無線電設備指令（RED directive 2014/35/EU，下稱”RED指令”）是無線電設備能夠合法地進入歐盟國家銷售的一項準入性要求。隨著近年來物聯網技術和市場的發展，全球范圍內無線電產品的需求和數量顯著增加，尤其是聯網無線電設備、玩具和育兒設備及可穿戴式設備。但大多數設備缺乏足夠的網絡、信息安全保障措施來保護設備和個人數據，容易受到攻擊或被竊取個人數據。另一方面，歐盟委員會和各國的相關研究確定了越來越多的無線電設備所構成的網絡安全風險。例如：監視兒童行為或對話的玩具風險；存儲在設備中的未加密個人數據，包括與支付相關的數據，可輕松訪問；濫用網絡資源從而降低設備的功能、服務。

指令最新動態

近日，歐盟委員會正式通過一項RED指令的補充授權草案，該草案旨在確保所有無線電設備在歐盟市場上銷售之前具備相適應的安全措施。該草案為網絡安全保障規定了新的法律要求，即制造商在相關產品的設計和生產中必須考慮網絡安全相關的要求。草案將更好地加強對個人數據和消費者隱私的保護，降低貨幣欺詐風險，并確保通信網絡具備更好的彈性。

該草案主要涉及RED指令中第3(3)(d)、(e)以及(f)條：

(d) radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing an unacceptable degradation of service.

(e) radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected.

(f) radio equipment supports certain features ensuring protection from fraud.

該草案適用范圍將涵蓋大部分可接入網絡的無線電終端設備，包括但不限于智能家電、智能門鎖、智能安防、可穿戴設備、網絡攝像頭、玩具和兒童看護類設備等。

該草案規定了3(3)(d)、(e)、(f)三個條款的適用范圍：

第3(3) (d)條款要求適用于能夠通過互聯網進行通信的任何無線電設備，無論是直接通信還是通過任何其他設備進行通信。（連接互聯網的無線電設備）

第3(3) (e)條款要求適用于以下具備處理個人數據、流量數據、位置數據(*)能力的任何無線電設備：

(a) 專門為兒童看護設計的無線電設備；

(b) 涵蓋在指令2009/48/EC（玩具安全指令）范圍內的無線電設備；

(c) 設計或計劃（無論是否專用于）佩戴、捆綁或懸掛在以下任意一個部位的無線電設備：

   1) 人體的任何部位，包括頭部、頸部、軀干、手臂、手掌、腿和腳；

   2) 穿著的任何衣物，包括頭飾、手飾和鞋類。

(d)除以上(a)(b)(c)點提及的設備外的連接互聯網的無線電設備。

備注：

(*)“處理”及“個人數據”定義詳見GDPR(通用數據保護條例)(EU)2016/679中第 4(2)條及第4(1)條；

“流量數據”及“位置數據”定義詳見Directive 2002/58/EC(privacy and electronic communications)中第二條第(b)、(c)點。

第3(3)(f)條款的要求適用于允許無線電設備向所有人或用戶轉移資金、貨幣價值或虛擬貨幣(*)的任何無線電設備。

備注：(*)“虛擬貨幣”定義見指令(EU)2019/713第二條第(d)點。

同時，草案也注明其適用范圍不包括特定指令監管的無線電設備，其中，機動車輛、電子道路收費系統、遠程控制無人機的設備以及可能安裝在飛機上的非機載特定無線電設備不受第3(3)(e)條關于保護個人數據和第3(3)(f)條防止欺詐的要求。此外，第3(3)(d)、(e)、(f)條均不適用于醫療和體外醫療器械設備。

未來動向

如歐盟理事會和議會都沒有提出任何反對意見，草案將在為期兩個月的審查期后生效（歐盟委員會已于2021年10月29日通過本草案）。

待草案正式生效后，預計制造商將有30個月的過渡期來開始遵守新的法律要求。這將為行業提供足夠的時間在新要求生效之前適配相關產品，預計到2024年中期。

未來歐盟委員會將要求歐洲標準化組織制定相關標準，以支持制造商遵守新要求。或者，制造商還可通過相關公告機構對其產品進行測試評估的方式，來證明其產品的符合性。