查看原文
其他

域外观察 | 欧盟《网络弹性法案》研究报告

信通院互联网法律研究中心 CAICT互联网法律研究中心 2023-01-22


全文共计约3000字,细读时间约10分钟

文 | 杜安琪,中国信通院互联网法律研究中心助理研究员

      侯文兴,中国信通院互联网法律研究中心实习生


2022年9月15日,欧盟委员会发布网络安全法规提案《网络弹性法案》(Cyber Resilience Act,CRA),旨在加强欧盟数字产品的网络安全,整合现有网络安全监管框架。《网络弹性法案》对包括软件在内的数字产品提出了大量网络安全要求。该法案与《高度共同网络安全指令》(NIS 2指令)《网络安全法》《人工智能法案》和《通用数据保护条例》GDPR有着密切联系,并有可能成为最重要的欧盟网络安全法律之一。
一、适用范围
《网络弹性法案》适用于所有直接或间接连接到另一设备或网络的数字产品,其中,数字产品包括“任何软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件”。该法案将适用于这些产品从设计阶段到淘汰阶段的整个生命周期。
作为例外,如果其他欧盟规则达到与《网络弹性法案》相同级别的保护水平,则该法案的适用将受到限制或排除,例如,NIS 2指令规定了关键或重要实体所属企业的网络安全管理义务,则软件即服务SaaS应适用NIS 2指令,而不适用该法案。另外,该法案豁免了已经有部门立法的数字产品,例如受医疗器械法规(Regulation (EU) 2017/745)、体外诊断医疗器械法规(Regulation (EU) 2017/746)、车辆一般安全条例(Regulation (EU) 2019/2144)调整规范的数字产品,以及根据民用航空条例通用规则(Regulation (EU) 2018/1139)认证的数字产品。最后,专为国家安全或军事目的开发的数字产品不在该法案的规范范围内。
二、经济运营者的一般义务
《网络弹性法案》将规制主体定义为经济运营者,包括制造商、授权代表、进口商、分销商或任何其他须履行该法案规定义务的自然人或法人。该法案对经济运营者进行了具体划分,针对不同类型的主体施加不同的义务。
(一)制造商和进口商
制造商和进口商投放到欧盟市场的数字产品必须符合法案规定的基本网络安全要求,以确保相关产品具备适当的网络安全水平,且没有可被利用的漏洞。
(二)进口商和分销商
如果进口商和分销商发现数字产品存在漏洞,应立即通知制造商。如果产品存在重大网络安全风险,则需要立即通知产品销售地所在成员国的市场监督机构。
进口商和分销商需要确保数字产品已附有适当的易于理解的说明和信息,以确保用户安全使用。
当进口商或分销商发现数字产品的制造商无法遵守《网络弹性法案》中规定的义务时,应通知相关市场监督机构,并在可能的情况下通知产品用户。
(三)回应市场监督机构要求的义务
如果对产品是否符合《网络弹性法案》有合理的担忧,市场监督机构可以要求制造商、进口商和分销商提供评估设计、开发、生产和漏洞处理所需的所有数据。这包括相关的内部文件,以证明产品符合《网络弹性法案》的要求。
(四)制造商的义务适用于其他主体
如果进口商或分销商以其名称或商标将数字产品投放到欧盟市场,则应被视为《网络弹性法案》中的制造商,并受制造商义务的约束。
如果自然人或法人对产品进行重大修改,则应将其视为《网络弹性法案》规定的制造商,并承担制造商的义务。
三、制造商的具体义务
制造商是指开发或制造数字产品,或以其名义或商标设计、开发、制造和销售这些产品的任何主体。
第一,制造商应确保:产品是按照《网络弹性法案》中规定的基本网络安全要求设计、开发和生产的;产品具备基于风险的适当的网络安全水平;产品交付时没有任何已知的可利用漏洞。
第二,为履行上述义务,制造商应对与其产品相关的网络安全风险进行评估,并在产品的规划、设计、开发、生产、交付和维护过程中考虑其结果,从而最大限度地降低网络安全风险,防止发生安全事故并尽量减少其影响,包括对用户健康和安全的影响。此外,制造商在集成来自第三方的组件时必须尽职尽责,以确保这些组件不会危及产品的安全性。 
第三,必须以与性质和网络安全风险相称的方式系统地记录相关的网络安全事项。
第四,产品投放欧盟市场时,技术文档中必须包含网络安全风险评估。
第五,制造商必须确保产品的漏洞在预期的产品生命周期内或从投放市场算起的五年内(以较短者为准)得到有效处理。
第六,在将产品投放市场之前,制造商必须:起草技术文档,该文档必须包含所有相关数据并且必须不断更新;进行产品质量评估;确保产品满足欧盟符合性声明,并为产品张贴CE标志;产品随附清晰、易懂、可理解和易读的信息和说明,以确保用户安全地安装、操作和使用。
第七,制造商需要制定适当的政策和程序以处理和修复潜在的漏洞。
第八,制造商还可以选择任命一名授权的欧盟代表,以履行制造商的某些义务。
第九,制造商负有报告义务。如果产品中包含任何被积极利用的漏洞或任何事件对产品的安全性产生影响,制造商需要在发现上述情况后的24小时内,立即向欧盟网络安全机构(European Union Agency for Cybersecurity,ENISA)报告此情况,不得无故拖延。此外,在识别组件中的漏洞后,制造商需要将漏洞报告给维护组件的个人或实体。
四、进口商的具体义务
进口商是指在欧盟设立,将数字产品投放到欧盟市场,并且该数字产品带有在欧盟以外设立的自然人或法人名称或商标的自然人或法人。
第一,在将产品投放市场之前,进口商必须确保:制造商已进行产品质量评估;制造商已起草技术文件;产品带有CE标志;产品附有清晰、易懂、可理解和易读的信息和说明,以确保用户安全地安装、操作和使用。
第二,进口商不得将他们认为不符合《网络弹性法案》规定的基本网络安全要求的产品投放市场。
第三,进口商必须在数字产品的包装或产品随附文件中标明其名称、注册商号或注册商标、邮政地址和可以联系到他们的电子邮件地址。联系方式应使用用户和市场监督机构易于理解的语言。
第四,在数字产品投放市场后的十年内,进口商必须保留一份欧盟符合性声明的副本,以供市场监督机构使用。
五、经销商的具体义务
经销商是供应链中除制造商或分销商之外的,向欧盟市场提供数字产品的任何自然人或法人。
在将数字产品投放到市场上时,经销商必须根据《网络弹性法案》的要求谨慎行事。在销售产品之前,经销商需要确保:产品带有CE标志;制造商已随附信息和说明以及欧盟符合性声明;进口商已在产品或其包装上标明其名称、注册商号或注册商标以及联系地址。
六、主管机关
每个成员国应至少任命一个市场监督机构以确保《网络弹性法案》的有效实施。市场监督机构在必要时可与其他国家当局、其他成员国当局或欧盟委员会合作。
当市场监督机构有充分理由认为数字产品存在重大网络安全风险时,其会评估该产品是否符合该法案的规定。如果评估的结果是产品不符合法案规定,则市场监督机构可以根据具体风险大小,要求经济运营者对其产品进行整改、下架或召回。当市场监督机构认为违规行为不仅限于其国家领土时,有权通知欧盟委员会和其他成员国。
七、处罚措施
如果违反《网络弹性法案》附件I中规定的网络安全要求和制造商的义务,可能会被处以最高15,000,000欧元或上一财政年度全球年营业额的2.5%的罚款,以较高者为准。
如果违反任何其他义务,可能会被处以最高 10,000,000欧元或上一财政年度全球年营业额2%的罚款,以较高者为准。
向指定机构和市场监督机构提供不正确、不完整或误导性的信息的,可能会被处以最高5,000,000欧元或上一财政年度全球年营业额的1%的罚款,以较高者为准。


END


往期精彩回顾



(滑动浏览)中心研究 | 对个人数据价值释放的追求,各利益团体的努力和妥协——简评《美国数据隐私和保护法案》中心解读 | 国家互联网信息办公室依法对滴滴公司进行处罚,切实规范平台经济健康发展
中心解读 |《数据出境安全评估办法》发布,数据处理者应如何开展安全评估?
中心研究 | 中国参与数据跨境流动国际规则的挑战与因应
中心研究 | 域外关于数据所有权法律问题的探讨
中心研究 | 关于数据伦理国内外研究评述与发展动态分析
域外观察 | 为什么2022年只是人工智能规制的开始?
中心研究|元宇宙中的潜在法律问题研究中心研究 | 美国私营部门隐私保护成文法框架概述中心研究 | 欧洲议会表决通过《数字服务法》草案修正案,九大变化强化平台监管治理拜登政府执政一周年观察(一):美国数字经济领域反托拉斯工作要点分析及趋势判断中心研究 | 简评美国伊利诺伊州Cothron诉White Castle指纹识别信息侵权案
中心会议 | 算法治理研讨会暨《算法治理蓝皮书》发布会在北京顺利召开(后附蓝皮书原文与解读)新书推荐 |《个人信息保护立法研究》
年度观察 | 2021年网络法治盘点与回顾(一):平台治理篇
年度观察 | 2021年网络法治盘点与回顾(二):个人信息保护篇
域外观察 | 韩国率先发布全球首部《数据基本法》,大力发展数据产业

域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订

域外观察 | 聚焦四大问题,日本更新《个人信息保护法》指南问答中心会议| 第六届“网络法治三十人论坛”成功举办中心解读|《个人信息保护法》正式出台——中国走出第三条路(后附历次审议稿修改对照表)中心解读 | 《个人信息保护法》以闭环管理机制,规制个人信息泄露问题
中心解读|《个人信息保护法》与GDPR的个人信息权利对比
中心研究|十问十答看懂我国个人信息去标识化规则中心研究 | 透视“数字守门人”制度:对大型平台的事前监管机制
中心研究|美国打压我国科技公司的政策工具梳理
中心研究|关于APP与关联方共享个人信息问题研究
中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解决中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存