我们最近研究了一（yī）些来自（zì）家庭中智能或连网设备的安全（quán）威胁（xié），以（yǐ）及我们可以采用的解决方案。这（zhè）些威胁之所以出现（xiàn），是（shì）因为当我们购买这些设备时，它们通常是（shì）不安全（quán）的。解决方案似乎是显而（ér）易见的（de）——确保设（shè）备在到达我们手（shǒu）里（lǐ）之前（qián）是安（ān）全的。

因（yīn）此，需要立法。

我们将物联网（wǎng）设备分为（wéi）三大类：商业物联网（物联网（wǎng），作（zuò）为商业IT的一（yī）部分使（shǐ）用）、工业物联（lián）网（IIOT，作为工业运营的一部分使用）、消费类物联（lián）网（我们在家里使用的（de）智能设备）。

好消（xiāo）息是，世界上许（xǔ）多（duō）标准组（zǔ）织（zhī）都在致力于制定物联网标准。坏消息（xī）是，只有两（liǎng）个（gè）立法机构在认真试图保护消（xiāo）费者的（de）物（wù）联网安全（quán），他们（men）是加利福尼亚州和英（yīng）国。

时任加州州长（zhǎng）杰里·布朗于2018年9月签（qiān）署了（le）一项网络（luò）安全（quán）法案，即连（lián）网（wǎng）设备（bèi）安全法案（严格（gé）来（lái）说，是SB327），它将于2020年（nián）1月（yuè）生效（xiào）。但是，尽管该法案（àn）对密（mì）码的要求受到了赞扬，但该法案的（de）其他（tā）部分（fèn）被认（rèn）为是薄弱的。

法案要求每（měi）个生产的设备都有唯一的密码，并且要求（qiú）用户（hù）在首次获得设备访问权限之前生（shēng）成新的身份验证（zhèng）方（fāng）法。此外（wài），对“合理（lǐ）”和“适当”安（ān）全特性的要求被认为实际上毫（háo）无意义（yì），因（yīn）为制造（zào）商可能不知道（dào）这（zhè）两个词的真正含义（yì）。

计划（huá）中（zhōng）的英国立法

这只是计（jì）划中的英（yīng）国立法。如果可行，它将提高（gāo）英（yīng）国及其他（tā）地区（qū）智能设备（bèi）的安全性（xìng）。此外（wài），如果可行的话，它还可以为其他国家的（de）类（lèi）似（sì）立法提供一个蓝图，就像欧盟的一般数据保护条例（GDPR）正在为新的隐私立法提供全（quán）球蓝图一样。

在本文中（zhōng），我们将研究拟议（yì）中的（de）立法（fǎ），并考（kǎo）虑其是（shì）否（fǒu）有（yǒu）效（xiào）。

立（lì）法

英国（guó）有传统的商业立法方法（fǎ）。它首先要（yào）求（qiú）自愿遵守可接受的行为（wéi）准则（zé），通常会（huì）明确警告（gào）说，如果（guǒ）不自愿（yuàn）采取行动，立法将使其（qí）成为强制性（xìng）的。

2018年（nián）10月，数字、文化、媒体和体育部（DCMS）发布了《消（xiāo）费类物联网设备行为安全（quán）准（zhǔn）则》。它包括13条独（dú）立的建议，以确（què）保智能设备的（de）安全性，从没（méi）有默认密（mì）码（mǎ）到漏洞（dòng）披（pī）露策略（luè），以及方便消费者删除（chú）个人数据等。

这些建（jiàn）议的目的是针对结果的，而（ér）不（bú）是规定性的——它们描述了应该实（shí）现什么，但没有描述应（yīng）该如何实现。但是，它们比加利福（fú）尼亚州立（lì）法的要（yào）求（qiú）更为明（míng）确（què）。

制造商在很大程度上（shàng）忽（hū）视了（le）英（yīng）国的自愿行为准则。在商业上，如果不需要，他们（men）就不会做。今年5月（yuè），英国政（zhèng）府开始从自愿向强制过渡。DCMS就（jiù）政府关于消费（fèi）者物联网安全（quán）的（de）监管建议发布了一份咨询意（yì）见。

政府仍在缓慢（màn）推进，但毫无（wú）疑问要（yào）规范（fàn）向家庭销（xiāo）售（shòu）智能设备的意（yì）图。提议遵守行（háng）为守（shǒu）则，从（cóng）前（qián）3项开始，分阶（jiē）段引入所有13项要求。这些是：

1、所有物（wù）联网设（shè）备都应该有唯（wéi）一的（de）密码，并且不（bú）能重置为（wéi）任何通用出（chū）厂默认值。

2、制造商应提供（gòng）公共联络方式，作为漏洞披露（lù）政策（cè）的一部分，以便安全研究人（rén）员（yuán）和其他人能够报告问题。

3、制造商将明确（què）说明产品接收（shōu）安全更新的最短（duǎn）时间。

磋商，不是是否应该执（zhí）行这项法（fǎ）律，而是应该（gāi）如何执行。

在这里，英国面临着（zhe）所（suǒ）有提议监管技术的相同问题——如何在不（bú）妨（fáng）碍产品（pǐn）创新和商业运营效率的（de）情（qíng）况（kuàng）下（xià）做到这一点（diǎn）？

英国政府说：“我们意识到抑制创（chuàng）新并（bìng）对各种类（lèi）型制（zhì）造商带来沉（chén）重（chóng）负担的（de）风险，这就是为什么（me）我们（men）一直致力于根（gēn）据《行为准则》的前3大准则（zé），来定义基本（běn）安（ān）全的原因所在”。（来自物联之家（jiā）网）事（shì）实上，监（jiān）管与创新是一种不（bú）可调和的矛盾。

但还有一个问题（tí）需要（yào）解决（jué）：如何对海外（wài）制造商实施国家监管？最直接的答案（àn）是（shì），不能这样做。因（yīn）此，政府正在对英国经销商实施监（jiān）管而不（bú）是对外国制造商。

实施

目前争议的焦（jiāo）点是应采用三种实施（shī）方案中的哪一（yī）种。它们（men）都是从制造（zào）商的产品安全（quán）标签开始（shǐ），因为立法禁止（zhǐ）在英国销售没有（yǒu）制造商安全标签的产（chǎn）品。

三种实施方（fāng）案（àn）是：

选项一：强制经销商只销（xiāo）售带有物（wù）联网（wǎng）安全标签的（de）消费类物联网产（chǎn）品，制造商可以（yǐ）自行声明并在（zài）其消费类（lèi）物联网产品上张贴安全标签。

选项二：要求经销商仅销售符（fú）合前3项要求的消（xiāo）费类物联网（wǎng）产品，制造商有责任自行声明其消费类物联网产品符合《消费类物联网设备行为安（ān）全准则》前（qián）3项（xiàng）要求（qiú）和ETSI TS 103 645标准。

选项三：要（yào）求经销商仅销售带有标签的消费（fèi）类物联网产（chǎn）品（pǐn），该标签需（xū）证明（míng）符合《消费类物联网设备行（háng）为（wéi）安全（quán）准则》的所有13项要求，制造商应自行申报，并确保标签出现（xiàn）在包装上。

这就是问（wèn）题所在，所有这三个选项都要求（qiú）制造商自（zì）行声（shēng）明（míng）安全性。换（huàn）句话说（shuō），政府正在推行强制性（xìng）的自愿立法。在（zài）其拟（nǐ）议的格式中，这项立法（fǎ）依（yī）靠市（shì）场力量来执行。它（tā）不能强迫外国制造商制造安全设备，但它可（kě）以惩罚出售这些设备的英国经销（xiāo）商。它让（ràng）经销商（shāng）有义（yì）务迫使制造商遵守法规。

如果我（wǒ）们从立法历史中学到了什么，那就是制造（zào）商（shāng）和经销商（shāng）都将遵循阻力最小的要求（qiú）。

政府的下一步行动将决定（dìng）这项立法的目的是（shì）成功还是失败（bài）。例如，DMCS声（shēng）明，“我们打算在议（yì）会时间允许的（de）情况下制定（dìng）主（zhǔ）要（yào）立法，让DCMS事务大臣能够（gòu）为强（qiáng）制性标签计划设定要求和/或为（wéi）在英国销（xiāo）售的设备设定（dìng）安全要（yào）求，这（zhè）些要（yào）求将在二（èr）级立法中确立”。

英国的二级立法（fǎ）不需要议（yì）会（huì）投票——只需要相（xiàng）关官员的同意即可。DCMS还指出，政（zhèng）府的意图是强制执行（háng）《消费类物联（lián）网设备行为安全准则》的所有13项内容。（来源物（wù）联之家网）一旦这（zhè）3项初步要求成（chéng）为（wéi）法律，从理论（lùn）上讲，政（zhèng）府有可能在接下来（lái）的10个月内，每月（yuè）要求一（yī）项（剩（shèng）余的10项准则（zé））成为法（fǎ）律（lǜ），或者说（shuō），任何其他被认为（wéi）相关（guān）的要求。

英国立（lì）法（fǎ）会（huì）让消费者（zhě）物联网更（gèng）加安全吗？

有用吗？可能（néng）有用（yòng），也可能没用，至少没有（yǒu）希望的那么有用。

有两（liǎng）个（gè）根本困难。第一是制造商（shāng）的自我安（ān）全声明。有好（hǎo）主意（yì）的、新的、小（xiǎo）的制造商将继续（xù）抢在竞争对手之前把他们的产品推向（xiàng）市场，而匆忙推向市场（chǎng）意味（wèi）着（zhe）产品功能的（de）安全性开发（fā）不足。

不安全的产品仍然（rán）会进入（rù）市场（chǎng）——如果10台智（zhì）能设备中（zhōng）有9台不让黑客进入，而第10台让黑客（kè）进入，那么对消费者来说，意义何（hé）在（zài）？

第二个问（wèn）题是：由谁来认证产（chǎn）品是（shì）否符合要求？解决此（cǐ）类问（wèn）题的标准方法是引入强（qiáng）制性第（dì）三方认（rèn）证，而这可以（yǐ）通过（guò）二级立法轻（qīng）松完成。但是，由谁来支付必（bì）要的（de）产品测试费用？

如果由制造商来付（fù）费，那么他们可能会放弃向英国销售——英国只是庞大全球市场中的一个而已（yǐ）。

如果由经销商来付费，则有可能会将物联（lián）网设备赶（gǎn）出市场，从而让智能家居设备在英（yīng）国（guó）市场上短缺。而用户可能会通过国外网站购买不安（ān）全、未经测（cè）试的外国产品。

政（zhèng）府显然（rán）意识到了这些问题，并希望在分阶段实施的（de）同时繁荣（róng）市场，而不是一（yī）口气要（yào）求太多。不过（guò），也只有时间才能证明它是否成功。

但现实是，这项立（lì）法本（běn）身并不能解决这些问（wèn）题（tí）。成功的最大希望将是，如（rú）果有足够（gòu）多的其他国家政府认为（wéi）这一做法（fǎ）有价值，并颁布了要求采取同样措（cuò）施（shī）的立（lì）法。（来自iothome）只（zhī）有这样，才能迫使（shǐ）所（suǒ）有制造商构（gòu）建（jiàn）安全的（de）消费（fèi）类物（wù）联网（wǎng）设备。

与此同时，我们（men）所（suǒ）有人都有责任（rèn）采取我（wǒ）们所（suǒ）能（néng）采取的预防措（cuò）施，而不是（shì）假设我们购买的设备（bèi）是安全的。正如Avast和斯坦福大学新（xīn）的（de）研究表明，我（wǒ）们发现物联网世（shì）界（jiè）中仍（réng）有很多地方没有（yǒu）受到保（bǎo）护。