南方財經(jīng)全媒體記者 吳立洋 上海報道
當(dāng)?shù)貢r間10月10日,在經(jīng)歷近4年的醞釀后,歐盟理事會正式通過了《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act,以下簡稱CRA),這也是其將GDPR等法規(guī)構(gòu)建的合規(guī)框架進(jìn)一步向軟硬件產(chǎn)品領(lǐng)域延伸的重要表現(xiàn)。
從法案的覆蓋范圍來看,除了汽車、醫(yī)療設(shè)備、航空器材等個別已有專門法規(guī)適配的特定領(lǐng)域外,CRA 適用于任何具備數(shù)字組件的軟硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案。這也就意味著,幾乎所有存在聯(lián)網(wǎng)等數(shù)字化功能的家電和消費電子類產(chǎn)品,包括電視、冰箱、智能音響等,均被納入CRA的監(jiān)管范疇。
相較于歐盟其他數(shù)據(jù)及安全領(lǐng)域法案,CRA的特點在于對供應(yīng)鏈的安全管理提出了堪稱嚴(yán)苛的高要求,除了要求制造商確保產(chǎn)品在交付時無任何已知漏洞外,還規(guī)定其需要對集成到數(shù)字產(chǎn)品的第三方組件進(jìn)行盡職調(diào)查,并對其安全性承擔(dān)連帶責(zé)任外——這些標(biāo)準(zhǔn)也與歐盟此前推出的新《產(chǎn)品責(zé)任指令》(PLD)政策相呼應(yīng)。此外,還對制造商的安全漏洞報告、產(chǎn)品合規(guī)標(biāo)志等提出了規(guī)定。
這一針對性如此之強(qiáng)的法規(guī)自發(fā)布起就引發(fā)了業(yè)界的廣泛爭議,西門子、愛立信、施耐德電氣、博世等企業(yè)就曾對其部分條款提出過激烈反對。在上述企業(yè)向歐盟數(shù)字部門負(fù)責(zé)人遞交的一封聯(lián)名公開信中,其表示該法規(guī)將極大限制企業(yè)在供應(yīng)商選擇和管理中的靈活性,最終削弱其市場競爭力。
作為中國家電和消費電子出口的主要市場之一,CRA的出臺無疑對歐洲市場的合規(guī)格局帶來新的變數(shù),而智能化與聯(lián)網(wǎng)化這一監(jiān)管核心同樣也是家電類產(chǎn)品市場競爭的焦點。如何在歐盟合規(guī)監(jiān)管收緊的背景下維持自身海外業(yè)務(wù)的合規(guī)與穩(wěn)定,將進(jìn)一步考驗中國企業(yè)的管理能力和出海策略。
安全必要性
歐盟此前在解答推出CRA法案推出的原因時,曾將其歸納為現(xiàn)存的兩方面問題:一是數(shù)字產(chǎn)品固有的網(wǎng)絡(luò)安全水平不足,或者提供的安全更新不到位;二是消費者和組織無法確定哪些數(shù)字產(chǎn)品是安全的,或者說無法確定自身的網(wǎng)絡(luò)安全能否得到保護(hù)。
上述問題的總結(jié)具有相當(dāng)廣泛的現(xiàn)實依據(jù)。據(jù)統(tǒng)計,每年歐盟數(shù)據(jù)泄露造成的損失至少為100億歐元,每年互聯(lián)網(wǎng)受惡意破壞造成的損失至少為650億歐元。2022年,歐盟軟件供應(yīng)鏈遭受的網(wǎng)絡(luò)攻擊數(shù)量增加兩倍,幾乎每天都有小型企業(yè)和醫(yī)院等關(guān)鍵機(jī)構(gòu)或基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。且除了軟件系統(tǒng)外,硬件設(shè)備因設(shè)計缺陷、更新不及時、存在物理突破風(fēng)險等原因存在的漏洞,往往更易被破解和攻擊。
“當(dāng)數(shù)字產(chǎn)品出現(xiàn)安全問題時,盡管其制造商可能面臨聲譽(yù)損失,但安全風(fēng)險主要是由專業(yè)用戶和消費者承擔(dān)的,這一定程度上弱化了制造商投資安全開發(fā)設(shè)計、提供安全更新的動力!睔W盟相關(guān)負(fù)責(zé)人曾指出,CRA的主要作用在于保障歐盟市場上銷售的數(shù)字產(chǎn)品,在整個生命周期都必須要滿足強(qiáng)制性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
雖然在正式推出的CRA文本中,歐盟將制造商的履責(zé)時長縮減為產(chǎn)品預(yù)期壽命內(nèi)或產(chǎn)品投放市場后五年內(nèi)(以較短者為準(zhǔn)),但其無疑也大大加強(qiáng)了制造商在產(chǎn)品網(wǎng)絡(luò)安全和漏洞管理方面的責(zé)任。
北京航空航天大學(xué)法學(xué)院院長助理、副教授趙精武在接受南方財經(jīng)全媒體記者采訪時表示,相較于GDPR等一眾歐盟數(shù)據(jù)安全法律法規(guī),CRA最大的特點在于,該法案的適用范圍不再單純僅限于數(shù)據(jù)處理活動,而是適用所有直接或間接連接到另一設(shè)備或網(wǎng)絡(luò)的數(shù)字產(chǎn)品。并且,該法案更加側(cè)重制造商、進(jìn)口商、運營商等一眾義務(wù)主體的網(wǎng)絡(luò)安全風(fēng)險預(yù)防和治理義務(wù),作用領(lǐng)域是產(chǎn)品本身,而非數(shù)據(jù)。
據(jù)了解,CRA法案將在歐盟理事會主席和歐洲議會主席簽字后正式發(fā)布,并留給歐洲市場相關(guān)企業(yè)3年緩沖期,但其中部分條款將在緩沖期內(nèi)就逐步落實。
嚴(yán)苛的標(biāo)準(zhǔn)
雖然如歐盟所言,CRA法案的推出存在其現(xiàn)實必要性,但就部分被新法規(guī)納入監(jiān)管范圍的企業(yè)而言,要完全落實相關(guān)條款的要求確實并不輕松。
在此前西門子等公司反對最為激烈的供應(yīng)鏈安全管理方面,CRA法案第十條要求,制造商在將來自第三方的部件集成到帶有數(shù)字元素的產(chǎn)品中時,應(yīng)當(dāng)確保此類部件不會危及產(chǎn)品的安全性。
這就意味著當(dāng)產(chǎn)品制造商在使用某一數(shù)碼零部件、第三方組件乃至軟件插件時,都需要對其安全性進(jìn)行檢驗和確認(rèn)。對于高度依賴產(chǎn)業(yè)鏈國際分工的家電和消費電子行業(yè),這一標(biāo)準(zhǔn)的落地極大拓寬了其責(zé)任范圍。
世輝律師事務(wù)所合伙人王新銳在接受南方財經(jīng)全媒體記者采訪時建議,供應(yīng)鏈廠商需根據(jù)CRA法案的要求盡早完成產(chǎn)品的合規(guī)改造,并應(yīng)保留相應(yīng)網(wǎng)絡(luò)安全能力的相應(yīng)證明文件,以為后續(xù)的合規(guī)檢查提供支持材料。
但他也指出,制造商如何確保供應(yīng)鏈中的第三方供應(yīng)商符合CRA標(biāo)準(zhǔn),是一個更加具有挑戰(zhàn)向的問題。這不但依賴于制造商本身對CRA法案要求的理解,還需要企業(yè)構(gòu)建完善的第三方供應(yīng)商管理制度,和有效的盡調(diào)流程等。
除了供應(yīng)鏈安全管理外,CRA法案還就網(wǎng)絡(luò)安全風(fēng)險評估、安全漏洞處理和披露、安全事件報告等方面的內(nèi)容進(jìn)行了細(xì)化要求,進(jìn)一步壓實了企業(yè)在產(chǎn)品安全設(shè)計及后續(xù)安全管理方面的責(zé)任。
就執(zhí)法主體來看,CRA支持歐盟成員國直接適用,換言之歐盟國家無需將其轉(zhuǎn)化為本國法律即可根據(jù)CRA法案要求進(jìn)行執(zhí)法;懲罰措施方面,執(zhí)法機(jī)構(gòu)對違反CRA要求的企業(yè)可處以最高1500萬歐元或全球總營業(yè)額2.5%的罰款。
值得注意的是,在歐盟今年3月投票通過的新版《產(chǎn)品責(zé)任指令》(PLD)中,簡化了消費者因產(chǎn)品問題尋求賠償?shù)呐e證責(zé)任要求:當(dāng)原告證明產(chǎn)品不符合歐盟及其成員國法律規(guī)定的強(qiáng)制性產(chǎn)品安全要求時,即可推定該產(chǎn)品存在缺陷。當(dāng)消費者因存在缺陷的產(chǎn)品或由制造商采用缺陷組件制造的產(chǎn)品而遭受損害時,其有權(quán)獲得產(chǎn)品制造商和缺陷組件制造商賠償。
綜合CRA與PLD的有關(guān)條款不難看出,歐盟賦予了消費者更為便捷地追究數(shù)字產(chǎn)品制造商及其產(chǎn)業(yè)鏈供應(yīng)商的權(quán)利。只要消費者發(fā)現(xiàn)產(chǎn)品本身、集成的零部件存在安全缺陷或違反法規(guī)安全要求,并造成人身安全和健康、財產(chǎn)、數(shù)據(jù)等方面的損害,即可向產(chǎn)品制造商進(jìn)行索賠。
兩相結(jié)合之下,在歐盟地區(qū)銷售的數(shù)字產(chǎn)品將面臨來自監(jiān)管部門和消費者更為嚴(yán)苛的檢驗和審查,存在安全問題或僅是集成了問題部件的制造商,除了商譽(yù)和品牌影響外,還可能要同時面臨歐盟的罰款和消費者的索賠要求。
不過趙精武也指出,雖然CRA與PLD確實要求整機(jī)廠商對供應(yīng)商安全承擔(dān)一定責(zé)任,不過這并不意味著廠商要進(jìn)行全面的安全檢查,因為CRA的安全標(biāo)準(zhǔn)是“歐盟境內(nèi)的通用安全標(biāo)準(zhǔn)”,倘若整機(jī)廠商進(jìn)行了必要事項的安全檢查即可視為履行了義務(wù)。他建議,中國供應(yīng)鏈廠商需要盡早提前規(guī)劃,建構(gòu)必要的業(yè)務(wù)合規(guī)流程,同時也需要考慮到應(yīng)急處置方案。
“因為CRA的落地可能會成為歐盟當(dāng)局指責(zé)中國數(shù)字產(chǎn)品不符合網(wǎng)絡(luò)安全要求的依據(jù),實施禁止銷售等制裁措施!
進(jìn)出口影響
對近年來出口業(yè)務(wù)高速發(fā)展的中國家電品牌而言,本地的法律合規(guī)問題一直是一個不得不面臨的挑戰(zhàn)。
南方財經(jīng)全媒體記者曾就CRA法案落地對海外業(yè)務(wù)的影響相關(guān)問題,試圖采訪一些位居歐洲市場前列的中國企業(yè),但得到的回復(fù)基本一致——業(yè)務(wù)部門研判相關(guān)話題有些敏感,企業(yè)不太方面對外直接回復(fù)。
趙精武指出,從政策指向的角度來看,CRA的落地能夠有效促成歐盟數(shù)字單一市場戰(zhàn)略的事實,促使歐盟境內(nèi)所有數(shù)字化產(chǎn)品生產(chǎn)商都遵循相同的安全標(biāo)準(zhǔn),這種統(tǒng)一化的安全標(biāo)準(zhǔn)能夠間接提升歐盟境內(nèi)相關(guān)產(chǎn)業(yè)的集群優(yōu)勢。但歐盟也有可能借此形成貿(mào)易壁壘,使得境外企業(yè)想要將數(shù)字產(chǎn)品銷往歐盟,不得不投入額外的網(wǎng)絡(luò)安全業(yè)務(wù)合規(guī)成本。
如果說對于有能力進(jìn)行完整合規(guī)框架建設(shè)的大品牌而言,CRA等法規(guī)應(yīng)對起來已頗有難度,對于中小品牌、代工企業(yè)和零部件供應(yīng)商而言,其無疑面臨更直接的合規(guī)監(jiān)管收緊及成本增加問題。
王新銳表示,作為境外企業(yè),如仍想要將數(shù)字化產(chǎn)品銷往歐盟,就必須投入額外合規(guī)成本以符合CRA的相關(guān)合規(guī)要求,而無力或未能及時完成相應(yīng)合規(guī)化產(chǎn)品改造的企業(yè),則可能被歐盟拒之門外,這也相當(dāng)于歐盟變相保護(hù)了本土的產(chǎn)品。
需要指出的是,除了宏觀層面的監(jiān)管壓力外,輿論影響也是中國品牌始終對安全話題心弦緊繃的重要原因。
一位頭部家電品牌從業(yè)者在與記者交流時表示,客觀而言,中國企業(yè)作為外來品牌在歐美市場難免要面臨更為嚴(yán)苛的審視,其輿論環(huán)境也更為復(fù)雜。例如,在中國品牌和國外品牌同一類型的產(chǎn)品存在共性問題時,中國產(chǎn)品往往會遭到海外媒體更多地關(guān)注和針對。
為保持在歐洲市場的發(fā)展,企業(yè)應(yīng)充分參考本土經(jīng)營和提升本地化運營能力,是絕大部分受訪者在采訪中提到的應(yīng)對策略。
王新銳表示,歐盟等地的不少企業(yè)已有較為完善的管理制度,建議企業(yè)可以參考行業(yè)的最佳實踐,必要時也可引入專業(yè)的第三方咨詢機(jī)構(gòu)協(xié)助完善企業(yè)的網(wǎng)絡(luò)安全框架,以確保合規(guī)。
另一位上海家電行業(yè)從業(yè)者表示,政府有關(guān)部門、行業(yè)協(xié)會乃至產(chǎn)業(yè)鏈中的龍頭企業(yè),也可發(fā)揮帶頭作用,總結(jié)行業(yè)面臨的共性問題,歸納通用性合規(guī)解決方案,以幫助企業(yè)尤其是中小制造商降低合規(guī)成本,維持經(jīng)營穩(wěn)定。