合理的安全功能?令业界困惑的加州物联网安全法
星期二, 十月 8, 2019
该法律将于明年 1 月 1 日生效,要求制造商为设备配备 “合理的安全功能”——这具体包含什么功能仍然是一个悬而未决的问题。
律师们在本周表示,生产联网设备的公司(从 Internet 路由器到联网恒温器,再到家庭监控摄像头)需要开始为将于 2020 年 1 月 1 日生效的加利福尼亚《物联网安全法》 (California’s Internet of Things) 做准备。
问题在于,对于大多数设备来说一个简单的身份验证是否足够,还是公司需要遵循更严格的标准。
加利福尼亚州的《参议院第327号法案》于一年前获得州长的批准,该法案要求在该州售卖的所有联网设备(无论在何处制造)都必须具备 “合理的安全功能或者是其他功能”,能够适当保护产品用户以及用户的数据免遭未经授权的访问、修改、或披露。该法律规定,不允许使用单一硬编码密码,而且每台设备必须具有唯一密码,或者要求用户在首次使用该设备前设置一个新密码。
Morrison & Foerster 隐私业务合伙人 Christine Lyon 表示,按照法律条文,确保设备符合该条款要就应该就可以了。
这项法律只针对身份认证。这似乎已经足够了,但我怀疑随着时间的推移,我们会看到更多围绕安全特性的明确规定。
然而另一位律师认为,建立一个强大的认证机制只是必需的功能之一。律师事务所 BakerHostetler 的隐私与数据保护合伙人 Dan Pepper 表示,2016 年加利福尼亚的一次违规报告暗示了 “合理的安全性” 都包含什么,该报告认为互联网安全中心的 “有效网络防御的关键安全控制” 是提供足够安全保障的底线。
这项法律为企业提供了灵活性,但如果你只是实施身份认证,而没有进行更新或补丁、加密或第三方组件方面的工作,那么你就无法满足要求。认证只是一个具体示例。
律师们表示这种困惑导致很多公司在评估保持现状是否有风险,是否要等待进一步的指示。法律没有赋予消费者私人诉讼权。只有政府才能依法对公司进行调查或处罚,这是公司在评估风险时需要考虑的另一个因素。
根据律师的说法,虽然法律所要求的安全性看起来只是迈出了一小步,但受立法影响的设备数量却相当多。Pepper 表示,法律条文没有具体规定设备的类型,但该法律可能适用于 “联网设备” 一词所涵盖的一系列硬件,包括打印机和安全摄像头、智能灯泡和 Apple Watch 等产品。
他表示,有很多不同类型的设备都受到了影响。
加州法律并不是唯一一个针对联网设备安全的立法。随着 250 亿台设备预计成为全球物联网的一部分,为了提高安全性,立法者对物联网制造商的审查越来越严格。
3 月的时候,美国议员向国会提交了一项两党法案,要求向政府销售设备的物联网制造商遵守美国国家标准与技术研究院 (National Institute of Standards and Technology) 制定的准则。该法案被称为《2019年物联网网络安全改进法案》(the Internet of Things Cybersecurity Improvement Act of 2019),是联邦立法第三次要求联网设备制造商采取安全措施。自 2017 年以来,每年议员都会向国会提出一项监管物联网安全的法案。
Morrison & Foerster 的 Lyon 表示,由于该加州法律适用于在州内销售给消费者的任何设备,而且制造过多不同类型的产品成本高昂,因此该法律的影响可能是全国性的。她表示:由于法律的要求并不苛刻,而且仅为加州市场开发一种特殊版本的产品非常耗时,企业可能会在所有产品上实现这些变化。
结合《加州消费者隐私法案》 (CCPA),该法律将对公司的隐私和数据安全施加新的责任和限制。ProPrivacy.com 的数据隐私倡导者 Attila Tomasche在一份声明中说道:
CCPA 的颁布将是数据隐私的分水岭,不仅在加州,而且是在整个美国。由于在全国乃至全球范围内为加州消费者提供服务的相关业务都将被要求遵守法律,各公司很可能都在加快合规步伐。
加州法律明确不要求设备零售商和销售商需要确保遵守法律。该法律也在避免因此催生反修复议案,指出法律不要求设备需要具备 “防止用户完全控制一个联网设备,包括篡改用户设备上运行的软件或固件的能力” 的功能。
此外,执法部门保留从制造商那里收集设备信息的权利。
相关阅读