背景
2024 年 3 月 25 日,美国联邦通信委员会(Federal Communications Commission, 简称“FCC”)就 “IoT 网络安全标签”(Cybersecurity Labeling for Internet of Things)发布了相关规则进一步征求公众意见,并于 4 月 24 日或之前对部分公众意见进行回复。该指令引入了一项自愿标签计划,即“Cyber Trust Mark”,(关于该标签计划的具体内容和申请流程,请参见 Kaamel 近期文章法规分析 |美国 IoT 网络安全标签)用于符合基本网络安全标准的物联网产品。其目的是增强消费者透明度和数据保护,并防范来自某些公司和美国对手国家的数据安全威胁。
该提议重点关注无线、互联网连接的消费者 IoT 产品,包括 IoT 设备和网络所需的其他组件,如网络/网关硬件、包括应用软件和后端。需要注意的是,FCC 可能会在未来扩大 IoT 产品的种类和范围。
此外,FCC 还提出了有关 IoT 标签计划的“国家安全声明”规则,旨在向消费者保证获得 FCC“ IoT 网络安全标签”的产品不含来自高风险国家的隐藏漏洞,产品收集的数据不会存在高风险国家内或经过高风险国家,并且产品不能被位于高风险国家的服务器远程控制。
本文将对“国家安全声明”规则的主要内容和该规则对出海企业的影响进行重点论述。
主要内容
一.高风险国家
FCC 提议将美国商务部定义的“外国对手国家”(foreign adversary countries)纳入高风险国家范畴,美国商务部对外国对手国家的定义为:“从事长期模式或严重行为的,严重损害美国国家安全或美国人的安全与安全(security and safety)”,并已确定的高风险国家包括以下六个国家:中国、古巴、伊朗、朝鲜、俄罗斯以及委内瑞拉。
FCC 进一步征求意见,FCC 还虑哪些其他来源来确定高风险国家。
二.制造商披露及声明义务
1.一般披露
FCC 就“是否要求制造商向 FCC 披露和/或在注册表中向消费者披露如下内容”征求进一步意见:
(1)硬件和/或软件是否在高风险国家开发和制造,以及硬件和软件更新将从哪里开发和部署;
(2)产品收集的数据是否存储在或经过高风险国家。
2.一般披露内容的声明义务
关于一般披露的信息,FCC 提议是否要求制造商申请获得 IoT 网络安全标签时,提供的声明中增加以下内容。
针对“硬件和/或软件是否在高风险国家开发和制造,以及硬件和软件更新将从哪里开发和部署”,申请人声明以下内容之一:
- 在产品上运行或控制产品的任何软件或软件更新,或在产品上运行或控制产品的软件或软件更新的任何部分,未曾或将不会在商务部高风险国家名单中的国家内开发或部署,但此承诺不适用于未直接或间接由我们或我们直接或间接合作伙伴支付的开源贡献的来源。
- 此设备运行的软件,或由于未来的软件更新可能运行的软件,是由商务部高风险国家名单中的一个或多个国家开发的。申请人不知道任何后门或其他破坏行为,也没有任何理由相信相对于这样一个国家内开发的其他软件而言这种后门或破坏行为存在特别加剧的风险,但我们通知购买者和用户,商务部已将高风险国家或地区指定为对美国国家安全或美国人员的安全和安全有重大不利影响的司法管辖区。
针对“产品收集的数据是否存储在或经过高风险国家”,申请人声明以下内容之一:
- 此产品收集的任何客户数据将不会发送到位于商务部定义的高风险国家的服务器。远程控制设备的服务器也不会位于这样的国家。
- 此产品收集的客户数据将发送到位于高风险国家的服务器。我们通知购买者和用户,商务部已将高风险国家或地区指定为对美国国家安全或美国人员的安全和安全(security and safety)有重大不利影响的司法管辖区。
在征求对是否要求制造商对“产品收集的数据是否存储在或经过高风险国”负有披露和声明义务的意见时,FCC 将关注以下问题:
(1)制造商是否对设备收集的数据有足够的了解,知道托管收集数据的服务器位于何处或者远程控制设备的服务器将位于何处;
(2)存储数据的位置是否可能在制造商不知情的情况下发生变化;
(3)是否有其他因素会影响制造商做出上述声明的能力。
3.额外披露
FCC 并就“如果制造商需要承担上述一般披露及声明义务,是否应该要求制造商进一步披露额外信息”征求意见。进一步披露的额外信息包括如下信息:
(1)是否必须披露高风险国家的名称;
(2)是否必须披露制造商硬件或软件组件或服务器的具体活动,这些活动已经、将要或可能来自或发生在高风险国家。
在征求是否要求制造商负有额外披露义务时,FCC 将关注以下问题:
(1)这样的披露如何帮助购买者做出明智的产品采购决策?
(2)这样额外的披露会给制造商带来什么负担?
并且 FCC 就“是否应该要求制造商在注册表中包含这些额外信息以向消费者告知这些事项”征求意见。
三.禁止获得 IoT 网络安全标签
FCC 还考虑在以下情况下,是否直接禁止涉及高风险国家的产品获得 IoT 网络安全标签:
1.软件或硬件来源于高风险国家;
2.数据将存储在高风险国家;
3.由在高风险国家内的服务器远程控制的产品。
FCC 还提议是否存在某些产品组件,比如蜂窝接口模块,存在明显提高风险的情况,所以可能需要特别禁止这类产品组件获得 IoT 网络安全标签。
四.其他拟议义务
FCC 还进一步就制造商的如下义务询问意见:
1.FCC 是否应要求制造商将这些声明信息包含在注册表中告知消费者这些事项。
2.制造商应该如何告知非购买者的用户。
3.在相关产品注册页面,要求任何额外语言。
规则分析
从前述 FCC 拟对制造商增加的“额外国家安全声明”的义务中可以看出,FCC 集中关注申请标签的 IoT 产品的三种情况:“软件或硬件是否来自高风险国家”、“数据是否存储在高风险国家”以及“产品是否受高风险国家境内的服务器远程控制”,但目前 FCC 对存在这三种情况的 IoT 产品的态度尚不明确,相对严格的措施是直接禁止存在此类情况的产品获得标签,与之对应相对较轻的措施是存在此类情况仍可申请获得标签,但需负有披露和声明义务。
我们认为,即使 FCC 采取了两种措施中较轻的一种,也将对存在此类情况的出海企业造成一定影响。尽管网络安全标签计划是自愿的,旨在通过激励消费者选择带有网络安全标签的产品来推动市场,但实际上,消费者往往倾向于购买带有此类标签的IoT产品。正如 FCC 对这项自愿计划的评价:“虽然这是一项自愿计划,但是消费者需求将会推动该项计划被广泛采用”。因此,对于获得 IoT 网络安全标签的产品,如果存在特殊的“披露和声明义务”,这可能会影响消费者的选择,从而进一步影响这些企业在美国市场上提供物联网产品和服务的运营。虽然公众咨询期已经结束,但新规则的生效和执行还需时间,我们需要进一步观察其实际执行情况。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。