返回 打印

数字化主权催生欧洲互联网

作者:牟承晋   邱  实   来源:红色文化网  

数字化主权催生欧洲互联网

牟承晋     

图片1.jpg

一、数字化主权是网络主权的具体体现

网络信息空间主权,是国家主权在网络信息空间领域的自然延伸和依法拓展,是构建全球网络空间命运共同体的根本前提、原则和基础。

美国向来主张互联网(Internet)“一网天下”,无视各国网信空间的主权、治权和法权,长期阻挠和干扰国际社会对网络信息空间主权形成共识,形成制约“一网天下”的国际法规或契约。

近些年,欧美各国以各自不同的“优先目标”(或非对称优势)为杠杆,相继出台相关的法律法规,直接或间接地主张网络信息空间的主权(或制网权,Superiority):

2018 年3 月23 日,美国《澄清合法使用境外数据法》(CLOUD) 生效,授权执法部门依据合法的搜查令索取或直接访问在美国境外存储的数据。

2018 年 5 月 25 日,欧盟《通用数据保护条例》(GDPR)生效,规定“个人数据”是指与识别或可识别自然人(“数据属主”)相关联的任何信息。GDPR 的实施,被称为是开启互联网“数据保护的元年”。

2019 年 5 月 1 日,俄罗斯《主权互联网法》(指俄罗斯境内互联网RUnet)生效,旨在发生紧急情况或受到外部威胁(如网络攻击)时,实施保护俄罗斯国家安全的措施和行动。

2019 年 6 月 7 日,欧洲议会公布《欧盟网络安全法》,修訂和加强了欧盟网络安全局(ENISA)的职能,建立了在欧盟范围内的数字产品、服务及流程的网络安全认证框架。

归纳以上网络信息空间的主权主张,一般性的定义为:

——数字化主权(Digital Sovereignty)是网络信息空间时代的一个关键理念,即是各方必须拥有对自身数字数据的主权。

——数字化主权的底线涉及如何处理数据和数字资产,可以某个个体(自然人)为基础或适用于某些国家。

【说明:本文所述及互联网,在没有特别说明的情况下,均指Internet】

二、网络空间的数字化基础

网络空间(Cyberspace)的术语起源于2009年,是美国、英国等国家在其制定的国家安全战略中所引用的术语。经过持续的实践和不断的修正,“网络空间”的基本概念已经衍伸为中文的“网络信息空间”,基本定义可以归纳为:

网信空间是一个全球化的信息环境,由相互依存的信息技术基础设施网络(Networks)和存储的数据组成,包括互联网络(Internet),电信网络,计算机系统,以及嵌入式的处理器和控制器。

与网络信息空间的基本定义相关联,网络信息空间的数字化基础(设施)主要由四个部分组成:域名空间,地址空间,域名解析系统(DNS),自治系统(AS)。其关联关系如图1 所示。

图片2.jpg

1 网络信息空间的数字化基础和数据及其关联关系

网络信息空间承载的是业务/用户生成的数据。“数据”不同于“信息”,信息更为广泛,包括通过关联、组合、衍生、计算等技术手段产生的数据。信息不可避免地涉及“数据属主”,即是数据的自然人,包括国家、行业/企业和个人。

网络信息空间的数字化主权的(争夺)焦点是:数字化基础和数据(图1)。但是,没有数字化基础,就无法生成(产生)网络空间传输和处理的数据及信息,互联网络也就不复存在了。

尤其重要的是:主张网络信息空间的主权,是国家的政治权力;任何技术只是保障和支持国家的政治权力,并服务于国家安全。换言之,明确在网络信息空间主权的“定义域,值域,对应法则”(且不断地相适应和修正),并建立和维护常态的安全风险管理机制,以系统化指挥和指导技术的创新及服务,技术的研发和创新才能够有正确的方向、合适的定位、持续的发展,以及价值的体现。

定义域:例如,网络空间的数字化边界和范围之界定;

值域:例如,数据(或可认为是“自变量”)与通过关联、组合、衍生、计算等技术手段产生的信息(或可认为是“因变量”)的划分及区分;

对应法则:例如,制定的法律、法规,以及司法和实施的行动。

三、欧洲数字化主权的最新研究成果

2020 年 6 月 5 日,欧洲创新与技术研究院(EIT)发布一份题为《对数字化基础设施控制和数据保护》的研究报告,“欧洲主权”、“数字化主权”、“技术主权”、“数字化基础设施控制和数据监管”、“数据保护”等术语,成为“政策与立法”及“计划与行动”(包括建立“欧洲互联网”)的关键词。

研究称,最近关于5G移动通信技术和追踪新冠病毒(COVID-19)接触者的热议,凸显了欧洲在数字化基础设施和数据处理方面的主权需求。在数字化基础设施和数据处理方面制定政策,有助于加强欧洲主权。必须认识到,数字化基础设施的控制与数据的监管是相辅相成的,可以通过各种方式进行组合。应通过创新加强尊重欧洲价值观和权力的创新管制,同时为所有参与者创造平等的经济机会。这份报告具有权威性和代表性。

研究认为,数字化主权须考虑经济、社会和地缘政治三个主要因素。国际事件和日益严重的地缘政治紧张局势是不可或缺的考虑因素。

研究称,德国经济部(2019年)提出了“欧洲云”项目(Gaia-X),旨在为欧洲提供 “下一代数据基础设施:一个安全、联盟的系统,在促进创新的同时,满足数字化主权的最高标准。”因而,技术主权也是新一届欧盟委员会拟议的重中之重主题。人们注意到,网络安全政策的驱动因素之一是在贸易、发展合作、国防和国际外交方面成为更强大的全球参与者。

研究认为,在数据方面,中国和美国都是庞大的单一市场,使得两国能够收集大量数据来推动其算法发展,而欧洲则是更加“碎片化”。美国和中国正在引领数据的“精练”:人工智能研究和应用以及运行算法的专用芯片,并产生包括特征、预测等结果。 在过去的 15 年中,数字领域的争夺导致形成美国GAFAM(即谷歌、苹果、脸书、亚马逊、微软)及其中国同行(阿里巴巴、百度、腾讯等)和其他新兴(非欧洲)的寡头平台。欧洲主要的电信协会(ETNO),已多次敦促欧盟在数字化的议程中关注 IoT(物联网)、5G 和 AI(人工智能),以缩小欧洲与美国和中国的差距。

该研究报告值得关注的要点:

1)(行业)制造者(Makers)与(政府、公民)塑造者(Shapers)的关系,是“加强尊重欧洲价值观和权力的新监管”,或是(技术)“制造”与(管理)“塑造” 之间在不同历史时期和发展中的定位转型与社会作用。

2)在网络空间,不同国家或区域所处不同的场景,受到不同的制约因素(包括历史沿革、发展基础、问题现状以及优先选择的政策),主张主权的出发点与措施模式也不尽相同,或使国情与态势以最大程度地相适应。但是,对网络技术设施的控制和数据保护以及国家安全,则是共同关注的目标焦点和杠杆。

3)构建场景及框架,是定性和定量评估战略制定、风险管理(以及工程计划、行动安全等)的一种重要和有效工具,迫使“思维”(和“思考”)专注于策略中的关键因素,并分析针对这些关键因素做出的极端(或降维)选择的影响,以及在作进一步优化时必须考虑的各种其他因素。

四、数字化主权的主要模式

欧洲创新与技术研究院(EIT)的最新研究认为:

1、欧洲模式

欧洲是以价值观和人权为基础,并注重道德和隐私。《通用数据保护条例》(GDPR)将一种普遍适用的方式纳入了欧盟法律,以保护隐私、并扩展了对公民保护的司法管辖范围,以及扩大了“被遗忘权”(right to be forgotten),这是GDPR在被修正后增加的最为引人注目的新型权利。被遗忘权可以概括为:数据属主有要求数据控制者删除关于其个人数据的权利,数据控制者有责任在特定情况下及时删除个人数据。

GDPR 涵盖了所有数据处理活动,以预测风险并将风险降至最低。近年来,欧盟对竞争方式更加积极主动,包括根据《欧盟条约》第 102 条,对占支配地位的企业采取反垄断举措。

2、美国模式

美国倾向于传统化且更趋向于自由化,是技术和商业驱动方式的结合。关于隐私,占主导地位的观点是将其视为侵权行为,受害者必须证明其所受到的伤害,这与硅谷在监管干预之前“快刀斩乱麻”式快节奏、高效率的态度相符。对于这种商业性的方式,硅谷和美国政府之间的观点是一致的。

美国模式的一个特点是,缺乏用于数据保护与网络安全的国家统一框架,并且存在若干州的法律以及其他法规、自我监管及标准的多重来源。由于欧洲的GDPR和其他措施,使美国对数据隐私和网络安全进行国家标准化的压力越来越大。

3、中国模式

中国推广了自己的在政府严格控制下工作的科技巨头(百度、腾讯和阿里巴巴)。与欧美同行相比,这些公司既得不到成就感、取乏活力,又更渴望竞争、更不受约束。执行能力是中国的一个重要优势,拥有国家的配套职能和可调动的众多科学家。在价值观和权力方面,中国的数据保护不符合欧洲的标准,中国网络安全市场的意图和目的都受政府特权驱动,且由与国家安全联系密切的大型垄断企业所支配,并可能对网络安全产生负面影响。

此外,中国互联网经济产生的数据量远远超过任何其他国家。进而,不受数据保护法规的约束或忽略公众对隐私的显著要求,数据从许多其它来源被收集,包括闭路电视等。

研究认为,欧洲可以通过将政策重点放在人权上,以赢得战略自治权;通过良好的数据保护和网络安全,以建立公众的信任;通过开创政策信任,以提高竞争力。无论是在国内还是国际,公众的接受度和信任度都是运用和采用新兴技术的契机之关键,并从中可以产生切实的利益。尤其是在欧洲的模式中,具有社会资本基础且具备广泛性和体系性的信任,是社会的凝聚力,使得在数字化生态系统中能够进行协作和富有成效的实践。

五、欧洲数字化主权的动态

欧洲议会( European Parliament)正在讨论出台新的法律《数字化服务法》(DSA,Digital Service Act)。欧洲议会计划于 9 月 29 日(在布鲁塞尔)召开“欧洲数字化主权研讨会”(EU Digital Sovereignty Conference 2020)。

会议的主题是:“数字时代的欧洲---促进欧洲领导的全球伙伴关系”(Europe in the Digital Age --- Global Partnerships Foster European Leadership)。

重点议题是:运用附加的监管和对竞争的执法力度,优先考虑以隐私为中心的安全技术和服务;通过发展欧洲建造和交付的服务及基础设施,致力于实现真正的数字化主权。

在欧洲,数字化主权日益增强,而其驱动力可能很复杂。目前, 技术提供商(主要来自美国硅谷)获得更大的自主权,且已成为欧洲民众生活中不可或缺的中心,不仅造成了现实问题和技术问题,而且引发了许多政治和外交问题。

提供更加独立的欧洲数字化基础设施,是由欧洲法定的隐私和以安全为优先级所驱动,不仅需要政府在复杂项目中进行大量投资,而且与竞争和依赖性的问题相关联。这是数字化发展中的一种创新方法,即提供具有竞争性且关键性的欧洲开发的数字产品,同时,数字化服务也至关重要。

然而,过于简单化的贸然切断社会所依赖的数字化“脐带”,显然在经济上具有破坏性。

虽然欧洲人所依赖的数据和数字化生态系统在很大程度上不属于欧洲,但是对欧盟的生产力做出了重大贡献。同样亦显然,互联网的任何巴尔干化(即碎片化)都不符合欧洲的利益,致力于相互信任和制定共同价值观的全球化准则,是欧洲数字化主权的本质。

六、“欧洲互联网”应运而生

为制定《数字化服务法》,欧洲议会的“洲内市场和消费者保护委员会”(IMCO)委托其下属的“经济、科学和生活质量政策部”进行相关的研究和分析,提出未来十年内的数字服务预测,并为欧洲议会所制定《数字化服务法》提供“数字化服务的新发展”(New Developments in Digital Services)行动建议。

2020年5月5日,这份研究报告出台。“行动建议”中强调:“《数字服务法》雄心勃勃的目标,必须是为促进欧洲的数字化领导地位奠定基础,以便控制正在全面展开的数字化演变。”

该报告提出的三项具体行动计划之一,是建设“欧洲互联网”(European Internet)。该报告的“欧洲互联网”描述如下:

欧盟在《数字服务法》中应包括“数字云”(即欧洲互联网)的行动计划。欧洲“数字云”将促进基于数据和创新的欧洲数字生态系统。它将推动竞争和标准制定。外国的网络服务可以成为这种数字生态系统的一部分,但必须遵守欧盟的规则和标准,例如民主价值观、数据保护、数据可访问性、透明性和用户友好性。

像中国的防火墙一样,欧洲互联网将阻止对来自第三方国家的非法行为提供纵容或支持的那些服务。

在技术上,这将需要:一个顶层基础架构,高速 5G 或 6G 数据网络,以及一道防火墙。建立这样的网络将促进许多欧洲公司的发展,从而促进业务发展并推动创新。

该报告建议,立即采取行动的计划时间表分为三个阶段: 短期(2 年),中期(5 年),长期(10 年)。(参见附件)

该报告对其研究和建议的总结:

旨在协助《数字化服务法》的立法决策过程,扩大想象力,激励立法者做出大胆和有远见的决定;目的是为欧洲成为数字化领导者奠定法律基础。

构成未来大多数数字化创新服务的基础,即是所有即将到来的数字化服务核心的三个潜在趋势是:

无缝性(Seamlessness);

超个性化(Hyper-individualization);

可持续性(Sustainability)。

七、对“欧洲互联网”的观察

“欧洲互联网”与俄罗斯的“主权互联网”的共同之处在于:以网络安全为(优先)基点,强调和主张“数字化主权”,并以立法明确相关的组织机构及措施和行动,重点目标是:数据安全及数字化资产保护,包括设立国家或地区的网络“防火墙”(但是,并非是在物理上重构互联网,或避免互联网的“碎片化”或“巴尔干化”)。

“欧洲互联网”与俄罗斯的“主权互联网”的主要差异:

俄罗斯“主权互联网”的当前重点,旨在发生紧急情况或受到外部威胁(如,网络攻击)时,实施保护俄罗斯国家安全的措施和行动。欧盟“欧洲互联网”的优先目的,旨在以保护隐私和数字业务本地化(即是数据保护),以促进欧洲成为数字现代化的领导者。

比较差异,不仅具有(轻重缓急)目的,而且与所谓“民主价值观”(地缘政治)相关联,并不可避免地必然受制于网络信息空间的数字化基础。在网络信息空间,欧盟的数字化基础包括:

1)互联网 13 个根域名系统中的两个根域名系统在欧盟:

图片3.jpg

2)(部分)国家和区域的顶级域名的数量:

图片4.jpg

3)(部分国家)国家和区域的自治系统:

图片5.jpg

尽管如此,无论“欧洲互联网”(欧洲“云”),或俄罗斯的“主权互联网”(RUnet),都不是重构(或重建)互联网,其本质是对互联网数据安全的风险管理及其管辖权力的“回归”;当且仅当(If and only if, 或iff)具备“数字化基础”的主权及管辖权,主张“数字化主权”才具有政治权力,立法和司法才有实际意义。其中, 技术必须(且无例外)服务于“数字化主权”暨国家安全。

八、对“数字化主权”的探讨

QQ截图20200702230312.jpg

网络信息空间主张和维护“数字化主权”已成为国际社会不可逆转的主流趋势。但是,鉴于各国(区域)的互联网历史变迁、基础和现状不尽相同,主张“数字化主权”的出发点和优先目的存在形态(行动)各异。关键在于:数字化主权涉及如何处理数据和数字资产,是基于历史沿革和发展的观点,从顶层基础架构设计,系统性地梳理并厘清累积和潜在的主要问题及其关联关系,并解决或缓解之;结合当前所面临的主要挑战或矛盾,实践和探索适合于己方的最佳及可持续性发展之判断、路径及利益。

2020年7月1日,撰稿于全国人大常委会审议《数据安全法》之际)

附件:欧洲议会洲内市场和消费者保护委员会(IMCO) 经济、科学和生活质量政策部的研究报告“数字服务的新发展”

图片7.jpg

2  建议立即行动的三个阶段及计划时间表

QQ截图20200702230519.jpg

备注:“无缝支付”,Seamless Payment

“自主的交通工具”,Autonomous Transportation

“电子商务”,e-Commerce

“正气候经济”,Climate Positive Economy

“DNA”,Deoxyribonucleic acid(脱氧核糖核酸)



https://www.hswh.org.cn/wzzx/xxhq/oz/2020-07-02/63749.html