全文共计约3000字,细读时间约10分钟
文 | 杜安琪,中国信通院互联网法律研究中心助理研究员
侯文兴,中国信通院互联网法律研究中心实习生
2022年9月15日,欧盟委员会发布网络安全法规提案《网络弹性法案》(Cyber Resilience Act,CRA),旨在加强欧盟数字产品的网络安全,整合现有网络安全监管框架。《网络弹性法案》对包括软件在内的数字产品提出了大量网络安全要求。该法案与《高度共同网络安全指令》(NIS 2指令)《网络安全法》《人工智能法案》和《通用数据保护条例》(GDPR)等有着密切联系,并有可能成为最重要的欧盟网络安全法律之一。《网络弹性法案》适用于所有直接或间接连接到另一设备或网络的数字产品,其中,数字产品包括“任何软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件”。该法案将适用于这些产品从设计阶段到淘汰阶段的整个生命周期。作为例外,如果其他欧盟规则达到与《网络弹性法案》相同级别的保护水平,则该法案的适用将受到限制或排除,例如,NIS 2指令规定了关键或重要实体所属企业的网络安全管理义务,则软件即服务(SaaS)应适用NIS 2指令,而不适用该法案。另外,该法案豁免了已经有部门立法的数字产品,例如受医疗器械法规(Regulation (EU) 2017/745)、体外诊断医疗器械法规(Regulation (EU) 2017/746)、车辆一般安全条例(Regulation (EU) 2019/2144)调整规范的数字产品,以及根据民用航空条例通用规则(Regulation (EU) 2018/1139)认证的数字产品。最后,专为国家安全或军事目的开发的数字产品不在该法案的规范范围内。《网络弹性法案》将规制主体定义为经济运营者,包括制造商、授权代表、进口商、分销商或任何其他须履行该法案规定义务的自然人或法人。该法案对经济运营者进行了具体划分,针对不同类型的主体施加不同的义务。制造商和进口商投放到欧盟市场的数字产品必须符合法案规定的基本网络安全要求,以确保相关产品具备适当的网络安全水平,且没有可被利用的漏洞。如果进口商和分销商发现数字产品存在漏洞,应立即通知制造商。如果产品存在重大网络安全风险,则需要立即通知产品销售地所在成员国的市场监督机构。进口商和分销商需要确保数字产品已附有适当的易于理解的说明和信息,以确保用户安全使用。当进口商或分销商发现数字产品的制造商无法遵守《网络弹性法案》中规定的义务时,应通知相关市场监督机构,并在可能的情况下通知产品用户。如果对产品是否符合《网络弹性法案》有合理的担忧,市场监督机构可以要求制造商、进口商和分销商提供评估设计、开发、生产和漏洞处理所需的所有数据。这包括相关的内部文件,以证明产品符合《网络弹性法案》的要求。如果进口商或分销商以其名称或商标将数字产品投放到欧盟市场,则应被视为《网络弹性法案》中的制造商,并受制造商义务的约束。如果自然人或法人对产品进行重大修改,则应将其视为《网络弹性法案》规定的制造商,并承担制造商的义务。制造商是指开发或制造数字产品,或以其名义或商标设计、开发、制造和销售这些产品的任何主体。第一,制造商应确保:产品是按照《网络弹性法案》中规定的基本网络安全要求设计、开发和生产的;产品具备基于风险的适当的网络安全水平;产品交付时没有任何已知的可利用漏洞。第二,为履行上述义务,制造商应对与其产品相关的网络安全风险进行评估,并在产品的规划、设计、开发、生产、交付和维护过程中考虑其结果,从而最大限度地降低网络安全风险,防止发生安全事故并尽量减少其影响,包括对用户健康和安全的影响。此外,制造商在集成来自第三方的组件时必须尽职尽责,以确保这些组件不会危及产品的安全性。 第三,必须以与性质和网络安全风险相称的方式系统地记录相关的网络安全事项。第四,产品投放欧盟市场时,技术文档中必须包含网络安全风险评估。第五,制造商必须确保产品的漏洞在预期的产品生命周期内或从投放市场算起的五年内(以较短者为准)得到有效处理。第六,在将产品投放市场之前,制造商必须:起草技术文档,该文档必须包含所有相关数据并且必须不断更新;进行产品质量评估;确保产品满足欧盟符合性声明,并为产品张贴CE标志;产品随附清晰、易懂、可理解和易读的信息和说明,以确保用户安全地安装、操作和使用。第七,制造商需要制定适当的政策和程序以处理和修复潜在的漏洞。第八,制造商还可以选择任命一名授权的欧盟代表,以履行制造商的某些义务。第九,制造商负有报告义务。如果产品中包含任何被积极利用的漏洞或任何事件对产品的安全性产生影响,制造商需要在发现上述情况后的24小时内,立即向欧盟网络安全机构(European Union Agency for Cybersecurity,ENISA)报告此情况,不得无故拖延。此外,在识别组件中的漏洞后,制造商需要将漏洞报告给维护组件的个人或实体。进口商是指在欧盟设立,将数字产品投放到欧盟市场,并且该数字产品带有在欧盟以外设立的自然人或法人名称或商标的自然人或法人。第一,在将产品投放市场之前,进口商必须确保:制造商已进行产品质量评估;制造商已起草技术文件;产品带有CE标志;产品附有清晰、易懂、可理解和易读的信息和说明,以确保用户安全地安装、操作和使用。第二,进口商不得将他们认为不符合《网络弹性法案》规定的基本网络安全要求的产品投放市场。第三,进口商必须在数字产品的包装或产品随附文件中标明其名称、注册商号或注册商标、邮政地址和可以联系到他们的电子邮件地址。联系方式应使用用户和市场监督机构易于理解的语言。第四,在数字产品投放市场后的十年内,进口商必须保留一份欧盟符合性声明的副本,以供市场监督机构使用。经销商是供应链中除制造商或分销商之外的,向欧盟市场提供数字产品的任何自然人或法人。在将数字产品投放到市场上时,经销商必须根据《网络弹性法案》的要求谨慎行事。在销售产品之前,经销商需要确保:产品带有CE标志;制造商已随附信息和说明以及欧盟符合性声明;进口商已在产品或其包装上标明其名称、注册商号或注册商标以及联系地址。每个成员国应至少任命一个市场监督机构以确保《网络弹性法案》的有效实施。市场监督机构在必要时可与其他国家当局、其他成员国当局或欧盟委员会合作。当市场监督机构有充分理由认为数字产品存在重大网络安全风险时,其会评估该产品是否符合该法案的规定。如果评估的结果是产品不符合法案规定,则市场监督机构可以根据具体风险大小,要求经济运营者对其产品进行整改、下架或召回。当市场监督机构认为违规行为不仅限于其国家领土时,有权通知欧盟委员会和其他成员国。如果违反《网络弹性法案》附件I中规定的网络安全要求和制造商的义务,可能会被处以最高15,000,000欧元或上一财政年度全球年营业额的2.5%的罚款,以较高者为准。如果违反任何其他义务,可能会被处以最高 10,000,000欧元或上一财政年度全球年营业额2%的罚款,以较高者为准。向指定机构和市场监督机构提供不正确、不完整或误导性的信息的,可能会被处以最高5,000,000欧元或上一财政年度全球年营业额的1%的罚款,以较高者为准。