□ 文 張夕夜

0 引言

物聯(lián)網(wǎng)是推動(dòng)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)融合發(fā)展的新型基礎(chǔ)設(shè)施。近年來，在政策、市場(chǎng)的雙重驅(qū)動(dòng)下，物聯(lián)網(wǎng)在多個(gè)領(lǐng)域得到廣泛應(yīng)用。與此同時(shí)，物聯(lián)網(wǎng)造成的網(wǎng)絡(luò)安全事件和隱私風(fēng)險(xiǎn)，引起美國和其他國家高度關(guān)注。2020年12月4日，美國總統(tǒng)簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案2020》（簡稱《H.R.1668法案》），從而完成了立法的最后一個(gè)流程，首部全美層面的物聯(lián)網(wǎng)安全法律誕生。作為2020年物聯(lián)網(wǎng)安全領(lǐng)域里程碑式成就，該法案的主要目的是確保聯(lián)邦政府設(shè)備的安全性，并通過政府采購間接提升消費(fèi)者設(shè)備市場(chǎng)的安全能力。《H.R.1668法案》的出臺(tái)顯示了美國政府推動(dòng)物聯(lián)網(wǎng)安全優(yōu)先發(fā)展的勢(shì)頭，且對(duì)整個(gè)物聯(lián)網(wǎng)行業(yè)來說也是一個(gè)嶄新的開端。

1 物聯(lián)網(wǎng)安全形勢(shì)和監(jiān)管態(tài)勢(shì)

1.1 安全形勢(shì)

Kaspersky于2020年2月發(fā)布的《物聯(lián)網(wǎng)優(yōu)勢(shì)和挑戰(zhàn)》報(bào)告指出，目前61%的商業(yè)組織在其業(yè)務(wù)推廣過程中應(yīng)用了物聯(lián)網(wǎng)平臺(tái)，IT和電信行業(yè)的物聯(lián)網(wǎng)平臺(tái)使用率更是達(dá)到71%。據(jù)Gartner預(yù)測(cè)，到2025年，全球?qū)⒂谐^640億個(gè)物聯(lián)網(wǎng)設(shè)備。物聯(lián)網(wǎng)高速發(fā)展和快速應(yīng)用的同時(shí)，安全風(fēng)險(xiǎn)持續(xù)增加，成為物聯(lián)網(wǎng)應(yīng)用的首要關(guān)注問題。歐洲網(wǎng)絡(luò)與信息安全局（European Network and Information Security Agency，ENISA）于2017年11月發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》，回顧分析了過去8年間發(fā)生的17起主要物聯(lián)網(wǎng)安全事件，表明與物聯(lián)網(wǎng)直接相關(guān)的攻擊數(shù)量在過去幾年中大大增加。其中，2016年10月發(fā)生在美國的Mirai僵尸網(wǎng)絡(luò)攻擊成為物聯(lián)網(wǎng)安全的標(biāo)志性事件。

物聯(lián)網(wǎng)安全事件呈現(xiàn)以下特點(diǎn)：從數(shù)量看，全球具有代表性的物聯(lián)網(wǎng)安全事件逐年增加；從產(chǎn)品看，攝像頭和路由器是出現(xiàn)異常最頻繁的設(shè)備；從行業(yè)看，覆蓋范圍從電力、電信、工業(yè)等基礎(chǔ)設(shè)施到支付、家居、零售等消費(fèi)行業(yè)；從影響看，威脅生命財(cái)產(chǎn)安全、侵犯兒童隱私、泄漏個(gè)人信息，生產(chǎn)生活秩序受到嚴(yán)重破壞。

1.2 監(jiān)管態(tài)勢(shì)

近年來，英國、日本也紛紛推出多項(xiàng)物聯(lián)網(wǎng)安全法律、政策，旨在加強(qiáng)物聯(lián)網(wǎng)安全管理，保障經(jīng)濟(jì)安全，保護(hù)用戶隱私。

2018年10月14日，英國數(shù)字、文化、傳媒和體育部（Ministry of Digital, Culture, Media and Sports，DCMS）與英國國家網(wǎng)絡(luò)安全中心（National Cyber Security Centre，NCSC）聯(lián)合發(fā)布了《消費(fèi)類物聯(lián)網(wǎng)安全實(shí)踐準(zhǔn)則》，提出禁用默認(rèn)密碼、進(jìn)行漏洞披露、保持軟件更新等13個(gè)自愿行為準(zhǔn)則；2019年5月1日，DCMS發(fā)布《消費(fèi)類物聯(lián)網(wǎng)安全監(jiān)管規(guī)范的實(shí)施咨詢》，推動(dòng)強(qiáng)制實(shí)施3條基線安全措施，并要求零售商僅銷售具有安全標(biāo)簽的消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品。

2019年1月25日，日本國會(huì)通過《情報(bào)通信研究機(jī)構(gòu)（NICT）法》修正案，修正了一般法律條款《禁止未經(jīng)授權(quán)的計(jì)算機(jī)訪問》，并自2019年2月20日，由隸屬于總務(wù)省的情報(bào)通信研究機(jī)構(gòu)，使用默認(rèn)和簡易密碼測(cè)試2億件屬于公民和企業(yè)物聯(lián)網(wǎng)設(shè)備的密碼安全性；2019年10月30日，由日本工業(yè)界和學(xué)術(shù)界組成的關(guān)鍵生命設(shè)備安全委員會(huì)宣布物聯(lián)網(wǎng)設(shè)備的安全認(rèn)證系統(tǒng)已啟動(dòng)，從密碼設(shè)置等常見要求開始，認(rèn)證了包括ATM機(jī)、付款終端、熱水遙控器等設(shè)備。

2 美國物聯(lián)網(wǎng)安全新法案立法歷程、主要內(nèi)容和特點(diǎn)分析

2.1 立法歷程

2016年，美國發(fā)生了轟動(dòng)世界的Mirai僵尸網(wǎng)絡(luò)事件，由此引發(fā)了人們對(duì)物聯(lián)網(wǎng)設(shè)備安全性的關(guān)注。同時(shí)，也促使美國立法者逐漸意識(shí)到，物聯(lián)網(wǎng)設(shè)備需要采取適當(dāng)保護(hù)安全性的措施。因此，在2017年8月1日，美國參議院提出了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案2017》（簡稱《S.1691法案》），旨在要求聯(lián)邦政府內(nèi)部的物聯(lián)網(wǎng)設(shè)備遵循行業(yè)范圍內(nèi)的安全實(shí)踐，包括不得出現(xiàn)國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）漏洞庫中已知的安全漏洞，且必須支持更新等。《S.1691法案》的目的是確保美國政府“以身作則”，防止因物聯(lián)網(wǎng)領(lǐng)域缺乏安全措施使得聯(lián)邦系統(tǒng)遭遇進(jìn)一步入侵。但《S.1691法案》提出后未進(jìn)入下一步的立法進(jìn)程。2019年3月11日，美國參議院再次提出《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案2019》（簡稱《S.734法案》），此后《S.734法案》被修訂后于2019年9月23日提上參議院立法議程。但參議院后續(xù)無新的立法動(dòng)作。

在美國參議院提出《S.734法案》的同一天，眾議院也提出相關(guān)法案，即《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案2019》（簡稱《H.R.1668法案》）。相較于前兩次提案，《H.R.1668法案》對(duì)NIST提出了更多的要求，希望通過設(shè)定最低安全標(biāo)準(zhǔn)，從設(shè)備采購流程入手提高美國政府機(jī)構(gòu)購買的所有物聯(lián)網(wǎng)設(shè)備的安全性。提出《H.R.1668法案》后，美國眾議院于2020年9月14日通過該法案，并移交參議院表決。2020年11月17日，美國參議院無修改地通過了《H.R.1668法案》，使該法案提交總統(tǒng)簽署，這是立法進(jìn)程的關(guān)鍵一步，推動(dòng)了自2017年以來一直在國會(huì)停滯不前的相關(guān)立法。2020年12月4日，美國總統(tǒng)正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》，使其成為法律。

綜上，近年來物聯(lián)網(wǎng)安全立法被多次提出、修訂、通過，這充分說明了物聯(lián)網(wǎng)安全監(jiān)管已進(jìn)入美國最高立法機(jī)關(guān)的視野。而美國參議院和眾議院均通過最新立法提案，說明兩院在通過統(tǒng)一立法的方式提升物聯(lián)網(wǎng)安全方面達(dá)成共識(shí)。

2.2 主要內(nèi)容

《H.R.1668法案》的整體思路是通過NIST標(biāo)準(zhǔn)來提高美國聯(lián)邦政府機(jī)構(gòu)物聯(lián)網(wǎng)設(shè)備的安全性，并要求NIST每5年對(duì)發(fā)布的標(biāo)準(zhǔn)和指南進(jìn)行審查，必要時(shí)對(duì)這些標(biāo)準(zhǔn)和指南進(jìn)行修訂。

2.2.1 明確指出物聯(lián)網(wǎng)設(shè)備的范圍

根據(jù)該法案，物聯(lián)網(wǎng)設(shè)備是指具有以下特性的設(shè)備：一是存在用于與物理世界直接交互的傳感器或驅(qū)動(dòng)器，且擁有網(wǎng)絡(luò)接口，但不包括智能手機(jī)和筆記本電腦等傳統(tǒng)信息設(shè)備等；二是能夠獨(dú)立工作，而不僅作為另一個(gè)設(shè)備的組件（如處理器）運(yùn)行。

2.2.2 以強(qiáng)制性要求確保物聯(lián)網(wǎng)安全

《H.R.1668法案》要求NIST應(yīng)當(dāng)在法案頒布之后的90天內(nèi)，根據(jù)相關(guān)法案為聯(lián)邦政府購買的物聯(lián)網(wǎng)設(shè)備設(shè)定最低安全標(biāo)準(zhǔn)，并通過持續(xù)不斷的努力解決安全開發(fā)、身份管理、修補(bǔ)漏洞及配置管理等安全問題。管理和預(yù)算辦公室（OMB）審查聯(lián)邦政府機(jī)構(gòu)物聯(lián)網(wǎng)設(shè)備是否與上述最低安全標(biāo)準(zhǔn)保持一致。

2.2.3 以漏洞協(xié)調(diào)披露改善物聯(lián)網(wǎng)安全

《H.R.1668法案》尤其重視物聯(lián)網(wǎng)漏洞管理，以較大篇幅賦予了NIST漏洞紕漏指南制定及實(shí)施的職責(zé)，即物聯(lián)網(wǎng)設(shè)備的漏洞信息及補(bǔ)救信息應(yīng)當(dāng)具備完善的報(bào)告、協(xié)調(diào)、發(fā)布、接收程序。對(duì)于向政府機(jī)關(guān)提供物聯(lián)網(wǎng)設(shè)備的各級(jí)供應(yīng)商，法案特別指出了其接收和傳播安全漏洞信息的義務(wù)。OMB負(fù)責(zé)監(jiān)督漏洞披露的執(zhí)行情況。

2.2.4 從采購環(huán)節(jié)管控物聯(lián)網(wǎng)安全

《H.R.1668法案》設(shè)置了采購條款，若物聯(lián)網(wǎng)設(shè)備的使用將妨礙聯(lián)邦政府機(jī)構(gòu)遵守前述的設(shè)備安全要求和漏洞紕漏指南，相關(guān)設(shè)備則禁止被機(jī)構(gòu)采購，除非存在科研目的等豁免情形。聯(lián)邦采購條款應(yīng)做出與此一致的修訂。美國總審計(jì)長負(fù)責(zé)每兩年向國會(huì)提交采購條款的執(zhí)行報(bào)告。

2.3 特點(diǎn)分析

美國通過立法的方式改善聯(lián)邦政府物聯(lián)網(wǎng)安全的做法，與英國和日本物聯(lián)網(wǎng)安全監(jiān)管舉措相比，既有相似之處，也存在明顯差異。

2.3.1 相同點(diǎn)

（1）物聯(lián)網(wǎng)安全監(jiān)管均具有一定的強(qiáng)制性

從世界范圍看，物聯(lián)網(wǎng)自2018年開始普遍進(jìn)行監(jiān)管視野。2018年以前，各國物聯(lián)網(wǎng)安全監(jiān)管多以自愿性方式推進(jìn)，之后主流國家策略發(fā)生重大變化，國家對(duì)物聯(lián)網(wǎng)安全監(jiān)管力度具有強(qiáng)制性。NIST自2019年開始發(fā)布多個(gè)參考性文件，而最新法案要求由專業(yè)標(biāo)準(zhǔn)組織制定物聯(lián)網(wǎng)設(shè)備安全指南，聯(lián)邦政府購買的任何物聯(lián)網(wǎng)設(shè)備都必須遵守這些指南；英國從自愿遵守13個(gè)安全準(zhǔn)則到強(qiáng)制實(shí)施前3條，并考慮實(shí)施設(shè)備認(rèn)證制度；日本在不通知企業(yè)和公民的情況下對(duì)物聯(lián)網(wǎng)設(shè)備安全進(jìn)行滲透測(cè)試。

（2）均將設(shè)備安全作為重中之重

物聯(lián)網(wǎng)終端是最主要的安全風(fēng)險(xiǎn)源頭，主要表現(xiàn)在以下兩個(gè)方面：一是物聯(lián)網(wǎng)終端安全事件占比高。2019年上半年，Kaspersky研究人員檢測(cè)到針對(duì)IoT設(shè)備的攻擊共計(jì)1.05億起，同比增長6倍之多。二是物聯(lián)網(wǎng)設(shè)備逐漸成為DDoS攻擊的主力。首先，物聯(lián)網(wǎng)設(shè)備數(shù)量多、分布廣，構(gòu)成絕佳攻擊場(chǎng)景；其次，物聯(lián)網(wǎng)設(shè)備生命周期長、人機(jī)交互低，很難發(fā)現(xiàn)清除；最后，物聯(lián)網(wǎng)設(shè)備缺乏殺毒軟件等防護(hù)措施，更易被攻陷。為此，英國和日本均從設(shè)備入手，提升物聯(lián)網(wǎng)安全能力，如英國3條強(qiáng)制性要求及物聯(lián)網(wǎng)安全標(biāo)簽制度、日本政府安全滲透測(cè)試及社團(tuán)法人三級(jí)安全認(rèn)證制度均圍繞攝像頭等物聯(lián)網(wǎng)設(shè)備進(jìn)行。

2.3.2 不同點(diǎn)

（1）美國以專門立法的形式加強(qiáng)物聯(lián)網(wǎng)安全

英國、日本立法或司法機(jī)關(guān)均不同程度地介入物聯(lián)網(wǎng)安全管理，但并未制定新的專門性物聯(lián)網(wǎng)安全法律。除在全美層面生效實(shí)施《H.R.1668法案》，早在2018年9月28日，美國加利福尼亞州州長杰里·布朗（Jerry Brown）就簽署了《加州物聯(lián)網(wǎng)安全法案》，要求物聯(lián)網(wǎng)設(shè)備制造商為設(shè)備配置合理的安全性能。

（2）美國優(yōu)先解決政府部門物聯(lián)網(wǎng)安全問題

按應(yīng)用場(chǎng)景不同，物聯(lián)網(wǎng)可分為工業(yè)互聯(lián)網(wǎng)、消費(fèi)物聯(lián)網(wǎng)、政府物聯(lián)網(wǎng)等。鑒于消費(fèi)型物聯(lián)網(wǎng)終端安全能力較弱，易被攻擊，且一旦被非法控制，用戶隱私、人身安全將受到嚴(yán)重威脅，并造成經(jīng)濟(jì)損失，英國、日本均特別關(guān)注消費(fèi)型物聯(lián)網(wǎng)的安全，分別采取發(fā)布政策、制定標(biāo)準(zhǔn)、推行安全認(rèn)證等手段加強(qiáng)消費(fèi)型物聯(lián)網(wǎng)安全，確保聯(lián)網(wǎng)設(shè)備在其生命周期內(nèi)的安全性。與英國、日本優(yōu)先關(guān)注消費(fèi)物聯(lián)網(wǎng)安全不同，美國物聯(lián)網(wǎng)安全致力于提升聯(lián)邦政府物聯(lián)網(wǎng)安全。

3 美國最新物聯(lián)網(wǎng)安全立法動(dòng)態(tài)對(duì)我國的啟示

3.1 提高對(duì)物聯(lián)網(wǎng)安全的重視程度，由全國層面的國家機(jī)關(guān)出臺(tái)專門的物聯(lián)網(wǎng)安全法律

《H.R.1668法案》認(rèn)為，聯(lián)邦政府的數(shù)字政府建設(shè)在一定程度上取決于政府如何應(yīng)對(duì)物聯(lián)網(wǎng)安全，并將政府部門的網(wǎng)絡(luò)安全職責(zé)賦予總統(tǒng)及OBM、DHS等較高權(quán)力位階部門，這也是這部立法取得重大進(jìn)展的主要原因。反觀我國，截至目前，我國尚未出臺(tái)專門針對(duì)物聯(lián)網(wǎng)安全管理的法律和政策，僅在國務(wù)院、工業(yè)和信息化部出臺(tái)的物聯(lián)網(wǎng)整體發(fā)展規(guī)劃中以較小篇幅提及安全要求，較難推動(dòng)貫徹落實(shí)。建議重視物聯(lián)網(wǎng)安全監(jiān)管，由全國人民代表大會(huì)、國務(wù)院等出臺(tái)法律位階較高的專門性立法。

3.2 充分發(fā)揮政府采購對(duì)物聯(lián)網(wǎng)生態(tài)的影響，避免普遍強(qiáng)制性要求對(duì)產(chǎn)業(yè)發(fā)展造成不良影響

《H.R.1668法案》側(cè)重美國聯(lián)邦一級(jí)的設(shè)備保護(hù)，充分利用聯(lián)邦政府采購權(quán)引導(dǎo)私營部門采用最佳的物聯(lián)網(wǎng)安全方法和實(shí)踐，并逐漸滲透到消費(fèi)者設(shè)備市場(chǎng)。當(dāng)前，物聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展，若不加區(qū)分地對(duì)所有物聯(lián)網(wǎng)設(shè)定最低安全要求，將抑制“新基建”發(fā)展勢(shì)頭。我國可借鑒美國這一做法，優(yōu)先保障政府物聯(lián)網(wǎng)安全，并通過政府影響市場(chǎng)，間接提升物聯(lián)網(wǎng)安全。

3.3 抓住確保物聯(lián)網(wǎng)安全關(guān)鍵主體，明確物聯(lián)網(wǎng)設(shè)備供應(yīng)商的義務(wù)

《H.R.1668法案》明確了物聯(lián)網(wǎng)供應(yīng)商的義務(wù)，包括漏洞紕漏和采購審查。物聯(lián)網(wǎng)系統(tǒng)和設(shè)備供應(yīng)商是物聯(lián)網(wǎng)安全關(guān)鍵一環(huán)，而我國尚未從義務(wù)條款角度規(guī)范物聯(lián)網(wǎng)供應(yīng)商行為。下一步，建議對(duì)供應(yīng)商設(shè)置相應(yīng)義務(wù)和罰責(zé)規(guī)定，從采購環(huán)節(jié)管控物聯(lián)網(wǎng)安全。

4 結(jié)束語

美國國會(huì)自2017年多次提出物聯(lián)網(wǎng)安全法案，最終于2020年年底正式通過《H.R.1668法案》?！禜.R.1668法案》的通過標(biāo)志著美國在保障物聯(lián)網(wǎng)安全方面邁出關(guān)鍵一步?！禜.R.1668法案》要求NIST提出聯(lián)邦政府物聯(lián)網(wǎng)設(shè)備最低的安全要求，規(guī)定了供應(yīng)商披露漏洞信息的義務(wù)，并設(shè)置了OMB審查和監(jiān)督機(jī)制，以此來保障聯(lián)邦政府物聯(lián)網(wǎng)安全，并通過政府行為提升物聯(lián)網(wǎng)整體安全能力。與英國、日本物聯(lián)網(wǎng)安全監(jiān)管舉措相比，美國新法案具有強(qiáng)制性和注重設(shè)備安全的共性，也有專門法和優(yōu)先關(guān)注政府部門物聯(lián)網(wǎng)安全的特性。美國《H.R.1668法案》啟示我國應(yīng)由全國層面的國家機(jī)關(guān)出臺(tái)專門的物聯(lián)網(wǎng)安全法律，明確物聯(lián)網(wǎng)設(shè)備供應(yīng)商的義務(wù)，并避免普遍強(qiáng)制性要求對(duì)產(chǎn)業(yè)造成的不良影響。