你正在为一款带无线功能的产品做上市规划，目标是拿到那个代表欧盟市场准入的CE标志。

网上一搜"CE-RED网络安全覆盖哪些产品"，答案大多是蓝牙耳机、智能手表、路由器、智能门锁、儿童手表、POS机。这些名字本身没错，但对于真正需要做产品判定的人来说，帮助有限。因为你真正想知道的不是别人家产品的名字，而是你自己的产品到底算不算。一个WiFi咖啡机在不在范围里，一个只播音乐的蓝牙耳机为什么有人说要认证，以及更核心的问题：我手里这款具体产品，到底会被哪条法规管到。

2025年8月1日，RED指令的3.3(d)(e)(f)条款进入强制执行阶段。到2026年此刻，执行已过去近一年。它的覆盖逻辑其实很清晰，根本不是一张死板的产品清单，而是由三个核心能力决定。你的产品能做什么，比它叫什么名字重要得多。

CE-RED网络安全认证覆盖哪些产品，不是由产品名称决定的，而是由你的产品是否具备联网能力、数据处理能力、资金转移能力这三个条件来判定的。这就是欧盟摆在你面前的三把尺子。你的产品够得上哪一把，就会被哪一条管到，这不是你想不想做的问题。

别去找所谓的产品清单

很多人面对CE-RED网安认证的第一反应是：先去找张表，看看我的产品在不在上面。

说实话，这个习惯在2026年已经不怎么管用了。欧盟从来没发过一张"蓝牙耳机必须做，普通遥控器不用做"的清单。它只给了你三条法规原文，3.3(d)、3.3(e)、3.3(f)。你的产品触发哪几条，跟你产品叫什么名字关系不大，跟你用它的时候激活了哪种能力，关系很大。

而且同一个产品，不同的软件版本、不同的功能配置，会被不同的法规条款管到。不是出厂贴一个标签就一劳永逸的事。

3.3(d)这把尺子，问的是你能不能上网

这是三把尺子里最宽的一把。不问产品名，只问一句：你的设备能不能自己连上互联网。

自己连的定义远比很多人想象的宽。WiFi路由器当然算。内置4G或5G模块的手机也算。通过WiFi连云端的智能音箱，也算。

但真正让不少人意外的，是"通过别人中转"也算。授权法规(EU) 2022/30的原文直接写了"无论直接通信还是通过任何其他设备间接通信"。一个蓝牙音箱，本身没有WiFi也没有蜂窝模块，但它通过蓝牙连上手机，再由手机播放云端音乐。这个数据流是互联网来源的，设备在设计上就有这个能力，它就被这把尺子量到了。

不过行业里对"间接"这个词有边界讨论。有一种情况比较微妙：纯本地通信的设备，比如蓝牙遥控器控制手机播一首已经下载到本地的歌，设备本身不发起、不参与任何互联网数据交互。这时候算不算"间接联网"，不同公告机构的意见不完全一致。判定下去的关键是看设备的设计意图和实际数据路径，它原生有没有能力通过网关与互联网交换数据。

够不到这把尺子的也很明确。两台靠无线电波对讲的普通对讲机，没有联网功能的FM收音机，一个老实的红外遥控器，它们压根不具备"通过互联网通信"这个本事，跟你没关系。

3.3(e)这把尺子，问的是你会不会碰隐私数据

这把比上一把绕一些。要看两个维度。

第一个维度，你的产品是不是法规圈定的那几类。一共四类。普通联网无线电设备，就是被3.3(d)量到的那批。专门设计给儿童看护用的设备，婴儿监视器、儿童手表都在里面。受玩具指令2009/48/EC覆盖的无线电玩具，比如能连手机App的那种智能玩具。还有可穿戴设备，智能手环、智能手表、智能眼镜。

这四类里有一个细节，法规原文写得很清楚但很多人没注意到。后三类（儿童看护、玩具、可穿戴）并不要求你的设备能上网。一个不带WiFi的婴儿监视器，通过无线电采集并处理婴儿的声音数据，声音数据在法律上就是个人数据，它就有可能触发3.3(e)。一个不联网的运动手环，采集并存储心率数据，同样可能被量到。这个不是理论推断，法规文本的结构就是这样的，3.3(e)对后三类的适用条件跟第一类（普通联网设备）是分开写的。

第二个维度是"有能力处理"个人数据、流量数据或位置数据。这个词"有能力处理"，很多人误会成"我只要没实际收集就算没事"。完全不是这个概念。

法规看的是你有没有那个能力，不是你有没有在干。你生产了一个带麦克风和WiFi的智能玩具，App还没开发完，出厂的时候数据采集功能是关着的。但硬件上有能采声音的麦克风，有能连网的WiFi芯片，它就具备了处理个人数据的能力。3.3(e)这把尺子就可以量到它了。

那怎么才算量不到。一个纯本地、不碰任何数据的联网灯泡。它能连WiFi，3.3(d)肯定量到了。但它只接收开关和调亮指令，自己从来不采集、不存储、不上传用户的任何东西，3.3(e)就不会落到它身上。

3.3(f)这把尺子，问你能不能转账

三把尺子里最窄、但落到身上最重的一把。只问一句：你的设备能不能用来转移货币或者虚拟货币。

POS机、收银终端，跑不掉。带NFC支付功能的智能手表，支持银行卡闪付或者移动支付的，跑不掉。加密资产钱包、支持虚拟货币交易的设备，也在里头。

但绝大多数普通产品碰不到这把尺子。蓝牙耳机、智能门锁、WiFi路由器，没有支付和转账功能，3.3(f)跟你就没有关系。

拿几个真实产品走走看

把三把尺子用起来，走几个例子就清楚了。

一个纯蓝牙TWS耳机，不联网，不处理数据，只播声音，没有独立App，不注册账户，不采集心率也不记录位置。三把尺子全部够不上，不需要做CE-RED网安认证。

一个带WiFi和语音助手的智能音箱。连WiFi，3.3(d)量到。麦克风采集语音指令，算处理个人数据，3.3(e)量到。不能转账。必须满足3.3(d)和3.3(e)两条。

一个带eSIM和NFC支付的智能手表。eSIM或WiFi联网，3.3(d)量到。采心率、运动轨迹、位置，3.3(e)量到。NFC支付，3.3(f)量到。三条全部触发，全套要求都要走。

一个纯本地FM收音机。不能上网，不处理数据，不涉及转账。三条都不适用。

一个带WiFi的联网灯泡，不处理用户数据。3.3(d)量到，3.3(e)和3.3(f)不触发。只需要满足网络保护那条。

一个不带WiFi的婴儿声音监视器。不能上网，3.3(d)用不上。但它是儿童看护设备，采集处理婴儿声音算处理个人数据，3.3(e)会量到它。3.3(f)不相关。这个案例正好说明3.3(e)的后三类不要求联网，前面讲过了。

豁免和例外，踩坑最多的地方

三把尺子量完之后，还有几类豁免情况。范围窄，但在实际判定里往往是最容易出问题的。

医疗器械。如果你的产品受MDR (EU 2017/745)或IVDR (EU 2017/746)管辖，比如植入式心脏起搏器，那么3.3(d)(e)(f)三条全部豁免，你走医疗器械自己的合规路径。不带电子元件的纯无源医疗器械，三条自然全免。不过如果医疗器械上带着无线联网模块，RED的网安条款虽然豁免了，但MDR和IVDR本身也有网络安全要求，不是不用做，是换一条路径做。

车辆和航空设备。受(EU) 2019/2144车辆型式认证法规和(EU) 2018/1139航空法规管辖的，豁免3.3(e)和3.3(f)，因为这两个行业有自己的法规兜底。但3.3(d)网络保护这条没有任何替代方案。

这段话是给做车载T-Box的人看的。你如果把T-Box当整车零件配套给车厂，随整车卖，只走3.3(d)就行，3.3(e)和3.3(f)被车辆法规豁免了。但你如果把同一款T-Box拿出来当独立产品单卖，任何人都能买回去自己装，那它就不再属于车辆法规管辖的部件，3.3(d)(e)(f)全套都要来。区别不在硬件，在你怎么卖。零件还是独立产品，两种走法完全不一样。

电子道路收费系统受Directive (EU) 2019/520管辖，同样豁免3.3(e)和3.3(f)，3.3(d)保留。

回到最开始的问题：到底覆盖哪些产品。去背那个"蓝牙耳机、智能手表"的列表没有意义。用三把尺子量一遍，比背一百个产品名有用。能不能上网，能不能碰隐私数据，能不能转账。被几把尺子量到就被几条法规管到，就这么简单。

上面这些判断框架基于授权法规(EU) 2022/30的文本结构和行业通行解读。具体到一个产品，最终还是要看法规原文和公告机构的评估意见。边界地带的产品，立项时候就跟有RED资质的公告机构沟通，比事后补救省太多事。