“欧洲数字主权”:梦想还是现实?
2020-09-22辜学武
辜学武
6月16日,德国柏林,行人在议会大楼前使用智能手机
“主权”本是一个国际法的概念,它的基本理念或出发点是一个国际法主体自己决定自己命运和生活方式的权利与能力。“数字主权”概念是将领土主权国家延伸到主权国家网络空间的结果,意在强调数字化时代国际法主体控制和主导自己网络空间的能力和权利。
近年来关于“数字主权”的讨论方兴未艾。尤其是欧洲的政治精英们极力鼓吹振兴欧洲数字工业能力,夺回欧洲网络空间的控制能力。这场讨论俨然正在成为一个席卷欧洲各国的大辩论。无论欧盟政策走向如何,这个大辩论的最终结果将会对欧洲未来ICT产业和网络空间的结构产生深远影响。
欧洲数字主权概念是对传统国际法国家主权内涵的延伸。如果局限于传统的国家主权学说,那么欧洲“数字主权”就只是指欧洲国家/欧盟成员国对自己数字工业体系和网络空间的主导权和控制权。但当代“欧洲数字”主权的推动者包括法国总统马克龙和德国总理默克尔以及欧盟委员会主席冯德莱恩都认为,“数字主权”的主体已经远远超过传统国际法的范畴。除主权国家外,公民和企业也是现代“数字主权”的主体。
这种“新主权观”认为,欧洲“数字主权”至少包含三个要素:(1)欧洲公民对自己个人数据的独立支配权、控制权和决定权;(2)欧洲企业对自己机器和设备数据的独立掌控权、支配权和决定权;(3)欧洲国家/欧盟成员国对本国领土上数字工业和数据资产的独立主导权、控制权和决定权。
令人印象深刻的是,无论是从个人,企业或国家的层次看,“欧洲数字主权”论者坚信,欧洲已经基本丧失自己的数字主权。
欧洲的忧虑
仔细梳理一遍欧洲“数字主权”大辩论的各种观点和立场,你會发现这后面隐藏着一种深深的忧虑。放眼望去,无论是政治精英,还是企业领袖,或是学界泰斗,欧洲已经开始对外国ICT企业支配欧洲数字经济发展的程度深感不安。
事实上,欧洲精英们对欧洲“数据主权”主导能力的担心并非空穴来风。仅仅欧洲没有一个自己的独立移动操作系统这个事实就让他们坐卧不安。除了由Linux MeeGo OS演变而成的,只拥有极少数专业用户的Sailfish OS之外,欧洲和世界的绝大部分国家一样,完全依赖美国的谷歌安卓和苹果OS系统。
更让欧洲政治精英们感到震惊是,全球互联网企业TOP15名单上欧洲企业榜上无名。这些领军企业的三分之二来自美国,三分之一来自亚洲;全球前50强的互联网公司当中,欧洲只有德国的Zalando一家,且远远排名在30名以后。
德国好不容易打造起来的“德国神童”,号称“欧洲支付宝”的Wirecard今年6月爆出财务弄虚作假丑闻,几乎是在一夜之间就宣布破产。Wirecard互联网商业支付系统以神话般的速度崛起,又以神话般的速度倒下,成为德国DAX指数历史上第一个宣布破产的现有成分股的公司。现在公司的主管在逃的在逃,被捕的被捕,一片萧条。
美国互联网企业在欧洲咄咄逼人的收购战略也加剧了欧洲人的不安。过去20多年,欧洲优秀数字企业大多被美国数字互联网企业巨头收购,几乎是成熟一个就被收购一个。不仅欧洲的企业被外部势力强大的集团收购,而且欧洲数字成套装备市场的硬件和软件也几乎被欧洲以外的企业所主导。即使是欧洲自己的诺基亚和爱立信也严重依赖亚洲和美国的中间产品和软件供货商,形成硬件和软件都受制于非欧洲企业的被动局面。
过去20多年,欧洲优秀数字企业大多被美国数字互联网企业巨头收购,几乎是成熟一个就被收购一个。
这些事实,欧洲政治精英们看在眼里,急在心里,普遍感到欧洲“数字主权”到了不加以捍卫就会名存实亡的危险。欧盟委员会忧心忡忡地告诉欧洲议会的议员们,欧洲没有一个成规模的ICT行业和生态链,欧洲数字产品与服务营运商必须大批进口欧洲以外的ICT硬件和软件产品。而正是由于这种对非欧洲供货商的依赖,导致欧洲营运商已无法完全保证他们提供的产品和服务的安全性,造成欧洲“数字主权”前所未有的脆弱。
柏林、巴黎和布鲁塞尔的“数字主权”捍卫者们反复不断地向欧洲公民启蒙:由于ICT设备和软件的生产能力大部分掌握在非欧洲企业的手上,欧洲缺乏对数据的控制能力;由于无法控制数据,因此也无法保证欧洲用户,包括个人用户、企业用户和主权机构对自己数据的独立掌控权、支配权和决定权。
欧洲的思路
如何尽快扭转局势,夺回或重建欧洲“数字主权”,成为了欧洲目前的一门“显学”。各种建议或方案纷纷问世。有的主张采用“空客模式”:由政府和欧洲优秀企业联手打造欧洲ICT龙头企业,培育互联网行业的“空客”,与美国和中国的互联网企业一争高低。
还有的主张实施所谓的CAP模式。CAP是欧盟“共同农业政策”(Common Agricultural Policy)的缩写。这个政策的特征是对欧盟的农产品市场通过政府对农民进行补贴的方式加以封闭性的保护,确保欧洲的粮食安全。这种方案建议套用CAP模式,将欧洲CIT行业保护起来,以培育公共采购市场为起点,实行欧盟内部竞争性发展,培育自己的ICT龙头企业;生产出带有欧洲价值观和标准的高水平ICT产品出口全球。
另外一种有趣的思路是European Fund for Strategic Investment (EFSI,欧洲战略基金投资)的道路。这实际上是一种动用政府基金建立风险投资的机制,鼓励企业和个人创新创业。这种方案的支持者认为,只有通过这种风投机制,才能最大效益地利用此项资金,培育出欧洲各国的ICT企业和“数字冠军”。
在这些形形色色的方案中最引人注目的是软实力方案。这个方案也是欧盟委员会的主导思路。它的核心思想是充分利用欧洲统一市场的力量,发挥欧洲数字安全和隐私保护标准高,可信度高的优势,迫使进入欧盟统一市场的非欧洲服务与产品达到欧盟的标准,以欧洲的软实力驯服美国和中国的ICT企业硬实力,实质上保证欧盟各国的“数字主权”。
与此相适应,欧盟计划强力在全球推行欧盟网络安全认证体系,使欧盟网络安全标准成为全球网络安全标准,加速多边磋商机制的建立,早日形成国际网络安全和数字主权准则。从全球比较的角度讲,欧洲似乎企图在中国的“举国体制数字经济”模式和美国的“巨头垄断数字经济”模式中间寻求一条欧洲的“第三道路”,即通过建立在共同协商基础上的ICT产业和互联网的融合形成“数字集体安全”,建立一个相互开放和安全的数字世界。
欧洲在数字领域对国外力量的依赖几乎可被视为对美国的依赖。据麦肯锡早在2016年就发表过的一项调查报告显示,欧洲是美国数字服务的净进口国,其数字贸易逆差占欧盟和美国之间服务贸易总额的近5.6%。具體说来,西方世界92%的数据储存在美国公司,美国亚马逊的云服务占据了全球超过30%的份额,根据德国商报2020年年初的一篇分析,它在德国云服务市场的份额早已超过35%。
法国副经济部长Agnes Pannier-Runacher甚至将亚马逊AWS的云服务比作“软性毒药”:“你越喜欢它,就会越喜欢它。”甚至欧洲两强德国与法国国家强力机构的许多数据都储存在美国公司的数据库中。欧洲议会公民自由、法务和内务委员会成员Axel Voss前不久在欧盟议会杂志上撰文,明确指出了这种情况的危险。他警告:“成为数据殖民地将会长期损害欧盟的竞争力。”
说欧洲正成为美国的“数字殖民地”未免有些夸张,但也道出了依赖美国的基本事实。
欧盟试图摆脱对美国依赖的行动实际上是由德国和法国在主导。在默克尔和马克龙的推动下,欧盟的数字主权战略思想越来越清晰。这是一个三位一体的战略。2020年年初欧洲一口气公布了三份直接关乎“欧洲数字主权”的战略性文件。在这些文件,欧盟委员会毫不掩饰地表明,欧洲强化“数字主权”的建设,首先就是为了跻身于中美主导的技术地缘政治博弈之中,形成中美欧共塑全球数字技术未来的格局;第二,摆脱对GAFA(谷歌、苹果、脸书和亚马逊)的依赖,夺回对欧洲公民、企业、国家以及欧盟数据资产的控制权;第三,构筑一种数字经济的“欧洲模式”,在更好地使用数据的同时,保持高度的隐私、安全、可信和道德标准。
巨大的合规成本和技术协调成本会迫使每个企业只采用一套全球都合规的标准。欧盟官员们骄傲地宣称,欧盟的数据与个人隐私保护标准是世界上最先进的,用了欧盟的标准,你可在全球畅通无阻。
对于如何实现这个战略目标,欧盟也给出了典型的“欧洲式”答案。欧盟深知无论是硬件还是软件,欧洲企业都不是美国和中国企业的对手。但偏偏这个毫无“技术实力”支撑的欧盟信心百倍地要让美中科技巨头屈服。它的“底气”在哪里?
欧洲的底气
布鲁塞尔自以为它可以依托强大的欧洲法律框架(GDPR,《通用数据保护条例》;FFD - Regulation on the Free Flow of Non-Personal Data,《非个人数据自由流动条例》;CSA - Cybersecurity Act,《网络安全法案》),驯服来欧洲淘金的所有外国科技巨头。
“你不接受我的数据保护和个人隐私保护标准,我就不让你进入欧盟市场或者把你踢出市场”,这是欧盟的“杀手锏”。听起来虽然霸道,但哪一个全球玩家能舍得放弃欧洲这个世界上最大的单一市场呢?
然而,这还不是欧洲底气的全部。在这个“杀手锏”背后,还有一个更深层次的逻辑。欧盟在不遗余力地用它的数据保护标准“驯服”世界互联网巨头的时候,不可能不会想到这种高强度的“合规”强制力带来的“溢出效应”。试想:一旦一个外国科技巨头为了进入诱人的欧盟市场而接受和采用欧盟的数据保护标准来进行研发、生产、销售和服务,那它就实际上就已经按照欧盟的标准“脱胎换骨”了。
而一旦“脱胎换骨”之后,一个跨国数字科技企业不可能采用两套或者更多的数据保护标准来从事自己的全球研发、生产和服务。也就是说,它不可能也无必要在自己的母国采用一套标准,在欧洲用另外一个标准,在世界其它区域又采用其它不同的标准来发展自己的业务。巨大的合规成本和技术协调成本会迫使每个企业只采用一套全球都合规的标准。欧盟官员们骄傲地宣称,欧盟的数据与个人隐私保护标准是世界上最先进的,用了欧盟的标准,你可在全球畅通无阻。
欧盟的手上还捏有另外一张王牌,行家里手把它称为“布鲁塞尔效应”。这是欧盟将自己的监管力延伸至所有想与欧洲交往的非欧洲地区和国家的另外一个“杀手锏”。这张王牌的逻辑基础是欧洲战略家们设计的所谓“对等”原则。它的核心是,欧洲的企业在某一外国经营时,应该享受这个国家的企业在欧洲经营时享受的同等待遇,美其名曰“对等”。
瑞士苏黎世,有轨电车经过瑞银集团(UBS)总部
所以在同欧盟谈判时,非欧盟的国家会常常听欧盟的官员说:“你们的企业在我们欧洲享受高标准的数据安全和隐私保护。因此,我们希望你们向我们靠拢,也能给在你们国家经营的欧洲企业提供同样标准的保护。”言下之意就是希望其它国家接受欧洲的标准,废除与欧盟标准相冲突的法律条文规章制度。
从某种意义上讲,这是一种变相的“标准帝国主义”思维,以“对等”的名义,劝诱或强迫其它非欧洲国家实施欧盟的规章制度。欧盟的这个做法虽然有些“帝国主义”,但由于它的数据安全和隐私保护标准的内容确实是世界上最严格的,客观上能对个人、企业和国家的数字主权提供更好的保护,这种明目张胆的扩张方式往往会得手。
“对等”是欧盟目前在同非欧盟国家打交道时的常用语。以此为基础的“布鲁塞尔效应”是一种软实力效应。这种软实力会越来越有效地辅助欧盟扩大它在塑造全球数字技术标准的影响力,尽管欧洲的ICT企业和中美互联网巨头相比在技术层面和市场份额方面还有天壤之别。
尽管最近几年瑞士在美国和德国的高压之下一步一步地放弃了它的立国之本,但欧盟用严格的数据和隐私保护标准来吸引欧洲以外的数据资产来欧洲存储和处理的战略与瑞士的“银行秘密”立国的模式如出一辙。
欧盟之所以敢于在技术和市场影响力落后的情况下挑战美国的数字工业巨头,与它的另外一个更加宏伟的战略设想有关。欧盟委员会在它今年2月发布的一篇数字主权战略文件中写道,数据是当代政治、社会、经济和公共生活的“原料”。文件的作者清醒地认识到,数据资产和其它资产不一样, 它可以“被重复使用和消费”, “同时被千万个用户使用,同时可多途径使用”,“越用越珍贵,越用越值钱”。
对数字资产战略价值的高度认可有力地鼓舞了欧盟委员会将欧洲大陆打造成全球数字资产“金山银山”的大胆设想。依托高度的数据安全和个人隐私保护规范系统,欧盟憧憬世界各地数据资产拥有者,无论是个人、企业还是国家,会把他们的资产毫无后顾之忧地送来欧洲进行存储、分析和处理。
多少年來,全球的金融资产拥有者都喜欢把他们的金钱存储在瑞士的银行里,原因就是瑞士银行的保密标准远远高于其它国家的标准。尽管最近几年瑞士在美国和德国的高压之下一步一步地放弃了它的立国之本,但欧盟用严格的数据和隐私保护标准来吸引欧洲以外的数据资产来欧洲存储和处理的战略与瑞士的“银行秘密”立国的模式如出一辙。
“欧洲的数据必须保存在欧洲境内”,这不仅是欧盟委员会实力派人物、内部市场专员、法国总统马克龙的心腹布雷顿的一句名言,也是欧洲数字主权战略的一个核心诉求。根据这欧盟法规,在欧洲产生的数据目前只能输出到12个非欧盟国家,这些国家被欧盟承认为拥有与欧盟同质的数字安全与隐私保护体系的国家。即使是美国也不在这个俱乐部之内。欧洲最高法院2016年和2020年两次推翻欧盟和美国达成的数据输出条约,理由就是美国的数字安全和个人隐私保护太差,无法保证欧洲公民的数据不落到美国政府和安全部门的手上。
至于它是否能真正使欧洲摆脱对美国GAFA的依赖,还有待于进一步的观察。无论如何,欧洲的数字主权已经不是梦想,而是正在形成的事实。
责任编辑赵义 zy@nfcmag.com
