警惕“断链”风险：欧盟网安法草案或将系统性排除中国企业

引言

2026年1月20日，欧盟委员会（“欧委会”）正式发布《关于欧洲网络安全局（ENISA）、欧洲网络安全认证框架及信息通信技术供应链安全，并废止第(EU) 2019/881号条例的条例提案（网络安全法案2.0）》（提案号：COM(2026) 11，以下简称“CSA 2.0”）。[1]欧委会声称，该提案旨在加强欧盟信息和通信技术（ICT）供应链的安全性，提升欧盟数字单一市场的网络安全能力和韧性。然而，该提案基于国别的市场准入和排除制度、对欧盟ICT供应链中的第三国供应商强制“去风险”等内容，引起了欧盟内外经贸和法律领域的广泛担忧和批评。

若该提案得到欧洲议会和欧盟理事会通过，欧盟自2020年来积极推动的“5G网络安全工具箱”政策将转化为对各成员国及其国内公民和实体均具有直接约束力的欧盟立法条例，在各成员国自动生效并实施，无需成员国再转化为国内法。同时，该立法覆盖产品与行业范围也远超“5G网络安全工具箱”政策，将涵盖范围宽泛的ICT产品和服务[2]以及欧盟18个关键行业，将对我国企业的涉欧经贸利益造成重大负面影响。有鉴于此，中国商务部已于2026年4月17日向欧委会提交了评论意见，明确表达了中国政府的立场和严正关切，并表示如中国企业遭到歧视性待遇，中国政府可依据国内有关法律规定采取措施，维护中国企业合法权益。

01

CSA2.0提案下“非技术风险”的认定标准主观武断、具有歧视性

CSA 2.0提案共分为五个章节，分别为一般规定、欧洲网络安全局（ENISA）、欧洲网络安全认证框架（ECCF）、ICT供应链安全和最终条款，其主要内容是构建可信ICT供应链安全框架、优化ECCF并强化ENISA核心职能和角色等。尤为值得注意的是，该提案推出的可信ICT供应链安全框架有意背离国际通行的网络安全技术标准，制定了一套武断、模糊的“非技术风险”评估标准，将企业所在的第三国政治体制和治理环境、企业所有权和控制结构等因素纳入考虑，并赋予了欧委会极大的自由裁量权，使其可以强制要求成员国在能源、交通、ICT等关键行业针对性、系统性地排除来自特定第三国的所谓“高风险供应商”。

根据CSA 2.0提案，欧委会将综合考虑以下要素认定该国是否构成“对ICT供应链构成网络安全关切的第三国”：

（1）第三国存在相关法律，要求其管辖范围内的实体在软件或硬件漏洞被发现已被利用之前，向该国的有关当局报告这些漏洞的相关信息；

（2）据独立来源证实，第三国存在相关做法，要求其管辖范围内的实体在漏洞被发现已被利用之前，向该国的有关当局报告这些漏洞的相关信息；

（3）缺乏有效的司法救济机制以及独立且民主的监督机制，以纠正已识别的安全问题，包括第（2）项提及的现有做法所涉及的安全问题；

（4）已证实的信息表明，受该国控制并在该国境内活动的威胁行为者实施了一起或多起恶意网络活动或行动，且该国缺乏能力或意愿与欧委会或成员国合作，以应对此类威胁行为者活动所引发的风险；

（5）源自欧盟层面协调开展的安全风险评估或成员国或国际组织报告的相关信息。

尽管CSA2.0提案尚未认定“具有网络安全关切的第三国”名单，梳理近年来欧委会在网络安全领域频繁的立法动作和政客发言，不难发现上述标准明显针对中国“量身定制”，旨在系统性和歧视性地排除中国背景供应商，减少对中国的技术依赖。自“5G网络安全工具箱”时期以来，欧盟多次针对中国所谓的“网络安全风险”进行无端指责并散布不实信息，引导欧盟成员国限制中国供应商参与5G网络建设。在随本次CSA 2.0提案一同公布的影响评估报告中，欧委会再次毫无根据地指责中国“试图通过控制供应链、利用软件漏洞和经济依赖来推进其地缘政治议程”。[3]此外，欧盟近年来多次以“去风险”为由，对中国进行针对性的经贸限制措施，例如频繁对中国产品进行贸易救济调查、对中国企业发起《外国补贴条例》（FSR）调查、因所谓的“经济安全”原因对中国的投资设置歧视性条件，并将中国公司排除在补贴计划和公共采购之外等。此次CSA 2.0提案同样借助泛化的“国家安全”考虑，企图通过单边主义、保护主义行为破坏全球和中欧之间正常的经贸合作和全球供应链的稳定性。

02

CSA2.0提案对“高风险供应商”施加多方面限制措施

若某一国家被欧委会认定为前述“具有网络安全关切的第三国”，根据CSA 2.0提案第104条，设立在该国的供应商、以及由该国或设立在该国的实体/该国国民控制的供应商将被认定为“高风险供应商”，并受到全方位的准入限制：

（1）不能参与制定、评估、咨询或决定欧盟网络安全领域的标准、标准化成果及通用规范，不能申请或持有欧盟网络安全认证。与此相关，提案第78.1条规定，获得欧盟网络安全认证证书即可视为推定满足欧盟有关法律中的合规要求，这意味着高风险供应商只能采取其他手段满足欧盟有关法律中的合规要求，合规成本大幅增加且面临巨大不确定性。此外，高风险供应商也不能成为经认可的合格评定机构，不能申请成为欧洲个人网络安全技能证明的授权证明提供者，且不能参与用于关键ICT资产的ICT组件的公共采购程序、欧盟资助项目或任何欧盟资助的活动。

（2）可能被排除出欧盟内能源、交通、金融、卫生及数字基础设施等18个重点行业[4]内的重要实体的ICT供应链。对于CSA 2.0提案重点监管的电信领域，移动、固定和卫星电子通信网络的供应商均不得在关键ICT资产的运营中使用、安装或集成高风险供应商组件，移动电子通信网络中已有组件必须在高风险供应商名单公布后36个月内全部移除，固定和卫星电子通信网络中已有组件的移除时限将由欧委会另行决定。

（3）丧失所有持有欧盟网络安全认证的主体有关ICT产品、服务、流程和托管安全服务采购的市场参与机会。

03

CSA2.0提案涉嫌违反欧盟自身及其签署或加入的条约协定的基本原则

自CSA 2.0提案出台以来，欧盟法律界多位重要专家公开发表了对该提案在欧盟法框架内合法性的担忧。前欧盟法院院长José Luís da Cruz Vilaça指出，CSA 2.0提案以《欧洲联盟运行条约》第114条内部市场条款作为法律依据，不当侵入成员国保留专属立法权的网络安全领域，且在比例原则和补充性原则的适用上存在可能过度限制成员国的自主权并且加剧欧盟内外部的矛盾的问题。[5]前欧委会法律总司司长Michel Petite同样认为，“非技术性风险”的评估具有明显的主观性和政治性，本质上更接近外交与安全政策，而非单纯的内部市场规则，因而使得CSA 2.0存在被司法挑战的风险。同时，该提案强制排除供应商的措施可能增加企业成本、削弱欧洲竞争力，并在国际上引发报复性措施，加剧地缘政治紧张局势。[6]

此外，CSA 2.0提案涉嫌违反欧盟及其成员国与诸多第三国签订的国际投资保护协定，因而一旦生效将可能导致大规模投资仲裁和巨额索赔风险。以中国为例，欧盟成员国除爱尔兰以外均与中国政府签订了双边投资协定，如果CSA2.0提案在36个月内强制替换或排除现有移动、固定和卫星电子通信网络关键ICT资产中的“高风险供应商”组件措施生效，受到影响的中国企业可主张遭受投资所在欧盟成员国（“东道国”）“间接征收”并主张基于征收前公平市场价值的赔偿金额。此外，若东道国政策缺乏透明性、可预见性，或在实施过程中歧视性对待了某些国籍的企业，也可能违反投资保护协定下的公平与公正待遇义务并产生赔偿责任。

最后，CSA 2.0提案歧视性地对待来自特定第三国的所谓“高风险供应商”相关产品和服务不符合世界贸易组织（WTO）的基本原则。中国商务部在2026年4月17日向欧委会提交的评论意见中指出，欧盟该提案涉嫌违反《关税与贸易总协定1994》（GATT 1994）中的最惠国待遇、国民待遇及普遍消除数量限制的规则，《服务贸易总协定》（GATS）中的最惠国待遇、市场准入和国民待遇承诺、国内监管规则，《补贴与反补贴协定》（SCM）中被禁止的进口替代补贴，《技术性贸易壁垒协定》中的非歧视、必要性和通知义务规则，以及《与贸易有关的知识产权协定》（TRIPS）中保护未公开信息的规定等多项WTO协定要求，且相关违反不能通过例外条款进行免责。[7]在当前地缘政治矛盾激化的背景下，受损害国可能利用WTO争端解决机制（DSU）挑战欧盟相关限制措施。若相关措施被裁定违反WTO协定而欧盟拒不在合理执行期内撤销或修改，则起诉方有权采取进一步救济手段，包括寻求补偿、向WTO争端解决机构申请授权报复（如加征关税等），由此产生更为严重的国际经贸摩擦。

04

CSA2.0提案如通过将对我国企业造成广泛的负面影响

CSA 2.0提案一旦生效，将严重影响我国能源、交通、金融、卫生及数字基础设施等行业相关企业的在欧利益及国际化进程。根据欧盟官方公布的统计数据，中国在2014-2024年间始终是欧盟在高科技产品进口方面的最大伙伴国，2024年欧盟从中国进口的高科技产品超过1410亿欧元，约占欧盟总进口量的30%。[8]若CSA 2.0提案得到实施，2024年中国对欧盟出口量最大的货物类别（电信设备及其零件）[9]将首当其冲，直接影响中国通信设备企业对欧盟的产品出口和现有合同执行，使之在欧盟面临重大市场准入障碍，甚至导致该行业企业被迫退出欧盟市场。此外，中国企业在欧盟的云计算、数据中心、服务器等其他ICT产品和服务领域同样会被CSA 2.0覆盖，将面临更高的合规成本和安全审查门槛，无法参与欧盟公共采购和政府资助项目，无法参与技术合作与本地建立生态等限制。

在绿色能源行业，由于太阳能光伏逆变器等清洁能源组件涉及数据处理和联网，同样将受到CSA 2.0提案的不合理限制和排除。在CSA 2.0提案影响评估报告中，欧委会将光伏系统的中国供应商称为“高风险供应商”，并指出欧洲在2015年至 2023年间进口的350吉瓦（GW）太阳能逆变器中有64%（225吉瓦）来自中国企业。[10]在欧盟已达200亿美元且仍在快速发展的电池储能（BESS）市场[11]，中国企业的既有投资和后续参与也将受到CSA 2.0的直接冲击。

值得关注的是，欧盟凭借其庞大的市场规模，常能将其内部监管标准转化为事实上的全球规范，使得CSA 2.0提案的负面影响在全球范围内扩散和连锁反应，形成针对中国企业的系统性限制。该提案基于地缘政治考量的“非技术风险”评估框架，极易被其他在数字治理上依赖或追随欧盟的国家所效仿，特别是在法律体系及殖民历史上与欧盟有深厚渊源的部分亚洲、非洲和拉美国家。此外，欧洲的跨国企业，如主流电信运营商、汽车制造商和工业巨头，出于谨慎原则或全球采购的便利性，很可能在其全球供应链与采购策略中主动排除被欧盟标记的中国供应商，进而对中国企业的全球布局、市场份额及技术声誉造成显著负面影响。

总结和建议

总体而言，CSA 2.0不仅是一部技术法规，更是欧盟在地缘政治背景下，利用行政裁量权实施“制度性脱钩”的法律工具。对所谓来自“具有网络安全关切的第三国”的“高风险供应商”的限制和排除措施不仅直接威胁中国在通信、绿色能源及智能制造等优势产业千亿欧元的存量与增量市场，还将导致中欧技术生态深度割裂，试图剥夺中国企业在未来的6G、物联网、自动驾驶等领域话语权，并通过“布鲁塞尔效应”影响全球供应商和跨国巨头对中国供应商及中国市场的风险偏好，对中国企业和产业造成显著而广泛的负面影响。对此，企业应充分评估该法对自身业务的系统性影响，尽早形成应对方案。

首先，企业应建立具有前瞻性的立法追踪与多层级沟通机制，密切跟踪CSA 2.0提案在欧盟立法程序（欧洲议会、欧盟理事会）中的进展、各方立场及潜在修订方向的讨论，精准评估其对于本企业所涉及行业、供应链及商业模式的具体风险。在此基础上，应充分利用并协同行业协会、双边商会等集体力量积极发声，整合行业数据与典型案例，通过参与立法咨询、提交正式评论意见、发布行业联合声明和影响研究报告等多种方式，向欧盟立法机构及成员国系统性地阐明法案可能对欧洲市场竞争力、创新环境、消费者成本及全球供应链稳定造成的负面影响，力求在规则形成阶段施加压力。同时，企业也可主动与中国驻欧盟及成员国使领馆、国内相关政府主管部门保持紧密沟通，及时汇报实践情况，寻求指导与支持，推动通过双边外交与经贸渠道在更高层面进行对话和磋商。

此外，在法案实施前，企业还应积极利用欧盟内部的监督与救济机制，例如依据《欧盟运行条约》第228条向欧盟监察专员就欧委会在CSA 2.0提案中存在的国别歧视、滥用裁量权、程序不透明等问题提出行政不当（maladministration）投诉，通过多种渠道积极、合法地发声与抗辩，从而共同为中国企业争取更公平、更透明的商业环境。

最后，建议企业未雨绸缪，提前规划CSA 2.0提案一旦通过后的应对预案。在欧拥有重大投资或长期商业安排的企业，应在专业法律顾问的协助下提前研究潜在的法律救济及应对方案，梳理业务风险敞口，适时调整发展方向及策略。

脚注：

[1] 请见：https://digital-strategy.ec.europa.eu/en/library/proposal-directive-regards-simplification-measures-and-alignment-cybersecurity-act

[2] 根据CSA 2.0提案，ICT产品指网络或信息系统的一个或一组元素；ICT服务指全部或主要通过网络和信息系统进行信息传输、存储、检索或处理的服务；ICT过程指为设计、开发、交付或维护ICT产品或ICT服务而执行的一系列活动；ICT组件指可用于ICT资产运行的ICT产品、ICT服务或ICT流程。

[3] 影响评估报告，第26页，请见：https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act

[4] 即《关于在整个联盟实现高共同水平网络安全的措施》（“《NIS 2 指令》”）附件I和附件II规定的18个行业：（1）能源；（2）交通运输；（3）银行业；（4）金融市场基础设施；（5）健康行业；（6）饮用水；（7）废水；（8）数字基础设施；（9）ICT服务管理（企业对企业的）；（10）公共行政；（11）太空；（12）邮政和快递服务；（13）废物管理；（14）化学品的制造、生产和分销；（15）食品的生产、加工和分销；（16）制造业；（17）数字服务提供商；（18）科研行业

[5] 请见：https://www.ecija.com/adcecija/revisao-regulamento-ciberseguranca-uniao-europeia-uma-proposta-controversa-debatida/

[6] 请见：https://www.euractiv.com/news/brussels-proposed-cybersecurity-overhaul-risks-constitutional-red-flags/

[7] 请见：https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14578-The-EU-Cybersecurity-Act/F33393498_en

[8] 《高科技产品的国际贸易和生产》表3、表4，请见：https://ec.europa.eu/eurostat/statistics-explained/index.php?title=International_trade_and_production_of_high-tech_products

[9] 《中国 - 欧盟 - 商品国际贸易统计数据》表8，请见：https://ec.europa.eu/eurostat/statistics-explained/index.php?title=China-EU_-_international_trade_in_goods_statistics

[10] 影响评估报告，第29-30页。

[11] EUROPE BATTERY ENERGY STORAGE SYSTEM (BESS) MARKET SIZE & SHARE ANALYSIS - GROWTH TRENDS AND FORECAST (2026 - 2031) ，请见： https://www.mordorintelligence.com/industry-reports/europe-battery-energy-storage-system-market

本文作者

苏畅

合伙人

“一带一路”国际法律业务部

suchang@cn.kingandwood.com

业务领域：WTO争端解决、国际投资仲裁、国际贸易

苏畅律师长期处理国际经贸法律事务，熟悉欧盟、美国等国家主要经贸政策，在代理企业处理欧盟ESG合规、供应链本地化要求等方面具有丰富经验。此外，苏畅律师办理了多起我国政府在世界贸易组织（WTO）起诉或被诉的争端解决案件，为政府和企业提供与WTO规则有关的合规建议和咨询。苏畅律师在2014年至2016年间的中美双边投资协定谈判中担任中国商务部的法律顾问，并在为政府和企业提供与国际投资仲裁（包括在解决投资争端国际中心（ICSID）提起的国际投资仲裁案件）有关的法律服务方面具有丰富经验。苏畅律师被《法律500强》（Legal 500）评为2024、2025年度亚太地区WTO/国际贸易领域“特别推荐律师” ，2026年度“明日之星合伙人” 。

李政浩

合伙人

“一带一路”国际法律业务部

lizhenghao@cn.kingandwood.com

业务领域：国际贸易法、商事仲裁和诉讼以及技术、媒体和电信（TMT）等方面的监管合规法律服务

李政浩律师在WTO争端解决、国际经贸条约谈判、反倾销和反补贴等国际经贸法律领域具有丰富的实践经验。李律师曾代表我国政府参加了近10起与美国、欧盟等主要贸易伙伴之间的WTO争端解决案件，涉及到反倾销、反补贴、出口补贴等方面的争端。此外，李律师还协助政府和企业客户对《政府采购协定》《全面与进步跨太平洋伙伴关系协定》等国际经贸协定的相关条款进行深入的分析、评估，提供法律意见和建议。加入金杜之前，李政浩曾在商务部从事贸易救济和世贸规则相关的工作。

肖瑶

律师

“一带一路”国际法律业务部

声明：本文来自金杜研究，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。