全美第一部針對物聯(lián)網設備安全的加州法案SB 327已在2020年1月1日正式生效，即日起要求連接設備的制造商須提供合理的安全功能，給給消費者物聯(lián)網設備的基本安全防護。

法規(guī)推陳出新，規(guī)范標準設計顧及公用性

自2018年9月底通過后，加州法案SB 327《Title 1.81.26. Security of Connected Devices》(下稱加州設備安全法)便持續(xù)受各界矚目，除全美第一部物聯(lián)網設備專法的代表性外，內容未臻完善的部分諸如合理安全(Reasonable Security)之定義、對HIPAA等法律的豁免性等也引發(fā)不少討論。雖至生效日前加州政府并未有更進一步補充，然而經由法案頒行，也讓在加州銷售的設備制造商須于設計過程中確實提供安全措施，給給消費者對物聯(lián)網設備的基本安全防護。

鑒于物聯(lián)網規(guī)范標準陸續(xù)推陳出新，后續(xù)相關法規(guī)或機制的設計或將延續(xù)與兼容暨存法規(guī)，以提高公用性與國際對接，例如俄勒岡州物聯(lián)網設備安全法(HouseBill2395)即是以加州法案為基礎，僅將設備的范圍聚焦于個人家庭，并對設備制造商定義略有出入，對于廠商須具備的安全防護要求則相似;國際認證單位UL推出的IoTSecurityRaTIng則兼容現行部分法規(guī)框架之要求，以便廠商采用。

UL IoT Security RaTIng符合部分法規(guī)框架要求。(Source：UL;拓撲產業(yè)研究院整理整理，2020.1)

安全立法現聚焦產品設計，或需擴大至數據管理

觀察近年物聯(lián)網相關安全規(guī)范與標準，無論已發(fā)布的EU Cybersecurity Act 2019、US NIST IoT Cybersecurity CapabiliTIes Base line、ETSI TS 103 645，抑或2020年始生效的加州設備安全法、英國醞釀中的安全標簽等，皆將規(guī)范對象鎖定在設備制造商，就設備之密碼設置、軟件更新、安全通信、數據加密等大方向進行管制。此舉將物聯(lián)網安全責任歸屬延伸至設計源頭，通過官方與民間之機制消弭物聯(lián)網的最大隱憂，構建消費者對物聯(lián)網設備的信心以壯大市場，對消費者及廠商而言皆有正面影響可期。

物聯(lián)網不僅有設備被黑客入侵及消費者疏于管理的安全議題，于數據管理也為風險管控點之一。近期發(fā)生的IoT設備商Wyze數據外泄事件，即是由于員工操作及內部管理不當，造成240萬客戶數據如用戶名、賬號、健康信息等暴露于網絡上長達22天;Wyze事件受害者或將針對所受影響對企業(yè)提起集體訴訟，但事實上，現行物聯(lián)網安全法規(guī)雖就設備設備多有著墨，然在企業(yè)或平臺數據管理部分卻相對乏善可陳。

經此事件，消費者于物聯(lián)網的信任無疑又蒙了一層灰，故對政府及企業(yè)而言，當物聯(lián)網相關廠商的商業(yè)模式是建基于信任上時，相關立法的對象除設備設計外，未來或也將進一步擴大范圍，將數據管理納入規(guī)范對象。