在近日的皮爾磁年度新聞發布會上，皮爾磁集團管理合伙人Thomas Pilz談到了在全球數字化轉型與人工智能技術迅猛發展的背景下，如何通過法律框架來守護安全這一永恒命題。

我們都熟悉CE標志。這個標志不僅出現在電器、玩具或日用品上，也常見于工業設備和機械產品。CE代表"Conformité Européenne"（歐洲合格認證），實質上是產品進入歐洲經濟區（歐盟和歐洲自由貿易聯盟）市場的安全通行證。加貼該標志意味著投放市場者確認產品符合歐盟境內適用的產品安全法律要求。三十年來，凡適用歐盟指令的產品都必須提供EC符合性聲明。

這些指令中包含自1995年起強制實施的《機械指令》。該指令規范了人機交互的健康與安全要求，取代了各成員國原有的機械安全法規。

CE認證的成功范式

這項最初令企業倍感壓力的制度，如今已成為不可或缺的行業準則。CE標志與《機械指令》在制造商與用戶間建立了透明互信機制，堪稱監管典范。在世界其他地區，它們持續為機械安全法律框架的建立提供藍本。

以巴西為例：自2010年起實施的NR-12法規（機械設備安全標準）明確規定了機械設備的最低安全要求。該法規大量借鑒了《機械指令》附錄1的安全條款，包括針對特定機械的特殊要求，因此被歐洲業界稱為“巴西版機械指令”。

印度首部機械安全法律框架

作為增長最快的經濟體，印度正在建立機械安全法律框架。重工業部發布的兩項新規中，《綜合技術法規》詳細規定了各類機械設備的安全要求，確保投放印度市場的產品符合安全標準。與歐洲類似，印度也建立了強制性認證和符合性標志體系，其多數要求與國際現行標準接軌。

對印出口企業需指定印度境內授權代表。我們印度子公司可協助企業滿足相關要求。皮爾磁印度員工還參與了印度標準局相關技術委員會的工作。雖然印度機械安全法規仍在完善中，但可以確定的是，未來不符合標準（即未獲得印度版CE標志）的機械設備將無法通關，可能面臨海關扣留直至整改合規。

安全概念的演進：三十年后

回望上世紀90年代中期，Tim Berners-Lee在瑞士CERN研究中心公開發布萬維網技術，開啟了社會與工業的數字化革命。三十年后，安全被賦予全新內涵——聯網數字化產品面臨數據篡改等新型風險。歐盟立法機構及時響應：在保留CE認證原則的基礎上，根據技術發展更新要求。2023年頒布的新《機械法規》將于2027年取代現行指令，其中人工智能與工業網絡安全成為兩大創新重點。

人工智能能否確保安全？

“機器人不得傷害人類”——Isaac Asimov在1942年科幻小說中提出的機器人定律，在人工智能突飛猛進的今天需要重新審視。新《機械法規》特別規范了具有自主進化行為的機器系統：當危險情境中的反應機制由算法而非人類決定時，如何確保安全性？極端情況下，甚至需考量自學習軟件是否可能催生“新型機械”。這不僅關乎制造商，也是認證機構面臨的新課題。

人工智能的影響遠超機械領域。《人工智能法案》全面規范了AI系統的行為邊界：禁止操縱人類決策等高危行為，并將教育、關鍵基礎設施、執法等領域的AI應用列為高風險系統，未來必須通過CE認證。皮爾磁認為，該法案在促進技術發展的同時有效管控風險，具有重大意義。

沒有信息安全就沒與CE認證

針對網絡攻擊激增的現狀，新《機械法規》要求必須防范安全功能（如控制器）被篡改，首次將工業網絡安全納入強制要求。在后續環節，專家Simon Nutz將詳解企業應對策略，助力產品持續符合CE認證要求——機械安全的概念正在被重新定義。

網絡安全立法三重奏

歐盟從三個維度構建工業網絡安全法律體系：

機械層面：《機械法規》

數字產品層面：《網絡彈性法案》

企業層面：《網絡與信息系統安全指令》（NIS-2指令）

行業面臨巨大挑戰：三項立法均已頒布，其中前兩項過渡期僅剩約一年半。企業需全面調整研發、生產及工程體系，包括培訓、文檔等配套流程。這讓人想起當年實施《機械指令》時的艱巨任務。

以《網絡彈性法案》為例，要求數字產品必須滿足網絡安全基礎要求，包括風險評估、漏洞管理、文檔記錄等義務。皮爾磁未雨綢繆，早在2022年就依據IEC 62443-4-1標準建立了認證開發流程，并完成全線產品合規評估。

盡管NIS-2指令在多數成員國尚未完成立法轉化（截至發稿僅9國落實），但基于2019年遭遇網絡攻擊的切膚之痛，我們強烈建議：企業網絡安全建設刻不容緩，絕不能等待立法程序完成——這關乎企業存續，遠超越合規本身。

歐洲標準或將再次引領全球

面對人工智能與網絡安全新挑戰，歐盟法規會否再次成為國際標桿？回顧CE認證的成功經驗，答案很可能是肯定的。各國政府都有保護公民安全的強烈訴求，制造商則追求產品的全球流通性。這意味著，即便非歐盟企業，若想維持對歐出口，也必須滿足新規要求。