服务热线
13352909249
随着物联网设备渗透率提升,设备未授权访问、数据篡改、隐私泄露等安全事件频发,急需专项立法规范。2018 年,美国加利福尼亚州通过参议院第 327 号法案(SB327),成为美国首部州级物联网安全专项法律,为物联网设备安全设立基础性合规标准,对设备制造商、行业监管及消费者权益保护具有标志性意义。
该法案的适用对象覆盖物联网设备全生命周期的核心责任主体,其条款设计聚焦设备安全技术要求与法律责任界定,是理解美国州级物联网安全规制的关键样本。
1.立法程序节点:加州众议院于 2018 年 8 月 28 日表决通过,参议院于 2018 年 8 月 29 日表决通过;
2.正式实施日期:2020 年 1 月 1 日起生效实施;
生效前置条件:以“2017-2018 年度加州众议院第 1906 号法案(AB1906)生效” 为必要前提,若 AB1906 未达生效条件,SB327 同步中止实施。
1.义务主体:联网设备制造商,指在加利福尼亚州境内销售或要约销售联网设备的生产主体,不包含仅从事设备采购、贴牌销售的商业主体;
2.关键术语定义(依据法案 1798.91.05 条):
联网设备:可直接或间接接入互联网,且被分配互联网协议(IP)地址或蓝牙(Bluetooth)地址的设备及实体;
安全特征:为保障设备及数据安全,具备防范未授权操作功能的技术配置;
认证:验证用户、流程或设备访问信息系统资源权限的技术与管理机制;
未授权操作:未经消费者授权的设备访问、数据销毁、使用、修改及披露行为。
法案 1798.91.04 条明确制造商需为联网设备配备 “合理安全特征”,义务分为基础要求与场景化简化路径两类:
安全特征需同时满足以下三项条件:
1.与设备的技术性质及功能定位相适配(如视频监控设备的安全特征需匹配录像存储与传输功能);
2.与设备收集、保存及传输的数据类型与规模相适配(如处理生物识别数据的设备需具备更高等级的加密防护);
3.具备防范未授权访问、销毁、使用、修改及披露的技术能力,确保设备及数据完整性与保密性。
若设备支持“局域网外认证”(即远程访问控制功能),满足以下任一条件即可视为符合基础安全要求:
1.每台设备配备唯一预设认证凭证(禁止采用统一默认密码等通用性认证方式);
2.设备内置强制配置机制,要求用户在首次获取访问权限前,自主设置新的认证凭据(如密码、生物识别等)。
法案 1798.91.06 条明确五类责任豁免场景,厘清制造商的义务边界:
1.第三方软件豁免:制造商无需对用户自行安装的第三方独立软件承担安全责任;
2.软件平台豁免:应用商店、设备销售平台等中介主体,无需履行设备合规性审查义务;
3.用户控制权保障:禁止制造商通过技术或管理手段,限制用户对设备软件、固件的自主修改权限;
4.联邦法律优先:若设备功能受联邦法律、法规或联邦机构颁布的安全指南规制,优先适用联邦规则,SB327 暂不适用;
5.医疗领域豁免:受《1996 年健康保险流通与责任法》(HIPAA)或加州《医疗信息保密法》(第 1 部分第 2.6 编)监管的实体及活动,豁免适用 SB327 的安全义务。
法案明确排他性执法主体为加州总检察长、市检察官、县检察官及区检察官,上述主体可依据法律规定启动调查、处罚等执法程序,其他机构无执法权限。
1.私人诉讼权排除:法案未赋予消费者针对制造商合规义务的私人诉讼权利,消费者需通过公权力机关主张权益,由执法主体依法追究制造商责任;
2.责任累加原则:制造商违反 SB327 的义务,不免除其在其他法律(如隐私保护法、产品质量法)项下的责任;
3.执法信息获取:不限制执法机构依据法律规定或法院命令,向制造商调取设备相关信息的权限。
1.制造商:SB327 成为进入加州市场的基础性合规门槛,倒逼制造商优化设备安全设计(如淘汰通用默认密码、强化数据加密),推动行业安全标准升级;
2.消费者:虽无私人诉讼权,但公权力机关的执法监督为消费者权益提供兜底保障,降低不安全设备流入市场的风险。
1.立法思路:以“最小必要安全要求” 为核心,平衡安全保障与产业发展,为其他地区物联网安全立法提供参考(如我国《物联网新型基础设施安全保障指南》可借鉴其场景化合规路径);
2.义务界定:清晰划分制造商、用户、平台主体的责任边界,避免过度规制导致的产业负担。
加州 SB327 作为美国州级物联网安全立法的开篇之作,其核心价值在于精准聚焦物联网设备 “弱认证”“安全配置缺失” 等痛点,通过清晰的合规要求与义务边界,构建了 “技术 + 法律” 双重保障的安全框架。对于跨国设备制造商,需将 SB327 的合规要求纳入产品设计流程;对于行业监管者,其 “问题导向” 的立法逻辑可为物联网安全规制提供重要参考。
信息提交成功