欧洲议会发表了《欧洲数字主权》报告,从数据经济和创新、隐私和数据保护以及网络安全、数据治理和在线平台的行为三个方面介绍了欧盟的顾虑和已经采取的主要措施,并从构建数据框架、促进可信赖的环境以及调整竞争和监管规则三个路径提出了进一步倡议。
一、欧盟数字主权的现状
非欧盟技术公司的影响力已成为欧盟决策者的关注点,尤其是在它们对欧盟数据经济和创新潜力、隐私和数据保护以及建立安全可靠的数字环境方面的影响。
(一)数据经济和创新
欧盟的顾虑——欧洲的经济增长潜力很大一部分来自数字市场,但一些指标表明欧洲要落后于美国和中国。例如,在人工智能领域,美国吸引了更多的AI人才和研究人员,并且是专利申请的全球领导者;而中国在数据收集和处理以及开发新的硬件设备方面处于领先地位。在这种背景下,欧盟决策者已经意识到对外国技术的潜在依赖,欧洲迫切需要从卫生、零售、制造业、教育等各个领域促进数字化。冠状病毒危机进一步凸显了这种风险,因为电信和大数据分析技术被越来越多地用于跟踪和控制疾病的传播,并且人工智能和高性能计算有望用于疫苗的开发和测试。
已采取的主要措施——欧盟已经采取了一些措施来缩小差距,包括:欧盟研究与创新计划Horizon 2020拥有近800亿欧元的公共资金,用于在7年内(2014年至2020年)投资于关键数字技术的研究(如纳米电子学、光学、机器人技术、5G、高性能计算、大数据、云计算和人工智能);今年2月发布的《欧洲数据战略》为创建欧洲数据空间铺平了道路,以确保在社会经济中可以使用更多数据,同时使企业和个人可以控制其数据;欧盟在AI技术开发方面采取高道德标准,旨在成为负责任和可信赖的AI全球领导者,并为欧洲开发商和制造商提供竞争优势(即消费者和用户最终青睐欧盟)。
(二)隐私和数据保护
欧盟的顾虑——科技公司正在收集大量的个人数据,Google、Apple、Facebook、Amazon和Microsoft使用的经济模型(GAFAM)主要基于收集和利用在线用户的数据来生成广告;剑桥分析丑闻说明了在线平台能够提取个人数据干预政治。这些现象通常被称为“监督资本主义”,最终导致欧洲公民逐渐失去对其个人信息和隐私的控制。欧盟越来越关注欧洲公民如何在主要由非欧盟技术公司主导的在线环境中恢复对数据的控制,比如最近关于控制冠状病毒传播的接触追踪解决方案引发的争议。在后疫情时代,毫无疑问,技术将发挥更关键的作用,欧盟决策者要在监管和隐私保护之间找到适当的平衡仍面临挑战。
已采取的主要措施——欧盟采用了非常严格的隐私和数据保护框架,以《通用数据保护条例》(GDPR)为中心,引入了被遗忘权和数据可携权,以增强个人对其数据的控制。欧盟被视为隐私和数据保护方面的标准制定者,许多国家已将GDPR的规定纳入其国内法,一些跨国公司选择采用GDPR作为其全球运营标准。然而,在冠状病毒危机下,欧盟成员国正在采取位置跟踪措施遏制病毒的传播,这确实是对欧盟框架的考验。为确保在技术的开发和使用中遵循严格的欧盟隐私标准,欧盟相关机构发挥了重要作用,例如推出泛欧洲隐私保护近程跟踪(PEPP-PT)系统;要求电信公司提交匿名的移动元数据(以帮助分析冠状病毒感染的模式),并采用指南和工具箱来开发与冠状病毒相关的应用程序;审查谷歌和苹果提出的接触追踪技术,以确保其符合欧盟的新标准。
(三)网络安全、数据治理和在线平台的行为
欧盟的顾虑——网络安全方面,报告指出对中国5G基础设施的依赖已成为欧盟的关键弱点,并强调缺乏统一的欧洲网络空间为来自外国的风险打开了大门。欧盟成员国已发表报告,指出不要过度依赖某一设备供应商,这会增加潜在供应中断的风险并带来安全隐患。数据治理方面,欧盟成员国越来越认识到他们对本国领土上产生的数据缺乏控制。目前,全球公共云市场主要由美国和亚洲公司主导,考虑到美国执法机构根据《美国云法案》具有的长臂管辖权,欧洲政府部门和行业参与者已开始对欧盟以外的数据服务表示关注。欧洲各国政府已开始摆脱非欧盟公司提供的云解决方案,并部署欧洲设计的云方案。有专家警告说,GAFAM对数据的控制可能会使其他市场主体难以参与竞争。由于高科技经济越来越以无形资产(即数据和知识产权)为基础,因此非欧盟公司可以快速开发关键基础设施(例如数据中心)并进入新的行业领域,如Google从搜索引擎优化转向机器人技术,亚马逊从在线市场转向云计算、医疗保健等。冠状病毒大流行,使得欧盟之外开发的数据分析工具(用于筛查人群和评估感染风险、优化治疗方法的临床试验、寻找潜在的疫苗)的重要性更加凸显,欧盟的数据依赖性也因此变得更加令人担忧。在线平台方面,越来越多的大型在线平台(主要是基于非欧盟的平台)被视为主导整个欧盟经济,并剥夺了欧盟成员国在版权、数据保护、税收或运输等方面的主权,而欧盟框架未能解决外国高科技公司的影响。
已采取的主要措施——欧盟采取了一系列新措施来应对网络攻击,包括:2016年《网络和信息安全指令》(NIS)改善了成员国的网络安全能力和合作,并要求企业采取措施预防和报告关键领域(例如能源、交通、银行、金融市场基础设施、医疗卫生、饮用水供应以及数字基础设施等)的安全事件和网络攻击;2018年《欧洲网络安全法》为ICT产品创建了欧盟范围内的(非强制性)网络安全认证计划,以保护消费者和企业免受网络安全威胁的侵害。因此,欧盟已开始将自己确立为网络安全领域的标准制定者,在欧盟开展业务的企业已经更新了其网络安全实践和政策,以确保符合上述新的法律要求。此外,欧盟委员会于2019年3月通过了一项建议,以在欧盟层面通过共同的方法来确保5G网络的安全性,并于今年1月发布了欧盟5G网络安全的工具箱。欧盟成员国能够在多大程度上制定出解决5G安全问题的通用方法,这一问题被视为在数字环境中对欧盟战略自主权的重要考验。
二、欧盟的下一步举措
冠状病毒危机突显出可靠的数字基础设施和服务在当今社会至关重要。在欧盟层面已经提出或正在讨论一系列举措,主要围绕以下三个方面来加快数字化进程,并增强欧洲在数字领域的战略自主权:建立数据框架、建立可信赖的环境,以及调整竞争和监管规则。
(一)数据框架
对非个人数据(数字经济的原材料)的控制至关重要,欧盟可以从其庞大的行业数据资源中受益。为此,有必要建立一个安全的泛欧盟数据框架并促进对前沿技术的投资。
欧洲云和数据基础架构。预计云存储将取代设备中的本地存储,有人呼吁建立欧洲云和数据基础架构,以增强欧洲的数据主权。云和数据存储市场几乎完全由非欧洲供应商主导,这对安全性和欧盟公民的权利具有潜在的不利影响。欧洲云计划Gaia-X项目由德国和法国联合宣布,并建议从2020年开始在欧盟层面建立联合数据基础架构。根据欧洲数据战略,可以在欧盟层面提出进一步行动,以促进实施整个欧盟范围内的云基础架构(例如,建立通用云标准、参考架构和互操作性要求)。
欧洲数据收集、处理和共享框架。欧洲在引领数据收集和处理方面具有巨大的潜力,这是新数据经济的引擎。为此,建议通过建立一个欧盟数据框架来促进数据收集、处理和共享。与欧洲数据战略相一致,授予对某些战略性领域(例如交通运输或医疗保健)政府数据的访问权限,并鼓励企业数据共享对于构建欧盟数据空间至关重要。此外,还可以借鉴国际上促进公共数据收集的解决方案,如巴塞罗那市政厅在公共采购合同中规定的“数据主权”条款,要求其合作伙伴以机器可读格式反馈其收集的数据,以向城市提供服务。如果此类条款证明有效,则可以在欧盟层面确定为最佳做法。
财政支持和研究合作框架。为实现欧洲生产力的突破,应鼓励并支持对前沿技术的投资,包括人工智能、物联网、区块链、高性能计算和量子技术等。在这方面,目前正在制定中的2021-2027多年期财务框架至关重要,其下一个Horizon Europe研究计划的拟议预算为1000亿欧元。此外,数字欧洲计划是有史以来第一个专门致力于数字化转型的欧盟计划,总预算为92亿欧元,它将有助于每年吸引200亿欧元以上针对AI系统的投资。此外,可以根据关于AI的白皮书来促进在AI、数据和机器人技术方面建立公私合作伙伴关系(PPP),以根据欧盟的价值观在欧洲开发AI创新生态系统。科学界强烈主张在新技术领域建立大规模的欧盟研究合作框架,促进欧盟与中国和北美的研究能力保持同步。
(二)可信赖的环境
确保透明、可信任已成为欧盟处理数字事务的标志。欧盟面临的挑战是进一步培育新的标准和做法,以确保产品和服务符合欧盟的价值观和原则,即使产品或服务来自国外也可信赖、可控制。为此,需要在网络安全、人工智能和数据保护领域开发一套新工具。
网络安全——至少需要在以下三个方面采取行动:一是强制性认证。到2023年欧盟网络安全认证计划框架将提供一套统一的规则,以确保消费者和企业在欧盟受到保护。在整个欧盟层面建立强制性认证计划(而不是目前的自愿性认证计划)将是迈向真正安全环境(特别是对于5G网络而言)的重要一步,并可能促进欧盟成为网络安全领域的标准制定者。近年来,一些国家已通过参考NIS指令和相关的欧盟法规加强了其国内网络安全法规。此外,欧盟可以努力建立物联网领域的全球规范,而这些规范仍基本上不存在(事实上,没有在智能设备中实现网络安全的标准)。二是加强欧盟层的协调。在网络安全方面缺乏协调已被确定为欧盟决策者必须解决的主要问题之一。尽管已经宣布建立新的联合网络安全部门加强成员国之间的合作,但欧盟审计法院的一份报告强调,需要采取更多的行动来解决欧盟法律中的冲突或空白(例如,欧盟的公司法指令对网络风险的披露没有特定要求)。为此,确保欧盟委员会关于建立欧洲网络安全能力中心的提议通过是一个重要的环节。三是公共采购的安全性审查。网络安全威胁促使对欧盟的采购条件进行反思。2019年的欧洲议会做出决议,将安全性作为欧盟和国家层面相关基础设施公共采购程序中的强制性要求。成员国应制定具体的安全要求,适用于与5G相关的公共采购,包括有关网络安全认证的强制要求。更广泛地说,可以评估欧盟公共采购和拨款规则的修改。这意味着在评估招标提案时应充分考虑安全性,并更加重视ICT提供商的多元化以及网络设备供应链的透明度。为此,修订NIS指令,并最终通过一项国际采购文书确保公共采购中的互惠市场准入都将是有益的。此外,应探讨欧盟审计法院关于建立欧盟网络安全基础设施联合采购框架的建议。
数据和隐私保护——为维护和扩大全球标准制定角色,欧盟还应探索如何调整数据保护和隐私法律框架。欧盟委员会报告了GDPR的实施情况,并强调需要监测新兴技术对保护个人数据的影响。有人呼吁发布有关在健康和金融服务部门中应用欧盟数据保护原则的具体准则。委员会还可以考虑对GDPR进行调整,以为AI提供更友好的环境。此外,修订《电子隐私指令》对于确保在公共网络中保持高级别数据和隐私保护也至关重要。
透明度和责任制——欧盟技术政策应继续以透明和信任为基础,通过严格的欧盟法律来协调欧盟决策系统透明度的规则,制定针对医疗保健生态系统的AI道德规则,并采用统一的框架来指导面部识别技术(FRT)的使用。专家们还呼吁对欧盟的责任制进行改革,尤其是要修订产品责任指令和电子商务指令(即将发布数字服务法案)。加强在线平台在电子商务、广告和虚假信息方面的责任制,对于创建欧盟寻求的可信赖的在线环境至关重要。
(三)竞争和监管
为适应数字时代的发展,欧盟已经开始考虑如何更新和调整欧盟竞争政策和监管框架。目前正在讨论转向更具防御性和审慎性的机制,包括解决外国所有权和大型科技公司扭曲行为的新规则。
投资并购审查——保护欧洲科技初创企业和中小型企业的潜力非常重要,可以采用新的欧盟工具来实现投资筛选机制的融合,并评估对欧盟高科技公司的收购行为。此外,组建欧盟战略性产业和技术工作组(负责确定具有战略意义的重要产业,以限制外国投资以及政府补助),有助于成员国与欧盟之间进行协调。
调整税收规则——适应数字时代的发展,重新设计公司税制得到了旨在帮助恢复欧洲数字主权的欧盟决策者的关注。但是,在欧盟层面建立数字税收规则的提案受到了阻碍。短期内,聚焦改善涉及初创企业的税收规则可能是有用的,因为这些规则更容易建立共识。
调整数字市场的监管方式——面对技术的快速发展,必须调整欧盟的竞争和监管政策工具。许多研究和报告要求通过事前规则更好地解决大型数字平台的行为(例如越来越多地充当“数字看门人”),以对现有的事后执法进行补充。这意味着要对数字市场的监管采用前瞻性的方法,并使在线平台生态系统和在线活动更加开放、公平和可预测。特别是,可以考虑加强算法透明性、中立性以及数据共享和互操作性方面的规则。从长远来看,可以探索制定政策来构建数字工具和解决方案(例如操作系统和移动平台),从而避免技术锁定并促进欧盟开放但仍然安全的数字生态系统。
加强监管机构之间的协调——建立一个拥有真正主权的欧盟数字环境,还需要解决该领域监管机构之间缺乏协调的问题。为此,需要重新思考当前在欧盟内部运作的治理机制,包括横向(并行、有时存在交叉的特定行业监管部门之间)和纵向(成员国与欧盟之间)两方面。加强独立监管机构之间的互动,确保在多领域(例如应用程序管理或平台法规)采取一致的欧盟主权方法至关重要。此外,评估在数据保护领域(由国家数据保护机构和欧洲数据保护委员会各自发挥作用)和电信市场监管(国家监管机构和欧洲电子通信监管机构实施)中获得的经验,也将有助于探索更有效的治理结构。
三、结论
为增强欧盟的数字主权,欧盟决策者已开始进行相关的政策设计。近年来,已采取了一些金融手段来缩小投资差距,并且在欧洲数据战略和AI道德框架的背景下,正在考虑采取其他措施使欧盟的工业和技术能力适应竞争环境。欧盟越来越被视为隐私和数据保护方面的标准制定者,并且已经在网络安全和5G安全领域进行了重要的立法工作。此外,确保透明度和信任已成为欧盟处理数字事务的标志。在这种情况下,在欧盟层面提出了加快数字化进程的倡议,特别是构建数据框架、促进可信赖的环境以及调整竞争和监管规则。
作者:贾宝国,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。