近期，欧洲议会工业、研究和能源委员会（Industry, Research and Energy Committee）通过了《网络弹性法案（Cyber Resilience Act）》草案（以下简称“《法案》”），并决定与欧盟理事会就该法案展开谈判，待欧洲议会、欧盟理事会和欧盟委员会达成共识后，《法案》方获正式通过。《法案》将为具有数字功能的产品建立一套统一的网络安全要求，以应对这些产品带来的网络安全威胁。《法案》背景、主要内容及各方观点如下：

《法案》的立法背景为网络安全形势的日益严峻与欧盟网络安全统一立法的缺乏。当前，数字产品给人们的日常生活带来便利，但也带来了一系列安全风险。

• 一方面，网络安全威胁日益严重。据欧盟介绍，就消费者而言，其可能受到婴儿监视器、扫地机器人、Wi-Fi路由器以及报警系统等数码产品安全漏洞的侵害；就企业而言，五分之三的供应商已经因产品安全漏洞而蒙受损失。
• 另一方面，欧盟缺乏相关适用规则。欧盟委员会指出，虽然现有的内部市场立法适用于某些数字产品，但目前并没有出台解决大多数计算机硬件和软件产品网络安全问题的专门性立法。

在此背景下，欧盟认识到需要出台法案以防范相关网络攻击风险，保护消费者和企业免受安全功能不足的产品的影响。

《法案》的主要内容包括对数字产品全生命周期的网络安全要求。《法案》对数字产品提出了多方面的网络安全要求，意图以统一的法律框架来规制欧盟的网络安全问题。

• 在适用范围方面，《法案》适用于具有数字功能的产品，并将产品分为三类，分别是默认类别、I类和II类，分别需要遵守严格程度不同的安全义务。同时，《法案》也规定了一些适用的例外，比如，在其他欧盟规则达到与《法案》相同级别的保护水平的情况下，该《法案》的适用将受到限制或排除。
• 在主体义务方面，《法案》对规制主体进行了具体划分并规定了不同义务。具体而言，《法案》以制造商的义务规定为重心，包含风险评估、尽职调查、漏洞更新、提供说明材料等一系列围绕产品全生命周期的安全要求，同时突出了分销商和进口商的相关义务，确保来自海外的不合格产品不会进入欧盟市场。

《法案》此轮审议体现了欧盟理事会和欧洲议会的修改意见。欧盟于2022年9月提出《法案》，目前仍在制定之中，最新进展是在2023年7月，欧盟理事会成员国就《法案》达成共同立场，欧洲议会也投票通过《法案》。

欧洲议会此轮审议中建议扩大产品清单以囊括软件产品，诸如身份管理软件、密码管理器、生物识别阅读器、智能家居助手、智能手表和安全摄像头等；同时建议产品应自动安装安全更新，并与功能性更新分开安装。

欧盟理事会此轮审议中对《法案》作出如下修改：

一是修改了适用范围，包括应符合法规要求的具体产品类别；

二是明确向国家主管当局（计算机安全事件响应小组（CSIRT））而非欧盟网络安全机构（ENISA）履行漏洞或事件的报告义务；

三是明确了制造商确定产品预期寿命时应考虑的要素；四是增加了对小微企业的支持措施；五是规定了简化符合性声明的相关要求。

来源：CAICT互联网法律研究中心