近年来一系列调查报道将一件令人震惊的事实推到了公众视野:欧盟以及若干成员国的公共资金,被用于支持与商业间谍软件产业有联系的公司或项目。这不仅暴露了资助体系的盲点,更引发了围绕民主、法治与人权的根本性质疑。欧洲议会多名议员已联名向欧盟委员会三位高级专员发出质询,要求彻查从2015年以来由各种欧盟项目和国家机构流出的资金流向,并呼吁对涉事企业实施排除机制和更严格的审查。这样的舆论与政治反应,反映出欧盟在数字主权与基本权利保护之间尚未找到平衡点。 被点名的企业和资金来源并非孤立事件。调查显示,曾经有项目获得来自Horizon 2020等欧盟科研计划的资助,部分公司还从欧洲区域发展基金和欧洲社会基金得到支持。
西班牙公共科技发展中心(CDTI)据报向已倒闭的Mollitiam Industries发放过资金;欧盟委员会在2015年向法国的Nexa Technologies授予过一笔价值约6万欧元的小额合同,而当时Nexa被视为与Intellexa联盟有关联的成员,而Intellexa又与曾被美国制裁的Predator间谍软件事件有牵连。虽然调查并未就每笔资助直接证明资金被用于间谍软件开发,但资助流入与企业业务方向的重合,让公众对政府资金可能间接支持侵害人权的工具产生强烈担忧。 这一系列曝光并非没有先例。PEGA(欧洲议会特别委员会)在2023年对所谓的"间谍软件丑闻"作出评估,报告将其比作"欧洲的水门事件",指出若干成员国政府以国家安全或执法名义,使用商业监控工具监视记者、人权活动家、政治对手,以至于一些案件显示出为掩盖腐败或其它政治目的而滥用的端倪。PEGA的结论是明确且严厉的:商业间谍软件的泛滥不仅是单一国家的问题,而是一个跨欧洲的系统性危机,要求限制执法部门在何种情况下可以使用此类工具,并保护潜在敏感目标如议员、律师和记者等。 面对调查与议会压力,欧盟委员会的沉默与行动迟缓也被人权组织与数字权利团体批评。
全球性非政府组织以及欧洲数字权利网络(EDRi)呼吁对涉事企业实施资金切断与市场排除,认为商业间谍软件与基本人权天生不相容,应通过法律手段禁止其在欧盟内部的销售与传播。国际特赦组织的技术团队也强调,间谍软件的滥用已导致实际的人权侵害,欧盟的资助若无法做到严格筛查与持续监督,将可能成为侵权行为的助推者。 问题的核心不仅在于"钱给了谁",更在于资金分配与监督机制的缺失。欧盟资助体系长期强调科研创新、区域发展与竞争力建设,评估重点常集中在技术可行性、产业协同与经济效益,而对项目可能带来的伦理、法律与人权风险的审查往往不够深入。资助机构的尽职调查程序可能未能充分识别产品用途的双重性(dual-use),也缺少与安全机构、监管部门及民间监督力量的协同评估。再者,企业在申请资助时提供的信息真实性与背景审查,也存在制度性漏洞,使得有争议的技术研发能够在公共资金支持下继续进行。
应对这场危机,需要从多个层面同时发力。首先,透明度是恢复公众信任的前提。欧盟及成员国应公开自2015年以来对与间谍软件产业有关的公司或项目的所有资金流向,并明确列出受资助企业的背景审查记录、项目评估意见与合同条款细目。公开报告不仅能回应民众的知情权,也便于媒体与独立组织开展后续调查与监督。 其次,制度性排查与风险评估必须成为资助前的硬性要求。在科研与产业资助项目的评审中,必须纳入对技术用途的伦理及合规性评估,特别是当技术可能用于大规模监控、人身监控或侵犯个人隐私时,应启动更严格的法律与人权尽职调查。
对可能造成重大人权风险的项目,应设置高门槛或直接排除,并在合同中写入明确的用途限制与追责机制。 第三,建立跨机构的监督与问责机制至关重要。资助机构、司法与反欺诈机构、监管部门以及独立的民间监测组织应形成信息共享和联合审查平台,确保在发现风险信号时能够快速介入、暂停资助并开展审计。对于已经发现存在滥用风险的企业,应具备撤资、追回资助款项以及列入黑名单的法律与行政手段。 第四,立法层面需要补上空白。欧盟可以考虑在数字服务与安全立法框架中,专门针对商业间谍软件的生产、销售与出口设定限制。
对销售给第三国且存在滥用风险的行为,应强化出口管制与合规审查;对向执法部门销售此类工具的私企,应明确规定透明度与责任承担的界限,确保任何授权使用都必须经过独立司法审查与最小化原则的适用。 第五,资助合同中应包含强制性的合规与透明条款。合同可以要求受资助方定期公开技术用途报告、接受第三方安全与人权审计、以及在发现违规使用时承担经济与法律责任。对于科研合作项目,资助方应鼓励或要求研究团队将成果以负责任创新(responsible innovation)的原则发布,并防止研究成果被轻易转化为具有侵害性的商业产品。 第六,增强技术与社会层面的抵御能力同样不可或缺。政府与企业应投资于防御性网络安全能力、开源威胁情报共享以及对受害者提供的法律和技术救济。
媒体与公民社会组织需要更强的支持来识别潜在滥用案例、为受害者发声并推动司法救济。学术界和技术社区应提出替代方案,推动以隐私保护为核心的安全技术路线,而非以侵入式监控为首选。 同时,欧盟应反思其向何种技术与产业倾斜。公共资金投入应优先支持那些能够增强社会总体安全、提升隐私保护与透明度的技术。鼓励数据最小化、匿名化与去标识化的研究,以及用于检测和缓解间谍软件的工具开发,将更符合欧盟对基本权利的承诺。对商业监控产业的非军事化、非执法化路径也应纳入长期科技与产业政策的讨论。
纵观全球,商业间谍软件市场的扩张显然与高额利润和执法需求并行。若监管空隙存在,私人厂商很可能会在法律灰色地带推进技术并打开新市场。欧盟作为一个以法治与人权为核心价值的政治共同体,理应在规则制定上走在前列,将基本权利保护置于科研与产业资助的优先考量之中。 公众与议会的监督压力已经迫使决策者不得不回应。欧盟委员会和相关成员国若能迅速开展全面审计、公开审查结果并采取具体改进措施,将有助于修复信任并为全球树立一个负责任监管的范例。反之,若继续拖延或仅作象征性回应,欧洲在数字权利领域的领导力与道德信誉将受损。
当前的关键时刻要求快速而有力的行动:全面公开历史资助记录、在未来资助中嵌入强制性的人权与用途审查、建立跨部门的常态化监督架构、并在法律层面填补对商业间谍软件的监管空白。唯有将透明度、问责与权利保护落实到资助政策与合同条款中,欧盟才能避免成为助长侵犯人权工具的"间接助力者",并真正扮演好在全球数字治理中的道德与制度引领角色。 对公民而言,保持关注、支持独立调查媒体与人权组织、并向代表发声,都是推动制度性改变的重要力量。对行业与科研界而言,建立明确的伦理守则、拒绝涉足具有高风险滥用可能的项目并推动替代性技术发展,是对公共利益的责无旁贷的贡献。 未来数月内,欧盟委员会对议会质询的回应、对历史资助的审查结果以及可能出台的政策变化,将成为决定欧洲能否扭转这一危机的关键节点。对外,欧盟也需与盟友协调出口管制与合规标准;对内,则需重建一个以尊重隐私和维护民主为核心的资助生态。
在数字时代,金钱与权力可以迅速放大技术的影响力;如何确保公共资金不被用来侵害公众的基本权利,是摆在每一个政策制定者面前的紧迫问题。 。
