2024 年 2 月 13 日,法国讽刺周刊Le Canard enchaîné透露,法国国有电力公司EDF决定将其维护应用程序和IT服务转移到Amazon Web Services (AWS),其中包括核领域的部分云服务。该合同涉及运行法国核电站的IT 系统的现代化。议员 Philippe Pradal和 Philippe Latombe对法国主权数据存储在美国云上表示担忧。2024年1月31日,据法国Next报道,法国数据监管机构 (CNIL) 授权健康数据中心使用微软云 (Azure) 进行深度学习技术的科学研究。法国中间派参议员 Catherine Morin-Desailly就此事致函政府。她提到SREN法案是加强主权数据云安全存储的正确工具。由于美国科技巨头受到《外国情报监视法 FISA》的约束,该法案要求任何一家美国公司,即使是在美国本土以外开展活动,也必须向美国机构传达数据,法国担忧将涉及国家安全的重要数据储存在美国科技巨头所提供的云服务上会危害法国的数字主权和欧洲公民的个人敏感数据。法国民主运动党 (Democratic Movement)副手兼CNIL专员Philippe Latombe此前表示,希望通过SREN法案第10条第2款第A项,要求法国敏感数据必须使用不受域外法律约束的云提供商。
SREN法案全称为《数字空间安全和监管法》((Law to Secure and Regulate the Digital Space,the “Loi SREN”)),由法国数字事务部长Jean-Noël Barrot领导提出,旨在监管法国数字空间的服务和活动。2022年7月,法国参议院一致通过了《数字空间安全和监管法》(SREN)草案第10条第2款第A项,该条规定要求所有敏感数据必须使用不受域外法律约束的云服务提供商,旨在规范数字市场的竞争活动,有望创建一个大型欧洲云市场,让企业和政府转向欧洲的云提供商。这意味着包括国防机密和健康数据在内的敏感数据将不再储存在美国大型科技公司(GAFAM)例如亚马逊、微软和谷歌所提供的云服务上,亚马逊网络服务,微软Azure和谷歌云等美国科技巨头共占了71%的法国市场份额。2023年9月21日,在特别委员会审查期间,该条法规被删除。
2023年10月5日,修正案提交法国参议院要求重新引入该条规定。在10月11日最终通过的法案草案中,它要求使用欧洲云服务商来处理公共实体的敏感数据。国家、社区及其运营商会注意在欧洲云上托管其“敏感数据”,但前提是“其违规行为可能导致对公共秩序、公共安全、人民健康或生命或知识产权保护的攻击”。最重要的是,新版本建议对所有正在进行的项目给予豁免,这种豁免必须根据国务委员会未来法令中规定的条款提出申请。
2023年10月17日,法国国民议会(Assemblée nationale)一读后表决通过了《数字空间安全和监管法》(Law to Secure and Regulate the Digital Space,the “Loi SREN”)。根据法国立法程序,法案还需联合委员会审阅才能最终通过。在该版法案中,明确排除了GAFAM在处理敏感数据存储市场中的地位。
然而,2023年10月25日,欧盟委员会针对该法案发布了详细的反对意见,巴黎于12月22日向欧盟委员会发出正式回应,为该法案辩护。根据欧盟法律,收到详细批评意见的成员国必须将其采纳法案草案的时间延长四个月,自通知之日起算。因此,法案的最终通过的时间再次被推迟,最早要到2024年3月11日。2024年1月17日,欧盟委员会针对该法案发表了第二份批评意见。由于遭到欧盟的反对,目前该法案的审查处于停滞阶段。
