欧盟：拟出台《网络弹性法案》

文/孟令浩

2022年9月15日，欧盟委员会提议制定《网络弹性法案》，以保护消费者和企业免受安全功能不足的产品的影响。2022年11月18日，欧盟理事会轮值主席国捷克发布了关于拟议《网络弹性法案》的新文本；随后在11月23日，欧盟理事会网络问题横向工作组对文本进行了讨论。目前，该拟议法案处于意见反馈阶段（截至2023年1月23日）。

《网络弹性法案》以2020年欧盟网络安全战略和2020年欧盟安全联盟战略为基础，最早出现在欧盟委员会主席冯德莱恩于2021年9月发布的欧盟国情咨文中。作为欧盟有史以来的首个此类立法，该法案就具有数字元素的产品在设计、生产、运营及维护等整个生命周期引入了强制性的网络安全要求——要求制造商提供安全支持和软件更新来弥补已发现的漏洞，并且保障消费者能够获得有关他们购买和使用的产品之网络安全的足够信息。

欧盟希望《网络弹性法案》中的新监管方法和规则能够成为“国际参考点”。这充分表明，欧盟希望借助出台《网络弹性法案》达到影响国际规则制定的战略目的。

2022年9月15日，欧盟委员会提议制定《网络弹性法案》

提议制定《网络弹性法案》的双重原因

欧盟提出制定《网络弹性法案》的主要动因在于数字产品的网络安全威胁日益严重，以及欧盟内部缺乏有关数字产品网络安全的规则。

所谓“网络弹性”主要是指网络系统从灾难中快速响应、恢复到正常状态的能力。欧盟认为计算机硬件和软件产品越来越容易受到网络攻击。数字产品所存在的两个主要问题增加了用户和社会的使用成本：其一，数字产品的网络安全水平较低，普遍存在的漏洞以及消除这些漏洞的安全更新提供不足且不一致；其二，用户对安全信息的理解和获取不足，导致他们难以选择具有足够网络安全属性的产品或以安全的方式使用。欧盟特别强调：在互联网环境中，数字产品的网络安全具有很强的跨国性。一个产品的网络安全事件可能会影响整个组织或供应链，通常会在几分钟内跨越内部市场的边界传播。这可能导致人类经济和社会活动的严重中断，严重时甚至会威胁到人们的生命安全。

在数字产品持续受到网络攻击威胁的背景下，欧盟内部缺乏相关规则。欧盟委员会指出，虽然现有的内部市场立法适用于某些数字产品，但大多数计算机硬件和软件产品目前都没有被任何解决其网络安全问题的欧盟立法所涵盖。特别是，当前的欧盟法律框架没有解决非嵌入式软件的网络安全问题，即使网络安全攻击越来越多地针对这些产品中的漏洞并造成了巨大的社会和经济成本。因此，欧盟认为，通过制定《网络弹性法案》以统一法律框架的方式对数字产品市场加以干预是非常必要的。

立法从生产者及消费者入手

欧盟委员会从数字产品的生产者与数字产品的消费者入手，为《网络弹性法案》确立了立法目标。从数字产品的生产者角度来看，《网络弹性法案》旨在确保计算机硬件和软件产品以较少的漏洞投放市场，并确保生产者在产品的整个生命周期中认真考虑其产品的安全性。从数字产品的消费者角度来看，《网络弹性法案》意图赋予消费者更为广泛的知情权和选择权，增强数字产品的安全透明度，促使消费者在选择和使用数字产品时考虑到网络安全因素。

目前，欧盟《网络弹性法案（草案）》（以下简称“草案”）共有8章51条，其基本内容如下：

第一，适用范围。草案第2条规定，本法案适用于含有数字元素的产品，其预期或可合理预见的用途包括可以直接或间接地与设备、网络进行连接。根据草案的界定，含有数字元素的产品具体是指“任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件”。由此可见，《网络弹性法案》的适用范围涵盖所有可以联网的计算机硬件和软件产品。对于已经投放欧盟市场的数字产品而言，除非“其设计或预期目的进行了实质性修改”，一般将不受该法的调整；此外，专门用于国家安全、军事以及处理机密信息的数字产品同样被排除在该法的适用范围外。

第二，数字产品只有满足该法所规定的基本条件时，才能够获准在市场上进行销售。具体而言，数字产品的生产者承担着多项重要的安全义务：对数字产品进行网络安全风险评估，并根据评估结果进行设计、开发和生产，以确保设备达到适当的网络安全水平，并且在交付时没有任何已知的可利用漏洞；系统记录与数字产品网络安全相关的所有信息，包括制造商或第三方发现的漏洞，并在适当的情况下更新产品的风险评估报告；起草技术文件，进行产品质量评估，确保其满足“欧盟符合性声明”要求，并张贴“CE标志”；通过适当的程序和措施，处理、补救内部或外部反馈的产品潜在漏洞，向数字产品用户提供完整的信息和说明，以便用户在选择和使用此类产品时考虑网络安全；在发现可被利用的漏洞或任何影响数字产品安全的事件之24小时内，向欧洲联盟网络安全局（ENISA）予以报告。

第三，市场监督和控制。草案第41条规定：“成员国应指定一个或多个市场监督机构，以确保本法案的有效实施。成员国可以指定一个现有的或新的机构作为本法规的市场监督机构。”

第四，处罚措施。草案第53条要求成员国应制定适用于违反本法案的经营者的处罚规则，并采取一切必要措施确保这些规则得到执行：首先，对于不遵守附件1中规定的基本网络安全要求，以及第10条和第11条中规定的义务来说，将被处以最高1500万欧元的罚款，或者最高为企业上一财年全球营业额的2.5%的罚款；其次，对于不遵守法案规定的任何其他义务行为，将处以最高1000万欧元的罚款，或者最高为企业上一财政年度全球营业额的2%的罚款；最后，为回应请求而向指定机构和市场监管机构提供不正确、不完整或误导性信息的，将被处以最高500万欧元的罚款，或者将被处以最高为企业上一财年全球营业额1%的罚款。

立法背后的深层意图

目前来看，欧盟制定《网络弹性法案》体现了其试图通过网络安全来强化欧盟内部市场监管，以及引领全球数字产品治理规则确立的深层意图——

首先，借助网络安全问题的普遍性和高度敏感性，欧盟可以减少《网络弹性法案》制定和实施过程中的政治和经济阻力。

其次，《网络弹性法案》将有力推动欧盟数字单一市场的形成。该法案对欧盟境内销售的所有数字产品施加了共同的网络安全标准，以推动欧盟相关产业的规模化和集群化发展。

最后，《网络弹性法案》将产生影响国际规则制定的布鲁塞尔效应，帮助欧盟主导将来国际规则制定的话语权和影响力。