在我们前面文章中介绍过新加坡物联网安全标签计划（CLS），其中CLS提及到的EN 303 645是由欧洲电信标准化协会（ETSI）与相关产品生产商、学术界和政府合作开发，发布的消费类物联网网络安全标准，为连接互联网的消费类产品建立安全基线，保障用户隐私，防止对基本设计缺陷而进行的初级攻击。该标准从两方面对产品进行评估，即网络安全规定和数据隐私保护条款，重点关注技术控制措施及组织措施，以对抗网络安全缺陷，解决针对网络安全弱点、漏洞等的初级网络攻击。而且该法案得到芬兰国家消费物联网认证计划以及英国《产品安全和电信基础设施案》（PSTI）等法规引用，成为部分国家市场的入场券。

一、适用范围与核心界定

1. 适用对象

•设备类型：覆盖所有消费级联网设备，包括智能家居（门锁、烟雾探测器、智能家电）、可穿戴设备（智能手表、健康追踪器）、联网玩具、智能音箱、电视、家庭网关等，不含工业物联网（IIoT）设备。

•责任主体：主要针对设备制造商，同时为分销商、测试机构及监管部门提供合规评估框架。

2. 排除范围

•工业控制、医疗设备等受特定行业法规约束的产品；

•物联网设备关联的移动应用、云服务（仅聚焦设备本身的安全要求）。

二、核心技术要求与合规要点

该标准明确了13 项核心安全条款及 5 项数据保护补充要求，分为 “强制要求（Shall）” 和 “推荐要求（Should）” 两类，制造商需完全满足强制要求，并对未实施的推荐要求提供合理解释。核心要求可归纳为四大模块：

1. 身份认证与访问控制

•禁止设置通用默认密码，设备需采用独特密码或强制用户首次使用时修改默认密码；

•提供安全的身份鉴别机制，支持权限分级管理。

2. 漏洞管理与软件更新

•建立漏洞披露政策（VDP），提供第三方漏洞报告渠道及响应机制；

•支持软件安全更新，明确更新支持周期，更新过程需加密传输并验证完整性；

•推荐启用自动更新或更新提醒功能，且用户可配置更新策略（启用 / 禁用 / 延迟）。

3. 数据安全与隐私保护

•遵循“数据最小化” 原则，仅收集业务必需的用户数据；

•传输和存储个人数据时需采用加密技术及访问控制措施；

•强制开展隐私影响评估（PIA），明确数据处理规则。

4. 设备生命周期与架构安全

•规范设备从设计、生产到废弃的全生命周期安全管理；

•要求设备具备安全事件记录功能，支持安全审计与事件响应；

•软件设计需防范恶意代码注入、权限越界等常见攻击。

标准从网络安全规定和数据隐私保护条款两方面对产品进行要求， 重点关注技术控制措施及组织措施，以对抗网络安全缺陷， 解决 针对网络安全弱点、漏洞等的初级网络攻击。产品满足ETSI EN 303 645标准要求的同时也满足了《通用数据保护条例》 GDPR 的相关要求。

ETSI EN 303 645 通过建立统一的安全基线，填补了消费级物联网设备安全标准的空白，既为制造商提供了清晰的设计指南，也为消费者权益保护奠定了技术基础。随着全球物联网安全监管的趋严，该标准的合规性已成为企业进入国际市场的 “通行证”。