进口商义务 (Art. 15)
概述
进口商 (Importer) 是将来自第三国制造商(欧盟以外)的含数字元素产品投放欧盟市场的经济运营方。CRA 对其规定了特定的尽职调查义务,以确保只有合规的产品才能进入欧盟市场。
法律依据
Art. 15 CRA: 进口商只应将符合 Annex I 基本要求且其制造商已正确执行合格评定的产品投放市场。
Art. 3 No. 21 CRA: "进口商"是指在欧盟境内设立的、将标有欧盟境外自然人或法人名称或商标的含数字元素产品投放市场的任何自然人或法人。
BAUER GROUP 何时属于进口商?
BAUER GROUP 在以下情况下充当进口商:
- 从非欧盟制造商购买软件或硬件,并以其品牌在欧盟分销
- 从欧盟以外采购固件组件并集成到自有产品中,且该组件符合独立产品的条件
- 将来自第三国的 SaaS 产品作为本地部署软件在欧盟分销
区别
如果 BAUER GROUP 以自己的名义或品牌将第三国产品投放市场,则 BAUER GROUP 被视为制造商(而非进口商),并须承担 Art. 10 项下的全部制造商义务。
详细义务
1. 投放市场前的合规验证(Art. 15 第1款)
投放市场前,进口商必须确保:
- [ ] 制造商已正确执行合格评定
- [ ] 制造商已按照 Annex VII 编制技术文档
- [ ] 产品带有 CE 标志
- [ ] 产品附有欧盟符合性声明(或带 URL 的简化版本)
- [ ] 制造商已在产品/文档中提供联系方式
- [ ] 产品具有唯一标识(类型、批次、序列号)
2. 自身标识(Art. 15 第2款)
进口商必须在产品或其包装上标明:
- 其名称 / 商业名称 / 注册商标
- 其邮政地址和电子邮件
对于软件:在文档、用户界面或代码仓库中标明。
3. 存储和运输条件(Art. 15 第3款)
确保存储和运输不会损害合规性:
- 软件包的完整性保护(校验和、签名制品)
- 安全分发渠道(HTTPS、签名的代码仓库)
- 物流链中不得篡改固件/软件
4. 市场监控(Art. 15 第4款)
进口商必须:
- 监控产品是否持续合规
- 如怀疑不合规:采取纠正措施或停止分销
- 如存在严重风险:通知制造商和市场监管机构
5. 文档(Art. 15 第5款)
- 进口商必须持有欧盟符合性声明(副本)
- 技术文档必须应要求可供主管机构查阅
- 保留期限:投放市场后 10年
6. 与机构合作(Art. 15 第6款)
应市场监管机构要求,进口商必须:
- 提供所有必要的信息和文件
- 使用主管机构的语言(或主管机构接受的语言)
- 合作消除风险
7. 报告义务(Art. 15 第7款)
获悉被积极利用的漏洞或严重安全事件时:
- 立即通知制造商
- 如制造商未回应:直接向 ENISA 和国家 CSIRT 报告
进口商检查清单
投放市场前
- [ ] 已识别和验证制造商(非欧盟)
- [ ] CE 标志已存在
- [ ] 已收到并审查欧盟符合性声明
- [ ] 制造商的合格评定合理可信(按类别的模块)
- [ ] 技术文档可用或可获取
- [ ] 产品标识已存在(类型、版本、序列号)
- [ ] 自身联系方式已标注在产品/文档中
- [ ] 已从制造商处获取 SBOM(Art. 13 第23款)
- [ ] 已定义并沟通支持期
持续性
- [ ] 市场监控处于活跃状态(跟踪制造商漏洞通知)
- [ ] 分发渠道完整性已保障
- [ ] 已确保与主管机构的合作准备
- [ ] 文档已归档(10年)
责任与处罚
| 违规行为 | 处罚 |
|---|---|
| 投放不合规产品 | 最高1500万欧元或全球年营业额的2.5% |
| 缺少文档/标识 | 最高1000万欧元或年营业额的2% |
| 向主管机构提供虚假/不完整信息 | 最高500万欧元或年营业额的1% |
详情:处罚