美国政府推出物联网安全标签计划，中国物联网产业如何应对？

近日，美国政府公布了一项名为“U.S. Cyber Trust Mark”的网络安全标签计划，该计划由美国联邦通讯委员会（FCC）发起，主要针对家庭物联网设备。该计划将于2024年启动，旨在帮助消费者筛选出可信的、不易受网络安全攻击的设备，从而保护消费者的合法权益。这项计划是美国政府近年来针对物联网安全出台的一系列措施中的重要组成部分，相对于其他政策，这一计划更具有商业可行性，因此受到了业界的高度关注。

一、物联网安全标签计划概况

在白宫和FCC最近发布的相关新闻稿中，我们可以得知“U.S. Cyber Trust Mark”这个物联网安全标签计划的实施条件已经逐渐成熟。此计划对物联网设备的网络安全和隐私保护具有显著作用，主要涵盖以下内容：

首先，该计划以消费类物联网设备为焦点。目前，主要针对的是家庭物联网设备，包括智能冰箱、智能空调、智能电视、智能温控器、健身追踪器等，并已经开始着手定义消费级路由器的安全标准。未来，该计划还将把路由器纳入其认证标签范围内。此外，美国能源部也宣布了合作计划，将共同研究和制定智能电表和电力逆变器的网络安全标签要求。物联网的安全隐患日益严重，尤其是针对家庭摄像头、智能冰箱等智能家居设备的攻击日益增多。因此，通过物联网安全标识计划对家庭物联网产品进行认证是非常必要的。

其次，这个计划的实施将通过产品包装上的标签来进行。标签将包括两部分：一部分是直接粘贴或印刷在产品包装盒上的标识，另一部分则是二维码。消费者可以通过扫描二维码来获取所购买的物联网产品的安全信息。这将为消费者在购买时提供重要的参考依据。

在标识方面，FCC已向美国专利商标局提交了申请，正在为该计划申请一个独特的标识商标。这个商标将是一个独特的盾牌标识形状，将粘贴在符合既定网络安全标准的产品上，以表明这些产品已经按照标准通过了网络安全认证。同时，FCC还计划为每个设备附上二维码，这些二维码可以链接到该设备的安全认证平台。这样，消费者就可以通过扫描二维码来获取关于这些智能产品的具体和可比的安全信息，包括哪些传感器数据被收集、哪些数据被共享、以及如何应对安全更新等问题。例如，如果消费者面临新的网络安全威胁或需要打补丁的情况，他们可以通过扫描二维码来了解他们的设备是否仍然通过认证。

第三，多个机构正在联合推动该计划的实施。FCC是这一计划的发起机构，此前，FCC还与美国政府以及多个行业组织合作来推动该计划的实施。在制定物联网产品的认证标准方面，该计划将利用利益相关方主导的工作，根据美国国家标准和技术研究所（NIST）发布的具体网络安全标准来认证和标记产品。这些标准包括唯一和强大的默认密码、数据保护、软件更新和事件检测能力等方面的要求。NIST在去年9月发布了一个针对消费物联网产品的基线标准，后续相关标准将进一步完善。此外，美国联邦贸易委员会也在其中发挥了重要作用。第三方机构的实验室可能将承担认证的工作，例如CSA（Connectivity Standards Alliance）、消费者技术协会（Consumer Technology Association）等。

在市场推广方面，美国政府相关机构将支持FCC对消费者进行教育，让消费者注意到这个新的安全标签，并根据标签提供的安全信息做出购买决策。同时，美国主要零售商也将被鼓励优先考虑将贴有这个标识的物联网产品放在货架上和电商平台上。

此外，为了保障监督实施，FCC还计划与其他监管机构和美国司法部合作，建立监督和执行保障措施，以维持公众对这一计划的信任和信心。

第四，虽然是自愿性计划，但主导厂商已表示支持“U.S. Cyber Trust Mark”并不是一个强制性的计划，白宫和FCC明确各制造商和零售商可自愿选择加入。不过，在这一计划发布的同时，与家庭物联网相关的头部厂商基本上已宣布支持该计划。白宫发布的新闻稿中提到，发布会当天参与的机构包括亚马逊、百思买、卡内基梅隆大学、CyLab、思科、CSA、消费者报告机构、消费者技术协会、谷歌、英飞凌、信息技术产业委员会、IoXT、是德科技、LG电子美国公司、罗技、OpenPolicy、Qorvo、高通、三星电子、UL、耶鲁和August U.S.。可以看出，这些机构涵盖了消费物联网全产业链各个环节，且很多都是产业链具有话语权的机构，既有制造商，也有零售平台，还有监测认证机构、联盟组织和高校，有这些机构的推动，“U.S. Cyber Trust Mark”虽然是自愿性计划，但很有可能会成为市场广为接受的“准强制性”要求。当然，在首批支持者群体中，少了苹果这一角色，似乎有些遗憾。5、与盟友加强合作，意在将该认证推向全球白宫在其新闻稿中提到，在国际上，美国政府将支持FCC与盟友和合作伙伴一起协调标准，并寻求对类似标签工作的相互认可。例如，美国提出已和欧盟推动统一标准的合作，并开始接触新加坡的网络安全标签计划。可以看出，美国政府也希望其物联网可信安全标签计划能够成为一个“全球公认的标签”。

二、从能源之星计划的启示，更具商业可行性

十年前，美国立法者已经认识到物联网带来的安全威胁，并开始推动物联网安全方面的立法。2018年，加利福尼亚州通过了《IoT设备网络安全法》，这是美国第一部针对物联网安全的法律，具有历史性的意义。随后，在2020年，时任总统特朗普正式签署了《物联网网络安全改进法》，成为美国首个全国范围内的物联网安全法律。

在该法律中，物联网产品被明确定义为：至少含有一个传感器（传感器或驱动器）用于与物理世界直接交互，至少含有一个网络接口，并且不是传统的信息技术设备（如智能手机和笔记本电脑）。这类产品的网络安全特性的识别和实施已被充分了解，并且能够独立工作，而不是只能作为另一个设备组件进行工作，如处理器。根据这一定义，目前家庭中使用的各类智能家居设备产品都在这一范围之内。

在2021年，总统拜登签发了《关于改善国家网络安全行政令》，其中包括：

在本命令发布后的270天内，商务部长通过NIST局长与联邦贸易委员会(FTC)主席和NIST局长认为适当的其他机构的代表进行协调，确定消费者标签计划的物联网网络安全标准，并考虑此类消费者标签计划是否可以与任何符合适用法律的类似现有政府计划一起运作或复制。这些标准应反映产品可能经历的越来越全面的测试和评估水平，并应使用或兼容制造商用来告知消费者其产品安全性的现有标签方案。NIST总监应检查所有相关信息、标签和激励计划，并采用最佳实践。该审查应关注消费者的易用性，并确定可以采取哪些措施来最大限度地提高制造商的参与度。

自那时起，物联网安全标签计划便开始加速推进。2022年10月，白宫召集了来自物联网企业、高校、第三方协会和多个政府部门的代表，共同商讨物联网安全标签计划的实施。在会议中，参考“能源之星(Energy Star)”计划成为了推动物联网安全标签计划的重要参考。

能源之星是美国能源部和环保署联合发起的政府计划，旨在保护环境、节约能源。该计划最早在电脑上推广，后来逐渐扩展到30多种产品，如家用电器、制热/制冷设备、电子产品等。能源之星计划是自愿性的，其标准通常比联邦标准节能20-30%，因此已经成为消费者和企业购买决策的重要参考。为了获得能源之星的认证标签，制造商必须提交由认可的实验室出具的测试结果，确保产品符合标准。借鉴能源之星的成功经验，相关机构也开展了物联网安全标签的初步研究。例如，应邀参加会议的卡内基梅隆大学旗下的实验室就提出一个物联网安全标签的原型如下：

从标签原型可以看出，该标签提供了关于安全更新、访问控制、收集数据等方面的信息。更重要的是，标签注明了收集数据的用途、存储位置、分享对象以及是否售卖数据等信息，涵盖了用户关注的隐私信息和厂商的承诺。然而，如果全部显示标签信息，所需空间会很大，许多产品包装盒上可能无法提供足够的空间。因此，可以通过二维码的形式来提供相关信息。除了借鉴能源之星的启示，海外也有类似的物联网安全标签计划可供参考，例如新加坡之前推出的网络安全标签计划旨在改善物联网安全性。最初该计划仅针对路由器和网关，后来扩展到所有消费级物联网设备，如摄像头、智能门锁、智能灯具和智能打印机等。

新加坡的物联网安全标签计划将所有联网的消费设备分为四个等级。第一级需要满足基本的安全要求，第二级需要遵守安全设计规范，第三级需要不存在已知的常见软件漏洞，第四级则需要能够抵抗常见的网络攻击。其中，第一和第二等级只需制造商自己出具符合性声明，而第三和第四等级必须经过第三方独立测试才能获得认证。这一计划得到了芬兰和德国的认可。

三、对国内物联网产业的建议

2024年，“U.S. Cyber Trust Mark”计划正式实施，届时很多消费类物联网产品都将进行标签认证并在美国乃至全球市场得到认可。国内物联网市场并不是一个封闭的群体，需高度关注这一计划的相关进度，积极推动物联网产品安全的建设。在笔者看来，我们可以从两方面来分析美国这一计划对国内的影响。

1、国内出海的物联网企业应积极重视并加入这一计划

本次物联网安全计划针对的是消费物联网产品，尤其是智能家居产品。中国是智能家居产出的大国，也是智能家居出口的大国。以家电为例，根据海关总署的数据，2023年1-6月，我国累计出口家用电器17.3亿台，同比增长1.4 %，虽然对美国出口市场份额大幅下滑，但美国依然是我国家电业出口额最高的地区。出口的家电产品中，有相当部分是智能家电。虽然“U.S. Cyber Trust Mark”计划不是强制性的，但它依然会显著影响到我国出口产品的竞争力。能源之星计划或许可以对其起到参考作用，根据海关总署发布的数据，2022年我国输美的电机、电气、音像设备及其零附件出口额高达9501.5亿元，其中相当一部分是能源之星认证范畴内的产品，能源之星认证推动本土品牌“走出去”，也优化了营商环境。参考能源之星计划，我国企业可以提前了解“U.S. Cyber Trust Mark”计划的规则，积极加入这一认证，获得出海竞争力。实际上，国内多家企业已开始行动，例如涂鸦智能近期就宣布将推动其生态产品积极加入这一计划。鉴于美国计划将“U.S. Cyber Trust Mark”计划推向全球各盟国互认，未来我国物联网出海产品或许会将复合这一标签认证作为标配。

2、提前筹划，建设本土的物联网安全标签认证实验室

为获得“U.S. Cyber Trust Mark”标签，美国将委托第三方认证机构对物联网产品进行安全检测，对于国内出海产品，若能在本土授权机构获得认证，将大幅降低出海成本。仍然以能源之星为例，2010年，美国环保署发布通知，要求进行能源之星产品检测的实验室需要提前获得其授权的认可机构认可，出具的检测结果才能被美方接受，这给我国电子电器、计算机、家用电器、照明等能源之星认证范围内的产品出口美国市场带来不确定性。中国合格评定国家认可委员会(CNAS)做了大量工作，最终正式进入能源之星授权的认可机构名录。目前我国获认可的能源之星实验室数量已达到80余家，约占全球总数的四分之一。依托认可的国际互认成果，国内实验室的检测数据直接被美方承认，不仅大大缩短了产品备案周期，还大幅节约企业尤其是中小微企业的测试验证成本。借鉴这一经验，国内相关机构可以提前进行筹划，了解美国对于物联网安全认证的相关规范，建设本土认证实验室，助力国内物联网企业尤其是中小企业产品出口。

3、积极推动我国物联网安全研究和监管体系建设

我国物联网连接数已居全球首位，物联网安全压力很大，物联网安全体系建设不容忽视。目前，我国虽然在多个物联网政策中提出了加快物联网安全体系建设，但还没有专门针对物联网安全的法律法规。在海外物联网安全立法、物联网安全标签体系建设的背景下，国内需加强这一领域工作，借鉴海外经验，构建适合国内产业生态的安全体系。