文|黄潇怡 中国信通院互联网法律研究中心研究员

为适应数字形势发展需要,完善智能网联产品安全要求和优化升级现有电信基础设施,英国数字、文化、媒体和体育部于2021年12月20日正式向英国议会提交《产品安全和电信基础设施法案》(简称PSTI法案),以更好地保护公民、网络和基础设施免受不安全的可联网消费产品带来的危害。新成立的监管机构将负责执行该法律,并有权对违规企业处以高达1000万英镑或企业全球营业额4%的罚款,对持续违规的公司还将额外处以每日20,000英镑的罚款。在法案获得正式批准后,政府将给予企业至少12个月的合规过渡期,以保证制造商、进口商和分销商在法律全面生效前有足够的时间调整其业务模式。法案主要包括两个方面的内容,具体介绍如下:

一、产品安全措施

产品安全措施主要针对可联网消费产品。可联网消费产品是一个快速增长的新兴技术领域。预测表明,到2030年,全球将有多达500亿个可联网消费产品,平均每个英国家庭有9个。这些产品在给人们带来低碳互联生活的同时,也引发了网络诈骗、隐私保护、数据泄露等相关问题,亟需立法强化安全保护。

(一)产品安全措施的出台背景

英国现有的法律对可联网消费产品的安全要求仅停留在确保消费者人身安全的层面,并未对消费者的网络安全予以充分保护。现有的法律仅规定智能电视、智能手机和联网扬声器等可联网消费产品必须符合要求,以确保不会因过热、环境破坏或电气干扰等问题而直接对消费者造成物理伤害。然而,法律并没有制定保护消费者免受网络伤害(如隐私泄露和个人数据丢失等)的相关监管政策。为解决这一监管问题,PSTI法案草案要求制造商、进口商和分销商确保可联网消费产品满足相关的最低安全要求;同时,PSTI提供了强大的、可适应技术飞速发展的监管框架,该监管框架在恶意行为者不断更新技术手段的情况下,以及在更广泛的国际监管格局中,仍能保持有效。

(二)产品安全措施的出台的必要性

可联网消费产品中相关网络安全要求的采用率很低,消费者的网络安全保护意识也有待提高。据统计,只有五分之一的制造商在可联网消费产品中嵌入了基本安全要求,但绝大多数消费者认为这些产品是安全的。不安全的可联网消费产品存在DDoS攻击、泄露个人敏感信息、网络诈骗等相关风险,甚至可能对消费者造成人身伤害。

1.存在DDoS攻击的风险

物联网 (IoT) 产品等可联网消费产品可能因分布式拒绝服务 (DDoS) 攻击而遭受大规模损害。黑客可利用“僵尸网络”发起大规模DDoS攻击,利用联网产品网络攻击基础设施或互联网。2016年,恶意行为者通过恶意软件“Mirai”入侵了路由器和智能相机等300,000种产品,并利用这些产品的集体计算能力攻击了主要的互联网平台和服务,导致美国东海岸的大部分地区无法上网。

DDoS攻击随着可联网消费产品使用的增加而变得更加普遍,尤其是新冠肺炎疫情对此类产品的使用起到了助推作用。卡巴斯基研究表明,2021年前六个月,针对物联网产品的攻击达15亿次,较2020年同期增长了100%。

2.存在数据泄露等相关风险

DDoS攻击只是攻击形式的其中一种,能利用一个易受攻击的设备进行DDoS攻击的黑客可以继续进行更广泛的攻击,如进一步访问整个家庭网络并窃取个人数据。网络罪犯将攻击目标从手机、智能电视转向家用扬声器、联网洗碗机等各种产品,而低安全标准的可联网产品往往被攻击者作为窃取数据的入口。例如,2017年,黑客通过一个联网鱼缸从美国一家赌场窃取了银行数据等个人敏感信息,攻击者破坏了鱼缸中设有默认密码的联网温度计,利用该漏洞进入网络并访问个人信息。

随着带有内置麦克风和摄像头的设备的广泛使用,破坏这些设备并进一步用于欺诈的风险也越来越高。2020年,新加坡的某家用摄像头遭到攻击,视频被分享给成人网站,并用于欺诈。

此外,带有加热元件的设备(如洗衣机、冰箱等白色家电)或锁定机制(如智能门锁)被破坏可能会造成人身伤害,包括家庭火灾、暴力事件等。

(三)关于产品安全措施的新规定

1.PSTI法案制定了三项产品安全措施新规则

一是禁止在设备上预装易于猜测的默认密码。PSTI法案要求,新设备附带的所有密码都必须是唯一的,并且不能重置为任何通用出厂设置。

二是可联网产品必须附带安全更新相关说明;如果产品没有附带,则要求可联网产品制造商在销售点告知客户产品预计收到重要安全更新和补丁的最短时间,并提醒客户及时更新至最新状态。

三是要求制造商提供公开联系人信息,以便安全研究人员和其他人在发现产品中的缺陷和错误时更容易报告。

此外,新制度将由新成立的监管机构监督执行,新监管机构将在法案生效后任命。它将有权对违规企业处以最高1,000万英镑或其全球营业额4%的罚款,以及每天对持续违规行为额外处以最高 20,000英镑的罚款。

2.规定了产品安全措施的适用对象

新规则不仅适用于数字产品制造商,也适用于英国的廉价技术进口企业,包括实体店和在线零售商。零售商必须满足安全要求,才可向英国客户销售“可联网消费产品”,并且需要将有关安全更新的重要信息传递给客户。

“可联网消费产品”指可连接互联网或可连接网络的所有设备,以及虽不能直接连接到互联网但可以连接到多个其他设备的产品(如智能灯泡、智能恒温器和可穿戴健身追踪器);但不包括车辆、智能电表和医疗设备,也不包括台式机和笔记本电脑。具体包括以下产品:

l 智能手机

l 可联网的相机、电视和扬声器

l 可联网儿童玩具和婴儿监视器

l 可联网的安全相关产品,例如烟雾探测器和门锁

l 可连接多个设备的物联网基站和集线器

l 可穿戴的联网健身追踪器

l 户外休闲产品,例如非可穿戴的手持联网GPS设备

l 可联网的家庭自动化警报系统

l 联网电器,例如洗衣机和冰箱

l 智能家居助理

二、电信基础设施相关措施

PSTI法案草案的第二部分对2017年《电子通信法》进行了修订,以平衡土地所有者、电信运营商和公众利益,支持快速高效地铺设千兆宽带和5G网络;同时,使续签协议的流程和框架与新协议的流程和框架保持一致,并鼓励更多的合作谈判;以及采取有助于优化现有基础设施使用的措施。

(一)电信基础设施相关措施的出台背景

英国政府于2018年在《未来电信基础设施审查报告》中提出尽快在全国范围内铺设面向未来的千兆宽带和5G网络的计划,以释放上述电信基础设施将带来的巨大经济和社会效益。目标是到2025年在英国实现至少85%的千兆覆盖以及95%地区拥有至少一个移动网络运营商的4G覆盖,到2027年实现大多数的英国人口拥有5G覆盖。

新冠肺炎疫情凸显了数字技术和数字化的重要性,人们需要高质量的数字基础设施来访问在线公共服务、社交网络以及医疗保健、零售和金融服务。需要在英国范围内推进移动网络覆盖、宽带连接和光纤升级,以缩小偏远地区和城市之间的“数字鸿沟”,确保每个人都能充分享受数字集成服务和产品带来的红利,增强国家在危机期间的复原力,促进经济复苏并加强对弱势经济群体的社会包容。

(二)电信基础设施相关措施以《电子通信法》为基础

《电子通信法》规定了网络运营商和基础设施提供商在公共和私人土地上安装和维护数字通信基础设施的权利。2017年对《电子通信法》的修订使数字基础设施的部署、维护和升级更便宜、更容易。PSTI法案草案中关于电信基础设施的相关新措施建立在2017年修订后的《电子通信法》基础上,有助于确保面向未来的千兆宽带和5G网络的推出。

(三)关于电信基础设施相关措施的新规定

电信基础设施措施(PSTI法案第2部分)的适用对象涉及《电子通信法》中与权利请求相关的规定中所涉及的各方,包括电信运营商、基础设施提供商、土地所有者和占用者,以及土地代理人和法律代表等专业人士。在与上述对象和公众进行广泛协商的基础上,PSTI法案对2017年《电子通信法》进行新修订。PSTI法案关于电信基础设施相关措施的新规定具体包括:

一是支持和鼓励替代争议解决方案,以解决与协议签署相关的问题。电信运营商、站点提供商及其代表发现相互之间的协商和谈判通常很困难,导致网络部署时间的延迟。PSTI法案要求电信运营商在难以就协议条款达成一致的情况下,考虑使用不需要诉诸法庭(如调解或仲裁)的纠纷解决方式——替代争议解决(ADR),使谈判进程更快以及能够更好地相互协作。电信运营商需要在给土地所有者的通知中说明是否可以将使用ADR作为一个选项。

二是引入新条款对续订过期协议的程序和架构予以明确,加快续签协议谈判进程,以解决与过期协议续签有关的困难。英国各地续签协议的方式不一致,在某些情况下,现行立法阻止了已安装设备的人续签过期协议或获取新的规范协议进行替代。PSTI法案允许已根据到期协议安装了基础设施的运营商续签该协议(以与新协议类似的条款续签)或申请新协议。

三是允许对2017年以前安装的设备进行更大的升级和共享,以充分利用现有的电信基础设施并对网络进行优化。目前,运营商无法有效地利用现有基础设施,这影响了千兆宽带和5G网络的推出和升级速度。因为根据2017年《电子通信法》,自动升级和共享设备的权利仅适用于2017年后签署的协议;而运营商在2017年前安装的地下基础设施(如光缆)未被包括在享有自动升级和共享的权利范围内。

四是允许运营商通过法院更快、更便宜地获得与土地相关的权利,以应对土地所有者或占用者长时间不回应相关权利请求的情形。PSTI法案引入新条款,使经营者能够在土地所有者对反复的权利请求(相关权利请求依据《电子通信法》进行)置之不理的情况下,快速获得相关权利。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。