文|杜安琪 中国信通院互联网法律研究中心工程师

侯文兴 中国信通院互联网法律研究中心实习生

11月20日,欧盟《网络弹性法》(Cyber Resilience Act, CRA)在欧盟官方公报上正式公布,标志着欧盟在网络安全治理领域迈出重要一步。该法对数字产品全生命周期的网络安全要求进行了规定,同时也明确了包括制造商、进口商、经销商等在内的多方主体的网络安全保障义务,不仅为欧盟内部市场统一标准,也对全球网络安全法律体系建设产生深远影响。

一、《网络弹性法》制定背景

近年来,数字技术的快速发展推动了经济社会的深刻变革,但伴随而来的网络安全威胁也日益加剧。为应对这一挑战,欧盟一直致力于网络安全立法的完善。2016年的《通用数据保护条例》(General Data Protection Regulation)确立了数据保护的基本框架,2019年的《网络安全法》(Cybersecurity Act)加强了欧盟层面的网络认证与协调机制。然而,现有法规主要关注数据安全或关键基础设施,对具有数字元素的普通产品缺乏统一监管标准,导致网络安全标准不统一、市场监管存在漏洞,给消费者和企业带来了诸多风险。《网络弹性法》的推出正是为了弥补这一空白,明确覆盖数字产品生命周期的全面网络安全要求,确保在欧盟市场上投放的数字产品的安全性,更好保护企业用户和普通消费者的合法权益。

二、《网络弹性法》主要内容

《网络弹性法》共8章71条,全面规定了数字产品的网络安全要求、制造商和相关市场主体的责任义务,同时强化监管执行机制,覆盖数字产品从设计到淘汰的完整生命周期,其核心内容包括以下几方面:

(一)适用范围和网络安全基本要求

《网络弹性法》适用于具有数字元素的产品(简称“数字产品”),且其预期用途或合理可预见的使用范围涉及与设备或网络的直接或间接连接。这些产品无论是面向企业市场还是个人消费市场,都需要遵守统一的网络安全标准,确保它们在设计、生产、使用和报废阶段的每一个环节都具备一定的安全保障。该法尤其重视产品的生命周期管理,确保从设计开始直到产品的退市阶段,网络安全都能得到持续有效的保障。

该法附录I列举了网络安全基本要求的具体内容。一方面是数字产品需满足的网络安全要求,即在设计、开发和生产数字产品时,应确保其符合基于风险的适当网络安全水平,确保其无已知漏洞且具有安全默认设置,保障存储、传输或者以其他方式处理的个人数据或其他数据的机密性、完整性,在实现处理目的的最小范围处理个人数据或其他数据,并在整个生命周期内提供安全支持,包括漏洞修复和安全更新等。另一方面是制造商需满足的漏洞处理要求,即在产品设计阶段就要对安全漏洞、网络攻击等风险进行预见,并采取有效措施加以规避,包括识别并记录数字产品中包含的漏洞与组件、及时采取安全更新等措施处理和补救安全漏洞、定期测试和检查数字产品安全性、公开披露已修复漏洞信息、促进共享数字产品和其中第三方组件的潜在漏洞信息等。

值得注意的是,为与《人工智能法》相衔接,该法第12条对“高风险人工智能系统”做出规定,明确了《人工智能法》第15条规定的“适当的网络安全水平”应当符合的标准,即产品符合该法附录I第I部分规定的网络安全基本要求、制造商的制作程序满足附录I第II部分规定的网络安全基本要求,且在根据该法发布的欧盟符合性声明中证明了所需的网络安全保护水平。

(二)制造商、进口商和经销商的责任

《网络弹性法》对各类经济运营者的网络安全责任进行了规定。其中,经济运营者是指制造商、授权代表、进口商、经销商以及根据该法在数字产品的制造或者投放市场方面负有相关义务的其他自然人或法人。

制造商是《网络弹性法》的核心责任主体,该法规定其应当在产品设计、开发和生产阶段始终考虑并融入网络安全基本要求。因此,制造商必须为其产品进行详细的网络安全风险评估并保存相关记录,以最大限度地降低网络安全风险、预防安全事件并尽量降低影响。此外,该法还要求制造商及时识别并修复产品的安全漏洞,在产品生命周期内定期发布安全更新,并设立漏洞信息披露机制,确保用户能够及时知悉和应对可能出现的安全问题。制造商将数字产品投入市场前,应当编制相关技术文件,并自行或者委托他人进行合格评定程序。如经评定符合网络安全基本要求,则制造商应当起草欧盟符合性声明并加贴CE标志。

制造商在产品生命周期内负有详细的报告义务。制造商在发现已经被利用的安全漏洞以及对产品网络安全产生严重影响的事件后,应当通过“单一报告平台”及时向计算机安全事件应急响应小组(CSIRT)和欧盟网络安全局(ENISA)报告。此外,制造商还应当将相关漏洞或事件通知相关用户,并在必要时通知用户为减轻该漏洞或事件的影响可以采取的措施。其中,“单一报告平台”是指由ENISA建立并进行日常管理和维护的通知平台。除上述强制性报告义务外,该法还明确了自愿报告规定,即制造商以及其他自然人或法人可自愿向CSIRT或ENISA通报数字产品中包含的任何漏洞以及网络威胁。

进口商在产品进入欧盟市场时,需验证产品是否符合《网络弹性法》的网络安全标准以及相关制造商是否履行了合格评定程序、编制技术文件、加贴CE标志等该法规定的义务。如果进口商未能履行这一验证责任,将面临相关的法律责任和处罚。此外,如果数字产品存在重大网络安全风险,进口商应当告知制造商和市场监管机构。同时,进口商需要在市场监管机构提出合理要求后,向其提供必要的文件,确保进口产品的安全性得到了有效保障。

经销商的责任则体现在销售和分销环节,该法要求,在数字产品投放市场之前,经销商应确保数字产品带有CE标志,且制造商和进口商已遵守该法规定的相关要求,并已向经销商提供了所有必要的文件。如果经销商根据其掌握的信息认为或有理由认为产品或制造商不符合相关要求,经销商不得销售相关数字产品。如果经销商根据其掌握的信息认为或有理由认为市场在售产品或制造商不符合相关要求,经销商需采取措施,确保其重新符合要求,或将其撤回或召回。

(三)自由和开源软件相关规定

《网络弹性法》明确,仅供非商业用途的开源软件和独立于数字产品的第三方云服务不在直接适用范围内,这为技术创新和开发提供了一定的灵活性。然而,如果这些开源软件或云服务最终被整合到商业产品中,便会被纳入网络安全要求的范畴。这一规定确保了即使是非商业软件,也不至于成为安全隐患的源头。

《网络弹性法》提出了开源软件管理者的概念,即系统且持续地为特定数字产品(这些产品属于自由和开源软件且旨在用于商业活动)的开发提供支持并确保这些产品具备可持续发展性的除制造商以外的法人。该法明确开源软件管理者应当以可核查的方式制定并记录网络安全政策,并根据市场监管部门的要求与其开展合作。同时,该法还明确了明确了开源软件管理者在特定情形下的报告义务,以及自由和开源软件的安全认证规则。

(四)市场监管与处罚措施

《网络弹性法》要求欧盟成员国指定一个或多个市场监管机构,以确保该法的有效实施。为评估数字产品及制造商的制作程序是否符合附录I所列网络安全基本要求,市场监管机构可以在必要且合理的情况下,获取评估产品开发、生产以及漏洞处理所需的数据,包括相关经济运营者的内部文件。

对于违反网络安全基本要求的,该法规定了最高1500万欧元或公司上一财年全球年营业额的2.5%的罚款。这一高额罚款旨在通过威慑作用,促使企业认真履行网络安全责任,维护消费者权益。

三、《网络弹性法》的影响

《网络弹性法》将于在欧盟官方公报上公布起第20日生效。其中大部分规定将从2027年12月11日起适用,即生效后36个月;制造商的安全事件报告义务将从2026年9月11日起适用,合格评估机构的通知将从2026年6月11日起适用。该法的实施将显著提升欧盟市场中数字产品的网络安全标准,减少产品漏洞对消费者和企业的风险影响,同时推动企业在开发和供应链中更注重网络安全。作为一部全面覆盖数字产品网络安全的法律,该法的出台不仅提高了欧盟市场的网络安全水平,也为其他国家应对类似问题提供了参考。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。