقبای آمریکایی در زمینه زیرساخت خام، محسوب میشود.[7]
قانون CADA در خلاء وجود ندارد. این قانون توسط «قانون تراشهها ۲.۰» (Chips Act 2.0) که به کمیسیون اروپا اختیارات اضطراری برای لغو قراردادهای تجاری نیمهرسانا در طول بحرانهای عرضه میدهد، و یک استراتژی جدید منبع باز (Open Source) اتحادیه اروپا که نرمافزارهای نگهداری شده توسط جامعه را به وضعیت زیرساخت ملی حیاتی ارتقا میدهد، حمایت میشود.[1][4]
نبرد قانونگذاری اکنون به پارلمان اروپا و شورای اتحادیه اروپا منتقل شده است. ارائهدهندگان آمریکایی و گروههای تجاری بینالمللی فعالانه در حال لابیگری هستند تا تعاریف «استقلال عملیاتی» را در متن نهایی تعدیل کنند، به این امید که مسیری برای انطباق ایجاد کنند که به آنها اجازه دهد از طریق سرمایهگذاریهای مشترک محلی یا حصارکشی فنی (technical ring-fencing)، به سطح UAL 3 دست یابند.[5][7]
در حالی که CADA از نظر فنی فقط برای خریدهای بخش دولتی اعمال میشود، تحلیلگران امنیت سازمانی نسبت به اثرات سرریز گسترده هشدار میدهند. شرکتهای خصوصی که زیرساختهای حیاتی مانند شبکههای انرژی، مخابرات و خدمات مالی را اداره میکنند، احتمالاً با فشار شدید نظارتی و قراردادی مواجه خواهند شد تا معماریهای ابری خود را با سطوح جدید UAL هماهنگ کنند.[5]

در نهایت، بسته حاکمیت فناوری، لحظهای را نشان میدهد که اروپا از برخورد با استقلال دیجیتال به عنوان یک آرزوی سیاسی انتزاعی دست کشید و شروع به نگارش آن در منطق ریاضی قانون مناقصات کرد. اینکه آیا این قانون در پرورش یک صنعت ابری داخلی رقابتی موفق خواهد شد، یا صرفاً اینترنت جهانی را تکهتکه میکند، کاملاً به میزان سختگیری در اجرای این چهار سطح بستگی خواهد داشت.[3][7]
روند رویداد
March 2018
ایالات متحده قانون CLOUD را تصویب میکند و به نهادهای مجری قانون قدرت میدهد تا دادهها را از شرکتهای آمریکایی در سطح جهانی مطالبه کنند.
September 2023
اتحادیه اروپا قانون اصلی تراشهها (Chips Act) را تصویب میکند و یک فشار قانونی را برای کاهش وابستگی به زنجیرههای تأمین نیمهرسانای خارجی آغاز میکند.
June 3, 2026
کمیسیون اروپا رسماً بسته حاکمیت فناوری، شامل قانون توسعه ابر و هوش مصنوعی (CADA)، را پیشنهاد میکند.
Late 2026
پیشنهاد CADA وارد مذاکرات سهجانبه بین پارلمان اروپا، شورای اتحادیه اروپا و کمیسیون میشود.
بررسی عمیق دیدگاهها
سیاستگذاران اروپایی
این چارچوب را به عنوان یک مکانیسم دفاعی ضروری برای محافظت از زیرساختهای حیاتی در برابر دخالتهای حقوقی خارجی میبینند.
از نظر قانونگذاران اروپایی، چارچوب CADA در مورد بستن یک شکاف آشکار در امنیت ملی است. سیاستگذاران استدلال میکنند تا زمانی که بیمارستانها، شبکههای انرژی و وزارتخانههای دفاع اروپا بر روی زیرساختی که توسط شرکتهای خارجی کنترل میشود، اجرا شوند، اتحادیه اروپا در برابر قوانین فرامرزی مانند قانون CLOUD ایالات متحده آسیبپذیر باقی میماند. با اجرای سطوح تضمین اتحادیه سختگیرانه، آنها قصد دارند تضمین کنند که یک دولت خارجی هرگز نمیتواند به طور قانونی تحویل حساسترین دادههای بخش دولتی اروپا را اجبار کند، و نه یک «کلید کشتار» بر زیرساخت دیجیتال حیاتی آن داشته باشد.
ارائهدهندگان ابری ایالات متحده
استدلال میکنند که سیستم سطوح یک اقدام حمایتگرایانه است که اروپا را از پیشرفتهترین فناوریهای ابری و هوش مصنوعی جدا خواهد کرد.
ابرشرکتهای آمریکایی و گروههای تجاری بینالمللی، الزامات UAL 3 و UAL 4 را به عنوان یک مانع مصنوعی بازار میبینند که برای محافظت از ارائهدهندگان داخلی اروپایی غیررقابتی طراحی شده است. آنها استدلال میکنند که با حذف شرکتهایی که بیشترین سرمایهگذاری را در امنیت سایبری پیشرفته و تحقیقات هوش مصنوعی انجام میدهند، دولتهای اروپایی مجبور خواهند شد به سیستمهای قدیمیتر، گرانتر و با کیفیت پایینتر تکیه کنند. لابیگران در حال حاضر در تلاش هستند تا «استقلال عملیاتی» را بازتعریف کنند تا شرکتهای آمریکایی بتوانند از طریق سرمایهگذاریهای مشترک محلی یا حصارکشی رمزنگاری پیشرفته، برای قراردادهای سطح بالاتر رقابت کنند.
اپراتورهای ابری اروپا
این چارچوب را به عنوان یک اصلاح بازار که مدتها به تأخیر افتاده بود و حاکمیت صلاحیتی واقعی را پاداش میدهد، میبینند.
اپراتورهای ابری داخلی اروپا مانند OVHcloud، Scaleway و T-Systems استدلال میکنند که حاکمیت واقعی را نمیتوان صرفاً با اجاره فضای سرور از یک شرکت چندملیتی آمریکایی به دست آورد. آنها CADA را به عنوان یک ترازکننده حیاتی زمین بازی میبینند که تضمین میکند دلارهای خریدهای عمومی به شرکتهایی سرازیر شود که واقعاً در اروپا مالیات میپردازند، شهروندان اروپایی را استخدام میکنند و منحصراً تحت قوانین اروپا فعالیت میکنند. برای این شرکتها، سیستم چهار سطحی کاتالیزوری است که برای توسعه یک صنعت ابری داخلی رقابتی مورد نیاز است.
آنچه نمیدانیم
- آیا ابرشرکتهای آمریکایی قبل از تصویب قانون، با موفقیت در پارلمان اروپا لابی خواهند کرد تا تعاریف «استقلال عملیاتی» را تعدیل کنند.
- کشورهای عضو تا چه حد حجم کاری خود را طبقهبندی خواهند کرد و آیا برخی کشورها برای ادامه استفاده از ارائهدهندگان آمریکایی به دلیل راحتی، از شکافهای قانونی سوءاستفاده خواهند کرد.
- آیا ارائهدهندگان ابری داخلی اروپا ظرفیت فنی واقعی برای جذب حجم کاری عظیم دولتی مورد نیاز UAL 3 و ۴ را دارند یا خیر.
اصطلاحات کلیدی
- CADA
- قانون توسعه ابر و هوش مصنوعی (Cloud and AI Development Act)، یک مقررات پیشنهادی اتحادیه اروپا با هدف گسترش ظرفیت مراکز داده اروپا و اجرای قوانین سختگیرانه حاکمیتی برای خریدهای ابری بخش دولتی.
- سطوح تضمین اتحادیه (UAL)
- یک سیستم طبقهبندی چهار سطحی پیشنهادی توسط اتحادیه اروپا که الزامات امنیتی، مالکیت و صلاحیتی را که یک ارائهدهنده ابری باید برای میزبانی دادههای دولتی برآورده کند، تعیین میکند.
- قانون CLOUD ایالات متحده
- یک قانون فدرال ایالات متحده در سال ۲۰۱۸ که به نهادهای مجری قانون آمریکا اجازه میدهد شرکتهای فناوری آمریکایی را وادار به ارائه دادههای درخواستی کنند، صرف نظر از اینکه دادهها در ایالات متحده یا در خاک خارجی ذخیره شده باشند.
- ابرشرکت (Hyperscaler)
- یک ارائهدهنده خدمات ابری عظیم و جهانی—که معمولاً به غولهای فناوری ایالات متحده مانند خدمات وب آمازون (AWS)، گوگل کلود و مایکروسافت آژور اشاره دارد—که بر بازار رایانش سازمانی تسلط دارد.
- اقامت داده در مقابل کنترل صلاحیتی
- اقامت داده (Data Residency) به مکان فیزیکی یک سرور اشاره دارد؛ کنترل صلاحیتی (Jurisdictional Control) به این اشاره دارد که قوانین کدام کشور میتوانند به طور قانونی شرکتی را که مالک آن سرور است، وادار به تحویل دادهها کنند.
پرسشهای متداول
آیا CADA ارائهدهندگان ابری آمریکایی را از اروپا ممنوع میکند؟
خیر. ارائهدهندگان آمریکایی همچنان میتوانند در اروپا فعالیت کرده و به کسبوکارهای خصوصی خدمات دهند. با این حال، آنها به طور ساختاری از میزبانی حساسترین حجم کاری بخش دولتی (مانند دادههای دفاعی و قضایی) تحت سطوح بالاتر UAL محروم خواهند شد.
آیا شرکتهای آمریکایی میتوانند با ساخت مراکز داده بیشتر در اروپا انطباق یابند؟
خیر. در حالی که اقامت داده (Data Residency) برای سطوح پایینتر الزامی است، بالاترین سطوح (UAL 3 و ۴) نیازمند استقلال عملیاتی و مالکیت شرکتی اروپایی هستند تا دادهها را از قانون CLOUD ایالات متحده محافظت کنند.
آیا این امر بر شرکتهای خصوصی تأثیر میگذارد؟
به طور مستقیم، CADA فقط برای خریدهای بخش دولتی اعمال میشود. با این حال، شرکتهای خصوصی که نرمافزار یا خدماتی را به دولتهای اروپایی ارائه میدهند، احتمالاً مجبور خواهند شد برای حفظ قراردادهای خود، این سطوح حاکمیتی را بپذیرند.
این چارچوب چه زمانی اجرایی میشود؟
CADA در حال حاضر یک پیشنهاد قانونی است. باید توسط پارلمان اروپا و شورای اتحادیه اروپا مورد مذاکره و تصویب قرار گیرد، فرآیندی که معمولاً چندین سال طول میکشد تا اجرا آغاز شود.
منابع
[1]TechRepublicابرشرکتهای جهانی
The EU's tech sovereignty package targets cloud, chips, AI infrastructure, and open source
مطالعه در TechRepublic →[2]The Next Webابرشرکتهای جهانی
The Commission's 'AI continent' rhetoric sits atop draft laws that would keep US providers away from sensitive data
مطالعه در The Next Web →[3]EU Insiderحامیان حاکمیت دیجیتال اروپا
EU Launches Cloud Sovereignty Rules and Chips Act 2.0 to Reduce Digital Dependence
مطالعه در EU Insider →[4]European Commissionحامیان حاکمیت دیجیتال اروپا
Technological Sovereignty Package: Reducing dependencies and building capacity
مطالعه در European Commission →[5]Cloud Security Allianceتحلیلگران امنیت سازمانی
EU Proposes Cloud and AI Development Act: What CADA's Sovereignty Framework Means for US Providers
مطالعه در Cloud Security Alliance →[6]Eubeliusحامیان حاکمیت دیجیتال اروپا
The Cloud and AI Development Act (CADA): public procurement sets the tone as a strategic tool
مطالعه در Eubelius →[7]Factlen Editorial Teamتحلیلگران امنیت سازمانی
Synthesis by Factlen editorial team
مطالعه در Factlen Editorial Team →
هر زاویه. هر روز.
دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.









