美國(guó)《2020物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》正式出臺(tái) (附全文翻譯)
2020-12-17
來(lái)源: CAICT互聯(lián)網(wǎng)法律研究中心
《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》將對(duì)美國(guó)物聯(lián)網(wǎng)建設(shè)產(chǎn)生巨大影響,,并有可能對(duì)我國(guó)的物聯(lián)網(wǎng)設(shè)備出口產(chǎn)生沖擊,。
2020年12月4日,,美國(guó)《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(Internet of Things Cybersecurity Improvement Act)被美國(guó)總統(tǒng)特朗普正式簽署,,成為美國(guó)法律,。[1]歷經(jīng)多年,,幾經(jīng)波折,,《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》終于正式出臺(tái)?!段锫?lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》將對(duì)美國(guó)物聯(lián)網(wǎng)建設(shè)產(chǎn)生巨大影響,,并有可能對(duì)我國(guó)的物聯(lián)網(wǎng)設(shè)備出口產(chǎn)生沖擊,本文特此對(duì)相關(guān)情況進(jìn)行梳理介紹,,供有關(guān)機(jī)構(gòu)決策和學(xué)術(shù)研究參考,。
1、《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》歷程
2016年,,Mirai僵尸網(wǎng)絡(luò)等攻擊導(dǎo)致了幾個(gè)熱門(mén)網(wǎng)站發(fā)生癱瘓,,并由此引發(fā)了人們對(duì)物聯(lián)網(wǎng)設(shè)備安全需求的關(guān)注。這促使美國(guó)立法者逐漸意識(shí)到,,美國(guó)需要跟上物聯(lián)網(wǎng)設(shè)備帶來(lái)的數(shù)據(jù)指數(shù)級(jí)增長(zhǎng)趨勢(shì),,并確保適當(dāng)?shù)陌踩院捅Wo(hù)措施。
2017年,,在大西洋理事會(huì)(Atlantic Council)和哈佛大學(xué)(Harvard University)的幫助下,,美國(guó)弗吉尼亞州民主黨參議員馬克沃納和科羅拉多州共和黨參議員克里加德納提出新法案《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,該法案試圖建立一個(gè)框架,,要求聯(lián)邦政府的設(shè)備供應(yīng)商遵循行業(yè)范圍內(nèi)的安全實(shí)踐,,例如確保可穿戴設(shè)備,、智能傳感器等設(shè)備能修復(fù)漏洞,、更新密碼、推向市場(chǎng)時(shí)不存在已知安全漏洞,。[2]該法案目的是期望阻止政府購(gòu)買(mǎi)存在少數(shù)幾種明顯安全漏洞的聯(lián)網(wǎng)設(shè)備,,[3]但該法案最終因多方面原因并未通過(guò)。
2019年3月11日,,美國(guó)立法者向國(guó)會(huì)重新提出了提出了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(編號(hào)為HR 1668),,該法案通過(guò)為美國(guó)政府機(jī)構(gòu)購(gòu)買(mǎi)的所有物聯(lián)網(wǎng)設(shè)備設(shè)定最低安全標(biāo)準(zhǔn)的方式解決其相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)。在提出階段,,該法案得到了德克薩斯州共和黨眾議員威爾·赫德(Will Hurd),、伊利諾伊州民主黨眾議員羅賓·凱利(Robin Kelly)、弗吉尼亞州民主黨參議員馬克·華納(Mark Warner),、科羅拉多州共和黨議員科里·加德納(Cory Gardner)的支持,。[4]該法案即為《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》的原始版本。[5]
2020年9月14日,,美國(guó)眾議院通過(guò)了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》(HR 1668),,并提交參議院審議。2020年11月17日,,參議院未經(jīng)修改通過(guò)了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,,將該法案呈交給白宮,,供總統(tǒng)簽署。2020年12月7日,,特朗普總統(tǒng)正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》,,使其成為法律。[6]
2,、《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》內(nèi)容
《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》要求美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)發(fā)布聯(lián)邦政府使用物聯(lián)網(wǎng)設(shè)備的標(biāo)準(zhǔn)和指南,,并指示白宮管理和預(yù)算辦公室(OMB)審查政府政策,以確保它們符合NIST指南,,聯(lián)邦機(jī)構(gòu)將不得購(gòu)買(mǎi)不符合安全要求的物聯(lián)網(wǎng)設(shè)備,。在該法中,物聯(lián)網(wǎng)定義與《對(duì)物聯(lián)網(wǎng)設(shè)備制造商的建議:基礎(chǔ)活動(dòng)和核心設(shè)備網(wǎng)絡(luò)安全能力基線》這一文件中的物聯(lián)網(wǎng)定義保持一致,,認(rèn)為其是“能夠獨(dú)立工作,,擁有網(wǎng)絡(luò)接口,至少有一個(gè)傳感器(傳感器或驅(qū)動(dòng)器)用于與物理世界直接交互的設(shè)備”,,其涵蓋范圍非常廣泛,。同時(shí),法案規(guī)定了保護(hù)聯(lián)邦機(jī)構(gòu)免受網(wǎng)絡(luò)攻擊的責(zé)任等級(jí),,執(zhí)行部門(mén),、管理和預(yù)算辦公室、國(guó)土安全部部長(zhǎng)以及各個(gè)此類(lèi)機(jī)構(gòu)的負(fù)責(zé)人共同負(fù)責(zé)監(jiān)督美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)制定的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn),。該法還要求美國(guó)聯(lián)邦機(jī)構(gòu)和供應(yīng)商僅使用符合規(guī)定標(biāo)準(zhǔn)的設(shè)備,,并將影響設(shè)備的已知漏洞通知機(jī)構(gòu)等。
《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》的簽署意味著美國(guó)網(wǎng)絡(luò)安全方面邁出了重要的一步,,能夠確保在較大程度上美國(guó)政府物聯(lián)網(wǎng)設(shè)備的安全性,,同時(shí)也意味著美國(guó)將針對(duì)物聯(lián)網(wǎng)設(shè)備開(kāi)展更嚴(yán)密的審查,至于是否對(duì)我國(guó)物聯(lián)網(wǎng)設(shè)備出口產(chǎn)生影響還有待進(jìn)一步觀察,。
3,、法律全文