張夕夜 王亞楠

中國信息通信研究院知識產(chǎn)權(quán)中心 北京 100191

引言

物聯(lián)網(wǎng)是新一代信息通信技術(shù)的高度集成和綜合運(yùn)用，對新一輪產(chǎn)業(yè)變革和經(jīng)濟(jì)社會(huì)綠色、智能、可持續(xù)發(fā)展具有重要意義。當(dāng)前，物聯(lián)網(wǎng)已進(jìn)入萬物互聯(lián)發(fā)展新階段，從可穿戴設(shè)備、智能網(wǎng)聯(lián)汽車到電梯監(jiān)控、水電控制系統(tǒng)，物聯(lián)網(wǎng)設(shè)備無處不在，物聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展。全球移動(dòng)通信系統(tǒng)協(xié)會(huì)(GSMA)發(fā)布的《2020年移動(dòng)經(jīng)濟(jì)》(The Mobile Economy 2020)報(bào)告顯示，到2025年，全球物聯(lián)網(wǎng)總連接數(shù)將達(dá)到246億。但近年來，物聯(lián)網(wǎng)安全事件頻發(fā)，經(jīng)濟(jì)秩序和用戶安全受到侵害。歐洲網(wǎng)絡(luò)與信息安全局(ENISA)2017年11月發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》(Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures)，回顧分析了自2009年至2017年3月發(fā)生的波多黎各大量智能電表被黑客攻擊等17起主要物聯(lián)網(wǎng)安全事件。北京神州綠盟信息安全科技股份有限公司自2017年起連續(xù)4年發(fā)布物聯(lián)網(wǎng)安全年報(bào)，對當(dāng)年出現(xiàn)的重大物聯(lián)網(wǎng)安全事件進(jìn)行回顧分析。以上相關(guān)事件表明，物聯(lián)網(wǎng)安全造成的不利影響愈發(fā)嚴(yán)重：從數(shù)量看，全球具有代表性的物聯(lián)網(wǎng)安全事件逐年增加；從產(chǎn)品看，攝像頭和路由器是出現(xiàn)異常最頻繁的設(shè)備；從行業(yè)看，覆蓋范圍從電力、電信、工業(yè)等基礎(chǔ)設(shè)施到支付、家居、零售等消費(fèi)行業(yè)；從影響看，不僅造成巨大經(jīng)濟(jì)損失，且威脅生命財(cái)產(chǎn)安全、侵犯兒童隱私、泄漏個(gè)人信息，生產(chǎn)生活秩序受到嚴(yán)重破壞。為此，美國、英國、日本推出多項(xiàng)物聯(lián)網(wǎng)安全法律、政策，旨在加強(qiáng)物聯(lián)網(wǎng)安全管理，保障經(jīng)濟(jì)安全，保護(hù)用戶隱私。

1 美國探索以專門立法形式加強(qiáng)物聯(lián)網(wǎng)安全

美國在州和聯(lián)邦兩個(gè)層面探索以專門立法的形式管控物聯(lián)網(wǎng)帶來的網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)。

1.1 加州通過立法，提升物聯(lián)網(wǎng)隱私安全和設(shè)備安全

2018年9月28日，美國加利福尼亞州州長杰里?布朗(Jerry Brown)簽署一個(gè)月前由州議會(huì)批準(zhǔn)的《互聯(lián)設(shè)備安全法案》(Information privacy: connected devices,SB 327)，于2020年1月1日起生效實(shí)施[1]。該法案作為第1.81.26章“互聯(lián)設(shè)備安全”，增列至加州《民法典》有關(guān)信息隱私權(quán)部分?！盎ヂ?lián)設(shè)備”是指能夠直接或間接連接到因特網(wǎng)并且被分配了因特網(wǎng)協(xié)議地址或藍(lán)牙地址的任何設(shè)備或其他物體。

該法是世界上首部針對物聯(lián)網(wǎng)設(shè)備安全的法律，其核心內(nèi)容是要求物聯(lián)網(wǎng)設(shè)備制造商為設(shè)備配置合理的安全性能。法案規(guī)定，自己制造或外包給他人以自己名義制造互聯(lián)設(shè)備并在加州銷售的“制造商”承擔(dān)隱私安全和設(shè)備安全的義務(wù)。

1)隱私安全方面，要求企業(yè)采取一切合理措施管理和控制客戶記錄中關(guān)于個(gè)人信息的內(nèi)容，當(dāng)企業(yè)不再需要保留記錄時(shí)，應(yīng)通過粉碎、刪除或以其他方式修改這些記錄中的個(gè)人信息，使其變得難以辨認(rèn)或難以破譯。現(xiàn)有法律還要求擁有、許可或維護(hù)加州居民個(gè)人信息的企業(yè)實(shí)施和維護(hù)與信息屬性相適應(yīng)的合理安全程序和實(shí)踐，以保護(hù)個(gè)人信息免遭未經(jīng)授權(quán)的訪問、破壞、使用、修改或披露。法案授權(quán)因隱私受到侵犯而遭受損害的用戶可提起民事訴訟主張損害賠償救濟(jì)。

2)設(shè)備安全方面，互聯(lián)設(shè)備的制造商應(yīng)為設(shè)備配備合理的安全性能或以下所有性能：①適合于設(shè)備的性質(zhì)和功能；②適合于設(shè)備收集、存儲(chǔ)或傳輸信息；③旨在保護(hù)設(shè)備及其所包含的任何信息免受未經(jīng)消費(fèi)者授權(quán)的訪問、銷毀、使用、修改或不當(dāng)披露。在滿足以上三個(gè)要求下，如果互聯(lián)設(shè)備配備了局域網(wǎng)以外的認(rèn)證手段，只要達(dá)到下述任一要求，應(yīng)當(dāng)被視為滿足本法案的合理安全性能要求：①預(yù)編程密碼對于每個(gè)制造的設(shè)備都是唯一的；②該設(shè)備包含一項(xiàng)安全性能，該性能要求用戶在首次授予設(shè)備訪問權(quán)限之前生成新的身份驗(yàn)證方法。

該法案在美國引起較大爭議，反對者認(rèn)為其存在很多模糊性條款，且對不同設(shè)備作出相同要求，不足以滿足復(fù)雜設(shè)備的安全需求而又增加了簡單設(shè)備的成本。但是，該法案是加強(qiáng)物聯(lián)網(wǎng)安全的一個(gè)開端，且抓住了物聯(lián)網(wǎng)設(shè)備比較突出的安全性問題，其意義和價(jià)值值得肯定。

1.2 聯(lián)邦通過立法，確保政府物聯(lián)網(wǎng)設(shè)備安全

2020年9月14日，美國眾議院通過了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案2020》(Internet of Things Cybersecurity Improvement Act of 2020，H.R.1668)；11月17日，美國參議院無修改地通過該法案，從而推動(dòng)了自2017年以來一直在國會(huì)停滯不前的相關(guān)立法。因兩院一致通過該法案，該法案被提交總統(tǒng)。2020年12月4日，總統(tǒng)簽署了該法案，從而完成了立法的最后一個(gè)流程，首部全美層面的物聯(lián)網(wǎng)安全法律誕生[2]。

法案要求美國國家標(biāo)準(zhǔn)與技術(shù)委員會(huì)(NIST)負(fù)責(zé)制定標(biāo)準(zhǔn)、出具報(bào)告并出版指南。具體而言，一是以強(qiáng)制性要求確保物聯(lián)網(wǎng)安全。NIST應(yīng)當(dāng)在法案頒布的90天內(nèi)制定聯(lián)邦政府物聯(lián)網(wǎng)設(shè)備最低安全標(biāo)準(zhǔn)，以管控信息安全、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。管理和預(yù)算辦公室(OMB)在標(biāo)準(zhǔn)制定后的180天內(nèi)審查政府機(jī)構(gòu)物聯(lián)網(wǎng)設(shè)備是否與上述最低安全標(biāo)準(zhǔn)保持一致。二是以漏洞協(xié)調(diào)披露的方式改善物聯(lián)網(wǎng)安全。法案尤其重視物聯(lián)網(wǎng)漏洞管理，以較大篇幅賦予了NIST漏洞紕漏指南制定及實(shí)施的職責(zé)，即信息系統(tǒng)和物聯(lián)網(wǎng)設(shè)備的漏洞信息及補(bǔ)救信息應(yīng)當(dāng)具備完善的報(bào)告、協(xié)調(diào)、發(fā)布、接收程序。對于向政府機(jī)關(guān)提供信息系統(tǒng)和物聯(lián)網(wǎng)設(shè)備的各級供應(yīng)商，法案特別指出了其接受和傳播安全漏洞信息的義務(wù)。三是從采購環(huán)節(jié)管控物聯(lián)網(wǎng)安全。法案設(shè)置了采購條款，若物聯(lián)網(wǎng)設(shè)備的使用將妨礙聯(lián)邦政府機(jī)構(gòu)遵守前述的設(shè)備安全要求和漏洞紕漏指南，相關(guān)設(shè)備則禁止被機(jī)構(gòu)采購，除非存在科研目的等豁免情形。聯(lián)邦采購條款應(yīng)作出與此一致的修訂?？倢徲?jì)長負(fù)責(zé)每兩年向國會(huì)提交采購條款的執(zhí)行報(bào)告。

2 英國政府機(jī)構(gòu)逐步加大物聯(lián)網(wǎng)安全管控力度

2.1 DCMS和NCSC聯(lián)合發(fā)布自愿行為準(zhǔn)則

2018年10月14日，英國數(shù)字、文化、傳媒和體育部(DCMS)與英國國家網(wǎng)絡(luò)安全中心(NCSC)聯(lián)合發(fā)布了《消費(fèi)類物聯(lián)網(wǎng)安全實(shí)踐準(zhǔn)則》(Code of Practice for consumer IoT security)(以下簡稱《準(zhǔn)則》)[3]?！稖?zhǔn)則》為物聯(lián)網(wǎng)設(shè)備制造商發(fā)布了13個(gè)新的自愿行為準(zhǔn)則，旨在保護(hù)消費(fèi)類物聯(lián)網(wǎng)，如家用集線器、智能家居設(shè)備、安全攝像頭、可穿戴設(shè)備和聯(lián)網(wǎng)玩具等設(shè)備免受外部攻擊和數(shù)據(jù)泄露。

13個(gè)安全行為準(zhǔn)則分別是：1)所有物聯(lián)網(wǎng)設(shè)備密碼均應(yīng)唯一，并且不可重置為任何通用出廠默認(rèn)值；2)物聯(lián)網(wǎng)設(shè)備供應(yīng)商和服務(wù)提供商應(yīng)提供報(bào)告漏洞的公共聯(lián)絡(luò)點(diǎn)，對于已披露的漏洞應(yīng)及時(shí)采取措施；3)軟件組件應(yīng)當(dāng)是可更新的、更新應(yīng)當(dāng)是及時(shí)和易于實(shí)現(xiàn)的；4)安全存儲(chǔ)憑證和敏感數(shù)據(jù)、硬編碼憑證不應(yīng)被允許；5)數(shù)據(jù)在傳輸過程中應(yīng)進(jìn)行加密，所有密鑰均應(yīng)進(jìn)行安全管理，保證通信安全；6)關(guān)閉未使用的端口、將代碼最小化為服務(wù)所必需，盡量減少暴露的攻擊面；7)軟件應(yīng)使用安全啟動(dòng)機(jī)制進(jìn)行驗(yàn)證，確保軟件完整性；8)處理個(gè)人數(shù)據(jù)應(yīng)遵守《通用數(shù)據(jù)保護(hù)條例》(GDPR)和《2018年數(shù)據(jù)保護(hù)法》，確保個(gè)人數(shù)據(jù)受到保護(hù)；9)網(wǎng)絡(luò)中斷時(shí)物聯(lián)網(wǎng)服務(wù)應(yīng)盡可能在本地運(yùn)行，電源中斷時(shí)物聯(lián)網(wǎng)服務(wù)應(yīng)以合理的狀態(tài)和有序的方式重新連接；10)應(yīng)對從物聯(lián)網(wǎng)設(shè)備和服務(wù)收集的遙測數(shù)據(jù)進(jìn)行安全異常的監(jiān)視；11)應(yīng)使用戶能夠輕松刪除個(gè)人數(shù)據(jù)，并提供有關(guān)如何刪除的明確說明；12)安裝和維護(hù)設(shè)備應(yīng)采用最少的步驟，提供安全設(shè)置設(shè)備的指南；13)物聯(lián)網(wǎng)設(shè)備和服務(wù)傳輸數(shù)據(jù)的有效性應(yīng)得到驗(yàn)證。

準(zhǔn)則發(fā)布后，僅惠普公司和Centrica Hive等部分物聯(lián)網(wǎng)制造商承諾支持該行為準(zhǔn)則，其他制造商在很大程度上忽視了這套自愿行為準(zhǔn)則。英國政府意識到需要加強(qiáng)對設(shè)備制造商的管理，除依靠自律外，還需實(shí)施政府強(qiáng)監(jiān)管。

2.2 DCMS發(fā)布擬強(qiáng)制執(zhí)行的行為準(zhǔn)則和認(rèn)證方案

在咨詢國家網(wǎng)絡(luò)安全中心(NCSC)以及公共和私營部門專家基礎(chǔ)上，2019年5月1日，DCMS發(fā)布《消費(fèi)類物聯(lián)網(wǎng)安全監(jiān)管規(guī)范的實(shí)施咨詢》(Consultation on the Government's regulatory proposals regarding consumer Internet of Things(IoT)security)，提出強(qiáng)制實(shí)施三項(xiàng)基線安全舉措并提出認(rèn)證建議[4]。

DCMS認(rèn)為迫切需要對行業(yè)自愿準(zhǔn)則以及ETSI TS 103 645確定的良好做法進(jìn)行強(qiáng)制。同時(shí)，為避免抑制創(chuàng)新以及給制造商造成沉重負(fù)擔(dān)，DCMS提出強(qiáng)制實(shí)施《準(zhǔn)則》前三項(xiàng)，以保障最低限度的安全。

DCMS建議零售商僅銷售帶有安全標(biāo)簽的消費(fèi)類物聯(lián)網(wǎng)產(chǎn)品，同時(shí)提出了兩個(gè)替代方案。方案B是要求零售商僅銷售符合《準(zhǔn)則》前三項(xiàng)的消費(fèi)物聯(lián)網(wǎng)產(chǎn)品，而制造商自行評估其消費(fèi)物聯(lián)網(wǎng)產(chǎn)品是否符合《準(zhǔn)則》和ETSI TS 103 645前三項(xiàng)。方案C是要求零售商僅銷售帶有標(biāo)簽的消費(fèi)類物聯(lián)網(wǎng)產(chǎn)品，標(biāo)簽可以是正面的也可以是負(fù)面的，制造商自行評估并確保標(biāo)簽在適當(dāng)?shù)陌b上。標(biāo)簽最初將在自愿基礎(chǔ)上運(yùn)行，直到議會(huì)允許該政策生效。

DCMS于2020年2月3日公布咨詢反饋和政府回應(yīng)[5]。DCMS認(rèn)為其提出的三項(xiàng)安全基線要求是正確選擇，而標(biāo)簽建議受到較大質(zhì)疑。因此，DCMS目前不會(huì)繼續(xù)啟動(dòng)自愿性標(biāo)簽計(jì)劃，并將根據(jù)反饋意見進(jìn)一步制定政策。此外，DCMS還公布下一步擬推行的措施，包括：一是應(yīng)通過設(shè)計(jì)將安全要求內(nèi)置到產(chǎn)品中；二是根據(jù)《準(zhǔn)則》和ETSI TS 103 645前3條進(jìn)一步提出強(qiáng)制性要求；三是每兩年審查和修訂一次《準(zhǔn)則》。

3 日本政府和國會(huì)協(xié)同提升物聯(lián)網(wǎng)安全能力

3.1 政府通過各項(xiàng)政策多措并舉改善物聯(lián)網(wǎng)安全

2015年9月4日，日本政府發(fā)布了新版《網(wǎng)絡(luò)安全戰(zhàn)略》(以下簡稱《戰(zhàn)略》)[6]?！稇?zhàn)略》指出，鑒于2020年東京奧運(yùn)會(huì)期間將大量使用物聯(lián)網(wǎng)系統(tǒng)的前景，物聯(lián)網(wǎng)帶來的網(wǎng)絡(luò)攻擊和信息泄露會(huì)造成嚴(yán)重的社會(huì)和經(jīng)濟(jì)影響，對日本網(wǎng)絡(luò)安全帶來挑戰(zhàn)。因此，在普及物聯(lián)網(wǎng)服務(wù)時(shí)，確?！鞍踩焚|(zhì)”是前提條件。

《戰(zhàn)略》核心舉措包括：一是將由網(wǎng)絡(luò)安全戰(zhàn)略總部負(fù)責(zé)那些可能對社會(huì)經(jīng)濟(jì)活動(dòng)產(chǎn)生重大影響的物聯(lián)網(wǎng)業(yè)務(wù)；二是日本將推廣“設(shè)計(jì)即安全”的理念，優(yōu)先支持在規(guī)劃和設(shè)計(jì)的初始階段即踐行安全的新業(yè)務(wù)類型；三是增強(qiáng)物聯(lián)網(wǎng)系統(tǒng)各個(gè)組件供應(yīng)鏈的安全，是提升物聯(lián)網(wǎng)安全的重要方面；四是日本將快速檢查物聯(lián)網(wǎng)系統(tǒng)和設(shè)備的漏洞，并發(fā)布和安裝安全補(bǔ)丁或進(jìn)行軟件更新；五是通過技術(shù)開發(fā)及其他措施應(yīng)對不可靠和低端設(shè)備產(chǎn)生的安全風(fēng)險(xiǎn)；六是通過提升高級管理人員的安全意識、培養(yǎng)專門的網(wǎng)絡(luò)安全人員等舉措強(qiáng)化物聯(lián)網(wǎng)設(shè)備供應(yīng)商和服務(wù)提供商的安全能力；七是通過促進(jìn)網(wǎng)絡(luò)安全相關(guān)業(yè)務(wù)、發(fā)展公平的經(jīng)營環(huán)境、改善日本企業(yè)的全球運(yùn)營環(huán)境來改善網(wǎng)絡(luò)安全經(jīng)營環(huán)境。

《網(wǎng)絡(luò)安全戰(zhàn)略》頒布后，日本總務(wù)省先后出臺兩項(xiàng)加強(qiáng)物聯(lián)網(wǎng)安全規(guī)范性文件。2017年10月，日本總務(wù)省出臺《物聯(lián)網(wǎng)安全綜合對策》，部署了為重大設(shè)備分配管理編號、提高物聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全性、確保數(shù)據(jù)準(zhǔn)確真實(shí)安全、建立安全檢查機(jī)制、提供物聯(lián)網(wǎng)安全咨詢服務(wù)等物聯(lián)網(wǎng)安全對策。2019年4月，日本總務(wù)省公布《關(guān)于物聯(lián)網(wǎng)設(shè)備的安全標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)合格認(rèn)證》指南，明確了終端設(shè)備的安全標(biāo)準(zhǔn)和認(rèn)證并征求公眾意見。

3.2 國會(huì)修訂基本法以測試物聯(lián)網(wǎng)設(shè)備密碼安全性

由于擔(dān)心黑客可能會(huì)濫用物聯(lián)網(wǎng)設(shè)備來發(fā)動(dòng)針對奧運(yùn)會(huì)IT基礎(chǔ)設(shè)施的攻擊，日本政府推動(dòng)國內(nèi)物聯(lián)網(wǎng)設(shè)備安全測試。2018年3月6日，日本政府在內(nèi)閣會(huì)議上通過了《情報(bào)通信研究機(jī)構(gòu)(NICT)法》修正案，修正了一般法律條款“禁止未經(jīng)授權(quán)的計(jì)算機(jī)訪問”。由于設(shè)定簡單密碼的物聯(lián)網(wǎng)設(shè)備容易成為劫持的對象，修正案擬允許隸屬于總務(wù)省的NICT對設(shè)備密碼設(shè)定是否存在疏漏展開調(diào)查。2019年1月25日，日本國會(huì)批準(zhǔn)了該項(xiàng)法律修正案，允許政府工作人員“入侵”企業(yè)和個(gè)人的物聯(lián)網(wǎng)設(shè)備，作為不安全物聯(lián)網(wǎng)設(shè)備調(diào)查的一部分。

自2019年2月20日，NICT開始測試屬于公民和企業(yè)的物聯(lián)網(wǎng)設(shè)備的密碼安全性，計(jì)劃于2022年結(jié)束測試。NICT物聯(lián)網(wǎng)安全測試行動(dòng)被命名為“面向物聯(lián)網(wǎng)清潔環(huán)境的國家行動(dòng)”(National Operation Towards IoT Clean Environment，簡稱NOTICE)，在日本總務(wù)省授權(quán)和監(jiān)督下開展，具體由NICT員工實(shí)施。測試行動(dòng)的開展方式是與該國的主要互聯(lián)網(wǎng)服務(wù)提供商(ISP)合作，在不通知設(shè)備所有者的情況下，從路由器和網(wǎng)絡(luò)攝像頭開始，使用默認(rèn)的和易于猜測的密碼嘗試登錄全國各地2億件物聯(lián)網(wǎng)設(shè)備。測試行動(dòng)的計(jì)劃目標(biāo)是編制一個(gè)使用默認(rèn)和易于猜測的密碼的不安全設(shè)備列表，并將其交給當(dāng)局和相關(guān)的互聯(lián)網(wǎng)服務(wù)提供商(ISP)，以便ISP提醒設(shè)備所有者其設(shè)備易受網(wǎng)絡(luò)攻擊并采取措施，根除安全性較弱的物聯(lián)網(wǎng)設(shè)備。

4 主要國家物聯(lián)網(wǎng)安全法律政策特點(diǎn)分析及啟示

4.1 加強(qiáng)物聯(lián)網(wǎng)安全管理

為有效應(yīng)對物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，解決網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)問題，各國開始加強(qiáng)物聯(lián)網(wǎng)安全管理，自2018年以來集中出臺物聯(lián)網(wǎng)安全法律和政策，在公權(quán)力主導(dǎo)下自上而下實(shí)施物聯(lián)網(wǎng)安全相關(guān)強(qiáng)制性要求，推動(dòng)提升物聯(lián)網(wǎng)安全能力。宏觀上，美立法和行政機(jī)關(guān)提出物聯(lián)網(wǎng)安全一般要求、技術(shù)規(guī)范等，致力于發(fā)現(xiàn)物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)和行業(yè)最佳實(shí)踐，為物聯(lián)網(wǎng)各方參與者提供安全指引。具體舉措上，日、英均采取了審查、測試、認(rèn)證等具體的安全舉措，推動(dòng)各項(xiàng)要求落到實(shí)處。

4.2 聚焦物聯(lián)網(wǎng)設(shè)備安全

當(dāng)前，物聯(lián)網(wǎng)設(shè)備逐漸成為DDoS攻擊的主力，物聯(lián)網(wǎng)設(shè)備安全事件占比高，是最主要的安全風(fēng)險(xiǎn)源頭。究其原因，主要有：一是因數(shù)量多、分布廣，物聯(lián)網(wǎng)設(shè)備構(gòu)成絕佳攻擊場景；二是因生命周期長、人機(jī)交互低，物聯(lián)網(wǎng)設(shè)備安全風(fēng)險(xiǎn)很難發(fā)現(xiàn)清除；三是因缺乏殺毒軟件等防護(hù)措施，物聯(lián)網(wǎng)設(shè)備更易被攻陷。為此，美、英、日紛紛從設(shè)備入手提升安全能力，如美國加州法律專門規(guī)定提高設(shè)備安全的要求，英國提出對設(shè)備進(jìn)行認(rèn)證并加貼標(biāo)簽，日本專項(xiàng)測試物聯(lián)網(wǎng)設(shè)備密碼安全性。

4.3 優(yōu)先關(guān)注消費(fèi)型物聯(lián)網(wǎng)安全

與工業(yè)等生產(chǎn)型物聯(lián)網(wǎng)、智慧城市等公共物聯(lián)網(wǎng)相比，消費(fèi)型物聯(lián)網(wǎng)更加受限于低成本、低功耗、計(jì)算資源有限等現(xiàn)實(shí)因素的影響，由此配備的安全能力更弱，更易被攻擊，且一旦被非法控制，用戶隱私、人身安全將受到嚴(yán)重威脅，美、英、日等國均特別關(guān)注消費(fèi)型物聯(lián)網(wǎng)的安全，多措并舉加強(qiáng)消費(fèi)型物聯(lián)網(wǎng)安全，確保消費(fèi)型聯(lián)網(wǎng)設(shè)備在其生命周期內(nèi)的安全性。

結(jié)合美英日物聯(lián)網(wǎng)安全法律政策并考慮到我國物聯(lián)網(wǎng)安全和管理現(xiàn)狀，我國需增強(qiáng)物聯(lián)網(wǎng)安全管理政策的可實(shí)施性。國外物聯(lián)網(wǎng)安全管理法律政策普遍具備較強(qiáng)的可操作性，體現(xiàn)在適用對象明確、立法宗旨清晰、安全風(fēng)險(xiǎn)明了、應(yīng)對措施專業(yè)、解決方案完備等方面。反觀我國，截至目前，我國尚未出臺專門針對物聯(lián)網(wǎng)安全管理的政策要求，僅在國務(wù)院、工業(yè)和信息化部出臺的物聯(lián)網(wǎng)整體發(fā)展規(guī)劃中以較小篇幅提及安全要求，較難推動(dòng)貫徹落實(shí)。建議重視物聯(lián)網(wǎng)安全監(jiān)管，增強(qiáng)政策的可操作性，以設(shè)備安全為抓手，重點(diǎn)關(guān)注消費(fèi)型物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)。