9 月 9 日,美国 IoT 网络安全标签正式生效,该法规旨在提升消费级 IoT 设备的隐私安全性,提升消费者对 IoT 设备安全的信心,并为消费者提供更透明的产品安全信息。 我们对比了 FCC 发布的初版与生效版规定,发现核心内容保持不变。Kaamel 在往期文章中对“ IoT 网络安全标签”和其中的“国家安全声明”规则作出了详细解读,详情可点击如下链接:
本期将为您回顾法规的主要内容。
IoT 网络安全标签(Cyber Trust Mark)是一项自愿性的计划,通过该计划,获得认证的设备将贴上“网络信任标志”(Cyber Trust Mark),表明该产品符合美国联邦通信委员会(FCC)设定的最低网络安全标准,涉及数据加密、身份验证、软件更新等多方面要求。产品包装上的二维码让消费者能够轻松扫描并查看设备的详细安全信息,以及其是否符合美国国家标准与技术研究院(NIST)的网络安全框架。
为了获得网络信任标志,制造商必须通过经认证和牵头管理员认可的CyberLAB、CLA实验室或制造商的内部实验室的测试,确保设备的网络安全性符合规定。制造商还需要向 FCC 提供关于其产品开发、数据存储和远程控制等方面的详细信息,并在必要时向消费者披露这些信息。尽管是否参与该计划是自愿性的,但 FCC 预计该计划将会广泛影响市场格局,消费者在购物时会倾向于选择安全标准更高的产品,这将推动制造商积极参与认证,以获得竞争优势。
此外,FCC还提出了“国家安全声明”规则,对涉及国家安全的设备提出了特别要求。如果设备中的硬件、软件或数据与某些高风险国家(如中国、俄罗斯)相关,制造商需要进行披露,并确保其产品不含有任何来自这些国家的隐藏漏洞,产品收集的数据不会存储在这些国家,也不会被这些国家的服务器远程控制。通过这一措施, FCC 希望确保消费者使用的设备不含有可能导致安全隐患的组件或服务。
该法规不仅在美国本土市场引发关注,也影响了全球范围内的制造商,尤其是那些向美国出口设备的企业。制造商将更加注重产品的网络安全设计,而消费者在购买决策时也将更加重视产品的安全性能。随着 IoT 设备的普及和网络威胁的增加,这项法规被视为加强消费者隐私保护和提升设备安全性的重要里程碑。
正如 FCC 在介绍中提到的一样,虽然这是一项自愿计划,但是消费者需求将会推动该项计划被广泛采用(因为消费者会倾向于选择带有标签的物联网产品)。而“国家安全声明”规则的提出,将有可能对出海企业造成一定影响。我们建议国内企业将这一计划作为提高产品竞争力的战略布局,将这一计划要求提前纳入产品安全设计,如特别关注 NIST 的标准内容。
