近日,国家互联网信息办公室等三部门联合印发《网络安全标识管理办法》(以下简称“办法”),该办法将于7月1日起实施。过去几年,美国、欧盟、日本、新加坡等国家和地区大力推进物联网安全标签体系,业界也曾呼吁应尽快建立起中国版的物联网安全标签体系。如今《办法》的发布,虽然并非专门指向物联网产品,但物联网产品占据具有互联网联网功能产品大部分比例,因此在一定程度上可以认为是中国版物联网安全标签体系初步版本的发布,将进一步提升物联网产品竞争力。
消费物联网产品将成为《办法》适用的典型对象
《办法》中指出“具有互联网联网功能的产品适用于本办法,具体产品实施目录管理”。在去年11月份,该办法征求意见稿中已附上了首批实施网络安全标识的产品目录,纳入首批目录的是消费类网联摄像头,这是一个典型的消费物联网产品。
物联网产品基本都具备互联网联网功能,尤其是消费物联网产品作为智能互联设备,面向广大消费群体,不少产品拥有上亿甚至数亿用户基础,而消费者并不具备网络安全的专业知识和能力,因此在消费物联网领域实施网络安全标识,对于保护广大消费者合法权益具有重要意义。这意味着,未来市场上大量的智能摄像头、智能音箱、智能门锁、智能家电等产品可能都将被纳入该办法的适用范围。
《办法》虽然还未发布具体的产品实施目录,但分析互联网联网功能的产品,我们不难发现,当前消费物联网产品在这类产品中占据大部分的份额,因此可以说,《办法》实际上也是针对消费物联网安全的一个制度。
国际接轨与自身特色并重,设计产品可信体系制度
此前,美国、欧盟、新加坡等国家和地区大力推动自身物联网安全标签计划,与这些国家和地区相比,我国的制度设计思路体现出国际接轨和自身特色并重的特点。
1、自愿参与原则,推动以消费者“用脚投票”来倒逼产品生产者提升安全能力
《办法》第三条就明确提出:网络安全标识管理工作坚持统筹发展和安全,产品生产者按照自愿原则参与。鼓励产品生产者依据本办法提升产品网络安全能力,标注网络安全标识。鼓励消费者优先选用标注网络安全标识的产品。
采用自愿性的原则,最大程度保证这项制度坚持市场化导向,给消费者提供标识出更具安全性能的产品,让消费者具有更多选择,形成“优质优价”的市场选择机制,进一步引导企业加大对产品安全性能的投入,保障该制度有效实施。这种模式旨在平衡安全与发展,尊重企业自主权,同时通过透明信息让市场发挥资源配置作用。
自愿性原则也得到多个国家的采用,成为一种共识。例如,美国的物联网安全标签计划已明确属于自愿性计划,依赖于公私合作,由联邦通讯委员会(FCC)监督,第三方标签管理员具体运作。不过,美国这一计划已得到头部厂商和产业链关键环节的广泛支持,使其在市场上具备一定的“准强制性”要求。
不过,欧盟的网络安全标识计划具有强制性,主要是通过《网络弹性法案》(CRA)来实施,要求所有带数字元素的产品在投放市场前必须满足网络安全要求,并贯穿整个生命周期,违者将面临高额罚款。
2、基于技术标准进行等级划分,分类分级保障实施
我国《办法》建立了一个清晰的三级分级体系,即基础级(一星)、增强级(二星)和领先级(三星),并对每个等级提出了差异化的安全要求。基础级对标国家标准底线要求(如无弱口令、漏洞管理等);增强级要求产品网络安全能力达到同类产品先进水平;领先级要求产品网络安全能力达到同类产品领先水平,同时还应通过渗透性测试方法,检测抵御高级别网络攻击的能力。这种分级分类方法能够精准匹配不同产品的安全需求和市场定位。
在标识载体上,采用了透明化管理,标识必须包含备案信息码,消费者扫码即可获取检测报告、关键指标、生产者符合性声明等详细信息,增强标识的信息含量和可信度。
《办法》强调,安全要求应当和现行国家标准、国际标准做好衔接,充分借鉴吸收其它实施网络安全标识制度国家和地区的相关经验。横向对比,相关国家和地区同类制度也采取了快速获取信息和分类分级的方式。
例如,美国的物联网安全标签计划的标识也会有一个二维码,扫码可获取产品安全支持期限、更新策略等详细信息,其标准主要依据NIST(美国国家标准与技术研究院)的相关指南;新加坡的物联网网络安全标识也采用星级(Tier)分级,从一星到四星,安全要求逐级提高,高级别的需要第三方实验室测试;而欧盟的CRA虽未采用星级标签,但通过协调标准进行符合性评估,并对产品进行风险分类,对重要和关键产品实施更严格的合格评定程序。
我国制度在分级理念上与新加坡相似,但在具体等级定义和要求上更侧重于与国内产业水平和国家标准衔接,并明确提出了“领先级”需通过渗透性测试这一更加严格的验证方法。同时,通过二维码溯源的设计在信息透明度和消费者快速可及性上,与美国的实践理念类似。
3、全流程监管的实施过程与责任分工
分析《办法》监督管理相关条款,不难发现我国构建了“事前备案-事中监督-事后追责”的全流程监管体系,责任划分清晰。
在事前备案中,企业通过备案机构建设的统一平台进行线上备案,备案机构在10个工作日内完成形式审查。同时,检测环节也比较灵活,一星、二星产品可由自有实验室或第三方机构检测,三星产品则强制要求第三方渗透测试。
在事中监督中,由国家网信办、工信部、公安部及地方对应部门负责监督检查,并强调跨部门信息共享与协同。
在事后追责中,规定了详细的撤销备案情形、并对违规生产者和出具虚假报告的检测机构设置了失信惩戒措施,违规行为还将被纳入全国信用信息共享平台。
同时,《办法》还明确了漏洞协同治理要求,即在检测中发现安全漏洞,必须按照《网络产品安全漏洞管理规定》进行报告和修补,实现了标识管理与漏洞管理的制度衔接。
对比来看,美国、新加坡、欧盟等国家和地区也采取类似的事前-事中-事后的监管制度。其中,欧盟由于是强制性的制度,对于失信行为具有更加严格的惩罚措施。
国际化工作还需要进一步完善
《办法》虽然对标识管理形成完善的一套体系,但针对产品出海以及海外产品进入中国过程中的安全标识管理,暂未形成相关规定。
过去几年,美国、新加坡、欧盟、日本等国家和地区加快物联网安全标签计划的国际互认,推动产品安全治理的国际协同。在我国智能互联产品大规模“走出去”的背景下,产品生产企业需要进一步符合海外物联网安全标签计划的要求,进行相关测试、认证和备案。若我国的网络安全标识制度能够和海外相关计划达成跨境合作,则会大幅降低企业出海成本,提升企业海外竞争力。因此,推动国际化是网络安全标识工作下一步的一个重点方向。
总结而言,《网络安全标识管理办法》的出台,标志着我国对消费物联网产品的安全管理从相对粗放走向精细化和市场化。通过分级标识引导产品升级、透明信息赋能消费者选择、全链条监管压实主体责任,又通过集中备案、信用惩戒、漏洞协同等设计,形成了具有中国特色的治理模式,旨在将网络安全内化为消费物联网产品的内生属性。虽然具体实施细节有待完善,但该制度无疑将为消费物联网产业的高质量发展与安全可靠发展提供强有力的制度工具,最终让网络安全标识成为消费者放心的一张名片。
