2020年12月4日,美国《物联网网络安全改进法案》(Internet of Things Cybersecurity Improvement Act)被美国总统特朗普正式签署,成为美国法律。[1]历经多年,几经波折,《物联网网络安全改进法》终于正式出台。《物联网网络安全改进法》将对美国物联网建设产生巨大影响,并有可能对我国的物联网设备出口产生冲击,本文特此对相关情况进行梳理介绍,供有关机构决策和学术研究参考。
1、《物联网网络安全改进法》历程
2016年,Mirai僵尸网络等攻击导致了几个热门网站发生瘫痪,并由此引发了人们对物联网设备安全需求的关注。这促使美国立法者逐渐意识到,美国需要跟上物联网设备带来的数据指数级增长趋势,并确保适当的安全性和保护措施。
2017年,在大西洋理事会(Atlantic Council)和哈佛大学(Harvard University)的帮助下,美国弗吉尼亚州民主党参议员马克沃纳和科罗拉多州共和党参议员克里加德纳提出新法案《物联网网络安全改进法案》,该法案试图建立一个框架,要求联邦政府的设备供应商遵循行业范围内的安全实践,例如确保可穿戴设备、智能传感器等设备能修复漏洞、更新密码、推向市场时不存在已知安全漏洞。[2]该法案目的是期望阻止政府购买存在少数几种明显安全漏洞的联网设备,[3]但该法案最终因多方面原因并未通过。
2019年3月11日,美国立法者向国会重新提出了提出了《物联网网络安全改进法案》(编号为HR 1668),该法案通过为美国政府机构购买的所有物联网设备设定最低安全标准的方式解决其相关网络风险。在提出阶段,该法案得到了德克萨斯州共和党众议员威尔·赫德(Will Hurd)、伊利诺伊州民主党众议员罗宾·凯利(Robin Kelly)、弗吉尼亚州民主党参议员马克·华纳(Mark Warner)、科罗拉多州共和党议员科里·加德纳(Cory Gardner)的支持。[4]该法案即为《物联网网络安全改进法》的原始版本。[5]
2020年9月14日,美国众议院通过了《物联网网络安全改进法案》(HR 1668),并提交参议院审议。2020年11月17日,参议院未经修改通过了《物联网网络安全改进法案》,将该法案呈交给白宫,供总统签署。2020年12月7日,特朗普总统正式签署《物联网网络安全改进法》,使其成为法律。[6]
2、《物联网网络安全改进法》内容
《物联网网络安全改进法》要求美国国家标准技术研究院(NIST)发布联邦政府使用物联网设备的标准和指南,并指示白宫管理和预算办公室(OMB)审查政府政策,以确保它们符合NIST指南,联邦机构将不得购买不符合安全要求的物联网设备。在该法中,物联网定义与《对物联网设备制造商的建议:基础活动和核心设备网络安全能力基线》这一文件中的物联网定义保持一致,认为其是“能够独立工作,拥有网络接口,至少有一个传感器(传感器或驱动器)用于与物理世界直接交互的设备”,其涵盖范围非常广泛。同时,法案规定了保护联邦机构免受网络攻击的责任等级,执行部门、管理和预算办公室、国土安全部部长以及各个此类机构的负责人共同负责监督美国国家标准技术研究院(NIST)制定的物联网安全标准。该法还要求美国联邦机构和供应商仅使用符合规定标准的设备,并将影响设备的已知漏洞通知机构等。
《物联网网络安全改进法》的签署意味着美国网络安全方面迈出了重要的一步,能够确保在较大程度上美国政府物联网设备的安全性,同时也意味着美国将针对物联网设备开展更严密的审查,至于是否对我国物联网设备出口产生影响还有待进一步观察。
3、法律全文
[1]https://www.congress.gov/bill/116th-congress/house-bill/1668/all-actions?q=%7B%22search%22%3A%5B%22Internet+of+Things+Cybersecurity+Improvement+Act%22%5D%7D&r=2&overview=closed&s=1#tabs
[2]https://www.wosign.com/Info/iot-equipment-safety-standard.htm
[3]https://kknews.cc/world/mnb5b82.html
[4]http://www.tdhxkj.com/news/680.html
[5]https://www.congress.gov/bill/116th-congress/house-bill/1668/all-actions?overview=closed#tabs
[6]https://www.congress.gov/bill/116th-congress/house-bill/1668/all-actions?q=%7B%22search%22%3A%5B%22Internet+of+Things+Cybersecurity+Improvement+Act%22%5D%7D&r=2&overview=closed&s=1#tabs
作者:袁纪辉 中国信息通信研究院互联网法律研究中心助理研究员
陈恒星 中国信息通信研究院互联网法律研究中心实习生
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。