(中央社訊息服務20241225 13:31:51)伴隨世界各國資通訊產業供應鏈蓬勃發展,資通訊產品之相關使用風險與網路安全風險也逐漸升高,現今市場上仍充斥著各式各樣可能危害消費者健康或安全之資通訊產品。為此,世界各先進國家紛紛開始制定法規,藉由建立溯源機制來降低資通訊產品的各類風險, 尤其以歐盟為首,近年來率先透過立法建立產品溯源機制,保障歐盟市場內之消費者權益。
歐盟於2023年6月12日公布了《通用產品安全規則》(General Product Safety Regulation,簡稱GPSR,Regulation (EU) 2023/988),以取代過往的《通用產品安全指令》(General Product Safety Directive,簡稱GPSD,2001/95/EC),也是20年來首次修正,自2024年12月13日起開始實施。值得注意的是,針對產品的潛在風險,GPSR第18條規定對於可能嚴重危害消費者健康安全之特定類別產品,要求須具備可追溯性,以及供應商須建立相關可追溯性系統的義務。於該可追溯性系統中所儲存的資訊,須可供電子化查驗手段(by electronic means)進而識別出產品與其組成成分,以及參與供應鏈之業者等相關資訊。此外,並要求供應商將資訊載明於產品上,或以載體、包裝、附檔 等方式呈現。GPSR的目的乃透過產品可追溯性,有效監管或發現市場上已存在可能嚴重危害消費者健康安全產品,予以實施糾正,確保市場供給方合乎供應「安全產品」的義務,據以強化產品安全性,達到提升消費者權益保護之目的。
另一方面,歐洲議會於 2024年10月23日經投票通過《網路韌性法》(Cyber Resilience Act,簡稱CRA)最終版本,CRA第13條第24款規定,要求產品製造商應進行之漏洞處理,諸如:識別數位產品中的漏洞或元件;或針對數位產品已構成的風險,應立即處置與漏洞補救、更新、定期測試,以及審查數位產品之安全性、有效性;或應公開揭露有關已修復之漏洞資訊;或應訂定並落實相關產品脆弱性揭露政策;或供應鏈上營運者若發現有可用更新足以解決已經識別之安全問題時,應立即發布更新或向使用者提供資訊等諸多情形。
資訊工業策進會科技法律研究所指出,歐盟近年來皆透過立法來確立產品溯源機制,不論是GPSR或是CRA等規範,皆對於通路商資訊揭露義務之要件更加明確化。歐盟藉由資訊揭露溯源,以及法規責任溯及等溯源方法,以保障消費者權益。我國在全球資通訊產品供應鏈中扮演舉足輕重的角色,對於以歐洲作為潛在市場之資通訊業者來說,有必要關注歐盟相關規範趨勢衍生之法遵成本。政策面並應持續觀察歐盟資通訊產品溯源機制之推動與執行成效,以歐盟強化資通訊產品安全性之實踐,作為我國未來制度完善之參酌基礎,並使我國廣大消費者用得安全與安心。