2024年12月，歐盟《網(wǎng)絡(luò)彈性法案》（Cybersecurity Resilience Act, CRA）的生效標(biāo)志著全球數(shù)字治理進(jìn)入結(jié)構(gòu)性變革時(shí)代。從法案的覆蓋范圍來看，除了汽車、醫(yī)療設(shè)備、航空器材等個(gè)別已有專門法規(guī)適配的特定領(lǐng)域外，CRA適用于任何具備數(shù)字組件的軟硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案。這也就意味著，幾乎所有存在數(shù)字化功能的電子類產(chǎn)品，包括電視、冰箱、智能音響等均被納入CRA的監(jiān)管范疇。

本文主要從CRA的數(shù)據(jù)合規(guī)壁壘視角出發(fā)，整合其與《人工智能法案》（AI ACT）和《通用數(shù)據(jù)保護(hù)條例》（GDPR）的多重疊加影響。

CRA以“合規(guī)認(rèn)證”為核心工具，將網(wǎng)絡(luò)安全從傳統(tǒng)實(shí)體產(chǎn)品的技術(shù)標(biāo)準(zhǔn)擴(kuò)展至數(shù)字化服務(wù)的全生命周期管理，實(shí)質(zhì)上構(gòu)建了一種新型“虛擬關(guān)稅”。這種關(guān)稅不僅通過技術(shù)適配成本直接影響企業(yè)利潤，更以數(shù)據(jù)主權(quán)、算法透明化和供應(yīng)鏈追溯等機(jī)制重構(gòu)全球產(chǎn)業(yè)鏈的權(quán)力分配。 

2018年正式實(shí)施的《通用數(shù)據(jù)保護(hù)條例》與CRA ，共同構(gòu)成了歐盟數(shù)字主權(quán)的兩大支柱。前者以“個(gè)人數(shù)據(jù)權(quán)利”為核心，重塑了全球數(shù)據(jù)流動的規(guī)則；后者以“網(wǎng)絡(luò)安全韌性”為靶心，重構(gòu)了數(shù)字產(chǎn)品的全生命周期管理。這兩大法案的疊加，不僅標(biāo)志著歐盟從隱私保護(hù)到網(wǎng)絡(luò)安全的治理升維，更通過“合規(guī)即準(zhǔn)入”的機(jī)制，將技術(shù)標(biāo)準(zhǔn)轉(zhuǎn)化為新型虛擬關(guān)稅，深刻影響全球數(shù)字產(chǎn)業(yè)鏈的權(quán)力分配。

一、監(jiān)管革命：從實(shí)體認(rèn)證到數(shù)字枷鎖

1、產(chǎn)品分類與全鏈條責(zé)任體系：風(fēng)險(xiǎn)分級下的成本重構(gòu)

CRA的核心創(chuàng)新在于其風(fēng)險(xiǎn)導(dǎo)向的產(chǎn)品分類機(jī)制。法案將含數(shù)字組件的產(chǎn)品劃分為“默認(rèn)”“重要”（I類、II類）和“關(guān)鍵”三類，并依據(jù)風(fēng)險(xiǎn)等級實(shí)施差異化監(jiān)管（見表1）。 

表 1 CRA產(chǎn)品分類與合規(guī)要求對比

這一分級機(jī)制不僅改變了企業(yè)的合規(guī)成本結(jié)構(gòu)，更通過“全鏈條責(zé)任體系”將風(fēng)險(xiǎn)傳導(dǎo)至供應(yīng)鏈上下游。例如，進(jìn)口商需對制造商的合規(guī)性進(jìn)行實(shí)質(zhì)性審查，否則將承擔(dān)連帶責(zé)任。假設(shè)某場景，若電池供應(yīng)商因未及時(shí)披露軟件漏洞，導(dǎo)致產(chǎn)業(yè)鏈上的合作車企的電動車未能通過CE標(biāo)簽認(rèn)定，那么，CRA的責(zé)任機(jī)制就是穿透式連帶責(zé)任，這種全鏈條責(zé)任，實(shí)質(zhì)上是將監(jiān)管成本外部化，迫使全球供應(yīng)商被動內(nèi)化歐盟的合規(guī)標(biāo)準(zhǔn)。

2、數(shù)字化CE標(biāo)簽：技術(shù)架構(gòu)的重構(gòu)與數(shù)據(jù)主權(quán)的滲透

傳統(tǒng)CE認(rèn)證聚焦于電磁兼容性與物理安全，而CRA將其擴(kuò)展至數(shù)字維度，要求聯(lián)網(wǎng)設(shè)備必須預(yù)設(shè)“隱私擦除”功能，并在軟件更新時(shí)附帶漏洞聲明。這一要求迫使企業(yè)重構(gòu)技術(shù)架構(gòu)。 

更值得關(guān)注的是，數(shù)字化CE標(biāo)簽通過“數(shù)據(jù)血緣圖譜”實(shí)現(xiàn)了對產(chǎn)品全生命周期的監(jiān)控。歐盟數(shù)據(jù)庫可實(shí)時(shí)追蹤設(shè)備的軟件版本、漏洞修復(fù)記錄甚至用戶數(shù)據(jù)流向，這實(shí)質(zhì)上是將數(shù)據(jù)主權(quán)從企業(yè)端向監(jiān)管端轉(zhuǎn)移。可以說CRA的標(biāo)簽機(jī)制正在通過技術(shù)標(biāo)準(zhǔn)創(chuàng)造一種對全球數(shù)據(jù)資源的隱形控制。

二、GDPR與CRA的立法交織：隱私保護(hù)與安全韌性的協(xié)同與沖突

1、立法目標(biāo)：從權(quán)利保障到風(fēng)險(xiǎn)防控

GDPR：以個(gè)人數(shù)據(jù)權(quán)利為出發(fā)點(diǎn)，強(qiáng)調(diào)“數(shù)據(jù)主體優(yōu)先”。其核心條款包括數(shù)據(jù)最小化、目的限制、用戶同意權(quán)、被遺忘權(quán)等，旨在遏制企業(yè)對個(gè)人數(shù)據(jù)的濫用。 

CRA：以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)為靶向，強(qiáng)調(diào)“產(chǎn)品全生命周期安全”。其核心機(jī)制包括風(fēng)險(xiǎn)分級認(rèn)證、漏洞強(qiáng)制披露、供應(yīng)鏈連帶責(zé)任等，旨在預(yù)防數(shù)字產(chǎn)品的系統(tǒng)性安全漏洞。 

兩者的差異體現(xiàn)在治理對象上：GDPR針對“數(shù)據(jù)處理行為”，CRA針對“數(shù)字產(chǎn)品設(shè)計(jì)”。但兩者均通過高額罰款（GDPR最高可達(dá)全球營收的4%，CRA可禁止不合規(guī)產(chǎn)品在歐銷售）形成威懾效應(yīng)。 

2、隱私保護(hù)的實(shí)現(xiàn)路徑：GDPR的“權(quán)利清單”與CRA的“技術(shù)枷鎖”

GDPR通過制度設(shè)計(jì)賦予用戶直接控制權(quán)。例如，用戶可要求企業(yè)刪除數(shù)據(jù)（被遺忘權(quán)），或拒絕個(gè)性化廣告（反對自動化決策權(quán)）。企業(yè)需通過隱私設(shè)計(jì)（Privacy by Design）和默認(rèn)隱私設(shè)置（Privacy by Default）滿足合規(guī)要求。 

CRA則通過技術(shù)標(biāo)準(zhǔn)間接保護(hù)隱私。例如，數(shù)字化CE標(biāo)簽要求聯(lián)網(wǎng)設(shè)備預(yù)設(shè)“隱私擦除”功能，確保用戶能夠一鍵清除設(shè)備中的個(gè)人數(shù)據(jù)。這一要求迫使企業(yè)從硬件設(shè)計(jì)階段即嵌入隱私保護(hù)功能，而非僅依賴事后數(shù)據(jù)處理。 

協(xié)同與沖突：GDPR與CRA在隱私保護(hù)上形成互補(bǔ)——前者規(guī)范數(shù)據(jù)使用，后者約束產(chǎn)品設(shè)計(jì)。但兩者也可能產(chǎn)生沖突：例如，CRA要求漏洞即時(shí)披露，可能迫使企業(yè)公開包含個(gè)人數(shù)據(jù)的系統(tǒng)日志，與GDPR的數(shù)據(jù)最小化原則相悖。

三、CRA與AI Act的疊加效應(yīng)：算法權(quán)力的制度性協(xié)同捕獲

CRA與AI Act共同構(gòu)成歐盟數(shù)字主權(quán)的“雙輪驅(qū)動”：前者控制硬件安全，后者規(guī)范算法倫理。AI Act的全鏈路監(jiān)管思路與CRA相匹配，并禁止高危應(yīng)用，如AI Act禁止社會信用評分等高危的AI應(yīng)用場景，并要求生成式AI披露訓(xùn)練數(shù)據(jù)來源。因此，CRA和AI Act兩者通過“合規(guī)即準(zhǔn)入”機(jī)制形成疊加效應(yīng)：非歐盟企業(yè)若想進(jìn)入歐洲市場，不僅需改造硬件設(shè)備，還需接受算法透明度的審查。 

這種協(xié)同監(jiān)管對新興技術(shù)領(lǐng)域影響尤為顯著。以自動駕駛為例，中國企業(yè)若使用非歐盟數(shù)據(jù)進(jìn)行算法訓(xùn)練，其系統(tǒng)可能因“數(shù)據(jù)來源不透明”被判定為不合規(guī)。AIGC以美國的OPEN AI 為典型代表，自2023年起，即遭遇到各種挑戰(zhàn)，時(shí)下，DeepSeek同樣正在面臨來自歐盟的下架高潮，激起第二輪全球AI監(jiān)管的浪潮。我們在“美國AIGC照鏡子系列文章”（詳見團(tuán)隊(duì)文章《ChatGPT 如何看待自身<隱私政策>》《提供全球服務(wù)，ChatGPT僅遵守美國法律就夠了嗎？》《從ChatGPT看全球服務(wù)企業(yè)如何數(shù)據(jù)共享合規(guī)》）中顯著揭示了OPEN AI面臨的合規(guī)現(xiàn)實(shí)困境。

毋庸置疑，歐盟正通過GDPR與CRA以及AI Act三駕馬車的規(guī)則制定權(quán)，將技術(shù)后發(fā)國家的創(chuàng)新路徑鎖定在其標(biāo)準(zhǔn)框架內(nèi)。 

四、新型“關(guān)稅”的運(yùn)作邏輯：全球產(chǎn)業(yè)鏈的震蕩與重構(gòu)

1、監(jiān)管成本的關(guān)稅化效應(yīng)：技術(shù)鎖定與市場準(zhǔn)入博弈

CRA主要通過三項(xiàng)核心機(jī)制將合規(guī)成本轉(zhuǎn)化為經(jīng)濟(jì)壁壘： 

a.技術(shù)壁壘：或強(qiáng)制使用歐盟認(rèn)證的數(shù)據(jù)保護(hù)技術(shù)標(biāo)準(zhǔn)，這將迫使企業(yè)進(jìn)行技術(shù)更替。如前所述，AI Act和GDPR的雙重疊加，對于高度依賴算法的高科技企業(yè)，需要滿足全生命周期的技術(shù)合規(guī)要求和數(shù)據(jù)合規(guī)要求，如同“腹背受敵”。

b.數(shù)據(jù)本地化壁壘：CRA對于數(shù)據(jù)的存儲地要求，如同GDPR規(guī)則，對于數(shù)據(jù)出境有嚴(yán)格限制。例如，DeepSeek需要在歐洲建立獨(dú)立的服務(wù)器，智能駕駛數(shù)據(jù)須在歐盟境內(nèi)存儲，這些都將導(dǎo)致基礎(chǔ)設(shè)施投資激增。又如，中國電信、中國移動、阿里云等中國多家數(shù)據(jù)服務(wù)公司都在法蘭克福建立了本地?cái)?shù)據(jù)中心。

c.連帶責(zé)任壁壘：如整車廠商需對供應(yīng)鏈中所有軟件供應(yīng)商的合規(guī)性負(fù)責(zé)，這種連帶責(zé)任體系催生“合規(guī)聯(lián)盟”壟斷格局。供應(yīng)鏈任一環(huán)節(jié)的合規(guī)失敗均可能導(dǎo)致整條產(chǎn)業(yè)鏈?zhǔn)芰P。2024年，曾被譽(yù)為“歐洲電池之光”的瑞典電池生產(chǎn)商?北伏就因電池質(zhì)量未達(dá)預(yù)期被寶馬取消20億歐元訂單。

這些機(jī)制的經(jīng)濟(jì)效應(yīng)與關(guān)稅高度相似。CRA框架下，中國數(shù)字產(chǎn)品對歐出口的綜合成本等效于大幅度比例增加的關(guān)稅稅率。

2、全球監(jiān)管碎片化：規(guī)則沖突與蝴蝶效應(yīng)

CRA的溢出效應(yīng)正在引發(fā)全球監(jiān)管體系的碎片化，意味著蝴蝶效應(yīng)之后震落一地。印度、巴西等國效仿歐盟推出本土化網(wǎng)絡(luò)安全法案，但其標(biāo)準(zhǔn)與CRA存在顯著沖突（見表2）。 

表 2 主要經(jīng)濟(jì)體網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的沖突點(diǎn)

這種碎片化迫使跨國企業(yè)陷入“合規(guī)迷宮”。以中國無人機(jī)廠商出口為例，參照表2各國要求，就需要同時(shí)滿足歐盟CRA、美國FCC和印度MeitY認(rèn)證，耗時(shí)耗力。更嚴(yán)峻的是，標(biāo)準(zhǔn)沖突可能引發(fā)技術(shù)脫鉤。

五、破局之道：從被動合規(guī)到規(guī)則共塑

1、數(shù)據(jù)知識產(chǎn)權(quán)化：將合規(guī)壓力轉(zhuǎn)化為信用資產(chǎn)的中國探索

中國探索的“數(shù)據(jù)知識產(chǎn)權(quán)確權(quán)第一案”和“第一張數(shù)據(jù)產(chǎn)品知識產(chǎn)權(quán)登記質(zhì)押融資案”以及“數(shù)據(jù)知識產(chǎn)權(quán)出資案”均已證明，合規(guī)性能夠直接轉(zhuǎn)化為資產(chǎn)價(jià)值。我們假設(shè)，新能源車企通過自動駕駛算法數(shù)據(jù)庫在知識產(chǎn)權(quán)局的平臺登記，使其獲得數(shù)據(jù)產(chǎn)品知識產(chǎn)權(quán)質(zhì)押融資資格，助力海外建廠資金成本這個(gè)閉環(huán)成立，那么這一模式對我們的啟示是：中國企業(yè)推動國內(nèi)確權(quán)標(biāo)準(zhǔn)與國際接軌，將CRA要求的透明度轉(zhuǎn)化為資產(chǎn)信用背書。

2、技術(shù)對沖與區(qū)域聯(lián)盟：重構(gòu)供應(yīng)鏈合規(guī)韌性

a.數(shù)字鏡像技術(shù)應(yīng)用：在技術(shù)層面，通過鏡像和隱私計(jì)算等技術(shù)手段，開發(fā)類似“可驗(yàn)證不可逆”加密網(wǎng)關(guān)技術(shù)，允許數(shù)據(jù)在本地化存儲的同時(shí)實(shí)現(xiàn)跨境可用性，平衡合規(guī)與效率；

b.產(chǎn)業(yè)合規(guī)聯(lián)盟：在走出去企業(yè)生態(tài)和產(chǎn)業(yè)鏈中，構(gòu)建共享合規(guī)聯(lián)盟，降低合規(guī)成本。如走出去的中國企業(yè)可以在歐洲組建CRA聯(lián)合實(shí)驗(yàn)室，共享認(rèn)證資源，使單家企業(yè)邊際成本降低；

c.合規(guī)體系升級：企業(yè)通過構(gòu)建動態(tài)合規(guī)數(shù)據(jù)庫，開發(fā)AI驅(qū)動的合規(guī)監(jiān)測系統(tǒng)，實(shí)時(shí)抓取歐盟各國監(jiān)管案例及指南更新（如EDPB指導(dǎo)意見）。同時(shí)，通過模塊化隱私設(shè)計(jì)，將數(shù)據(jù)分類（如普通數(shù)據(jù)、敏感數(shù)據(jù)）、生命周期管理（收集-存儲-銷毀）封裝為獨(dú)立微服務(wù)，便于快速適配不同法域。

六、監(jiān)管下一站：全球數(shù)字治理秩序的重構(gòu)

1、從CE標(biāo)簽到數(shù)字護(hù)照：全生命周期治理的深化

歐盟計(jì)劃在2030年前將CRA升級為“數(shù)字產(chǎn)品護(hù)照”（DPP），要求每項(xiàng)數(shù)字化服務(wù)附帶全生命周期碳足跡、數(shù)據(jù)血緣圖譜等信息。這種“超級合規(guī)”體系將迫使中國企業(yè)重構(gòu)IT架構(gòu)，但也為先行者提供了彎道超車的機(jī)會——某智能駕駛公司已通過區(qū)塊鏈技術(shù)實(shí)現(xiàn)電池供應(yīng)鏈溯源，其經(jīng)驗(yàn)可直接遷移至DPP場景。

2、香港經(jīng)驗(yàn)：柔性監(jiān)管與創(chuàng)新平衡

我們認(rèn)為， CRA也是通過大量的認(rèn)證，最終獲得進(jìn)入歐盟的“通行證”。因此人為監(jiān)督的角色和邊界，成為剛性要求和柔性平衡的砝碼，香港“AI監(jiān)管框架”鼓勵(lì)算法透明化與人工復(fù)核機(jī)制，其柔性監(jiān)管模式為平衡效率與倫理提供范本。

3、雙循環(huán)戰(zhàn)略的合規(guī)適配

a.內(nèi)循環(huán)：培育本土服務(wù)和認(rèn)證機(jī)構(gòu)（如中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心），將IPO數(shù)據(jù)合規(guī)審查與CRA和GDPR以及AI Act同步對齊；

b.外循環(huán)：在RCEP框架下推動跨境互認(rèn)，降低東南亞等區(qū)域市場準(zhǔn)入門檻。通過區(qū)域一體化的合規(guī)協(xié)同，共同應(yīng)對CRA的蝴蝶效應(yīng)。

世界貿(mào)易組織（WTO）前總干事帕斯卡爾·拉米曾指出：“當(dāng)合規(guī)成本超過傳統(tǒng)關(guān)稅的邊際效應(yīng)時(shí)，技術(shù)標(biāo)準(zhǔn)便成為隱形貿(mào)易武器。”

歐盟CRA的本質(zhì)是一場沒有硝煙的“數(shù)字文明戰(zhàn)爭”。對中國而言，被動合規(guī)將陷入“成本黑洞”，唯有將壓力轉(zhuǎn)化為規(guī)則共塑能力，才能實(shí)現(xiàn)從“跟跑者”到“并行者”的躍遷。

這一新型“關(guān)稅”，裹挾著AI ACT和GDPR，對全球的蝴蝶效應(yīng)在疊加和放大。在此過程中，香港的柔性治理、歐盟的剛性標(biāo)準(zhǔn)與中國內(nèi)地的區(qū)域化策略，共同勾勒出全球數(shù)字治理的多元圖景。這場博弈的終局，不僅是技術(shù)的較量，更是文明價(jià)值觀的共鳴與再造。