歐盟軟硬件安全新規(guī)落地，《網絡彈性法案》對中國家電出口影響幾何

南方財經全媒體記者 吳立洋 上海報道

當?shù)貢r間10月10日，在經歷近4年的醞釀后，歐盟理事會正式通過了《網絡彈性法案》（Cyber Resilience Act，以下簡稱CRA），這也是其將GDPR等法規(guī)構建的合規(guī)框架進一步向軟硬件產品領域延伸的重要表現(xiàn)。

從法案的覆蓋范圍來看，除了汽車、醫(yī)療設備、航空器材等個別已有專門法規(guī)適配的特定領域外，CRA 適用于任何具備數(shù)字組件的軟硬件產品及其遠程數(shù)據(jù)處理解決方案。這也就意味著，幾乎所有存在聯(lián)網等數(shù)字化功能的家電和消費電子類產品，包括電視、冰箱、智能音響等，均被納入CRA的監(jiān)管范疇。

相較于歐盟其他數(shù)據(jù)及安全領域法案，CRA的特點在于對供應鏈的安全管理提出了堪稱嚴苛的高要求，除了要求制造商確保產品在交付時無任何已知漏洞外，還規(guī)定其需要對集成到數(shù)字產品的第三方組件進行盡職調查，并對其安全性承擔連帶責任外——這些標準也與歐盟此前推出的新《產品責任指令》（PLD）政策相呼應。此外，還對制造商的安全漏洞報告、產品合規(guī)標志等提出了規(guī)定。

這一針對性如此之強的法規(guī)自發(fā)布起就引發(fā)了業(yè)界的廣泛爭議，西門子、愛立信、施耐德電氣、博世等企業(yè)就曾對其部分條款提出過激烈反對。在上述企業(yè)向歐盟數(shù)字部門負責人遞交的一封聯(lián)名公開信中，其表示該法規(guī)將極大限制企業(yè)在供應商選擇和管理中的靈活性，最終削弱其市場競爭力。

作為中國家電和消費電子出口的主要市場之一，CRA的出臺無疑對歐洲市場的合規(guī)格局帶來新的變數(shù)，而智能化與聯(lián)網化這一監(jiān)管核心同樣也是家電類產品市場競爭的焦點。如何在歐盟合規(guī)監(jiān)管收緊的背景下維持自身海外業(yè)務的合規(guī)與穩(wěn)定，將進一步考驗中國企業(yè)的管理能力和出海策略。

安全必要性

歐盟此前在解答推出CRA法案推出的原因時，曾將其歸納為現(xiàn)存的兩方面問題：一是數(shù)字產品固有的網絡安全水平不足，或者提供的安全更新不到位；二是消費者和組織無法確定哪些數(shù)字產品是安全的，或者說無法確定自身的網絡安全能否得到保護。

上述問題的總結具有相當廣泛的現(xiàn)實依據(jù)。據(jù)統(tǒng)計，每年歐盟數(shù)據(jù)泄露造成的損失至少為100億歐元，每年互聯(lián)網受惡意破壞造成的損失至少為650億歐元。2022年，歐盟軟件供應鏈遭受的網絡攻擊數(shù)量增加兩倍，幾乎每天都有小型企業(yè)和醫(yī)院等關鍵機構或基礎設施成為網絡犯罪分子的目標。且除了軟件系統(tǒng)外，硬件設備因設計缺陷、更新不及時、存在物理突破風險等原因存在的漏洞，往往更易被破解和攻擊。

“當數(shù)字產品出現(xiàn)安全問題時，盡管其制造商可能面臨聲譽損失，但安全風險主要是由專業(yè)用戶和消費者承擔的，這一定程度上弱化了制造商投資安全開發(fā)設計、提供安全更新的動力�！睔W盟相關負責人曾指出，CRA的主要作用在于保障歐盟市場上銷售的數(shù)字產品，在整個生命周期都必須要滿足強制性的網絡安全標準。

雖然在正式推出的CRA文本中，歐盟將制造商的履責時長縮減為產品預期壽命內或產品投放市場后五年內（以較短者為準），但其無疑也大大加強了制造商在產品網絡安全和漏洞管理方面的責任。

北京航空航天大學法學院院長助理、副教授趙精武在接受南方財經全媒體記者采訪時表示，相較于GDPR等一眾歐盟數(shù)據(jù)安全法律法規(guī)，CRA最大的特點在于，該法案的適用范圍不再單純僅限于數(shù)據(jù)處理活動，而是適用所有直接或間接連接到另一設備或網絡的數(shù)字產品。并且，該法案更加側重制造商、進口商、運營商等一眾義務主體的網絡安全風險預防和治理義務，作用領域是產品本身，而非數(shù)據(jù)。

據(jù)了解，CRA法案將在歐盟理事會主席和歐洲議會主席簽字后正式發(fā)布，并留給歐洲市場相關企業(yè)3年緩沖期，但其中部分條款將在緩沖期內就逐步落實。

嚴苛的標準

雖然如歐盟所言，CRA法案的推出存在其現(xiàn)實必要性，但就部分被新法規(guī)納入監(jiān)管范圍的企業(yè)而言，要完全落實相關條款的要求確實并不輕松。

在此前西門子等公司反對最為激烈的供應鏈安全管理方面，CRA法案第十條要求，制造商在將來自第三方的部件集成到帶有數(shù)字元素的產品中時，應當確保此類部件不會危及產品的安全性。

這就意味著當產品制造商在使用某一數(shù)碼零部件、第三方組件乃至軟件插件時，都需要對其安全性進行檢驗和確認。對于高度依賴產業(yè)鏈國際分工的家電和消費電子行業(yè)，這一標準的落地極大拓寬了其責任范圍。

世輝律師事務所合伙人王新銳在接受南方財經全媒體記者采訪時建議，供應鏈廠商需根據(jù)CRA法案的要求盡早完成產品的合規(guī)改造，并應保留相應網絡安全能力的相應證明文件，以為后續(xù)的合規(guī)檢查提供支持材料。

但他也指出，制造商如何確保供應鏈中的第三方供應商符合CRA標準，是一個更加具有挑戰(zhàn)向的問題。這不但依賴于制造商本身對CRA法案要求的理解，還需要企業(yè)構建完善的第三方供應商管理制度，和有效的盡調流程等。

除了供應鏈安全管理外，CRA法案還就網絡安全風險評估、安全漏洞處理和披露、安全事件報告等方面的內容進行了細化要求，進一步壓實了企業(yè)在產品安全設計及后續(xù)安全管理方面的責任。

就執(zhí)法主體來看，CRA支持歐盟成員國直接適用，換言之歐盟國家無需將其轉化為本國法律即可根據(jù)CRA法案要求進行執(zhí)法；懲罰措施方面，執(zhí)法機構對違反CRA要求的企業(yè)可處以最高1500萬歐元或全球總營業(yè)額2.5%的罰款。

值得注意的是，在歐盟今年3月投票通過的新版《產品責任指令》（PLD）中，簡化了消費者因產品問題尋求賠償?shù)呐e證責任要求：當原告證明產品不符合歐盟及其成員國法律規(guī)定的強制性產品安全要求時，即可推定該產品存在缺陷。當消費者因存在缺陷的產品或由制造商采用缺陷組件制造的產品而遭受損害時，其有權獲得產品制造商和缺陷組件制造商賠償。

綜合CRA與PLD的有關條款不難看出，歐盟賦予了消費者更為便捷地追究數(shù)字產品制造商及其產業(yè)鏈供應商的權利。只要消費者發(fā)現(xiàn)產品本身、集成的零部件存在安全缺陷或違反法規(guī)安全要求，并造成人身安全和健康、財產、數(shù)據(jù)等方面的損害，即可向產品制造商進行索賠。

兩相結合之下，在歐盟地區(qū)銷售的數(shù)字產品將面臨來自監(jiān)管部門和消費者更為嚴苛的檢驗和審查，存在安全問題或僅是集成了問題部件的制造商，除了商譽和品牌影響外，還可能要同時面臨歐盟的罰款和消費者的索賠要求。

不過趙精武也指出，雖然CRA與PLD確實要求整機廠商對供應商安全承擔一定責任，不過這并不意味著廠商要進行全面的安全檢查，因為CRA的安全標準是“歐盟境內的通用安全標準”，倘若整機廠商進行了必要事項的安全檢查即可視為履行了義務。他建議，中國供應鏈廠商需要盡早提前規(guī)劃，建構必要的業(yè)務合規(guī)流程，同時也需要考慮到應急處置方案。

“因為CRA的落地可能會成為歐盟當局指責中國數(shù)字產品不符合網絡安全要求的依據(jù)，實施禁止銷售等制裁措施�！�

進出口影響

對近年來出口業(yè)務高速發(fā)展的中國家電品牌而言，本地的法律合規(guī)問題一直是一個不得不面臨的挑戰(zhàn)。

南方財經全媒體記者曾就CRA法案落地對海外業(yè)務的影響相關問題，試圖采訪一些位居歐洲市場前列的中國企業(yè)，但得到的回復基本一致——業(yè)務部門研判相關話題有些敏感，企業(yè)不太方面對外直接回復。

趙精武指出，從政策指向的角度來看，CRA的落地能夠有效促成歐盟數(shù)字單一市場戰(zhàn)略的事實，促使歐盟境內所有數(shù)字化產品生產商都遵循相同的安全標準，這種統(tǒng)一化的安全標準能夠間接提升歐盟境內相關產業(yè)的集群優(yōu)勢。但歐盟也有可能借此形成貿易壁壘，使得境外企業(yè)想要將數(shù)字產品銷往歐盟，不得不投入額外的網絡安全業(yè)務合規(guī)成本。

如果說對于有能力進行完整合規(guī)框架建設的大品牌而言，CRA等法規(guī)應對起來已頗有難度，對于中小品牌、代工企業(yè)和零部件供應商而言，其無疑面臨更直接的合規(guī)監(jiān)管收緊及成本增加問題。

王新銳表示，作為境外企業(yè)，如仍想要將數(shù)字化產品銷往歐盟，就必須投入額外合規(guī)成本以符合CRA的相關合規(guī)要求，而無力或未能及時完成相應合規(guī)化產品改造的企業(yè)，則可能被歐盟拒之門外，這也相當于歐盟變相保護了本土的產品。

需要指出的是，除了宏觀層面的監(jiān)管壓力外，輿論影響也是中國品牌始終對安全話題心弦緊繃的重要原因。

一位頭部家電品牌從業(yè)者在與記者交流時表示，客觀而言，中國企業(yè)作為外來品牌在歐美市場難免要面臨更為嚴苛的審視，其輿論環(huán)境也更為復雜。例如，在中國品牌和國外品牌同一類型的產品存在共性問題時，中國產品往往會遭到海外媒體更多地關注和針對。

為保持在歐洲市場的發(fā)展，企業(yè)應充分參考本土經營和提升本地化運營能力，是絕大部分受訪者在采訪中提到的應對策略。

王新銳表示，歐盟等地的不少企業(yè)已有較為完善的管理制度，建議企業(yè)可以參考行業(yè)的最佳實踐，必要時也可引入專業(yè)的第三方咨詢機構協(xié)助完善企業(yè)的網絡安全框架，以確保合規(guī)。

另一位上海家電行業(yè)從業(yè)者表示，政府有關部門、行業(yè)協(xié)會乃至產業(yè)鏈中的龍頭企業(yè)，也可發(fā)揮帶頭作用，總結行業(yè)面臨的共性問題，歸納通用性合規(guī)解決方案，以幫助企業(yè)尤其是中小制造商降低合規(guī)成本，維持經營穩(wěn)定。