首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片|報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁 >> 終端 >> 正文

歐盟軟硬件安全新規(guī)落地,《網(wǎng)絡(luò)彈性法案》對(duì)中國家電出口影響幾何

2024年10月17日 09:19  21世紀(jì)經(jīng)濟(jì)報(bào)道  作 者:吳立洋

南方財(cái)經(jīng)全媒體記者 吳立洋 上海報(bào)道

當(dāng)?shù)貢r(shí)間10月10日,在經(jīng)歷近4年的醞釀后,歐盟理事會(huì)正式通過了《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act,以下簡(jiǎn)稱CRA),這也是其將GDPR等法規(guī)構(gòu)建的合規(guī)框架進(jìn)一步向軟硬件產(chǎn)品領(lǐng)域延伸的重要表現(xiàn)。

從法案的覆蓋范圍來看,除了汽車、醫(yī)療設(shè)備、航空器材等個(gè)別已有專門法規(guī)適配的特定領(lǐng)域外,CRA 適用于任何具備數(shù)字組件的軟硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案。這也就意味著,幾乎所有存在聯(lián)網(wǎng)等數(shù)字化功能的家電和消費(fèi)電子類產(chǎn)品,包括電視、冰箱、智能音響等,均被納入CRA的監(jiān)管范疇。

相較于歐盟其他數(shù)據(jù)及安全領(lǐng)域法案,CRA的特點(diǎn)在于對(duì)供應(yīng)鏈的安全管理提出了堪稱嚴(yán)苛的高要求,除了要求制造商確保產(chǎn)品在交付時(shí)無任何已知漏洞外,還規(guī)定其需要對(duì)集成到數(shù)字產(chǎn)品的第三方組件進(jìn)行盡職調(diào)查,并對(duì)其安全性承擔(dān)連帶責(zé)任外——這些標(biāo)準(zhǔn)也與歐盟此前推出的新《產(chǎn)品責(zé)任指令》(PLD)政策相呼應(yīng)。此外,還對(duì)制造商的安全漏洞報(bào)告、產(chǎn)品合規(guī)標(biāo)志等提出了規(guī)定。

這一針對(duì)性如此之強(qiáng)的法規(guī)自發(fā)布起就引發(fā)了業(yè)界的廣泛爭(zhēng)議,西門子、愛立信、施耐德電氣、博世等企業(yè)就曾對(duì)其部分條款提出過激烈反對(duì)。在上述企業(yè)向歐盟數(shù)字部門負(fù)責(zé)人遞交的一封聯(lián)名公開信中,其表示該法規(guī)將極大限制企業(yè)在供應(yīng)商選擇和管理中的靈活性,最終削弱其市場(chǎng)競(jìng)爭(zhēng)力。

作為中國家電和消費(fèi)電子出口的主要市場(chǎng)之一,CRA的出臺(tái)無疑對(duì)歐洲市場(chǎng)的合規(guī)格局帶來新的變數(shù),而智能化與聯(lián)網(wǎng)化這一監(jiān)管核心同樣也是家電類產(chǎn)品市場(chǎng)競(jìng)爭(zhēng)的焦點(diǎn)。如何在歐盟合規(guī)監(jiān)管收緊的背景下維持自身海外業(yè)務(wù)的合規(guī)與穩(wěn)定,將進(jìn)一步考驗(yàn)中國企業(yè)的管理能力和出海策略。

安全必要性

歐盟此前在解答推出CRA法案推出的原因時(shí),曾將其歸納為現(xiàn)存的兩方面問題:一是數(shù)字產(chǎn)品固有的網(wǎng)絡(luò)安全水平不足,或者提供的安全更新不到位;二是消費(fèi)者和組織無法確定哪些數(shù)字產(chǎn)品是安全的,或者說無法確定自身的網(wǎng)絡(luò)安全能否得到保護(hù)。

上述問題的總結(jié)具有相當(dāng)廣泛的現(xiàn)實(shí)依據(jù)。據(jù)統(tǒng)計(jì),每年歐盟數(shù)據(jù)泄露造成的損失至少為100億歐元,每年互聯(lián)網(wǎng)受惡意破壞造成的損失至少為650億歐元。2022年,歐盟軟件供應(yīng)鏈遭受的網(wǎng)絡(luò)攻擊數(shù)量增加兩倍,幾乎每天都有小型企業(yè)和醫(yī)院等關(guān)鍵機(jī)構(gòu)或基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。且除了軟件系統(tǒng)外,硬件設(shè)備因設(shè)計(jì)缺陷、更新不及時(shí)、存在物理突破風(fēng)險(xiǎn)等原因存在的漏洞,往往更易被破解和攻擊。

“當(dāng)數(shù)字產(chǎn)品出現(xiàn)安全問題時(shí),盡管其制造商可能面臨聲譽(yù)損失,但安全風(fēng)險(xiǎn)主要是由專業(yè)用戶和消費(fèi)者承擔(dān)的,這一定程度上弱化了制造商投資安全開發(fā)設(shè)計(jì)、提供安全更新的動(dòng)力!睔W盟相關(guān)負(fù)責(zé)人曾指出,CRA的主要作用在于保障歐盟市場(chǎng)上銷售的數(shù)字產(chǎn)品,在整個(gè)生命周期都必須要滿足強(qiáng)制性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

雖然在正式推出的CRA文本中,歐盟將制造商的履責(zé)時(shí)長(zhǎng)縮減為產(chǎn)品預(yù)期壽命內(nèi)或產(chǎn)品投放市場(chǎng)后五年內(nèi)(以較短者為準(zhǔn)),但其無疑也大大加強(qiáng)了制造商在產(chǎn)品網(wǎng)絡(luò)安全和漏洞管理方面的責(zé)任。

北京航空航天大學(xué)法學(xué)院院長(zhǎng)助理、副教授趙精武在接受南方財(cái)經(jīng)全媒體記者采訪時(shí)表示,相較于GDPR等一眾歐盟數(shù)據(jù)安全法律法規(guī),CRA最大的特點(diǎn)在于,該法案的適用范圍不再單純僅限于數(shù)據(jù)處理活動(dòng),而是適用所有直接或間接連接到另一設(shè)備或網(wǎng)絡(luò)的數(shù)字產(chǎn)品。并且,該法案更加側(cè)重制造商、進(jìn)口商、運(yùn)營商等一眾義務(wù)主體的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)防和治理義務(wù),作用領(lǐng)域是產(chǎn)品本身,而非數(shù)據(jù)。

據(jù)了解,CRA法案將在歐盟理事會(huì)主席和歐洲議會(huì)主席簽字后正式發(fā)布,并留給歐洲市場(chǎng)相關(guān)企業(yè)3年緩沖期,但其中部分條款將在緩沖期內(nèi)就逐步落實(shí)。

嚴(yán)苛的標(biāo)準(zhǔn)

雖然如歐盟所言,CRA法案的推出存在其現(xiàn)實(shí)必要性,但就部分被新法規(guī)納入監(jiān)管范圍的企業(yè)而言,要完全落實(shí)相關(guān)條款的要求確實(shí)并不輕松。

在此前西門子等公司反對(duì)最為激烈的供應(yīng)鏈安全管理方面,CRA法案第十條要求,制造商在將來自第三方的部件集成到帶有數(shù)字元素的產(chǎn)品中時(shí),應(yīng)當(dāng)確保此類部件不會(huì)危及產(chǎn)品的安全性。

這就意味著當(dāng)產(chǎn)品制造商在使用某一數(shù)碼零部件、第三方組件乃至軟件插件時(shí),都需要對(duì)其安全性進(jìn)行檢驗(yàn)和確認(rèn)。對(duì)于高度依賴產(chǎn)業(yè)鏈國際分工的家電和消費(fèi)電子行業(yè),這一標(biāo)準(zhǔn)的落地極大拓寬了其責(zé)任范圍。

世輝律師事務(wù)所合伙人王新銳在接受南方財(cái)經(jīng)全媒體記者采訪時(shí)建議,供應(yīng)鏈廠商需根據(jù)CRA法案的要求盡早完成產(chǎn)品的合規(guī)改造,并應(yīng)保留相應(yīng)網(wǎng)絡(luò)安全能力的相應(yīng)證明文件,以為后續(xù)的合規(guī)檢查提供支持材料。

但他也指出,制造商如何確保供應(yīng)鏈中的第三方供應(yīng)商符合CRA標(biāo)準(zhǔn),是一個(gè)更加具有挑戰(zhàn)向的問題。這不但依賴于制造商本身對(duì)CRA法案要求的理解,還需要企業(yè)構(gòu)建完善的第三方供應(yīng)商管理制度,和有效的盡調(diào)流程等。

除了供應(yīng)鏈安全管理外,CRA法案還就網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、安全漏洞處理和披露、安全事件報(bào)告等方面的內(nèi)容進(jìn)行了細(xì)化要求,進(jìn)一步壓實(shí)了企業(yè)在產(chǎn)品安全設(shè)計(jì)及后續(xù)安全管理方面的責(zé)任。

就執(zhí)法主體來看,CRA支持歐盟成員國直接適用,換言之歐盟國家無需將其轉(zhuǎn)化為本國法律即可根據(jù)CRA法案要求進(jìn)行執(zhí)法;懲罰措施方面,執(zhí)法機(jī)構(gòu)對(duì)違反CRA要求的企業(yè)可處以最高1500萬歐元或全球總營業(yè)額2.5%的罰款。

值得注意的是,在歐盟今年3月投票通過的新版《產(chǎn)品責(zé)任指令》(PLD)中,簡(jiǎn)化了消費(fèi)者因產(chǎn)品問題尋求賠償?shù)呐e證責(zé)任要求:當(dāng)原告證明產(chǎn)品不符合歐盟及其成員國法律規(guī)定的強(qiáng)制性產(chǎn)品安全要求時(shí),即可推定該產(chǎn)品存在缺陷。當(dāng)消費(fèi)者因存在缺陷的產(chǎn)品或由制造商采用缺陷組件制造的產(chǎn)品而遭受損害時(shí),其有權(quán)獲得產(chǎn)品制造商和缺陷組件制造商賠償。

綜合CRA與PLD的有關(guān)條款不難看出,歐盟賦予了消費(fèi)者更為便捷地追究數(shù)字產(chǎn)品制造商及其產(chǎn)業(yè)鏈供應(yīng)商的權(quán)利。只要消費(fèi)者發(fā)現(xiàn)產(chǎn)品本身、集成的零部件存在安全缺陷或違反法規(guī)安全要求,并造成人身安全和健康、財(cái)產(chǎn)、數(shù)據(jù)等方面的損害,即可向產(chǎn)品制造商進(jìn)行索賠。

兩相結(jié)合之下,在歐盟地區(qū)銷售的數(shù)字產(chǎn)品將面臨來自監(jiān)管部門和消費(fèi)者更為嚴(yán)苛的檢驗(yàn)和審查,存在安全問題或僅是集成了問題部件的制造商,除了商譽(yù)和品牌影響外,還可能要同時(shí)面臨歐盟的罰款和消費(fèi)者的索賠要求。

不過趙精武也指出,雖然CRA與PLD確實(shí)要求整機(jī)廠商對(duì)供應(yīng)商安全承擔(dān)一定責(zé)任,不過這并不意味著廠商要進(jìn)行全面的安全檢查,因?yàn)镃RA的安全標(biāo)準(zhǔn)是“歐盟境內(nèi)的通用安全標(biāo)準(zhǔn)”,倘若整機(jī)廠商進(jìn)行了必要事項(xiàng)的安全檢查即可視為履行了義務(wù)。他建議,中國供應(yīng)鏈廠商需要盡早提前規(guī)劃,建構(gòu)必要的業(yè)務(wù)合規(guī)流程,同時(shí)也需要考慮到應(yīng)急處置方案。

“因?yàn)镃RA的落地可能會(huì)成為歐盟當(dāng)局指責(zé)中國數(shù)字產(chǎn)品不符合網(wǎng)絡(luò)安全要求的依據(jù),實(shí)施禁止銷售等制裁措施!

進(jìn)出口影響

對(duì)近年來出口業(yè)務(wù)高速發(fā)展的中國家電品牌而言,本地的法律合規(guī)問題一直是一個(gè)不得不面臨的挑戰(zhàn)。

南方財(cái)經(jīng)全媒體記者曾就CRA法案落地對(duì)海外業(yè)務(wù)的影響相關(guān)問題,試圖采訪一些位居歐洲市場(chǎng)前列的中國企業(yè),但得到的回復(fù)基本一致——業(yè)務(wù)部門研判相關(guān)話題有些敏感,企業(yè)不太方面對(duì)外直接回復(fù)。

趙精武指出,從政策指向的角度來看,CRA的落地能夠有效促成歐盟數(shù)字單一市場(chǎng)戰(zhàn)略的事實(shí),促使歐盟境內(nèi)所有數(shù)字化產(chǎn)品生產(chǎn)商都遵循相同的安全標(biāo)準(zhǔn),這種統(tǒng)一化的安全標(biāo)準(zhǔn)能夠間接提升歐盟境內(nèi)相關(guān)產(chǎn)業(yè)的集群優(yōu)勢(shì)。但歐盟也有可能借此形成貿(mào)易壁壘,使得境外企業(yè)想要將數(shù)字產(chǎn)品銷往歐盟,不得不投入額外的網(wǎng)絡(luò)安全業(yè)務(wù)合規(guī)成本。

如果說對(duì)于有能力進(jìn)行完整合規(guī)框架建設(shè)的大品牌而言,CRA等法規(guī)應(yīng)對(duì)起來已頗有難度,對(duì)于中小品牌、代工企業(yè)和零部件供應(yīng)商而言,其無疑面臨更直接的合規(guī)監(jiān)管收緊及成本增加問題。

王新銳表示,作為境外企業(yè),如仍想要將數(shù)字化產(chǎn)品銷往歐盟,就必須投入額外合規(guī)成本以符合CRA的相關(guān)合規(guī)要求,而無力或未能及時(shí)完成相應(yīng)合規(guī)化產(chǎn)品改造的企業(yè),則可能被歐盟拒之門外,這也相當(dāng)于歐盟變相保護(hù)了本土的產(chǎn)品。

需要指出的是,除了宏觀層面的監(jiān)管壓力外,輿論影響也是中國品牌始終對(duì)安全話題心弦緊繃的重要原因。

一位頭部家電品牌從業(yè)者在與記者交流時(shí)表示,客觀而言,中國企業(yè)作為外來品牌在歐美市場(chǎng)難免要面臨更為嚴(yán)苛的審視,其輿論環(huán)境也更為復(fù)雜。例如,在中國品牌和國外品牌同一類型的產(chǎn)品存在共性問題時(shí),中國產(chǎn)品往往會(huì)遭到海外媒體更多地關(guān)注和針對(duì)。

為保持在歐洲市場(chǎng)的發(fā)展,企業(yè)應(yīng)充分參考本土經(jīng)營和提升本地化運(yùn)營能力,是絕大部分受訪者在采訪中提到的應(yīng)對(duì)策略。

王新銳表示,歐盟等地的不少企業(yè)已有較為完善的管理制度,建議企業(yè)可以參考行業(yè)的最佳實(shí)踐,必要時(shí)也可引入專業(yè)的第三方咨詢機(jī)構(gòu)協(xié)助完善企業(yè)的網(wǎng)絡(luò)安全框架,以確保合規(guī)。

另一位上海家電行業(yè)從業(yè)者表示,政府有關(guān)部門、行業(yè)協(xié)會(huì)乃至產(chǎn)業(yè)鏈中的龍頭企業(yè),也可發(fā)揮帶頭作用,總結(jié)行業(yè)面臨的共性問題,歸納通用性合規(guī)解決方案,以幫助企業(yè)尤其是中小制造商降低合規(guī)成本,維持經(jīng)營穩(wěn)定。

編 輯:章芳
飛象網(wǎng)版權(quán)及免責(zé)聲明:
1.本網(wǎng)刊載內(nèi)容,凡注明來源為“飛象網(wǎng)”和“飛象原創(chuàng)”皆屬飛象網(wǎng)版權(quán)所有,未經(jīng)允許禁止轉(zhuǎn)載、摘編及鏡像,違者必究。對(duì)于經(jīng)過授權(quán)可以轉(zhuǎn)載,請(qǐng)必須保持轉(zhuǎn)載文章、圖像、音視頻的完整性,并完整標(biāo)注作者信息和飛象網(wǎng)來源。
2.凡注明“來源:XXXX”的作品,均轉(zhuǎn)載自其它媒體,在于傳播更多行業(yè)信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。
3.如因作品內(nèi)容、版權(quán)和其它問題,請(qǐng)?jiān)谙嚓P(guān)作品刊發(fā)之日起30日內(nèi)與本網(wǎng)聯(lián)系,我們將第一時(shí)間予以處理。
本站聯(lián)系電話為86-010-87765777,郵件后綴為cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
中國電信李峻:只有當(dāng)人工智能成為公共基礎(chǔ)設(shè)施,才能普惠大眾
精彩專題
2024中國算力大會(huì)
2024年國際信息通信展
中國信科亮相2024年國際信息通信展
第25屆中國國際光電博覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像