实践中的数字主权：欧盟推动塑造新的全球经济

2022!12"22#$57%&$576% 实践中的数字主权：欧盟推动塑造新的全球经济 !"#$%近年来，数字经济逐渐成为全球经济发展的新引擎，数字主权的重要性得到全球主权国家的广泛注意，成为大国博弈的重要领域。2022年，美国大西洋理事会欧洲中心发布报告：《实践中的数字主权：欧盟推动塑造新的全球经济》。报告梳理了欧盟寻求数字主权的历史演进，介绍了欧盟构建数字主权所面临的的国际形势，并从工业数据、云服务、网络安全监管等方面分析了欧盟面临的数字主权竞争情况，最后分析了欧盟当前寻求构建数字主权的路径。赛迪智库工业经济研究所对报告进行了编译，期望对我国有关部门有所帮助。 !&'(%数字主权开放战略工业数据云服务 2019年，欧盟通过了《数字市场法案》和《数字服务法案》，两者都是为了规范各网络平台的行为。《数据治理法案》和《欧洲芯片法案》则旨在促进欧洲在数字经济的关键要素方面的创新。《人工智能法案》和《数据法案》仍在立法过程中，但有望2023年定稿，从而监管人工智能的使用以及公司之间的数据使用和数据货币化。这些一揽子立法之外，还有各种认证和其他监管要求加以补充。每个政府都有权利监管自己的数字经济，各国必须找到方法，共同应对数字经济的挑战，并避免制定令这类合作更加困难的规则。 '()*+,-. 过去三年里，“数字主权”已成为欧洲关于新兴技术和数字政策讨论中的一个优先目标。特别是欧洲联盟委员会2021年的“数字指南针”中，它呼吁欧盟通过研发关键技术、培养数字技能和促进关键部门的数字化来“确保数字主权”。最重要的是，该委员会推出了广泛的立法议程，旨在支持关键技术的使用，如人工智能（AI）、量子计算和半导体，同时也从内容节制、工业数据的使用和市场竞争等方面为数字活动的管理制定了规则。 但欧洲政治家们所说的“数字主权”是什么意思？欧盟的数字主权模式，从其发展来看，有三个要素，包括： （1）在资源和政策方面大力支持发展欧盟在新兴技术方面 的本土能力，以及更为广泛的欧洲经济数字化。通过对研究和工业的更大支持，欧盟计划在云计算、量子计算和人工智能等领域成为领导者。 （2）致力于在建立数字技术的监管和标准化方面创建全球规范和“黄金标准”。 （3）欧盟和成员国层面制定了规则，旨在通过限制非欧盟国家的行动者接触外部决策者（无论是企业还是政府）。 随着关键立法提案的发布和逐步通过，以及某些成员国所制定新的国家规则，这样一个模式已出现：资源和法规的目的是支持关键技术和资产(包括数据)的“欧洲化”。非欧盟国家的公司无论在哪里经营（无论设在美国还是中国），都需要证明它们有能力达到欧盟的标准，这种情况越来越多。 合作将要求欧盟和美国都审查自己的政策和做法，以确保公司在大西洋两岸得到公平和平等的对待，并确保消费者享有足够的保护。美国、欧盟等政府还应审查多边机构及其在建立共识方面的潜在作用。 （一）欧洲的数字雄心 欧盟领导人开始关注数字经济时，他们很快意识到，欧洲在竞争中处于不利地位。在最近的“数字指南针”报告中，“数字技术大多是在欧盟以外研发的”，90%的欧盟数据由美国公司管 理，欧盟制造的微芯片在欧洲市场只占10%。然而，对欧盟数字主权的推动不仅仅是基于这些技术和商业缺陷。它还借鉴了欧洲政策领域的四种其他思路： 首先，爱德华·斯诺登在2013年披露了美国国家安全局（NSA）的大量电子监控，斯诺登令人不安地强调了欧洲公民保持其个人信息私密性和安全性的困难，这同时也造成了（欧洲人）对美国机构和公司的怀疑和怨恨。2019年，欧洲数据保护委员会发布了一份意见书，指出由于美国的《CLOUD法案》（即澄清海外合法数据使用法案），欧盟的服务提供商可能会发现自己“极易面临美国法律和《通用数据保护条例》（GDPR）以及其他适用的欧盟或成员国国家法律之间的法律冲突”。 其次，这种欧洲弱点掌握在美国国家安全局和司法部之手的看法，与欧洲在安全和国防领域需要“战略自主”的辩论日益增多不谋而合。一些欧盟领导人强调，需要强大的、本土的欧盟军事能力，以克服对美国的依赖。在这种观点下，欧洲应推动其国防工业跨越国界，精简其军事研发和采购，同时在北约联盟中与美国紧密合作。随着欧盟在国防资源方面寻求战略自主权，有关关键部门和技术方面的类似对话——包括网络防御、具有复原能力的信息技术（IT）基础设施和强大的数字工业基地——也愈发地被框定为数字主权的一部分。 再次，新冠疫情以及线上教育、工作的爆炸性增长使数字政策的重要性凸显出来。它还显示了供应链脆弱性的危险，如依赖任何其他国家的基本商品或服务，包括重要的技术或数字服务。最后，欧盟终于清醒地认识到，对于那些认为地缘政治可能 比商业更为重要的国家，它们的公司和技术能带来固有的危险。不断变化的地缘政治局势加上新冠疫情的经验，彻底证明了需要具有复原能力的在线系统和基础设施。 （二）“开放战略自主” 在贸易中“开放战略自主”这种对自主权的追求也与欧盟贸易政策的重新调整相吻合，即不再注重寻求更大范围的开放性，而是转向贸易关系中的互惠性。在特朗普政府对钢铁和铝征收关税以及美国在其他争端中威胁征收关税之后，欧盟委员会意识到，它没有权力用自己的力量来回应外国的胁迫性贸易措施；相反，它需要依靠现已停摆的世贸组织争端解决机制。欧盟必须接受这种双重性，即我们继续捍卫以规则为基础的多边秩序，但也接受必须从一个更强大的立场出发，利用所有必要的工具来实现该目的。 贸易总署创造了“开放战略自主”一词来描述其新理念，而韦恩德（Weyand）在提及自主性与开放性时一直小心翼翼地以求平衡。 在欧盟眼中，世贸组织已不再能完全保护欧盟的利益。2021年12月，欧盟委员会发布了“反胁迫措施”的提案，旨在保护欧盟及其成员国免受第三国的经济胁迫。一旦立法通过，欧盟潜在的应对措施可能包括对欧盟从第三国进口的产品征收关税，对跨境提供的服务（括数字服务）加以限制，或将某个国家排除在欧洲公共采购之外。“反胁迫条例使我们有能力根据自己的利益行事，同时保持欧盟的开放性。”更直截了当地说，它将为欧盟提供一套灵活的方法，以打击外国的敌对行为。 当然，在寻求减少国际贸易在开放市场经济中可能出现的脆弱性方面，欧洲并非孤例。如拜登政府在取消特朗普政府的关税方面进展缓慢，并调整了美国的贸易政策，令之更加注意对劳工的影响。当前，美国和欧盟都已采取措施，以减少对贸易伙伴和国际形势发展的脆弱性。 （三）从贸易到产业政策 欧盟领导人认为数字经济、绿色经济对欧洲未来的繁荣至关重要。他们希望欧盟站在创新的最前沿，并在制定保护公民、网络和基础设施的安全和隐私的规则方面发挥主导作用。他们认为，欧盟公民、网络和基础设施不应完全依赖外国公司，即使是那些长期以来已进入欧洲的公司。为了实现这些目标，欧盟采取了一种全面的方法，首先是支持研发，旨在通过GAIA-X和欧洲 电池联盟等项目促进创新和制造。它试图通过严格执行隐私规则、在竞争政策上采取积极的立场来保护其公民和企业。现在，随着《数据法案》的出台，对非个人数据（在欧洲通常称为“工业数据”）也可能采取类似的监管制度。欧盟还亟待对认证云服务提供商的标准作出决定，并决定某些情况下是否应将该认证限于欧盟公司。 但是，对于数字主权的许多具体运作细节仍不清楚。欧盟是否会不顾这对于亲密盟友和同道伙伴的影响，坚持自行推进？美国和其他伙伴——它们在数字安全和复原力方面面临着众多同样的担忧——是否能够与欧盟合作，以确保民主国家在数字经济方面保持一致的态度？或者，大西洋两岸是否会出现那些威权政体可以利用的鸿沟，在它们试图利用互联网达到自己目的的时候？这在很大程度上取决于欧盟是否愿意确保其市场保持开放，以及其规则不会歧视或强迫进行不必要的本地化。 （四）Schrems案件与国际数据传输的欧洲化 迄今为止，关于数字主权的压力，最突出的例子也许来自于实施欧洲数据保护法的经验，正如欧洲法院（ECJ）对Schrems案件两项裁决中所表现的那样。尽管欧盟委员会在2001年决定，根据“安全港”协议，欧盟的个人数据转移到美国时受到充分保护。但2013年斯诺登事件曝光后，欧洲法院在SchremsI中推翻 了该裁决。自彼时起，华盛顿和布鲁塞尔一直在努力维持一个有效的法律框架，以促使那些基于商业目的的跨大西洋转移个人数据业务能蓬勃发展。 2020年，欧洲法院在数据保护专员诉Facebook爱尔兰有限公司和MaximillianSchrems（俗称SchremsII）一案中作出裁决，即《欧盟-美国隐私保护框架》未能满足欧盟基本权利法的要求。这造成的直接结果是，5300多家公司——无论是欧洲还是美国，无论是小型还是大型——都不能再将该协议作为从欧洲向美国转移个人数据的基础。一夜之间，各公司被迫寻找其他方法来保护所转移数据的隐私利益。大多数公司选择依靠标准合同条款(SCCs)，即欧盟隐私管理机构预先批准的保护条款。但标准合同条款也被SchremsII法院视作是可疑的，所以欧洲数据保护委员会（EDPB）随后建议通过补充措施，如进行加密和企业承诺抵制美国政府的数据访问，来加固这些条款。然而，欧洲数据保护委员会警告说，在某些情况下，即使这些额外的措施也是不够的，这样跨大西洋数据传输便无任何合法手段。此后，依靠SCC进行数据传输的合法性被进一步削弱了。 这类裁决的依据是，个人数据离开欧盟前往美国时若理论上存在任何外国政府访问的风险，都是不能容忍的。因此，得出的结论是欧洲公司唯一安全的途径是避免向美国进行某些常见类 型的数据转移。美国政府已试图通过立法以外的手段来说服欧洲隐私保护机构：它不会利用基于商业目的而转移的、源自欧盟的个人数据；但这徒劳无功。 2022年，欧盟委员会主席冯·德莱恩和美国总统拜登宣布了一项新协议，原则上关于跨大西洋的数据传输，以改善隐私保护方面的不足之处。跨大西洋数据隐私框架中包含了美国情报机构的承诺，即对数据的访问只能是为了保护国家安全而进行“必要的、相称的”访问——与欧洲基本权利法要求的标准相同。美国政府还承诺采取新措施，确保对其涉外情报活动进行更为有效的监督，并授权某个新的行政补救法庭去调查、解决欧洲人指控其个人数据遭到非法获取的情况。 但是，现在说新的跨大西洋数据传输框架是否会最终解决欧盟隐私法和个人数据国际传输之间的矛盾还为时过早。它受到了某些人的质疑。即使新协议继续存在，过去十年的经验已显示出欧盟数据保护法在域外的影响，以及将之与个人数据在国际上的自由流动进行协调有多困难。 0(+,-.fi2345678 冯德莱恩委员会在欧洲议会的鼓励下，大大扩展了欧盟数字政策的范围。该过程中，欧盟委员会和欧洲议会已把实现数字主权放在其议程首位。委员会的“数字指南针”是对此最全面的表 述，它宣称欧盟需要解决其在数字领域的战略弱点、脆弱性和具有极高风险的依赖性。该指南针还预测，欧盟与其他国家的数字伙伴关系“将促进与欧盟监管在以下方面的规范和标准一致或趋同：数据保护、隐私和数据流、人工智能的伦理应用、网络安全和信任、处理网上的虚假信息和非法内容、确保互联网治理以及支持数字金融和电子政务的发展等问题”。 冯德莱恩主席将建设“适合数字时代的欧洲”作为其委员会两个关键优先事项的一个（另一个是绿色协议），措施包括：一是提高整个欧洲的数字接入和技能；二是保护在数字经济领域工作的雇员；三是加强欧盟对关键技术的资助；四是改善网络和基础设施的安全性和复原力；五是对主导市场的公司设置限制；六是为新技术的使用制定规则，包括人工智能；七是确保从网络平台上删除非法内容和商品；八是建立一个非个人数据的欧洲市场。 2020年，欧盟委员会提出了三个关键的立法提案，明确了欧盟数字议程的方向，同时也表明了开放的数字经济和欧盟的主权抱负之间所存在的紧张关系。这些一揽子立法包括以下内容：（1） 《数字服务法案》（DSA），对在欧盟经营的平台规定了大量义务，如要求识别和删除非法内容有关、打击非法和假冒商品、打击非法的仇恨言论。（2）《数字市场法案》（DMA），对那些最 大