背景介绍
上月,美国联邦通讯委员会(Federal Communications Commission,以下简称“FCC”)公开投票正式通过了“物联网网络安全标签”(Cybersecurity Labeling for Internet of Things)。这是一项针对“无线消费者物联网产品”的自愿性美国网络信任标识(Cyber Trust Mark)网络安全标签计划,该计划为消费者提供一个易于理解且快速识别的 FCC 物联网标签,包括美国政府的认证标识(即 Cyber Trust Mark),该标识显示产品符合标签计划的计划要求和 FCC 的最低网络安全要求,并附带一个 QR code,该 QR code 将消费者引导至一个包含有关物联网产品具体信息的注册表。该计划将帮助消费者做出更好的购买决策,提高消费者对他们购买的用于家庭和生活的物联网产品的网络安全的信心,并鼓励物联网产品制造商在开发产品时考虑到安全设计原则。
2023 年 8 月,FCC 通过了一份拟议规则制定通知(Notice of Proposed Rulemaking, IoT Labeling NPRM),提出了这项自愿计划,并广泛征求各方意见。
在这次投票通过的“物联网网络安全标签”中,FCC 发布了《最终规则》,并在《最终规则》的正文之前,用详细的“介绍”,对各方针对 NPRM 提出的意见作出了回应及论述,这些回应和论述让我们更进一步地理解《最终规则》相关规则制定的原因和具体含义。
“物联网网络安全标签”主要内容
一、计划的性质
该计划是 FCC 为无线消费者物联网产品建立的自愿网络安全标签计划,虽然参与是自愿的,但是选择参与的人必须遵守该计划的要求,以获得使用带有 Cyber Trust Mark 的 FCC 物联网标签的权限。
二、计划适用的对象
在“介绍”中表明,该计划的适用对象是“无线消费者物联网产品”(wireless consumer IoT products),并且对定义作出了详细描述。
1.适用于“无线”不涵盖“有线”
FCC 最初的物联网标签计划将专注于无线消费者物联网设备,因此排除仅限有线的物联网设备。但不排除未来包括有线消费者物联网产品的考虑。
2.适用于“消费者”不涉及“企业或工业”
FCC 支持采用包含以消费者为中心的物联网产品的物联网标签计划,专注于消费者物联网产品,而不是企业或工业物联网产品。以下设备不会纳入 FCC 物联网标签计划的范围:
(1)美国食品和药物管理局(FDA)监管的医疗设备;
(2)美国国家公路交通安全管理局(NHTSA)监管的机动车辆和机动车辆设备;
(3)由某些实体生产的设备/产品:
a.根据《安全可信通信网络法案》(STCNA)第 2 条由 FCC 维护的管制清单上的任何通信设备;
b.由被列入管制清单,并被确定为生产“管制”设备的实体(即列出的实体或其任何子公司或附属公司)生产的任何物联网设备;
c.由在管制清单上被确定为生产“管制”设备的实体生产的任何其他产品,或者任何包含由这样的实体生产的设备或产品组件的产品。
(4)由商务部实体名单和/或国防部中国军事公司名单上的任何实体、其关联公司或子公司生产的物联网设备或物联网产品;
(5)已被暂停或禁止接受联邦采购或财政奖励的任何个人或实体拥有或控制的任何实体或其附属实体生产的产品,包括在总务管理局奖励管理系统中公布的不符合奖励资格的所有实体和个人。
FCC 不排除在以后将物联网标签计划扩展至非消费者物联网产品,但 FCC 认为这一初始范围将最有效、最便捷地为消费者提供价值,而不会增加企业环境的复杂性。
3.适用于“物联网产品”而不仅限于“物联网设备”
(1)物联网产品
《最终规则》对“物联网产品”(IoT Products)采用了美国国家标准与技术研究院(NIST)的定义:物联网设备和使用物联网设备所必需的超出基本操作功能的任何附加产品组件(例如,后端、网关、移动应用程序),包括与此范围之外的组件的数据通信链接,但不包括那些外部组件和制造商控制之外的任何外部第三方组件。
从定义中可以看出,物联网产品比物联网设备的范围更广,在介绍中,FCC 认为将计划应用于物联网产品而不仅限于物联网设备是必要的,因为如果没有额外的组件,大多数销售给消费者的物联网设备都无法有效地使用。
FCC 在介绍中提到“我们不要求制造商对超出其控制范围的第三方产品或设备(包括应用程序)负责;但是,如果制造商允许第三方应用程序连接,并且允许该应用程序控制其物联网产品,则该制造商对该连接链路和应用程序的安全负责,如果此类应用程序存在于物联网产品上。”以及“如果产品组件还通过其他功能和接口支持其他物联网产品,则可以通过风险评估将这些替代功能和接口视为与物联网产品分开,并不构成授权的一部分。”
(2)物联网设备
《最终规则》采用的是 NPRM 对 NIST 定义的修订版本:(1)网联设备,能够有意(intentionally)发射射频能量(radiofrequency energy),具有至少一个传感器(传感器或执行器),用于直接与物理世界交互,而且(2)至少一个网络接口(如Wi-Fi、蓝牙),用于与数字世界连接。
该定义建立在 NIST 的定义基础上,增加了“互联网连接”作为要求,因为“物联网的关键组成部分是使用标准的互联网协议来实现功能”。并且 FCC 针对“互联网连接设备”不做狭义解释,如设备可能会“与互联网断开连接,因此不再是‘物联网设备’”;而是如果设备能够连接到互联网,则其可能在任何给定时间点无法连接的事实并不排除其参与物联网标签计划的资格。FCC 不排除将来将物联网标签计划扩展到非互联网连接网络上的设备的可能性。
设备必须“能够有意发射射频能量”,虽然 FCC 承认无意或偶然发射射频能量的设备也可能造成干扰,但 FCC 发现,最初关注“有意”辐射器为新生计划提供了从发射射频能量的产品中瞄准风险最高的产品的能力。
应注意的是,FCC 指示牵头管理员酌情与 CLA 和其他利益相关者(例如,来自行业、政府和学术界的网络专家)合作,并在 NIST 指南发布更新或更改或 NIST 采用新指南后 45 天内向 FCC 建议对标签计划标准和测试程序进行任何适当修改,以保持与 NIST 指南保持一致。
CLA(Cybersecurity Label Administrator):一家经认可的第三方实体,由 FCC 承认和授权,根据 FCC 的规定管理和执行标签计划。
牵头管理员(Lead Administrator):从 CLA 中选出的一家CLA,负责执行计划的其他行政职责。
三、消费者物联网产品标准
FCC 没有在《最终规则》中说明获得标签的产品标准,在介绍中这还是个未决事项,所以没有在《最终规则》中说明产品标准的细则。
在介绍中,FCC 认为有必要制定标准,以公平公正的方式管理物联网标签计划,并确保带有 FCC 物联网标签的产品都经过相同标准的测试,以使消费者相信带有FCC 物联网标签的产品包括强大的网络安全。
FCC 将 NIST 推荐的物联网标准(NIST 核心基线)作为该计划的基础,该标准在 NISTIR 8425 中有详细讨论。NIST 标准包括以下物联网产品能力:(1)资产识别;(2)产品配置;(3)数据保护;(4)接口访问控制;(5)软件更新;(6)网络安全状态感知。NIST 标准还包括以下物联网产品开发者活动:(1)文档;(2)信息和查询接收;(3)信息发布;(4)产品教育和认知度。
但 NIST 核心基线是一般指导方针,FCC 认为必须进一步发展为要求文件(即标准)和相应的测试程序,这将证明带有 FCC 物联网标签的产品如何符合 NIST 标准,并确保一类产品中应用的一致性。
FCC 预计不会制定或确定适用于所有消费者物联网产品的单一标准。但是,可针对每种产品类型或类别制定或确定一套标准。FCC 指示牵头管理员承担支撑 NIST 核心基线的标准的初步制定,牵头管理员应与 CLA 和利益相关方(例如行业、政府和学术界的网络专家)合作:向公共安全国土安全局(PSHSB)提交确定和/或制定技术标准和测试程序的建议,由 PSHSB 审查和批准。
四、标签申请流程
FCC 采用两步流程,制造商在寻求使用 Cyber Trust Mark 的授权时必须遵循这一流程:
(1)使用经认证和牵头管理员认可的实验室(CyberLAB、CLA 实验室或内部实验室)测试物联网产品是否符合 FCC 规则,并生成测试报告;
(2)向 CLA 提出申请,以证明产品完全符合所有相关的 FCC 物联网标签计划规则。
CyberLAB(Cybersecurity Testing Laboratory):经认可的第三方实体,由CLA 承认和授权,用于评估符合标签计划要求的消费者物联网产品。
FCC 在介绍中对上述两个步骤进行了扩展性描述,申请 FCC 物联网标签的过程如下:
1.申请人必须根据 FCC 的规则确定产品是合格的产品;
2.申请人将产品交由经认证和牵头管理员认可的CyberLAB、CLA实验室或制造商的内部实验室进行测试;
3.申请人从实验室获得符合性和合规性报告;
4.根据程序向 CLA 提交使用 FCC 物联网标签的授权申请:
a.使用 CLA 的申请流程,寻求使用 FCC 物联网标签授权的实体将提交一份由 PSHSB 开发的申请;
b.每份申请必须包括由经认可的 CyberLAB、CLA 实验室或内部实验室出具的符合性报告,这些实验室的测试和报告在严格程度上与 CyberLAB 完成的测试和报告相比相一致。
5.CLA 将审查申请和证明文件,以确保其完整并符合 FCC 的规则,并将批准或拒绝申请。
6.如果申请获得批准,CLA 将向申请人提供批准通知,并授权将 FCC 物联网标签粘贴到获得授权的产品上。如果申请被拒绝,CLA 将向申请人发出拒绝通知,并解释被拒绝的原因。
被拒绝之后的再次申请
申请人只有在 CLA 认定的缺陷得到纠正后,才能重新提交被拒绝产品的申请。
申请人必须在其申请中表明:
- 在申请被拒绝后,它正在重新提交申请;
- 拒绝申请的 CLA 的名称;
- 以及 CLA 对被拒绝的原因的解释。
未能披露对相同或基本相似产品的拒绝申请将导致该产品的申请被拒绝,FCC将采取其认为适当的其他监管和/或法律行动。
申请结果复核
1.任何不服 CLA 决定的,必须首先向 CLA 申请复核。
2.任何不服 CLA 决定的,在向 CLA 申请复核之后,可以向 FCC 申请复核。
FCC 还对申请人作出了具体要求,值得一提的是,申请人申请时将提供一份声明,声明被要求声明的所有信息都是真实正确的,违反以伪证罪论处。
五、标签
1.Cyber Trust Mark
FCC 采用二元标签实施物联网标签计划,在二元标签结构下,产品要么有资格携带标签,要么不合格(即不能携带标签),而不是如新加坡使用多层标签。因为标签计划是为了更好地使普通消费者区分有标签的产品,因为有标签的产品可能比没有标签的产品提供更好的基本安全性。
2.QR Code
FCC 要求带有 Cyber Trust Mark 的产品也必须包含相应的 QR code,该 QR code 将消费者引导至一个包含有关物联网产品具体信息的注册表。
为了更具体的落实标签和 QR code发挥得提示消费者的作用,FCC 指示牵头管理员根据需要与利益相关者合作,进一步向 FCC 提出建议,以明确以下细节:
1.如何设计带有网络信任标志和 QR code的 FCC 物联网标签的标准(例如,尺寸和空白)以及此类标签的放置位置(例如,产品包装);
2.是否在某些产品或产品类别的标签上包括产品支持结束日期;
3.在标签上包括其他安全和隐私信息(例如传感器数据收集)是否对消费者有用;
4.FCC 物联网标签在商店展示和广告中的使用问题。
3.注册表
注册表是指向消费者提供的符合标签计划项目要求的消费者物联网产品信息,注册表可通过与符合要求的消费者物联网产品一起显示的 FCC 物联网标签的 QR code 链接公开访问。
该注册表包含由授权使用 FCC 物联网标签的实体(例如制造商)通过 API 提供信息,FCC 表示这个 API 会是一个通用 API 并以简单、统一的方式显示给消费者提供信息,主要包括:产品名称、生产企业名称、产品获得标签的日期和标签的当前状态(如适用)、默认密码的修改说明(默认密码不能修改时要具体说明)、关于软件更新和布丁是否自动以及如果不是自动如何访问安全更新/布丁的信息等总共 11 项信息。
FCC 在介绍中还强调注册表必须是动态的,这样消费者就可以知道产品是否失去了使用 FCC 物联网标签的授权,或者制造商是否不再提供安全更新。
六、持续义务
FCC 在介绍中强调,被授权使用 FCC 物联网标签的实体必须确保带有 FCC 物联网标签的产品继续符合 FCC 的计划要求。
FCC 认识到不同类型产品的细微差别,所以同意某些物联网产品,根据其使用寿命和风险水平,可能需要不同的更新标准才能获得 FCC 物联网标签。FCC 要求牵头管理员与利益相关者合作,并向公共安全国土安全局(PSHSB)提供建议,说明特定类别的物联网产品必须多久更新一次授权申请,以获得 FCC 物联网标签,这可能取决于产品的类型,并且该建议应与物联网产品或产品类别的相关标准建议一起提交。
分析建议
FCC 在“介绍”中对诸多条款的最终决策的主要原因之一都是为了减少该标签计划的阻碍,加速该计划上市,如:该计划是自愿性质的;该计划仅限于无线消费者物联网产品领域等。但是 FCC 在相应条款上的“严苛态度”表明了 FCC 对该计划的决心,如必须通过经认证和认可的实验室的测试,而不是简单的自证或第三方认证;范围适用于物联网产品而不是物联网设备。
FCC 提出的物联网安全标签计划,虽然是一项自愿计划,但在征求意见环节得到了诸多企业的同意。正如 FCC 在介绍中提到的一样,虽然这是一项自愿计划,但是消费者需求将会推动该项计划被广泛采用(因为消费者会倾向于选择带有标签的物联网产品)。我们建议国内企业将这一计划作为提高产品竞争力的战略布局,将这一计划要求提前纳入产品安全设计,如特别关注 NIST 的标准内容。
另外,虽然《最终规则》已经发布,并且 FCC 采取了详细的介绍来论述规则制定的原因,但是除了程序性事项被明确规定(如,申请程序),涉及指导企业行为的实质性事项仍然是未决决议,需要被授权部门进一步研究并提出具体建议(如,产品测试的具体标准,标签的具体使用)。我们也将持续关注这些实质性事项的具体结论。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。