□ 文 張夕夜

0 引言

物聯(lián)網(wǎng)是推動數(shù)字經(jīng)濟和實體經(jīng)濟融合發(fā)展的新型基礎設施。近年來，在政策、市場的雙重驅(qū)動下，物聯(lián)網(wǎng)在多個領域得到廣泛應用。與此同時，物聯(lián)網(wǎng)造成的網(wǎng)絡安全事件和隱私風險，引起美國和其他國家高度關注。2020年12月4日，美國總統(tǒng)簽署《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案2020》（簡稱《H.R.1668法案》），從而完成了立法的最后一個流程，首部全美層面的物聯(lián)網(wǎng)安全法律誕生。作為2020年物聯(lián)網(wǎng)安全領域里程碑式成就，該法案的主要目的是確保聯(lián)邦政府設備的安全性，并通過政府采購間接提升消費者設備市場的安全能力?！禜.R.1668法案》的出臺顯示了美國政府推動物聯(lián)網(wǎng)安全優(yōu)先發(fā)展的勢頭，且對整個物聯(lián)網(wǎng)行業(yè)來說也是一個嶄新的開端。

1 物聯(lián)網(wǎng)安全形勢和監(jiān)管態(tài)勢

1.1 安全形勢

Kaspersky于2020年2月發(fā)布的《物聯(lián)網(wǎng)優(yōu)勢和挑戰(zhàn)》報告指出，目前61%的商業(yè)組織在其業(yè)務推廣過程中應用了物聯(lián)網(wǎng)平臺，IT和電信行業(yè)的物聯(lián)網(wǎng)平臺使用率更是達到71%。據(jù)Gartner預測，到2025年，全球?qū)⒂谐^640億個物聯(lián)網(wǎng)設備。物聯(lián)網(wǎng)高速發(fā)展和快速應用的同時，安全風險持續(xù)增加，成為物聯(lián)網(wǎng)應用的首要關注問題。歐洲網(wǎng)絡與信息安全局（European Network and Information Security Agency，ENISA）于2017年11月發(fā)布的《關鍵信息基礎設施領域的物聯(lián)網(wǎng)安全基線指南》，回顧分析了過去8年間發(fā)生的17起主要物聯(lián)網(wǎng)安全事件，表明與物聯(lián)網(wǎng)直接相關的攻擊數(shù)量在過去幾年中大大增加。其中，2016年10月發(fā)生在美國的Mirai僵尸網(wǎng)絡攻擊成為物聯(lián)網(wǎng)安全的標志性事件。

物聯(lián)網(wǎng)安全事件呈現(xiàn)以下特點：從數(shù)量看，全球具有代表性的物聯(lián)網(wǎng)安全事件逐年增加；從產(chǎn)品看，攝像頭和路由器是出現(xiàn)異常最頻繁的設備；從行業(yè)看，覆蓋范圍從電力、電信、工業(yè)等基礎設施到支付、家居、零售等消費行業(yè)；從影響看，威脅生命財產(chǎn)安全、侵犯兒童隱私、泄漏個人信息，生產(chǎn)生活秩序受到嚴重破壞。

1.2 監(jiān)管態(tài)勢

近年來，英國、日本也紛紛推出多項物聯(lián)網(wǎng)安全法律、政策，旨在加強物聯(lián)網(wǎng)安全管理，保障經(jīng)濟安全，保護用戶隱私。

2018年10月14日，英國數(shù)字、文化、傳媒和體育部（Ministry of Digital, Culture, Media and Sports，DCMS）與英國國家網(wǎng)絡安全中心（National Cyber Security Centre，NCSC）聯(lián)合發(fā)布了《消費類物聯(lián)網(wǎng)安全實踐準則》，提出禁用默認密碼、進行漏洞披露、保持軟件更新等13個自愿行為準則；2019年5月1日，DCMS發(fā)布《消費類物聯(lián)網(wǎng)安全監(jiān)管規(guī)范的實施咨詢》，推動強制實施3條基線安全措施，并要求零售商僅銷售具有安全標簽的消費者物聯(lián)網(wǎng)產(chǎn)品。

2019年1月25日，日本國會通過《情報通信研究機構（NICT）法》修正案，修正了一般法律條款《禁止未經(jīng)授權的計算機訪問》，并自2019年2月20日，由隸屬于總務省的情報通信研究機構，使用默認和簡易密碼測試2億件屬于公民和企業(yè)物聯(lián)網(wǎng)設備的密碼安全性；2019年10月30日，由日本工業(yè)界和學術界組成的關鍵生命設備安全委員會宣布物聯(lián)網(wǎng)設備的安全認證系統(tǒng)已啟動，從密碼設置等常見要求開始，認證了包括ATM機、付款終端、熱水遙控器等設備。

2 美國物聯(lián)網(wǎng)安全新法案立法歷程、主要內(nèi)容和特點分析

2.1 立法歷程

2016年，美國發(fā)生了轟動世界的Mirai僵尸網(wǎng)絡事件，由此引發(fā)了人們對物聯(lián)網(wǎng)設備安全性的關注。同時，也促使美國立法者逐漸意識到，物聯(lián)網(wǎng)設備需要采取適當保護安全性的措施。因此，在2017年8月1日，美國參議院提出了《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案2017》（簡稱《S.1691法案》），旨在要求聯(lián)邦政府內(nèi)部的物聯(lián)網(wǎng)設備遵循行業(yè)范圍內(nèi)的安全實踐，包括不得出現(xiàn)國家標準技術研究院（NIST）漏洞庫中已知的安全漏洞，且必須支持更新等。《S.1691法案》的目的是確保美國政府“以身作則”，防止因物聯(lián)網(wǎng)領域缺乏安全措施使得聯(lián)邦系統(tǒng)遭遇進一步入侵。但《S.1691法案》提出后未進入下一步的立法進程。2019年3月11日，美國參議院再次提出《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案2019》（簡稱《S.734法案》），此后《S.734法案》被修訂后于2019年9月23日提上參議院立法議程。但參議院后續(xù)無新的立法動作。

在美國參議院提出《S.734法案》的同一天，眾議院也提出相關法案，即《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案2019》（簡稱《H.R.1668法案》）。相較于前兩次提案，《H.R.1668法案》對NIST提出了更多的要求，希望通過設定最低安全標準，從設備采購流程入手提高美國政府機構購買的所有物聯(lián)網(wǎng)設備的安全性。提出《H.R.1668法案》后，美國眾議院于2020年9月14日通過該法案，并移交參議院表決。2020年11月17日，美國參議院無修改地通過了《H.R.1668法案》，使該法案提交總統(tǒng)簽署，這是立法進程的關鍵一步，推動了自2017年以來一直在國會停滯不前的相關立法。2020年12月4日，美國總統(tǒng)正式簽署《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》，使其成為法律。

綜上，近年來物聯(lián)網(wǎng)安全立法被多次提出、修訂、通過，這充分說明了物聯(lián)網(wǎng)安全監(jiān)管已進入美國最高立法機關的視野。而美國參議院和眾議院均通過最新立法提案，說明兩院在通過統(tǒng)一立法的方式提升物聯(lián)網(wǎng)安全方面達成共識。

2.2 主要內(nèi)容

《H.R.1668法案》的整體思路是通過NIST標準來提高美國聯(lián)邦政府機構物聯(lián)網(wǎng)設備的安全性，并要求NIST每5年對發(fā)布的標準和指南進行審查，必要時對這些標準和指南進行修訂。

2.2.1 明確指出物聯(lián)網(wǎng)設備的范圍

根據(jù)該法案，物聯(lián)網(wǎng)設備是指具有以下特性的設備：一是存在用于與物理世界直接交互的傳感器或驅(qū)動器，且擁有網(wǎng)絡接口，但不包括智能手機和筆記本電腦等傳統(tǒng)信息設備等；二是能夠獨立工作，而不僅作為另一個設備的組件（如處理器）運行。

2.2.2 以強制性要求確保物聯(lián)網(wǎng)安全

《H.R.1668法案》要求NIST應當在法案頒布之后的90天內(nèi)，根據(jù)相關法案為聯(lián)邦政府購買的物聯(lián)網(wǎng)設備設定最低安全標準，并通過持續(xù)不斷的努力解決安全開發(fā)、身份管理、修補漏洞及配置管理等安全問題。管理和預算辦公室（OMB）審查聯(lián)邦政府機構物聯(lián)網(wǎng)設備是否與上述最低安全標準保持一致。

2.2.3 以漏洞協(xié)調(diào)披露改善物聯(lián)網(wǎng)安全

《H.R.1668法案》尤其重視物聯(lián)網(wǎng)漏洞管理，以較大篇幅賦予了NIST漏洞紕漏指南制定及實施的職責，即物聯(lián)網(wǎng)設備的漏洞信息及補救信息應當具備完善的報告、協(xié)調(diào)、發(fā)布、接收程序。對于向政府機關提供物聯(lián)網(wǎng)設備的各級供應商，法案特別指出了其接收和傳播安全漏洞信息的義務。OMB負責監(jiān)督漏洞披露的執(zhí)行情況。

2.2.4 從采購環(huán)節(jié)管控物聯(lián)網(wǎng)安全

《H.R.1668法案》設置了采購條款，若物聯(lián)網(wǎng)設備的使用將妨礙聯(lián)邦政府機構遵守前述的設備安全要求和漏洞紕漏指南，相關設備則禁止被機構采購，除非存在科研目的等豁免情形。聯(lián)邦采購條款應做出與此一致的修訂。美國總審計長負責每兩年向國會提交采購條款的執(zhí)行報告。

2.3 特點分析

美國通過立法的方式改善聯(lián)邦政府物聯(lián)網(wǎng)安全的做法，與英國和日本物聯(lián)網(wǎng)安全監(jiān)管舉措相比，既有相似之處，也存在明顯差異。

2.3.1 相同點

（1）物聯(lián)網(wǎng)安全監(jiān)管均具有一定的強制性

從世界范圍看，物聯(lián)網(wǎng)自2018年開始普遍進行監(jiān)管視野。2018年以前，各國物聯(lián)網(wǎng)安全監(jiān)管多以自愿性方式推進，之后主流國家策略發(fā)生重大變化，國家對物聯(lián)網(wǎng)安全監(jiān)管力度具有強制性。NIST自2019年開始發(fā)布多個參考性文件，而最新法案要求由專業(yè)標準組織制定物聯(lián)網(wǎng)設備安全指南，聯(lián)邦政府購買的任何物聯(lián)網(wǎng)設備都必須遵守這些指南；英國從自愿遵守13個安全準則到強制實施前3條，并考慮實施設備認證制度；日本在不通知企業(yè)和公民的情況下對物聯(lián)網(wǎng)設備安全進行滲透測試。

（2）均將設備安全作為重中之重

物聯(lián)網(wǎng)終端是最主要的安全風險源頭，主要表現(xiàn)在以下兩個方面：一是物聯(lián)網(wǎng)終端安全事件占比高。2019年上半年，Kaspersky研究人員檢測到針對IoT設備的攻擊共計1.05億起，同比增長6倍之多。二是物聯(lián)網(wǎng)設備逐漸成為DDoS攻擊的主力。首先，物聯(lián)網(wǎng)設備數(shù)量多、分布廣，構成絕佳攻擊場景；其次，物聯(lián)網(wǎng)設備生命周期長、人機交互低，很難發(fā)現(xiàn)清除；最后，物聯(lián)網(wǎng)設備缺乏殺毒軟件等防護措施，更易被攻陷。為此，英國和日本均從設備入手，提升物聯(lián)網(wǎng)安全能力，如英國3條強制性要求及物聯(lián)網(wǎng)安全標簽制度、日本政府安全滲透測試及社團法人三級安全認證制度均圍繞攝像頭等物聯(lián)網(wǎng)設備進行。

2.3.2 不同點

（1）美國以專門立法的形式加強物聯(lián)網(wǎng)安全

英國、日本立法或司法機關均不同程度地介入物聯(lián)網(wǎng)安全管理，但并未制定新的專門性物聯(lián)網(wǎng)安全法律。除在全美層面生效實施《H.R.1668法案》，早在2018年9月28日，美國加利福尼亞州州長杰里·布朗（Jerry Brown）就簽署了《加州物聯(lián)網(wǎng)安全法案》，要求物聯(lián)網(wǎng)設備制造商為設備配置合理的安全性能。

（2）美國優(yōu)先解決政府部門物聯(lián)網(wǎng)安全問題

按應用場景不同，物聯(lián)網(wǎng)可分為工業(yè)互聯(lián)網(wǎng)、消費物聯(lián)網(wǎng)、政府物聯(lián)網(wǎng)等。鑒于消費型物聯(lián)網(wǎng)終端安全能力較弱，易被攻擊，且一旦被非法控制，用戶隱私、人身安全將受到嚴重威脅，并造成經(jīng)濟損失，英國、日本均特別關注消費型物聯(lián)網(wǎng)的安全，分別采取發(fā)布政策、制定標準、推行安全認證等手段加強消費型物聯(lián)網(wǎng)安全，確保聯(lián)網(wǎng)設備在其生命周期內(nèi)的安全性。與英國、日本優(yōu)先關注消費物聯(lián)網(wǎng)安全不同，美國物聯(lián)網(wǎng)安全致力于提升聯(lián)邦政府物聯(lián)網(wǎng)安全。

3 美國最新物聯(lián)網(wǎng)安全立法動態(tài)對我國的啟示

3.1 提高對物聯(lián)網(wǎng)安全的重視程度，由全國層面的國家機關出臺專門的物聯(lián)網(wǎng)安全法律

《H.R.1668法案》認為，聯(lián)邦政府的數(shù)字政府建設在一定程度上取決于政府如何應對物聯(lián)網(wǎng)安全，并將政府部門的網(wǎng)絡安全職責賦予總統(tǒng)及OBM、DHS等較高權力位階部門，這也是這部立法取得重大進展的主要原因。反觀我國，截至目前，我國尚未出臺專門針對物聯(lián)網(wǎng)安全管理的法律和政策，僅在國務院、工業(yè)和信息化部出臺的物聯(lián)網(wǎng)整體發(fā)展規(guī)劃中以較小篇幅提及安全要求，較難推動貫徹落實。建議重視物聯(lián)網(wǎng)安全監(jiān)管，由全國人民代表大會、國務院等出臺法律位階較高的專門性立法。

3.2 充分發(fā)揮政府采購對物聯(lián)網(wǎng)生態(tài)的影響，避免普遍強制性要求對產(chǎn)業(yè)發(fā)展造成不良影響

《H.R.1668法案》側(cè)重美國聯(lián)邦一級的設備保護，充分利用聯(lián)邦政府采購權引導私營部門采用最佳的物聯(lián)網(wǎng)安全方法和實踐，并逐漸滲透到消費者設備市場。當前，物聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展，若不加區(qū)分地對所有物聯(lián)網(wǎng)設定最低安全要求，將抑制“新基建”發(fā)展勢頭。我國可借鑒美國這一做法，優(yōu)先保障政府物聯(lián)網(wǎng)安全，并通過政府影響市場，間接提升物聯(lián)網(wǎng)安全。

3.3 抓住確保物聯(lián)網(wǎng)安全關鍵主體，明確物聯(lián)網(wǎng)設備供應商的義務

《H.R.1668法案》明確了物聯(lián)網(wǎng)供應商的義務，包括漏洞紕漏和采購審查。物聯(lián)網(wǎng)系統(tǒng)和設備供應商是物聯(lián)網(wǎng)安全關鍵一環(huán)，而我國尚未從義務條款角度規(guī)范物聯(lián)網(wǎng)供應商行為。下一步，建議對供應商設置相應義務和罰責規(guī)定，從采購環(huán)節(jié)管控物聯(lián)網(wǎng)安全。

4 結(jié)束語

美國國會自2017年多次提出物聯(lián)網(wǎng)安全法案，最終于2020年年底正式通過《H.R.1668法案》?！禜.R.1668法案》的通過標志著美國在保障物聯(lián)網(wǎng)安全方面邁出關鍵一步。《H.R.1668法案》要求NIST提出聯(lián)邦政府物聯(lián)網(wǎng)設備最低的安全要求，規(guī)定了供應商披露漏洞信息的義務，并設置了OMB審查和監(jiān)督機制，以此來保障聯(lián)邦政府物聯(lián)網(wǎng)安全，并通過政府行為提升物聯(lián)網(wǎng)整體安全能力。與英國、日本物聯(lián)網(wǎng)安全監(jiān)管舉措相比，美國新法案具有強制性和注重設備安全的共性，也有專門法和優(yōu)先關注政府部門物聯(lián)網(wǎng)安全的特性。美國《H.R.1668法案》啟示我國應由全國層面的國家機關出臺專門的物聯(lián)網(wǎng)安全法律，明確物聯(lián)網(wǎng)設備供應商的義務，并避免普遍強制性要求對產(chǎn)業(yè)造成的不良影響。