摘 要

2020年,欧洲在“战略自主”框架下全面提速数字主权建设:通过大力发展数字技术和数字基础设施,构建服务全球的欧洲供应链;积极争夺技术主权,在AI、量子、6G等领先技术领域寻求突破;全面提升网络安全,建立弹性、技术主权和领导力,建设预防、威慑和应对的业务能力;同时,欧盟加大网络空间治理力度,不仅继续推动在网络空间国际法领域的领导力,还全方位加大了对数字服务平台的监管。

内容目录:

0 引 言

1 以安全有弹性的数字基础设施供应链形成欧洲服务全球的体系能力

1.1 可信任云服务推动欧洲成为全球数据中心

1.2 加大力度推进5G安全体系建设

1.3 增强关键基础设施面对复杂风险时的弹性

2 以数据安全强化欧洲在全球数字经济体系中的话语权和决策权

2.1 释放数据价值并实现欧洲数据战略

2.2 高度重视数据跨境流动中个人数据保护

2.3 通过对数字服务平台有效监管强化欧洲在全球数字经济体系中的决策权

3 以新兴技术及其生态体系建设塑造欧洲在全球网络空间的领导力

3.1 全方位推动人工智能生态建设

3.2 抢占量子技术的高地

3.3 展开面向全球服务的6G旗舰研究计划

4 以网络安全为数字主权建设持续提供保障力和推动力

5 结 语

引言

随着美欧关系发生结构性变化,以及中美欧大三角格局的形成,欧洲走向更为独立、主动的发展道路。2016年欧盟发布的“全球战略”文件中提出欧洲“战略自主”概念,并在各领域积极推进落实。在网络空间领域,2020年,欧洲先后发布一系列重要的战略和政策主张,进一步奠定了欧盟在网络领域的顶层设计。这标志着欧洲网络战略全面走向自主,更加强调建设和维护数字主权。

以安全有弹性的数字基础设施供应链形成欧洲服务全球的体系能力

加快建设数字技术及数字基础设施是欧盟维护数字主权的重要抓手,这不仅是为了降低对包括美国在内的全球网络技术价值链的依赖,更在于建立欧洲特色的安全、有弹性的供应链并形成全球供给。

1.1 可信任云服务推动欧洲成为全球数据中心

2020 年 6 月,德国和法国推出了 Gaia-X 云服务商平台,旨在开发高效、有竞争力的为欧洲乃至全球提供安全可信的数据基础设施。Gaia-X并没有推荐数据本地化,也对没有排除外国公司参与其项目,其目标是作为标准制定者,建立起高效、安全、分布式的数据基础设施,使得数据能够跨企业、跨国家流动,建立起一个主权数字生态系统。

2020年10月,二十五个欧盟国家签署了“云宣言”,各成员国同意将聚合私人、国家和欧盟的力量,开发部署弹性和安全的云基础设施,发展具有竞争力的欧洲云产业,促进泛欧洲可互操作的欧盟云服务,推动欧洲成为全球数据中心。并将启动欧洲工业数据和云联盟,同时着手部署下一代云。

2020年12月22日,ENISA就云服务网络安全认证计划草案(EUCS–CLOUD SERVICES SCHEME)征求意见,草案指出基于云服务不断变化的格局以及各成员国之间认证计划的差异,欧盟需要加强云服务的网络安全保障,推动云服务的安全性和欧盟法规、国际标准、行业最佳做法及欧盟成员国现有的认证相统一,建立欧洲可信任的云服务。

1.2 加大力度推进 5G 安全体系建设

继《欧洲 5G 行动计划》《5G 网络安全建议》《欧盟 5G 网络安全风险评估报告》之后,欧盟委员会于 2020 年1月发布了《在欧盟确保 5G的安全部署——实施欧盟工具箱》,从战略和技术两个维度推出缓解 5G 安全风险的具体措施。其中,战略措施包括加强监管机构的权力以审查网络采购及部署,促进可持续的和多样化的 5G供应链以避免系统性的长期依赖风险;技术措施包括对因技术、流程、人为和物理因素引起的 5G网络和设备安全风险实施有效的控制和缓解。《工具箱》中首次提出“高风险供应商”概念,并要求成员国采取措施限制高风险供应商参与关键和敏感的网络核心功能,并强调要基于安全角度和客观标准对供应商进行风险评估。这在美国就华为问题对欧洲施压的特定时期,也被视为“布鲁塞尔效应”对“华盛顿效应”的对冲。

1.3 增强关键基础设施面对复杂风险时的弹性

2020 年12月,欧委会通过了关于修订《网络和信息系统安全指令》(NIS 2 指令)的提案。提案在原有 NIS 指令基础上增加了新的部门,并取消了基本服务运营商和数字服务提供商之间的区别,实体依据其重要性被分为基本和重要两类,并依此接受不同的监督;同时,提案加强了供应链安全风险管理,各成员国将对关键供应链展开协调的风险评估,加强信息共享及在网络危机管理方面的合作。

同日,欧盟方面还发布了《关于关键实体弹性的指令》(Directive on the resilience of critical entities),表示恐怖主义、内部威胁、国家支持的混合行动以及 COVID-19疫情等,使得风险情况更为复杂,关键基础设施的范围将被扩大到 10 个相关行业和部门:能源、运输、银行、金融市场基础设施、卫生、饮用水、废水、数字基础设施、公共管理和空间。各国必须对维持国民生活和国家运作的数字关键基础设施和服务加强保护,避免出现潜在的、严重的跨部门和跨界的混乱,欧盟将通过制定最高层面的风险概览、最佳方法与实践、跨界培训及演习,以增强并测试关键实体面对线上、线下威胁的弹性。

以数据安全强化欧洲在全球数字经济体系中的话语权和决策权

建立欧洲特色的安全、有弹性的供应链为欧洲数字主权建设奠立坚实的数字底座。而数据安全、数据治理以及对全球数字服务平台的管理,将有力推动欧洲数据战略的实现,并强化欧洲在全球数字经济体系中的话语权和决策权。

2.1 释放数据价值并实现欧洲数据战略

2020年2月,欧委会正式对外发布《欧盟数据战略》(A European strategy for data),该文件提出数据是经济增长、竞争力、创新、创造就业和整个社会进步的重要资源。为建立单一数据市场,确保欧洲的全球竞争力和数据主权,欧洲将数据市场公平性、数据互操作性、数据治理、数据的个人控制权等方面展开更为积极的工作,促进经济发展并使得生成数据的公司和个人受到控制;作为《欧盟数据战略》中宣布的系列措施中的第一项,《数据治理法》提案(Proposal for a Regulation on European data governance(Data Governance Act))于11月面世。该提案旨在促进各部门和成员国之间的数据共享,通过新的数据治理方式将增加对数据共享的信任,提高数据可用性的机制,克服数据再利用的技术障碍,进而促进欧洲数字经济的增长,实现欧洲数字战略。

2.2 高度重视数据跨境流动中个人数据保护

2020年7月,欧盟法院认为美国的监控计划不尊重欧盟公民权力,无法确保其数据保护合乎欧盟标准,判定欧美之间签署的“隐私盾”协议无效。对此,美国认为“隐私盾”失效将阻碍美国和欧盟组织的跨境运营,并破坏跨大西洋贸易和创新。就如何解决数据跨境传输的问题,欧洲数据保护委员会EDPB于11月迅速发布了《关于补充传输机制以确保遵守欧盟个人数据保护标准的建议》(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)和《针对监控措施的关于欧盟重要保障的建议》(Recommendations 02/2020 on the European Essential Guarantees for surveillance measures)。

前者为需要从欧盟向第三国跨境传输个人数据的机构提出了六个步骤:明确数据提供方需掌握其数据传输情况及所使用的传输机制,并评估所使用机制是否在第三国达到了与欧盟“实质等同”的数据保护水平;如果传输机制不能达到等同的数据保护水平,需采取合同、技术或者组织措施等进行补充;为确保有效补充措施的执行,数据提供方应采取从有关欧盟监管机构获得授权等相关流程;定期评估接受数据的第三国的情况变化,如果数据接收方无法履行相关义务或者补充措施无效,数据传输需立即暂停或者终止。

后者明确了四项“欧盟重要保障”:数据处理应当基于清晰、准确和公开的规则;所采取的措施必须是为了达到合理目的而必要且适当的,并需要说明该措施的必要性和适当性;应当具备独立的监督机制;以及数据主体应获得有效的救济。数据链中的相关方必须遵守四项保障,以确保对隐私权和个人数据的保护符合欧洲标准,并且在民主社会中是必要且恰当的。

2.3 通过对数字服务平台有效监管强化欧洲在全球数字经济体系中的决策权

2020年12月,欧委会公布了《数字服务法案》(Digital Markets Act)和《数字市场法案》(Digital Markets Act),草案,这是欧盟20年来在数字领域的首次重大立法,旨在通过对数字服务平台展开有效监管,厘清数字服务提供者的责任,规范欧盟数字市场的秩序。《数字服务法案》从非法内容管理、广告推送、在线商品交易等角度,为数字服务商明确了一系列义务,以保护消费者及其基本权利、为在线平台提高透明性和建立问责框架、促进单一市场内的创新、增长与竞争。规定欧盟各成员国应当设立数字服务协调员,负责数字服务法相关的合规事务。对违法行为处以最高可达当年收入或营业额 6% 的罚款,及对持续性的违法行为除以最高可达日均营业额 5% 的每日罚款。《数字市场法案》对“守门人”予以定义,并设立规则组织阻止“守门人”从事不合理的商业行为,以确保重要数字服务的开放性。欧委会可以对违规的守门人处以最高可达其当年全球营业额 10% 的罚款和最高可达日均营业额 5%的每日罚款。

在系统性违规的情况下,欧盟委员会还可以采取额外的措施,包括结构性的措施,例如要求守门人剥离相关资产等。另外,爱尔兰一项名为《在线安全和媒体监管法总方案》(General Scheme of the Online Safety Media Regulation Bill)的立法明确符合规模要求的视频平台中至少 30% 的内容必须是欧洲内容,否则将面临禁封。这被视为欧洲加快参与全球数字产业链,并谋求重塑数字价值链的重要信号。

以新兴技术及其生态体系建设塑造欧洲在全球网络空间的领导力

欧洲数字主权建设的最终目标是成就欧洲在全球网络空间的领导力。为此,欧洲抢先布局未来技术,推进人工智能、量子、6G等新兴技术发展,通过“战略性价值链”及其生态体系的塑造,加强欧洲在未来网络空间中的战略地位。

3.1 全方位推动人工智能生态建设

欧盟强调积极应对人工智能带来的机遇和挑战,意图在全球为人工智能对人类及伦理的影响提供协调的欧洲方案。2月发布的《人工智能白皮书》(White Paper on Artificial Intelligence)围绕“卓越生态系统”(ecosystem of excellence)和“信任生态系统”(ecosystem of trust)两个生态系统的建设展开,提出建立“可信赖的人工智能框架”,实施“事先合规评估”。7 月,人工智能高级别专家组提出了《可信人工智能最终评估清单》(Assessment List for Trustworthy Artificial Intelligence), 将人工智能的原则转化为易于理解的动态检查清单,以具体的自我评估工具,指导人工智能的开发者和部署者的实践操作。

专家组还发布了《可信人工智能的政策和投资建议的部门考量》(Sectoral Considerations on the Policy and Investment Recommendations for Trustworthy Artificial Intelligence),提出通过保护人类和社会权力、改造私营部门、挖掘公共部门作为可持续增长和创新催化剂的潜力、确保世界一流的研究能力等建议在欧洲落地可信AI,并特别指出公共部门、医疗、制造业和物联网这三个部门对社会的持续福祉以及通过AI的开发、部署和应用来加强欧洲的可持续增长至关重要。12月,欧盟网络安全局ENISA发布了《人工智能威胁态势报告》(Artificial Intelligence Cybersecurity Challenges),对人工智能网络安全生态系统及其威胁情况展开全景式的透彻分析,强调了人工智能供应链安全的重要性,为后期人工智能网络安全政策及技术指南的出台奠定了基础。同月,欧洲理事会人工智能专家委员会发布了关于人工智能法律框架的可行性研究报告,提出人工智能系统应该被看作是“社会技术系统”,欧洲将为AI的未来设定基于欧洲标准(人权、民主和法治)的法律框架,填补国际空白。

3.2 抢占量子技术的高地

量子技术是新一轮科技革命和产业革命的必争高地。继2008年《量子信息处理与通信战略报告》、2016年《量子宣言(草案)》、2017年《空间量子技术》战略报告、2018年欧洲量子技术旗舰计划之后,2020 年,欧洲发布《战略研究议程》(Strategic Research Agenda of the Quantum Flagship)报告,表示未来三年将推动欧洲范围的量子通信网络,完善并扩展现有数字基础设施,为未来的“量子互联网”奠定基础。并明确量子技术的四个主要应用领域(通信、计算、仿真、传感和计量)将以基础科学为共同基础,得到工程、教育和培训等各方面工作的支持。议程为欧洲量子研究和创新的未来发展确定了明确的方向。

3.3 展开面向全球服务的6G旗舰研究计划

为引领下一代网络技术和服务的开发与部署,推进数字包容,并解决疫情后世界的健康和安全问题,欧洲推出Hexa-X项目,立足于面向未来的无线技术和架构研究,着力打造智能互联、多网聚合、可连续性、全球覆盖、极致体验和值得信赖的6G旗舰,抢占下一代互联网发展先机。

以网络安全为数字主权建设持续提供保障力和推动力

在全球性疫情的背景下,人们对网络的依赖上升到新的高度,网络攻击面迅速扩大,网络安全问题形势严峻。2020年12月,欧盟发布了新的网络安全战略(The EU"s Cybersecurity Strategy for the Digital Decade)。战略指出,欧盟的产业格局日益数字化和互联化,欧洲的经济、民主和社会比以往任何时候都更加依赖于安全可靠的数字工具和连接,网络安全对于建设一个有弹性、绿色和数字化的欧洲至关重要。同时,全球开放的互联网和基于紧张地缘政治上的供应链技术控制问题,使得威胁更为复杂。为此,欧洲将展开“全球思维,欧洲行动”,全面提升网络安全,建立弹性、技术主权和领导力,建设预防、威慑和应对的业务能力,建立起一个具有强大防护措施的全球开放互联网,以应对欧洲人民的安全和基本权利与自由所面临的风险。

结 语

欧盟委员会主席冯德莱恩于2019年定义新一届欧委会为“地缘政治委员会”(Geopolitical Commission),并强调要建设更为外向的欧盟,在全球捍卫欧洲的价值观和利益。“地缘政治欧洲”既是着力于以经济力量实现国家目标的“民事力量欧洲”和运用规则对思想和认知产生影响的“规范力量欧洲”的修正和延续,更反映出欧盟在国际体系进入深度调整、全面变化阶段,通过战略自主,加速完成欧洲在全球“从规则制定者到超级大国”转变,实现欧洲的稳定,并向全球传播欧洲标准,促进欧洲价值观。

“战略自主”框架下欧洲数字主权的加速发展,在一定程度上改变数字地缘空间的态势,也为全球经济的复苏和增长创造更多机遇。2020年12月30日,中欧投资协定谈判如期完成,中欧之间更高水平更广泛深入的合作将重塑全球价值链,推动全球经济发展。此间,双方必将在网络空间产生更密切的交织和互动,中欧在网络战略层面的相互需求会进一步扩大。因此,应持续关注并理解欧洲数字主权建设,增强中欧网络互信,聚焦共识、深化合作,就维护世界多边秩序和网络空间战略稳定共同努力。

引用本文:汪丽. 2020年“战略自主”框架下的欧洲数字主权建设全面提速[J].信息安全与通信保密,2021(3):31-37.

作者简介

汪丽(1976—),女,学士,西安交通大学苏州信息安全法学所研究员,主要研究方向为“一带一路”沿线国家网络安全与信息化。

选自《信息安全与通信保密》2021年第3期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。