新經濟與法｜從歐盟CRA蝴蝶效應看新型“虛擬關稅”應對

高亞平團隊

2025-03-18 11:09

來源：澎湃新聞

2024年12月，歐盟《網絡彈性法案》（Cybersecurity Resilience Act, CRA）的生效標志著全球數字治理進入結構性變革時代。從法案的覆蓋范圍來看，除了汽車、醫療設備、航空器材等個別已有專門法規適配的特定領域外，CRA適用于任何具備數字組件的軟硬件產品及其遠程數據處理解決方案。這也就意味著，幾乎所有存在數字化功能的電子類產品，包括電視、冰箱、智能音響等均被納入CRA的監管范疇。

本文主要從CRA的數據合規壁壘視角出發，整合其與《人工智能法案》（AI ACT）和《通用數據保護條例》（GDPR）的多重疊加影響。

CRA以“合規認證”為核心工具，將網絡安全從傳統實體產品的技術標準擴展至數字化服務的全生命周期管理，實質上構建了一種新型“虛擬關稅”。這種關稅不僅通過技術適配成本直接影響企業利潤，更以數據主權、算法透明化和供應鏈追溯等機制重構全球產業鏈的權力分配。

2018年正式實施的《通用數據保護條例》與CRA ，共同構成了歐盟數字主權的兩大支柱。前者以“個人數據權利”為核心，重塑了全球數據流動的規則；后者以“網絡安全韌性”為靶心，重構了數字產品的全生命周期管理。這兩大法案的疊加，不僅標志著歐盟從隱私保護到網絡安全的治理升維，更通過“合規即準入”的機制，將技術標準轉化為新型虛擬關稅，深刻影響全球數字產業鏈的權力分配。

一、監管革命：從實體認證到數字枷鎖

1、產品分類與全鏈條責任體系：風險分級下的成本重構

CRA的核心創新在于其風險導向的產品分類機制。法案將含數字組件的產品劃分為“默認”“重要”（I類、II類）和“關鍵”三類，并依據風險等級實施差異化監管（見表1）。

表 1 CRA產品分類與合規要求對比

這一分級機制不僅改變了企業的合規成本結構，更通過“全鏈條責任體系”將風險傳導至供應鏈上下游。例如，進口商需對制造商的合規性進行實質性審查，否則將承擔連帶責任。假設某場景，若電池供應商因未及時披露軟件漏洞，導致產業鏈上的合作車企的電動車未能通過CE標簽認定，那么，CRA的責任機制就是穿透式連帶責任，這種全鏈條責任，實質上是將監管成本外部化，迫使全球供應商被動內化歐盟的合規標準。

2、數字化CE標簽：技術架構的重構與數據主權的滲透

傳統CE認證聚焦于電磁兼容性與物理安全，而CRA將其擴展至數字維度，要求聯網設備必須預設“隱私擦除”功能，并在軟件更新時附帶漏洞聲明。這一要求迫使企業重構技術架構。

更值得關注的是，數字化CE標簽通過“數據血緣圖譜”實現了對產品全生命周期的監控。歐盟數據庫可實時追蹤設備的軟件版本、漏洞修復記錄甚至用戶數據流向，這實質上是將數據主權從企業端向監管端轉移。可以說CRA的標簽機制正在通過技術標準創造一種對全球數據資源的隱形控制。

二、GDPR與CRA的立法交織：隱私保護與安全韌性的協同與沖突

1、立法目標：從權利保障到風險防控

GDPR：以個人數據權利為出發點，強調“數據主體優先”。其核心條款包括數據最小化、目的限制、用戶同意權、被遺忘權等，旨在遏制企業對個人數據的濫用。

CRA：以網絡安全風險為靶向，強調“產品全生命周期安全”。其核心機制包括風險分級認證、漏洞強制披露、供應鏈連帶責任等，旨在預防數字產品的系統性安全漏洞。

兩者的差異體現在治理對象上：GDPR針對“數據處理行為”，CRA針對“數字產品設計”。但兩者均通過高額罰款（GDPR最高可達全球營收的4%，CRA可禁止不合規產品在歐銷售）形成威懾效應。

2、隱私保護的實現路徑：GDPR的“權利清單”與CRA的“技術枷鎖”

GDPR通過制度設計賦予用戶直接控制權。例如，用戶可要求企業刪除數據（被遺忘權），或拒絕個性化廣告（反對自動化決策權）。企業需通過隱私設計（Privacy by Design）和默認隱私設置（Privacy by Default）滿足合規要求。

CRA則通過技術標準間接保護隱私。例如，數字化CE標簽要求聯網設備預設“隱私擦除”功能，確保用戶能夠一鍵清除設備中的個人數據。這一要求迫使企業從硬件設計階段即嵌入隱私保護功能，而非僅依賴事后數據處理。

協同與沖突：GDPR與CRA在隱私保護上形成互補——前者規范數據使用，后者約束產品設計。但兩者也可能產生沖突：例如，CRA要求漏洞即時披露，可能迫使企業公開包含個人數據的系統日志，與GDPR的數據最小化原則相悖。

三、CRA與AI Act的疊加效應：算法權力的制度性協同捕獲

CRA與AI Act共同構成歐盟數字主權的“雙輪驅動”：前者控制硬件安全，后者規范算法倫理。AI Act的全鏈路監管思路與CRA相匹配，并禁止高危應用，如AI Act禁止社會信用評分等高危的AI應用場景，并要求生成式AI披露訓練數據來源。因此，CRA和AI Act兩者通過“合規即準入”機制形成疊加效應：非歐盟企業若想進入歐洲市場，不僅需改造硬件設備，還需接受算法透明度的審查。

這種協同監管對新興技術領域影響尤為顯著。以自動駕駛為例，中國企業若使用非歐盟數據進行算法訓練，其系統可能因“數據來源不透明”被判定為不合規。AIGC以美國的OPEN AI 為典型代表，自2023年起，即遭遇到各種挑戰，時下，DeepSeek同樣正在面臨來自歐盟的下架高潮，激起第二輪全球AI監管的浪潮。我們在“美國AIGC照鏡子系列文章”（詳見團隊文章《ChatGPT 如何看待自身<隱私政策>》《提供全球服務，ChatGPT僅遵守美國法律就夠了嗎？》《從ChatGPT看全球服務企業如何數據共享合規》）中顯著揭示了OPEN AI面臨的合規現實困境。

毋庸置疑，歐盟正通過GDPR與CRA以及AI Act三駕馬車的規則制定權，將技術后發國家的創新路徑鎖定在其標準框架內。

四、新型“關稅”的運作邏輯：全球產業鏈的震蕩與重構

1、監管成本的關稅化效應：技術鎖定與市場準入博弈

CRA主要通過三項核心機制將合規成本轉化為經濟壁壘：

a.技術壁壘：或強制使用歐盟認證的數據保護技術標準，這將迫使企業進行技術更替。如前所述，AI Act和GDPR的雙重疊加，對于高度依賴算法的高科技企業，需要滿足全生命周期的技術合規要求和數據合規要求，如同“腹背受敵”。

b.數據本地化壁壘：CRA對于數據的存儲地要求，如同GDPR規則，對于數據出境有嚴格限制。例如，DeepSeek需要在歐洲建立獨立的服務器，智能駕駛數據須在歐盟境內存儲，這些都將導致基礎設施投資激增。又如，中國電信、中國移動、阿里云等中國多家數據服務公司都在法蘭克福建立了本地數據中心。

c.連帶責任壁壘：如整車廠商需對供應鏈中所有軟件供應商的合規性負責，這種連帶責任體系催生“合規聯盟”壟斷格局。供應鏈任一環節的合規失敗均可能導致整條產業鏈受罰。2024年，曾被譽為“歐洲電池之光”的瑞典電池生產商?北伏就因電池質量未達預期被寶馬取消20億歐元訂單。

這些機制的經濟效應與關稅高度相似。CRA框架下，中國數字產品對歐出口的綜合成本等效于大幅度比例增加的關稅稅率。

2、全球監管碎片化：規則沖突與蝴蝶效應

CRA的溢出效應正在引發全球監管體系的碎片化，意味著蝴蝶效應之后震落一地。印度、巴西等國效仿歐盟推出本土化網絡安全法案，但其標準與CRA存在顯著沖突（見表2）。

表 2 主要經濟體網絡安全標準的沖突點

這種碎片化迫使跨國企業陷入“合規迷宮”。以中國無人機廠商出口為例，參照表2各國要求，就需要同時滿足歐盟CRA、美國FCC和印度MeitY認證，耗時耗力。更嚴峻的是，標準沖突可能引發技術脫鉤。

五、破局之道：從被動合規到規則共塑

1、數據知識產權化：將合規壓力轉化為信用資產的中國探索

中國探索的“數據知識產權確權第一案”和“第一張數據產品知識產權登記質押融資案”以及“數據知識產權出資案”均已證明，合規性能夠直接轉化為資產價值。我們假設，新能源車企通過自動駕駛算法數據庫在知識產權局的平臺登記，使其獲得數據產品知識產權質押融資資格，助力海外建廠資金成本這個閉環成立，那么這一模式對我們的啟示是：中國企業推動國內確權標準與國際接軌，將CRA要求的透明度轉化為資產信用背書。

2、技術對沖與區域聯盟：重構供應鏈合規韌性

a.數字鏡像技術應用：在技術層面，通過鏡像和隱私計算等技術手段，開發類似“可驗證不可逆”加密網關技術，允許數據在本地化存儲的同時實現跨境可用性，平衡合規與效率；

b.產業合規聯盟：在走出去企業生態和產業鏈中，構建共享合規聯盟，降低合規成本。如走出去的中國企業可以在歐洲組建CRA聯合實驗室，共享認證資源，使單家企業邊際成本降低；

c.合規體系升級：企業通過構建動態合規數據庫，開發AI驅動的合規監測系統，實時抓取歐盟各國監管案例及指南更新（如EDPB指導意見）。同時，通過模塊化隱私設計，將數據分類（如普通數據、敏感數據）、生命周期管理（收集-存儲-銷毀）封裝為獨立微服務，便于快速適配不同法域。

六、監管下一站：全球數字治理秩序的重構

1、從CE標簽到數字護照：全生命周期治理的深化

歐盟計劃在2030年前將CRA升級為“數字產品護照”（DPP），要求每項數字化服務附帶全生命周期碳足跡、數據血緣圖譜等信息。這種“超級合規”體系將迫使中國企業重構IT架構，但也為先行者提供了彎道超車的機會——某智能駕駛公司已通過區塊鏈技術實現電池供應鏈溯源，其經驗可直接遷移至DPP場景。

2、香港經驗：柔性監管與創新平衡

我們認為， CRA也是通過大量的認證，最終獲得進入歐盟的“通行證”。因此人為監督的角色和邊界，成為剛性要求和柔性平衡的砝碼，香港“AI監管框架”鼓勵算法透明化與人工復核機制，其柔性監管模式為平衡效率與倫理提供范本。

3、雙循環戰略的合規適配

a.內循環：培育本土服務和認證機構（如中國網絡安全審查技術與認證中心），將IPO數據合規審查與CRA和GDPR以及AI Act同步對齊；

b.外循環：在RCEP框架下推動跨境互認，降低東南亞等區域市場準入門檻。通過區域一體化的合規協同，共同應對CRA的蝴蝶效應。