数据保护官沙龙1 技术主权视野下的欧盟数字化转型战略探析 技术主权视野下的欧盟数字化转型战略探析 洪延青、朱玲凤、张朝、谢晨曦2020 年 2 月份，欧盟委员会一口气发布了三份重要的数字战略文件，分别是塑造欧洲的数字未来（Shaping Europesdigital future）、人工智能白皮书（the White Paper on ArtificialIntelligence）和欧洲数据战略（European Data Strategy）。贯穿着三份战略文件的一个核心概念，用欧盟委员会主席乌尔苏拉 冯德莱恩自己的话来概括，就是欧盟必须重新夺回自己的“技术主权”（technological sovereignty）。一、三份数字战略文件出台的背景情况 可以从三条主线中认识三份文件的背景。首先，从欧盟内部发展方面的不足来看。2000 年，欧盟各成员国共同签署了雄心勃勃的里斯本战略(Lisbon Strategy)。战略的重要目标之一就是在十年时间内将欧盟建设成为“全世界最具竞争力和活力的知识经济体”（“the most competitive and dynamic knowledge-based economyin the world”）。但时至今日，根据世界银行数据显示，欧盟 2018年 GDP 总量超 20 万亿美元，占美国的 91%，也远超过占美国GDP66%的中国，是仅次于美国的世界第二大经济体。但欧盟在全球数据经济中的市场份额与其经济实力并不匹配，根据联合国发布的2019 年数字经济报告，中国与美国占全球 70 个最大数字平台市值的 90%，而欧洲在其中的份额仅为 4%。英国、法国、德国的初创企业，即便是最成功的，体量也远远不及中国和美国的初创企业。就拿最能代表科技发展水平的人工智能来说，世界范围内 85%的专利却来自于美国和中国。数据保护官沙龙 2 如此大的差距背后，一方面是投资方面的原因，如欧盟在 人工智能白皮书中坦承的：“欧洲在研究和创新领域的投资仅占世界上其他地区公共和私人投资的一小部分”；2016 年，欧洲在人工智能方面的投资约为 32 亿欧元，而北美和亚洲分别是 121亿欧元和 65 亿欧元。另一方面是因为成员国和欧洲各研究机构之间缺乏协调而未能形成合力。为此，人工智能白皮书 提出：“现在迫切需要建立更多欧洲 AI 研发中心的联合体和合作网络，集合他们的力量以提升卓越程度”，以及“欧洲需要一个集研发创新和高度专业的具有灯塔意义的研发中心，以整合上述力量，成为 AI 领域世界级的优秀标杆机构”等等。因此，这三份战略文件集中代表了欧盟在数据和人工智能时代提出了新的发展愿景在人工智能白皮书中是“成为数字经济及应用创新的全球领导者”；在 欧洲数据战略 中是“到2030 年，欧盟在全球数据经济中的市场份额（即在欧洲存储、处理和有效利用数据）至少与其经济实力相对应”。总的来说，欧盟希望自己在数字经济领域能成为与中、美比肩的第三极。三份文件的另外一个主线是欧洲正在重新学习“地缘政治”。2019 年底，在冯德莱恩在上任前就提出，她就提出要建立一个“地缘政治委员会”（“geopolitical Commission”），言下之意是欧盟委员会不能一直扮演技术官僚的角色，而应勇于作出政治决断，在全球地缘政治中为欧盟开辟空间、确立地位。欧盟新任外交与安全政策代表博雷尔也直言，欧盟必须从现在开始学会使用“权力的语言”（“learn to use the language of power”）。法国总统马克龙也一直警告，如果欧洲还不开始发挥战略性作用，那么欧洲将在地缘政治中“消失”。在不久前结束的慕尼黑安全会议上，所有主流媒体都清楚地看到了一个政治上更加觉醒的欧洲。如华盛顿邮报的报道：“在慕尼黑安全会议上，存在一个大西洋鸿沟：美国自吹自擂，欧洲深感不安”；华尔街日报的报道：“美欧分歧在安全会议上备受关注”；半岛电视台的报道：“慕尼黑会议彰显华盛顿与其欧洲盟友之间的深刻分歧”等等。会议的高潮出现在马克龙大胆rQoRrRnRmRtNmOqRpQuNoRbR8Q6MnPoOmOoOeRrRtQfQpPzQ8OoPpPNZsOsMuOqNsQ数据保护官沙龙 3 地提出了欧洲应建立自主的核威慑力量，而不应一直依靠北约和美国提供的核保护伞；这不仅意味着安全上欧洲希望逐步开始自给自足，更意味着欧洲将作为独立的地缘政治力量参与世界秩序的博弈和塑造。即便是非常谨慎的德国总理默克尔，早在 2017 年5月就特朗普当选美国总统和英国脱欧也表达过欧洲应当自主的观点：“我们完全依靠他人的时代已经到来”，“我们欧洲人必须将命运掌握在自己手中”。聚焦到科技领域，欧盟自主的诉求顺利成章地转化为：欧洲是否独立地具有对技术发展和运用的控制能力。还是以慕尼黑安全会议为例，2018 年的会议关注技术本身，例如人工智能将如何改变人类、5G支持的物联网世界会是怎样的等。但到了2020年，会议关于技术的争论更多的是关于控制技术的权力。此外，参会的欧洲学者直言：会议中就技术问题形成交锋的主要是中国人和美国人，没有给其他任何国家留下空间；例如关于后威斯特伐利亚时代的数字世界的讨论是在微软的布拉德史密斯和美国地缘政治评论家伊恩布雷默之间进行的；关于 AI 的辩论，是在美国AI 国家安全委员会主席、前谷歌首席执行官埃里克 施密特和中国傅莹大使之间展开；主持人爱沙尼亚总统卡尤莱德努力将欧洲的观点引入辩论，但都无法消除欧洲是一个旁观者的观感。三份文件的第三个背景是除冯德莱恩之外的欧盟委员会高级官员，他们同样迫切地想把欧洲打造成媲美中国和美国的科技中心。首先，被誉为“反垄断女沙皇”的维斯塔格，成功当选欧盟委员会副主席并连任竞争事务专员。在上一任期中，维斯塔格发起并主导针对包括谷歌、苹果、脸书与亚马逊在内的美国科技巨头的反垄断调查。单单谷歌一家，在她手上交出的罚款超过 80亿欧元。在酝酿欧盟委员会主席人选时，维斯塔格“硅谷最可怕的敌人”的理念和作风曾被马克龙看中；马克龙认为她既能持续用反垄断工具削减和抵御美国互联网巨头在欧洲企业的“垄断性存在”，又愿意推行“数字税”将美国巨头“攫取”的欧洲红利留在欧洲，并进而为欧洲企业崛起创造空间。出任新职位的维斯塔格目前最重要的职责是推进“与数字时代匹配的欧洲”（a Europe Fit for the Digital Age）的建设。据欧洲媒体披露，人工智能白数据保护官沙龙 4 皮书的实际操刀人就是维斯塔格。欧洲数据战略 的实际主导人则是另外一位由马克龙提名的法国前经济部长蒂埃里布雷顿。布雷顿现任欧盟内部市场专员，分管数字经济、产业政策和防务产业的。他在出任新职位前后，提出了一系列的保护性的政策主张，最具代表性的莫过于他认为“欧盟的数据就应当留在欧盟境内”。同时，布雷顿的职责还包括引领欧盟反思核心供应链中的技术主权，自然他就认为欧盟应当用工业政策来孵化和培训欧盟中的冠军企业。而恰好留住数据，用好数据就是欧盟企业成功的关键。就是此外，布雷顿还负责打击虚假信息和针对互联网巨头的 数字服务法案（Digital Services Act），用他的原话就是：我确信这些帝国将来不可能好日子依旧（my conviction is that these empires will not be able to satay as they are），他们攫取了太多的价值（they capture too much value）。二、“技术主权”的内涵 创新发展的突出诉求加上地缘政治的逐渐觉醒，在主导官员的强力推行之下，不难理解欧洲会提出“技术主权”这个概念背后的原因。现在，让我们一起理解这个概念本身的内涵。在欧盟三份战略文件发布之际，冯德莱恩在众多欧洲媒体上发表了一篇观点文章，讲述了其作为战略提出者的主要思考和愿景。在文章结尾，她写道：“我用技术主权一词来概括我上述提出的所有内容。这个概念描述了欧洲必须具有的能力，即必须根据自己的价值观并遵守自己的规则来做出自己的选择。”如果这个表述还稍显宽泛的话，让我们再看看三份战略文件中的表述。在塑造欧洲的数字未来中：“欧洲的技术主权的出发点，是确保我们的数据基础设施、网络和通信的完整性和恢复力。这就需要创造正确的条件，让欧洲去发展部署自己的关键能力，从而减少欧洲对全球其它地区关键技术的依赖。这些关键能力将能够加强欧洲在数字时代定义自身规则和价值观的能力。欧洲的技术主权数据保护官沙龙 5 并不针对任何人，而是通过关注欧洲人民和欧洲社会模式的需求而确定的。欧盟将对那些愿意遵守欧盟规则并符合欧盟标准的人继续保持开放”。在欧洲数据战略中：“欧洲数据空间的运转将取决于欧盟对于下一代技术和基础设施以及数字能力（如数据素养）的投资上。这种投资反过来也会增强欧盟在数据经济上关键的技术和基础设施的技术主权”。以及 欧盟委员会将利用其组织召集能力和欧盟的资助计划来强化欧洲对数据敏捷经济的技术主权。这将通过关于如何处理个人数据（尤其是匿名）以及构建用于数据处理的下一代基础设施的标准制定、工具开发、最佳实践收集来完成。在人工智能白皮书中：利用欧盟在下一代技术和基础设施方面的投资能力，以及在数据素养等数字能力方面的投资能力，将增强欧洲在数据经济的关键技术和基础设施方面的技术主权。基础设施建设应该支持创建欧洲数据池来完善人工智能的可靠性，例如基于欧洲价值观和法规的人工智能。细细评味上述表述，可以发现欧盟的技术主权概念实际上在三个层面上展开基础设施和工具、标准和法律规则，以及包价值观和社会模式。欧盟希望在这三个方面都能够实现“我的地盘我做主”。或者说通过对这三个方面实现最大程度的规制自主（regulatory autonomy）来实现“数字欧洲应该反映出欧洲最好的属性：开放、公平、多样化、民主和自信”这样的目标。在基础设施和工具方面，欧洲数据战略提出发展自己的云服务产业。欧洲数据战略认为：欧盟经济的数字化转型取决于安全、节能、负担得起的高质量数据处理能力，包括在数据中心和边缘设备上的能力。目前，欧盟的云提供商在云市场中只占很小的份额，这使得欧盟高度依赖外部供应商，易受外部数据威胁的影响，并可能丧失欧洲数字产业在数据处理市场上的投资数据保护官沙龙 6 潜力，因此，欧盟需要减少在数字经济战略基础设施中对外的技术依赖。建立优秀的标准和法律规则一直是欧盟的强项。三份战略文件中多处提到了通用数据保护条例（GDPR）在统一数据保护规则、推进数字单一市场方面的巨大作用。在 GDPR 成功经验的基础上，无论是欧洲数据战略还是人工智能白皮书，都进一步提出了明确的立法计划。例如旨在激励各方数据共享的数据法案（the Data Act）；以及针对科技巨头收集、使用、共享数据中限制创新和竞争问题的数字服务法案等。在价值观和社会模式这个层面，欧盟不仅希望继续通过其建立的基本人权（如数据保护、隐私和不得歧视）体系、消费者保护、产品安全和责任规则等法律框架，持续监管包括数据处理和人工智能等在内的技术发展和应用，其还在人工智能白皮书进一步提出通过新的监管框架来增强人们对人工智能的信任。总的来说，欧洲人认为自己的经济和社会模式社会资本主义模式（social capitalism）与中国模式和美国模式有本质不同。如果主要依赖于源自于中国和美国的技术，这些技术（特别是人工智能）不可避免蕴含中国和美国的经济和社会成分，甚至于价值观，势必会对欧洲模式产生威胁或破坏。包括冯德莱恩在内的欧盟领导人已经达成共识：欧洲的数字化转型，“无论是从设计上来说，还是从本质上来说，都应当是欧洲式的”根据塑造欧洲的数字未来，在接下来的五年中，欧盟委员会将重点关注三个关键目标，以确保解决方案能够帮助欧洲以自己的方式进行数字化转型：一是服务于人的技术：开发、部署和采用真正改变人们日常生活的技术。一个强大且有竞争力的经济体，以符合欧洲价值观的方式掌握和塑造技术。二是公平竞争的经济：建立无摩擦的单一市场，任何规模和领域的企业都可以平等竞争，可以大量开发、营销和使用数字技术、产品和服务以提升其生产力和全球竞争力，并数据保护官沙龙 7 且让消费者可以放心自己的权利是被尊重的。三是开放、民主和可持续的社会：建设值得信赖的环境，允许公民们自由行动和互动，保障公民对其提供的数据（无论线上还是线下）的权利。总之，欧洲式的数字化转型，能够增强欧洲的民主价值观，尊重欧洲人民的基本权利，并有利于实现可持续发展、气候中立和资源节约型经济。由此可见，“技术主权”的提出，在于确保欧盟对技术的研发、部署、应用（分别对应于前文提出的基础设施和工具、标准和法律规则，以及包价值观和社会模式这三个层面）具备完整、自主的控制力，最终实现欧洲式的数字化转型。而无论是欧洲数据战略还是人工智能白皮书都是落实“技术主权”的具体表达，以及实现欧洲式数字化转型的具体步骤。三、人工智能白皮书内容解析 从 2018 年开始，欧盟委员会就开始对人工智能应用及监管开始发力，其中标志性的事件为：2018 年 3 月 27 日欧洲政治战略中心发布人工智能时代：以人为本的欧洲战略，强调欧盟对人工智能发展现状、所产生的问题并据此提出欧盟的解决路径在于实现以人为本；2018 年 4 月欧盟委员会发布人工智能合作宣言旨在加强欧盟各国在人工智能领域的技术研发、道德规范制定以及投资规划方面的合作，形成协同合作效应；2018 年 12月欧盟发布欧盟及各成员国的人工智能协调计划，在增加投资、提供更多数据、培养人才和确保信任四个方面发力；2019 年4 月欧盟委员会发布终版 可信赖人工智能指南，进一步诠释以人为本并增加可信赖，以促进社会不断接受人工智能技术并进一步拓展其应用。新一届的欧盟委员会上任后，显然也得有所作为，特别是冯德莱恩曾经承诺上任 100 天内拿出人工智能的立法文本。在文本难产的情况下，人工智能白皮书：通向卓越和信任的欧洲路径就承担起冯德莱恩推动欧盟数字化转型战略中最重要的文件之一。白皮书除了延续此前的以人为本、促进可信任 AI 以及强调数据保护官沙龙 8 各成员国协同合作外，更显著的主线正是“技术主权”。正如该白皮书的副标题所言，欧盟决心就人工智能探索出一条所谓的基于欧洲价值观的“欧洲道路”；而且白皮书非常直接地强调利用欧盟在工业和专业市场的优势，加大投资以及构建卓越生态系统来提升和保障欧盟的话语权，进而将此“欧洲道路”传播到全世界，实现其自身全球性的领导地位。人工智能白皮书开宗明义提出：“欧盟委员会支持以监管和投资为导向，以促进人工智能的应用和解决应用这项新技术时所带来的风险为目标。本白皮书的目的是就如何实现上述目标提出政策选择”。该白皮书的核心内容是“卓越的生态系统”（对应“投资”）和“信任的生态系统”（对应“监管”）。其中前者侧重从生态的角度实现在欧盟自身的人工智能发展以及核心竞争力的建立，后者侧重从监管的角度实现可信任的监管框架。同时，“卓越的生态系统”和“信任的生态系统”也构成相辅相成的关系：欧盟自身在人工智能的发展是为了将基于欧洲价值观和规则所建立的人工智能解决路径推广到全世界；而建立可信任框架，是实现以人为本的欧盟价值观的体现，也是解决人们对人工智能的顾虑以及企业对于法律不确定性的望而却步的障碍，进而促进人工智能的实施。具体而言，“卓越的生态系统”包括如下几项具体举措：第一，对人工智能领域的投资力量的汇聚。将根据白皮书修订意见进一步修改 人工智能协调计划，可能会提升或强化各方面的投资，以欧盟整体汇聚起任何一个成员国所不能具备的投资能力。第二，对人工智能人才的汇聚及培养。在欧洲建立一个集研发创新和高度专业的具有灯塔意义的研发中心，以整合欧盟各国分散的研发力量，成为人工智能领域世界级的优秀标杆机构，也将吸引该领域最优质的人才以及获得大量投资。第三，促进人工智能的落地实施。包括：首先，普通民众使用人工智能的技能提升，将人工智能作为工作技能的一部分，使所有人都可以得益于人工智能；其次，中小企业可以接触并使用数据保护官沙龙 9 人工智能技术，为此需要强化“数字化创新中心”和“人工智能按需平台”的作用；再次，建立更广泛基础的公私机构关系，保证私有机构能全面参与到研发和创新日程的制定，并获得必要的共同投资。最后，如公共管理部门、交通服务部门等大范围落实人工智能产品和服务。第四，数据访问能力以及计算基础设施保障。数据是人工智能发展中非常重要的一部分，没有数据就没有人工智能的发展。推动尽责数据管理实践以及遵守数据公平原则将有助于建立信任机制，并且可确保数据的再利用性。针对计算基础设施保障，委员会已经根据“数字欧洲计划”提出超过 40 亿欧元的资金投入以优先支持高性能技术及量子计算，包括边缘计算和人工智能、数据化和云技术基础设施的发展。第五，在遵从欧盟价值观和规则前提下的国际间的合作。欧盟保持持续与各国开放合作的态度，但是前提是认同欧盟的价值观和规则，此也是技术主权的体现。“信任的生态系统”实则是欧盟的监管框架，因为消费者和商家之间建立信任是人工智能实施的重要前提之一。在此部分，白皮书探讨了人工智能带来的风险主要在于对基本人权和安全规则的损害，以及人工智能的不透明性等导致责任制度难以适用。欧盟认为，在基本人权和消费者保护以及特定行业法律的规定仍可适用于人工智能的场景，但需予以补充规定，以增强法律的确定性。在安全规则和责任机制的落实方面，该白皮书附随 关于人工智能、物联网和机器人技术对安全和责任的影响报告，论证了因人工智能的某些特性，导致安全定义需要拓展，而且需调整责任方和证明责任等，比如人工智能具有自我更新和发展的特性，则产品投入使用后也将进行安全风险评估。信任生态系统以“风险导向”为监管框架，实现了创新发展与立法监管的平衡。仅针对高风险行业所实施的高风险行为以及识别出的高风险行为，如使用人工智能技术进行远程生物识别及其他侵扰性质的监控技术，需要符合强制性要求。数据保护官沙龙 10 强制性要求具体包括：第一，训练数据应当保证采取必要的措施来确保对欧盟的价值观和规则的尊重，避免训练数据集本身具有歧视性的问题；第二，针对训练数据集的筛选规则、数据集（具有一定正当目的时）以及算法等应当准确记录并在一定时间内保存，以保证人工智能运行的可回溯且可查验；第三，提供必要的信息以保证透明性，解决人工智能的黑匣子风险；第四，保证人工智能技术的鲁棒性和精确性，即应以负责任的方式进行开发，且应对系统可能产生的风险有前瞻性和恰当的考量，进而采取合理措施最小化所产生的风险；第五，为实现以人为本、合乎伦理、可信任的目标，应当包含人类的监督；第六，远程使用生物识别技术应当遵守 GDPR 等特定规定。另，针对非高风险行业或非特定高风险行为的，则其他企业也可以自愿适用上述强制性要求，作为提升消费者信任的方式，满足该要求后可获得相应的标签。四、欧洲数据战略内容解析 据欧洲媒体披露，欧盟委员会决定撰写人工智能白皮书后，前文提到的欧盟内部市场专员布雷顿随即向冯德莱恩建议，人工智能的卓越依赖于数据，没有数据战略的人工智能愿景，一定是不现实的。正如欧洲数据战略所言：欧盟可以成为一个数据为企业和公共行业赋能而做出更好决策的社会的典范。为实现这个宏伟目标，可以加强在数据保护、基本权利、安全和网络安全方面的法律框架及其在各种产业和规模上都具备有竞争力的公司的内部市场。如果欧盟要在数据经济中取得领导地位，只有立即采取行动并以协同一致的方式应对从数据的连通到处理和存储，算力和网络安全在内的各种问题。此外，欧盟也要改善数据处理的治理结构以增加可使用和重复使用的高质量数据池。在这个背景下，欧洲数据战略的目标和定位非常明确和实用主义即建立“单一欧洲数据空间”（a single European data space）。在这个空间中：数据保护官沙龙 11 通用的欧洲规则和高效的执法机制应可确保：-数据可以在欧盟内跨行业流动-欧洲的规则和价值观，特别是个人数据保护、消费者保护法规和竞争法得到充分遵守-获取和使用数据的规则是公平、可行和明确的，并且有明确和值得信赖的数据治理机制；有基于欧洲价值观的开放而坚定自信的方法面对国际数据流动。在此，欧洲数据战略同样沿袭了“技术主权”的理念，即欧洲的数据空间与中国和美国的数据空间相比，应当有本质不同：在美国，数据空间组织留给了私人部门，具有巨大的集中效应。中国则结合了政府监管与科技巨头公司对海量数据的强大控制，但缺乏对个人的充分保护。为了释放欧洲的潜力，我们必须找到欧洲道路，平衡数据的流动和广泛应用，同时保持高度的隐私、安保、安全和道德标准。如何实现上述愿景？首先，欧盟认为自己有巨大的潜力尚未挖掘。如果说中、美都是在面向消费者（2C）方面积累了大量的数据的话，欧洲数据战略认为：“未来大部分数据将来自于工业和专业应用、公众关注的领域或日常生活中的物联网应用等领域，在这些领域欧盟实力强大”“这些趋势表明今天的赢家未必是明天的赢家。但是此时此刻决定了接下来数十年数据经济方面的竞争力来源”。其次，欧盟也非常清楚自己目前的短板。虽然目前欧盟已采取了许多步骤，例如“通过通用数据保护条例（GDPR），欧盟为数字信任创建了坚实的框架。并且即将对 GDPR 进行的评估会进一步就此提供更多有用的要素。其它积极促进数据经济发展的举措还有 关于非个人数据自由流动条例、网络安全法案数据保护官沙龙 12 以及开放数据指令”，但欧洲数据战略提出：欧洲必须解决数据可获得性、数据市场公平性、数据互操作性和质量、数据治理、数据基础架构和技术、数据的个人控制权、数据人才技能与素养、网络安全等问题。具体来说，欧洲数据战略强调了欧盟将在以下四个领域采取关键政策和做法：第一、针对数据访问及使用构建跨部门治理框架，从而促进充满活力的数据生态系统发展；第二、加大私人及公共领域的数据投资，增强欧洲在数据储存、处理、利用和互操作性方面的能力与基础设施；第三、赋予个人数据行使权，加强个人数据技能培养及增强中小企业的数据创新能力；第四、推动欧洲战略部门及公共利益领域的公共数据空间发展。进一步，欧盟提出在“单一欧洲数据空间”建立中，率先建立九个领域的欧洲公共数据空间。他们分别是欧洲工业（制造业）公共数据空间、欧洲绿色协议公共数据空间、欧洲出行数据公共空间、欧洲健康数据公共空间、欧洲金融数据公共空间、欧洲能源数据公共空间、欧洲农业数据公共空间、欧洲公共管理数据公共空间、欧洲技能数据公共空间。最后，欧盟委员会再次强调将通过创新的统一规则和高效的执法确保将欧洲数据价值观的实现，特别是确保个人权利得到保护，竞争法得到充分遵守。“数据处理的欧洲模式将在确保越来越多数据可解决社会问题和用于经济发展的同时，始终尊重并强化欧洲的共同价值观”。五、总结 人工智能是一项战略技术，欧盟委员会此次提出的促进发展和合理监管的人工智能白皮书，具有欧洲严谨风格，并且强化技术主权的特色。对于有意向进入欧盟市场的人工智能行业的企业需要进一步关注该白皮书在公众征求意见稿后的变化以及后续相关立法的出台，以调整企业的发展策略。欧洲数据战略 分析了全球的数据经济竞争格局及欧盟优势、劣势及核心问题，总结了欧盟为提高数据经济竞争力已经采数据保护官沙龙 13 取的立法和外交举措，并概述了欧洲未来五年为提振数据经济竞争力将采取的政策、技术和投资策略，以最大化利用数据为欧洲数字化转型提供源源不断的发展和创新动力。而统领上述两份文件的塑造欧洲的数字未来，则整体性地勾勒出欧盟数字化转型战略的核心要素和路线图。纵观这三份文件，“技术主权”贯穿其中。虽然具体的立法文本尚未出台，但欧洲版的“自主可控”和“自力更生”已经跃然纸上。在这样的理念指引下，无论欧盟数字经济产业最终发展如何，都可以预期一个在监管上更加“显露肌肉”的欧洲。美国并不必然能够强迫欧洲在数字经济关键问题上（例如 5G）完全向其靠拢，中国也就相应获得了更多的腾挪空间。在美国执意和中国进行所谓的技术脱钩的态势下，兴许更加独立的欧洲是个利好。未来的数字经济会是三足鼎立吗？让我们拭目以待。数据保护官沙龙 1 数据保护官沙龙（DPO Salon）公益出品 塑造欧洲的数字未来 中译文中译文 翻译：（姓氏音序排名）井大笑 周家玮 审校：刘畅 2020 年 3 月 署名-非商业性使用-禁止演绎 2.5 中国大陆 数据保护官沙龙 2 塑造欧洲的数字未来 1.简介简介 数字技术正在深刻改变我们的日常生活、工作方式、商业活动以及人们旅行、沟通和互动的方式。数字通讯、社交媒体、电子商务和数字企业正在稳步发展并逐步改变我们的世界。他们正在生成越来越多的数据，这些数据如果能够被整合并利用，将会带来全新的价值创造方式和更高的价值创造水平。这是一场与工业革命同样根本的变革。欧盟委员会主席冯德莱恩（von der Leyen）在其政治指导方针中强调，欧洲需要在向健康的地球和全新的数字世界的转型过程中发挥领导作用。应对绿色和数字化转型的双重挑战必须齐头并进。正如欧洲绿色协议（European Green Deal）之规定，这场变革需要寻求资源利用效率更高、可循环且气候中立的可持续性解决方案。这场变革需要让任何地方的每位公民、员工、企业家都有公平的机会从日益数字化的社会中获得收益。通信系统、人工智能或量子技术等数字化解决方案，将通过多种方式丰富我们的生活。但是数字化带来的好处并不是没有任何技术风险和成本的。公民们愈发觉得正在失去对个人数据的控制权，铺天盖地的数字化产品也让他们逐渐不堪应付。任何网络恶意攻击都可能威胁我们的个人福祉、破坏关键基础设施甚至威胁到更广泛的安全利益。这种实质性的社会变革要求在社会各阶层进行深刻的反思，比如欧洲如何最好地应对并继续应对这些风险和挑战。这场变革需要付出巨大的努力，但是欧洲毫无疑问能够将更美好的数字化未来带给每个人。2.愿景和目标愿景和目标 欧盟委员会希望有一个以强大数字化解决方案为动力的欧洲社会，该数字化解决方案应是植根于欧盟共同价值观，并丰富欧盟所数据保护官沙龙 3 有人生活的：无论年龄，性别或专业背景，人人都必须有机会追求个人发展、自由且安全地进行选择选择、以及参与社会事务。企业需要一个允许他们创业、扩张、汇集和利用数据以进行创新、公平竞争或合作的政策框架。欧洲也需要拥有选择权，来用它自己的方式推进数字化转型。欧洲的技术主权的出发点，是确保我们的数据基础设施、网络和通信的完整性和恢复力。这就需要创造正确的条件，让欧洲去发展部署自己的关键能力，从而减少欧洲对全球其它地区关键技术的依赖。这些关键能力将能够加强欧洲在数字时代定义自身规则和价值观的能力。欧洲的技术主权并不针对任何人，而是通过关注欧洲人民和欧洲社会模式的需求而确定的。欧盟将对那些愿意遵守欧盟规则并符合欧盟标准的人继续保持开放。应当赋权给公民，让他们基于非个人数据相关经验做出更好的决策。而且这些数据应该对所有人开放无论是在公共部门还是私营部门，无论大还是小，无论是初创公司还是巨型企业。这将帮助我们整个社会最大程度地利用创新和竞争，并确保我们所有人都受益于数字红利。这样的数字欧洲应该反映出欧洲最好的属性：开放、公平、多样化、民主和自信。在接下来的五年中，欧盟委员会将重点关注三个关键目标，以确保解决方案能够帮助欧洲以自己的方式进行数字化转型，从而为尊重我们价值观的人民谋福利。这也将使欧洲在全球数字化转型的讨论中处于引领地位。服务于人的技术服务于人的技术：开发、部署和采用真正改变人们日常生活的技术。一个强大且有竞争力的经济体，以符合欧洲价值观的方式掌握和塑造技术。公平竞争的经济：公平竞争的经济：无摩擦的单一市场，任何规模和领域的企业都可以平等竞争，可以大量开发、营销和使用数字技术、产品和服务以提升其生产力和全球竞争力，并且让消费者可以放心自己的权利是被尊重的。开放、民主和可持续的社会开放、民主和可持续的社会：值得信赖的环境，允许公民们自由行动和互动，保障公民对其提供的数据（无论线上还是线下）的权利。欧洲数字化转型的方式，能够增强欧洲的民主价值观，尊数据保护官沙龙 4 重欧洲人民的基本权利，并有利于实现可持续发展、气候中立和资源节约型经济。为了让欧洲真正影响数字化解决方案在全球范围内开发和使用的方式，它本身必须成为一个强大、独立且目的明确的数字参与者。为了实现这一目标，就需要一个清晰的框架，来促进人和商业都需要的可信赖的、数字化的跨社会互动。如果缺少了对可信赖的关注，数字化转型的关键过程将无法成功。创建适合数字时代的欧洲政策是一幅复杂的拼图，其中包含许多相互联系的碎片。就像任何拼图一样，如果不将所有碎片拼在一起，就无法看到整幅图像。以下各节将描述欧盟委员会打算如何完成这幅拼图，并将这一愿景变为现实。A.服务于人的技术服务于人的技术 欧洲在技术和创造力方面拥有悠久而成功的历史。欧洲在欧盟与其成员国之间共同行动并共同努力时是最强大的；让各个区、市，学术界、民间社会、金融机构、企业和社会事业都参与进来。欧洲需要汇集投资搞研究、搞创新，分享经验，并推动国家间的合数据保护官沙龙 5 作。近期达成的在超级计算机、微电子等领域开展合作的协议表明，这种协作可能是非常有效的。接下来还会出现新一波创新技术关键领域的类似合作倡议。促进整个欧洲公共行政机构的数字化转型也属于这一关键领域范围。欧洲必须加大对战略能力的投资，使我们能够开发和大规模使用数字技术解决方案，并努力实现关键数字基础设施的互操作性，例如广泛的 5G（以及未来的 6G）网络和深度技术1。仅举一个例子：连通性（connectivity）是数字化转型的最基本要素。它使数据能够流动，使人们可以在任何地方进行协作，并使人们将更多对象接入互联网，它改变了制造、出行和物流链。基于安全光纤和 5G基础设施的千兆连接2，对于我们要挖掘欧洲的数字增长潜力至关重要。为此，有必要在欧盟、国家和地区各级进行足够的投资以实现欧盟 2025 年的连通性目标3。新的欧盟多年期财务框架（Multiannual Financial Framework）将有助于实现这些目标。目的是通过有针对性的筹资计划4，并利用好“投资欧盟”的托底作用以及结构性和农村发展基金5，在重要的领域实现更多和更好的战略能力。这些公共资金必须作为撬动私人投资的杠杆，因为只有联合私人投资才能弥补投资的缺口。资本市场联盟（Capital Markets Union）将为整个欧盟范围内的创新和高科技公司获取基于市场的融资提供便利。因此，我们需要确保有广泛的私人和公共股权（资金）可用于资助数字创新。欧洲需要在连通性、深度技术和人力资本以及智慧能源和交通基础设施方面进行投资。欧盟仅在数字基础设施和网络的投资缺口就达每年 650 亿欧元6。到 2030 年，实施改革并加大对研发和技术部署的投资可能会累计产生 14的额外 GDP 增长。迅速采取行动 1 超级计算，量子技术，区块链和安全的泛欧云功能。2 委员会通讯“竞争性数字单一市场的连通性-走向欧洲千兆社会”，COM/2016/0587 最终版本。3 这些目标要求所有欧洲的农村或城市家庭，至少要“100 Mbps，可升级到千兆速度”的互联网连接。这反映了委员会的期望，即随着十年的发展，家庭将越来越需要 1 Gbps。这符合委员会对网络容量需求呈指数增长的看法，也符合确保对网络的可持续投资的需求，这些网络能够提供对称（即上传和下载）千兆位速率，以满足 2025 年以后的欧洲数据经济需求。所有主要的社会经济 到 2025 年，最先进的驱动程序（例如学校，医院，企业）应该已经从千兆级连接中受益，其上载和下载速度同样快。4 数字欧洲计划（DEP），连通欧洲设施（CEF 2），地平线欧洲，太空计划。5 ERDF，EARDF。6 恢复欧洲竞争力，EIB2016。EIB 投资报告 2019/20，加速欧洲的转型，确认了支持基础设施数字化所需的大规模公共投资 数据保护官沙龙 6 （例如在 2022 年而不是 2025 年之前就加大投资和采取措施）将使GDP 额外增加 3.2，并在 2030 年之前创造更多的就业机会7。这是欧洲不能错过的推动社会经济发展的机会。但是，投资创新只是问题的一部分。真正的数字化转型必须从欧洲公民和企业开始，必须让他们相信其应用程序和产品是安全的。我们之间的联通程度越高，越容易受到恶意网络活动的攻击。为了应对这一日益严重的威胁，我们需要在每个阶段共同努力：为公司设定一致的规则和更强有力的主动信息共享机制；确保成员国之间、及欧盟与成员国之间的运营合作；建立民用网络恢复力、网络安全执法和防御之间的协同作用88；通过开发打击网络犯罪分子的新工具来来确保执法和司法当局可以有效地工作；最后同样重要的一点是，提高欧盟公民的网络安全意识9。安全感不仅仅是网络安全的问题。公民需要能够信任技术本身及其使用方式。当涉及到人工智能时这一点显得尤为重要。在这方面，欧盟委员会将发布一份基于欧洲价值观在人工智能领域创建卓越和信任生态系统的白皮书。提高教育水平和技能是欧洲数字化转型总体愿景的关键部分。欧洲公司需要精通数字技术的员工才能在全球技术驱动的市场中蓬勃发展。反过来，职员们需要数字能力才能在日益数字化和快速变化的劳动力市场中取得成功10。更多的女性可以而且必须在科技领域获得职业发展，同样欧洲的科技也需要从女性的技能和能力中受益。但是，对数字技能的需求不仅限于就业市场。随着数字技术渗透到我们的职业和私人生活中，至少具备基本的数字素养和技能已成为有效参与当今社会事务的前提。随着更多流程的自动化，数字化将带来技术领域以外的变化。许多职业将被完全改变。数字化转型必须公平公正并鼓励女性充分 7 塑造数字化转型，麦肯锡全球研究所欧盟委员会进行的研究（将于 2020 年第二季度发布）。8 最近发布的欧盟 5G 安全工具箱构成了一个重要的里程碑，因为它为欧盟协调一致的 5G 网络保护方法采取了一套健全而全面的措施。9 增强信息安全将为建立一个真正有效的安全联盟做出重要贡献。10 超过 90的工作已经至少需要基本的数字技能，但是 43的欧洲公民和三分之一以上的欧盟劳动力缺乏这些技能。数据保护官沙龙 7 参与。社会伙伴在其中起着至关重要的作用。同时，促进创新和技术普及是 提高生活质量、就业机会和弥合现有参与差距的先决条件，特别是在人口老龄化和人口下降的农村和偏远地区。在工作条件方面也出现了新的挑战。越来越多的在线平台为人们创造收入、进入或留在劳动力市场创造了新的机会。同时，它引发了新的问题，即如何为那些本身并不具备工人身份但也承受与工人类似风险的人提供法律保护。因此，欧盟委员会将为通过在线平台工作的人员提出一个完善的框架。关键行动-人工智能白皮书，为可信赖人工智能的立法框架设定可选方案（与本文一并通过），并对安全性、责任、基本权利和数据进行跟进（2020 年第四季度）。-构建和部署尖端的联合数字能力，在人工智能、网络、超级计算、量子计算、量子通信和区块链领域。欧洲量子和区块链战略（2020 年第二季度）以及修订后的关于超级计算的 EuroHPC（欧洲高性能计算）法规11。-加快对欧洲千兆连接的投资，通过修订宽带成本降低指令12，更新版5G 和 6G 行动计划，新的无线电频谱政策计划（2021）。将会部署用于车联网和自动出行的 5G 走廊，包括铁路运输走廊（2021-2030）（2021-2023）。-欧洲网络安全战略，包括建立联合网络安全部门，对网络和信息系统（NIS）指令进行安全性审查13和推动网络安全的单一市场。-数字教育行动计划，旨在提高各教育阶段的数字素养和能力教育（2020 年第二季度）。11 2018 年 9 月 28 日，2018/1488（EU）理事会条例。12 2014 年 5 月 15 日，2014/61/EU 欧洲议会和理事会的指令。13 2016 年 7 月 6 日，2016/1148（EU）欧洲议会和理事会指令。数据保护官沙龙 8 -巩固技能发展计划以增强整个社会的数字技能，并巩固“青年保证”计划，更加关注职业过渡初期的数字技能（2020 年第二季度）。-改善“平台工人”劳动条件的倡议（2021 年）。-强化的欧盟政府互操作性策略，以确保通过协作和通用标准促进公共部门数据流动和服务安全无边界。（2021 年）B.公平、竞争性经济公平、竞争性经济 当今世界越来越“小”，技术的重要性日益增加，欧洲需要继续采取独立行动和决策，并减少对其它地方所创建的数字解决方案的过度依赖。为了开发许多产品和服务，数据需要广泛可用、容易获得、易于访问、易于使用和处理。数据已成为生产中的一项关键因素，其创造的价值也必须通过反馈给参与贡献数据的整个社会。这就是为什么我们需要建立一个真正的欧洲数据单一市场的原因一个基于欧洲规则和价值观的欧洲数据空间。许多欧洲公司，尤其是中小型企业，在采用数字化解决方案方面进展缓慢，并因此尚未从中受益，也错过了扩大规模的机会。欧盟委员会将寻求通过一项新的欧盟工业战略来解决这一问题，该战略将采取行动以促进欧盟工业向更加数字化、更清洁、可循环和具有全球竞争力的方向转型。该工业战略还将包括针对中小企业的战略，中小企业是欧洲经济的重要组成部分，但它们通常因缺乏可用技能，难以获得融资和市场机会而受阻。为了在欧洲起步并成长，中小企业需要一个无摩擦的单一市场，不因地方或国家法规的不同导致行政负担的增加而阻碍他们发展。中小企业需要清晰、相称的规则，在整个欧盟范围内得到有效统一的执行，从而为他们提供一个强大的本土市场，进而从这些市场进入世界舞台。在数字时代，确保为大大小小的企业提供公平竞争环境比以往任何时候都更重要。这表明，那些适用于线下的规则从竞争和单一市场规则、消费者保护，到知识产权、税收和工人权利，也应适数据保护官沙龙 9 用于线上。消费者要能够像信任其它产品和服务一样信任数字产品和服务。需要关注弱势消费者、保证安全法律被执行，这对来自第三国的商品也同样适用。一些平台已经取得了相当大的规模，几乎可以使它们充当市场、客户和信息的私人看门人。我们必须确保这些在线平台的体系性作用、它们所获得的市场力量，不会危及整个市场的公平性和开放性。特别针对欧盟竞争法，它的基础原则对数字产业和对传统产业是同样适用的。欧盟竞争法在欧洲效果很好，它推动形成了公平的竞争环境，让市场为顾客服务。同时，对于这个瞬息万变、越来越数字化也一定会越来越绿色的世界，欧洲竞争规则必须保持与其相适应。考虑到这一点，欧盟委员会目前正在反思现行规则适用方式的有效性，例如对于反垄断补救措施，同时也在对规则本身进行评估和审查，以确保它们能够应对当今的数字化和绿色挑战。有关横向和纵向协议的规则以及市场定义公告已经开始进行审查了，各种国家援助指南的“适合性”也正在被检查。欧洲数字化未来的关键问题包括数据访问、汇集和共享，以及在线商务和离线商务之间的平衡。对市场定义公告书的审查还将考虑新的数字业务模式，例如在用户提供数据前提下享受的“免费”服务，以及新的数字业务模式对竞争限制的影响。正在进行的对欧盟委员会 2014 年欧洲共同利益重要项目（IPCEI）通报的适用性检查，旨在评估是否有必要进行更新，进一步阐明 在何种条件下欧盟数字化和绿色未来的关键、战略性领域中由成员国主导的大型项目可以有效进行。欧盟委员会还计划开展行业调查，重点关注正在影响经济和社会的这些新兴市场。但是，仅靠竞争政策是无法解决平台经济中可能出现的所有系统性问题的。根据单一市场逻辑，可能需要其它规则来确保可竞争性、公平性、创新和进入市场的可能性，以及超越竞争或经济考虑的公共利益。确保数字经济中的公平性是一项重大挑战。在无边界的数字世界中，少数具有最大市场份额的公司获得了基于数据经济创造的价值的大部分利润。而由于企业所得税规则老旧，企业并不在这些利数据保护官沙龙 10 润产生的地方为其缴税，这就扭曲了竞争。因此，欧盟委员会将着力应对经济数字化带来的税收挑战。关键行动-欧洲数据战略，旨在使欧洲成为数据经济的全球领导者（2020 年 2月），公布数据治理（2020 年第 4 季度）和数据法案的立法框架（2021 年）。-持续评估和审查欧盟竞争规则在数字时代的适用性（2020-2023），并发起行业调查（2020）。-欧盟委员会将以数字服务法案为背景下进一步探讨事前规则，以确保那些存在具有强大网络效应的大型平台企业充当守门员的市场，对于创新者、企业和新市场进入者保持公平和可竞争。（2020年第 4 季）。-提议一项工业战略方案，提出一系列行动以促进向清洁、循环、数字化和具有全球竞争力的欧盟产业转型，包括中小企业和单一市场规则的强化。-创建一个框架以实现便捷、有竞争力的、安全的数字金融，包括对加密资产和金融领域数字化运营和网络恢复力的立法建议，以及一项关于欧盟综合支付市场的战略，该战略支持泛欧的数字支付服务和解决方案（2020 年第三季度）；-关于 21 世纪营业税的通告-充分考虑在经济合作和发展组织（OECD）范围内取得关于应对经济数字化导致的税收挑战的进展，以应对因。-制定新的消费者议程，使消费者能够了解情况，做出知情的选择并在数字化转型（2020 年第四季度）中发挥积极作用。C.一个开放、民主、可持续的社会一个开放、民主、可持续的社会 数据保护官沙龙 11 人们有权使用他们可信赖的技术。对于线下非法的活动，线上也必须定义为非法。我们虽无法预测数字技术的未来，但欧洲的价值观和道德准则以及社会和环境规范也必须适用于数字空间。近年来，欧洲通过通用数据保护条例制定标准、出台平台-企业合作规则，引领了互联网走向开放、公平、包容和以人为本的道路。为了保护欧洲民主国家和他们基础的价值观，欧盟委员会将继续制定并实施建立可信赖的数字化社会所必需的创新的、相称的规则。这样的数字化社会应该充分包容、公平且人人享有。在这个背景下至关重要的是，适用于整个欧盟数字服务的规则得到加强和现代化，并明确在线平台的角色和责任。线上销售非法、危险或假冒商品，散布非法内容，必须和线下同样高效处置。对线上空间的信任也意味着帮助消费者更好地控制并且对自己的数据和身份负责。关于透明度、行为和对那些充当信息和数据流守门人的问责，还需要更清晰的规则。人们还应该能够控制自己的在线身份，需要进行身份验证才能访问某些在线服务。消费者需要一个普遍接受的公共电子身份（eID）来访问他们的数据并安全地使用他们想要的产品和服务，而不必使用无关的产品和服务平台，或不必要地与他人共享个人数据。欧洲人也可以从使用数据改善公共和私人决策方面受益。现如今，公众辩论和政治广告已转移至网络传播，我们还必须准备采取行动来强有力地捍卫我们的民主国家。对于那些通过目标明确、协调有序的虚假信息宣传试图操纵信息空间的行为，我们的公民需要明确的答案。对于互联网上信息是如何共享和管理的，欧洲需要更大的透明度。值得信赖的优质媒体是民主以及文化多样性的关键。考虑到这些，欧盟委员会将出台欧洲民主行动计划以及一项专门针对媒体和视听领域的行动计划。数字发展也将成为实现欧洲绿色环保政策目标和可持续发展目标的关键。作为可持续发展转型的强大推动力，数字化解决方案可以促进循环经济、支持所有行业脱碳，并减少欧盟市场上产品的环境和社会足迹。例如，精准农业，运输和能源等关键行业要满足欧数据保护官沙龙 12 洲绿色协议设置的宏伟的可持续发展目标，可以从数字解决方案中得到极大的助力。数字解决方案，尤其是数据，能够实现高度集成的生命周期方法，从设计到获取能源、原材料和其他投放物，到最终产品，直至报废阶段。例如，通过追踪电力需求最大的时间和地点，我们可以提高能源效率并减少化石燃料的使用。而显而易见的是，ICT 行业也需要进行自己的绿色转型。该行业的环境足迹相当可观，大约占世界用电总量的 5-9及所有排放量的 2以上。数据中心和电信将需要提高能源效率，重复利用废弃能源并使用更多可再生能源。他们可以而且应该在 2030 年之前达到气候中性。ICT 设备的设计、购买、使用和回收方式也很重要。除了Ecodesign（欧盟耗能产品生态设计指令）的能源效率要求以外，ICT 设备必须实现完全循环设计，使其寿命更长，维护得当，包含可回收材料，易于拆卸和回收。数据的力量在卫生领域也至关重要。收集在欧洲健康数据空间的数字化健康记录不仅可以为肝癌和罕见疾病等重大慢性病带来更好的治疗，而且所有公民可以平等地获得高质量的医疗服务。关键行动关键行动-增加新的和修订的规则来深化数字服务内部市场，通过以下措施：增加和协调在线平台和信息服务提供商的责任，加强对欧盟内部平台内容政策的监督。（2020 年第 4 季度，作为数字服务法案计划的一部分）。-修订 eIDAS 法规以提高其有效性，使私有部门也能受益，并为所有欧洲人推广可信赖的数字身份（2020 年第四季度）-媒体和视听行动计划，来支持视听和媒体领域的数字化转型和竞争力，以推动优质内容普及和媒体多元化。（2020 年第四季度）数据保护官沙龙 13 -欧洲民主行动计划，以提高我们民主制度的恢复力，支持媒体多元化并应对欧洲选举外部干预的威胁。（2020 年第四季度）-目的地球，倡议开发地球的高精度数字化模型（一种“地球的数字孪生”），将改善欧洲的环境预测和危机管理能力（时间：从 2021年开始）。-一项循环电子计划，动员现有的和新型设备与即将到来的循环经济行动计划的可持续产品政策框架保持一致，以确保设备的耐用、维护、拆卸、重复使用和回收，包括维修或升级的权利，以延长电子装置的使用寿命，并避免过早淘汰（2021）。-一些倡议来实现气候中立、高效节能和可持续数据中心（不迟于2030 年），以及针对电信运营商环境足迹的透明措施。-推进“同一个欧洲”电子健康记录交换格式，使欧洲公民可以在欧盟范围内安全地访问和交换健康数据。欧洲的健康数据空间来提高对健康数据访问的安全度，允许有针对性的、更快速的研究、诊断和治疗（从 2022 年开始）。3.国际层面国际层面欧洲作为全球参与者欧洲作为全球参与者 事实证明，欧洲模式是世界上许多其他合作伙伴寻求解决政策挑战的灵感来源，在数字方面也应如此。从地缘政治角度讲，欧盟应利用其监管力量，加强工业和科技能力、外交实力和外部金融工具来推进欧洲方法并塑造全球互动。这包括在协会和贸易协定中已完成的工作，也包括在联合国，经合组织，国际标准化组织和二十国集团等国际组织框架下，在欧盟成员国的支持下达成的协定。在欧盟吸纳新成员、发展邻里关系、制定发展政策时更加注重数字化相关内容，将促进增长并推动可持续发展，包括在伙伴国家和地区采用绿色 ICT，这也与欧洲在可持续发展 2030 年议程中的承诺相一致。欧盟-非盟数字经济特别小组的意见将为非洲的数字化转型提供支持，包括建立一个单一的非洲数字市场，而欧盟新的多年期财务框架为该项目提供了可用资金。数据保护官沙龙 14 世界上许多国家都将自己的立法与欧盟的强大数据保护制度接轨。仿照这一成功案例，欧盟应积极推广其安全并开放的全球互联网模式。在标准方面，我们的贸易伙伴已经加入了欧盟主导的流程，该流程成功地确立了 5G 和物联网的全球标准。欧洲现在必须在新一代技术的采用和标准化方面取得领先，这些标准包括：区块链、超级计算、量子技术，允许数据共享和数据使用的算法和工具。关于贸易和投资，欧盟委员会将继续为欧洲公司解决在第三国家不合理的限制，如数据本地化要求。并在市场准入、尊重知识产权、研究与开发以及标准化计划等方面追求远大目标。目前我们正在同志同道合的、共享我们的价值观和高标准的伙伴国家进行对话，探讨建立可信赖的数据联盟，这些伙伴可以促进数据流动和可用的高质量数据池。只要在此经商的任何人接受并遵守我们的规则，欧洲联盟现在是并将继续是世界上最开放的贸易和投资区域。欧盟委员会将使用其所有可用的工具，以确保每个人都尊重欧盟立法和国际规则，以维持数字领域的公平竞争环境。在必要时它会提出新规则，例如正在进行的工作，即开发一种应对外国补贴在国内市场产生扭曲影响的法律工具。环球数字合作战略环球数字合作战略将提出数字化转型的“欧洲方案”，该方案基于我们长期以来在技术、创新和独特性方面的成功，秉承开放等欧洲价值观，并将其投射到国际舞台，并与我们的合作伙伴互动。它还将反映欧盟在非洲和其他地方关于在可持续发展目标方面做的工作“Digital4Development（数字为发展）”项目和能力建设。欧洲在应对信息空间操纵干扰方面处于领先地位，已经开发出了重要的方法和工具。它将继续与七国集团（G7）等国际伙伴紧密合作，寻求共同的方法来开发国际规范和标准。关键行动关键行动-全球数字合作战略（2021）。-针对外国补贴的工具的白皮书（2020 年第二季度）。数据保护官沙龙 15 -“数字为发展”中心，将建立和整合欧盟整体方案，推广欧盟价值观并动员欧盟成员国和欧盟工业、民间社会组织（CSO）、金融机构以及数字化专业知识和技术。-标准化策略，这将允许部署尊重欧洲规则的具有互操作性的技术，并在国际舞台推进欧洲方案和利益（2020 年第三季度）。-机会和行动计划相对照，以在双边关系和多边场合推动欧洲方案（2020 年第二季度）。4.结论结论 尽管数字技术是先进的，但它仅仅是一种工具。它们无法解决我们所有的问题。然而，它们却使上一代人无法想象的事情变得可能。欧洲数字战略是否成功，将取决于我们是否能够很好地运用这些工具来为欧洲公民提供公共物品。数据经济及其巨大的变革性潜力将影响我们所有人。欧洲已经准备好了充分利用数据经济的优势。然而要使数字转型完全成功，我们将需要创建正确的框架以确保技术值得信赖，并赋予企业信心、能力和方法去参与数字化。欧盟、欧盟成员国、各地区、民间团体和私营部门之间协同努力，是实现这一目标并增强欧洲数字领导地位的关键。欧洲能够驾驭这种数字化转型，并在科技发展方面制定全球标准。更重要的是，欧洲可以在确保包容和尊重每个人的同时做到这一点。数字化转型只有在为所有人服务而非仅为少数人所用情况下才算成功。这将是一个真正的欧洲项目一个基于欧洲价值观和欧洲规则的数字社会，给世界其他地区以启迪。数据保护官沙龙 1 数据保护官沙龙（DPO Salon）公益出品 欧洲数据战略 中译文中译文 翻译：（姓氏音序排名）何国锋 柳青 鲁艳 沈一萍 谢晨曦 衣强 曾海泉 张涵 张荣晖 审校：钱开耘 2020 年 3 月 署名-非商业性使用-禁止演绎 2.5 中国大陆 数据保护官沙龙 2 目 录 欧洲数据战略欧洲数据战略 .3 3 1.1.序言序言 .3 3 2.2.什么是紧要的？什么是紧要的？.4 4 3.3.愿景愿景 .6 6 4.4.问题问题 .8 8 5.5.战略战略 .1313 6.6.一项既开放又积极主动的跨境数据治理方案一项既开放又积极主动的跨境数据治理方案 .2525 7.7.结论结论 .2727 欧洲数据战略附录欧洲数据战略附录 .2828 战略行业及公共利益领域的欧洲公共数据空间战略行业及公共利益领域的欧洲公共数据空间 .2828 1 1欧洲工业（制造业）公共数据空间欧洲工业（制造业）公共数据空间 .2828 2 2欧洲绿色协议公共数据空间欧洲绿色协议公共数据空间 .2828 3 3欧洲出行公共数据空间欧洲出行公共数据空间 .3030 4.4.欧洲健康数据公共空间欧洲健康数据公共空间 .3232 5.5.欧洲金融数据公共空间欧洲金融数据公共空间 .3333 6.6.欧洲能源数据公共空间欧洲能源数据公共空间 .3434 7.7.欧洲农业数据公共空间欧洲农业数据公共空间 .3434 8.8.欧洲公共管理数据公共空间欧洲公共管理数据公共空间 .3535 9.9.欧洲技能数据公共空间欧洲技能数据公共空间 .3636 10.10.欧洲开放科学云欧洲开放科学云 .3636 数据保护官沙龙 3 欧洲数据战略 1.序言序言 过去几年来，数字技术已经改变了经济和社会，影响了所有经济社会活动行业和欧洲人的日常生活。数据处于这场转型的中心，并且将有更多改变到来。例如通过对个性化医疗、新出行方式以及对欧洲绿色协议的贡献等，数据驱动的创新将给公民带来巨大的益处。在每个个体产生的数据量与日俱增的社会里，数据的收集和使用方式必须符合欧洲价值观、基本权利和规则，将个体利益置于首位。只有当公民坚信任何欧盟个人数据分享都将遵循欧盟严格的数据保护规则时，他们才会信任和欢迎数据驱动的创新。与此同时，持续增长的欧洲非个人产业数据和公共数据量，加上数据存储和处理的技术变化，将成为一种潜在的增长和创新来源而应予开发利用。公民应被赋予基于对非个人数据的深刻理解来做出更好决策的权利。并且那样的数据应让所有人获得-无论是公众还是私人，大企业或小企业，初创企业或巨头。这将有助于整个社会最大化受益于创新和竞争，并确保每个人都从数字红利中获益。数字化欧洲应反映出最好的欧洲-开放、公平、多元、民主和自信。欧盟可以成为一个数据为企业和公共行业赋能而做出更好决策可以成为一个数据为企业和公共行业赋能而做出更好决策的社会的典范的社会的典范。为实现这个宏伟目标，可以加强在数据保护、基本权利、安全和网络安全方面的法律框架及其在各种产业和规模上都具备有竞争力的公司的内部市场。如果欧盟要在数据经济中取得领导地位，只有立即采取行动并以协同一致的方式应对从数据的连通到处理和存储，算力和网络安全在内的各种问题。此外，欧盟也要改善数据处理的治理结构以增加可使用和重复使用的高质量数据池。归根结底，欧洲旨在抓住更好地利用数据带来的好处，这种好处包括具有更强的生产能力和竞争性的市场，也包括健康和福利、环境、透明治理和便捷的公共服务的改善。本战略所列的措施致力于构建数据经济的综合性方法，旨在提升整个欧盟单一市场对于数据、数据赋能产品和服务的使用和需求。数据保护官沙龙 4 本通讯概述了未来五年实现数据经济的政策措施和投资战略。与本数据战略同时发布的还有欧盟委员会的通讯塑造欧洲的数字未来，以及表明委员会将支持和促进在整个欧盟内发展和利用人工智能的人工智能白皮书。以本战略为基础，委员会就采取哪些具体措施可使欧盟保持处于数据敏捷经济的前沿，并同时尊重和促进欧洲社会的基本价值观展开了全面的讨论商议。2.什么是紧要的？什么是紧要的？数据量的增长和技术的变化 世界上产生的数据量正在快速增长，从 2018 年的 33ZB 到 2025年预计将达到 175ZB1。每一波新的数据浪潮对欧盟都意味着成为该领域世界领导者的重大机遇。此外，数据存储和处理的方式在未来 5年将发生显著的改变。今天，80%的数据处理和分析发生在数据中心和中心化的计算设施，20%发生在智能连接物体，如车、家用电器、或制造机器人以及靠近使用者的计算设施（“边缘计算”）。到2025年，上述比例很可能会反转过来2。除了经济和可持续发展上的优势，这一发展也为企业创造了额外的机会去为数据生产者开发工具以增强他们对自己的数据的控制。数据对于经济和社会的重要性 数据将重塑我们生产、消费和生活的方式。我们生活的每个方面都能受益，从更清醒的能源消费观，产品、原料及食品的可追溯性，到更健康的生活方式和更好的医疗保健。通过使医生基于数据采取决策，个性化医疗将更好地反应患者的需求。这将可能在正确时间对正确的人定制正确的治疗策略，以及（或）确定是否对疾病易感，以及（或）提供及时和有针对性的预防。数据是经济发展的命脉：它是许多新产品和服务的基础，驱动在各个经济行业提升生产效率和资源效率，提供更多个性化产品和服务，帮助更好地制定政策和提升政府服务。对于初创企业和中小企业而言，1 IDC，2018.2 Gartner,2017.数据保护官沙龙 5 数据是开发产品和服务必不可少的资源。数据的可用性对训练人工智能系统是至关重要的，相关人工智能产品和服务正快速地从模式识别和洞察产生到更精细的预测技术以及由此更好地决策。数据也将助力变革实践更广泛的实施，比如在制造领域的数字孪生。数字孪生是指为物理性的产品、流程或系统创设一个虚拟复制品。这个复制品可以用来，例如基于数据分析去预测一台机器什么时候会出故障，那就可以通过预防性的维护来提高生产率。此外，开放更多的数据并改善数据使用的方式对于应对社会、气候和环境相关挑战，助力更健康、更繁荣和更可持续发展的社会非常重要。例如制定更好的政策以实现欧洲绿色协议的目标。与此同时，当前的 ICT（信息与通信技术）行业的环境足迹估计占 5%-9%的全球总耗电量和超过 2%的总排放，这当中相当大部分归结于数据中心、云服务和连接。欧盟的数字战略塑造欧洲的数字未来提出了一些对 ICT 行业的绿色转型措施。欧盟已为未来的数据经济做好了准备 当前，少数几家科技巨头掌握了全球大部分数据。这可能阻碍对欧盟内数据驱动型经济的兴起、发展和创新的激励，但前方有许多机会。未来大部分数据将来自于工业和专业应用、公共利益相关领域或日常生活中的物联网应用等领域，在这些领域欧盟实力强大。机会也会产生于技术的变化给欧洲企业带来的新视角比如边缘云，产生于安全关键应用的数字解决方案，以及量子计算。这些趋势表明今天的赢家未必是明天的赢家。但是此时此刻决定了接下来数十年数据经济方面的竞争力来源。所以欧盟应立即行动起来。欧盟具备在数据敏捷型经济中成功的潜力。欧盟拥有技术、专业知识和高技能劳动力。尽管如此，中国和美国等竞争对手已经迅速开始了创新，并在全球范围投射其数据获取和使用的观念。在美国，数据空间组织留给了私人部门，具有巨大的集中效应。中国则结合了政府监管与科技巨头公司对海量数据的强大控制，但缺乏对个人的充分保护。为了释放欧洲的潜力，我们必须找到欧洲道路，平衡数据的流动数据保护官沙龙 6 和广泛应用，同时保持高度的隐私、安保、安全和道德标准。至今已做了什么？自 2014 以来，委员会已采取了许多步骤。通过通用数据保护条例（GDPR）3，欧盟为数字信任创建了坚实的框架。即将对 GDPR进行的复审会进一步就此提供更多有用的要素。其它积极促进数据经济发展的举措还有关于非个人数据自由流动条例（FFD）4、网络安全法案（CSA）5以及开放数据指令6。委员会还参与了数字外交，承认 13 个国家为个人数据提供了充分水平的保护。此外还就特定行业的数据访问进行立法以应对在这些领域已确认的市场失灵，例如汽车行业7、支付服务提供商8、智能表计信息9、电力联网数据10、或智慧交通运输系统11。数字内容指令12则引入了当数字服务被提供给消费者而获取他们的个人数据时，个人所享有的合同权利。3.愿景愿景 委员会的愿景源于欧洲的价值观和基本权利，以及坚持以人为中心的信念。委员会深信，欧盟的企业和公共行业可以通过数据赋能做更好的决策。为了社会和经济利益，毫无疑问要抓住数据带来的机会。因为数据不同于绝大部分经济资源，它是可以接近零成本地被复制，并且不同个人和组织可以同时使用同样的数据。数据的潜力应予开发来满足个体的需求，并由此创造经济和社会价值。为释放这样的潜力，有必要确保更好的获取数据以及更负责任地使用数据。欧盟应该创造一个有吸引力的政策环境以使，欧盟在全球数据经济中的市场份额（即在欧洲存储、处理和有效利用的数据）至 2030 年至少与其经济实力相对应，而这样的市场份额不是通过强制法令，而是市场的选择取得。我们的目标是创建一个单一的欧洲数据空间-一个真正的单一数据市场，向来自全球的数据开放。在这个空间里，个 3 Regulation(EU)2016/679.4 Regulation(EU)2018/1807.5 Regulation(EU)2019/881.6 Directive(EU)2019/1024.7 Regulation 715/2007 as amended by Regulation 595/2009.8 Payment Service Directive 2015/2366.9 Directive 2019/944 for electricity,Directive 2009/73/EC for gas meters.10 Commission Regulation(EU)2017/1485,Commission Regulation(EU)2015/703.11 Directive 2010/40/EU.12 Directive(EU)2019/770 数据保护官沙龙 7 人数据和包括敏感商业数据的非个人数据都是安全的且企业也可以轻松访问近乎无限量的高质量的产业数据，从而促进经济增长和创造价值并同时最大程度地减少人类碳排放和环境足迹。在此数据空间，欧盟法律可以有效执行，所有数据驱动型产品和服务都遵循欧盟单一市场的相关规范。为此，欧盟应结合多举措，包括确保数据可获得性的有目的性的法规和治理，投资于标准制定、工具和基础设施、以及处理数据的能力建设。这种能够促进市场选择和激励的优良环境，将会使更多的数据在欧盟存储和处理。欧洲数据空间将使欧盟内的企业有可能建成规模单一市场。通用的欧洲规则和高效的执法机制应可确保：数据可以在欧盟内跨行业流动 欧洲的规则和价值观，特别是个人数据保护、消费者保护法规和竞争法得到充分遵守 获取和使用数据的规则是公平、可行和明确的，并且有明确和值得信赖的数据治理机制；有基于欧洲价值观的开放而坚定自信的方法面对国际数据流动。这里所列的获取数据的措施需要通过为数据敏捷型经济制定更广泛的产业战略来补充完善。数据空间应培育一个基于更多可访问数据创造新产品和服务的生态系统（企业、民间社会和个人）。公共政策可以增加数据产品的需求，既通过增强公共行业自身运用数据做决策和提供公共服务的能力，也通过更新法规和行业政策来反映数据带来的机会并确保对数据的有效使用不被抑制。欧洲数据空间的运转将取决于欧盟对于下一代技术和基础设施以及数字能力（如数据素养）的投资上。这种投资反过来也会增强欧盟在数据经济上的关键赋能技术和基础设施的技术主权。这些基础设施应支持创建欧洲数据池以实现大数据分析和机器学习（以符合数据保护法规和竞争法的方式），使数据驱动的生态系统得以兴起。这些数据池可按集中式或分布式13的方式来组织。贡献了数据的组织机构可以获得回报，包括对其他人的数据的更多访问权、数据池的分析成果、服务（如预防性维护服务）或许可费用。13 在后一种（分布式）方式下，数据不会转到一个中央处理设施来与其它数据资产一并分析。是将分析工具赋予数据，而非相反。这更容易控制数据安全，并且确保能控制谁以什么目的访问数据。数据保护官沙龙 8 尽管数据对于所有的经济领域和社会都是必不可少的，但每个领域都有其自身的特点，并非所有领域都以相同的速度发展。因此，一个面向欧洲整体数据空间的跨行业行动，需要伴随战略性领域（如制造业，农业，卫生和出行）的行业数据空间的发展。4.问题问题 几个问题阻碍了欧盟释放其在数据经济中的潜力。成员国之间的分裂是对共同的欧洲数据空间的愿景及进一步发展真正的数据单一市场的重大风险。许多成员国开始调整其法律框架，例如有关政府机构使用私人持有的数据14，出于科学研究目的的数据处理15的法律框架或调整竞争法16。另外一些国家只是刚开始探索如何处理这些关键问题。出现这样的差异恰恰证明了采取共同行动以利用欧盟内部市场规模的重要性。在以下问题上，将需要取得共同的进展：数据的可获得性：数据的可获得性：数据的价值在于使用和重复使用。当前，没有足够的数据可用于创新性复用，包括用于人工智能的开发。可以根据谁是数据所有者和谁是数据使用者来对问题进行分组，但是也可以根据所涉及数据的性质（即个人数据，非个人数据或将两者结合在一起的混合数据集17）进行分类。其中很多问题涉及是否可为公共利益的目的获得数据。为公益目的数据：为公益目的数据：数据是社会创造的，可用于应对洪水和野火等紧急情况，以确保人们的寿命更长，更健康，改善公共服务，应对环境恶化和气候变化，以及在必要和适当的情况下，确保更有效地打击犯罪。公共行业产生的数据以及创造的价值应通过确保研究人员（包括通过优先获取的方式），其他公共机构，中小型企业或初创企业能够使用这些数据服务于公共利益。私人领域的数据同样 14 例如，法国“2016 年 10 月 7 日第 2016-1321 号法律，适用于数字共和国”，允许公共部门访问某些大众关注的（私营行业）数据；以及芬兰森林法，要求森林所有者共享与公共行业分享与管理森林相关的信息。15 例如，芬兰关于健康和社会数据二次使用的法律，建立了数据许可机构。16 例如，在德国，有关调整竞争规则以使其更好地适应数据经济的讨论正在进行中。参阅委员会“数字时代的竞争政策”报告。17 为了增加法律确定性，欧盟委员会于 2019 年 5 月发布了有关企业如何处理混合数据集的实用指南;参见 COM（2019）250 https:/ec.europa.eu/digital-single-market/en/news/practical-guidance-businesses-how-process-mixed-datasets 数据保护官沙龙 9 可以作为公共物品作出贡献。例如，在发生流行病时，使用聚合并匿名的社交媒体数据可以是补充医生报告的有效方法。企业对公共行业信息的使用（政府对企业 G2B 数据共享）。开放政府掌握的信息是欧盟的一项长期政策18。这些数据是用公共资金产生的，因此应该使社会受益。最近修订的开放数据指令19以及其他针对特定行业的立法，就是用来确保公共行业将开放更多其产生的数据20，尤其是对中小企业，公民社会和科学界开放，便于他们在独立的公共政策评估的框架下获取数据使用。但是，政府可以做得更多。跨欧洲的高价值的数据集在相同条件下却很难获得，这损害了无法负担这种碎片化的中小企业的数据使用。同时，由于缺乏能力或机制来以符合个人数据保护规则的方式采取特定的研究活动，公共数据库中的敏感数据（例如健康数据）通常无法用于研究目的。其他公司共享和使用私人持有的数据（企业对企业 B2B 数据共享）。尽管具有经济潜力，但公司之间的数据共享仍未达到足够的规模。这是由于缺乏经济诱因（包括担心失去竞争优势），经济主体之间缺乏对数据会按照合同规定使用的信任，谈判能力不平衡，担心数据被第三方盗用，以及在法律上不清楚谁可以对什么数据做些什么（例如，对于共同生成的数据，尤其是物联网数据）。政府机构使用私有的数据（企业对政府 B2G 数据共享）。当前没有足够的私营行业数据可供公共行业用来改进证据驱动的政策制定21和公共服务，例如流动性管理或扩大官方统计的范围和及时性22，以增强它们在新的社会发展下政策的相关性。委员会设立的专家组23提出的建议包括建立 B2G 数据共享的国家结构，制定适当的激励措施以建立数据共享文化以及建议探索一种欧盟监管框架，来管理公共行业出于公众利益对私有数据的再使 18 自从通过有关关于公共部门信息再利用的第 2003/98/EC 号指令。19 指令（EU）2019/1024，废止由指令 2013/37/EU 修订的指令 2003/98/EC。20 欧洲开放数据门户网站有欧盟各地受益于开放数据的公司的案例，如果不能获得数据，其中的一些公司将不存在。https:/www.europeandataportal.eu/en/using-data/use-cases 21 例如平台工作等新领域 22 B2G 的工作范围不包括出于执法目的数据使用。在这方面的任何行动均应遵守数据保护和隐私法规。23 见 https:/ec.europa.eu/digital-single-market/news-redirect/666643 数据保护官沙龙 10 用。公共机构之间的数据共享同样重要。它可以为改善政策制定和公共服务做出巨大贡献，也可以减轻在单一市场运营的公司的行政负担（“仅一次”原则）。市场力量失衡：市场力量失衡：除了高度集中在提供云服务和数据基础架构之外，在数据访问和使用方面（例如，在中小企业访问数据时）也存在市场失衡。一个典型的例子是大型在线平台，少数参与者可能会积累大量数据，并从其拥有的丰富和多样的数据中收集重要的认知和竞争优势。反过来，这可能会影响特定情况下的市场竞争能力，不仅会影响此类平台服务的市场，而且还会影响平台所服务的商品及服务的各种特定市场，特别是平台本身在此类服务上表现活跃。“数据优势”带来的高度市场支配力使大型参与者可以在平台上设置规则，单方面为数据的访问和使用施加条件，或者实际上在开发新服务时允许利用这种“权力优势”并向新市场扩展。在其他情况下（例如，从工业和消费类设备访问共同生成的IoT 数据），也可能会出现不平衡。数据互操作性和质量：数据互操作性和质量：数据的互操作性、质量，以及结构，真实性和完整性是数据价值利用的关键，尤其是在人工智能部署的语境下。数据生产者和使用者已经识别出了重大的互操作性问题，这些问题阻碍了行业内部行业不同来源的数据融合，不同行业间这一情况更甚。应通过持续进行的 ICT 标准进程24和（在公共服务方面）加强的欧洲互操作性框架（European Interoperability Framework），来鼓励跨行业和垂直市场采用标准和共享兼容的格式及协议以协同一致和可互操作的方式来采集和处理不同来源的数据25。数据治理：数据治理：一直有人呼吁进一步加强对社会和经济中数据使用的治理26。为了使这些数据空间可运行，在现有法律框架的基础上实现数据驱动的创新，一定的组织方法和结构（公共和私有）是必须的。24 https:/ec.europa.eu/digital-single-market/en/news/rolling-plan-ict-standardisation 25 https:/ec.europa.eu/isa2/eif_en;参见：COM（2017）134 最终版本 26 例如，在委员会最近举办的有关“欧洲通用数据空间”概念的一系列研讨会上 https:/ec.europa.eu/digital-single-market/en/news/report-european-commissions-workshops-common-european-data-spaces.数据保护官沙龙 11 数据基础架构和技术：数据基础架构和技术：欧盟经济的数字化转型取决于安全、节能、负担得起的高质量数据处理能力，包括在数据中心和边缘设备上的云基础架构和服务所提供的能力。从这个角度来看，欧盟需要减少对处于数字经济中心的这些战略基础设施中的技术依赖。但是，云的供应和需求侧仍然存在问题。在供应侧：位于欧盟的云提供商在云市场中只占很小的份额，这使得欧盟高度依赖外部供应商，易受外部数据威胁的影响，并可能丧失欧洲数字产业在数据处理市场上的投资潜力；在欧盟运营的服务提供商也可能会受到第三国立法的约束，这可能会导致欧盟公民和企业的数据被第三国司法管辖区访问的风险，而这与欧盟的数据保护框架相抵触。特别是，人们对中国有关网络安全和国家情报的几部法律表示了担忧。尽管诸如美国“云法案”（US CLOUD Act）之类的第三国法律是基于公共政策原因（例如执法部门获取用于刑事调查的数据），但是外国司法管辖区法律的适用却引起了欧洲企业、公民和当局对其法律不确定性及其是否符合欧盟法律的规定的合理担忧，例如其是否能够遵守数据保护规则。欧盟正在采取通过互惠互利的国际合作（例如拟议中的欧盟-美国协议）减轻此类担忧。协议旨在促进跨境获取电子证据，减轻法律冲突的风险并为欧盟公民和公司的数据建立明确的保障措施。欧盟还在包括欧洲理事会在内的多边层面上，在高度保护基本权利和程序权利的基础上，制定有关获取电子证据的通用规则。云服务提供商是否遵守重要的欧盟规则和标准，例如数据保护的相关规则和标准，存在不确定性。由于合同等相关问题，微型企业和中小型企业遭受经济损失，例如不符合合同或不公平的合同条款27。在需求侧：欧洲的云普及率很低（4 家公司中只有 1 家，中小企业 5 家 27 针对不公平和不平衡的云计算合同条款导致经济损失的研究。数据保护官沙龙 12 中只有 1 家28）。会员国之间在应用云计算方面存在显著差异（使用云的企业比例从不足 10至 65）；具体来说，欧洲公共行业的云使用率很低。这可能会导致数字公共服务效率降低，这不仅是由于使用云明显具有降低 IT 成本的潜力，还因为政府需要云计算的可伸缩性才能部署人工智能等技术。市场上小型创新云服务提供商往往是欧洲的，其在市场上的知名度通常不足。欧洲企业经常会遇到多重云的互操作性问题，尤其是数据可移植性相关问题。赋能个体行使其权利：赋能个体行使其权利：个体通常重视 GDPR 和 ePrivacy 立法给予的高度保护。但是，目前缺乏能使人们行使权利变得简单且没有过多的负担的技术工具和标准。GDPR 第 20 条所赋予的新颖的数据流动方式和对竞争的促进的潜力，被委员会和成员国政府的报告29所认可30。然而，由于法律设计本身是为实现服务提供商的切换而不是实现数字生态系统中的数据重用，因此权利存在实际上的限制。由于消费者在使用物联网设备和数字服务时会生成越来越多的数据，消费者可能面临歧视，不公平做法和“锁定”效应的风险。对消费者和创新赋能的考虑奠定了支付服务指令（Payment Service Directive）中数据访问和重用条款的基础。为此，人们呼吁为个人提供工具和手段，在更细粒度的层面上决定如何处理他们的数据（例如 MyData 和其他运动）31。这将为个人带来巨大的利益，包括对其健康，更好的个人财务状况，更少的环境足迹，对公共和私人服务的一站式访问以及增强对其个人数据的透明和监督。这些工具和手段包括同意管理工具，个人信息管理应用程序（包括基于区块链的完全去中心化的解决方 28 https:/ec.europa.eu/eurostat/statistics-explained/index.php/Cloud_computing_-_statistics_on_the_use_by_enterprises 29 参照举例，Cremer/deMontjoye/Schweitzer 合著的数字时代的竞争政策；弗曼（Furman）对英国政府的报告，解锁数字竞争；以及德国数据伦理委员会的行动。30 参照澳大利亚新消费者数据权利的介绍,ffhttps:/www.accc.gov.au/focus-areas/consumer-data-right-cdr-0 以及有关新加坡数据可移植的磋商。31 https:/mydata.org/;https:/www.decodeproject.eu/;https:/solid.mit.edu/、https:/radicalxchange.org/数据保护官沙龙 13 案），以及在个人数据经济32中以个人数据合作社或信托的形式充当新型的中立的中介工具。此类工具有巨大的潜力并需要一个支持性的环境，但目前仍处于起步阶段。技能和数据素养：技能和数据素养：目前，大数据和分析是关键技能短缺的重中之重。2017 年，欧盟 27 国33在大数据分析领域有大约 496000个空缺职位。此外，劳动力和整个人口的基本数据素养相对较低，且存在参与差距（例如老年人）。如果不解决，数据专家的短缺以及数据素养的不足将会影响欧盟应对数据经济和社会挑战的能力。网络安全网络安全：在网络安全领域欧洲已经开发了一个综合框架以支持成员国、企业以及公民应对网络安全威胁和攻击，并且欧洲将会继续发挥和提升其机制以保护其数据和建立在该等数据之上的服务。数据驱动型产品和服务的安全与广泛使用也将取决于网络安全的最高标准。欧盟网络安全认证框架和欧盟网络安全局（ENISA）34有望在该项努力的过程中发挥重要的作用。然而，新的数据范式下，更少的数据将存储在数据中心，而更多的数据将以更接近“处于边缘”的用户这一流行方式传播，这给网络安全带来了新的挑战。当进行数据交换时，保护数据安全将很有必要。确保跨数据价值链的访问控制（即如何管理和尊重数据的安全属性）的连续性，将是促进数据共享和确保欧洲数据生态系统不同角色之间信任的一个关键而苛刻的先决条件。新的去中心化数字技术如区块链区块链为个人和公司基于个人自由选择和自主决定管理数据流和使用提供了进一步的可能性。这些技术连同各种补偿模型一起将使得个人和公司实时对动态数据迁移成为可能。5.战略战略 这份欧洲数据战略服务于实现真正的单一数据市场之愿景，并旨在基于过去几年已经取得的成就解决在政策措施实施以及资金提供过程中识别出的问题。32 参见德国数据伦理委员会的报告 133 页，和工作人员文件第 8 页。33 IDC2019 34 Regulation(EU)2019/881 European Cybersecurity Act 数据保护官沙龙 14 每项新的立法措施都将完全按照更好的监管原则来制定和评估。这些行动基于四个支柱：A.数据获取和使用的跨行业治理框架数据获取和使用的跨行业治理框架 数据获取和使用的跨行业（或横向的）措施应当为数据敏捷型经济创建必要的贯穿整体的框架，从而规避因在行业间和成员国间行动不一致时造成的内部市场的有害分裂。尽管如此，该等措施应当将个别行业和成员国的特异性考虑在内。委员会的监管方案是创建塑造背景环境的框架，让充满活力、动态且生动活泼的生态系统得以发展。由于难以完全理解向数据敏捷型经济转化的所有要素，委员会谨慎避免过于详细和严厉的事前监管，将会倾向于采取有助于试验（如监管沙盒）、迭代和分化的灵活监管方式。依据这一原则，实施该愿景的首要措施是将针对公共欧洲数据空针对公共欧洲数据空间间治理的赋能立法框架落实到位（治理的赋能立法框架落实到位（2020 年第四季度）年第四季度）。该等治理结构应支持有关何种数据在何种情形下可以使用的决定，促进跨境数据使用，以及优先考虑行业内和跨行业的互操作性需求和标准，同时将行业监管机构指定的行业要求的需求考虑在内。该框架将会强化成员国内及欧盟层面的必要结构，以促进在行业或特定领域层面和跨行业视角的创新经营理念方面的数据使用。它将基于成员国35和具体行业近期提出的方案解决下列一个或多个问题：-强化欧盟层面和成员国内的治理机制，这些治理机制与跨行业数据使用以及公共行业数据空间的数据使用有关，包括私人及公共参与者。这可以包含一种将行动标准化优先考虑的机制36，并致力于对数据集、数据对象和标识符进行更协调的描述和概述，以促进行业之间以及在相关情况下的各行业内部37的数据互操作性（即在技术层面上的可用性38）。这可以依据数据可检索性、可访 35 Finnish Health and Social Data Permit Authority(https:/www.findata.fi/en/),French Health Data Hub(https:/www.health-data-hub.fr/),German Forschungsdatenzentrum(https:/www.forschungsdatenzentrum.de/en).36 这一理念并不打算创建一个主体来开发新的标准，而在于能够将已有以及未来计划开发的标准排列除优先顺序。37 例如，2017 年塔林电子政务宣言呼吁政府“在关键基础登记册中提高数据的可检索性、质量以及技术可访问性”。本脚注根据译文顺序调整，原文脚注为 38.38 同样请见公平数据原则：https:/www.force11.org/group/fairgroup/fairprinciples。本脚注根据译文顺序调整，原文脚注为 37.数据保护官沙龙 15 问性、互操作性以及可复用性（FAIR）原则来完成，同时将特定行业主管部门的发展和决策考虑进来；-推动有关何种数据可用、如何以及由谁为科学研究之目的以GDPR 合规的方式使用的决策。这对于未在开放数据指令所涵盖范围内的敏感数据的公开持有数据库尤为关联；-如个人自愿，使其以遵照 GDPR 要求的方式为公共利益的目的使用他们所产生的数据（“数据利他主义”）更加容易。其次，委员会将致力于让更多的高质量公共行业数据可以重新使用，尤其是考虑到其对于中小企业的潜力。为了开放关键公共行业参考数据集以实现创新，应根据开放数据指令下的高价值数据集实高价值数据集实施法案（施法案（Implementing act on high-value data sets）(2021 年第年第 1 季季度度)采用的步骤，让这些数据集以机器可读的格式并通过标准化应用程序接口（APIs）在欧盟内免费可用。委员会将会研究将中小企业特殊需求纳入考虑的机制。它还将会协助成员国以确保 2021 年 7 月 17日的开放数据指令新规则的及时准确转换。再次，委员会将探讨对影响数据敏捷型经济中各主体之间关系的探讨对影响数据敏捷型经济中各主体之间关系的问题采取立法行动的必要性问题采取立法行动的必要性，以激励跨行业的横向数据共享(补充附录中所述的行业内的数据共享)。在数据法案（数据法案（2021）中，以下一个或多个问题可能会被推进：根据企业与政府间数据共享专家小组报告中的建议，促进企业与政府间为公众利益的数据共享。支持企业与企业间的数据共享，特别是解决与共同生成数据(如工业环境中的物联网数据)使用权相关的问题，（这些）通常在私人合同中规定。委员会还将设法查明和处理妨碍数据共享的任何不适当的现有障碍，并澄清负责任地使用数据的规则(例如法律责任)。一般原则应是促进自愿数据共享。只有在特定情况下39，才应在公平、透明、合理、适当和/或非歧视性的情形下，允许强制访问数据40。39 只有在确定/能够预见到该行业的市场失灵，而竞争法又无法解决的情况下，才应赋予该行业特定的数据访问权。数据访问权利的范围应顾及数据持有人的合法权益，并须尊重法律框架。40 这一原则的变化特别适用于根据第 715/2007 号规例提供的某些汽车修理和保养资料，以及根据第1907/2006 号规例(REACH)测试脊椎动物身上的化学品而产生的资料。数据保护官沙龙 16 评估知识产权框架，以进一步加强数据访问和使用(包括将可能修订的数据库指令41和对商业秘密保护指令42适用的可能澄清作为赋能框架)。此外，委员会将评估为数据分析和机器学习建立数据池所必要的措施。委员会将通过更新地平线合作指引43，就数据共享及汇集安排是否符合欧盟竞争法的规定，向利益相关者提供更多指引。如有需要，委员会还做好了就与欧盟竞争规则的兼容性提供额外的个别项目相关指引的准备。在行使其并购管制的权力时，委员会将密切注意通过收购来积累大规模数据对竞争可能产生的影响，并注意利用数据存取或数据共享的效用作为救济办法来解决担忧。在其正在进行的对一些国家援助准则的审查中，委员会将审查公众对企业的支持（例如数字转型）与通过对受益人的数据共享要求尽量减少竞争扭曲之间的关系。根据市场参与者取得的进展，对当前云提供商转换自我监管方法44的审查可能导致进一步的行动。委员会还将考虑与数据有关的管辖权问题。这些问题给可能面临冲突规则的企业带来了不确定性。欧盟不应在以下原则上妥协:所有在欧盟销售产品或提供与数据敏捷型经济相关服务的公司都必须尊重欧盟的立法，这一点不应受到欧盟以外司法管辖权诉求而妥协。委员会将考虑促进在产品和服务中使用数据和增加对数据驱动的服务的需求的措施。部门的审查应当明确在使用数据和数据驱动的供给方面的监管和非监管障碍。增加数据的可用性和标准化也应促进实时和跨境合规，从而减少行政负担和单一市场的障碍。此外，政府还可以通过在公共服务和决策中增加使用数据分析和自动化服务来促进需求。在线平台经济观察组织正在分析科技巨头积累的海量数据、数据在创造或加剧议价能力失衡方面的作用，以及这些公司跨部门使用和共享数据的方式。这个问题不会作为数据法案的一部分来处理，41 Directive 96/9/EC 42 Directive(EU)2016/943 43 2011/C 11/01.44 https:/swipo.eu/The approach is based on the Free flow of data regulation,Regulation(EU)2018/1807.数据保护官沙龙 17 而是在围绕某些平台的高度市场力的更广泛的事实调查中，以及在委员会关于数字服务法案（Digital Services Act）的语境下提出。在这一事实调查的基础上，委员会将考虑如何最好地解决与平台和数据相关的更系统性问题，包括在适当时通过事前监管，以确保市场保持开放和公平。垂范 欧盟委员会将在组织其自身数据的方式上追求卓越，利用这些数据进行更好的政策制定，以及向他人提供其产生的数据和可用的资金，包括通过欧盟开放数据门户(EU Open data Portal)45。欧盟将继续根据“尽可能公开，必要时封闭”的原则，生成其研究和部署计划的数据，并将继续通过欧洲开放科学云(EOSC)46促进研究人员发现、共享、访问和重用数据和服务。相关时，欧盟还将贡献哥白尼地球观测计划的数据和基础设施，以支持欧洲数据空间。与此同时，通过应用欧洲数字技术解决方案来增强哥白尼的生态系统，将为公共和私人数据空间的支持者提供新的创新机会。欧盟将寻求在其内部流程中更多地使用数据和数据分析，并将其作为委员会决策和现有政策审查的投入。关键措施关键措施 为公共欧洲数据空间的治理提出一个立法框架，2020 年第四季度。通过一部关于高价值数据集的实施法案，2021 年第一季度。酌情提出一项数据法案，2021 年。分析数据在数字经济中的重要性(例如，通过在线平台经济观察组织)，并在数字服务法案(2020 年第四季度)的背景下审查现有的政策框架。B.推动因素：数据投资，增强欧洲用于数据托管、处理和使用的 45 https:/data.europa.eu/euodp/en/data/.46 https:/ec.europa.eu/research/openscience/index.cfm?pg=open-science-cloud.See also COM(2016)178 final and SWD(2018)83.数据保护官沙龙 18 能力和基础架构、互操作性 欧洲的数据战略依赖于一个蓬勃发展的私人参与者生态系统，从数据中创造经济和社会价值。在充分利用数据革命开创和发展颠覆性的新商业模式方面，初创企业和扩大规模的企业将扮演一个关键角色。欧洲应该提供一个支持数据驱动创新的环境，并刺激依赖数据作为重要生产因素的产品和服务的需求。要在战略性领域以数据驱动创新取得飞速进步，既需要私营部门的投资，也需要公共部门的投资。委员会将利用其召集权和欧盟的资助计划来强化欧洲对数据敏捷经济的技术主权。这将通过关于如何处理个人数据（尤其是匿名）以及构建用于数据处理的下一代基础设施的标准制定、工具开发、最佳实践收集来完成。在相关的时候，投资将与成员国的有关当局相协调，并根据国家援助规则，与国家及区域资助和通过结构及投资基金进行的投资相配对。在 2021-2027 年期间，委员会将投资一个有关欧洲数据空间和联委员会将投资一个有关欧洲数据空间和联合云基础设施的高影响力项目。合云基础设施的高影响力项目。该项目将资助基础设施、数据共享工具、体系结构和治理机制，以推动数据共享和人工智能生态系统的繁荣发展。它将以高效能和可信赖的边缘和云基础设施（IaaS 基础设施即服务、PaaS 平台即服务和 SaaS 软件即服务）的欧洲联合（即“互连”）为基础。它将满足欧盟各行业的特定需求，包括混合云部署模型，该模型允许在边缘进行毫无延迟的数据处理（云端-边缘端）。该项目将涉及欧洲数据密集型公司的生态系统并使其受益，也将为欧洲公司和公共部门的数字化转型提供支持。为了使该项目的可信度与泛欧计划相同，它需要充足的投资。根据下一个多年度财政框架协议，吸取不同支出计划的经验，预计各成员国和行业将与委员会共同投资该项目，使得该项目的总资金达到大约 40 亿至 60 亿欧元，其中委员会的目标是筹集 20 亿欧元。该项目需要结合委员会将在 2020 年 3 月推出的一套更广泛的欧一套更广泛的欧盟新技术战略投资的背景下盟新技术战略投资的背景下进行考虑，这些投资是其产业战略的一部其产业战略的一部分。分。他们特别关注为边缘计算、高性能计算/量子计算、网络安全、低功耗处理器和 6G 网络提供资金。这些投资对于欧盟未来的数据基础设施至关重要，从而使欧洲具备合适的基础设施、计算能力、加密能数据保护官沙龙 19 力和网络安全工具以处理数据。高影响力项目：发展公共欧洲数据空间和互连云基础设施 具体来说，委员会计划资助在战略行业建立欧盟范围内公共的、建立欧盟范围内公共的、可互操作的数据空间可互操作的数据空间。此类空间旨在通过组合必要的工具和基础设施并解决信任问题（例如，通过为空间制定的共同规则）来克服跨组织共享数据的法律和技术障碍。这些空间将包括：（i）部署数据共享工具和平台；（ii）建立数据治理框架；（iii）在特定领域的设置和跨部门中都提高数据的可用性、质量和互操作性。资金还将支持成员国中的有关当局让高价值的数据集在不同的公共数据空间中重复使用。对数据空间的支持还将涵盖在环境绩效、安全性、数据保护、互操作性和可扩展性方面符合基本要求的数据处理和计算能力。着眼于欧盟级别支持具有明显附加值的领域，投资也可能涵盖国家级别47和欧洲级别的现存计算能力的互连，包括高性能计算能力48，并将在需要时整合数据处理资源的能力。目的是帮助公共数据和世界一流的云基础设施兴起，以造福公共利益，为公共部门和研究机构提供安全的数据存储和处理。通过与欧洲开放科学云（EOSC）和以哥白尼地球观测数据为基础提供服务访问的数据和信息访问服务（DIAS）云平台的互连有望产生类似积极影响。私营部门，尤其是中小企业，也需要提供具备安全性、可持续性、互操作性和可扩展性等基本功能的数据和云基础设施及服务。这对于欧洲企业从数据生成、处理、访问和复用整个价值链中获益至关重要。49该投资途径将使私人参与者在公共部门的支持下聚集在一起开发共同的平台，以提供对多种云服务的访问，从而实现安全的数据存储和共享，并提供从人工智能到仿真、建模、数字孪生和高性能计算（HPC）资源的应用程序。该平台将覆盖所有层级的数据和计算基础设施及服务，并将抓住诸如边缘计算、5G 部署和整个工业领域对物联网的采用等最新发展所提供的机遇。它还将有助于在欧洲为基于数据和基于云的供应业开发一个贯穿整个价值链的动态生态系统。高影响力项目的云联合部分将促进云端集中式的数据基础设施 47 例如，法国“云信心（Cloud de Confiance）”倡议或波兰共和国信息技术基础设施计划（WIIP）48 尤其是 EuroHPC 计划所支持的能力。49 例如，对德国 Gaia-X 项目的产业支持。数据保护官沙龙 20 与边缘端的高度分布式智能数据处理之间的逐步重新平衡。因此，这样的项目应该从一开始就与新兴的边缘计算能力互连。久而久之，该项目还将进一步支持对高端高性能计算机的访问以及其与主流数据处理服务的集成。这将提供一个无缝的计算连续体，以最大化地发展和利用公共欧洲数据空间，以用于公众、工业和科学应用。在此背景下，委员会将促进欧洲云联合的工作与诸如 Gaia-X50之类的成员国计划之间的协同作用。这对避免零散的云联合和数据共享计划的增加是必要的，因为这种计划的成功将取决于泛欧洲的参与度和扩展能力。为此，委员会将首先从已具备现存云联合和数据共享计划的国家开始，在 2020 年第三季度之前与成员国签署谅解备忘录年第三季度之前与成员国签署谅解备忘录。允许启用具有竞争力的、安全的和公平的欧洲云服务 为保护欧盟公司和公民的权益，在成员国有关当局的支持下，委员会将特别注意在欧盟市场上运营的云服务提供商遵守欧盟法规（例如，通用数据保护条例 非个人数据自由流动条例和网络安全法案）的情况，并在适当时为了提高信任度而通过自我和共同监管机制，以及技术手段来观察其设想的实施情况，例如，通过设计和自动化合规实现安全。目前，还没有适用于云提供商和用户的关于这些欧盟规则和自我/共同监管方案的综合概述。在这种情况下，委员会将在 2022 年第二季度之前年第二季度之前以“云规则手册云规则手册”的形式，围绕关于云服务的不同适用法规（包括自我监管）建立一个统一框架。首先，云规则手册将提供有关安全性、能效、服务质量、数据保护和数据可移植性的现有云行为准则和认证纲要现有云行为准则和认证纲要。委员会将考虑在能效方面尽早采取行动。为了与云规则手册相一致，委员会将推动制定关于数据处理服务数据处理服务公共采购的欧洲通用标准和要求公共采购的欧洲通用标准和要求。这将使在整个欧洲、各国家、各地区和地方各级的欧盟公共部门也能够成为新欧盟数据处理能力的推动者，而不仅仅只是这些欧洲基础设施的受益者51。为了充分开发这种潜能，应该进行更多工作将私营和公共部门中的需求侧机构与全新且具有创造力的定制数据处理服务相联系，特别 50 由德国政府从德国角度于 2019 年 10 月 29 日提出的促进云联合的计划。该项目的目的是迎合欧洲标准和参考体系架构，以创建以欧盟为基础的“虚拟超大规模提供商”。51 与这方面类似的公共采购计划的例子可以从第三国获得，例如美国的“FedRAMP”政府采购计划。它为跨联邦机构的云产品和服务提供了一种安全评估、授权和连续监视的标准化方法。数据保护官沙龙 21 是在“平台即服务”和“软件即服务”层面。委员会将推动在在 2022 年第年第四季度之前四季度之前为私营和公共行业的欧盟用户建立云服务市场云服务市场。该市场将使潜在用户（尤其是公共行业和中小企业）能够选择在数据保护、安全性、数据可移植性、能效和市场实践等领域均符合众多要求的云处理、软件和平台服务产品。服务提供商参与市场将以透明和公平的合同条件为前提，而当前市场并不总提供透明和公平的合同条件，特别是针对微型企业和中小企业用户52。市场可以促进公共行业采购替代解决方案，并且由于其巨大的总需求，公共行业的占用可以为市场提供支持。尽管许多成员国已经在国家层面上制定了类似的市场计划，但欧盟级别的云服务市场具有两方面的优势：首先，它能解决当前全球超大型参与者之间的市场不对称问题，这些参与者经常提供包含由较小规模（欧盟）参与者提供的应用程序的集成解决方案。其次，它能使云服务是否符合相关规则变得明晰。这将确保欧盟供求之间实现更好的匹配，尤其是来自公共管理、公共利益服务和中小企业的需求。支持数据技术的进步“地平线欧洲”计划将继续支持对于下一阶段数据经济至关重要的技术，例如隐私防护技术以及工业和个人数据空间的支撑技术。几个准备中的地平线欧洲备选合作项目，例如人工智能、数据科学和机器人技术合作以及欧洲开放科学云伙伴计划，可以帮助引导这一领域的投资。关键措施关键措施 投资一项关于欧洲数据空间的高影响力项目一项关于欧洲数据空间的高影响力项目，包含数据共享体系结构（包括数据共享标准、最佳实践、工具）和治理机制，以及对高效能和可信赖的云基础设施及相关服务的欧洲联合体，旨在促成 40 亿到 60 亿欧元的联合投资，其中委员会的目标是投资 20亿欧元。预计 2022 年将进入第一个实施阶段；2020 年第三季度：与成员国签署关于云联合体的谅解备忘录；52 See:Study on the economic detriment to SMEs arising from unfair and unbalanced cloud computing contracts,https:/ec.europa.eu/info/sites/info/files/dg_just_cloud_computing_final_report_web_final.pdf.数据保护官沙龙 22 2022 年第四季度：启动欧洲云服务市场，从而整合云服务全栈产品供应；2022 年第二季度：创建欧盟（自我）监管云规则手册。C.能力：赋能个人、投资技能和中小企业能力：赋能个人、投资技能和中小企业 授予个人对其数据的权利以赋能个人 应进一步支持个人行使其在使用其生成的数据方面的权利。可以通过向他们提供相关工具和手段来控制其个人数据，从而在更精细级别上决定处理其个人数据的方式（“个人数据空间”）。通过强化 GDPR第 20 条规定的个人数据可移植性权利，使个人对访问和使用机器产生的数据的权限拥有更多控制权，例如通过对实时数据访问接口设定更严格的要求，以及将来自某些产品和服务的数据强制设为机读格式（例如，来自智能家电或可穿戴设备的数据）。此外，需要考虑制定针对个人数据应用程序提供商或个人数据空间提供商等新型数据中介的规则，以确保其作为中立经纪人的作用53。这些问题可以在上述数据法案 的语境下进一步探讨。“数字欧洲”计划也将支持“个人数据空间”的开发和推行。投资技能和通用数据素养“数字欧洲”计划下专用于技能培养的资金将有助于缩小大数据和分析能力方面的差距。该计划将为扩大数字人才库提供资助，使大约 25 万人能够在整个欧盟的企业中部署最新技术。鉴于数据在数字经济中的重要性，其中许多人才很可能与数据相关。总体而言，到 2025 年，欧盟和成员国计划将目前 100 万数字专家的缺口减少一半，其中将包括着重提高女性的参与度。由“企业-政府”数据共享专家组提出的跨数据密集型组织（企业和公共部门）的数据管理员网络的构思将得到进一步探索。在通用数据素养方面，强化技能计划将制定一条路径，以表明欧盟和成员国的行动如何使具有基本数字技能的欧盟人口比例从目前的 57在 2025 年前增长到 65。大数据及基于大数据的学习分析技能，增进了通过获取数据加以 53 安全且通用的数字身份对于使个人访问和控制其数据也至关重要。数据保护官沙龙 23 分析运用从而促进教育培训的新机遇。最新版的数字教育实施计划数字教育实施计划将提高数据的可获得性和利用为重中之重，推动教育培训机构适应数字时代发展，掌握做出更佳决策和提升竞争优势所需的专业能力。专注中小企业能力建设 即将颁布的欧洲中小企业战略，出台了扶持中小企业和新创企业发展的措施。既然依赖数据资源创业并壮大公司的模式不属于资本密集型行业，在这种语境下，数据资源是一项重要资产。中小企业和创新企业经常需要征询法律合规意见，从而不放过基于数据的商业模型将带来的任何可能的商机。地平线欧洲、数字欧洲计划以及结构性投资基金，除了为中小企业提供孵化项目外，还鼓励中小企业更积极地获取数据以开发新型数据服务和应用，为数字经济时代中小企业创造机遇。关键措施关键措施-探索提升根据 GDPR 第 20 条，赋予个人的数据可携权，使他们能够更好地控制机器生成数据的访问和使用（可能作为 2021 年数据法案的一部分）。D公共利益范畴及战略性行业中的欧洲公共数据空间公共利益范畴及战略性行业中的欧洲公共数据空间 为完善横向框架以及 ABC 项54下对个人技能和赋能的经济资助和实施计划，欧委会仍将推动战略经济行业和公共利益领域内的欧洲公共数据空间的发展。上述行业或领域的数据应用不仅对整个生态系统，也对公民产生全面影响。上述计划和措施，与应用、交换数据的必要技术工具、基础设施及适当的政府治理机制相结合后，提升了上述行业和领域中大规模数据集的可获得性。尽管没有一体适用的方法，但共同的治理理念和模型可在多个不同行业内被借鉴应用。只要有关数据获取和使用的行业立法和确保互操作机制运用地恰到好处，横向框架，恰当的话，就能借此获得更好成效。各行业的 54 所列举的行业数据领域名单并非穷尽，而是可扩展的。数据保护官沙龙 24 区别，主要取决于该行业内有关数据可获取性讨论的成熟度以及对问题的识别程度。更为相关的因素则是公共利益的程度及其在特定行业的参与度，比如在医疗领域公共利益的参与度更高，在制造业等领域参与度低。同时，还应考虑潜在的跨行业的数据利用。数据空间将依据最严格的可用网络安全标准，在完全符合数据保护规则的前提下开发。数据空间需要得到鼓励数据应用、刺激高数据服务需求的政策支持。各行业数据空间的工作也需要分布于数据价值链上的行业措施支持。基于研究学界对“欧洲开放科学云”不断增长的经验，欧委会将支持建立以下九个欧洲公共数据空间：欧洲工业（制造业）公共数据空间，欧洲工业（制造业）公共数据空间，以支持欧盟工业的竞争能力和表现，允许挖掘制造业的非个人数据使用的潜在价值（2027 年预计达 1.5 万亿欧元）。欧洲绿色协议公共数据空间欧洲绿色协议公共数据空间，通过挖掘数据的巨大潜力，支持绿色协议在以下几个方面的优先行动，包括气候变化、循环经济、零污染、生物多样性、森林滥伐、合规保证等。“绿色数据为人人”（GreenData4all）和“拯救地球”（地球数字孪生）两项计划将涉及具体措施部署。欧洲出行数据公共空间，欧洲出行数据公共空间，确立欧洲在智能交通系统发展领域的领先地位，既包括车联网，也包括其他交通工具的数据联网。此项数据空间将方便当前和未来交通和出行数据库的数据获取、归集和共享。欧洲健康数据公共空间，欧洲健康数据公共空间，这一方面对预防、诊断、治疗疾病方面的领先非常必要，另一方面也是作出有依据、基于证据的医疗决策以促进医疗保健系统数据的可获得性、有效性和可持续性的必要措施。欧洲金融数据公共空间，欧洲金融数据公共空间，通过加强数据共享、创新、提高市场透明度、促进可持续发展刺激金融，并为欧洲商业和更加一体化的市场提供金融准入。欧洲能源数据公共空间，欧洲能源数据公共空间，采用以客户为中心的安全和令人信赖的方式，更有力地推动数据获取和跨行业共享，因为这将促进技术创新和支持能源系统的去碳化进程。数据保护官沙龙 25 欧洲农业数据公共空间，欧洲农业数据公共空间，通过处理和分析农业生产及其他数据来强化农业部门的可持续产能和竞争力，使得能在农场级别上实现精细和定制的生产方法的应用。欧洲公共管理数据公共空间欧洲公共管理数据公共空间，一是在欧盟和成员国层面提高公共支出、支出质量、反腐败的透明度和问责力度，二是满足执法需求、保障欧盟法律有效执行和确保技术创新，涉及“监管科技”、“备案科技”和“法律科技”等支持从业人员和公共利益服务的应用。欧洲技能数据公共空间，欧洲技能数据公共空间，旨在减少教育培训系统与人力市场需求方面的技能错配。本报告附件以各特定行业政策和立法为背景，更详细地说明了每一特定行业和领域的欧洲公共数据空间的细节。上述政策和法律着力于确保在不同行业和范围内形成相应的数据领域，并建议在特定行业领域内制定具体的、大规模的、以数据为中心、进度清晰可行的实施策略。欧委会可能会考虑在其他行业中依次启动另外的欧洲数据公共空间。6.一项既开放又积极主动的跨境数据治理方案一项既开放又积极主动的跨境数据治理方案 欧洲公共数据空间的前景意味着，在欧洲价值观的基础上，形成一项解决数据跨境流通的观点明确且兼容并蓄的方案。当前欧洲公司是在跨越欧盟边境的数据互联互通环境中经营的，因此实现跨境数据流通是这些公司的必备竞争力。建立在欧洲单一市场的有力监管环境基础上的欧盟，对于在欧盟法律全面合规下，引领和支持有关数据的国际合作、制定全球化标准、打造经济技术繁荣发展的市场环境等方面具有强烈的兴趣。与此同时，欧洲公司在某些第三方国家经营时，面临着越来越多的不公平壁垒和数据限制。为此，欧盟在严格遵守欧盟法律的前提下，一方面促进、保护欧洲数据处理规则和标准，另一方面通过双边谈判和国际论坛，例如 WTO，解决上述数据流通中的不公平壁垒问题。欧委会对主张、保护欧洲公民和公司的权利、义务和利益，尤其是数据保护、信息安全、公平和诚信交易方面的权责利等持有非常谨慎的态度。欧委会同时认为，国际合作必须建立在包含隐私保护在内的欧洲基本价值体系的基础上。因此，欧盟必须确保，任何对欧洲公民个数据保护官沙龙 26 人数据和欧洲商业敏感数据的获取必须符合欧盟的价值观和立法框架。在那种语境下，应当鼓励相互信任的国家进行数据共享和转移。关于个人数据，通过充分性决定，并借助能保证数据无论处于何地都受保护的其他现有转移工具，才允许进行跨国转移。此外，在不破坏欧盟个人数据保护框架的前提下，需要确保与第三方国家间自由、安全的数据流通，必须服从欧盟关于公共安全、公共秩序和其他合法公共政策目标的例外和限制规定，并且与国际义务相一致。上述要求可以使欧盟基于自身的价值体系和战略利益，制定一项既兼容并蓄又观点明确的跨国数据流通治理方案。在分析与进一步促进跨国数据流通相关的欧盟战略利益方面，欧委会将继续增强相关能力。为此目标，欧委会将建立一套评估数据流建立一套评估数据流通的分析框架通的分析框架（2021 年第 4 季度）。该框架将是一个长期有效的框架，提供可持续分析工具，分析对象为数据流通和欧盟数据处理行业的经济发展，该框架包括鲁棒的方法论、经济价值评估和数据流通中的采集机制。该体系一方面致力于在欧盟成员国之间、欧盟与非欧盟之间，更清晰地阐明欧盟的数据流通模式和重点，必要时，可作为欧委会出台充分性政策响应的基础；另一方面，还致力于推动获得更多的投资，用于克服妨碍数据流通的基础设施壁垒。所以，欧委会在一定时机将寻求与相关金融机构、国际组织等开展合作，共建数据流通评估框架。（例如欧洲投资银行（EIB）、欧洲复兴开发银行（EBRD）、经济合作与发展组织（OECD）、国际货币基金组织（IMF）欧盟应通过发挥其有效的数据监管和政策框架以吸引来自其他国家和地区的数据处理和存储，并提升源自上述欧洲公共数据空间的高附加值的创新。欧盟鼓励全世界的企业在遵守欧盟包括数据共享在内的适用规则标准的前提下，开发运用欧洲公共数据空间。众多机制将会支持第三方国家与欧洲的互联，继而增进欧盟与合作伙伴国家间进行数据交换的吸引力，包括欧盟的设施联通项目（CEF2）以及新的外部机制，如相邻地区、发展和国际合作机制和加入前的辅助机制等。与此同时，欧盟还将与全世界范围内的合作伙伴积极推广其数据管理标准和价值观55。欧盟将致力于借助国际多边谈判以反对如政府过度访问数据那样的滥用行为，例如违反欧盟数据保护规则的个人数据访问等等。为了在全球范围内推广欧洲数据治理模型，欧盟将与抱 55以下举例包括巴西和肯尼亚采纳了以 GDPR 为模板的数据治理规则。数据保护官沙龙 27 有同样数据治理标准和价值观的可信赖伙伴国开展合作，在符合其与欧洲相一致的价值观的条件下，为愿意赋予公民更强的数据控制权的其他国家提供支持。例如欧盟将帮助非洲打造有利于非洲人民和商业发展的数字经济。关键措施关键措施 建立一项适用于欧盟内部以及欧盟与外部世界的用于衡量数据流通和估算数据经济价值的框架体系，2021 年第四季度。7.结论结论 本通讯稿发布了一项欧洲数据战略，目标是推动欧盟成为全世界最有吸引力、最安全可靠、最有活力的数据敏捷型经济体，用数据赋能欧洲以改善决策和提升全体欧洲公民的生活。本战略列举了一系列为完成上述战略目标所需的政策措施和投资。风险很高，由于欧盟的技术未来依赖于其是否能够管理利用其优势，并抓住由日渐增长的数据产生和数据使用带来的机遇。数据处理的欧洲模式将在确保越来越多数据可解决社会问题和用于经济发展的同时，始终尊重并强化欧洲的共同价值观。为保证欧盟的数字未来，欧盟必须抓住数字经济中的机会窗口。数据保护官沙龙 28 欧洲数据战略附录 战略行业及公共利益领域的欧洲公共数据空间 欧洲数据战略宣布特定行业和领域数据空间的创建。本附录为这些特定行业的政策及立法提供额外的背景信息，这些政策和立法是指支持在不同行业领域中创建此类数据空间的政策和立法。1欧洲工业（制造业）公共数据空间欧洲工业（制造业）公共数据空间 欧洲拥有强大的工业基础，尤其是制造业，在该领域中，数据的生成与使用可对欧洲工业的业绩和竞争力产生重大影响。据 2018 年的一项研究预计，到 2027 年，制造业中非个人数据使用的潜在价值将达1.5 万亿欧元56。为了释放这种潜在价值，委员会将：解决与共同生成的工业数据（在工业环境中创建的 IoT 数据）使用权相关问题，这也是更广泛的数据法案（Data Act）（2021 年第四季度）中的一部分。以符合竞争规则和公平合同原则的方式，召集制造业的主要参与者在何条件下愿意共享数据以及如何进一步促进数据生成方面达成一致，尤其是通过智能互联产品共享数据及进一步促进数据生成（2020 年第二季度起）方面。如涉及个人生成数据的，则在此过程中应充分考虑个人利益，并且必须确保遵守数据保护规则。2欧洲绿色协议公共数据空间欧洲绿色协议公共数据空间 欧洲绿色协议提出了一个有野心的目标，即到 2050 年欧洲将成为世界上第一个气候中立大陆。欧委会通讯明确强调了数据对于实现这一目标的重要性。一个欧洲绿色数据空间可利用数据的主要潜力来支持绿色协议中在气候变化，循环经济，零污染，生物多样 56 德勤，2018。数据保护官沙龙 29 性，森林砍伐及合规保证方面的优先事项。在该背景下，委员会将：启动“绿色数据为人人”（GreenData4All）计划，该项计划包括评估和可能审查建立欧洲空间信息基础设施（INSPIRE）指令，以及访问环境信息指令（the Access to Environment Information Directive）（2021 年第四季度或 2022 年第一季度）。该计划将根据技术和创新契机对管理方式进行现代化改造，使欧盟公共机构，企业和公民更容易支持向绿色与低碳经济过渡，并减轻行政负担。大规模推出可重复使用的数据服务，以协助收集，共享，处理和分析大量数据，以确保遵守绿色协议中确定的优先事项相关的环境法律法规。（2021 年第四季度）为提供最相关数据的智能循环应用程序建立欧洲公共数据空间，以实现沿供应链的循环价值创造。首先，将特别关注循环经济行动计划（the Circular Economy Action Plan）中明确指出的行业，例如建筑环境，包装业，纺织业，电子业，ICT 和塑料业。将开发数字“产品护照”，以提供有关产品来源，耐用性，成分，再利用，维修和拆除可能性以及报废处理的信息。架构治理发展（2020），行业数据战略（2021），采用带产品护照的可持续产品政策（2021）以及资源映射和垃圾运输追踪（2021）。在“零污染雄心”背景下，为尽早实现 绿色协议 战略将启动一试点项目，通过利用尚未充分开发以及早期成果可以使消费者和地球直接受益的化学，空气，水和土壤排放，消费品中的有害物质等方面的数据以挖掘数据已较丰富的政策领域潜力（2021 年第四季度）。启动“拯救地球”计划“拯救地球”计划将汇集欧洲卓越的科学和工业知识，以开发出非常高精度的地球数字模型。为支持可持续发展，这项具有开创性的计划将提供一个数字建模平台，以可视化、监控和预测地球上的自然和人类活动，从而支撑绿色协议中规定的欧洲为改善环境做出的努力。从2021年开始，将逐步建造地球的数字孪生。数据保护官沙龙 30 3欧洲出行公共数据空间欧洲出行公共数据空间 在数据共享的辩论中，交通运输和出行一直处于最前沿状态，在该领域中欧盟拥有许多资产。这涉及汽车行业，其中联网汽车以及其他交通运输方式很大程度上依赖数据。所有交通运输方式和物流中的数字化和数据将是“欧洲交通运输系统”，尤其是即将到来的“智能及可持智能及可持续交通运输战略续交通运输战略”（2020 年第四季度）进一步工作的重要组成部分。这将包括所有交通运输部门的行动，以及跨模式数据共享物流和旅客生态系统的行动。汽车行业 如今，现代汽车每小时产生约 25 GB 的数据，而无人驾驶汽车将产生数 TB 的数据，该数据可用于与创新性出行相关的服务以及维修与保养服务。在该领域的创新需要根据许多不同经济参与者之间的竞争规则，以安全且框架合理的方式共享汽车数据。自 2007 年以来，欧盟车辆认证法规57对车内数据的访问进行了监管，以确保独立维修人员能够公平地访问某些汽车数据。汽车行业 当今，现代交通工具每小时产生约 25 GB 的数据，而自驾车将产生数 TB 的数据，这些数据可被用于与创新出行相关的服务及维修和保养服务。在这一领域的创新，需要根据许多不同经济参与者之间的竞争规则，以安全且结构合理的方式共享汽车数据。自 2007 年以来，欧盟车辆认证法规57对车内数据的访问进行了监管，以确保独立维修人员能够公平地访问某些汽车数据。目前这项法规正在更新，考虑到越来越多地使用连通性（3G-4G，所谓的远程诊断）58，尊重生成数据的车主的权利和利益，并确保遵守数据保护规则。完整的运输系统 预计 2015-2050 年间客运活动将增长 35。预计到 205059，内陆模式的货运量将比客运量增长更快，达到 53。数字化和数据在支持运输可持续性方面发挥着越来越重要的作用。几个立法框架已经包含 57 法规（欧委会）715/2007。58 按照条例第 61 条的要求（欧盟）2018/858。59 深入分析，支持欧盟委员会通信委员会 COM（2018）773“人人共享清洁地球：一个繁荣的、现代化的、有竞争力的和气候中立经济的欧洲长期战略愿景”。数据保护官沙龙 31 数据共享义务，这些义务建立了数据集列表（包括有关公共交通的数据集）。此外，数字运输和物流论坛正在致力于研究“联合平台”的概念，明确哪些工作需要在欧盟一级完成，以通过连接不同的公共和私人平台来促进数据共享/再利用。再者，在提供数据的会员国中存在提供数据的国家接入点网络，以便利用公共和私营部门生成的数据，服务于道路安全、交通和多式联运旅行信息服务。在公共交通系统中广泛使用数据，具备一定潜力使服务更高效、更环保、对客户更友好。数据用于改善交通系统也是智慧城市的主要特征。委员会将：审查当前针对机动车辆的欧盟类型认证法规（当前侧重于维修和保养的无线数据共享），以将其开放给更多基于汽车数据的服务（2021 年第一季度）。审查将特别关注汽车制造商如何访问数据，完全符合数据保护规则以及车主的角色和权利所需要的程序。审查 欧洲内河航运综合信息指令60和 智能交通系统指令61，包括其进一步促进数据可用性、再利用和互通性（2021 年）的授权条例，并建立更强有力的协调机制，以联合根据欧盟范围内的 CEF项目支持行动（2020 年）所建立的国家接入点。修订关于单一欧洲天空计划62的法规提案，纳入关于数据服务提供商数据可用性和市场准入的新规定，以促进空中运输管理的数字化和自动化（2020 年）。这将提高空中运输的安全性、效率和能力。审查 2022 年铁路运输中可互通数据共享的监管框架。按照海上单一窗口条例63预见性的规定，在电子货运信息管理条例64（2021 年第三季度和 2022 年第四季度分别通过的首个此类法案）中建立常规数据集，以最终通过稿为准，以促进企业和监管机构之间的数字交换和数据再利用。60 指令 2005/44/EC。61 指令 2010/40/EU。62 COM（2013）410 最终版。63 法规（欧盟）2019/1239。64 与共同立法者的谈判已经结束，预计将于 2020 年年中通过。数据保护官沙龙 32 4.欧洲健康数据公共空间欧洲健康数据公共空间 当前的监管和研究模型依赖于获取健康数据，包括患者个人维度的数据。加强和扩大卫生数据的使用和再利用对于卫生保健部门的创新而言至关重要。它还可以帮助医疗机构基于证据做出决策，以提升医疗系统的可访问性、有效性和可持续性。这也有助于提升欧盟产业的竞争力。更好地获取健康数据可以极大地支持医疗体系中监管机构的工作、对医疗产品进行评估以及发挥其安全性和有效性的示范作用。公民尤其有权访问和控制其个人健康数据并主张可携权，但该权利的实施是不成体系的。努力确保每个公民都能安全访问其电子健康记录（EHR），并确保其数据（境内外）的可携带性，将改善医疗服务的可获得性和医疗质量，医疗服务的成本效益并有助于医疗卫生系统的现代化建设。公民还可以得到保证，一旦他们同意共享其数据，医疗保健系统将以合乎伦理的方式使用这些数据，并确保公民可随时撤回其同意。健康是欧盟可以从数据革命中受益的一个领域，可以提高医疗质量，同时降低成本。进展往往取决于会员国和医疗健康服务提供者是否愿意联合起来，找到符合 GDPR 的合规方式使用和融合数据的，而据此，健康数据应得到特别保护。虽然 GDPR 为使用健康个人数据创造了一个平等竞争的环境，但成员国内部和成员国之间仍然存在分裂现象，访问数据的治理模式也多种多样。数字医疗服务的整体格局仍然支离破碎，尤其是在提供跨境服务时。委员会将：为欧洲卫生数据空间制定针对具体部门的立法或非立法措施，补充共同数据空间的联合框架。采取措施加强公民获取卫生数据以及这些数据的可携带性，解决跨境提供数字卫生服务和产品的障碍。按照 GDPR 第 40 条，加快制定卫生部门个人数据处理行为守则。这些行动将建立于一个持续进行的会员国个人健康数据使用情况信息的跟进和在健康规划（2020-2023）语境内联合行动结果的基础上65。采取措施加强公民对健康数据的可访问性、可携带性，以应对跨境数字健康业务和产品中的障碍。依据 GDPR 第 40 条，促 65https:/ec.europa.eu/health/funding/programme_en.数据保护官沙龙 33 进建立健康部门个人数据处理行为守则。这些行动将建立在会员国对个人健康数据的使用和卫生计划（2020-2023）范围内联合行动的结果的持续绘制基础上。为欧洲健康数据空间部署数据基础设施、工具和计算能力，特别的，支持国家电子健康数据记录（EHRs）的发展和通过电子医疗记录交换形式的应用支持健康数据的互操作。通过安全、联邦资料库、以及符合 GDPR 要求的指定健康信息，如 HER、基因组信息（2025 年前至少包含 1 千万用户）、数据健康图像，扩大健康数据的跨境交换规模。2022 年前，在加入电子健康业务基础设施（eHDSI）的 22 个成员国间启动电子病患摘要和电子处方的交换。通过 eHDSI 医疗图像、实验室结论、出院报告，启动跨境电子交换，增强虚拟咨询模式和欧洲参考网络注册。支持网络监管推动的大数据项目。这些行动将支持预防、诊断和治疗（特别是癌症、不常见疾病、常见和复杂疾病），以及支持各国公共医疗健康领域研究、创新、政策制定和法律活动。5.欧洲金融数据公共空间欧洲金融数据公共空间 在金融部门，欧盟立法要求金融机构发布数字产品、交换数据、金融结果等重要数据。而且，修改的支付服务条例针对开放银行业务标记了重要一步，该条例允许向消费者和商业机构提供创新的支付服务，使该类支付服务访问消费者和商业机构的银行账号数据。进一步的，增强数据共享能够在刺激创新的同时达成欧盟层面其它的重要政策目的。委员会将在其即将于 2020 年第三季度发布的数字金融战略中针对此问题制定具体举措，并考虑以下因素：委员会将进一步加速对一些法律强制的公开披露的金融数据或监管报告数据的访问，例如，通过促进使用有利于竞争的通用技术标准。这些措施将促进高效的处理公共可访问数据，从而有利于其它公共利益的政策，包括通过更加集成的资本市场为欧洲商业加强金融介入，以及提高市场透明度和支撑可持续的欧盟金融业。基于近期的开放金融市场发展，委员会将继续确保修改的支付数据保护官沙龙 34 业务条例的有效实施，并在这项举措上开发其它步骤和行动。6.欧洲能源数据公共空间欧洲能源数据公共空间 在能源部门，多项条例建立了消费者访问和携带其仪表和能源消耗数据机制，并以透明、无歧视、法律合规的方式实现上述操作，指定的管理框架正在国家层面定义，法律也已规定了电力网络运营商的数据共享责任。关于网络安全，相应的工作正在解决能源相关的挑战，特别是：实时需求、级联效应、传统技术和智能/新兴技术的融合。以安全和可信的方式使得数据可获得和多个部门之间共享数据，将会加速创新解决方案和支持能源系统脱碳。委员会将会作为智能部门整合策略的一部分解决这些问题，如委员会在欧洲绿色协议上发布的，上述策略将会在本年度第二个季度被接受。委员会将：采纳执行法66启动的互操作需求和非歧视、透明的访问数据，并建立在以 2019/944 电力条例为基础的现有的国家实践。（2021/2022）考虑采取在智能楼宇和产品间提高互操作性的行动，以提高能源利用率，优化本地能源消耗和扩大可再生能源的整合。（Q4 2020）7.欧洲农业数据公共空间欧洲农业数据公共空间 数据对增强农业部门的可持续发展和竞争力提升是一项关键因素。处理和分析产品数据，特别是和供应链其它数据及其它类型的数据结合，例如地球观测或气象数据，使得精确的、量身定制的产品应用在农场层面落地。欧盟利益相关者曾在 2018 年开发了一份通过合同协议指导农业进行数据共享的指南，涉及农业部门和机械部门。基于现有数据共享方法的农业数据共同数据空间可以引导建立一个共享和汇集农业数据的中立平台，其中包括私有的和共同的数据。这可以支持创新的数据驱动生态的涌现，这种数据驱动生态是基于公平协议关系，也能增强监控和执行共同政策的能力，同时减少政府和受益人的管理负担。2019 年，成员国已联手签署了关于“欧洲农业和 66第 24 条指令（欧盟）2019/944 数据保护官沙龙 35 农村地区智能、可持续的数字未来”67的合作宣言，宣言识别了农业部门潜在的数字技术，并支持建立数据空间。委员会将：与会员国和在基于合同协议的农业数据共享方面有过指导经验的利益相关者组织评估，同时这一举措也基于数字农业解决方案当前市场状态以及对数据可用和利用方面的需求。与利益相关者和成员国评估当前农业数据空间的使用状况，包括由 Horizon 2020 计划提供的资金，并就欧盟的方法制定决策。（2020 第四季度/2021 第一季度）8.欧洲公共管理数据公共空间欧洲公共管理数据公共空间 公共管理是一个很大的不同领域数据的制造者和使用者，公共管理的数据空间也将反应这点。这一领域的行动将聚焦在法律、公共流程数据和公共感兴趣的其他领域，例如根据欧盟法律改善欧盟执法所使用的数据，包括比例原则和数据保护规则。公共采购数据对于提升公共开销的透明性和可追责性、打击腐败和改善支出质量都是十分必要的，公共采购数据在各成员国多个系统间非常广泛，公共采购数据分布在会员国的多个系统中，以不同的格式提供，并且不易实时用于政策目的的使用。很多情况下，数据质量都需要提升。同样，无缝访问和容易的重用欧盟和成员国立法、法学以及有关电子司法服务的信息，这不仅对有效实施欧盟法律至关重要，而且还可以激活创新的“法律技术”应用来支持从业者（法官、公职人员、公司法律顾问和私人执业律师）。委员会将：为涵盖欧盟范围（欧盟数据集，例如 TED68）和国家范围（2020年第四季度）的公共采购数据制定数据计划。它将以采购数据治理框架为补充（2021 年第二季度）；与会员国密切合作，发布在欧洲和国家层面举行的关于通用标 67已有 25 个成员国签署了宣言。宣言进一步信息，请见 https:/ec.europa.eu/digital-single-market/en/news/eu-member-states-join-forces-digitalisation-european-agriculture-and-rural-areas.68招标电子日报 数据保护官沙龙 36 准和可互操作的法律信息69框架的指南（2021 年第一季度）；与成员国一同确保欧盟预算执行相关的数据是可追溯的、可访问的、可互操作的、可重复使用的。9.欧洲技能数据公共空间欧洲技能数据公共空间 技术人才是欧洲最强有力的资产，在全球的人才竞争中，欧洲教育和培训体系以及人力市场需要尽快适应新兴的技术需求。这需要在人才的资质、学习机会、工作和技能上高质量数据。在过去几年，委员会已经发布了一定范围的公开标准、参考架构和语义资产，以提高数据质量和互操作性70。如在数字教育行动计划71中公布的，委员会也开发了 Europass 数字凭证架构，用以向学生以安全和可操作的数字形式发行凭证。委员会还将：支持成员国开发数字凭证转换计划，以及支持为资质和学习机会的可重复使用数据集所做的准备。（2020-2022）为持续管理 Europass 数字凭证架构建立治理模型，并与成员国和关键利益相关者密切合作。（到 2022 年）10.欧洲开放科学云欧洲开放科学云 除了创建 9 个共同欧洲数据空间，欧盟还将继续欧洲开放科学云，欧洲开放科学云通过可信的和公开分发的数据环境和服务为欧洲研究学者、创新者、公司和公民提供无缝接入的和可靠的复用的研究数据。因此，欧洲开放科学云是科学，研究和创新数据空间的基础，该数据空间会将研究和部署程序产生的数据汇总在一起，并将与部门数据空间连接并完全结合。委员会将：至 2025 年部署欧洲开放科学云来服务欧盟研究学者。指导利益相关者驱动的 EOSC 管理架构的基础开发，到 2020 年底启 69例如：有关使用 ELI 和 ECLI 标识符的信息，以及在线发布带有官方翻译的法律，以支持进一步使用机器翻译。70例如：Europass 学习模型；欧洲终身学习资格框架（EQF）；欧洲技能、能力、资格和职业（ESCO），数字能力框架（DigComp）。71COM（2018）22 最终版。数据保护官沙龙 37 动相应的 EOSC 欧洲合作伙伴关系。从中期来看，从 2024 年起，与更广泛的公共部门和私营部门开放、连接和阐明研究领域之外的 EOSC。数据保护官沙龙 1 数据保护官沙龙（DPO Salon）公益出品 欧洲人工智能白皮书 中译文中译文 翻译：（姓氏音序排名）蔡明阳 李北方 李玲 王新锐 吴柯君 徐菲 审校：高亚鹏 朱宣烨 2020 年 3 月 署名-非商业性使用-禁止演绎 2.5 中国大陆 数据保护官沙龙 2 目 录 引言引言 .3 3 利用工业和专业市场的优势利用工业和专业市场的优势 .5 5 把握机遇：下一次数据浪潮把握机遇：下一次数据浪潮 .5 5 卓越生态系统卓越生态系统 .9 9 信任生态系统：信任生态系统：人工智能人工智能的监管框架的监管框架 .2323 结论结论 .2323 数据保护官沙龙 3 人工智能白皮书 通往卓越和信任的欧洲路径 人工智能迅速发展，它将通过改善医疗服务（例如，更精确地作出诊断，更好地预防疾病），提高农业耕作效率，促进气候变化缓解和适应，通过预见性维护来提高生产系统效率，保护欧洲居民的安全，以及其他我们仅开始想象的一些方式来改善我们的生活。同时，人工智能带来许多潜在风险，例如决策不透明、性别歧视或其他形式的歧视、对私人生活的侵犯或人工智能被用于犯罪。在激烈的全球竞争背景下，我们需要基于2018年4月欧洲人工智能战略1形成稳固的欧洲路径。为应对人工智能带来的机遇和挑战，欧盟必须作为一个整体，基于欧洲价值观来确定自己的方式，以促进人工智能的部署和发展。欧盟委员会（下简称委员会）致力于实现科学突破，维护欧盟的技术领先地位，确保新技术为全体欧洲居民服务，即改善他们的生活，同时又尊重他们的权利。委员会主席乌苏拉冯德莱恩在其政治指导方针2中宣布，欧洲采取统一路径来处理人工智能对于人类和伦理的影响，并反思如何更好地利用大数据进行创新。因此，委员会支持以监管和投资为导向，以促进人工智能的应用和解决应用这项新技术时所带来的风险为目标。本白皮书的目的是就如何实现上述目标提出政策选择。本白皮书不涉及用于军事目的的人工智能的开发和使用。委员会邀请成员国、其他欧洲机构和包括工业界、社会合作伙伴、民间社会组织、研究人员、公众在内的所有利益相关方和其他相关人员，对下列方案进行反馈，并为委员会未来在人工智能领域的决策作出贡献。1 欧洲人工智能,COM/2018/237 最终版 2 https:/ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf 数据保护官沙龙 4 1、引言、引言 随着数字技术在人类生活的各个方面占有越来越重要的地位，人们应该对数字技术给予信任，数据可信度是信任的前提。鉴于欧洲对价值观和法治的高度重视，以及具备在航空、能源、汽车和医疗设备等领域均可提供安全可靠、先进产品和服务的能力，这对于欧洲而言是一个机遇。欧洲越来越多地利用数据创造的价值，来保证当前和未来的可持续经济增长和社会福利。人工智能是数据经济最重要的应用之一。目前大部分数据都与消费者相关，并在云计算中心的基础架构上进行存储和处理。相比之下，未来更丰富的数据中会有很大一部分来自工业、商业和公共部门，并将存储在不同的系统，尤其是存储在网络边缘的计算机设备上，这为欧洲提供了新的机遇。欧洲在数字化行业和企业间电子商务应用具有较大优势，但在消费者平台相对较弱。简而言之，人工智能是数据、算法和计算能力的技术集合。因此，计算技术的进步和提高数据可用性是当前人工智能兴起的关键驱动力。欧洲可以将其技术和工业的优势与高质量的数字基础设施，以及基于欧洲基本价值观的监管框架相结合，从而成为欧洲数据战略3中所述的数据经济及其应用创新的全球领先者。在此基础上，欧洲可以开发一个人工智能生态系统，从而将技术优势带给整个欧洲社会和经济：就公民而言，能够获得新福利，例如医疗服务的改善、家用机械故障的减少、更安全和清洁的交通系统、更好的公共服务；就商业发展而言，例如在一些欧洲已具有优势地位的领域（机械、运输、网络安全、农业、绿色循环经济、医疗保健以及时尚业和旅游业等高附加值的行业）创造新一代的产品和服务；就公益服务而言，例如通过降低提供服务的成本（运输、教育、能源和废物管理），改善产品的可持续性4以及为执法机构配备适当的工具以保障公民安全5，采取适当的保障措施以尊重公 3 COM(2020)66 最终版 4 总体而言，人工智能和数字化是欧洲绿色协议关键助推力。然而，目前信息通信技术部分的环境足迹估计占全球总排放量的 2%以上。同期发布的欧洲数字战略提出了数字化的绿色转型措施。5 人工智能工具为更好地保护欧盟居民免受犯罪和恐怖主义侵害提供机会。例如，这些工具可以帮助识别网络恐怖主义宣传、发现销售危险产品的可疑交易、识别危险隐藏物品或非法物质或产品，在紧急情况下向公民提供援助，并帮助指导急救人员。数据保护官沙龙 5 民的权利和自由。鉴于人工智能可能对社会产生的重大影响，以及建立对人工智能信任的需要，因此基于我们价值观和基本权利（例如，人权和隐私保护）的欧洲人工智能变得至关重要。此外，不仅要从个人的角度衡量人工智能系统的影响，还应从社会作为一个整体的角度进行考虑。人工智能系统的使用在实现可持续发展、支持民主进程和社会权利方面可以发挥重要作用。在最近“欧洲绿色协议”6的提案中，欧洲在应对与气候和环境相关的挑战中处于领先地位。人工智能等数字科技是实现绿色协议的关键助推力。鉴于人工智能的重要性日益提高，必须在整个生命周期和供应链中适当考虑人工智能系统对环境的影响，例如将人工智能用于算法训练和存储数据资源。为了达到足够的规模并避免单一市场的分散化，欧洲必须采用统一的人工智能路径。国家主动采取措施可能危害法律确定性，削弱公民信任以及阻碍一个充满活力的欧洲产业兴起。本白皮书介绍了在充分尊重欧盟公民的价值观和权利的情况下，实现欧洲人工智能可信赖及安全发展的政策选择。以下为本白皮书的主要组成部分：本政策框架规定了在欧洲、国家和区域层面协调各项工作的措施。该框架的目的是从研究和创新开始，通过私人和公共部门之间的伙伴关系，调动资源以在整个价值链中实现“卓越生态系统”，并制定适当的激励措施，以加速企业采取利用人工智能的解决方案（包括中小企业在内）。未来欧洲人工智能监管框架中的重要组成部分是创建一个独一无二的“信任生态系统”。为此，欧洲人工智能必须确保符合欧盟法律，包括保护公民基本权利和消费者权益，特别是针对在欧洲运营具有高风险的人工智能系统法律7。建立“信任生态系统”本身就是一个政策目标，应使公民有信心接受人工智能的应用，并给企业和公共组织使用人工智能进行创新提供法律确定性。委员会大力支持根据有关在以人为本的人工智能技术上建立信任的通讯 文件形成以人为本的路 6 COM(2019)640 最终版 7 尽管可能需要采取进一步措施预防和打击将人工智能用于犯罪，这已超出本白皮书的范围。数据保护官沙龙 6 径8，同时参考到人工智能高级别专家组制定的 道德规范 试行阶段获得的意见。本白皮书同期发布的欧洲数据战略旨在使欧洲成为世界上最有吸引力、最安全和最具活力的数据导向经济体，即欧洲运用数据改善决策能力和提高全体居民的生活水平。该战略提出了许多实现上述目标所需的政策措施，其中包括动员个人和公共投资。最后，同期的委员会报告中分析了人工智能、物联网和其他数字技术对安全和责任立法的影响。2、利用工业和专业市场的优势、利用工业和专业市场的优势 欧洲正从人工智能的发展中受益，不管是作为用户，还是这项技术的创造者和生产者。欧洲具有出色的研究中心、创新型创业公司，在机器人技术和汽车、医疗保健、能源、金融服务和农业等充满竞争的制造与服务领域中，均处于世界领先地位。欧洲已经开发了强大的计算机基础架构（例如高性能计算机），这对人工智能功能的实现至关重要。此外，欧洲拥有大量的公共和工业数据，其潜力目前仍未得到充分发掘。欧洲在低功耗的安全数字系统中具有公认的工业优势，对人工智能的进一步发展至关重要。欧盟在下一代技术和基础设施，以及在信息素养等数字能力方面的投入，将增强欧洲在数据经济的关键技术和基础设施方面的技术主权。基础设施建设应支持创建可信赖的人工智能欧洲数据池，例如基于欧洲价值观和法规的人工智能。欧洲应利用自身优势来提高其在生态系统以及整个价值链中的地位，从某些硬件制造行业到软件，再到服务行业。上述情况在一定程度上已发生，欧洲生产了全球超过四分之一的工业和专业服务机器人（如精准农业、安全、卫生、物流等领域），并且在为公司和组织开发和使用软件应用程序（企业间的电子商务应用，如企业资源规划，设计和工程软件），以及电子政务和“智能企业”应用程序中发挥着重要作用。欧洲在将人工智能应用于制造业方面处于领先地位，超过半数的欧洲顶级制造商在制造业务中至少利用了一个人工智能的应用9。8 COM(2019)168 9 紧随其后的是日本（30%）和美国（25%），来源：Gap Gemini（2019）数据保护官沙龙 7 欧盟资助计划在汇集行动、避免重复以及利用成员国的公共和私人投资方面发挥了重要作用，这是欧洲在研究领域具有优势地位的原因之一。在过去三年中，欧盟在人工智能研究和创新投入的资金已增至15亿欧元，同比增长70%。然而欧洲在研究和创新领域的投入，依然只是世界上其他地区公共和私人投资的一小部分。在2016年，相比于北美的121亿欧元和亚洲的65亿欧元资金投入，欧洲在人工智能方面的投入约为32亿欧元10。因此，欧洲需要大幅提高其在人工智能领域的投资力度。成员国共同制定的 人工智能协调计划11是在欧洲建立更密切的人工智能合作，在人工智能价值链上创造协同效应，以实现投资效益最大化的良好起点。3、把握机遇：下一次数据浪潮、把握机遇：下一次数据浪潮 即使欧洲目前在消费者应用程序和线上平台上处于较弱的地位，这导致了数据访问的竞争劣势，但跨部门的数据价值实现和重复利用正在发生重大转变。全球产生的数据量正在快速增长，从2018年的33兆字节，预计到2025年将增长到175兆字节12。每次数据浪潮都为欧洲带来新的机遇，使其可以在数据敏捷经济中找到定位，并成为该领域的世界领导者。此外，在未来五年中，存储和处理数据的方式将发生巨大改变。如今，80%的数据处理和分析是发生在数据中心的云端上和集中的计算机设施中，20%发生在智能互联物体中，例如汽车、家用电器或制造机器人，以及用户附近的计算设备中（“边缘计算”）。到2025年上述比例将发生显著变化13。欧洲是低功耗电子产品的全球领导者，这是下一代人工智能专用处理器的关键，目前该市场并非由欧盟主导。在“欧洲处理器计划”和“关键数字技术联合项目”的帮助下，这种情况可能将发送改变。“欧洲处理器计划”的重点是为边缘和下一代高性能计算开发低功耗的计算系统，而“关键数字技术联合项目”计划将于 2021 年启动。欧洲在神经形态解决方案14方面也处于领先地位，非常适合自动化工业流程（工业 4.0）和运输方式。以上所述计划和优势可将能源效率提高几 10 人工智能和自动化时代欧洲的 10 大当务之急麦肯锡（2017）11 COM(2018)795 12 IDC(2019)13 Gartner(2017)14 神经形态解决方案是指任何大规模的系统集成电路，模拟神经系统中存在的神经生物结构。数据保护官沙龙 8 个数量级。量子计算的最新进展将使处理能力呈指数级增长15。欧洲凭借其在量子计算方面的学术实力，以及欧洲工业界在量子仿真器和量子计算编程环境中的强大地位，可以在这项技术中走在前列。欧洲启动旨在增加量子测试和实验设施可用性的计划，这将有助于将这些新的量子解决方案应用于更多工业和学术领域。同时，欧洲将凭借自身的科学卓越性，在人工智能的算法基础上继续引领潮流。有必要在当前独立的学科之间建立桥梁，例如机器学习、深度学习（其特征为有限的可解释性，需要一个大容量的数据库来训练模型和进行相关学习）和象征性方法（通过人工干预创建规则）。将符号推理与深度神经网络相结合可以帮助我们提高人工智能结果的可解释性。4、卓越生态系统卓越生态系统 为了建立“卓越生态系统”，以支持整个欧盟经济体和公共管理领域人工智能的发展和应用，我们需要在多个层面采取行动。A.与成员国合作 落实 2018 年 4 月通过的人工智能战略16，在 2018 年 12 月委员会提出了促进人工智能在欧洲发展和应用的协调行动计划17。这项计划提出了约 70 项联合行动，以期在研究、投资、市场销售、技能和人才、数据和国际合作等关键领域，成员国和委员会进行更紧密和有效的合作。该计划预计运行至 2027 年，并伴随着定期监督和审查，目的是使研究、创新和部署投资的影响最大化，评估国家级的人工智能战略，并与成员国建立和拓展人工智能协调计划。措施1：委员会将参考白皮书的征求意见结果，向成员国提出修订人工智能协调计划的建议，该计划将于2020年底通过。欧盟的人工智能经费应该集中投资于依靠任何单一成员国行动均无法实现目标的领域。欧盟目标是在未来十年内每年在区域内吸引 15 量子计算机将有能力在不到几秒的时间内，处理比目前性能最高的计算机大很多倍的数据集，这使得跨部门开发新的人工智能应用成为可能。16 COM（2018）237 17 COM（2018）795 数据保护官沙龙 9 超过 200 亿欧元18的总投资。为了刺激私人投资和公共投资，欧盟提供来自“数字欧洲计划”、“地平线欧洲”和欧洲结构和投资基金的资源，以满足欠发达地区和边远地区的需求。人工智能协调计划 可以将社会和环境福祉作为人工智能的关键原则。人工智能系统应保证帮助解决目前最紧迫的问题，其中包括气候变化和环境恶化，以环保的方式进行该计划也同等重要。人工智能可以并且应该自主严格审查资源使用和能源消耗，接受培训以做出对环境有利的选择。委员会将与成员国一起研究鼓励和促进人工智能发展的方案。B.着力于研究和创新委员会 欧盟不应维持现在研发力量分散的布局形势，且目前并没有一家机构具有能与全球顶尖机构竞争的规模。现在迫切需要建立更多欧洲人工智能研发中心的联合体和合作网络，协调他们的力量以提高卓越度，吸引和留住最好的研发人员并发展最尖端的科技。欧洲需要一个集研发创新和高度专业的具有灯塔意义的研发中心，以整合上述力量，成为人工智能领域世界级的优秀标杆机构，这将吸引该领域最优质的人才以及获得大量投资。研发中心和网络应当集中发展欧洲有潜力成为全球霸主地位的产业，如工业、卫生、交通业、金融业、生鲜农产品供应链、能源/环境、畜牧业、地球及太空观测等。这些领域的全球领导权竞争加大，但是欧洲具有足够的知识储备和专业度以及巨大的潜力19。另外一个同样重要的方面是建立测试和试验场所，以支持上述产业发展以及未来人工智能的创新应用。措施2：委员会将推动创造卓越（产业）以及试验中心的建立，这些措施将包括整合欧洲个人、国家以及私人机构的投资，其中可能包括制定一部新的法律。委员会已提议一笔雄厚的专项拨款，以按照“数字欧洲计划”在欧洲建立一个世界级的试验中心，并辅以“地平线欧洲计划”中的研究和创新措施。“地平线欧洲计划”是“2021-2027年多年度财政框架”的一部分。C.技能 18 COM(2018)237 19 未来欧盟“永久结构性合作”(PESCO)防务协定也将寻找和提供发展人工智能的机会。这些项目将于与扩展人工智能民用的项目同步进行 数据保护官沙龙 10 欧洲人工智能路径应当强烈集中于技能优势以填补其能力短板20。委员会不久将提交一份加强技能的计划，以确保欧洲所有人均能从欧盟和经济的环保和数字转型中受益。举措还包括监管部门增强人工智能的技能以高质高效地执行相关规则。更新的“数字化教育行动计划”将有助于更好地利用数据和以人工智能为基础的技术，如学习和预测分析，目的是提升教育和培训系统以适应数字化时代。该项计划也将在所有教育层级提升人工智能意识，培养民众接受将受到人工智能持续影响的决定。培养利用人工智能工作的必要技能以及提升劳动力的素质，适应人工智能引领的变革将是修订后的 人工智能协调计划 的优先事项，成员国家共同修订该计划。其中包括对于人工智能开发者要求的转变，将职业道德指南中的评估清单变成“必修课”，这些“必须课”材料将成为培训机构可获取资源，尤其要努力加强女性在人工智能领域的的培训和雇用。此外，欧洲发挥灯塔作用的人工智能研发和创新中心将吸引全球人才，原因在于其提供的无限可能性。该中心也将促进和传播技能的卓越性，这些卓越的技能根植于欧洲，并且在欧洲广泛发展。措施3：通过先进的技术，建立和支持由顶尖大学和高等教育机构组成“数字欧洲计划”的网络支柱，以吸引最好的教授和科学家，并且提供世界顶尖的人工智能硕士课程。除了提升技能，人工智能系统将在车间直接对工人和雇主发挥作用。社会伙伴将是保证以人为本的方法的人工智能运用到工作中的关键因素。D.聚焦中小企业 保证中小企业能够接触和使用人工智能将同样重要。为实现此目标，应当进一步加强“数字化创新中心”21和“人工智能按需平台”22的作用，并且促进中小企业间的合作。“数字欧洲计划”将为上述目标的实现发挥重要作用。所有的数字化创新中心应当帮助中小企业理解并且 20 https:/ec.europa.eu/jrc/en/publication/academic-offer-and-demand-advanced-profiles-eu 21 ec.europe.eu/digital-single-market/en/news/digital-innovation-hubs-helping-companies-across-economy-make-most-digital-opportunities.22 www.AI4eu.eu.数据保护官沙龙 11 采用人工智能，但是每个成员国家至少应当有一个在人工智能领域具备高专业性的创新中心，这一点至关重要。中小企业以及创业公司将有权获得资助以使其能够调整自身生产过程或创新地使用人工智能。通过即将在人工智能和区块链上设立一亿欧元试验投资基金，委员会计划通过“欧盟大型投资基金”（InvestEU）进一步加大对人工智能的资金支持23。人工智能被明确包含在“欧盟大型投资基金”保证可以使用的范围之内。措施4：委员会将与成员国家合作，以保证成员国际至少有一个在人工智能领域具备高专业性的数字化创新中心。数字化创新中心可由“数字欧洲计划”进行支持。委员会以及欧洲投资基金将在 2020 年第一季度发起设立一亿欧元的权益融资试验计划，以支持人工智能创新发展。在遵守“2021-2027 年多年度财政框架”的最终约定的前提下，委员会计划从 2021 年起通过“欧盟大型投资基金”显著加大多人工智能的资金支持。.与私有机构的伙伴关系 保证私有机构全面参与到研发和创新日程的制定，并提供必要的共同投资也很重要。这要求设立一个具有广泛基础的公私合作伙伴关系，并且保证实现公司顶层管理的承诺。措施：在“地平线欧洲计划”的背景下，委员会将在人工智能、数据和机器人领域设置新的公私合作伙伴关系，以集中力量，保证人工智能研发和创新的协同发展。委员会也将与“地平线欧洲计划”其他的公共私合作伙伴关系进行协作，并且与上文提到的试验设施以及数字化创新中心共同合作。公共部门推进人工智能使用 公共管理部门、医院、事业单位、交通服务部门、金融监管机构以及具有公共利益职能的其他领域应当迅速开始将人工智能产品和服务部署到他们的活动中很重要。特别应当重视健康医疗以及交通运输这些具有成熟技术可进行大规模部署的领域。措施：委员会将启动开放、透明的部门间对话机制，其中优先在医疗保健、农村行政管理和公共服务管理机构中进行，以提出一项 23 Europe.eu/investeu.数据保护官沙龙 12 推进研发、试验和实际应用的行动计划。部门间对话将被用于准备一份具体的“采用人工智能计划”，该计划将用于支持政府采购人工智能系统，并且帮助政府自身采购流程的转变。访问数据和计算基础设施 本白皮书所涉领域是对与欧洲数据战略同步提交的计划的补充。改善访问数据渠道和提升数据管理水平是基础。没有数据，人工智能的发展和其他数字化应用都是不可能的。大量将可能产生的新数据给欧洲带来了新机遇，使其站在数据和人工智能产业转型的最前沿。推动尽责数据管理实践以及遵守数据公平原则将有助于建立信任机制，并且可确保数据的再利用性24。此外，对于关键计算科技和基础设施的投资也同样重要。委员会已经根据“数字欧洲计划”提出超过 40 亿欧元的资金投入以优先支持高性能技术及量子计算，包括边缘计算和人工智能、数据化和云技术基础设施的发展。欧洲数据战略进一步促进上述优先事项的发展。国际方面 欧洲在建立围绕共同价值认同及推进遵循道德要求使用人工智能的同盟关系上，很好地实践了自身全球性领导地位。欧盟在人工智能方面的工作已经对国际探讨产生了影响力。在建立道德指南时，高级别专家组吸纳了许多非欧盟组织和其他政府观察国。同时，欧盟密切参与了经济合作与发展组织（OECD）对人工智能道德原则的制定25。随后二十国集团在 2019 年 6 月公布的“二十国集团贸易和数字化经济部长会议声明”中采纳了上述原则。与此同时，欧盟意识到其他多组织和部门正在进行关于人工智能的重要工作，包括欧盟议会、联合国教科文组织、经济合作与发展组织，世界贸易组织以及国际电信联盟。在联合国，欧盟对数字化合作高级别专家组提交报告（其中包括了对人工智能的建议）进行跟进。24 Findable,Accessible,Interoperable and Reusable as stated in the Final Report and Action Plan from the Commission Expert Group on FAIR data,2018,https:/ec.europa.eu/info/sites/info/files/turning_fAIr_into_reality_1.pdf.25 https:/www.oecd.org/going-digital/AI/principles/数据保护官沙龙 13 欧盟将持续与志同道合的国家以及人工智能的全球参与者进行合作，在遵守欧盟规则和价值观的前提下（如支持监管政策的融合，支持访问包括数据在内的关键资源，创造公平的竞争环境）。委员会将密切追踪第三国限制数据流动的政策，在双边贸易谈判中和世界贸易组织活动中采取适当的限制措施。委员会坚信人工智能的国际合作必须建立在推动尊重基本人权的前提下，包括人的尊严，多元主义、包容原则、非歧视原则以及保护隐私和个人信息26，并努力将其价值观输出到全世界27。显然尽责地发展和使用人工智能是实现可持续发展目标的重要助推力，并且可助力 2030 年日程的提前实现。5、信任生态系统：人工智能的监管框架、信任生态系统：人工智能的监管框架 与其他任何新技术一样，人工智能既带来了机遇，也带来了风险。民众担忧在面临算法规则、系统规则决策的信息不对称时，无力捍卫自身权利和保护自身安全。法人实体也担心法律的不确定性。尽管人工智能可以帮助保障民众安全，并可以使他们享受到基本人权，但民众也担心人工智能可能造成意料之外的影响，甚至被恶意使用。上述问题均需要被解决。此外，除了缺乏投资和技能，信任的缺乏也是阻碍人工智能广泛应用的主要因素。因此委员会在 2018 年 4 月 25 日制定人工智能战略28，以解决社会和经济方面，同时增加欧盟范围内对研发、创新和人工智能性能方面的投资。委员会与成员国达成人工智能协调计划29以拉平各项策略。委员会还建立了高级别专家组，由其在 2019 年 4 月公布“可信赖人工智能指南”30。委员会公布的人工智能通讯31引入高级别专家组制定的指南确定的 7 个关键要求：人类施为和监督 技术的可靠性和安全性，26 根据委员会伙伴关系工具，委员会成立一个投资 250 万欧元的项目用以与志同道合的伙伴合作，以促进形成欧盟人工智能伦理指南以及采用共同原则和操作协议。s.27 President Von der Leyen,A Union that strives for more My agenda for Europe,page 17.28 COM(2018)237.29 COM(2018)795.30 https:/ec.europa.eu/futurium/en/AI-alliance-consultation/guidelines#Top 31 COM(2019)168 数据保护官沙龙 14 隐私和数据治理，透明度，多元性、不歧视以及公平原则，社会和环境的福祉，问责制。此外，指南还包括一份指导法人实体实际使用的评估清单。在2019 年下半年，超过 350 个组织对评估清单进行了测试并给予反馈。高级别专家组正在根据反馈意见修订指南，该项工作将于 2020 年 6月完成。反馈的核心结果是尽管一系列的要求已经存在于现行法律和监管制度体系内，但是现行许多经济部门的立法并未对透明度、可追溯性以及人类监督等要求作出具体规定。除了高级别专家组制定的非强制性约束的指南外，清晰的欧盟监管框架将建立人工智能消费者与商家之间的信任，这也与欧盟委员会主席的政治指导方针保持一致，从而加速人工智能的应用。这样的监管框架应当与其他措施一同推动，以提高欧洲在人工智能领域的创新效能和竞争力。此外，必须保证社会、环境和经济的最优结果以及符合欧盟法律、原则和价值观，这在民众可能受到最直接影响的领域要尤其注意，例如将人工智能应用到执法和司法领域时。人工智能的开发者和部署者已受到欧洲基本人权（如数据保护、隐私和非歧视），消费者保护，产品安全和责任规则等法律的管辖。不管产品或系统是否依赖人工智能，消费者都希望获得同级别的安全保护和权利尊重，但是人工智能的某些特点（如复杂性和不透明性）将增加相关立法的适用和执行的困难。据此，有必要审视现存的立法是否能解决人工智能带来的风险以及能否被有效执行，是否需要对立法进行修订或者是否需要进行新的立法。考虑到人工智能的迅猛发展，监管框架必须为适应将来的发展而留下空间。任何改变都应当被限制在可清楚定位问题且存在适当解决方案的范围内。成员国指出欧洲缺乏统一的监管制度框架。德国数据伦理委员会呼吁建立一个具有 5 个等级的人工智能系统监管制度，从风险等级最低的人工智能系统给予零管制，到对最危险的系统彻底予以禁止。丹数据保护官沙龙 15 麦刚刚制作了数据伦理签章的雏形。马耳他已经引进了一项对人工智能的自愿认证系统。如果欧盟未能成功提供适用于欧盟范围内的方法，则面临欧盟内部市场被割裂和分散的风险，这将阻碍建立信任机制、维护法律确定性和提升市场应用等目标的实现。一个针对可信赖人工智能的欧盟监管框架将保护所有欧洲民众，并且有助于创造一个平稳的市场，这不仅有利人工智能的进一步发展和应用，也将巩固欧洲人工智能的工业基础。A.问题定义 虽然人工智能存在很多益处，例如使产品和流程更加安全，但它也能造成危害。危害可能是物质性（例如，个人安全和健康，包括丧失生命，损害财产）和非物质性（例如，隐私泄露，限制言论自由，人格尊严、歧视、就业方面），并且可能带来大量风险。监管框架需要重点解决如何最大程度减少存在潜在损害的各种风险，尤其是最显著和重大的风险。规则的目的是保护基本人权（包括数据隐私保护和非歧视），保护安全32和规定其他一些与责任相关的事项，而人工智能使用的主要风险涉及上述规则的适用。威胁基本人权的风险，包括数据隐私保护和非歧视威胁基本人权的风险，包括数据隐私保护和非歧视 人工智能的使用会影响欧盟得以建立的价值观，并导致对基本权利的侵犯33，这些基本权利包括言论自由，集会自由，人的尊严，适用于某些领域的基于性别、种族或族裔血统、宗教或信仰、残疾、年龄或性取向的非歧视，对个人数据和私人生活的保护34，或获得有效司法救济和公正审判的权利以及消费者保护。这些风险可能是源于人工智能系统整体设计中的缺陷（包括人类监督），也可能是由于使用了可能存在的偏差且未经纠正的数据（例如，仅使用或主要使用来自男性的数据对系统进行训练，导致该系统涉及女性时得出结果欠佳）。人工智能可以执行许多以前只能由人类完成的功能。于是，公民和法律实体将越来越多地受制于人工智能系统采取的或是在人工智 32 这里包括网络安全问题、与关键基础架构中的人工智能应用有关问题和人工智能恶意使用。33 欧洲理事会的研究表明，人工智能的应用可能会影响许多基本权利，https:/rm.coe.int/algorithms-and-human-rights-en-rev/16807956b5.34 通用数据保护条例和电子隐私指令（协商中的新电子隐私条例）提及了这些风险，但是可能有必要审视人工智能系统是否会带来其他风险。欧盟委员会将持续监测和评估 GDPR 的应用。数据保护官沙龙 16 能系统帮助下采取的行动和决定，这些行动或决定有时可能是难以理解的，并在必要时难以去有效质疑。此外，人工智能增加了跟踪和分析人们日常习惯的可能性。例如，存在国家机关或其他实体违反欧盟数据保护和其他规则运用人工智能进行大规模监视的潜在风险，雇主也可能会使用人工智能来监视其员工的行为。通过分析大量数据并识别它们之间的关联，人工智能还可以用于对个人的数据进行回溯和去匿名化处理，这对即使本身不包含个人数据的数据集，也带来了新的个人数据保护风险。线上中介还使用人工智能为用户区分信息并进行内容审核。经处理的数据、应用程序的设计方式以及人为干预的范围会影响言论自由、个人数据保护、隐私和政治自由的权利。某些人工智能算法在用于预测犯罪再犯时，会展现出性别和种族偏见，表现为男性与女性之间或国民与外国人之间再犯预测概率的差别。资料来源：Tolan S.,Miron M.,Gomez E.and Castillo C.Why Machine Learning May Lead to Unfairness:Evidence from Risk Assessment for Juvenile Justice in Catalonia,Best Paper Award,International Conference on AI and Law,2019 某些用于面部分析的人工智能程序会展现出性别和种族偏见，表现为在确定肤色较浅的男性的性别时，错误率较低，而在确定肤色较深的女性性别时，错误率较高。资料来源：Joy Buolamwini,Timnit Gebru;Proceedings of the 1st Conference on Fairness,Accountability and Transparency,PMLR 81:77-91,2018.偏见和歧视是任何社会或经济活动的固有风险。人类的决策并不能免于错误和偏见。但是，相同的偏见如果展现在人工智能中则可能会产生更大的影响，从而在没有控制人类行为的社会控制机制的情况下，影响和歧视许多人35。这种情况也可能发生在人工智能系统运行时的“学习”过程中。当在设计阶段无法预防或预期相应结果时，风险将不是源于系统的原始设计的缺陷，而是源于人工智能系统从大型数据集中识别出的相关性或模式的实际影响。许多人工智能技术的特点，包括不透明性（“黑匣子效应”）、复 35 欧盟委员会男女机会平等咨询委员会（The Commissions Advisory Committee on Equal Opportunities for Women and Men）目前正在准备一份“人工智能意见”，除其他内容外，其中分析了人工智能对性别平等的影响，委员会预计将在 2020 年初正式通过该意见。2020-2024 年欧盟性别平等战略（The EU Gender Equality Strategy 2020-2024）也提及了人工智能与性别平等之间的联系；欧洲平等机构网络（Equinet）将于 2020 年初发布一篇（由 Robin Allen 和 Dee Masters 撰写的）关于“监管人工智能：平等机构的新角色应对数字化增长和人工智能应用对平等和非歧视的新挑战”的报告。数据保护官沙龙 17 杂性、不可预测性和部分自主行为，可能导致难以验证人工智能技术是否符合现行的旨在保护基本权利的欧盟法律规定，并可能妨碍这些法律规定的有效执行。执法机构和受影响的人员可能缺乏手段来验证某项由人工智能参与决定的决策是如何做出的，因此也无法验证其是否遵守了相关规则。在此类决策可能会对其产生不利影响的情况下，个人和法律实体可能难以有效地诉诸司法。安全风险和责任制度的有效运作安全风险和责任制度的有效运作 当人工智能技术被嵌入到产品和服务中时，它们可能会给用户带来新的安全风险。例如，由于对象识别技术的缺陷，自动驾驶汽车可能会错误地识别道路上的对象，并导致涉及人身伤害和财产损失的事故。与造成基本权利风险的原因相同，这些风险可能是源于人工智能技术设计中的缺陷，可能与数据的可用性和数据质量有关，也可能与机器学习引起的其他问题有关。尽管其中部分风险并非仅局限于依赖人工智能的产品和服务，但人工智能的使用可能会增加或恶化这些风险。除了针对个人的风险外，缺乏应对这些风险的明确安全规则可能会给在欧盟销售涉及人工智能产品的企业带来法律上的不确定性。市场监管和执法机关可能会发现其无法确定其是否可以进行干预，因为他们可能无权采取行动和/或没有检查人工智能系统所需的合适的技术能力36。因此，法律上的不确定性可能会降低总体安全水平，并损害欧洲公司的竞争力。如果安全风险转化为现实损害，缺乏明确规则以及前述提及的人工智能技术的特征会导致难以追溯在人工智能系统参与下做出的潜在的有问题的决策。而这又可能会使遭受损害的个人难以根据现行的欧盟和国家的责任法规获得赔偿37。根据产品责任指令（Product Liability Directive），制造商对缺陷产品造成的损害负责。然而，在基于人工智能的系统（如自动驾驶汽车）的情况下，可能难以证明产品存在缺陷、已经发生的损害以及两者之间的因果关系。此外，对于某些类型的缺陷（例 36 儿童智能手表或许可以作为一个案例。该产品可能不会对佩戴它的儿童造成直接伤害，但是由于缺乏最低限度的安全性，它很容易被当作接触儿童的工具。市场监管部门可能会发现，在风险与产品本身无关的情况下，其很难进行干预。37 本白皮书同期发布的欧盟委员会报告中分析了人工智能、物联网和其他数字技术对安全和责任法规的影响。数据保护官沙龙 18 如，如果损害是源于产品网络安全方面的缺陷），产品责任指令的适用方式与适用范围仍存在不确定之处。因此，追溯人工智能系统做出的上述有关基本权利的潜在的有问题的决策的难度，同样适用于安全和责任相关的问题。例如，遭受损害的人可能无法有效获取在法庭上立案所必需的证据，并且与传统技术造成损害的情况相比，遭受损害的人获得有效补救的可能性更小。这些风险将随着人工智能更加广泛地应用而日益增加。B欧盟现行涉人工智能的立法框架可能作出的调整 大量现行的欧盟产品安全和责任法律规范38，与许多新兴的人工智能应用有关并有可能适用于这些应用。这些法规包括了特定行业的法规，并由国家立法进一步补充完善。在基本权利保护与消费者权益保护方面，欧盟法律框架包括了诸如种族平等指令（Race Equality Directive）39，有关就业与职业中平等待遇的指令40，有关就业和获得商品和服务方面男女平等待遇的指令41，一系列消费者保护规则42，以及有关个人数据保护和隐私的规则，特别是通用数据保护条例和其他涉及个人数据保护的部门立法，例如数据保护执法指令（Data Protection Law Enforcement Directive）43。此外，自2025年起，欧洲无障碍法案（European Accessibility Act）中有关商品和服务无障碍要求的规则将正式实施44。除此之外，在实施其他欧盟法律规范时（包括在金融服务、移民或在线中介责任方面）也应尊重基本权利。尽管欧盟立法在原则上不管人工智能的参与程度如何仍然完全适用，但重要的是去评估是否能够充分执行这些法律来应对人工智能系统带来的风险，或者是否需要对特定法律文件进行调整。38 欧盟产品安全法律框架由作为安全网的通用产品安全指令（General Product Safety Directive（Directive 2001/95/EC），和一些特定行业的法规组成，这些特定行业的法规涵盖了从机器、飞机、汽车到玩具以及旨在提供高水平健康与安全性的医疗设备的不同产品类别。产品责任法（Product liability law）则由针对产品或服务损害的不同民事责任制度作为补充。39 Directive 2000/43/EC.40 Directive 2000/78/EC.41 Directive 2004/113/EC;Directive 2006/54/EC.42 诸如不公平商业惯例指令（Unfair Commercial Practices Directive(Directive 2005/29/EC)）和消费者权益指令（Consumer Rights Directive(Directive 2011/83/EC)）.43 Directive(EU)2016/680，欧洲议会和欧盟委员会于 2016 年 4 月 27 日发布，其内容有关在主管部门为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚目的而处理个人数据时对自然人的保护，以及此类数据的自由流通。44 Directive(EU)2019/882 on the accessibility requirements for products and services.数据保护官沙龙 19 例如，市场主体仍然对人工智能符合现行消费者保护法律负有完全的责任，不得进行任何违反现行法规的针对用户行为的算法开发，且其违规行为应受到相应处罚。欧盟委员会认为，可以通过完善法律框架来应对如下风险和情况：现行欧盟和成员国立法的有效落实和执行：人工智能的关键特征对恰当实施和执行现行欧盟和成员国立法提出了挑战。透明度的缺乏导致难以识别和证明可能的违法行为，包括保护基本权利、归责和满足索赔条件的法律条款。因此，为了确保法律的有效实施和执行，可能有必要调整或阐明特定领域的现行法律，例如本白皮书随附报告中进一步详述的有关责任的规定。现行欧盟立法适用范围的限制：欧盟产品安全立法的核心关注点之一是产品投入市场（这一环节）。虽然在欧盟产品安全立法中，软件在作为最终产品的一部分时，必须遵守相关产品安全规则，但除部分有明确规则的领域外45，单独的软件能否被欧盟产品安全法律涵盖，是一个悬而未决的问题。现行有效的一般欧盟安全立法适用于产品而非服务，因此原则上也不适用于基于人工智能技术的服务（如医疗保健服务、金融服务、运输服务）。人工智能系统功能的改变：将包括人工智能在内的软件集成到产品中，能够在此类产品及系统的生命周期内持续调整其功能。对于需要频繁更新软件或依赖机器学习的系统而言更是如此。这种特征可能会带来在系统投入市场时尚无法显现的新的风险。现行法律主要关注产品投入市场当时存在的安全风险，对前述新的风险缺乏适当的解决措施。供应链中不同经济实体之间责任分配的不确定性：通常，欧盟产品安全立法将责任分配给投入市场的产品生产商，这些产品包括所有组件（如人工智能系统）。但是，当人工智能是在产品已经被投入市场后，由不是生产者的某一方增加到产品中时，产品安全法律规则可能变得不清晰。此外，欧盟产品责任法规定了生产者的责任，并将供应链中其他各方的责任交 45 例如制造商打算用于医疗目的的软件在医疗器械法规（Medical Device Regulation(Regulation(EU)2017/745)）下被视为医疗器械。数据保护官沙龙 20 由成员国责任法律来规定。安全概念的变化：人工智能在产品与服务中的运用会带来欧盟立法目前尚未明确解决的风险。这些风险可能与网络威胁、人身安全风险（例如，与人工智能在诸如家电中的新应用有关）、由于失去连通性（connectivity）而导致的风险等有关。这些风险可能出现在将产品投入市场时，也可能源于产品使用过程中的软件更新或自我学习。欧盟应当充分利用可用的工具来增强与人工智能应用相关的潜在风险的证据，包括运用欧洲网络与信息安全局（EU Cybersecurity Agency（ENISA）在评估人工智能威胁态势方面的经验。如前所述，几个欧盟成员国已经在探索国家立法的方案以应对人工智能所带来的挑战，而这带来了欧盟单一市场可能分散化的风险。不同国家的法律可能会给意图在单一市场销售和运营人工智能系统的公司造成障碍。确保在欧盟层面采取共同措施，将使得欧洲公司能够从进入单一市场的便捷途径中受益，并为这些公司在全球市场上的竞争力提供支持。关于人工智能、物联网和机器人技术对安全和责任的影响报关于人工智能、物联网和机器人技术对安全和责任的影响报告告 白皮书同期发布的这份报告分析了相关的法律框架，指明了这一法律框架在涉及到人工智能系统和其他数字技术带来的特定风险时适用的不确定性。结论是，现行的产品安全法规已经支持了一种扩展的安全概念，以根据产品用途来防范由产品引起的各种风险。然而，可通过引入明确涵盖新兴数字技术引起的新风险的条款，来提供更多法律上的确定性。某些人工智能系统在其生命周期内的自主行为可能引起影响安全性的重要产品变化，因此需要对其进行新的风险评估。此外，从人工智能产品和系统的产品设计到其整个生命周期，可能均需要人类监督作为保障。当涉及到用户的精神安全风险时，也可以在适当情况下（例如与人形机器人合作的情况）考虑生产者的明确义务。数据保护官沙龙 21 欧盟产品安全立法可以规定特定的要求和机制，来应对由设计阶段的错误数据带来的安全风险，以确保数据质量能够在人工智能产品及系统的整个使用过程中得以维持。基于算法的系统不透明性可以通过透明性要求来解决。在单独的软件被投入市场或在产品投入市场后被下载到这一产品中，并涉及到对安全性的影响时，可能需要对现行的规则加以调整或阐明。鉴于有关新技术的供应链日趋复杂，专门要求供应链中的经济实体与用户进行合作的规定可以提供法律上的确定性。新兴数字技术（诸如人工智能、物联网和机器人技术）的特性，可能会给责任框架的各方面带来挑战，并减损其有效性。部分特性可能导致难以将损害追溯到具体某个人，而根据大多数国家的法律，这种追溯是基于过错的索赔所必需的。这可能会大大增加受害者的成本，并且意味着对生产者外其他人的责任索赔将难以提出或加以证明。在允许技术创新的持续发展的同时，因人工智能系统参与而遭受损害的人，需要与因其他技术遭受损害的人享有同等程度的保护。确保这一目标实现的所有选择都应审慎评估，包括产品责任指令的可能的修订，以及成员国的责任规则的进一步针对性调整。例如，欧盟委员会正在就以下事项寻求意见：在由于人工智能应用程序的操作导致损害时，是否以及在何种程度上需要通过调整成员国责任规则中的证明责任，来减轻复杂性带来的后果。经过上述讨论，委员会的结论是，除了对现行立法的调整，还需要一部新的人工智能专门立法，使得欧盟法律框架可以适应当下以及可以预见的技术和商业发展。C.欧盟未来监管框架的范围 数据保护官沙龙 22 未来人工智能专门监管框架的关键问题，是确定其适用范围。因确定适用范围的工作前提是监管框架将规制依赖人工智能的产品和服务，为本白皮书的需要，以及未来任何可能的政策制定计划之目的，应对人工智能进行清晰的定义。在 欧洲人工智能通讯 中，委员会提供了首版人工智能定义46。该定义后续被高级专家组进一步修正调整47。在任何新的法律文本中，人工智能的定义都需要足够灵活同时足够严谨，能够适应技术发展且提供必要的法律确定性。无论是基于本白皮书的需要，还是为任何未来可能的政策方案讨论之目的，界定清楚人工智能的主要部分十分重要，其主要组成部分是“数据”和“算法”。人工智能可以被集成在硬件中。机器学习技术是人工智能的一个子集。在机器学习的场景下，算法通过训练可以基于一组数据来推导出特定的模式，从而可以确定针对一个预先设定的目标需要采取的行动。使用中的算法还可以继续学习。通过感知其所处环境，人工智能产品能够自主行动，且无需遵循预先设定好的指令，但其行为在很大程度仍然由开发者定义并且受限于其。人类决定人工智能系统所用于优化的目标，并编写为程序。欧盟有一套严格的法律框架来消费者保护，处置不正当商业行为以及保护用户数据和隐私。此外，这些制度还包含有针对特定行业的 46 COM（2018）237 final,p.1:“人工智能指展现出智能行为的系统。这种系统达到了一定程度上的自主自动，可以通过分析所处环境并且采取行动达成特定的目标。基于人工智能的系统可以是虚拟世界中的软件（例如：语音助手、图像分析软件、搜索引擎，语音及人脸识别系统），也可以嵌入硬件设备中（例如：先进的机器人、自动驾驶汽车、无人机或者物联网应用）。”47 High Level Expert Group 人工智能定义,P.8：“人工智能系统是由人类设计的，在物理或数字维度，通过获取数据进行环境感知，通过解读获取的结构化或者非结构化数据，以知识推理或信息处理，针对预先设定的复杂目标，决策能够采取的最佳行动并执行的软件（也可能是硬件）系统。人工智能系统或者采用符号规则，或者学习数学模型，且能通过分析其先前行为对环境的影响进行为适应。”以自动驾驶为例，算法实时使用来自车辆本身的数据（速度、引擎消耗、减震器等等）和来自传感器扫描车辆全部所处环境（道路、标识、其他机动车、人行道等等）的数据来取得到达某一地点，汽车需要采取的方向、加速度和速度等结果。基于其感知的数据，算法根据路况和包括其他司机驾驶行为在内的外部条件进行调整，从而取得舒适和安全系数最优的驾驶。数据保护官沙龙 23 专门规定（例如医疗、运输）。涉及到人工智能时，这些现行欧盟法律将继续适用，只是为应对数字化转型以及人工智能的使用，前述法律框架可能有必要更新（详见 B 部分）。因此，已经被现行法律规制的部分（例如：在医疗设备上使用48，在运输系统中使用）将继续受到这些现行法律的约束。原则层面，新的人工智能监管框架应能够有效实现其目标，但亦不能规定过于“事无巨细”，尤其不应造成中小企业不成比例的负担。为达成这一平衡，委员会认为新的监管框架应采用风险导向的路径。风险导向路径的重要性在于可以帮助确保合乎比例的监管介入。不过，风险导向路径需要清晰的标准，特别是需要确定哪些属于“高风险”人工智能应用49。高风险人工智能应用的确定标准应当是普适且清晰易懂的。未被确定为高风险的人工智能应用，仍应全面遵循现行欧盟规定。委员会认为，一般来说，判定给定的人工智能是否属于高风险需要从其可能存在的风险是什么来认定，考虑其所处行业以及用途是否涉及重大风险，重点考虑安全保护、消费者权益和基本权利等方面。具体来说，如果同时满足以下两个条件，人工智能应用应被认定为高风险：人工智能应用被部署在特定行业，而根据这些行业内一般活动的特点，可以预见会存在重大风险。这个条件保证了监管介入的是一般来讲被认为最有可能发生风险的领域。涉及的行业应当具体且穷尽的在监管框架中进行列举。比如，医疗健康、运输、能源以及部分公共行业。50为保持时效性，前述清单应当根据实际情况发展定期审阅并修订。第二，除了部署在第一点中提到的行业外，使用人工智能应用的方式可能引起重大风险。第二点条件反映了即使在特定的高风险行业中，不是所有对于人工智能的使用都必然会涉及重大风险。例如，虽然医疗健康通常被认为是相关行业，医院的挂 48 例如，不同的安全考量和法律含义关于给医护人员提供医学信息的人工智能系统，直接给病人提供医学信息的人工智能系统，以及直接在病人身上进行医疗任务的人工智能系统。委员会目前正在检测这些医疗保健行业独有的安全和责任挑战。49 有一些领域里欧盟立法可能对“风险”进行与此处不同的分类，比如产品安全领域。50 公共行业可能包括避难，移民，边境控制、司法、社保以及劳动服务等领域。数据保护官沙龙 24 号预约系统正常来说不会产生需要立法介入的重大风险。对于特定使用方式的风险衡量可基于衡量对各方的影响。比如，对个人或者公司产生法律或者类似的其他重大影响，可能导致受伤、死亡或者重大物质或非物质损害，产生个人或者法律实体无法合理规避的风险。适用这两个条件将保证监管框架的适用是有针对性的，且能提供法律确定性。新的人工智能监管框架中的强制性要求（详见 D 部分）原则上将只适用于根据上述两个条件认定为高风险的人工智能应用。虽有上文所述，基于某些目的使用人工智能应用也将例外的被认定为高风险，也就是说，不论其所处哪个行业，后文中提到的强制要求仍将适用。51特别列举以下作为前述情况的释明。考虑到其对于个人的重要性，以及有关平等就业的欧盟法的重要性，在招聘过程中，以及可能影响劳动权利的场景下使用人工智能应用将始终被认定为“高风险”，从而将始终适用下文提到的要求。此外，也可能适用于一些影响消费者权利的特定应用。使用人工智能进行远程生物信息识别52以及其他的侵扰性质的监控技术，将始终被认为是“高风险”，因此始终适用下文提到的要求。D要求的类型 设计未来人工智能的监管框架的过程中，有必要确定施加给相关方的强制法律要求的类型。这些要求可以进一步由标准阐明。如上文C 部分提到，这些要求在现行法律基础上将仅适用于高风险人工智能应用，从而确保监管介入是目标明确且合乎比例的。基于高级专家组的指引以及前文的论述，适用于高风险人工智能应用的要求主要包括以下要点，并将在下文中详细讨论。训练数据 51 此处特别强调的是，欧盟其他立法也可能会适用。例如，一般产品安全指令(General Product Safety Directive)可能会适用植入面向消费者产品的人工智能应用的安全性。52 应当就远程生物识别和生物核验作出区别（后者是验证个人身份和其宣称的身份一致的安全验证过程，该过程基于个人独有的生物特征）。远程生物识别指的是借助生物特征（指纹、面部图像、虹膜、静脉分布等等），以持续或实时的方式远程将处于公共场所的人群和数据库中存储的数据进行对比的方式，进行身份识别。数据保护官沙龙 25 数据和记录留存 需要提供的信息 鲁棒性和准确性 人类监督 针对特定人工智能应用的具体要求，比如针对远程生物识别的具体要求 为保证法律确定性，这些要求将被进一步阐明并提供清晰的基准标准以供各方遵守。a)训练数据 促进，加强和维护欧盟的价值观和规则，特别是欧盟法律赋予公民的权利，在当下比任何时候都重要。毫无疑问，这些努力也应覆盖到目前在欧盟营销和使用的高风险人工智能应用。如前所述，没有数据就没有人工智能。许多人工智能系统的运作，其作出决策以及采取的行动，很大程度上都依赖于训练系统所使用的数据集。因此，特别是在和安全以及保护基本权利的现行法律规则有关的情况下，在使用数据训练人工智能系统的时候，应当采取必要的措施来确保对欧盟的价值观和规则的尊重。可以预见会有下列要求适用于训练人工智能的数据集：要求合理保证使用训练后人工智能系统的产品和服务的安全性。安全性应达到适用欧盟安全规则中的标准（现行以及可能后续补充的）。例如，要求用于进行人工智能系统训练的数据集覆盖范围足够大并且涵盖所有与避免危险情况相关的场景。要求采取合理措施保证使用训练后的人工智能系统不会导致禁止性歧视。这些要求可能演变为使用有充分代表性的数据集的义务，尤其需要保证数据集适当的反映了年龄、种族以及其他所有与禁止性歧视有关的方面。要求确保隐私和个人数据在使用人工智能的产品和服务中被合理保护。对于这一特定领域的问题，由 一般数据保护条例以及法律执行指令进行规制。数据保护官沙龙 26 b)记录和数据留存 多数人工智能系统复杂且不透明，无法有效查验其是否遵守和执行适用规则等情况，要求对算法编制、用于训练高风险人工智能系统的数据集以及某些情况下数据本身的记录予以留存就十分必要。这些要求使得人工智能系统的错误行为和决定变得可以回溯且可以查验。这不仅有助于监督和落实规则，同时也可以督促相关经营主体在早期就遵守有关规则。为此，监管框架可以规定下列（事项）需要留存：关于用来训练和测试人工智能系统的数据集的准确记录，且应包括数据集的主要特征和筛选方法；一些有正当目的的场景下，数据集本身；关于编程53和训练的方法论，以及编写、测试和验证人工智能系统的采用的流程和技术的书面记录，包括与安全性和可能引起禁止性歧视的偏见的有关记录。记录，书面记录和需要留存的数据集应在合理范围内留存一段时间，以保证相关法律的有效执行。应当采取措施，保证上述记录在被要求的时候可以被提供，特别是有权机关需要测试及检验的时候。有必要的情况下，应有合理安排保证机密信息和商业秘密不被泄露。c)信息提供 除 b)点中提到的记录留存要求外，透明度也是必须的。为了所追求的目标，尤其是促进对人工智能负责任的使用，建立信任和有需要的时候协助救济（机制），主动提供高风险人工智能系统足够的使用信息是十分重要的。因此，应考虑制定下列要求：确保提供有关人工智能系统的功能和局限性的明确信息，尤其是系统的预期用途，预期它们可以按预期运行的条件以及达到指定目的的预期精度。该信息对于系统的部署者尤其重要，但也可能与主管部门和受影响的各方有关。53 例如，对算法的书面记录应当包含：对于模型拟优化的目标，以及初始阶段特定参数的权重等内容。数据保护官沙龙 27 另一方面，如果公民在与人工智能系统而不是人类互动，公民应当被清楚的告知。尽管欧盟数据保护相关立法中已经包含一些此类规定54，可能需要进一步的要求来达成上述目标。如果确实需要进一步要求，应当避免不必要的负担。所以，如果一些场景下很明显公民在与人工智能系统互动，就没有必要告知。还有比较重要的是，信息提供应当客观，简明并且容易理解。应当根据特定的场景确定合适的信息提供方式。d)鲁棒性和精确性 人工智能系统，特别是高风险人工智能应用，技术上必须是稳定和精确地，才能被信赖。因此这些系统需要以负责任的方式进行开发，且应对系统可能产生的风险有前瞻性和恰当的考量。其研发和运转必须可以保证人工智能系统和设计时预期的一样可靠。应当采取所有合理的措施来最小化可能产生的损害风险。因此，可以考虑下列要素：保证人工智能系统在全部生命周期稳定且精确的要求，或者至少可以正确反映出其精确程度；保证产出是可复现的要求；保证人工智能系统可以恰当的处置其生命周期中出现的所有错误和不一致的要求；确保人工智能系统对操纵数据或算法的公开攻击或不易察觉的攻击具有弹性，并在这种情况下采取缓解措施的需求。e)人类监督 人类的监督有助于确保人工智能系统不破坏人类的自主性或造成其他不利影响。只有确保人类适当参与高风险的人工智能应用，才能实现建立可信、合乎伦理和以人为中心的人工智能这一目标。尽管在特定法律制度下，本白皮书中所考虑的人工智能应用都被认为是高风险的，但人类监督的类型和程度是否适当可能因情况而异。特别地，它应取决于系统的目的使用以及其使用对公民和法 54 特别是根据 GDPR 13 条(2)(f)款，控制者必须在获取个人数据的时候，给数据主体进一步提供必要的信息来保证公平和透明的处理。这些信息包括是否存在自动决策以及一些其他信息。数据保护官沙龙 28 人实体可能产生的影响。人工智能系统在处理个人数据时，亦不得损害 GDPR 所确立的合法权益。例如，人类监督的方式包括并不限于以下形式:只有在事先由人类审核和确认后，人工智能系统的输出才会有效(例如，只有人类可以拒绝领取社会保障福利的申请);人工智能系统的输出结果立即生效的，但应当保证人工后续的干预(例如，可能由人工智能系统拒绝信用卡申请，但之后必须进行人工复核);对运行过程中的人工智能系统进行监控，以及实时干预和停用人工智能系统的能力(例如，当人类认为自动驾驶不安全时，在无人驾驶汽车上设置停止按钮或程序);在设计阶段对人工智能系统的操作施加限制(比如，在传感器可能会变得不可靠的低能见度等情况下，应当停止无人驾驶，或在给定的条件下与前车保持一定距离)f)远程生物识别的特定要求 收集和使用生物特征数据55进行远程识别56（例如在公共场所部署面部识别），给基本权利57带来风险。使用远程生物识别人工智能系统对基本权利的影响可能因使用的目的、场景和范围的不同而有很大差异。欧盟数据保护规则原则上禁止为识别特定自然人而对生物特征数据进行处理，特殊情况除外58。具体来说，根据 GDPR，这种处理只能在有限情况下进行，主要是出于重大公共利益的原因。在这种情况下，处理必须根据欧盟或成员国的法律进行，但须符合比例 55 生物特征数据被定义为“对自然人的物理、生理或行为特征进行特定技术处理而产生的个人数据，这些数据可用来识别或认证该自然人，如面部图像或指纹数据”。“(执法指示，第 3(13)条);GDPR，第 4(14)条;条例(欧盟)2018/1725，第 3(18)条。56 面部识别，“识别”意味着将一个人的面部图像模板与数据库中存储的许多其他模板进行比较，以确定他或她的图像是否存储在数据库中。另一方面，身份验证(或验证)通常称为一对一匹配。它可以比较两个生物特征模板，通常假定它们属于同一个体。比较两个生物特征模板，以确定两个图像上显示的人是否是同一个人。例如，机场用于边境检查的自动边境控制(ABC)门。57 比如人的尊严。因此，在使用面部识别技术时，尊重私人生活和保护个人数据的权利是基本权利关注的核心。对儿童、老年人和残疾人等特殊群体的不歧视和权利也有潜在的影响。此外，言论、结社和集会自由不应因使用技术而受到损害。参见:面部识别技术:执法环境中的基本权利考量https:/fra.europa.eu/en/publication/2019/facial-recognition。58 GDPR 第 9 条，执法指示第 10 条。参见条例（欧盟）2018/1725(适用于欧盟机构)第 10 条。数据保护官沙龙 29 原则的要求，尊重数据保护权的实质并采取适当的保障措施。根据执法指令，这种处理必须有严格的必要性，原则上，此类处理必须得到欧盟或成员国法律的授权，并采取适当的保障措施。由于任何以识别特定自然人为目的的生物特征数据处理都将涉及欧盟法律规定的禁令的例外情况，因此它将受到欧盟基本权利宪章的约束。因此，根据现行的欧盟数据保护规则和基本权利宪章，只有为正当、适当目的，并采取充分的保护措施的情况下，才可将人工智能用于远程生物识别目的。为了解决为上述目的在公共场所使用人工智能可能带来的的社会担忧,并避免内部市场的分裂,欧盟委员会将在欧洲发起一场关于“有正当理由的特定情况”以及“常见的保障措施”的广泛辩论。E.适用主体 关于规制上述高风险人工智能应用所适用的法律规定的适用主体，需要考虑两个主要问题。首先，如何在有关经营者之间分配义务。许多参与者都参与了AI 系统的生命周期，包括开发人员、部署人员(使用人工智能产品或服务的人)和其他潜在的人员(生产者、分销商或进口商、服务提供者、专业用户或私人用户)。欧盟委员会认为，在未来监管框架中，每一项义务都应由最能应对潜在风险的行动者承担。例如，虽然人工智能的开发人员可能最适合处理开发阶段产生的风险，但他们在使用阶段控制风险的能力可能有限。在这种情况下，部署者应受有关义务的约束。但不妨碍对致害方追责和对最终用户或其他受害方救济。根据欧盟产品责任法，生产者应对缺陷产品担责，但不影响各成员国法律也允许受害者从其他方获得赔偿。第二，立法干预的地域管辖范围。欧盟委员会认为，这些规定应适用于所有在欧盟提供人工智能产品或服务的经营者是十分重要的，无论其是否在欧盟设立。否则，前面提到的立法干预的目标就无法充分实现。F.遵守及执法 数据保护官沙龙 30 为了确保人工智能是可靠、安全的，并且符合欧洲的价值观和规则，相关法律的要求需要在实践中得到遵守且由成员国和欧盟主管部门以及受影响的各方有效地执行。主管部门应不仅能调查个别案件，也应能评估对社会的影响。鉴于某些人工智能应用程序给公民和社会带来的高风险(参见A 部分),欧盟委员会认为现阶段,有必要事先采取客观的合格性评估，以验证并确保上述适用于高风险应用程的特定强制要求(参见 D部分)被遵守。事先的合格性评估可包括测试、检验或认证59。它可以包括检查算法和开发阶段使用的数据集。针对高风险人工智能应用的合格性评估，应成为欧盟内部市场上大量产品已经存在的合格性评估机制的一部分。如果没有这样的现有机制可以依赖，可能需要建立类似的机制，对此，可参考利益相关者和欧洲标准组织的最佳实践和可能产出。任何这种新的机制都应是均衡和非歧视性的，并按照国际义务使用透明和客观的标准。在设计和实施依赖于事先的合格性评定的系统时，应特别考虑以下因素:并非上面列出的所有要求均适合通过事先合格性评估来验证。例如，关于提供资料的要求一般不适于通过这种评估进行验证。应该特别考虑到某些人工智能系统演进和从经验中学习的可能性，这可能需要在有关人工智能系统的整个生命周期中反复进行评估。要验证用于训练的数据，以及用于构建、测试和验证人工智能系统的相关编程和训练方法、流程和技术。如果合格性评估显示某一人工智能系统不符合诸如用于训练它的数据的要求,那么应补救确认的缺陷,比如在欧盟重新训练系统，以确保满足所有的适用性要求。所有符合规定的经营者，无论其公司在哪设立60，都必须进行 59 该系统应基于欧盟的合格评定程序，见第 768/2008/EC 号决定或欧盟 2019/881 号条例(网络安全法案)，并考虑人工智能的特殊性。参见 2014 年欧盟产品规则蓝色实施指南。60 相关的治理结构，包括被指定进行合格性评估的机构，见下文 H 部分。数据保护官沙龙 31 合格性评估。为了限制中小企业的负担，可以设立诸如数字创新中心等设想一些支持机构，包括。此外，标准和专用在线工具可以促进合格性。任何事先的合格性评估都不应妨碍国家主管部门对合格性的监测和事后执法。这不仅适用于高风险的人工智能应用，也适用于法律要求的其他人工智能应用，即使前者的高风险性可能是国家主管部门特别注意其的原因。应当对相关人工智能应用程序(见上文 E 部分)进行充分的记录，以实现事后控制，并在适当情况下允许第三方，如主管部门，对此类应用程序进行测试。在基本权利面临风险的情况下，这一点可能尤其重要，因为这些风险与具体场景有关。这种对合格性的监测应成为持续市场监测机制的一部分。下文 H 部分将进一步讨论与治理有关的问题。此外，应确保对受到人工智能系统负面影响的当事人采取有效的司法补救措施，无论人工智能应用程序是否为高风险。与责任相关的问题将在同期发布的安全与责任框架报告中进一步讨论。G.非高风险人工智能应用的自愿认证 对于不属于“高风险”（参见上文 C 部分）且因此不受上述强制性要求约束（参见上文 D，E 和 F 部分）的人工智能应用，除了适用法律，也可以选择建立自愿性认证计划。在自愿认证体系下，不受强制性规定规制且对这一体系有兴趣的经营者，可在自愿的基础上，成为强制性规定或特别为自愿体系而设定的类似规定的的规制对象。有关经营者的人工智能应用将获发认证。自愿认证将表明有关经营者的人工智能产品和服务是值得信赖的。它将让用户容易地识别出其考虑购买的产品和服务符合欧盟的特定客观和标准化基准，超出了通常适用的法律义务。这将有助于增强用户对人工智能系统的信任，并促进该技术的全面应用。为了给那些不被视为高危的人工智能系统的开发人员和(或)部署人员制定自愿认证框架，将需要制定一项新的法律文件。虽然参与认证体系是自愿的，但一旦开发人员或部署人员选择使用认证，这些法律规定就具有约束力。应结合事前、事后的评估和检查，来确保所有要求都得到遵守。数据保护官沙龙 32 H治理 以框架形式建立各国相互合作的欧盟治理架构,对于避免碎片化责任、提高成员国能力、确保欧盟逐渐具备测试和认证人工智能产品和服务的能力是必要的。在这种背景下，支持各国当局在人工智能领域履行其职责将是有益的。欧盟治理架构可承担多种任务，可作为定期交流信息和最佳实践、识别新兴趋势、就标准化活动和认证提供建议的论坛。它还应通过发布指南、意见和专业知识等方式，在促进法律框架的实施方面发挥关键作用。为此，它应该依靠国家当局网络，以及国家和欧盟层面的部门网络和监管当局网络。此外，专家委员会可向欧盟委员会提供援助。治理架构应该保证有最多的利益相关者参与。在实施和进一步发展架构时，应咨询消费者组织、社会伙伴、商界、研究人员和民间社会组织等相关人士的意见。拟议的治理架构不应重复金融、制药、航空、医疗器械、消费者保护、数据保护等方面现有架构的现有职能。相反，它应该与其他欧盟及各国主管部门之间在多方面建立密切联系，以补充现有的专业知识，并帮助现有部门监测和监督涉及人工智能系统、人工智能产品和服务的经营者的活动。最后，如果采用上述方法，则可以由成员国指定的机构进行合格性评估。检测中心应根据上述要求对人工智能系统进行独立审计和评估。独立评估将增加可信度、确保客观性、便利有关主管部门的工作。欧盟拥有优秀的检测和评估中心，应该发挥其在人工智能领域的作用。设立于第三国且希望进入欧盟内部市场的经营者可以使用欧盟内部设立和指定的机构，也可以在遵守与第三国达成的双边认可协议的基础上，使用第三国指定机构进行上述评估。人工智能的治理架构和可能的合格性评估问题，不影响现有欧盟法律下相关主管部门在具体领域或具体问题(金融、医药、航空、医疗器械、消费者保护、数据保护等)上的权力和责任。6、结论、结论 数据保护官沙龙 33 人工智能是一项战略性技术，在它以人为本、合乎道德、可持续发展，并尊重基本权利和价值观时，能为公民、企业和整个社会带来诸多好处。人工智能提高了效率和生产率，可以增强欧洲工业的竞争力，改善民生。它还有助于为一些最紧迫的社会挑战找到应对方法，包括与气候变化和环境退化作斗争，与可持续性和人口变化有关的挑战，以及保护我们的民主，并在必要时适当地与犯罪作斗争。欧洲要充分抓住人工智能带来的机遇，就必须发展和加强必要的工业和技术能力。正如同期发布的欧洲数据战略所述，还需要采取措施，使欧盟成为全球数据中心。欧洲的人工智能路径旨在促进欧洲在人工智能领域的创新能力，同时支持在整个欧盟经济中发展和采用合乎伦理且可信的人工智能。人工智能应该为人类服务，成为社会正面力量。有了这份白皮书和同期发布的安全与责任框架报告，欧盟委员会在成员国、社会民众、工业界和学术界展开了广泛咨询，就欧洲人工智能之路的具体建议展开讨论。上述建议包括促进研究和创新领域投资的政策手段、加强技能开发和支持中小企业采用人工智能，以及未来监管框架的关键要素。通过这次咨询，将与所有有关方面进行全面对话，为委员会的下一步工作提供信息。欧 盟 委 员 会 面 向 公 众 征 求 对 白 皮 书 中 提 议 的 建 议，公 众 可 通 过 访 问https:/ec.europa.eu/info/consultations_en 这一公开的公众咨询渠道提建议。征求意见的截止日期为 2020 年 5 月 19 日。按照惯例，委员会将公开发布接收到的关于公共咨询的意见，但可以要求对意见内容或其中的一部分进行保密。如果需要保密，请在首页清楚地注明“不应公开”，并提交非保