歐盟雲與人工智能發展法案：成就與不足

歐盟委員會今日發佈了《歐盟技術主權一攬子計劃》，其中包括備受期待的《雲與人工智能發展法案》（CADA）和《歐盟開源戰略》。CADA被廣泛認為是多年來歐洲科技領域最重要的政策舉措之一。經過初步分析，可以明確幾點：首先，這是歐盟委員會有史以來對開源最雄心勃勃的承諾。

法案中，“開源優先”首次作為一項法律原則出現在操作性條款中，而非僅僅停留在序言部分。同時，法案建立了歐盟公共部門開源項目管理辦公室（OSPO）網絡，為開源專業知識提供製度性平台，並參與採購指導。此外，法案提出了結構化的雲主權認證框架，包含四個保障級別，從法律層面區分了真正的主權與合同安排。歐盟開源戰略附帶20億歐元投資，包括用於關鍵共享基礎設施的專用開源維護工具。

CADA的説明備忘錄正式將“跨雲堆棧的自主權”列為其四大核心戰略目標之一，這意味着歐盟的技術獨立議程獲得了法律授權，超越數據駐留，延伸至整個基礎設施層。雲與AI領導倡議的操作目標2（第4條）要求開發和試點“安全、有韌性且高性能的開放雲計算堆棧，覆蓋設備端、連接、數據及AI工具、後端和服務層”，這正好描述了開源基礎設施提供商當前已交付的架構。此外，每個歐盟成員國現在必須在其國家雲戰略中納入“支持基於開放硬件和軟件構建雲計算堆棧技術的措施，以加強技術主權”（第7條第2款g項），將開放堆棧基礎設施從採購偏好提升為國家政策義務。

供應鏈可信度正在成為法律標準。擬議的《網絡安全法案》修訂明確針對硬件和軟件ICT供應鏈，強化了CADA為雲主權建立的相同可信度標準。開源基礎設施的每個組件都可被檢查，每個依賴關係都被聲明，這在結構上比專有軟件堆棧更容易達到這一標準。

然而，CADA的關鍵測試在於：它是否包含具有約束力和可執行性的“開源優先”要求？第41條規定：“歐盟和成員國應採取必要措施，鼓勵歐盟實體和公共部門機構在構建雲和AI生態系統或堆棧時使用並促進重用開源許可下的開放標準和組件，同時考慮功能、安全性、總成本等客觀標準。”雖然方向正確，但立法框架未能通過“約束力和可執行性”測試。開源不能僅僅是被權衡的採購偏好。我們需要的是明確的程序要求：在公共資金用於專有軟件之前，簽約機構必須確定是否存在合格的開放源碼解決方案；該評估必須記錄在案並可審計；證明責任應附加在創造依賴性的選擇上，而非避免依賴性的選擇。開源是歐洲主權成為現實的唯一架構條件。信號已經發出，但結構和行動承諾仍需跟進。一份已獲得近百個組織簽署的公開信向委員會提出了具體改進建議。