美國政府推出物聯網安全標簽計劃，中國物聯網產業如何應對？

近日，美國政府公布了一項名為“U.S. Cyber Trust Mark”的網絡安全標簽計劃，該計劃由美國聯邦通訊委員會（FCC）發起，主要針對家庭物聯網設備。該計劃將于2024年啟動，旨在幫助消費者篩選出可信的、不易受網絡安全攻擊的設備，從而保護消費者的合法權益。這項計劃是美國政府近年來針對物聯網安全出臺的一系列措施中的重要組成部分，相對于其他政策，這一計劃更具有商業可行性，因此受到了業界的高度關注。

一、物聯網安全標簽計劃概況

在白宮和FCC最近發布的相關新聞稿中，我們可以得知“U.S. Cyber Trust Mark”這個物聯網安全標簽計劃的實施條件已經逐漸成熟。此計劃對物聯網設備的網絡安全和隱私保護具有顯著作用，主要涵蓋以下內容：

首先，該計劃以消費類物聯網設備為焦點。目前，主要針對的是家庭物聯網設備，包括智能冰箱、智能空調、智能電視、智能溫控器、健身追蹤器等，并已經開始著手定義消費級路由器的安全標準。未來，該計劃還將把路由器納入其認證標簽范圍內。此外，美國能源部也宣布了合作計劃，將共同研究和制定智能電表和電力逆變器的網絡安全標簽要求。物聯網的安全隱患日益嚴重，尤其是針對家庭攝像頭、智能冰箱等智能家居設備的攻擊日益增多。因此，通過物聯網安全標識計劃對家庭物聯網產品進行認證是非常必要的。

其次，這個計劃的實施將通過產品包裝上的標簽來進行。標簽將包括兩部分：一部分是直接粘貼或印刷在產品包裝盒上的標識，另一部分則是二維碼。消費者可以通過掃描二維碼來獲取所購買的物聯網產品的安全信息。這將為消費者在購買時提供重要的參考依據。

在標識方面，FCC已向美國專利商標局提交了申請，正在為該計劃申請一個獨特的標識商標。這個商標將是一個獨特的盾牌標識形狀，將粘貼在符合既定網絡安全標準的產品上，以表明這些產品已經按照標準通過了網絡安全認證。同時，FCC還計劃為每個設備附上二維碼，這些二維碼可以鏈接到該設備的安全認證平臺。這樣，消費者就可以通過掃描二維碼來獲取關于這些智能產品的具體和可比的安全信息，包括哪些傳感器數據被收集、哪些數據被共享、以及如何應對安全更新等問題。例如，如果消費者面臨新的網絡安全威脅或需要打補丁的情況，他們可以通過掃描二維碼來了解他們的設備是否仍然通過認證。

第三，多個機構正在聯合推動該計劃的實施。FCC是這一計劃的發起機構，此前，FCC還與美國政府以及多個行業組織合作來推動該計劃的實施。在制定物聯網產品的認證標準方面，該計劃將利用利益相關方主導的工作，根據美國國家標準和技術研究所（NIST）發布的具體網絡安全標準來認證和標記產品。這些標準包括唯一和強大的默認密碼、數據保護、軟件更新和事件檢測能力等方面的要求。NIST在去年9月發布了一個針對消費物聯網產品的基線標準，后續相關標準將進一步完善。此外，美國聯邦貿易委員會也在其中發揮了重要作用。第三方機構的實驗室可能將承擔認證的工作，例如CSA（Connectivity Standards Alliance）、消費者技術協會（Consumer Technology Association）等。

在市場推廣方面，美國政府相關機構將支持FCC對消費者進行教育，讓消費者注意到這個新的安全標簽，并根據標簽提供的安全信息做出購買決策。同時，美國主要零售商也將被鼓勵優先考慮將貼有這個標識的物聯網產品放在貨架上和電商平臺上。

此外，為了保障監督實施，FCC還計劃與其他監管機構和美國司法部合作，建立監督和執行保障措施，以維持公眾對這一計劃的信任和信心。

第四，雖然是自愿性計劃，但主導廠商已表示支持“U.S. Cyber Trust Mark”并不是一個強制性的計劃，白宮和FCC明確各制造商和零售商可自愿選擇加入。不過，在這一計劃發布的同時，與家庭物聯網相關的頭部廠商基本上已宣布支持該計劃。白宮發布的新聞稿中提到，發布會當天參與的機構包括亞馬遜、百思買、卡內基梅隆大學、CyLab、思科、CSA、消費者報告機構、消費者技術協會、谷歌、英飛凌、信息技術產業委員會、IoXT、是德科技、LG電子美國公司、羅技、OpenPolicy、Qorvo、高通、三星電子、UL、耶魯和August U.S.?？梢钥闯?，這些機構涵蓋了消費物聯網全產業鏈各個環節，且很多都是產業鏈具有話語權的機構，既有制造商，也有零售平臺，還有監測認證機構、聯盟組織和高校，有這些機構的推動，“U.S. Cyber Trust Mark”雖然是自愿性計劃，但很有可能會成為市場廣為接受的“準強制性”要求。當然，在首批支持者群體中，少了蘋果這一角色，似乎有些遺憾。5、與盟友加強合作，意在將該認證推向全球白宮在其新聞稿中提到，在國際上，美國政府將支持FCC與盟友和合作伙伴一起協調標準，并尋求對類似標簽工作的相互認可。例如，美國提出已和歐盟推動統一標準的合作，并開始接觸新加坡的網絡安全標簽計劃?？梢钥闯?，美國政府也希望其物聯網可信安全標簽計劃能夠成為一個“全球公認的標簽”。

二、從能源之星計劃的啟示，更具商業可行性

十年前，美國立法者已經認識到物聯網帶來的安全威脅，并開始推動物聯網安全方面的立法。2018年，加利福尼亞州通過了《IoT設備網絡安全法》，這是美國第一部針對物聯網安全的法律，具有歷史性的意義。隨后，在2020年，時任總統特朗普正式簽署了《物聯網網絡安全改進法》，成為美國首個全國范圍內的物聯網安全法律。

在該法律中，物聯網產品被明確定義為：至少含有一個傳感器（傳感器或驅動器）用于與物理世界直接交互，至少含有一個網絡接口，并且不是傳統的信息技術設備（如智能手機和筆記本電腦）。這類產品的網絡安全特性的識別和實施已被充分了解，并且能夠獨立工作，而不是只能作為另一個設備組件進行工作，如處理器。根據這一定義，目前家庭中使用的各類智能家居設備產品都在這一范圍之內。

在2021年，總統拜登簽發了《關于改善國家網絡安全行政令》，其中包括：

在本命令發布后的270天內，商務部長通過NIST局長與聯邦貿易委員會(FTC)主席和NIST局長認為適當的其他機構的代表進行協調，確定消費者標簽計劃的物聯網網絡安全標準，并考慮此類消費者標簽計劃是否可以與任何符合適用法律的類似現有政府計劃一起運作或復制。這些標準應反映產品可能經歷的越來越全面的測試和評估水平，并應使用或兼容制造商用來告知消費者其產品安全性的現有標簽方案。NIST總監應檢查所有相關信息、標簽和激勵計劃，并采用最佳實踐。該審查應關注消費者的易用性，并確定可以采取哪些措施來最大限度地提高制造商的參與度。

自那時起，物聯網安全標簽計劃便開始加速推進。2022年10月，白宮召集了來自物聯網企業、高校、第三方協會和多個政府部門的代表，共同商討物聯網安全標簽計劃的實施。在會議中，參考“能源之星(Energy Star)”計劃成為了推動物聯網安全標簽計劃的重要參考。

能源之星是美國能源部和環保署聯合發起的政府計劃，旨在保護環境、節約能源。該計劃最早在電腦上推廣，后來逐漸擴展到30多種產品，如家用電器、制熱/制冷設備、電子產品等。能源之星計劃是自愿性的，其標準通常比聯邦標準節能20-30%，因此已經成為消費者和企業購買決策的重要參考。為了獲得能源之星的認證標簽，制造商必須提交由認可的實驗室出具的測試結果，確保產品符合標準。借鑒能源之星的成功經驗，相關機構也開展了物聯網安全標簽的初步研究。例如，應邀參加會議的卡內基梅隆大學旗下的實驗室就提出一個物聯網安全標簽的原型如下：

從標簽原型可以看出，該標簽提供了關于安全更新、訪問控制、收集數據等方面的信息。更重要的是，標簽注明了收集數據的用途、存儲位置、分享對象以及是否售賣數據等信息，涵蓋了用戶關注的隱私信息和廠商的承諾。然而，如果全部顯示標簽信息，所需空間會很大，許多產品包裝盒上可能無法提供足夠的空間。因此，可以通過二維碼的形式來提供相關信息。除了借鑒能源之星的啟示，海外也有類似的物聯網安全標簽計劃可供參考，例如新加坡之前推出的網絡安全標簽計劃旨在改善物聯網安全性。最初該計劃僅針對路由器和網關，后來擴展到所有消費級物聯網設備，如攝像頭、智能門鎖、智能燈具和智能打印機等。

新加坡的物聯網安全標簽計劃將所有聯網的消費設備分為四個等級。第一級需要滿足基本的安全要求，第二級需要遵守安全設計規范，第三級需要不存在已知的常見軟件漏洞，第四級則需要能夠抵抗常見的網絡攻擊。其中，第一和第二等級只需制造商自己出具符合性聲明，而第三和第四等級必須經過第三方獨立測試才能獲得認證。這一計劃得到了芬蘭和德國的認可。

三、對國內物聯網產業的建議

2024年，“U.S. Cyber Trust Mark”計劃正式實施，屆時很多消費類物聯網產品都將進行標簽認證并在美國乃至全球市場得到認可。國內物聯網市場并不是一個封閉的群體，需高度關注這一計劃的相關進度，積極推動物聯網產品安全的建設。在筆者看來，我們可以從兩方面來分析美國這一計劃對國內的影響。

1、國內出海的物聯網企業應積極重視并加入這一計劃

本次物聯網安全計劃針對的是消費物聯網產品，尤其是智能家居產品。中國是智能家居產出的大國，也是智能家居出口的大國。以家電為例，根據海關總署的數據，2023年1-6月，我國累計出口家用電器17.3億臺，同比增長1.4 %，雖然對美國出口市場份額大幅下滑，但美國依然是我國家電業出口額最高的地區。出口的家電產品中，有相當部分是智能家電。雖然“U.S. Cyber Trust Mark”計劃不是強制性的，但它依然會顯著影響到我國出口產品的競爭力。能源之星計劃或許可以對其起到參考作用，根據海關總署發布的數據，2022年我國輸美的電機、電氣、音像設備及其零附件出口額高達9501.5億元，其中相當一部分是能源之星認證范疇內的產品，能源之星認證推動本土品牌“走出去”，也優化了營商環境。參考能源之星計劃，我國企業可以提前了解“U.S. Cyber Trust Mark”計劃的規則，積極加入這一認證，獲得出海競爭力。實際上，國內多家企業已開始行動，例如涂鴉智能近期就宣布將推動其生態產品積極加入這一計劃。鑒于美國計劃將“U.S. Cyber Trust Mark”計劃推向全球各盟國互認，未來我國物聯網出海產品或許會將復合這一標簽認證作為標配。

2、提前籌劃，建設本土的物聯網安全標簽認證實驗室

為獲得“U.S. Cyber Trust Mark”標簽，美國將委托第三方認證機構對物聯網產品進行安全檢測，對于國內出海產品，若能在本土授權機構獲得認證，將大幅降低出海成本。仍然以能源之星為例，2010年，美國環保署發布通知，要求進行能源之星產品檢測的實驗室需要提前獲得其授權的認可機構認可，出具的檢測結果才能被美方接受，這給我國電子電器、計算機、家用電器、照明等能源之星認證范圍內的產品出口美國市場帶來不確定性。中國合格評定國家認可委員會(CNAS)做了大量工作，最終正式進入能源之星授權的認可機構名錄。目前我國獲認可的能源之星實驗室數量已達到80余家，約占全球總數的四分之一。依托認可的國際互認成果，國內實驗室的檢測數據直接被美方承認，不僅大大縮短了產品備案周期，還大幅節約企業尤其是中小微企業的測試驗證成本。借鑒這一經驗，國內相關機構可以提前進行籌劃，了解美國對于物聯網安全認證的相關規范，建設本土認證實驗室，助力國內物聯網企業尤其是中小企業產品出口。

3、積極推動我國物聯網安全研究和監管體系建設

我國物聯網連接數已居全球首位，物聯網安全壓力很大，物聯網安全體系建設不容忽視。目前，我國雖然在多個物聯網政策中提出了加快物聯網安全體系建設，但還沒有專門針對物聯網安全的法律法規。在海外物聯網安全立法、物聯網安全標簽體系建設的背景下，國內需加強這一領域工作，借鑒海外經驗，構建適合國內產業生態的安全體系。