主要國家物聯網安全法律政策研究

張夕夜 王亞楠

中國信息通信研究院知識產權中心 北京 100191

引言

物聯網是新一代信息通信技術的高度集成和綜合運用，對新一輪產業變革和經濟社會綠色、智能、可持續發展具有重要意義。當前，物聯網已進入萬物互聯發展新階段，從可穿戴設備、智能網聯汽車到電梯監控、水電控制系統，物聯網設備無處不在，物聯網產業蓬勃發展。全球移動通信系統協會(GSMA)發布的《2020年移動經濟》(The Mobile Economy 2020)報告顯示，到2025年，全球物聯網總連接數將達到246億。但近年來，物聯網安全事件頻發，經濟秩序和用戶安全受到侵害。歐洲網絡與信息安全局(ENISA)2017年11月發布的《關鍵信息基礎設施領域的物聯網安全基線指南》(Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures)，回顧分析了自2009年至2017年3月發生的波多黎各大量智能電表被黑客攻擊等17起主要物聯網安全事件。北京神州綠盟信息安全科技股份有限公司自2017年起連續4年發布物聯網安全年報，對當年出現的重大物聯網安全事件進行回顧分析。以上相關事件表明，物聯網安全造成的不利影響愈發嚴重：從數量看，全球具有代表性的物聯網安全事件逐年增加；從產品看，攝像頭和路由器是出現異常最頻繁的設備；從行業看，覆蓋范圍從電力、電信、工業等基礎設施到支付、家居、零售等消費行業；從影響看，不僅造成巨大經濟損失，且威脅生命財產安全、侵犯兒童隱私、泄漏個人信息，生產生活秩序受到嚴重破壞。為此，美國、英國、日本推出多項物聯網安全法律、政策，旨在加強物聯網安全管理，保障經濟安全，保護用戶隱私。

1 美國探索以專門立法形式加強物聯網安全

美國在州和聯邦兩個層面探索以專門立法的形式管控物聯網帶來的網絡安全和隱私風險。

1.1 加州通過立法，提升物聯網隱私安全和設備安全

2018年9月28日，美國加利福尼亞州州長杰里?布朗(Jerry Brown)簽署一個月前由州議會批準的《互聯設備安全法案》(Information privacy: connected devices,SB 327)，于2020年1月1日起生效實施[1]。該法案作為第1.81.26章“互聯設備安全”，增列至加州《民法典》有關信息隱私權部分?！盎ヂ撛O備”是指能夠直接或間接連接到因特網并且被分配了因特網協議地址或藍牙地址的任何設備或其他物體。

該法是世界上首部針對物聯網設備安全的法律，其核心內容是要求物聯網設備制造商為設備配置合理的安全性能。法案規定，自己制造或外包給他人以自己名義制造互聯設備并在加州銷售的“制造商”承擔隱私安全和設備安全的義務。

1)隱私安全方面，要求企業采取一切合理措施管理和控制客戶記錄中關于個人信息的內容，當企業不再需要保留記錄時，應通過粉碎、刪除或以其他方式修改這些記錄中的個人信息，使其變得難以辨認或難以破譯。現有法律還要求擁有、許可或維護加州居民個人信息的企業實施和維護與信息屬性相適應的合理安全程序和實踐，以保護個人信息免遭未經授權的訪問、破壞、使用、修改或披露。法案授權因隱私受到侵犯而遭受損害的用戶可提起民事訴訟主張損害賠償救濟。

2)設備安全方面，互聯設備的制造商應為設備配備合理的安全性能或以下所有性能：①適合于設備的性質和功能；②適合于設備收集、存儲或傳輸信息；③旨在保護設備及其所包含的任何信息免受未經消費者授權的訪問、銷毀、使用、修改或不當披露。在滿足以上三個要求下，如果互聯設備配備了局域網以外的認證手段，只要達到下述任一要求，應當被視為滿足本法案的合理安全性能要求：①預編程密碼對于每個制造的設備都是唯一的；②該設備包含一項安全性能，該性能要求用戶在首次授予設備訪問權限之前生成新的身份驗證方法。

該法案在美國引起較大爭議，反對者認為其存在很多模糊性條款，且對不同設備作出相同要求，不足以滿足復雜設備的安全需求而又增加了簡單設備的成本。但是，該法案是加強物聯網安全的一個開端，且抓住了物聯網設備比較突出的安全性問題，其意義和價值值得肯定。

1.2 聯邦通過立法，確保政府物聯網設備安全

2020年9月14日，美國眾議院通過了《物聯網網絡安全改進法案2020》(Internet of Things Cybersecurity Improvement Act of 2020，H.R.1668)；11月17日，美國參議院無修改地通過該法案，從而推動了自2017年以來一直在國會停滯不前的相關立法。因兩院一致通過該法案，該法案被提交總統。2020年12月4日，總統簽署了該法案，從而完成了立法的最后一個流程，首部全美層面的物聯網安全法律誕生[2]。

法案要求美國國家標準與技術委員會(NIST)負責制定標準、出具報告并出版指南。具體而言，一是以強制性要求確保物聯網安全。NIST應當在法案頒布的90天內制定聯邦政府物聯網設備最低安全標準，以管控信息安全、網絡安全風險。管理和預算辦公室(OMB)在標準制定后的180天內審查政府機構物聯網設備是否與上述最低安全標準保持一致。二是以漏洞協調披露的方式改善物聯網安全。法案尤其重視物聯網漏洞管理，以較大篇幅賦予了NIST漏洞紕漏指南制定及實施的職責，即信息系統和物聯網設備的漏洞信息及補救信息應當具備完善的報告、協調、發布、接收程序。對于向政府機關提供信息系統和物聯網設備的各級供應商，法案特別指出了其接受和傳播安全漏洞信息的義務。三是從采購環節管控物聯網安全。法案設置了采購條款，若物聯網設備的使用將妨礙聯邦政府機構遵守前述的設備安全要求和漏洞紕漏指南，相關設備則禁止被機構采購，除非存在科研目的等豁免情形。聯邦采購條款應作出與此一致的修訂。總審計長負責每兩年向國會提交采購條款的執行報告。

2 英國政府機構逐步加大物聯網安全管控力度

2.1 DCMS和NCSC聯合發布自愿行為準則

2018年10月14日，英國數字、文化、傳媒和體育部(DCMS)與英國國家網絡安全中心(NCSC)聯合發布了《消費類物聯網安全實踐準則》(Code of Practice for consumer IoT security)(以下簡稱《準則》)[3]?！稖蕜t》為物聯網設備制造商發布了13個新的自愿行為準則，旨在保護消費類物聯網，如家用集線器、智能家居設備、安全攝像頭、可穿戴設備和聯網玩具等設備免受外部攻擊和數據泄露。

13個安全行為準則分別是：1)所有物聯網設備密碼均應唯一，并且不可重置為任何通用出廠默認值；2)物聯網設備供應商和服務提供商應提供報告漏洞的公共聯絡點，對于已披露的漏洞應及時采取措施；3)軟件組件應當是可更新的、更新應當是及時和易于實現的；4)安全存儲憑證和敏感數據、硬編碼憑證不應被允許；5)數據在傳輸過程中應進行加密，所有密鑰均應進行安全管理，保證通信安全；6)關閉未使用的端口、將代碼最小化為服務所必需，盡量減少暴露的攻擊面；7)軟件應使用安全啟動機制進行驗證，確保軟件完整性；8)處理個人數據應遵守《通用數據保護條例》(GDPR)和《2018年數據保護法》，確保個人數據受到保護；9)網絡中斷時物聯網服務應盡可能在本地運行，電源中斷時物聯網服務應以合理的狀態和有序的方式重新連接；10)應對從物聯網設備和服務收集的遙測數據進行安全異常的監視；11)應使用戶能夠輕松刪除個人數據，并提供有關如何刪除的明確說明；12)安裝和維護設備應采用最少的步驟，提供安全設置設備的指南；13)物聯網設備和服務傳輸數據的有效性應得到驗證。

準則發布后，僅惠普公司和Centrica Hive等部分物聯網制造商承諾支持該行為準則，其他制造商在很大程度上忽視了這套自愿行為準則。英國政府意識到需要加強對設備制造商的管理，除依靠自律外，還需實施政府強監管。

2.2 DCMS發布擬強制執行的行為準則和認證方案

在咨詢國家網絡安全中心(NCSC)以及公共和私營部門專家基礎上，2019年5月1日，DCMS發布《消費類物聯網安全監管規范的實施咨詢》(Consultation on the Government's regulatory proposals regarding consumer Internet of Things(IoT)security)，提出強制實施三項基線安全舉措并提出認證建議[4]。

DCMS認為迫切需要對行業自愿準則以及ETSI TS 103 645確定的良好做法進行強制。同時，為避免抑制創新以及給制造商造成沉重負擔，DCMS提出強制實施《準則》前三項，以保障最低限度的安全。

DCMS建議零售商僅銷售帶有安全標簽的消費類物聯網產品，同時提出了兩個替代方案。方案B是要求零售商僅銷售符合《準則》前三項的消費物聯網產品，而制造商自行評估其消費物聯網產品是否符合《準則》和ETSI TS 103 645前三項。方案C是要求零售商僅銷售帶有標簽的消費類物聯網產品，標簽可以是正面的也可以是負面的，制造商自行評估并確保標簽在適當的包裝上。標簽最初將在自愿基礎上運行，直到議會允許該政策生效。

DCMS于2020年2月3日公布咨詢反饋和政府回應[5]。DCMS認為其提出的三項安全基線要求是正確選擇，而標簽建議受到較大質疑。因此，DCMS目前不會繼續啟動自愿性標簽計劃，并將根據反饋意見進一步制定政策。此外，DCMS還公布下一步擬推行的措施，包括：一是應通過設計將安全要求內置到產品中；二是根據《準則》和ETSI TS 103 645前3條進一步提出強制性要求；三是每兩年審查和修訂一次《準則》。

3 日本政府和國會協同提升物聯網安全能力

3.1 政府通過各項政策多措并舉改善物聯網安全

2015年9月4日，日本政府發布了新版《網絡安全戰略》(以下簡稱《戰略》)[6]。《戰略》指出，鑒于2020年東京奧運會期間將大量使用物聯網系統的前景，物聯網帶來的網絡攻擊和信息泄露會造成嚴重的社會和經濟影響，對日本網絡安全帶來挑戰。因此，在普及物聯網服務時，確保“安全品質”是前提條件。

《戰略》核心舉措包括：一是將由網絡安全戰略總部負責那些可能對社會經濟活動產生重大影響的物聯網業務；二是日本將推廣“設計即安全”的理念，優先支持在規劃和設計的初始階段即踐行安全的新業務類型；三是增強物聯網系統各個組件供應鏈的安全，是提升物聯網安全的重要方面；四是日本將快速檢查物聯網系統和設備的漏洞，并發布和安裝安全補丁或進行軟件更新；五是通過技術開發及其他措施應對不可靠和低端設備產生的安全風險；六是通過提升高級管理人員的安全意識、培養專門的網絡安全人員等舉措強化物聯網設備供應商和服務提供商的安全能力；七是通過促進網絡安全相關業務、發展公平的經營環境、改善日本企業的全球運營環境來改善網絡安全經營環境。

《網絡安全戰略》頒布后，日本總務省先后出臺兩項加強物聯網安全規范性文件。2017年10月，日本總務省出臺《物聯網安全綜合對策》，部署了為重大設備分配管理編號、提高物聯網系統網絡安全性、確保數據準確真實安全、建立安全檢查機制、提供物聯網安全咨詢服務等物聯網安全對策。2019年4月，日本總務省公布《關于物聯網設備的安全標準和技術標準合格認證》指南，明確了終端設備的安全標準和認證并征求公眾意見。

3.2 國會修訂基本法以測試物聯網設備密碼安全性

由于擔心黑客可能會濫用物聯網設備來發動針對奧運會IT基礎設施的攻擊，日本政府推動國內物聯網設備安全測試。2018年3月6日，日本政府在內閣會議上通過了《情報通信研究機構(NICT)法》修正案，修正了一般法律條款“禁止未經授權的計算機訪問”。由于設定簡單密碼的物聯網設備容易成為劫持的對象，修正案擬允許隸屬于總務省的NICT對設備密碼設定是否存在疏漏展開調查。2019年1月25日，日本國會批準了該項法律修正案，允許政府工作人員“入侵”企業和個人的物聯網設備，作為不安全物聯網設備調查的一部分。

自2019年2月20日，NICT開始測試屬于公民和企業的物聯網設備的密碼安全性，計劃于2022年結束測試。NICT物聯網安全測試行動被命名為“面向物聯網清潔環境的國家行動”(National Operation Towards IoT Clean Environment，簡稱NOTICE)，在日本總務省授權和監督下開展，具體由NICT員工實施。測試行動的開展方式是與該國的主要互聯網服務提供商(ISP)合作，在不通知設備所有者的情況下，從路由器和網絡攝像頭開始，使用默認的和易于猜測的密碼嘗試登錄全國各地2億件物聯網設備。測試行動的計劃目標是編制一個使用默認和易于猜測的密碼的不安全設備列表，并將其交給當局和相關的互聯網服務提供商(ISP)，以便ISP提醒設備所有者其設備易受網絡攻擊并采取措施，根除安全性較弱的物聯網設備。

4 主要國家物聯網安全法律政策特點分析及啟示

4.1 加強物聯網安全管理

為有效應對物聯網安全風險，解決網絡安全和隱私風險問題，各國開始加強物聯網安全管理，自2018年以來集中出臺物聯網安全法律和政策，在公權力主導下自上而下實施物聯網安全相關強制性要求，推動提升物聯網安全能力。宏觀上，美立法和行政機關提出物聯網安全一般要求、技術規范等，致力于發現物聯網安全風險和行業最佳實踐，為物聯網各方參與者提供安全指引。具體舉措上，日、英均采取了審查、測試、認證等具體的安全舉措，推動各項要求落到實處。

4.2 聚焦物聯網設備安全

當前，物聯網設備逐漸成為DDoS攻擊的主力，物聯網設備安全事件占比高，是最主要的安全風險源頭。究其原因，主要有：一是因數量多、分布廣，物聯網設備構成絕佳攻擊場景；二是因生命周期長、人機交互低，物聯網設備安全風險很難發現清除；三是因缺乏殺毒軟件等防護措施，物聯網設備更易被攻陷。為此，美、英、日紛紛從設備入手提升安全能力，如美國加州法律專門規定提高設備安全的要求，英國提出對設備進行認證并加貼標簽，日本專項測試物聯網設備密碼安全性。

4.3 優先關注消費型物聯網安全

與工業等生產型物聯網、智慧城市等公共物聯網相比，消費型物聯網更加受限于低成本、低功耗、計算資源有限等現實因素的影響，由此配備的安全能力更弱，更易被攻擊，且一旦被非法控制，用戶隱私、人身安全將受到嚴重威脅，美、英、日等國均特別關注消費型物聯網的安全，多措并舉加強消費型物聯網安全，確保消費型聯網設備在其生命周期內的安全性。

結合美英日物聯網安全法律政策并考慮到我國物聯網安全和管理現狀，我國需增強物聯網安全管理政策的可實施性。國外物聯網安全管理法律政策普遍具備較強的可操作性，體現在適用對象明確、立法宗旨清晰、安全風險明了、應對措施專業、解決方案完備等方面。反觀我國，截至目前，我國尚未出臺專門針對物聯網安全管理的政策要求，僅在國務院、工業和信息化部出臺的物聯網整體發展規劃中以較小篇幅提及安全要求，較難推動貫徹落實。建議重視物聯網安全監管，增強政策的可操作性，以設備安全為抓手，重點關注消費型物聯網的網絡安全和隱私風險。