美國物聯網安全立法動態及對我國的啟示

□ 文 張夕夜

0 引言

物聯網是推動數字經濟和實體經濟融合發展的新型基礎設施。近年來，在政策、市場的雙重驅動下，物聯網在多個領域得到廣泛應用。與此同時，物聯網造成的網絡安全事件和隱私風險，引起美國和其他國家高度關注。2020年12月4日，美國總統簽署《物聯網網絡安全改進法案2020》（簡稱《H.R.1668法案》），從而完成了立法的最后一個流程，首部全美層面的物聯網安全法律誕生。作為2020年物聯網安全領域里程碑式成就，該法案的主要目的是確保聯邦政府設備的安全性，并通過政府采購間接提升消費者設備市場的安全能力。《H.R.1668法案》的出臺顯示了美國政府推動物聯網安全優先發展的勢頭，且對整個物聯網行業來說也是一個嶄新的開端。

1 物聯網安全形勢和監管態勢

1.1 安全形勢

Kaspersky于2020年2月發布的《物聯網優勢和挑戰》報告指出，目前61%的商業組織在其業務推廣過程中應用了物聯網平臺，IT和電信行業的物聯網平臺使用率更是達到71%。據Gartner預測，到2025年，全球將有超過640億個物聯網設備。物聯網高速發展和快速應用的同時，安全風險持續增加，成為物聯網應用的首要關注問題。歐洲網絡與信息安全局（European Network and Information Security Agency，ENISA）于2017年11月發布的《關鍵信息基礎設施領域的物聯網安全基線指南》，回顧分析了過去8年間發生的17起主要物聯網安全事件，表明與物聯網直接相關的攻擊數量在過去幾年中大大增加。其中，2016年10月發生在美國的Mirai僵尸網絡攻擊成為物聯網安全的標志性事件。

物聯網安全事件呈現以下特點：從數量看，全球具有代表性的物聯網安全事件逐年增加；從產品看，攝像頭和路由器是出現異常最頻繁的設備；從行業看，覆蓋范圍從電力、電信、工業等基礎設施到支付、家居、零售等消費行業；從影響看，威脅生命財產安全、侵犯兒童隱私、泄漏個人信息，生產生活秩序受到嚴重破壞。

1.2 監管態勢

近年來，英國、日本也紛紛推出多項物聯網安全法律、政策，旨在加強物聯網安全管理，保障經濟安全，保護用戶隱私。

2018年10月14日，英國數字、文化、傳媒和體育部（Ministry of Digital, Culture, Media and Sports，DCMS）與英國國家網絡安全中心（National Cyber Security Centre，NCSC）聯合發布了《消費類物聯網安全實踐準則》，提出禁用默認密碼、進行漏洞披露、保持軟件更新等13個自愿行為準則；2019年5月1日，DCMS發布《消費類物聯網安全監管規范的實施咨詢》，推動強制實施3條基線安全措施，并要求零售商僅銷售具有安全標簽的消費者物聯網產品。

2019年1月25日，日本國會通過《情報通信研究機構（NICT）法》修正案，修正了一般法律條款《禁止未經授權的計算機訪問》，并自2019年2月20日，由隸屬于總務省的情報通信研究機構，使用默認和簡易密碼測試2億件屬于公民和企業物聯網設備的密碼安全性；2019年10月30日，由日本工業界和學術界組成的關鍵生命設備安全委員會宣布物聯網設備的安全認證系統已啟動，從密碼設置等常見要求開始，認證了包括ATM機、付款終端、熱水遙控器等設備。

2 美國物聯網安全新法案立法歷程、主要內容和特點分析

2.1 立法歷程

2016年，美國發生了轟動世界的Mirai僵尸網絡事件，由此引發了人們對物聯網設備安全性的關注。同時，也促使美國立法者逐漸意識到，物聯網設備需要采取適當保護安全性的措施。因此，在2017年8月1日，美國參議院提出了《物聯網網絡安全改進法案2017》（簡稱《S.1691法案》），旨在要求聯邦政府內部的物聯網設備遵循行業范圍內的安全實踐，包括不得出現國家標準技術研究院（NIST）漏洞庫中已知的安全漏洞，且必須支持更新等。《S.1691法案》的目的是確保美國政府“以身作則”，防止因物聯網領域缺乏安全措施使得聯邦系統遭遇進一步入侵。但《S.1691法案》提出后未進入下一步的立法進程。2019年3月11日，美國參議院再次提出《物聯網網絡安全改進法案2019》（簡稱《S.734法案》），此后《S.734法案》被修訂后于2019年9月23日提上參議院立法議程。但參議院后續無新的立法動作。

在美國參議院提出《S.734法案》的同一天，眾議院也提出相關法案，即《物聯網網絡安全改進法案2019》（簡稱《H.R.1668法案》）。相較于前兩次提案，《H.R.1668法案》對NIST提出了更多的要求，希望通過設定最低安全標準，從設備采購流程入手提高美國政府機構購買的所有物聯網設備的安全性。提出《H.R.1668法案》后，美國眾議院于2020年9月14日通過該法案，并移交參議院表決。2020年11月17日，美國參議院無修改地通過了《H.R.1668法案》，使該法案提交總統簽署，這是立法進程的關鍵一步，推動了自2017年以來一直在國會停滯不前的相關立法。2020年12月4日，美國總統正式簽署《物聯網網絡安全改進法案》，使其成為法律。

綜上，近年來物聯網安全立法被多次提出、修訂、通過，這充分說明了物聯網安全監管已進入美國最高立法機關的視野。而美國參議院和眾議院均通過最新立法提案，說明兩院在通過統一立法的方式提升物聯網安全方面達成共識。

2.2 主要內容

《H.R.1668法案》的整體思路是通過NIST標準來提高美國聯邦政府機構物聯網設備的安全性，并要求NIST每5年對發布的標準和指南進行審查，必要時對這些標準和指南進行修訂。

2.2.1 明確指出物聯網設備的范圍

根據該法案，物聯網設備是指具有以下特性的設備：一是存在用于與物理世界直接交互的傳感器或驅動器，且擁有網絡接口，但不包括智能手機和筆記本電腦等傳統信息設備等；二是能夠獨立工作，而不僅作為另一個設備的組件（如處理器）運行。

2.2.2 以強制性要求確保物聯網安全

《H.R.1668法案》要求NIST應當在法案頒布之后的90天內，根據相關法案為聯邦政府購買的物聯網設備設定最低安全標準，并通過持續不斷的努力解決安全開發、身份管理、修補漏洞及配置管理等安全問題。管理和預算辦公室（OMB）審查聯邦政府機構物聯網設備是否與上述最低安全標準保持一致。

2.2.3 以漏洞協調披露改善物聯網安全

《H.R.1668法案》尤其重視物聯網漏洞管理，以較大篇幅賦予了NIST漏洞紕漏指南制定及實施的職責，即物聯網設備的漏洞信息及補救信息應當具備完善的報告、協調、發布、接收程序。對于向政府機關提供物聯網設備的各級供應商，法案特別指出了其接收和傳播安全漏洞信息的義務。OMB負責監督漏洞披露的執行情況。

2.2.4 從采購環節管控物聯網安全

《H.R.1668法案》設置了采購條款，若物聯網設備的使用將妨礙聯邦政府機構遵守前述的設備安全要求和漏洞紕漏指南，相關設備則禁止被機構采購，除非存在科研目的等豁免情形。聯邦采購條款應做出與此一致的修訂。美國總審計長負責每兩年向國會提交采購條款的執行報告。

2.3 特點分析

美國通過立法的方式改善聯邦政府物聯網安全的做法，與英國和日本物聯網安全監管舉措相比，既有相似之處，也存在明顯差異。

2.3.1 相同點

（1）物聯網安全監管均具有一定的強制性

從世界范圍看，物聯網自2018年開始普遍進行監管視野。2018年以前，各國物聯網安全監管多以自愿性方式推進，之后主流國家策略發生重大變化，國家對物聯網安全監管力度具有強制性。NIST自2019年開始發布多個參考性文件，而最新法案要求由專業標準組織制定物聯網設備安全指南，聯邦政府購買的任何物聯網設備都必須遵守這些指南；英國從自愿遵守13個安全準則到強制實施前3條，并考慮實施設備認證制度；日本在不通知企業和公民的情況下對物聯網設備安全進行滲透測試。

（2）均將設備安全作為重中之重

物聯網終端是最主要的安全風險源頭，主要表現在以下兩個方面：一是物聯網終端安全事件占比高。2019年上半年，Kaspersky研究人員檢測到針對IoT設備的攻擊共計1.05億起，同比增長6倍之多。二是物聯網設備逐漸成為DDoS攻擊的主力。首先，物聯網設備數量多、分布廣，構成絕佳攻擊場景；其次，物聯網設備生命周期長、人機交互低，很難發現清除；最后，物聯網設備缺乏殺毒軟件等防護措施，更易被攻陷。為此，英國和日本均從設備入手，提升物聯網安全能力，如英國3條強制性要求及物聯網安全標簽制度、日本政府安全滲透測試及社團法人三級安全認證制度均圍繞攝像頭等物聯網設備進行。

2.3.2 不同點

（1）美國以專門立法的形式加強物聯網安全

英國、日本立法或司法機關均不同程度地介入物聯網安全管理，但并未制定新的專門性物聯網安全法律。除在全美層面生效實施《H.R.1668法案》，早在2018年9月28日，美國加利福尼亞州州長杰里·布朗（Jerry Brown）就簽署了《加州物聯網安全法案》，要求物聯網設備制造商為設備配置合理的安全性能。

（2）美國優先解決政府部門物聯網安全問題

按應用場景不同，物聯網可分為工業互聯網、消費物聯網、政府物聯網等。鑒于消費型物聯網終端安全能力較弱，易被攻擊，且一旦被非法控制，用戶隱私、人身安全將受到嚴重威脅，并造成經濟損失，英國、日本均特別關注消費型物聯網的安全，分別采取發布政策、制定標準、推行安全認證等手段加強消費型物聯網安全，確保聯網設備在其生命周期內的安全性。與英國、日本優先關注消費物聯網安全不同，美國物聯網安全致力于提升聯邦政府物聯網安全。

3 美國最新物聯網安全立法動態對我國的啟示

3.1 提高對物聯網安全的重視程度，由全國層面的國家機關出臺專門的物聯網安全法律

《H.R.1668法案》認為，聯邦政府的數字政府建設在一定程度上取決于政府如何應對物聯網安全，并將政府部門的網絡安全職責賦予總統及OBM、DHS等較高權力位階部門，這也是這部立法取得重大進展的主要原因。反觀我國，截至目前，我國尚未出臺專門針對物聯網安全管理的法律和政策，僅在國務院、工業和信息化部出臺的物聯網整體發展規劃中以較小篇幅提及安全要求，較難推動貫徹落實。建議重視物聯網安全監管，由全國人民代表大會、國務院等出臺法律位階較高的專門性立法。

3.2 充分發揮政府采購對物聯網生態的影響，避免普遍強制性要求對產業發展造成不良影響

《H.R.1668法案》側重美國聯邦一級的設備保護，充分利用聯邦政府采購權引導私營部門采用最佳的物聯網安全方法和實踐，并逐漸滲透到消費者設備市場。當前，物聯網產業蓬勃發展，若不加區分地對所有物聯網設定最低安全要求，將抑制“新基建”發展勢頭。我國可借鑒美國這一做法，優先保障政府物聯網安全，并通過政府影響市場，間接提升物聯網安全。

3.3 抓住確保物聯網安全關鍵主體，明確物聯網設備供應商的義務

《H.R.1668法案》明確了物聯網供應商的義務，包括漏洞紕漏和采購審查。物聯網系統和設備供應商是物聯網安全關鍵一環，而我國尚未從義務條款角度規范物聯網供應商行為。下一步，建議對供應商設置相應義務和罰責規定，從采購環節管控物聯網安全。

4 結束語

美國國會自2017年多次提出物聯網安全法案，最終于2020年年底正式通過《H.R.1668法案》。《H.R.1668法案》的通過標志著美國在保障物聯網安全方面邁出關鍵一步。《H.R.1668法案》要求NIST提出聯邦政府物聯網設備最低的安全要求，規定了供應商披露漏洞信息的義務，并設置了OMB審查和監督機制，以此來保障聯邦政府物聯網安全，并通過政府行為提升物聯網整體安全能力。與英國、日本物聯網安全監管舉措相比，美國新法案具有強制性和注重設備安全的共性，也有專門法和優先關注政府部門物聯網安全的特性。美國《H.R.1668法案》啟示我國應由全國層面的國家機關出臺專門的物聯網安全法律，明確物聯網設備供應商的義務，并避免普遍強制性要求對產業造成的不良影響。