▶投稿/转载/合作,加入开源合规治理交流群,欢迎添加微信 Sectrend
欧盟《网络弹性法案》解读及对开源的影响
一、《网络弹性法案》立法情况
近年来,针对互联网硬件和软件产品的安全攻击事件日益增长,数字产品面临着网络安全威胁,根据欧盟委员会的立法报告,2021年全球网络攻击造成的损失已经达到5.5万亿欧元。数字产品面临的两大问题增加了用户和社会的使用成本:一是数字产品的网络安全水平低,产品普遍存在安全漏洞,安全支持和软件更新不足以修复已知漏洞;二是用户对产品的安全信息缺乏获取和了解的途径,导致无法选择具有足够网络安全性能的产品。欧盟委员会认为,目前漏洞的成本主要由专业用户和消费者承担,限制了制造商投资于安全设计和开发的动力。针对这些问题,欧盟委员会于2022年9月15日提出一项数字产品网络安全法案的提案,即《网络弹性法案》(Cyber Resilience Act,CRA)。(注1)
所谓“网络弹性”是指网络在面临攻击或其他不利情况时,能够维持其关键功能、快速恢复的能力。CRA对欧盟境内销售的所有数字产品的设计、生产、运营和维护施加了强制性网络安全标准,旨在实现两个立法目标:其一,确保计算机硬件和软件产品以尽可能少的漏洞投放市场,促使制造商在产品的整个生命周期内重视产品的网络安全,以保障数字产品的安全发展;其二,确保用户在购买和使用数字元素产品时,能将其网络安全性能纳入考虑范围,以保障用户的知情权和选择权。该法案要求制造商事先进行软件产品质量评估,确保其满足欧盟符合性声明,并为产品张贴CE标志,因此也被称为“软件产品CE认证”。
2023年7月19日,欧盟理事会会议就CRA法案提出修正案,并且就该法案的谈判授权达成共识,授权轮值主席国西班牙与欧洲议会就立法的最终版本进行谈判。欧洲议会工业、研究和能源委员会 (ITRE) 以61票赞成、1票反对、10票弃权的结果批准了CRA草案。下一步,该法案提案将提交欧洲议会表决。
二、《网络弹性法案》的相关规定
1、适用范围
CRA第2条规定,“本法案适用于可直接或间接连接到另一设备或网络的数字产品”。“数字产品”是指 “任何软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件”。可见,CRA的适用范围非常广泛,既包括软件,也包括所有可联网的硬件设备,例如网络电视、智能冰箱等。
2、经营者义务
CRA的规制主体包括制造商、进口商和分销商三类,针对不同的主体施加不同的义务,其中重点规定了制造商的义务。
制造商的义务包括:
(1)确保投放欧盟市场的产品按照CRA的基本网络安全要求进行设计、开发和生产,以确保产品具备适当的网络安全水平,并在交付时没有任何已知的可利用漏洞;
(2)为履行前述义务,制造商应当对数字产品进行网络安全风险评估,以降低网络安全风险和防范安全事故;
(3)系统记录与数字产品相关的网络安全事项,包括自查发现的漏洞以及第三方的反馈意见,并及时更新产品的风险评估报告;
(4)确保产品的漏洞在预期的产品生命周期内或投放市场后的五年内(以较短者为准)得到有效处理,并且通过适当的措施和程序,处理、修复内部或外部反馈的产品潜在漏洞,特殊情况需及时召回;
(5)在将产品投放市场之前,制造商必须起草技术文档,进行产品质量评估,确保其满足欧盟符合性声明,并为产品张贴CE标志;
(6)向用户提供关于数字产品的完整信息和说明,以便用户安全地安装、操作和使用;
(7)在发现可被利用的漏洞或任何影响数字产品安全事件的24小时内,向欧盟网络安全局(ENISA)报告。
就进口商和分销商而言,CRA要求其向欧盟市场投放符合网络安全要求的数字产品,确保制造商已完成法案的合规要求,包括进行产品质量评估、起草技术文件、数字产品已张贴CE标志并附有相关信息和说明等。如果进口商和分销商发现产品存在漏洞,必须立即通知制造商。当产品存在重大网络安全风险时,还应当通知市场监管部门。
3、处罚措施
CRA第53条对违法行为人规定了严厉的惩罚措施:
(1)对于不遵守法案附件一中规定的基本网络安全要求、漏洞处理要求和制造商义务的,将处以最高1500万欧元或者企业上一财政年度全球营业额的2.5%的罚款。
(2)对于不遵守法案规定的其他义务的行为,将处以最高1000万欧元或者企业上一财政年度全球营业额的2%的罚款。
(3)如果向指定机构和市场监管机构提供不正确、不完整或误导性信息的,将被处以最高500万欧元或企业上一财政年度全球营业额1%的罚款。
4、过渡期
CRA设置了过渡期条款,以便生产商、指定机构和成员国对新法有充足的适应时间。法案将于生效之日起两年后施行,但制造商的报告义务将于法案生效之日起一年后施行。
从法案当前条款来看,CRA对于数字产品的网络安全监管措施极为严厉,适用的产品范围广泛,规制的经营主体多样,且法律责任严苛。无论数字产品是否存在实际的安全漏洞、是否给消费者造成实际损害,只要经营主体未履行法案规定的网络安全义务,就可能被欧洲当地监管部门处罚。处罚金额按照该经营主体全球营业额的一定比例计算,而非该企业在欧盟市场营业额的一定比例,也不是违法所得或给消费者造成实际损害的相应倍数。
三、欧盟《网络弹性法案》对开源软件及社区的影响
欧盟推出CRA,本意是为了提升硬件或软件产品的网络安全,但该法案可能给开源软件及社区带来不利后果,甚至影响开源软件的运行机制和基本生态。
1、开源社区运行机制——免费提供源代码,对开源软件免责。
一直以来,开源社区普遍遵从这样的机制:开发者将源代码无偿贡献给社区,许可接收者自由使用、修改和再分发;同时,开发者对所提供的开源软件免责。由于源代码对所有人开放,开发者难以通过软件许可获取收益,只能通过提供技术服务、云存储服务、销售硬件产品等方式获得收益,以维持开发运营工作。相对于商业软件,通过开源软件获得收益的渠道和能力极为有限,许多开源从业者甚至无法获得收益。因此,无论是宽松型的开源许可证,还是copyleft许可证,均包含开发者不对开源软件的质量提供担保,也不对使用开源软件遭受的损失承担赔偿的免责条款。“开放源代码,不承担责任”,这个规则得到了开源社区的普遍认可和遵守,但CRA的规定可能颠覆这个规则。
2、CRA关于开源软件的豁免范围。
根据CRA 第10条的规定,非商业活动性质开发和提供开源软件的行为不受CRA约束。但对于什么是软件环境中的商业活动,CRA的界定极为广泛,既包括直接定价销售产品,也包括提供技术支持服务、以软件平台通过其它服务变现,甚至包括以提升软件性能以外的原因使用个人数据信息。在实际执法过程中,执法机构具有一定的自由裁量权,商业活动的范畴可能被放大,使得能够被CRA豁免的开源软件开发和提供行为的范围进一步缩小。
根据该条款规定,明确能够获得豁免的开源软件提供者的范围极为有限,主要是基于个人爱好或公益性质的开发者。对于提供开源软件,同时从事相关经营活动的企业开发者很难被豁免,甚至连接受资助、组织会议或者提供培训的开源基金会,在某些场景中也可能不被豁免。如果CRA法案最终按照当前的条款通过,并在欧盟各成员国实施,在欧盟市场(包括通过互联网进入)提供开源软件的开发者,不得不遭遇“付费合规、免费开源”的困境。
3、开源组织和社区对CRA提出反对意见,但并未被接受。
欧盟委员会在2022年9月提出CRA草案后,许多开源组织和社区对该法案关于开源软件的豁免条款表达了反对或批评意见。Apache基金会公共事务副总裁 Dirk-Willem van Gulik 指出,CRA提出了一系列要求,这些要求要么威胁到开源贡献和公共资源非常脆弱的 ' 双赢 ' 局面,要么违背了行业的良好做法。(注2)OSI(开放源代码促进会)标准主管Simon Phipps认为该立法 “会损害开源”,目前 OSI 已向欧盟委员会提交了反馈,要求“就法案正文要求的开源例外情况开展进一步工作”,希望“任何不直接从软件商业化部署中受益的参与者”都可以免除合规责任。(注3)知名FTP开源软件供应商 Filezilla甚至在官网发布公告,声称CRA将对包括FileZilla在内的整个开源软件的未来产生严重的后果,Filezilla决定不提供该软件任何版本的下载,以表达对欧盟CRA当前文本条款的抗议,并呼吁广大开发者和用户向欧盟委员会提出反对意见。(注4)但欧盟委员会并未接受这些来自开源社区或组织的反对意见,2023年7月19日批准的 CRA 草案,第10条未对开源软件的豁免范围进行实质性的修改。
四、中国企业应对欧盟CRA的建议
尽管CRA尚在立法流程中,考虑到该法案影响的产品范围极广,违规处罚措施极严厉,而开源及软件合规治理工作需要企业内部研发、产品、法务等多个部门参与,搭建有效的合规治理体系需要较长的周期。建议有意进入欧盟市场、涉及销售软件或者联网硬件产品的企业,及时关注CRA的立法进度,尽早建立开源和软件供应链合规治理体系。
1、及时关注CRA的立法进度和条款变化。
由于在软件和互联网等新兴产业全面落后于美国和中国,欧盟在该领域的立法政策呈现出对服务企业加强监管、对消费者加强保护的显著趋势。未来正式实施的CRA条款,对于企业在数字产品网络安全的合规义务和法律责任,预计不会有实质性的减轻。中国企业应当及时关注和了解欧盟CRA的立法进度和条文变化,尤其是关于软件或联网硬件产品制造商的合规要求和法律责任。
2、尽早搭建开源合规治理体系。
对于已经开源或者有计划对外进行开源,并通过开源项目建立产业生态,进入欧盟市场提供软件服务、销售联网硬件产品或零部件的企业,应当尽早搭建开源软件合规治理体系,制定开源软件的外部引入、内部使用和对外开源管理规范,以确保CRA正式实施时,对外开源的软件符合法案规定的基本网络安全要求,并持续得到下游软硬件厂商的认可和使用,扩大公司的开源产业生态。
3、尽早搭建软件供应链合规治理体系。
在欧盟市场销售软件或者联网硬件产品,或者为欧洲终端制造商提供联网零配件产品的企业,包括制造商和销售商,是CRA重点规制的主体,不存在被豁免的情形。此类企业应当尽早搭建软件供应链合规治理体系,以确保CRA正式实施时,相关软件或联网硬件产品符合法案规定的基本网络安全要求。避免因软件供应链合规或安全问题,影响公司的软硬件产品在欧盟市场的销售业务或被欧盟当地政府部门处罚。
(本公众号将持续关注CRA的未来立法动态,欢迎读者关注阅读后续文章)
注释
注1:《网络弹性法案》下载地址:https://ec.europa.eu/newsroom/dae/redirection/document/89543
注2:详见https://blog.csdn.net/Jdjdjjdjdjdje/article/details/131934289
注3:详见https://www.oschina.net/news/227801/ec-cyber-resilience-act-destroy-open-source
注4:详见https://filezilla-project.org/cra.php?continueFlag=cbfae1f120486ca7f05fd541aa2d3891
作者简介
邹良城
广东良马律师事务所专家顾问
原腾讯知识产权诉讼和维权总监
邹良城,广东良马律师事务所专家顾问,曾在腾讯公司法务部工作超过十年,担任腾讯知识产权诉讼和维权团队总监,负责知识产权诉讼和维权工作,对于互联网与计算机软件的知识产权保护、维权和诉讼具有丰富的实务经验。可提供开源法律培训、开源合规治理、计算机和软件诉讼咨询等法律服务。联系方式(微信): efashi
王缘
广东良马律师事务所律师
王缘,现为广东良马律师事务所执业律师,有近5年法律行业从业经验,曾办理过各类知识产权、民商事、合同纠纷案件,具有丰富的办案经验。联系方式(微信):wy_lawyer_
欢迎加入开源合规治理与法律交流群
(进群请加微信:lianfaqun)
普及开源法律知识,分享开源合规实践,交流开源治理经验,解读开源法规政策,提供开源合规治理及软件知识产权代理、诉讼法律服务。
👇👇👇
欢迎进群
长按识别或扫描下方二维码加群主
往期推荐
关于安势信息
上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清本CleanCode SAST(企业级白盒静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等产品和解决方案,覆盖互联网、汽车、医疗、通信、金融等多元化场景的软件供应链安全治理最佳实践。
欢迎访问安势信息官www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
点击蓝字 关注我们