楔子
2023 年 4 月 25 日,理事會通過了新的歐盟通用產品安全條例 (GPSR, (EU) 2023/988)。意味著歐盟執行委員會完成通用產品安全指令的修訂,導致原指令 2001/95/EC(GPSD,通用產品安全指令)遭到完整替代,歐盟的通用產品安全條例 (GPSR)旨在確保只有安全的未調和領域之消費型產品才能繼續放入歐盟市場。特別是,由於產品和行銷通路的數位化過程不斷演變,歐洲立法者勢必做出反應,與時並進,對前一版本的《通用產品安全指令》(GPSD)進行多面向及創新式的大刀闊斧式修改。因為GPSR的出版,從而使德國的對應法規【產品安全法(ProdSG,德文版)】原有內容,因為大部份要求已寫入GPSR,故ProdSG亦須隨之更動。
《通用產品安全條例》(GPSR)建立了未調和領域消費型產品的安全架構,也部分適用於調和範圍(例如:參見 GPSR 第 19、20、22 條和第八章)。通過這種方式,GPSR 有助於加強消費者的實務上保護程度。同時,GPSR 的創新型要求亦為經濟營運者在確保產品合規性面向帶來新的挑戰。
CC BY-SA 4。0。
內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。
圖1:歐盟產品安全法規演化概貌
一、擴大個人適用範圍:履行服務提供者和網際網路線上市場提供者
與歐盟《市場監督條例》(EU) 2019/1020 和德國【產品安全法】(ProdSG)的情況一樣,GPSR 第 3 條第 12 款所指的履行服務提供者是 GPSR 第 3 條第 13 款所指的經濟營運者。然而,GPSR(與 ProdSG 第 6 條第 6 款相反)沒有規定履行服務提供者的任何具體義務。新增面向是將從網路通道放入歐盟市場的提供者納入GPSR的適用範圍。由於 GPSR 第 3 條第 13 款的定義很廣泛,因此產業界及各方利益相關者常有建議,表明此等提供者也應該納入經濟營運者的群體,因為該等提供者必須遵守 GPSR 第 22 條規定的經濟營運者的義務及承擔相應的責任。
如果通過網際網路線上或其他遠端銷售方式向歐盟成員國(一國或多國)兜售的產品,將被視為係在歐盟市場上銷售,見(EU)2022/2065 歐盟《數位服務條例》。如果相關經濟營運者以任何方式將其活動指向一個或多個歐盟成員國,則銷售產品將被視為針對歐盟消費者。這意味著GPSR甚至可能適用于位於歐盟以外的網際網路線上提供者(或稱網路賣家),見GPSR第4條。
歐盟在產品安全領域的法規架構內,《通用產品安全條例》(GPSR)屬於《特別法lex specialis》,專門規範在歐洲市場銷售的消費性產品(如:非調和領域的家用電氣設備、類似玩具或食物的小物件等),如何保障消費者安全,要求製造商、進口商、零售商、網際網路提供者都需負起產品安全的責任和義務。《數位服務條例》(DSA)屬於《一般法lex generalis》,是針對所有數位服務的基本規則,例如:網路平台、網際網路的網站、電子商務進行遠端銷售在法規上做出基本義務與須承擔的責任範圍。《一般法》會先構造出一套大原則,普遍適用於廣泛領域,但在個別範圍內,如果有《特別法》做出更詳細的規定,實務上處理兩種法規都適用而出現重疊部分的情況時,就應優先適用《特別法》規定為準。故當歐盟市場出現某個產品安全事件,因為產品係經由網路銷售給終端消費者,故同時受到《一般法》和《特別法》管轄時,歐洲法律原則會是「lex specialis」優先適用,也就是「特別法優於一般法」原則。
假如歐盟市場出現某個產品安全事件涉及人工智慧組件時,則須參考《人工智慧法案AI Act》2024/1689,是屬於《特別法》,專門規範 AI 產品(如:語音助理、AI判斷系統等),針對 AI 的風險評估、透明度、監督和安全性訂定更詳細和嚴格的標準。而《通用產品安全條例》(GPSR)在這種情境,便歸類於《一般法》,前述「特別法優於一般法」原則仍然適用。假設有一家企業擬在歐盟販賣帶有 AI 功能的智慧家用電器,該家電不僅要遵守GPSR的基本要求(不能危害健康、安全),因此就要特別遵守「人工智慧法案AI Act」的規定。例如:如果該產品的AI功能被判斷為高風險等級,需要更多的技術審查與透明度,而這些細節規則在《通用產品安全條例》(GPSR)裡可能沒有提到。只要產品涉及 AI 領域,該部分就優先用「人工智慧法案AI Act」的條款,補充《一般法》沒有覆蓋到的細節及規範。
二、產品安全評估新準則
歐盟立法者制定了評鑑產品安全性的最新準則。顯然地,歐盟立法者特別關注新世代產品中尚未納入調和法規的元素(如:人工智慧),因此該等新準則預計也將適用於調和領域。GPSR 第 6 條廣泛列舉以下評鑑準則:- 產品特性,包括:產品設計、技術特性、成份、說明書、組裝、包裝、使用、維護說明,見GPSR第 6 條第 1 款 a)項;
- 合理可預見方式與其他產品結合使用,或是使用上配合另一種產品,而對係稱產品做出所謂的交互作用,即使並非係稱產品原有內建功能,但合理預期為達到產品預期目的會出現的狀況,仍須做出評鑑,見GPSR第 6 條第 1 款 b)及c)項;
- 產品標記,包括:標籤、警示符號/標誌/文字、產品隨附文件(供安全地使用產品,及使用壽命期滿後合規地棄置),見GPSR第 6 條 d)項;
- 消費者特定面向的風險評鑑,例如:受到衝擊的消費者群體、兒童、老年人、殘障人士等弱勢群體、涉及健康和安全面向的性別差異作用,見GPSR 第 6 條第 1 款 e)項;
- 產品的外觀,如果它可能誘使消費者以非預期(但合理可預見之行為模式)方式使用產品,尤其指出兩種易引起誤會的類型,見GPSR 第 6 條第 1 款 f)項:
- 不是食物,但外觀狀似食物或容易混淆成食物,顧慮到形狀、氣味、顏色、外觀、包裝、標籤、尺寸、大小等各項特性,庶免讓兒童誤食或置入口中;
- 不是玩具,但外觀似玩具或容易混淆成玩具;
6. 網路資安(cybersecurity,又稱網路保全)功能,如果產品預期使用將需要聯結到網際網路時就需要考慮,須避開惡意第三者入侵,或因受到其干擾(或因此失去交互作用功能)而衝擊該產品的安全,見GPSR 第 6 條第 1 款 g)項;
7. 產品的性質需要,但損及產品的進一步開發、學習和預先感知等功能作用,見GPSR 第 6 條第 1 款 h);
新版GPSR內容,已納入產品引用新技術的情況,可能狀況之一係新技術引起新型態風險,卻是制定法規或產品標準時尚未出現或仍不知道的風險;故在該條例明訂於風險評鑑過程中加入須考量與評鑑新技術相關事項。
由於軟體工程與人工智慧的快速演變,新版GPSR亦須將其納入風險評鑑內容,評估事項如:定義產品規格、風險分析/評估/減輕對策、重大修改階段,條例內容皆可一體適用軟體的面向。
三、符合安全要求之假設前提
經濟營運者「放入市場」或「提供到市場」的產品皆應該是安全的產品,見GPSR 第 5 條。符合產品安全要求的假設條件不外乎下列途徑:
- 符合在歐盟公報(OJ EU)公告的歐洲標準(EN European Standards)或其中適用的部份節次,且該等標準已慮及係稱產品的風險及風險等級,見GPSR 第 7 條第 1 款 a);
- 若缺乏前述歐洲標準,則須符合歐盟成員國要求(當係稱產品擬在該國提供到市場),該國法規既已符合歐盟法規,且其中的基本健康與安全要求已涵蓋係稱產品的風險及風險等級,見GPSR 第 7 條第 1 款 b)。
提請注意,即使產品達到上述基本安全要求以展現符合安全假設,歐盟的市場監督機構仍可執行必要的市場監督措施,見GPSR 第 7 條第 3 款。
國際標準與相關要求
考慮到國際標準的普遍適用性及消費型產品產業界面對國際市場的實際需求,除了採用前述歐洲標準或成員國法規外,下列情況亦得納入產品安全評鑑要求,見GPSR 第 8 條:- 雖非前述歐洲調和標準,但係公布在歐洲公報(OJ EU)的標準;
- 國際標準;
- 國際協議;
- 視為支援歐盟法律的自願性驗證方案,或類似的第三者符合性評鑑架構;
- 歐盟執委會發表的產品安全評鑑建議(recommendations)或指引(guidelines);
- 產品預期放入的成員國制定的該國之國家標準;
- 現今科技與技術水準,包括歐盟具公信力科學機構的意見(opinion);
- 係稱產品所屬之產業界的優良實務之產品安全規範(product safety codes of good practice);
- 消費者合理期待的安全考量;
- 依據GPSR 第 7 條第 2 款採行的安全要求。
四、製造商進行內部風險分析的義務
製造商應確保遵循通用產品安全要求(GPSR 第 5 條)達成設計與製造作業(GPSR 第9條第1款)。對於每一種產品,製造商在產品放入市場前,必須進行內部風險分析並準備相關技術文件,該其中至少包含產品及其與安全評鑑相關的基本特性的一般描述,沒有排除不太複雜的瑣碎產品的小條款。且按照產品的風險程度,製造商的義務範圍可能會變得略微精簡或是追加深入評鑑(GPSR 第 9 條第 2 款)。技術文件需保持在最新狀況,並在放入歐盟市場起,內部保存至少10年,得應歐盟相關機構要求時提供之(GPSR第9條第3 款)。
技術文件中提供的資訊詳細程度,須配合產品的複雜程度和製造商決定的預期可能風險成比例,至少包含產品描述、產品安全性相關特徵的描述以供評鑑安全,尚應審慎考量包含產品安全的檢驗或測試報告的結果、評鑑時採用的歐洲標準、產品可能存在的風險隱患、為消除和減輕此類風險所採取的矯正措施、在隨附文件提供剩餘風險的安全資訊等,提示消費者安全使用該產品的相關資訊及防範措施等。
需要注意的是,GPSR特別提到風險評鑑過程裡,應當重點關注與新技術相關的產品安全隱患(或稱【可預見的合理錯誤使用】),如數位化產品對弱勢使用者(考慮到兒童、老年人等弱勢消費者)心理健康的衝擊,購物軟體過度收集消費者隱私資訊之類相關風險等。見GPSR 第 6 條第 1 款 e)項。
(未完,見續篇)
沒有留言:
張貼留言