歐盟軟硬件安全新規(guī)落地，《網(wǎng)絡(luò)彈性法案》對(duì)中國家電出口影響幾何

南方財(cái)經(jīng)全媒體記者 吳立洋 上海報(bào)道

當(dāng)?shù)貢r(shí)間10月10日，在經(jīng)歷近4年的醞釀后，歐盟理事會(huì)正式通過了《網(wǎng)絡(luò)彈性法案》（Cyber Resilience Act，以下簡(jiǎn)稱CRA），這也是其將GDPR等法規(guī)構(gòu)建的合規(guī)框架進(jìn)一步向軟硬件產(chǎn)品領(lǐng)域延伸的重要表現(xiàn)。

從法案的覆蓋范圍來看，除了汽車、醫(yī)療設(shè)備、航空器材等個(gè)別已有專門法規(guī)適配的特定領(lǐng)域外，CRA 適用于任何具備數(shù)字組件的軟硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案。這也就意味著，幾乎所有存在聯(lián)網(wǎng)等數(shù)字化功能的家電和消費(fèi)電子類產(chǎn)品，包括電視、冰箱、智能音響等，均被納入CRA的監(jiān)管范疇。

相較于歐盟其他數(shù)據(jù)及安全領(lǐng)域法案，CRA的特點(diǎn)在于對(duì)供應(yīng)鏈的安全管理提出了堪稱嚴(yán)苛的高要求，除了要求制造商確保產(chǎn)品在交付時(shí)無任何已知漏洞外，還規(guī)定其需要對(duì)集成到數(shù)字產(chǎn)品的第三方組件進(jìn)行盡職調(diào)查，并對(duì)其安全性承擔(dān)連帶責(zé)任外——這些標(biāo)準(zhǔn)也與歐盟此前推出的新《產(chǎn)品責(zé)任指令》（PLD）政策相呼應(yīng)。此外，還對(duì)制造商的安全漏洞報(bào)告、產(chǎn)品合規(guī)標(biāo)志等提出了規(guī)定。

這一針對(duì)性如此之強(qiáng)的法規(guī)自發(fā)布起就引發(fā)了業(yè)界的廣泛爭(zhēng)議，西門子、愛立信、施耐德電氣、博世等企業(yè)就曾對(duì)其部分條款提出過激烈反對(duì)。在上述企業(yè)向歐盟數(shù)字部門負(fù)責(zé)人遞交的一封聯(lián)名公開信中，其表示該法規(guī)將極大限制企業(yè)在供應(yīng)商選擇和管理中的靈活性，最終削弱其市場(chǎng)競(jìng)爭(zhēng)力。

作為中國家電和消費(fèi)電子出口的主要市場(chǎng)之一，CRA的出臺(tái)無疑對(duì)歐洲市場(chǎng)的合規(guī)格局帶來新的變數(shù)，而智能化與聯(lián)網(wǎng)化這一監(jiān)管核心同樣也是家電類產(chǎn)品市場(chǎng)競(jìng)爭(zhēng)的焦點(diǎn)。如何在歐盟合規(guī)監(jiān)管收緊的背景下維持自身海外業(yè)務(wù)的合規(guī)與穩(wěn)定，將進(jìn)一步考驗(yàn)中國企業(yè)的管理能力和出海策略。

安全必要性

歐盟此前在解答推出CRA法案推出的原因時(shí)，曾將其歸納為現(xiàn)存的兩方面問題：一是數(shù)字產(chǎn)品固有的網(wǎng)絡(luò)安全水平不足，或者提供的安全更新不到位；二是消費(fèi)者和組織無法確定哪些數(shù)字產(chǎn)品是安全的，或者說無法確定自身的網(wǎng)絡(luò)安全能否得到保護(hù)。

上述問題的總結(jié)具有相當(dāng)廣泛的現(xiàn)實(shí)依據(jù)。據(jù)統(tǒng)計(jì)，每年歐盟數(shù)據(jù)泄露造成的損失至少為100億歐元，每年互聯(lián)網(wǎng)受惡意破壞造成的損失至少為650億歐元。2022年，歐盟軟件供應(yīng)鏈遭受的網(wǎng)絡(luò)攻擊數(shù)量增加兩倍，幾乎每天都有小型企業(yè)和醫(yī)院等關(guān)鍵機(jī)構(gòu)或基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。且除了軟件系統(tǒng)外，硬件設(shè)備因設(shè)計(jì)缺陷、更新不及時(shí)、存在物理突破風(fēng)險(xiǎn)等原因存在的漏洞，往往更易被破解和攻擊。

“當(dāng)數(shù)字產(chǎn)品出現(xiàn)安全問題時(shí)，盡管其制造商可能面臨聲譽(yù)損失，但安全風(fēng)險(xiǎn)主要是由專業(yè)用戶和消費(fèi)者承擔(dān)的，這一定程度上弱化了制造商投資安全開發(fā)設(shè)計(jì)、提供安全更新的動(dòng)力。”歐盟相關(guān)負(fù)責(zé)人曾指出，CRA的主要作用在于保障歐盟市場(chǎng)上銷售的數(shù)字產(chǎn)品，在整個(gè)生命周期都必須要滿足強(qiáng)制性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

雖然在正式推出的CRA文本中，歐盟將制造商的履責(zé)時(shí)長(zhǎng)縮減為產(chǎn)品預(yù)期壽命內(nèi)或產(chǎn)品投放市場(chǎng)后五年內(nèi)（以較短者為準(zhǔn)），但其無疑也大大加強(qiáng)了制造商在產(chǎn)品網(wǎng)絡(luò)安全和漏洞管理方面的責(zé)任。

北京航空航天大學(xué)法學(xué)院院長(zhǎng)助理、副教授趙精武在接受南方財(cái)經(jīng)全媒體記者采訪時(shí)表示，相較于GDPR等一眾歐盟數(shù)據(jù)安全法律法規(guī)，CRA最大的特點(diǎn)在于，該法案的適用范圍不再單純僅限于數(shù)據(jù)處理活動(dòng)，而是適用所有直接或間接連接到另一設(shè)備或網(wǎng)絡(luò)的數(shù)字產(chǎn)品。并且，該法案更加側(cè)重制造商、進(jìn)口商、運(yùn)營商等一眾義務(wù)主體的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)防和治理義務(wù)，作用領(lǐng)域是產(chǎn)品本身，而非數(shù)據(jù)。

據(jù)了解，CRA法案將在歐盟理事會(huì)主席和歐洲議會(huì)主席簽字后正式發(fā)布，并留給歐洲市場(chǎng)相關(guān)企業(yè)3年緩沖期，但其中部分條款將在緩沖期內(nèi)就逐步落實(shí)。

嚴(yán)苛的標(biāo)準(zhǔn)

雖然如歐盟所言，CRA法案的推出存在其現(xiàn)實(shí)必要性，但就部分被新法規(guī)納入監(jiān)管范圍的企業(yè)而言，要完全落實(shí)相關(guān)條款的要求確實(shí)并不輕松。

在此前西門子等公司反對(duì)最為激烈的供應(yīng)鏈安全管理方面，CRA法案第十條要求，制造商在將來自第三方的部件集成到帶有數(shù)字元素的產(chǎn)品中時(shí)，應(yīng)當(dāng)確保此類部件不會(huì)危及產(chǎn)品的安全性。

這就意味著當(dāng)產(chǎn)品制造商在使用某一數(shù)碼零部件、第三方組件乃至軟件插件時(shí)，都需要對(duì)其安全性進(jìn)行檢驗(yàn)和確認(rèn)。對(duì)于高度依賴產(chǎn)業(yè)鏈國際分工的家電和消費(fèi)電子行業(yè)，這一標(biāo)準(zhǔn)的落地極大拓寬了其責(zé)任范圍。

世輝律師事務(wù)所合伙人王新銳在接受南方財(cái)經(jīng)全媒體記者采訪時(shí)建議，供應(yīng)鏈廠商需根據(jù)CRA法案的要求盡早完成產(chǎn)品的合規(guī)改造，并應(yīng)保留相應(yīng)網(wǎng)絡(luò)安全能力的相應(yīng)證明文件，以為后續(xù)的合規(guī)檢查提供支持材料。

但他也指出，制造商如何確保供應(yīng)鏈中的第三方供應(yīng)商符合CRA標(biāo)準(zhǔn)，是一個(gè)更加具有挑戰(zhàn)向的問題。這不但依賴于制造商本身對(duì)CRA法案要求的理解，還需要企業(yè)構(gòu)建完善的第三方供應(yīng)商管理制度，和有效的盡調(diào)流程等。

除了供應(yīng)鏈安全管理外，CRA法案還就網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、安全漏洞處理和披露、安全事件報(bào)告等方面的內(nèi)容進(jìn)行了細(xì)化要求，進(jìn)一步壓實(shí)了企業(yè)在產(chǎn)品安全設(shè)計(jì)及后續(xù)安全管理方面的責(zé)任。

就執(zhí)法主體來看，CRA支持歐盟成員國直接適用，換言之歐盟國家無需將其轉(zhuǎn)化為本國法律即可根據(jù)CRA法案要求進(jìn)行執(zhí)法；懲罰措施方面，執(zhí)法機(jī)構(gòu)對(duì)違反CRA要求的企業(yè)可處以最高1500萬歐元或全球總營業(yè)額2.5%的罰款。

值得注意的是，在歐盟今年3月投票通過的新版《產(chǎn)品責(zé)任指令》（PLD）中，簡(jiǎn)化了消費(fèi)者因產(chǎn)品問題尋求賠償?shù)呐e證責(zé)任要求：當(dāng)原告證明產(chǎn)品不符合歐盟及其成員國法律規(guī)定的強(qiáng)制性產(chǎn)品安全要求時(shí)，即可推定該產(chǎn)品存在缺陷。當(dāng)消費(fèi)者因存在缺陷的產(chǎn)品或由制造商采用缺陷組件制造的產(chǎn)品而遭受損害時(shí)，其有權(quán)獲得產(chǎn)品制造商和缺陷組件制造商賠償。

綜合CRA與PLD的有關(guān)條款不難看出，歐盟賦予了消費(fèi)者更為便捷地追究數(shù)字產(chǎn)品制造商及其產(chǎn)業(yè)鏈供應(yīng)商的權(quán)利。只要消費(fèi)者發(fā)現(xiàn)產(chǎn)品本身、集成的零部件存在安全缺陷或違反法規(guī)安全要求，并造成人身安全和健康、財(cái)產(chǎn)、數(shù)據(jù)等方面的損害，即可向產(chǎn)品制造商進(jìn)行索賠。

兩相結(jié)合之下，在歐盟地區(qū)銷售的數(shù)字產(chǎn)品將面臨來自監(jiān)管部門和消費(fèi)者更為嚴(yán)苛的檢驗(yàn)和審查，存在安全問題或僅是集成了問題部件的制造商，除了商譽(yù)和品牌影響外，還可能要同時(shí)面臨歐盟的罰款和消費(fèi)者的索賠要求。

不過趙精武也指出，雖然CRA與PLD確實(shí)要求整機(jī)廠商對(duì)供應(yīng)商安全承擔(dān)一定責(zé)任，不過這并不意味著廠商要進(jìn)行全面的安全檢查，因?yàn)镃RA的安全標(biāo)準(zhǔn)是“歐盟境內(nèi)的通用安全標(biāo)準(zhǔn)”，倘若整機(jī)廠商進(jìn)行了必要事項(xiàng)的安全檢查即可視為履行了義務(wù)。他建議，中國供應(yīng)鏈廠商需要盡早提前規(guī)劃，建構(gòu)必要的業(yè)務(wù)合規(guī)流程，同時(shí)也需要考慮到應(yīng)急處置方案。

“因?yàn)镃RA的落地可能會(huì)成為歐盟當(dāng)局指責(zé)中國數(shù)字產(chǎn)品不符合網(wǎng)絡(luò)安全要求的依據(jù)，實(shí)施禁止銷售等制裁措施�！�

進(jìn)出口影響

對(duì)近年來出口業(yè)務(wù)高速發(fā)展的中國家電品牌而言，本地的法律合規(guī)問題一直是一個(gè)不得不面臨的挑戰(zhàn)。

南方財(cái)經(jīng)全媒體記者曾就CRA法案落地對(duì)海外業(yè)務(wù)的影響相關(guān)問題，試圖采訪一些位居歐洲市場(chǎng)前列的中國企業(yè)，但得到的回復(fù)基本一致——業(yè)務(wù)部門研判相關(guān)話題有些敏感，企業(yè)不太方面對(duì)外直接回復(fù)。

趙精武指出，從政策指向的角度來看，CRA的落地能夠有效促成歐盟數(shù)字單一市場(chǎng)戰(zhàn)略的事實(shí)，促使歐盟境內(nèi)所有數(shù)字化產(chǎn)品生產(chǎn)商都遵循相同的安全標(biāo)準(zhǔn)，這種統(tǒng)一化的安全標(biāo)準(zhǔn)能夠間接提升歐盟境內(nèi)相關(guān)產(chǎn)業(yè)的集群優(yōu)勢(shì)。但歐盟也有可能借此形成貿(mào)易壁壘，使得境外企業(yè)想要將數(shù)字產(chǎn)品銷往歐盟，不得不投入額外的網(wǎng)絡(luò)安全業(yè)務(wù)合規(guī)成本。

如果說對(duì)于有能力進(jìn)行完整合規(guī)框架建設(shè)的大品牌而言，CRA等法規(guī)應(yīng)對(duì)起來已頗有難度，對(duì)于中小品牌、代工企業(yè)和零部件供應(yīng)商而言，其無疑面臨更直接的合規(guī)監(jiān)管收緊及成本增加問題。

王新銳表示，作為境外企業(yè)，如仍想要將數(shù)字化產(chǎn)品銷往歐盟，就必須投入額外合規(guī)成本以符合CRA的相關(guān)合規(guī)要求，而無力或未能及時(shí)完成相應(yīng)合規(guī)化產(chǎn)品改造的企業(yè)，則可能被歐盟拒之門外，這也相當(dāng)于歐盟變相保護(hù)了本土的產(chǎn)品。

需要指出的是，除了宏觀層面的監(jiān)管壓力外，輿論影響也是中國品牌始終對(duì)安全話題心弦緊繃的重要原因。

一位頭部家電品牌從業(yè)者在與記者交流時(shí)表示，客觀而言，中國企業(yè)作為外來品牌在歐美市場(chǎng)難免要面臨更為嚴(yán)苛的審視，其輿論環(huán)境也更為復(fù)雜。例如，在中國品牌和國外品牌同一類型的產(chǎn)品存在共性問題時(shí)，中國產(chǎn)品往往會(huì)遭到海外媒體更多地關(guān)注和針對(duì)。

為保持在歐洲市場(chǎng)的發(fā)展，企業(yè)應(yīng)充分參考本土經(jīng)營和提升本地化運(yùn)營能力，是絕大部分受訪者在采訪中提到的應(yīng)對(duì)策略。

王新銳表示，歐盟等地的不少企業(yè)已有較為完善的管理制度，建議企業(yè)可以參考行業(yè)的最佳實(shí)踐，必要時(shí)也可引入專業(yè)的第三方咨詢機(jī)構(gòu)協(xié)助完善企業(yè)的網(wǎng)絡(luò)安全框架，以確保合規(guī)。

另一位上海家電行業(yè)從業(yè)者表示，政府有關(guān)部門、行業(yè)協(xié)會(huì)乃至產(chǎn)業(yè)鏈中的龍頭企業(yè)，也可發(fā)揮帶頭作用，總結(jié)行業(yè)面臨的共性問題，歸納通用性合規(guī)解決方案，以幫助企業(yè)尤其是中小制造商降低合規(guī)成本，維持經(jīng)營穩(wěn)定。