【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)
【时事概述】
对于美国来说,物联网的发展已经成为其国内科技与经济发展的重要一环。国会已经提出几项与物联网有关的法案,包括《2017年物联网网络安全改进法案(IoTCIA)》(提出了为政府采购连网装置制定最低安全标准,但不包括一般电子设备)、《2017年的物联网消费者TIPS法案》(指示联邦贸易委员会为消费者草拟有关连网装置的教育资源)和《SMART IoT法案》(要求商务部对物联网行业的状况进行研究)。
但到目前为止没有对上述任何一项法案举行投票,反而针对一般电子设备的《IoT设备网络安全法》(以下简称“加州IoT法”)于2018年9月28日由加州州长批准,并将于2020年1月1日起实施生效。这个法案主要规定了三方面的内容:
其一,要求互联设备的制造商为设备(从路由器到智能家居)配备合理的安全性能或与设备性质和功能相适应的性能,这里主要是指适合于设备并且适用于设备收集、包含或传输信息的性能。如何达到合理的安全性能呢?该法案要求每个设备都需要一个独特的预编程密码并且他们对于每个设备都是唯一的(The preprogrammed password is unique to each device manufactured);或者要求该性能可以达到用户在首次访问设备之前生成新的身份验证方法(The device contains a security feature that requires a user to generate a new means of authentication before access is granted to the device for the first time)。
其二,要求企业采取合理管理和控制措施确保个人信息的安全,并对不再需要保留的个人信息要求采取相应手段做到难以再恢复与识别。
其三,要求企业采取和维护与信息安全流程与实践,以避免个人信息发生未经授权的访问、破坏、使用、修改或披露等风险。
相比于6月份加州通过的另一部法案《加州消费者隐私保护法》好评如潮的情况相比,加州IoT法案出台以后,美国各界对其争议较大。肯定者认为法案的推出就是一个良好的开端。反对者则认为这个法案有太多不明确的地方,存在很多模糊性条文。
为此,M姐邀请了三位曾经做过或者现在正在负责IoT领域隐私安全与保护的合规工作者,从不同的视角来谈谈各自对该加州IoT法案的看法,并提出对我国物联网立法相关影响的真知灼见(时事评论仅代表作者个人看法,不代表所服务机构观点)。
【时事评论】
朱玲凤(小米科技):
IoT(Internet Of Thing)物联网经过多年5G网络技术、人工智能以及各细分领域的发展,已经成爆炸性趋势。IoT几乎深入到我们生活的每个角落,包括智能家居、智能穿戴、智能出行等,带来了很大的便利性。然而,因为IoT设备深入我们的生活,IoT设备带来的安全问题对用户造成的影响就更为广泛,主要原因在于IoT设备收集、使用的个人数据有时更为敏感,如智能音箱等收集用户的声音,若被黑客攻击,可成为窃听装备。
IoT行业作为新兴产业,各类法律规定、行业标准等正在建立过程中,IoT设备安全问题就良莠不齐,而且安全问题在不断地繁衍变化。在此背景下出台的SB-327 Information Privacy: Connected Devices(以下简称“SB-327”),我们应当赞许。SB-327应当是世界上首部针对IoT设备的网络安全法规定,是一次大胆的尝试,且抓住了IoT设备目前比较突出的安全性问题,设备制造商普遍存在对设备设置相同的密码或者未设置用户身份认证,导致黑客很容易就控制设备,导致大范围的安全性问题。
但是SB-327第1节(a)项阐述了安全性能的基本要求(适合于设备、适合于收集到的信息以及目的在于防止未经授权的访问、篡改、披露等),(b)项直接规定了具体符合(a)项要求的技术要求(针对设备设置唯一的密码或者启用用户身份认证方法),二者结合来看IoT设备制造商只需要满足(b)项的要求,就符合设备的安全性能。但是这样的规定过于简单粗暴,不符合具体的实际:
第一,设备复杂度、收集数据的敏感性不同,不应当采取相同的安全性要求。从技术角度而言,如果需要安全存储设备密钥,需要在设备上建立独立的安全区域,如果需要建立用户身份认证方法,也需从技术上建立相应的连接链路、验证方法等,这对于IoT设备的芯片计算能力是有要求的,这点无疑是增加了简单设备的成本,如仅是一个智能电灯泡,芯片大小以及成本限制可能无法满足SB-327规定的安全性要求。反过来看,对于复杂设备如智能摄像机,仅仅是提供设备预置唯一码验证是不足以保证安全性的,还应当对唯一码的复杂性、存储空间是否独立、双重因素身份验证等有进一步的要求。
第二,僵化的将单一技术要求直接写进立法里,将导致整个行业安全性问题大爆发。笔者更建议采用FTC的guidance——“Careful Connections: Building Security in the Internet of Things”【1】的思路,“没有一个通用的清单来保证连接设备的安全性,合理的安全性取决于收集数据的数量与类型、设备的功能以及潜在安全等”,更建议如FTC建议的从多个方面入手解决这个问题,如执行基本原则“security by design”、“defense-in-depth approach”;参考行业内的最佳实践类似标准加密技术;加强产品上线前的安全测试;将安全选择作为用户的默认设置等;采取合理的方式进行安全更新等。
薛颖(完美世界,原服务于海尔集团IoT事业部):
物联设备的网络安全是在物联网产业发展中越来越受到瞩目的核心问题之一,美国加州出台的物联网网络安全法案以专门立法的形式反映了传统的网络安全和信息安全法律领域对快速发展的物联网产业的响应和革新。这一法案的适用对象为“互联设备的制造商”,意味着企业对于在加州市场销售的物联设备在“端”的设计制造环节就需要注意符合网络安全方面的法律规定,因此这部法案也可以理解为针对加州市场的物联设备的专有产品质量法。
这一法案提出物联设备具备的安全性能要同时符合三项要求,简单而言就是:适用于特定物联设备、适用于具体信息处理活动、能够确保信息安全,但同时不排除还可以有其他安全性能。因此,如果物联服务商提供的网络安全解决方案未能全面覆盖碎片化的物联设备端,而是只重视云端或传输通道的加密和安全措施,或者无法保护设备端免于未经消费者授权的访问、销毁、使用、修改或披露信息的行为,则不能视为满足该法案的要求。
这一法案同时给出了满足物联设备安全性能三项要求的两种实践方法,企业可以自选其一即可:
(1)确保每个物联设备都具有唯一的预编程密码。相应的,这一预编程密码如果构成了消费类物联设备的“设备标识符”或其一部分,则也会构成今年6月刚刚出台的加州消费者隐私法案(CCPA)下规定的“唯一个人标识符”(可用于识别连结到消费者或家庭的设备或者可用于识别特定消费者或设备的其他形式的持久或概率标识符),即成为CCPA项下的“个人信息”。同时,企业掌握的物联设备信息的数量也影响了该企业是否会触发适用CCPA的企业规模阈值。
(2)为用户在首次授予物联设备访问权限之前提供新的身份验证方法,例如允许用户可以设置数字密码(关于指纹等生物识别的身份验证方式,目前常见的情况是在激活后才好在消费类物联设备中实现)。
需要注意的是,如果有中国企业出口物联设备到加州销售,则也需要在2020年1月1日以后确保其物联设备的网络安全性能也符合这一加州物联网网络安全法案的要求。
M姐 孟洁(环球律师事务所,原服务于IoT公司出门问问):
物联网(IoT)代表了互联网发展的下一步:Web 3.0时代。通过物联网,设备可以通过互联网连接并与其他设备交互。这使得物理对象和人类能够通过通信网络相互连接,报告他们的状态和/或周围环境的状态。几年前“物联网”还是概念上的事情,如今已经成为现实并且迅猛发展,预计未来几年还会在智慧城市、智能家居、智能企业、智能车载上有大幅增长。然而,随着物联网的蓬勃发展,人们对网络安全、隐私以及可信任度的关注亦会随之升温。
在物联网环境中,从各种互连设备产生的大量个人数据带来了隐私和数据保护的风险。由于连接设备众多,并不能总是很清楚地分辨出是谁收集、访问和使用从物联网设备收集数据的一方。但是,根据透明性原则,控制者有义务用明确和简洁的语言使数据主体了解其数据的使用方式,处理其个人数据的风险、规则、保障措施和权利。物联网连接设备可能会涉及多个处理者,个人往往不了解此类处理的技术功能,因此也不了解其同意的后果,使得对数据处理的明确和知情同意要求变得具有挑战。
另一个主要问题是安全性,因为连接设备特别容易受到安全风险的影响。连接的设备具有不同的安全级别。它们在标准IT基础架构之外运行,可能缺乏足够的处理能力和存储能力来托管安全软件或采用加密、假名化或匿名化等技术来保护用户的个人信息。鉴于安全漏洞的可能性,不断导致意外或非法破坏、丢失、更改、未经授权访问或披露所处理的个人数据,使得个人数据的处理本身就会带来安全风险。因此需要控制者和处理者采取适当的技术和组织措施,以防止任何未经授权的访问、销毁、使用、修改或披露。这在加州本次IoT法案的第二、第三要点中进行了规定。
该法案第一点所说的“唯一的预编程密码”是指每个IoT设备应单独使用一个密码,并且可能是有数字、字母和符号等较长且最新的密码组成的,而非像传统的由设备商来设置一个统一且较简单的密码(默认密码),在构建时被硬编码到设备中。僵尸网络通常依赖于默认密码,而用户出于各种原因经常没有对其进行更改,因此极易被黑客攻破导致严重的网络安全问题。除了唯一的预编程密码方式外,该法案说还可以强制用户在首次连网前自设密码的形式来保证安全。
可见,加利福尼亚州的规则已经把注意力集中在物联网的安全问题上了,即使有学者认为在安全问题的处理上应该采取“减法”而非“加法”模式,但M姐认为提出一些物联网设备的安全性能要求并且上升到立法的高度,无疑是有利的。因为该法案虽然只针对加州,但是如果设备制造商想在加州销售产品,就要遵守该规定,意味着其他州企业由于销售地关系也需要遵守该法案,凭借加州的规模可以使得该法案在加州的推行能够有效地影响到美国各州甚至美国以外地区遵循的标准,即通过加州这个法案成为一个示范,即便它现在可能还不成熟,但可以为物联网安全法的一个标配。
通过加州IoT法案规定的三方面内容,我们可以看出,对于物联网企业来说,离不开安全、隐私和可信这三个核心要素。我国目前至少也已经有十余部规定不同维度物联网和移动智能终端安全、隐私和可信方面的标准,但这些标准多是推荐性的。我国是否可能仿照加州,对于特殊类型的、对国家安全有重大影响的新兴产业,以立法的形式予以保护且制定一套统一规则呢?
如果可行,M姐建议仍然应该围绕这三个核心要素进行展开:
安全,通常被定义为组织管控的环境、设备和软件的能力,需要对嵌入设备的密码等进行安全性上的要求并定期更新,比如上面提到的密码编排与个人身份认证等问题。此外,物联网的安全措施还包括安全配置与技术整合、设备安全配置、软件代码设置、软硬件紧密结合、失效保险控制(即系统因故障而“离线”时仍然是安全的)等。
隐私,要求控制者在其产品设计中自动应用适当的隐私和数据保护设置。比如当一个用户决定加入社交网络时,服务提供商可能不会自动向所有用户提供关于新服务用户的所有信息,只有在新用户采取措施手动更改默认隐私和数据保护设置后,才能扩展对该列表以外人员的访问权限。除了未经授权访问的风险控制之外,在社交媒体中共享个人信息也会带来额外的隐私风险。这些通常是由于个人对谁可以访问他们的信息以及这些人如何使用它们信息缺乏了解,比如身份盗窃事件就是一个例子。还有,尽管采取了安全措施,但在发生数据泄露的情况下,服务提供商必须要通知受影响的用户等。
可信,由于物联网构建的本来就是一个生态圈,它将用户、合作伙伴、供应商和客户的关系紧密相联,因此在这个生态圈中建立相互信任与合作的良好氛围至关重要,企业还能为自己树立可被信任的品牌效应。正如SOC 2中提到的五个“可信任服务原则”:安全性、可用性、流程完整性、保密性和隐私性。物联网生态中的所有参与者应有责任保护系统的安全性、隐私性和信任度以便执行“协议握手”,从而确保终端用户安全。因此,要求物联网生态中的供应商本身亦应具有与客户一致的政策和安全措施,控制者亦应当采用相关技术和工具对供应商的表现进行跟踪与审计,以确保为用户提供的安全与隐私、数据保护能力具有相互匹配且基准一致的水平。
[1] 参见:https://www.ftc.gov/tips-advice/business-center/guidance/careful-connections-building-security-internet-things,访问日期2018年10月6日。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点