Big tech clouds worden niet veiliger met stapels papier

將社會與政府的核心資料託管給美國伺服器，正面臨至少 3 項美國法律的直接存取威脅。公部門沒有選擇重建自主技術，而是斥資聘請顧問產出成堆的合規文件，試圖用官僚程序掩蓋數位主權流失的現實。

白宮與 3 項美國法律工具破壞歐洲資料自主權

將國家基礎設施交給美國雲端供應商，伴隨著兩個無法迴避的硬傷。系統能正常運作的唯一前提，是美國政府當下「認為沒問題」。只要白宮網站上發布一紙制裁聲明，任何依賴其雲端服務的組織都會瞬間被斷線。

更深層的危機在於資料的存取權。透過至少 3 項法律工具，美國政府賦予自己合法截取全球數據與通訊的權力。即便 Microsoft 或其他科技巨頭將伺服器實體建置在歐洲境內，依然受到美國長臂管轄的約束。

沒有任何「特殊商業協議」可以凌駕於美國聯邦法律的現實之上。許多企業試圖透過設立多層次的 BV（荷蘭私人有限公司，常被用作避險實體）作為防火牆，但在真實的地緣政治制裁面前，這些法律結構將形同虛設。

在地伺服器與加密技術無法阻擋白宮長臂管轄

為了解決隱私疑慮，業界近年來推崇在雲端架構上疊加多層加密技術或自帶金鑰方案。然而，這在實務上已被證明是不切實際的幻想。企業無法單靠向美國雲端服務商購買進階加密方案，就輕易買到真正的數位自主權。

上述情況在產業界與法律界已不再是爭議話題。荷蘭國家律師（Landsadvocaat）近期在荷蘭下議院（Tweede Kamer）的質詢中，也明確證實了美國法律凌駕於歐洲隱私保護的冷酷現實。

既然美國雲端服務已被證明具有實質風險，合乎邏輯的下一步應該是尋求替代方案。這意味著必須逆流而上，轉而信任那些運作架構截然不同的歐洲在地技術，並徹底放棄對現有科技巨頭的依賴。

採購 DPIA 報告淪為逃避重建 IT 能力的藉口

重建數位主權需要組織具備真正的內部 IT 知識。現今的荷蘭政府與許多大型企業，早已將核心技術能力外包，內部實質上已不存在真正的 IT 部門，只剩下負責採購大型科技公司服務的行政單位。

失去了成千上萬來自科技巨頭與顧問公司的業務員來保證架構安全，轉型變得令人卻步。與其花費心力改變基礎設施，多數組織選擇了另一條捷徑：用成堆的「紙本文件」來證明自己根本不需要改變現狀。

為此，產業界建立了一整套龐雜的合規工具，包含 DPIA（資料隱私影響評估）、DTIA（資料轉移影響評估）以及「遵循或解釋」報告。政府與企業最常見的日常對話變成了：「我們只要把解釋報告寫完，就能順利上雲了」。

荷蘭 DigiD 系統遷移美國的風險管理迷思

合規產業最新的「突破」，是發展出一套看似嚴謹的風險地圖。顧問們會將所有潛在危機列入風險登記冊（Risk register），接著由管理層簽署「接受」這些風險，彷彿完成這道手續後，安全漏洞就迎刃而解了。

這是一門利潤豐厚的生意。政府內外的合規產業宛如販售中世紀的贖罪券，只要花錢訂購足夠多的評估報告，把流程變得極度複雜，高階主管就能充滿信心地對外宣佈：將荷蘭國家級身分認證系統 DigiD 遷移到美國伺服器是安全的，甚至把國民增值稅系統交給美國處理也毫無違和感。

正如已故電腦科學家 Tony Hoare 所言，設計軟體有兩種方式：一種是做得極致簡單，讓它明顯沒有缺陷；另一種是做得極度複雜，讓沒人能輕易看出漏洞。當成堆的合規文件還不夠時，顧問們就會搬出風險模型與資料治理的概念，宣稱只要有正確的治理框架，就能馴服任何科技巨獸。

拋棄合規文件並重建歐洲真實數位主權的必要性

再多的紙本文件也無法消除根本的隱私漏洞，將系統複雜性包裝成細微的治理差異，只不過是在掩蓋真實的地緣政治危險。美國雲端服務隨時可能受到制裁與政策轉向影響的現實，絕對不會因為幾份 DPIA 報告而改變。

如果官員與企業要誠實面對公眾，他們唯一能在評估報告中寫下的結論應該是：「我們『認為』情況不會失控，我們信任未來的美國政府會做出理性的決策」。這只是一種主觀的信念，而近期針對 DigiD 遷移至美國所引發的公眾憤怒，證明了多數民眾對此並不買單。

無數的顧問正靠著編寫治理報告獲取高薪，引導社會走向一個更依賴外國基礎設施的危險未來。面對這種拿錢辦事卻帶來更大風險的合規遊戲，各界應該停止自欺欺人，將資源投入在建立真正受自己控制的在地技術。

數位主權無法靠合規文件買到，組織必須拒絕盲從，重新掌握基礎設施的技術控制權。