歐盟：擬出臺(tái)《網(wǎng)絡(luò)彈性法案》

文/孟令浩

2022年9月15日，歐盟委員會(huì)提議制定《網(wǎng)絡(luò)彈性法案》，以保護(hù)消費(fèi)者和企業(yè)免受安全功能不足的產(chǎn)品的影響。2022年11月18日，歐盟理事會(huì)輪值主席國(guó)捷克發(fā)布了關(guān)于擬議《網(wǎng)絡(luò)彈性法案》的新文本；隨后在11月23日，歐盟理事會(huì)網(wǎng)絡(luò)問(wèn)題橫向工作組對(duì)文本進(jìn)行了討論。目前，該擬議法案處于意見(jiàn)反饋階段（截至2023年1月23日）。

《網(wǎng)絡(luò)彈性法案》以2020年歐盟網(wǎng)絡(luò)安全戰(zhàn)略和2020年歐盟安全聯(lián)盟戰(zhàn)略為基礎(chǔ)，最早出現(xiàn)在歐盟委員會(huì)主席馮德萊恩于2021年9月發(fā)布的歐盟國(guó)情咨文中。作為歐盟有史以來(lái)的首個(gè)此類立法，該法案就具有數(shù)字元素的產(chǎn)品在設(shè)計(jì)、生產(chǎn)、運(yùn)營(yíng)及維護(hù)等整個(gè)生命周期引入了強(qiáng)制性的網(wǎng)絡(luò)安全要求——要求制造商提供安全支持和軟件更新來(lái)彌補(bǔ)已發(fā)現(xiàn)的漏洞，并且保障消費(fèi)者能夠獲得有關(guān)他們購(gòu)買和使用的產(chǎn)品之網(wǎng)絡(luò)安全的足夠信息。

歐盟希望《網(wǎng)絡(luò)彈性法案》中的新監(jiān)管方法和規(guī)則能夠成為“國(guó)際參考點(diǎn)”。這充分表明，歐盟希望借助出臺(tái)《網(wǎng)絡(luò)彈性法案》達(dá)到影響國(guó)際規(guī)則制定的戰(zhàn)略目的。

2022年9月15日，歐盟委員會(huì)提議制定《網(wǎng)絡(luò)彈性法案》

提議制定《網(wǎng)絡(luò)彈性法案》的雙重原因

歐盟提出制定《網(wǎng)絡(luò)彈性法案》的主要?jiǎng)右蛟谟跀?shù)字產(chǎn)品的網(wǎng)絡(luò)安全威脅日益嚴(yán)重，以及歐盟內(nèi)部缺乏有關(guān)數(shù)字產(chǎn)品網(wǎng)絡(luò)安全的規(guī)則。

所謂“網(wǎng)絡(luò)彈性”主要是指網(wǎng)絡(luò)系統(tǒng)從災(zāi)難中快速響應(yīng)、恢復(fù)到正常狀態(tài)的能力。歐盟認(rèn)為計(jì)算機(jī)硬件和軟件產(chǎn)品越來(lái)越容易受到網(wǎng)絡(luò)攻擊。數(shù)字產(chǎn)品所存在的兩個(gè)主要問(wèn)題增加了用戶和社會(huì)的使用成本：其一，數(shù)字產(chǎn)品的網(wǎng)絡(luò)安全水平較低，普遍存在的漏洞以及消除這些漏洞的安全更新提供不足且不一致；其二，用戶對(duì)安全信息的理解和獲取不足，導(dǎo)致他們難以選擇具有足夠網(wǎng)絡(luò)安全屬性的產(chǎn)品或以安全的方式使用。歐盟特別強(qiáng)調(diào)：在互聯(lián)網(wǎng)環(huán)境中，數(shù)字產(chǎn)品的網(wǎng)絡(luò)安全具有很強(qiáng)的跨國(guó)性。一個(gè)產(chǎn)品的網(wǎng)絡(luò)安全事件可能會(huì)影響整個(gè)組織或供應(yīng)鏈，通常會(huì)在幾分鐘內(nèi)跨越內(nèi)部市場(chǎng)的邊界傳播。這可能導(dǎo)致人類經(jīng)濟(jì)和社會(huì)活動(dòng)的嚴(yán)重中斷，嚴(yán)重時(shí)甚至?xí){到人們的生命安全。

在數(shù)字產(chǎn)品持續(xù)受到網(wǎng)絡(luò)攻擊威脅的背景下，歐盟內(nèi)部缺乏相關(guān)規(guī)則。歐盟委員會(huì)指出，雖然現(xiàn)有的內(nèi)部市場(chǎng)立法適用于某些數(shù)字產(chǎn)品，但大多數(shù)計(jì)算機(jī)硬件和軟件產(chǎn)品目前都沒(méi)有被任何解決其網(wǎng)絡(luò)安全問(wèn)題的歐盟立法所涵蓋。特別是，當(dāng)前的歐盟法律框架沒(méi)有解決非嵌入式軟件的網(wǎng)絡(luò)安全問(wèn)題，即使網(wǎng)絡(luò)安全攻擊越來(lái)越多地針對(duì)這些產(chǎn)品中的漏洞并造成了巨大的社會(huì)和經(jīng)濟(jì)成本。因此，歐盟認(rèn)為，通過(guò)制定《網(wǎng)絡(luò)彈性法案》以統(tǒng)一法律框架的方式對(duì)數(shù)字產(chǎn)品市場(chǎng)加以干預(yù)是非常必要的。

立法從生產(chǎn)者及消費(fèi)者入手

歐盟委員會(huì)從數(shù)字產(chǎn)品的生產(chǎn)者與數(shù)字產(chǎn)品的消費(fèi)者入手，為《網(wǎng)絡(luò)彈性法案》確立了立法目標(biāo)。從數(shù)字產(chǎn)品的生產(chǎn)者角度來(lái)看，《網(wǎng)絡(luò)彈性法案》旨在確保計(jì)算機(jī)硬件和軟件產(chǎn)品以較少的漏洞投放市場(chǎng)，并確保生產(chǎn)者在產(chǎn)品的整個(gè)生命周期中認(rèn)真考慮其產(chǎn)品的安全性。從數(shù)字產(chǎn)品的消費(fèi)者角度來(lái)看，《網(wǎng)絡(luò)彈性法案》意圖賦予消費(fèi)者更為廣泛的知情權(quán)和選擇權(quán)，增強(qiáng)數(shù)字產(chǎn)品的安全透明度，促使消費(fèi)者在選擇和使用數(shù)字產(chǎn)品時(shí)考慮到網(wǎng)絡(luò)安全因素。

目前，歐盟《網(wǎng)絡(luò)彈性法案（草案）》（以下簡(jiǎn)稱“草案”）共有8章51條，其基本內(nèi)容如下：

第一，適用范圍。草案第2條規(guī)定，本法案適用于含有數(shù)字元素的產(chǎn)品，其預(yù)期或可合理預(yù)見(jiàn)的用途包括可以直接或間接地與設(shè)備、網(wǎng)絡(luò)進(jìn)行連接。根據(jù)草案的界定，含有數(shù)字元素的產(chǎn)品具體是指“任何軟件或硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案，包括單獨(dú)投放市場(chǎng)的軟件或硬件組件”。由此可見(jiàn)，《網(wǎng)絡(luò)彈性法案》的適用范圍涵蓋所有可以聯(lián)網(wǎng)的計(jì)算機(jī)硬件和軟件產(chǎn)品。對(duì)于已經(jīng)投放歐盟市場(chǎng)的數(shù)字產(chǎn)品而言，除非“其設(shè)計(jì)或預(yù)期目的進(jìn)行了實(shí)質(zhì)性修改”，一般將不受該法的調(diào)整；此外，專門用于國(guó)家安全、軍事以及處理機(jī)密信息的數(shù)字產(chǎn)品同樣被排除在該法的適用范圍外。

第二，數(shù)字產(chǎn)品只有滿足該法所規(guī)定的基本條件時(shí)，才能夠獲準(zhǔn)在市場(chǎng)上進(jìn)行銷售。具體而言，數(shù)字產(chǎn)品的生產(chǎn)者承擔(dān)著多項(xiàng)重要的安全義務(wù)：對(duì)數(shù)字產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果進(jìn)行設(shè)計(jì)、開(kāi)發(fā)和生產(chǎn)，以確保設(shè)備達(dá)到適當(dāng)?shù)木W(wǎng)絡(luò)安全水平，并且在交付時(shí)沒(méi)有任何已知的可利用漏洞；系統(tǒng)記錄與數(shù)字產(chǎn)品網(wǎng)絡(luò)安全相關(guān)的所有信息，包括制造商或第三方發(fā)現(xiàn)的漏洞，并在適當(dāng)?shù)那闆r下更新產(chǎn)品的風(fēng)險(xiǎn)評(píng)估報(bào)告；起草技術(shù)文件，進(jìn)行產(chǎn)品質(zhì)量評(píng)估，確保其滿足“歐盟符合性聲明”要求，并張貼“CE標(biāo)志”；通過(guò)適當(dāng)?shù)某绦蚝痛胧?，處理、補(bǔ)救內(nèi)部或外部反饋的產(chǎn)品潛在漏洞，向數(shù)字產(chǎn)品用戶提供完整的信息和說(shuō)明，以便用戶在選擇和使用此類產(chǎn)品時(shí)考慮網(wǎng)絡(luò)安全；在發(fā)現(xiàn)可被利用的漏洞或任何影響數(shù)字產(chǎn)品安全的事件之24小時(shí)內(nèi)，向歐洲聯(lián)盟網(wǎng)絡(luò)安全局（ENISA）予以報(bào)告。

第三，市場(chǎng)監(jiān)督和控制。草案第41條規(guī)定：“成員國(guó)應(yīng)指定一個(gè)或多個(gè)市場(chǎng)監(jiān)督機(jī)構(gòu)，以確保本法案的有效實(shí)施。成員國(guó)可以指定一個(gè)現(xiàn)有的或新的機(jī)構(gòu)作為本法規(guī)的市場(chǎng)監(jiān)督機(jī)構(gòu)?！?/p>

第四，處罰措施。草案第53條要求成員國(guó)應(yīng)制定適用于違反本法案的經(jīng)營(yíng)者的處罰規(guī)則，并采取一切必要措施確保這些規(guī)則得到執(zhí)行：首先，對(duì)于不遵守附件1中規(guī)定的基本網(wǎng)絡(luò)安全要求，以及第10條和第11條中規(guī)定的義務(wù)來(lái)說(shuō)，將被處以最高1500萬(wàn)歐元的罰款，或者最高為企業(yè)上一財(cái)年全球營(yíng)業(yè)額的2.5%的罰款；其次，對(duì)于不遵守法案規(guī)定的任何其他義務(wù)行為，將處以最高1000萬(wàn)歐元的罰款，或者最高為企業(yè)上一財(cái)政年度全球營(yíng)業(yè)額的2%的罰款；最后，為回應(yīng)請(qǐng)求而向指定機(jī)構(gòu)和市場(chǎng)監(jiān)管機(jī)構(gòu)提供不正確、不完整或誤導(dǎo)性信息的，將被處以最高500萬(wàn)歐元的罰款，或者將被處以最高為企業(yè)上一財(cái)年全球營(yíng)業(yè)額1%的罰款。

立法背后的深層意圖

目前來(lái)看，歐盟制定《網(wǎng)絡(luò)彈性法案》體現(xiàn)了其試圖通過(guò)網(wǎng)絡(luò)安全來(lái)強(qiáng)化歐盟內(nèi)部市場(chǎng)監(jiān)管，以及引領(lǐng)全球數(shù)字產(chǎn)品治理規(guī)則確立的深層意圖——

首先，借助網(wǎng)絡(luò)安全問(wèn)題的普遍性和高度敏感性，歐盟可以減少《網(wǎng)絡(luò)彈性法案》制定和實(shí)施過(guò)程中的政治和經(jīng)濟(jì)阻力。

其次，《網(wǎng)絡(luò)彈性法案》將有力推動(dòng)歐盟數(shù)字單一市場(chǎng)的形成。該法案對(duì)歐盟境內(nèi)銷售的所有數(shù)字產(chǎn)品施加了共同的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以推動(dòng)歐盟相關(guān)產(chǎn)業(yè)的規(guī)?；图夯l(fā)展。

最后，《網(wǎng)絡(luò)彈性法案》將產(chǎn)生影響國(guó)際規(guī)則制定的布魯塞爾效應(yīng)，幫助歐盟主導(dǎo)將來(lái)國(guó)際規(guī)則制定的話語(yǔ)權(quán)和影響力。