主要国家物联网安全法律政策研究

张夕夜 王亚楠

中国信息通信研究院知识产权中心 北京 100191

引言

物联网是新一代信息通信技术的高度集成和综合运用，对新一轮产业变革和经济社会绿色、智能、可持续发展具有重要意义。当前，物联网已进入万物互联发展新阶段，从可穿戴设备、智能网联汽车到电梯监控、水电控制系统，物联网设备无处不在，物联网产业蓬勃发展。全球移动通信系统协会(GSMA)发布的《2020年移动经济》(The Mobile Economy 2020)报告显示，到2025年，全球物联网总连接数将达到246亿。但近年来，物联网安全事件频发，经济秩序和用户安全受到侵害。欧洲网络与信息安全局(ENISA)2017年11月发布的《关键信息基础设施领域的物联网安全基线指南》(Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures)，回顾分析了自2009年至2017年3月发生的波多黎各大量智能电表被黑客攻击等17起主要物联网安全事件。北京神州绿盟信息安全科技股份有限公司自2017年起连续4年发布物联网安全年报，对当年出现的重大物联网安全事件进行回顾分析。以上相关事件表明，物联网安全造成的不利影响愈发严重：从数量看，全球具有代表性的物联网安全事件逐年增加；从产品看，摄像头和路由器是出现异常最频繁的设备；从行业看，覆盖范围从电力、电信、工业等基础设施到支付、家居、零售等消费行业；从影响看，不仅造成巨大经济损失，且威胁生命财产安全、侵犯儿童隐私、泄漏个人信息，生产生活秩序受到严重破坏。为此，美国、英国、日本推出多项物联网安全法律、政策，旨在加强物联网安全管理，保障经济安全，保护用户隐私。

1 美国探索以专门立法形式加强物联网安全

美国在州和联邦两个层面探索以专门立法的形式管控物联网带来的网络安全和隐私风险。

1.1 加州通过立法，提升物联网隐私安全和设备安全

2018年9月28日，美国加利福尼亚州州长杰里•布朗(Jerry Brown)签署一个月前由州议会批准的《互联设备安全法案》(Information privacy: connected devices,SB 327)，于2020年1月1日起生效实施[1]。该法案作为第1.81.26章“互联设备安全”，增列至加州《民法典》有关信息隐私权部分。“互联设备”是指能够直接或间接连接到因特网并且被分配了因特网协议地址或蓝牙地址的任何设备或其他物体。

该法是世界上首部针对物联网设备安全的法律，其核心内容是要求物联网设备制造商为设备配置合理的安全性能。法案规定，自己制造或外包给他人以自己名义制造互联设备并在加州销售的“制造商”承担隐私安全和设备安全的义务。

1)隐私安全方面，要求企业采取一切合理措施管理和控制客户记录中关于个人信息的内容，当企业不再需要保留记录时，应通过粉碎、删除或以其他方式修改这些记录中的个人信息，使其变得难以辨认或难以破译。现有法律还要求拥有、许可或维护加州居民个人信息的企业实施和维护与信息属性相适应的合理安全程序和实践，以保护个人信息免遭未经授权的访问、破坏、使用、修改或披露。法案授权因隐私受到侵犯而遭受损害的用户可提起民事诉讼主张损害赔偿救济。

2)设备安全方面，互联设备的制造商应为设备配备合理的安全性能或以下所有性能：①适合于设备的性质和功能；②适合于设备收集、存储或传输信息；③旨在保护设备及其所包含的任何信息免受未经消费者授权的访问、销毁、使用、修改或不当披露。在满足以上三个要求下，如果互联设备配备了局域网以外的认证手段，只要达到下述任一要求，应当被视为满足本法案的合理安全性能要求：①预编程密码对于每个制造的设备都是唯一的；②该设备包含一项安全性能，该性能要求用户在首次授予设备访问权限之前生成新的身份验证方法。

该法案在美国引起较大争议，反对者认为其存在很多模糊性条款，且对不同设备作出相同要求，不足以满足复杂设备的安全需求而又增加了简单设备的成本。但是，该法案是加强物联网安全的一个开端，且抓住了物联网设备比较突出的安全性问题，其意义和价值值得肯定。

1.2 联邦通过立法，确保政府物联网设备安全

2020年9月14日，美国众议院通过了《物联网网络安全改进法案2020》(Internet of Things Cybersecurity Improvement Act of 2020，H.R.1668)；11月17日，美国参议院无修改地通过该法案，从而推动了自2017年以来一直在国会停滞不前的相关立法。因两院一致通过该法案，该法案被提交总统。2020年12月4日，总统签署了该法案，从而完成了立法的最后一个流程，首部全美层面的物联网安全法律诞生[2]。

法案要求美国国家标准与技术委员会(NIST)负责制定标准、出具报告并出版指南。具体而言，一是以强制性要求确保物联网安全。NIST应当在法案颁布的90天内制定联邦政府物联网设备最低安全标准，以管控信息安全、网络安全风险。管理和预算办公室(OMB)在标准制定后的180天内审查政府机构物联网设备是否与上述最低安全标准保持一致。二是以漏洞协调披露的方式改善物联网安全。法案尤其重视物联网漏洞管理，以较大篇幅赋予了NIST漏洞纰漏指南制定及实施的职责，即信息系统和物联网设备的漏洞信息及补救信息应当具备完善的报告、协调、发布、接收程序。对于向政府机关提供信息系统和物联网设备的各级供应商，法案特别指出了其接受和传播安全漏洞信息的义务。三是从采购环节管控物联网安全。法案设置了采购条款，若物联网设备的使用将妨碍联邦政府机构遵守前述的设备安全要求和漏洞纰漏指南，相关设备则禁止被机构采购，除非存在科研目的等豁免情形。联邦采购条款应作出与此一致的修订。总审计长负责每两年向国会提交采购条款的执行报告。

2 英国政府机构逐步加大物联网安全管控力度

2.1 DCMS和NCSC联合发布自愿行为准则

2018年10月14日，英国数字、文化、传媒和体育部(DCMS)与英国国家网络安全中心(NCSC)联合发布了《消费类物联网安全实践准则》(Code of Practice for consumer IoT security)(以下简称《准则》)[3]。《准则》为物联网设备制造商发布了13个新的自愿行为准则，旨在保护消费类物联网，如家用集线器、智能家居设备、安全摄像头、可穿戴设备和联网玩具等设备免受外部攻击和数据泄露。

13个安全行为准则分别是：1)所有物联网设备密码均应唯一，并且不可重置为任何通用出厂默认值；2)物联网设备供应商和服务提供商应提供报告漏洞的公共联络点，对于已披露的漏洞应及时采取措施；3)软件组件应当是可更新的、更新应当是及时和易于实现的；4)安全存储凭证和敏感数据、硬编码凭证不应被允许；5)数据在传输过程中应进行加密，所有密钥均应进行安全管理，保证通信安全；6)关闭未使用的端口、将代码最小化为服务所必需，尽量减少暴露的攻击面；7)软件应使用安全启动机制进行验证，确保软件完整性；8)处理个人数据应遵守《通用数据保护条例》(GDPR)和《2018年数据保护法》，确保个人数据受到保护；9)网络中断时物联网服务应尽可能在本地运行，电源中断时物联网服务应以合理的状态和有序的方式重新连接；10)应对从物联网设备和服务收集的遥测数据进行安全异常的监视；11)应使用户能够轻松删除个人数据，并提供有关如何删除的明确说明；12)安装和维护设备应采用最少的步骤，提供安全设置设备的指南；13)物联网设备和服务传输数据的有效性应得到验证。

准则发布后，仅惠普公司和Centrica Hive等部分物联网制造商承诺支持该行为准则，其他制造商在很大程度上忽视了这套自愿行为准则。英国政府意识到需要加强对设备制造商的管理，除依靠自律外，还需实施政府强监管。

2.2 DCMS发布拟强制执行的行为准则和认证方案

在咨询国家网络安全中心(NCSC)以及公共和私营部门专家基础上，2019年5月1日，DCMS发布《消费类物联网安全监管规范的实施咨询》(Consultation on the Government's regulatory proposals regarding consumer Internet of Things(IoT)security)，提出强制实施三项基线安全举措并提出认证建议[4]。

DCMS认为迫切需要对行业自愿准则以及ETSI TS 103 645确定的良好做法进行强制。同时，为避免抑制创新以及给制造商造成沉重负担，DCMS提出强制实施《准则》前三项，以保障最低限度的安全。

DCMS建议零售商仅销售带有安全标签的消费类物联网产品，同时提出了两个替代方案。方案B是要求零售商仅销售符合《准则》前三项的消费物联网产品，而制造商自行评估其消费物联网产品是否符合《准则》和ETSI TS 103 645前三项。方案C是要求零售商仅销售带有标签的消费类物联网产品，标签可以是正面的也可以是负面的，制造商自行评估并确保标签在适当的包装上。标签最初将在自愿基础上运行，直到议会允许该政策生效。

DCMS于2020年2月3日公布咨询反馈和政府回应[5]。DCMS认为其提出的三项安全基线要求是正确选择，而标签建议受到较大质疑。因此，DCMS目前不会继续启动自愿性标签计划，并将根据反馈意见进一步制定政策。此外，DCMS还公布下一步拟推行的措施，包括：一是应通过设计将安全要求内置到产品中；二是根据《准则》和ETSI TS 103 645前3条进一步提出强制性要求；三是每两年审查和修订一次《准则》。

3 日本政府和国会协同提升物联网安全能力

3.1 政府通过各项政策多措并举改善物联网安全

2015年9月4日，日本政府发布了新版《网络安全战略》(以下简称《战略》)[6]。《战略》指出，鉴于2020年东京奥运会期间将大量使用物联网系统的前景，物联网带来的网络攻击和信息泄露会造成严重的社会和经济影响，对日本网络安全带来挑战。因此，在普及物联网服务时，确保“安全品质”是前提条件。

《战略》核心举措包括：一是将由网络安全战略总部负责那些可能对社会经济活动产生重大影响的物联网业务；二是日本将推广“设计即安全”的理念，优先支持在规划和设计的初始阶段即践行安全的新业务类型；三是增强物联网系统各个组件供应链的安全，是提升物联网安全的重要方面；四是日本将快速检查物联网系统和设备的漏洞，并发布和安装安全补丁或进行软件更新；五是通过技术开发及其他措施应对不可靠和低端设备产生的安全风险；六是通过提升高级管理人员的安全意识、培养专门的网络安全人员等举措强化物联网设备供应商和服务提供商的安全能力；七是通过促进网络安全相关业务、发展公平的经营环境、改善日本企业的全球运营环境来改善网络安全经营环境。

《网络安全战略》颁布后，日本总务省先后出台两项加强物联网安全规范性文件。2017年10月，日本总务省出台《物联网安全综合对策》，部署了为重大设备分配管理编号、提高物联网系统网络安全性、确保数据准确真实安全、建立安全检查机制、提供物联网安全咨询服务等物联网安全对策。2019年4月，日本总务省公布《关于物联网设备的安全标准和技术标准合格认证》指南，明确了终端设备的安全标准和认证并征求公众意见。

3.2 国会修订基本法以测试物联网设备密码安全性

由于担心黑客可能会滥用物联网设备来发动针对奥运会IT基础设施的攻击，日本政府推动国内物联网设备安全测试。2018年3月6日，日本政府在内阁会议上通过了《情报通信研究机构(NICT)法》修正案，修正了一般法律条款“禁止未经授权的计算机访问”。由于设定简单密码的物联网设备容易成为劫持的对象，修正案拟允许隶属于总务省的NICT对设备密码设定是否存在疏漏展开调查。2019年1月25日，日本国会批准了该项法律修正案，允许政府工作人员“入侵”企业和个人的物联网设备，作为不安全物联网设备调查的一部分。

自2019年2月20日，NICT开始测试属于公民和企业的物联网设备的密码安全性，计划于2022年结束测试。NICT物联网安全测试行动被命名为“面向物联网清洁环境的国家行动”(National Operation Towards IoT Clean Environment，简称NOTICE)，在日本总务省授权和监督下开展，具体由NICT员工实施。测试行动的开展方式是与该国的主要互联网服务提供商(ISP)合作，在不通知设备所有者的情况下，从路由器和网络摄像头开始，使用默认的和易于猜测的密码尝试登录全国各地2亿件物联网设备。测试行动的计划目标是编制一个使用默认和易于猜测的密码的不安全设备列表，并将其交给当局和相关的互联网服务提供商(ISP)，以便ISP提醒设备所有者其设备易受网络攻击并采取措施，根除安全性较弱的物联网设备。

4 主要国家物联网安全法律政策特点分析及启示

4.1 加强物联网安全管理

为有效应对物联网安全风险，解决网络安全和隐私风险问题，各国开始加强物联网安全管理，自2018年以来集中出台物联网安全法律和政策，在公权力主导下自上而下实施物联网安全相关强制性要求，推动提升物联网安全能力。宏观上，美立法和行政机关提出物联网安全一般要求、技术规范等，致力于发现物联网安全风险和行业最佳实践，为物联网各方参与者提供安全指引。具体举措上，日、英均采取了审查、测试、认证等具体的安全举措，推动各项要求落到实处。

4.2 聚焦物联网设备安全

当前，物联网设备逐渐成为DDoS攻击的主力，物联网设备安全事件占比高，是最主要的安全风险源头。究其原因，主要有：一是因数量多、分布广，物联网设备构成绝佳攻击场景；二是因生命周期长、人机交互低，物联网设备安全风险很难发现清除；三是因缺乏杀毒软件等防护措施，物联网设备更易被攻陷。为此，美、英、日纷纷从设备入手提升安全能力，如美国加州法律专门规定提高设备安全的要求，英国提出对设备进行认证并加贴标签，日本专项测试物联网设备密码安全性。

4.3 优先关注消费型物联网安全

与工业等生产型物联网、智慧城市等公共物联网相比，消费型物联网更加受限于低成本、低功耗、计算资源有限等现实因素的影响，由此配备的安全能力更弱，更易被攻击，且一旦被非法控制，用户隐私、人身安全将受到严重威胁，美、英、日等国均特别关注消费型物联网的安全，多措并举加强消费型物联网安全，确保消费型联网设备在其生命周期内的安全性。

结合美英日物联网安全法律政策并考虑到我国物联网安全和管理现状，我国需增强物联网安全管理政策的可实施性。国外物联网安全管理法律政策普遍具备较强的可操作性，体现在适用对象明确、立法宗旨清晰、安全风险明了、应对措施专业、解决方案完备等方面。反观我国，截至目前，我国尚未出台专门针对物联网安全管理的政策要求，仅在国务院、工业和信息化部出台的物联网整体发展规划中以较小篇幅提及安全要求，较难推动贯彻落实。建议重视物联网安全监管，增强政策的可操作性，以设备安全为抓手，重点关注消费型物联网的网络安全和隐私风险。