英國對消費性連網產品安全監管機制將於明年4月29日生效
依英國科學、創新及技術部4月29日發布資訊,將建立產品安全和電信基礎設施(產品安全)機制,對消費性連網產品安全監管將於明年4月29日生效。相關產品供應鏈之製造商需自生效日起遵守最低安全要求,以避免出售不安全的產品。相關最低安全要求係基於英國政府於2018年10月發布之消費者物聯網安全實踐守則(Code of Practice for Consumer IoT Security)、物聯網產品網路安全保護標準ETSI EN 303 645、及國家網絡安全中心(National Cyber Security Centre)提出之建議。
該機制係透過2項立法監管:
一、 2022年產品安全和電信基礎設施( PSTI )法案第1部分(Part 1 of the Product Security and Telecommunications Infrastructure (PSTI) Act 2022)。該法案已於2022年12月獲國會通過。
二、產品安全和電信基礎設施(可連網產品之安全要求)條例 (The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations),尚待提交國會審議。
另依IFSEC Insider綜合安全新聞網站本年1月13日相關報導,PSTI法案旨在強制產品製造商滿足安全要求,倘違反且未在監管機構要求的時間內修復違規行為,罰款可高達1000萬英鎊或全球營業額的4%。此外,該法案對製造商有12個月的寬限期,以利業者調適。有關製造商的定義,實務上有安裝業者及整合業者(integrator)為被認為是製造商的情況。另在草擬該法案時,亦有將網路銷售平台(online marketplaces)視為製造商的相關討論,惟最終未達成共識。
產品範圍將涵蓋所有能連網且較簡單的消費性產品,例如監視系統(CCTV)、警報器、電熱水壺、冰箱、微波爐等。不涵蓋的產品為現有立法涵蓋的產品(包括醫療保健監控產品、智慧電錶等)或複雜性高的產品(如自駕車)。製造商需遵守安全要求的關鍵項目:
一、必須在銷售時便清楚告知客戶該連網產品之安全性更新保證期。
二、禁止製造商在出廠設置中使用通用密碼,在首次使用時,用戶必須使用產品隨附的唯一密碼,並且無法再次使用該密碼。
三、提供安全問題報告,包括提供公開聯絡資訊,以便用戶可更易檢舉軟體漏洞,以及製造商將漏洞問題通知其用題並及時提供修復資訊。(資料來源:經濟部國貿局)
資料來源-MoneyDJ理財網
