欧盟软硬件安全新规落地 《网络弹性法案》对中国家电出口影响几何

当地时间10月10日,在经历近4年的酝酿后,欧盟理事会正式通过了《网络弹性法案》(Cyber Resilience Act,以下简称CRA),这也是其将GDPR等法规构建的合规框架进一步向软硬件产品领域延伸的重要表现。

从法案的覆盖范围来看,除了汽车、医疗设备、航空器材等个别已有专门法规适配的特定领域外,CRA适用于任何具备数字组件的软硬件产品及其远程数据处理解决方案。这也就意味着,几乎所有存在联网等数字化功能的家电和消费电子类产品,包括电视、冰箱、智能音响等,均被纳入CRA的监管范畴。

相较于欧盟其他数据及安全领域法案,CRA的特点在于对供应链的安全管理提出了堪称严苛的高要求,除了要求制造商确保产品在交付时无任何已知漏洞外,还规定其需要对集成到数字产品的第三方组件进行尽职调查,并对其安全性承担连带责任——这些标准也与欧盟此前推出的新《产品责任指令》(PLD)政策相呼应。此外,还对制造商的安全漏洞报告、产品合规标志等提出了规定。

这一针对性如此之强的法规自发布起就引发了业界的广泛争议,西门子、爱立信、施耐德电气、博世等企业就曾对其部分条款提出过激烈反对。在上述企业向欧盟数字部门负责人递交的一封联名公开信中,其表示该法规将极大限制企业在供应商选择和管理中的灵活性,最终削弱其市场竞争力。

作为中国家电和消费电子出口的主要市场之一,CRA的出台无疑对欧洲市场的合规格局带来新的变数,而智能化与联网化这一监管核心同样也是家电类产品市场竞争的焦点。如何在欧盟合规监管收紧的背景下维持自身海外业务的合规与稳定,将进一步考验中国企业的管理能力和出海策略。

安全必要性

欧盟此前在解答推出CRA法案的原因时,曾将其归纳为现存的两方面问题:一是数字产品固有的网络安全水平不足,或者提供的安全更新不到位;二是消费者和组织无法确定哪些数字产品是安全的,或者说无法确定自身的网络安全能否得到保护。

上述问题的总结具有相当广泛的现实依据。据统计,每年欧盟数据泄露造成的损失至少为100亿欧元,每年互联网受恶意破坏造成的损失至少为650亿欧元。2022年,欧盟软件供应链遭受的网络攻击数量增加两倍,几乎每天都有小型企业和医院等关键机构或基础设施成为网络犯罪分子的目标。且除了软件系统外,硬件设备因设计缺陷、更新不及时、存在物理突破风险等原因存在的漏洞,往往更易被破解和攻击。

“当数字产品出现安全问题时,尽管其制造商可能面临声誉损失,但安全风险主要是由专业用户和消费者承担的,这一定程度上弱化了制造商投资安全开发设计、提供安全更新的动力。”欧盟相关负责人曾指出,CRA的主要作用在于保障欧盟市场上销售的数字产品,在整个生命周期都必须要满足强制性的网络安全标准。

虽然在正式推出的CRA文本中,欧盟将制造商的履责时长缩减为产品预期寿命内或产品投放市场后五年内(以较短者为准),但其无疑也大大加强了制造商在产品网络安全和漏洞管理方面的责任。

北京航空航天大学法学院院长助理、副教授赵精武在接受南方财经全媒体记者采访时表示,相较于GDPR等一众欧盟数据安全法律法规,CRA最大的特点在于,该法案的适用范围不再单纯仅限于数据处理活动,而是适用所有直接或间接连接到另一设备或网络的数字产品。并且,该法案更加侧重制造商、进口商、运营商等一众义务主体的网络安全风险预防和治理义务,作用领域是产品本身,而非数据。

据了解,CRA法案将在欧盟理事会主席和欧洲议会主席签字后正式发布,并留给欧洲市场相关企业3年缓冲期,但其中部分条款将在缓冲期内就逐步落实。

严苛的标准

虽然如欧盟所言,CRA法案的推出存在其现实必要性,但就部分被新法规纳入监管范围的企业而言,要完全落实相关条款的要求确实并不轻松。

在此前西门子等公司反对最为激烈的供应链安全管理方面,CRA法案第十条要求,制造商在将来自第三方的部件集成到带有数字元素的产品中时,应当确保此类部件不会危及产品的安全性。

这就意味着当产品制造商在使用某一数码零部件、第三方组件乃至软件插件时,都需要对其安全性进行检验和确认。对于高度依赖产业链国际分工的家电和消费电子行业,这一标准的落地极大拓宽了其责任范围。

世辉律师事务所合伙人王新锐在接受南方财经全媒体记者采访时建议,供应链厂商需根据CRA法案的要求尽早完成产品的合规改造,并应保留相应网络安全能力的相应证明文件,以为后续的合规检查提供支持材料。

但他也指出,制造商如何确保供应链中的第三方供应商符合CRA标准,是一个更加具有挑战的问题。这不但依赖于制造商本身对CRA法案要求的理解,还需要企业构建完善的第三方供应商管理制度,和有效的尽调流程等。

除了供应链安全管理外,CRA法案还就网络安全风险评估、安全漏洞处理和披露、安全事件报告等方面的内容进行了细化要求,进一步压实了企业在产品安全设计及后续安全管理方面的责任。

就执法主体来看,CRA支持欧盟成员国直接适用,换言之欧盟国家无需将其转化为本国法律即可根据CRA法案要求进行执法;惩罚措施方面,执法机构对违反CRA要求的企业可处以最高1500万欧元或全球总营业额2.5%的罚款。

值得注意的是,在欧盟今年3月投票通过的新版《产品责任指令》(PLD)中,简化了消费者因产品问题寻求赔偿的举证责任要求:当原告证明产品不符合欧盟及其成员国法律规定的强制性产品安全要求时,即可推定该产品存在缺陷。当消费者因存在缺陷的产品或由制造商采用缺陷组件制造的产品而遭受损害时,其有权获得产品制造商和缺陷组件制造商赔偿。

综合CRA与PLD的有关条款不难看出,欧盟赋予了消费者更为便捷地追究数字产品制造商及其产业链供应商的权利。只要消费者发现产品本身、集成的零部件存在安全缺陷或违反法规安全要求,并造成人身安全和健康、财产、数据等方面的损害,即可向产品制造商进行索赔。

两相结合之下,在欧盟地区销售的数字产品将面临来自监管部门和消费者更为严苛的检验和审查,存在安全问题或仅是集成了问题部件的制造商,除了商誉和品牌影响外,还可能要同时面临欧盟的罚款和消费者的索赔要求。

不过赵精武也指出,虽然CRA与PLD确实要求整机厂商对供应商安全承担一定责任,不过这并不意味着厂商要进行全面的安全检查,因为CRA的安全标准是“欧盟境内的通用安全标准”,倘若整机厂商进行了必要事项的安全检查即可视为履行了义务。他建议,中国供应链厂商需要尽早提前规划,建构必要的业务合规流程,同时也需要考虑到应急处置方案。

“因为CRA的落地可能会成为欧盟当局指责中国数字产品不符合网络安全要求的依据,实施禁止销售等制裁措施。”

进出口影响

对近年来出口业务高速发展的中国家电品牌而言,本地的法律合规问题一直是一个不得不面对的挑战。

南方财经全媒体记者曾就CRA法案落地对海外业务的影响相关问题,试图采访一些位居欧洲市场前列的中国企业,但得到的回复基本一致——业务部门研判相关话题有些敏感,企业不太方便对外直接回复。

赵精武指出,从政策指向的角度来看,CRA的落地能够有效促成欧盟数字单一市场战略的事实,促使欧盟境内所有数字化产品生产商都遵循相同的安全标准,这种统一化的安全标准能够间接提升欧盟境内相关产业的集群优势。但欧盟也有可能借此形成贸易壁垒,使得境外企业想要将数字产品销往欧盟,不得不投入额外的网络安全业务合规成本。

如果说对于有能力进行完整合规框架建设的大品牌而言,CRA等法规应对起来已颇有难度,对于中小品牌、代工企业和零部件供应商而言,其无疑面临更直接的合规监管收紧及成本增加问题。

王新锐表示,作为境外企业,如仍想要将数字化产品销往欧盟,就必须投入额外合规成本以符合CRA的相关合规要求,而无力或未能及时完成相应合规化产品改造的企业,则可能被欧盟拒之门外,这也相当于欧盟变相保护了本土的产品。

需要指出的是,除了宏观层面的监管压力外,舆论影响也是中国品牌始终对安全话题心弦紧绷的重要原因。

一位头部家电品牌从业者在与记者交流时表示,客观而言,中国企业作为外来品牌在欧美市场难免要面临更为严苛的审视,其舆论环境也更为复杂。例如,在中国品牌和国外品牌同一类型的产品存在共性问题时,中国产品往往会遭到海外媒体更多地关注。

为保持在欧洲市场的发展,企业应充分参考本土经营和提升本地化运营能力,是绝大部分受访者在采访中提到的应对策略。

王新锐表示,欧盟等地的不少企业已有较为完善的管理制度,建议企业可以参考行业的最佳实践,必要时也可引入专业的第三方咨询机构协助完善企业的网络安全框架,以确保合规。

另一位上海家电行业从业者表示,政府有关部门、行业协会乃至产业链中的龙头企业,也可发挥带头作用,总结行业面临的共性问题,归纳通用性合规解决方案,以帮助企业尤其是中小制造商降低合规成本,维持经营稳定。