歐盟 CADA 法案：對 AWS、Azure、Google Cloud 宣戰的雲端主權之戰

2026 年 6 月 3 日，歐盟委員會發布了年度最具影響力的科技法規提案之一：《雲端與 AI 發展法》（Cloud and AI Development Act，簡稱 CADA）。這份長達四萬字的法規文本，深藏著一記向全球三家最強大科技公司——亞馬遜 AWS、微軟 Azure 和 Google Cloud——直接宣戰的意志，以及歐洲奪回數位基礎建設主導權的藍圖。

歐盟委員會將此提案定位為科技主權套案（Tech Sovereignty Package）的核心，但法規的白話精神其實更為直接：歐洲的雲端市場已被悄悄殖民，布魯塞爾決心改變現狀。

布魯塞爾想解決的問題

CADA 提案引用的數據講述了一個令人警醒的故事。歐盟本土雲端服務商的市場份額，從 2017 年的約 29% 下降至 2022 年的約 15%，這場萎縮靜悄悄地發生，每一筆採購合約都在向三大美國超大規模雲端商傾斜。到 2026 年，AWS、Azure 和 Google Cloud 估計已掌握歐洲雲端市場逾七成的收入。

這項法規背後交織著兩種焦慮。其一是容量：歐洲缺乏足以支撐其 AI 主權雄圖的資料中心基礎建設。其二是依賴性：歐洲各國醫院、稅務機關、國防部門、警察系統等公部門，正在美國法律——包括允許美國當局強制調取境外資料的《雲端法》（CLOUD Act）——管轄下的基礎設施上運行關鍵業務。

CADA 明定的目標是：在五至七年內讓歐盟資料中心容量增加三倍，而實現這個目標的槓桿，是一套針對公部門採購的雲端主權認證框架。

四級聯盟保證等級

這項法規在商業上最具顛覆性的核心，是四層遞進式的聯盟保證等級（Union Assurance Levels），要求公部門採購雲端服務時必須符合對應等級。

第一級（基準）：要求服務商將基礎建設與客戶資料設置於歐盟境內。非歐盟管控的服務商，還必須保證無法被迫向外國當局揭露系統漏洞——這是對《雲端法》曝險風險的直接回應。

第二級（增強）：要求更進一步。服務商所有人員、基礎建設與資產必須設置於歐盟境內，並持有歐盟雲端認證，同時落實防止第三國存取客戶資料的技術措施。

第三級（嚴格）：新增所有權要求。服務商的控制權必須歸屬歐盟實體，僅對通過 GDPR 充分性認定、對歐盟服務商保持市場開放的國家，提供有限例外。這一等級適用於被認定「有助維護公共秩序」的採購——一個刻意保留彈性的廣義定義。

第四級（最嚴格）：要求完全的歐盟所有權，不得有任何例外，同時需取得最高層級的歐洲網路安全認證，並能在軟體設計與維護上完全獨立於第三國。在這一等級，法規實質上要求必須是歐洲自建的技術棧，而非僅僅在歐洲境內存放資料。

對美國超大規模雲端商的衝擊

這套框架對 AWS、Azure 和 Google Cloud 的商業影響不可小覷。

在第一、二級，三大雲端商大致能透過現有或擴建的歐盟資料中心達成合規。三家業者在歐盟均已設有地區節點，GDPR 合規機制也已運作多年。額外負擔主要是合約層面——重新簽署排除外國當局揭露義務的協議——以及人員在地化的額外成本。

第三級才是真正的棘手之處。 歐盟所有權要求無法靠開設更多歐洲資料中心來滿足：AWS 的母公司是美國企業亞馬遜，Azure 是微軟的業務部門，Google Cloud 是 Google 的業務部門。要符合第三級，勢必需要在歐盟設立獨立持有的歐洲子公司，類似部分美國國防承包商為進入歐洲政府採購市場而設立的獨立合資架構。這類架構是否能被委員會接受為真正獨立，是這項法規懸而未決的核心問題。

第四級實質上劃定了一個美國總部業者以現有架構無法進入的市場。勝者將是歐洲所有、歐洲建造的服務商——目前這個類別僅有 OVHcloud、Hetzner、Deutsche Telekom 旗下的 T-Systems 等少數國家冠軍企業，市場份額相當有限。

「聯盟附加價值」的採購籌碼

除了保證等級框架之外，CADA 還引入了一項關注度相對較低但同樣重要的採購標準：聯盟附加價值（Union Added Value）。公部門在評估雲端與 AI 服務標案時，必須賦予一定加權分數（最高 15 分），評估服務商是否：

• 有助強化歐盟數位科技供應鏈
• 整合歐盟自行研發的技術
• 在歐盟境內從事研發與創新活動
• 使用歐盟設計或製造的硬體元件提供服務

這項標準並未排除非歐盟服務商得標，但明確讓採購天平向本土業者傾斜，尤其在應用層和 AI 層，歐洲業者的競爭力已愈來愈強。

資料中心加速區

CADA 還設立了一項直接針對歐洲資料中心容量不足的結構性機制：資料中心加速區。成員國須在加速區內將大型資料中心的審批流程壓縮至 12 個月以內——針對目前德國、荷蘭等主要歐盟市場動輒三至五年的審批現狀，這是一個重大突破。

此外，CADA 建立了戰略項目認定機制，對關鍵資料中心基礎建設提供優先公共資金、加速電網接入，以及規劃許可優先權，借鑑了歐盟現有《關鍵原材料法》的戰略項目框架。

開源優先原則

一項關注度不及主權框架、但影響可能同樣深遠的條款：CADA 為公部門技術採購確立了開源優先原則。公部門在採購雲端與 AI 服務前，必須證明已考慮過開源替代方案。若獲落實，這項原則將在整個採購流程中形成系統性壓力，有利於以 Mistral 模型或歐盟資助研究基礎設施為核心的歐洲 AI 公司。

後續立法進程

委員會 6 月 3 日採納的提案，只是需要歐洲議會與歐盟理事會共同通過才能生效的立法程序的第一步。這個被稱為三方對話（trilogue）的進程，在複雜的數位立法領域通常需要 12 至 36 個月。

CADA 提案爭議性極高。美國科技業協會已發出強烈反對信號，將保證等級框架定性為違反 WTO 承諾的變相保護主義。美國政府也預計將此議題正式納入貿易磋商。

在歐洲內部，愛爾蘭等擁有大量美國科技投資的成員國，有動機推動軟化保證等級要求；法國和德國則預計支持更激進的執行時程。

對在歐洲運營的企業而言，現實建議很明確：CADA 的保證等級框架將決定公部門合約的投標資格，而這個框架的效力可能延續一個世代。現在的雲端策略選擇，將決定機構在法規最終生效時站在合規供應商還是被排除在外的位置。

GDPR 花了多年才完全落地，但其遺留效應是永久性的。CADA 似乎正循著同樣的長遠軌跡前進。