歐盟軟硬件安全新規落地 《網絡彈性法案》對中國家電出口影響幾何
當地時間10月10日,在經歷近4年的醞釀後,歐盟理事會正式通過了《網絡彈性法案》(Cyber Resilience Act,以下簡稱CRA),這也是其將GDPR等法規構建的合規框架進一步向軟硬件產品領域延伸的重要表現。
從法案的覆蓋範圍來看,除了汽車、醫療設備、航空器材等個別已有專門法規適配的特定領域外,CRA適用於任何具備數字組件的軟硬件產品及其遠程數據處理解決方案。這也就意味着,幾乎所有存在聯網等數字化功能的家電和消費電子類產品,包括電視、冰箱、智能音響等,均被納入CRA的監管範疇。
相較於歐盟其他數據及安全領域法案,CRA的特點在於對供應鏈的安全管理提出了堪稱嚴苛的高要求,除了要求製造商確保產品在交付時無任何已知漏洞外,還規定其需要對集成到數字產品的第三方組件進行盡職調查,並對其安全性承擔連帶責任——這些標準也與歐盟此前推出的新《產品責任指令》(PLD)政策相呼應。此外,還對製造商的安全漏洞報告、產品合規標誌等提出了規定。
這一針對性如此之強的法規自發布起就引發了業界的廣泛爭議,西門子、愛立信、施耐德電氣、博世等企業就曾對其部分條款提出過激烈反對。在上述企業向歐盟數字部門負責人遞交的一封聯名公開信中,其表示該法規將極大限制企業在供應商選擇和管理中的靈活性,最終削弱其市場競爭力。
作爲中國家電和消費電子出口的主要市場之一,CRA的出臺無疑對歐洲市場的合規格局帶來新的變數,而智能化與聯網化這一監管核心同樣也是家電類產品市場競爭的焦點。如何在歐盟合規監管收緊的背景下維持自身海外業務的合規與穩定,將進一步考驗中國企業的管理能力和出海策略。
安全必要性
歐盟此前在解答推出CRA法案的原因時,曾將其歸納爲現存的兩方面問題:一是數字產品固有的網絡安全水平不足,或者提供的安全更新不到位;二是消費者和組織無法確定哪些數字產品是安全的,或者說無法確定自身的網絡安全能否得到保護。
上述問題的總結具有相當廣泛的現實依據。據統計,每年歐盟數據泄露造成的損失至少爲100億歐元,每年互聯網受惡意破壞造成的損失至少爲650億歐元。2022年,歐盟軟件供應鏈遭受的網絡攻擊數量增加兩倍,幾乎每天都有小型企業和醫院等關鍵機構或基礎設施成爲網絡犯罪分子的目標。且除了軟件系統外,硬件設備因設計缺陷、更新不及時、存在物理突破風險等原因存在的漏洞,往往更易被破解和攻擊。
“當數字產品出現安全問題時,儘管其製造商可能面臨聲譽損失,但安全風險主要是由專業用戶和消費者承擔的,這一定程度上弱化了製造商投資安全開發設計、提供安全更新的動力。”歐盟相關負責人曾指出,CRA的主要作用在於保障歐盟市場上銷售的數字產品,在整個生命週期都必須要滿足強制性的網絡安全標準。
雖然在正式推出的CRA文本中,歐盟將製造商的履責時長縮減爲產品預期壽命內或產品投放市場後五年內(以較短者爲準),但其無疑也大大加強了製造商在產品網絡安全和漏洞管理方面的責任。
北京航空航天大學法學院院長助理、副教授趙精武在接受南方財經全媒體記者採訪時表示,相較於GDPR等一衆歐盟數據安全法律法規,CRA最大的特點在於,該法案的適用範圍不再單純僅限於數據處理活動,而是適用所有直接或間接連接到另一設備或網絡的數字產品。並且,該法案更加側重製造商、進口商、運營商等一衆義務主體的網絡安全風險預防和治理義務,作用領域是產品本身,而非數據。
據瞭解,CRA法案將在歐盟理事會主席和歐洲議會主席簽字後正式發佈,並留給歐洲市場相關企業3年緩衝期,但其中部分條款將在緩衝期內就逐步落實。
嚴苛的標準
雖然如歐盟所言,CRA法案的推出存在其現實必要性,但就部分被新法規納入監管範圍的企業而言,要完全落實相關條款的要求確實並不輕鬆。
在此前西門子等公司反對最爲激烈的供應鏈安全管理方面,CRA法案第十條要求,製造商在將來自第三方的部件集成到帶有數字元素的產品中時,應當確保此類部件不會危及產品的安全性。
這就意味着當產品製造商在使用某一數碼零部件、第三方組件乃至軟件插件時,都需要對其安全性進行檢驗和確認。對於高度依賴產業鏈國際分工的家電和消費電子行業,這一標準的落地極大拓寬了其責任範圍。
世輝律師事務所合夥人王新銳在接受南方財經全媒體記者採訪時建議,供應鏈廠商需根據CRA法案的要求儘早完成產品的合規改造,並應保留相應網絡安全能力的相應證明文件,以爲後續的合規檢查提供支持材料。
但他也指出,製造商如何確保供應鏈中的第三方供應商符合CRA標準,是一個更加具有挑戰的問題。這不但依賴於製造商本身對CRA法案要求的理解,還需要企業構建完善的第三方供應商管理制度,和有效的盡調流程等。
除了供應鏈安全管理外,CRA法案還就網絡安全風險評估、安全漏洞處理和披露、安全事件報告等方面的內容進行了細化要求,進一步壓實了企業在產品安全設計及後續安全管理方面的責任。
就執法主體來看,CRA支持歐盟成員國直接適用,換言之歐盟國家無需將其轉化爲本國法律即可根據CRA法案要求進行執法;懲罰措施方面,執法機構對違反CRA要求的企業可處以最高1500萬歐元或全球總營業額2.5%的罰款。
值得注意的是,在歐盟今年3月投票通過的新版《產品責任指令》(PLD)中,簡化了消費者因產品問題尋求賠償的舉證責任要求:當原告證明產品不符合歐盟及其成員國法律規定的強制性產品安全要求時,即可推定該產品存在缺陷。當消費者因存在缺陷的產品或由製造商採用缺陷組件製造的產品而遭受損害時,其有權獲得產品製造商和缺陷組件製造商賠償。
綜合CRA與PLD的有關條款不難看出,歐盟賦予了消費者更爲便捷地追究數字產品製造商及其產業鏈供應商的權利。只要消費者發現產品本身、集成的零部件存在安全缺陷或違反法規安全要求,並造成人身安全和健康、財產、數據等方面的損害,即可向產品製造商進行索賠。
兩相結合之下,在歐盟地區銷售的數字產品將面臨來自監管部門和消費者更爲嚴苛的檢驗和審查,存在安全問題或僅是集成了問題部件的製造商,除了商譽和品牌影響外,還可能要同時面臨歐盟的罰款和消費者的索賠要求。
不過趙精武也指出,雖然CRA與PLD確實要求整機廠商對供應商安全承擔一定責任,不過這並不意味着廠商要進行全面的安全檢查,因爲CRA的安全標準是“歐盟境內的通用安全標準”,倘若整機廠商進行了必要事項的安全檢查即可視爲履行了義務。他建議,中國供應鏈廠商需要儘早提前規劃,建構必要的業務合規流程,同時也需要考慮到應急處置方案。
“因爲CRA的落地可能會成爲歐盟當局指責中國數字產品不符合網絡安全要求的依據,實施禁止銷售等制裁措施。”
進出口影響
對近年來出口業務高速發展的中國家電品牌而言,本地的法律合規問題一直是一個不得不面對的挑戰。
南方財經全媒體記者曾就CRA法案落地對海外業務的影響相關問題,試圖採訪一些位居歐洲市場前列的中國企業,但得到的回覆基本一致——業務部門研判相關話題有些敏感,企業不太方便對外直接回復。
趙精武指出,從政策指向的角度來看,CRA的落地能夠有效促成歐盟數字單一市場戰略的事實,促使歐盟境內所有數字化產品生產商都遵循相同的安全標準,這種統一化的安全標準能夠間接提升歐盟境內相關產業的集羣優勢。但歐盟也有可能借此形成貿易壁壘,使得境外企業想要將數字產品銷往歐盟,不得不投入額外的網絡安全業務合規成本。
如果說對於有能力進行完整合規框架建設的大品牌而言,CRA等法規應對起來已頗有難度,對於中小品牌、代工企業和零部件供應商而言,其無疑面臨更直接的合規監管收緊及成本增加問題。
王新銳表示,作爲境外企業,如仍想要將數字化產品銷往歐盟,就必須投入額外合規成本以符合CRA的相關合規要求,而無力或未能及時完成相應合規化產品改造的企業,則可能被歐盟拒之門外,這也相當於歐盟變相保護了本土的產品。
需要指出的是,除了宏觀層面的監管壓力外,輿論影響也是中國品牌始終對安全話題心絃緊繃的重要原因。
一位頭部家電品牌從業者在與記者交流時表示,客觀而言,中國企業作爲外來品牌在歐美市場難免要面臨更爲嚴苛的審視,其輿論環境也更爲複雜。例如,在中國品牌和國外品牌同一類型的產品存在共性問題時,中國產品往往會遭到海外媒體更多地關注。
爲保持在歐洲市場的發展,企業應充分參考本土經營和提升本地化運營能力,是絕大部分受訪者在採訪中提到的應對策略。
王新銳表示,歐盟等地的不少企業已有較爲完善的管理制度,建議企業可以參考行業的最佳實踐,必要時也可引入專業的第三方諮詢機構協助完善企業的網絡安全框架,以確保合規。
另一位上海家電行業從業者表示,政府有關部門、行業協會乃至產業鏈中的龍頭企業,也可發揮帶頭作用,總結行業面臨的共性問題,歸納通用性合規解決方案,以幫助企業尤其是中小製造商降低合規成本,維持經營穩定。