淺析歐盟對無人機、掃地機器人產品網絡安全的基本要求

林奕翔 李炯彬 付彥志 張斌 韓宇

引言

近年來，無人機、掃地機器人等聯網產品以及其他涉及用戶位置信息和個人信息的產品受到網絡攻擊的情況越來越嚴重。例如，聯網產品具備的監控功能使用麥克風和揚聲器，可以實時監控個人；無人機、掃地機器人等聯網設備長期連接到互聯網；對于廣域連接的無人機、掃地機器人可借助無線電設備進行遠程操控，這些應用都容易受到網絡攻擊。需要注意的是，在歐盟法律體系下，具有無線電功能的設備屬于無線電設備指令（RED）[1]范圍，而RED需涵蓋該設備的全面技術要求。因此，產品必須符合第3.3條適用的條款以證明其具有網絡安全性，而不僅僅是符合無線電性能要求。這是委托法規(EU) 2022/30[2]技術要求出臺的主要原因。

一、委托法規（EU）2022/30簡述

（一）產品范圍及實施時間

委托法規（EU）2022/30適用于任何連接到互聯網的設備，無論是直接連接還是間接連接。包括：

1.可穿戴技術或帶有無線電功能的便攜式設備，包括可由人員佩戴或攜帶的無線電設備或放在其衣服中的設備。

2.用于轉移貨幣或虛擬貨幣的設備。

3.帶有無線電功能的兒童玩具或其他用于兒童保育的設備，例如兒童監護器。即使此類設備沒有互聯網連接，也適用于該法規。

綜合上述規定，聯網無人機、掃地機器人產品屬于法規適用的產品類型。2023年7月20日，歐盟委員會發布更新信息[3]，將法規延期到2025年8月1日起強制執行。

（二）網絡安全評價要求

1.RED第3.3條評價要求主要包括以下三方面內容：

第3.3（d）條無線電設備不會損害網絡或其功能，也不會濫用網絡資源從而導致服務不可接受的降級。

該條款適用于直接或間接地連接到互聯網的設備。

無線設備應：

a.包括監控和控制網絡流量的元素，包括傳輸出站數據；

b.設計以減輕持續的拒絕服務攻擊的影響；

c.實施適當的身份驗證和訪問控制機制；

d.在風險基礎上提供最新的軟件和硬件，這些軟件和硬件在上市時不包含公開已知的可利用漏洞，涉及對網絡或其功能的損害或濫用網絡資源；

e.如果產品漏洞被利用可能導致無線電設備損害網絡或其功能或濫用網絡資源，應提供自動化和安全的軟件或固件更新機制，允許在必要時減輕漏洞影響；

f.保護暴露的攻擊面并令成功的攻擊影響最小化。

2.第3.3（e）條無線電設備應包含保障措施，以確保用戶和訂戶的個人數據和隱私得到保護。

該條款適用于能夠處理個人數據、流量數據和位置數據的設備。此外，還包括專門用于兒童保育的設備、可以佩戴在頭部或身體的任何部位（包括服裝）以及其他連接到互聯網的設備。

無線電設備應：

a.保護存儲、傳輸或以其他方式處理的個人數據，防止意外或未經授權的處理，包括存儲、訪問、披露、銷毀、丟失或更改或缺乏可用性；

b.實施適當的身份驗證和訪問控制機制；

c.在風險基礎上提供最新的軟件和硬件，這些軟件和硬件在上市時不包含公開已知的可利用漏洞，涉及數據保護和隱私；

d.如果產品漏洞被利用可能導致未經授權的處理，包括存儲、訪問、披露、銷毀、丟失、更改或缺乏可用性的個人數據，應提供自動化和安全的軟件或固件更新機制，允許在必要時減輕漏洞影響；

e.包括通知用戶可能影響數據保護和隱私的更改的功能；

f.記錄可能對數據保護和隱私產生影響的內部活動；

g.允許用戶輕松刪除其存儲的個人數據，使得可以處理或更換設備而不會有暴露個人數據的風險；

h.保護暴露的攻擊面并令成功的攻擊影響最小化。

3.第3.3（f）條無線電設備支持某些功能，以防止欺詐。

該條款適用于直接或間接地連接到互聯網的設備，允許用戶轉移貨幣、貨幣價值或虛擬貨幣。

無線電設備應：

a.保護存儲、傳輸或以其他方式處理的財務或貨幣數據，防止意外或未經授權的處理，包括存儲、訪問、披露、銷毀、丟失或更改或缺乏可用性；

b.實施適當的身份驗證和訪問控制機制；

c.在風險基礎上提供最新的軟件和硬件，這些軟件和硬件在上市時不包含公開已知的可利用漏洞，涉及財務或貨幣數據；

d.如果產品漏洞被利用可能導致未經授權的處理，包括存儲、訪問、披露、銷毀、丟失或更改或缺乏可用性的財務或貨幣數據，應提供自動化和安全的軟件或固件更新機制，允許在必要時減輕漏洞影響；

e.記錄可能對財務或貨幣數據產生影響的內部活動；

f.保護暴露的攻擊面并令成功的攻擊影響最小化。

二、相關技術標準分析

歐盟RED指令下尚無網絡安全的協調標準，當前階段根據ETSI TS 103 929技術要求，主要使用的標準有ETSI EN 303 645[4]及IEC 62443-4-2[5]。IEC 62443-4-2主要面向工業用產品設備，與無人機、掃地機器人產品的關聯度不大，本文主要針對ETSI EN 303 645進行分析。

（一）ETSI EN 303 645標準

ETSI EN 303 645是目前歐盟標準中較接近以上網絡安全要求的標準，可作為未來網絡安全要求的參考。該標準技術要求主要包括消費物聯網產品的網絡安全要求和消費物聯網產品的數據保護要求。消費物聯網產品的數據保護要求主要有以下內容：

制造商應為消費者提供有關每個設備和服務處理哪些個人數據、如何使用、由誰使用以及出于何種目的的清晰透明的信息。這也適用于可能涉及的第三方，包括廣告商。

在基于消費者同意處理個人數據的情況下，應以有效的方式獲得同意。以“有效的方式”獲得同意，通常涉及向消費者提供明確、明顯的選擇，即，是否可以將個人數據用于特定目的。

已同意處理其個人數據的消費者應隨時具有撤回同意的能力。消費者希望通過適當配置物聯網設備和服務功能來保護其隱私。

如果從消費者物聯網設備和服務中收集遙測數據，則應將個人數據的處理保持在所需功能的最低限度內。

如果從消費者聯網設備和服務中收集遙測數據，則應向消費者提供有關收集哪些遙測數據、如何使用、由誰使用以及出于何種目的的信息。

綜合上述規定，聯網無人機、掃地機器人產品應符合ETSI EN 303 645中的消費物聯網產品的網絡安全要求和消費物聯網產品的數據保護要求。

（二）ETSI EN 303 645與我國現在標準的比較

ETSI EN 303 645是當前全球范圍內物聯網產品的基礎標準，側重處理當前普遍存在的網絡安全缺陷和消費者相關隱患保護。ETSI EN 303 645基于物聯網產品網絡安全，條款包含身份鑒別機制、隱私策略信息、軟件升級更新服務、加密存儲與傳輸、個人信息刪除及撤回處理、暴露接口安全等方面，在隱患保護方面與我國現有標準GB/T 35273-2020 《信息安全技術 個人信息安全規范》、GB/T 34975-2017 《信息安全技術 移動智能終端應用軟件安全技術要求和測試評價方法》中條款具有部分共通點。在設備網絡安全漏洞方面與我國標準GB/T 36951-2018 《信息安全技術 物聯網感知終端應用安全技術要求》、GB/T 37024-2018 《信息安全技術 物聯網感知層網關安全技術要求》、GB/T 37093-2018《信息安全技術 物聯網感知層接入通信網的安全要求》等存在部分共通點。

三、歐盟網絡安全基本要求對我國企業的主要影響分析

（一）我國缺乏強制性標準，企業對網絡安全重視程度不夠，產品存在網絡安全隱患

我國相關標準GB/T 35273-2020 《信息安全技術 個人信息安全規范》、GB/T 34975-2017 《信息安全技術 移動智能終端應用軟件安全技術要求和測試評價方法》、GB/T 36951-2018 《信息安全技術 物聯網感知終端應用安全技術要求》、GB/T 37024-2018 《信息安全技術 物聯網感知層網關安全技術要求》、GB/T 37093-2018 《信息安全技術物聯網感知層接入通信網的安全要求》均為推薦性標準，企業重視程度不夠，產品可能會存在網絡安全隱患，影響聯網無人機、掃地機器人等產品進入歐盟市場。

（二）技術標準要求不明確，缺乏過渡期

目前供參考的標準ETSI EN 303 645、IEC 62443-4-2不是最終的歐盟協調標準，協調標準未發布的情況下，企業難以判斷各產品類型目前的符合情況，以及滿足合規的技術風險，企業難以依據標準要求對在售和研發中的聯網無人機、掃地機器人等產品進行評估。

協調標準發布日期推遲到2024年6月，而產品網絡安全要達到法規要求一般需要經過評估、改進、驗證和認證等環節，歐盟標準實施時間表令制造商很難有充分時間準備檢測認證工作以滿足法規要求。

（三）檢測認證資源緊缺

法規要求涉及的產品類型非常廣泛，但是，目前僅有6家公告機構（Notified Body）具備RED 3.3 d～f條款的發證能力，具備檢測能力的實驗室也相對有限，制造商在法規實施過程中面臨的資源問題將極為突出。

四、建議

（一）關注歐洲適用標準的制定情況

根據WTO/TBT協定第5.9款“各成員應在有關合格評定程序要求的公布和生效之間留出合理時間間隔，使出口成員、特別是發展中國家成員的生產者有時間使其產品和生產方法適應進口成員的要求”，鑒于網絡安全要求的技術標準制定進度落后于計劃，發布時間將極為接近法規要求生效日期，建議通過國家渠道促使歐盟在技術標準發布后提供12個月的過渡期。

（二）應出臺相關認證實施規則

應整合我國消費物聯網產品（如聯網無人機、掃地機器人等）網絡安全相關標準，出臺與歐盟無線電設備指令（RED）第3.3條網絡安全基本、ETSI EN 303 645相類似標準，并制定相應的認證實施規則。

（三）推動國內實驗室開展相關檢測能力建設

通過總局科研專項計劃資助等方式推動國內檢測機構開展聯網無人機、掃地機器人等產品網絡安全檢測能力建設，以協助制造商完成網絡安全檢測認證工作。