欧盟云与人工智能发展法案：成就与不足

欧盟委员会今日发布了《欧盟技术主权一揽子计划》，其中包括备受期待的《云与人工智能发展法案》（CADA）和《欧盟开源战略》。CADA被广泛认为是多年来欧洲科技领域最重要的政策举措之一。经过初步分析，可以明确几点：首先，这是欧盟委员会有史以来对开源最雄心勃勃的承诺。

法案中，“开源优先”首次作为一项法律原则出现在操作性条款中，而非仅仅停留在序言部分。同时，法案建立了欧盟公共部门开源项目管理办公室（OSPO）网络，为开源专业知识提供制度性平台，并参与采购指导。此外，法案提出了结构化的云主权认证框架，包含四个保障级别，从法律层面区分了真正的主权与合同安排。欧盟开源战略附带20亿欧元投资，包括用于关键共享基础设施的专用开源维护工具。

CADA的说明备忘录正式将“跨云堆栈的自主权”列为其四大核心战略目标之一，这意味着欧盟的技术独立议程获得了法律授权，超越数据驻留，延伸至整个基础设施层。云与AI领导倡议的操作目标2（第4条）要求开发和试点“安全、有韧性且高性能的开放云计算堆栈，覆盖设备端、连接、数据及AI工具、后端和服务层”，这正好描述了开源基础设施提供商当前已交付的架构。此外，每个欧盟成员国现在必须在其国家云战略中纳入“支持基于开放硬件和软件构建云计算堆栈技术的措施，以加强技术主权”（第7条第2款g项），将开放堆栈基础设施从采购偏好提升为国家政策义务。

供应链可信度正在成为法律标准。拟议的《网络安全法案》修订明确针对硬件和软件ICT供应链，强化了CADA为云主权建立的相同可信度标准。开源基础设施的每个组件都可被检查，每个依赖关系都被声明，这在结构上比专有软件堆栈更容易达到这一标准。

然而，CADA的关键测试在于：它是否包含具有约束力和可执行性的“开源优先”要求？第41条规定：“欧盟和成员国应采取必要措施，鼓励欧盟实体和公共部门机构在构建云和AI生态系统或堆栈时使用并促进重用开源许可下的开放标准和组件，同时考虑功能、安全性、总成本等客观标准。”虽然方向正确，但立法框架未能通过“约束力和可执行性”测试。开源不能仅仅是被权衡的采购偏好。我们需要的是明确的程序要求：在公共资金用于专有软件之前，签约机构必须确定是否存在合格的开放源码解决方案；该评估必须记录在案并可审计；证明责任应附加在创造依赖性的选择上，而非避免依赖性的选择。开源是欧洲主权成为现实的唯一架构条件。信号已经发出，但结构和行动承诺仍需跟进。一份已获得近百个组织签署的公开信向委员会提出了具体改进建议。