荷兰众议院关于Solvinity的圆桌会议: 立场文件

# 荷兰议会第二院关于Solvinity的圆桌会议：立场文件 - Bert Hubert的著作 来源：https://berthub.eu/articles/posts/overheid-operationele-afhankelijkheden/ 1月27日星期二18:30，海牙议会第二院将举行一场圆桌会议（https://berthub.eu/tkconv/activiteit.html?nummer=2025A07826），讨论（拟议的）收购Solvinity对DigiD的影响。将有多个发言人出席，包括来自Bits of Freedom、Dutch Cloud Community、Clingendael、NLDigital（大型科技公司）、荷兰数字基础设施基金会的代表。Brenno de Winter和Paul Timmers也将出席。我也会在场。 您也可以来！请提前在此注册。如果旁听席座无虚席，那将是一个很好的信号——有时只有三个人到场。对于无法亲临现场的人，Debat Direct也将提供精彩的直播。 > 注意！这是一个**聆听**的机会。无论我们多么愤怒，这里都不是采取行动的地方！ 以下是我提交的立场文件（https://berthub.eu/tkconv/document.html?nummer=2026D02563）的略微改进版本。如果您有任何见解可以分享，请发送邮件至[[email protected]](mailto:[email protected])——也许周二见！ > 另请查看其他立场文件（https://berthub.eu/tkconv/activiteit.html?nummer=2025A07826），或官员于1月21日关于Solvinity和DigiD的技术简报录音（https://debatdirect.tweedekamer.nl/2026-01-21/digitale-zaken/thorbeckezaal/naar-aanleiding-van-de-voorgenomen-overname-van-het-bedrijf-solvinity-deels-vertrouwelijk-16-00/onderwerp） ## 立场文件：政府与运营依赖 从历史上看，政府很少将核心任务（*服务*）交由市场处理。 政府一直依赖市场来建设和设计事物。并不是公务员修建了阿夫鲁戴克大堤。这没问题，只要政府拥有自己的专业知识来决定需要做什么。 真正罕见的是将核心任务外包出去。荷兰的道路由承包商修建，但它们归政府所有，并且水务局（Rijkswaterstaat）24/7都有人员维护这些道路。 在其他国家，也有私人道路（收费公路）提供商（https://en.wikipedia.org/wiki/Abertis），因此这些私人提供商有可能不再感兴趣。因此，这类事情被完全严格监管，以确保道路管理者不能做出奇怪的行为，道路始终保持运行。 但原则依然成立：政府很少外包其核心任务。即使外包，也会对其保持极强的控制。PTT曾经是中央政府的一部分，在私有化为KPN时，通过“黄金股”来保持初始控制，并伴随着大量的电信监管。 ## 现在轮到IT领域 奇怪的是，在IT领域，我们悄然背离了这一政策。IBM、Capgemini（Tweedekamer.nl）、广告公司（https://kaliber.net/nl/）（Werkenvoornederland.nl）、Solvinity以及其他供应商（微软）悄悄地运行着荷兰政府的整个服务。这不仅仅是提供人员，整个核心功能都在私营企业那里24/7运行。 这实际上就是一种收费公路的情况，但基于“普通合同”。这类服务并没有像收费公路那样受到严格监管。这很奇怪，因为一条收费公路在紧急情况下还可以让别人来管理。只要道路除雪、摄像头正常工作，我们就可以运营。 但如果一家IT公司被收购，一项关键服务受到威胁，你不可能轻易接管。即使你谈判了“介入”权利，这也是不可能的，因为复杂性太高。 Solvinity案例是这个问题的绝佳例子。其中部分服务（例如DigiD的“平台”）相对容易迁移。但恰恰是司法与安全部（JenV）的服务被牢牢锁定。 实际上很奇怪，我们把如此重要的服务放在外部，而且是以一种无法迅速撤离的方式（对于司法与安全部的服务而言）。而且还没有相应的监管，而我们在过去的类似情况中曾实施过监管。ARVODI（通用数据保护条例）和AVG（荷兰GDPR实施法案）对于这类情况过于笼统和随意。 ## 政府为何不自行运作 这有几个原因。我曾尝试从一个政府机构向另一个政府机构提供关键业务服务，但这并不顺利。政府通常不与自己签订合同，即使签订了，也很难执行。简而言之，一个部门不会对另一个部门这样做。关于服务交付的冲突随后会“通过层级”处理，这效率极低，因为该层级缺乏技术知识。 此外，在官僚环境中进行商业活动（如购买服务器）也很困难。大致来说，中央政府是一个行政组织，即使执行机构也是如此。也有例外，比如围绕水务局（Rijkswaterstaat），但即使在那里，他们也在努力保持足够的专业知识，而不是将一切交给市场。 在IT领域，中央政府内有一些亮点，但申请一台服务器通常需要4个月（https://anneschuth.nl/2025/03/07/hosting-in-slow-motion.html），并且成本高昂。我本人可以证实这篇文章中的经历。尽管有最好的意图，但这一切仍然存在。 在中央政府的法规和文化内，几乎不可能以敏捷和快速的方式提供ICT服务，尤其是涉及难以计划的支出和“收入”。这也是可以理解的：我们的国家服务机构并不是为此设计的。 > 国家计算机中心（RCC）的历史值得研究（https://actorenregister.nationaalarchief.nl/actor-organisatie/rijks-computercentrum-bzk）。如果有人有更好的来源，请告诉我！ ## 解决方案 关于外包社会关键性IT服务，至少有三个选项： 1. 仍然从市场采购，但进行严格监管，类似于收费公路和电信。这将极大限制供应商的行动自由，政府也需要大量专业知识来让市场参与者在框架内行事。注意力绝不能松懈，否则你很快就会陷入无法脱身的局面。荷兰领航公司BV（https://nl.wikipedia.org/wiki/Nederlands_Loodswezen_BV）就是一个例子，一家纯粹的市场参与者履行政府服务，并通过一项特别法律（https://wetten.overheid.nl/BWBR0004365/2022-01-01）加以约束。 2. 仅采购可替代的标准化服务。类似于购买电力。任何人都可以提供，你可以随时切换供应商。对于计算机服务，需要非常注意仅保持标准化服务！长期来看，这往往会出错，你最终还是会锁定在单一供应商上。 3. 建立一个独立于政府但完全由政府拥有的国家云公司。 看看Solvinity案例，我们选择了方案1，却**没有**进行强有力的监管。错误的希望是认为合同已经能解决问题。 ### 1) 从市场采购但严格监管 这在短期内不可行，因为政府缺乏做好这件事的知识，也缺乏与大型供应商庞大法务部门保持警惕的能力。“监管俘获”（https://berthub.eu/articles/posts/gevangen-regelgevers/）的风险迫在眉睫。 一个有用的比较是健康保险公司，它们是我们医疗体系不可分割的一部分，但也是私营企业。但同时，有各种机构、监察机构和法律严格限制这些保险公司的行动自由，从而保证了连续性。 另一个相关比较是电信行业，数字基础设施监察局（RDI）根据《电信法》拥有进行调查的广泛权力。当他们这样做时，往往发现一片混乱（KPN（https://www.rdi.nl/actueel/nieuws/2022/08/30/tekortkomingen-in-beveiliging-van-aftapvoorziening-kpn），Vodafone（https://www.rdi.nl/actueel/nieuws/2024/10/22/aftapvoorziening-vodafone-niet-voldoende-beveiligd），Odido（https://www.rdi.nl/actueel/nieuws/2025/10/17/rdi-legt-odido-boete-op-van-ruim-15-miljoen））。但至少这种权力是存在的。 因此，对于关键服务进行此类监察并非多余。 ### 2) 采购标准化服务 这有很多好处。用技术术语来说，如果只租用服务器、容器或标准SQL数据库，那么可以随时迁移。据报道，政府目前在微软Azure上租用了大量服务器来运行其会计软件SAP。这些服务器完全可以由欧洲或荷兰的公司租用，迁移到这样的本地供应商也并不特别困难。 这可以在短期内实现，并迅速减少我们对欧洲法律和法规范围之外各方的依赖。 通过租用标准服务，政府可以在价格上保持竞争力，同时保持自主权。但这需要极大的纪律性来坚持使用标准服务。人们很容易就会定制化服务，或者采用其他地方没有完全可替换的服务。我在本文中详细阐述了这一点（https://berthub.eu/articles/posts/beware-cloud-is-part-of-the-software/）。 ### 3) 国家云公司 在荷兰，有许多由国家拥有的运作良好的公司。史基浦机场、鹿特丹港、TenneT和其他电网运营商都是很好的例子。ProRail和荷兰铁路（NS）最终也运行得相当不错，水务公司也是如此。 一家由政府拥有的公司能够迅速行动，并与官僚中央政府保持足够距离，从而可以与其签订具体合同。这些合同随后不会成为政治讨论的一部分，并且可以以对供应商“造成痛苦”的方式执行。 需要指出的是，中央政府内的薪酬结构不利于重视技术人才。金钱当然不是一切，你也不应该与谷歌进行薪酬竞争。我们永远不会为一名程序员支付30万欧元年薪，无论她有多优秀。但除了提供高薪之外，还可以提供使命感、尊重以及重视技术人员，而这在中央政府内也非常困难。那里重视的是其他技能。 不过，政府内部也有一些地方成功地重视、吸引和留住了IT人才（例如AIVD和MIVD），但这是例外，而且需要付出努力。过去，ICT人才曾被指定为“30%政策官员”，作为一种将职位提升到更高薪资级别的技巧。这已经表明了相对的重视程度。 一家国家云公司，“设计上”，可以更容易地解决这个问题。设备和服务的采购也可以更容易进行，因为它们至少在更大程度上不受《2012年采购法》的约束。 另一方面，这样的国家云公司本身也必须参与中央政府的采购，或者至少以特定方式获得特许权或合同。奇怪的《市场与政府法》（https://www.rijksoverheid.nl/onderwerpen/mededinging/markt-en-overheid）实际上更多地有利于市场而非政府，为此提供了方向。 ## 结语 核心任务必须靠近政府，并处于强有力的控制之下。让公务员直接从事技术工作是困难的。但是简单地将一切交给市场也被证明是不成功的，我们现在实际上完全依赖美国（https://berthub.eu/articles/posts/dashboard-amerikaanse-afhankelijkheden/）。我们允许了这种情况的发生。 一个选择是将事情交给市场，但进行非常严格的监管，就像我们对医疗（保险）、电信和领航服务（作为例子）所做的那样。这并不容易，并且需要大量专业知识才能做好，同时需要具体的立法。 第二个选择是只采购易于互换的服务。在这种情况下，可以同时使用多个供应商，并在出现问题时切换。但是，需要极大的纪律性和专业知识来保持这种状态。但短期内在向本地供应商转移方面已经可以采取一些步骤，特别是在服务器租赁方面。 第三个选择是建立国家云公司，我认为这也值得强烈推荐。史基浦机场、港口、TenneT的先例表明这是可行的。这样的公司永远不会被收购，必要时可以更换管理层。还可以商定如何进行监督。 但最重要的是，我们不应该将政府的核心任务交给普通企业，而没有厚厚的监督、规则和法规的保障。因为这样一来，你就交出了国家权力，却没有掌握主动权。