全球数治｜欧洲云计划：欧盟数字主权的建构与挑战

随着云计算、大数据等新兴技术的迅速发展，国家间的竞争开始从传统领域拓展至数字空间，掌控“数字主权”对维护国家利益至关重要。对欧盟来说，由于美国数字科技巨头公司在欧洲占有极大市场份额，欧盟公民在生活和工作中多使用谷歌、亚马逊、脸书等美国公司提供的数字应用和服务，其间产生的数据绝大部分被搜集和储存在美国。同时，欧洲的云计算、人工智能、5G等数字科技发展也相对落后。在此背景下，欧盟逐渐意识到其在数字经济时代所处的被动局面，急于改变对外国科技公司的过度依赖，保护欧洲人管理自己网络和数字空间的自由，掌控欧洲数字主权。

近年来，欧盟陆续出台了《通用数据保护条例》、《数字市场法》、《数字服务法》等一系列政策文件和法律框架，以建构“数字主权”，增强欧洲数字创新能力。2020年7月，欧洲议会发布《欧洲的数字主权》报告，阐述了欧盟提出数字主权的背景和加强欧盟在数字领域战略自主的指导方针，并明确了二十四项可能采取的具体措施，其中一项即为促进建立符合欧盟数据战略的欧盟云基础设施。欧洲云计划Gaia-X由德国和法国联合倡议和牵头，欧盟27国参与，旨在建立一个真正属于欧洲的数据基础设施，成为欧盟的“母云端”，并创立通用云标准、参考云架构和互操作性要求等。

今年三月，意大利国际事务研究所（Istituto Affari Internazionali ,IAI）发表了德国联邦信息安全办公室西蒙娜·奥蒂利亚诺（Simona Autolitano）教授和艾格尼丝·波洛夫斯卡（Agnieszka Pawlowska）共同撰写的研究论文《欧洲对数字主权的追求：以GAIA-X为例》（Europe’s Quest for Digital Sovereignty: GAIA-X as a Case Study）。两位作者以欧洲云计划GAIA-X作为案例，梳理了欧盟通过加强数字基础设施建设维护自身“数字主权”的历程与未来面临的挑战。

西蒙娜·奥蒂利亚诺（Simona Autolitano）和艾格尼丝·波洛夫斯卡（Agnieszka Pawlowska）认为，GAIA-X计划的发展历程可分为三个阶段：第一阶段是2015-2018年间的“觉悟阶段”。无论是欧盟的不同成员国还是欧盟整体，都开始意识到自身对国外数据服务提供商的过度依赖，从而开始追求巩固自身数字主权。第二阶段是2019年以后，德国和法国正式倡议发起GAIA-X计划，旨在建设代表欧盟利益的数据基础设施，以利于欧盟内部数据保护和数据流通。2020年以后，GAIA-X开启了第三阶段，从德、法之间的双边合作框架扩展至欧盟范围内多个成员国家间的多边框架。欧盟委员会同意向GAIA-X投资20亿欧元。GAIA基金会也于同期成立。截至目前，已有27个欧盟国家和超过300家机构加入该项目。

西蒙娜·奥蒂利亚诺（Simona Autolitano）和艾格尼丝·波洛夫斯卡（Agnieszka Pawlowska）回顾了法国和德国建立“主权云”的努力。2009年末，法国提出“仙女座”计划（Andromède）以组建一个公私合作的大型云数据中心，但该项目因为运营商之间的分歧而失败。2013年法国政府提出“新法国工业计划”（ Nouvelle France industrielle），聚焦云计算领域的安全问题，与既有云计算企业展开合作。

德国则在2011年提出了“联邦云”计划（Bundescloud），尝试建立一个由联邦政府控制的核心云平台。联邦经济事务和能源部还启动了“可信云”（ Competence Network Trusted Cloud ，CNTC）项目。弗劳恩霍夫协会（Fraunhofer Gesellschaft）于2016年发起“国际数据空间计划” (International Data Space , IDS)，以“使来自不同行业和各种规模的公司能够自主管理他们的数据资产”为目标创建一个安全的数据空间。

2018 年，法国国家网络安全局(ANSSI)和德国联邦信息安全办公室(BSI)开展合作，最终形成GAIA-X计划，并进一步明确云计算的主权和安全需求及“主权云”的重要战略意义。

西蒙娜·奥蒂利亚诺（Simona Autolitano）和艾格尼丝·波洛夫斯卡（Agnieszka Pawlowska）还进一步梳理了欧盟委员会构建欧洲主权云的持续努力。欧盟的第一代云战略试图建立一个“欧洲超级云”（European Super Cloud），为公共部门提供通用云计算服务和专门的硬件基础设施。它强调避免欧洲市场碎片化，并呼吁成员国相互协调合作，共同努力释放云计算的潜力。

2016年，欧盟委员会正式提出“欧洲云”概念。考虑到科学界的需要，欧盟决定建立一个“可信、虚拟、联合的环境”，通过具有高性能计算、高速连接和先进数据与软件服务的“欧洲开放科学云端”（ European Open Science Cloud），研究者们可以跨越国界和学科领域对数据进行利用、分析、储存和管理。以此为开端，欧盟委员尝试逐步将此举措扩大适用到其他部门和机构。

2020年7月，欧洲议会发布《欧洲的数字主权》报告，正式表态欧盟要减少在云基础设施和服务中对外国技术依赖，并重点加强欧洲数字技术能力和增加对托管、处理和使用数据的基础设施的投资。同时，欧盟决定与德国和法国的GAIA-X云计划合作推进上述目标。因此，欧盟27个成员国于2020年10月15日签署了谅解备忘录，表示愿意共同努力，创建安全、高效、可互操作的云服务。

基于GAIA-X云计划的发展历程，西蒙娜·奥蒂利亚诺（Simona Autolitano）和艾格尼丝·波洛夫斯卡（Agnieszka Pawlowska）对这一计划的前景进行了评价。两位作者认为，GAIA-X是欧洲建立数字主权的重要一步。维护“欧洲价值”与“数据主权”是GAIA-X的首要目标，促进关键技术领域的创新也是GAIA-X的核心诉求。因此，GAIA-X将会遵循欧盟已有原则，不再建设一个新的“欧洲超级云”，而是与现有云服务提供商合作，通过保证透明度、安全性和隐私性来增加云服务的可信度。GAIA-X 的“股东参与”机制可视为公共和私营部门合作的成功案例，其开源性和开放度将获得更多用户认同。

与此同时，西蒙娜·奥蒂利亚诺（Simona Autolitano）和艾格尼丝·波洛夫斯卡（Agnieszka Pawlowska）提出，欧盟追求数字主权还面临以下挑战：

第一，GAIA-X作为一个开放系统，任何数据提供者都可以参与。这意味着亚马逊、谷歌等云服务公司也能加入 GAIA-X，从而成为欧盟重要数据基础设施的成员。虽然已经有相关规则限制非欧盟公司在GAIA-X基金会内的影响力，例如，它们不能担任董事会成员且没有投票权，但其实际效果仍有待考察。鉴于GAIA-X的首要目标是减少欧盟对外国的技术依赖和促进竞争，允许非欧盟公司参与其中可能会使欧洲数据经济的部分价值仍旧流向欧盟以外的国家。

第二，虽然GAIA-X试图取代欧洲既有的外国大型云服务提供商的地位，改变对外技术依赖的状况，但其开放的结构可能会阻碍这一目标实现。由于欧盟财政资源相对紧张，而GAIA-X又是一个高透明度的生态系统，因此需要避免与外国供应商在技术创新方面直接冲突或竞争。

第三， GAIA-X的相关规则将如何确保实施仍然是一个悬而未决的问题。例如，欧美双方目前还未就处理刑事案件过程中的数据搜集等事项达成协议，但根据美国相关法律规定，美国的云服务商有义务回应美国法院令其提供数据的要求，即使这些数据的存储地为欧洲。欧盟不仅要为GAIA-X移除类似的执行阻碍，还需要和GAIA-X基金会保持高度协同，以避免数字主权政策的碎片化。

综上所述，尽管GAIA-X的模式和规则符合欧盟追求“数字主权”的价值取向，但仍需要注意GAIA-X在可行性上的不足，并防范其模式的潜在风险。当今欧盟致力于隐私和数据保护标准的制定，注重透明度和可信度。但是，欧盟不能仅仅满足于通过强化监管来捍卫欧盟数字主权，还应加大对前沿技术的投资，加强自主创新，降低外部技术依赖，为保持欧洲强大实现生产力突破。