Logo

认证标准解读

Home 首页 归档 标签 Email

英国PSTI法案概览与适用范围详解

概述

2022年12月6日,英国《产品安全和电信基础设施法》(Product Security and Telecommunications Infrastructure Act 2022,简称 PSTI Act 2022)获得皇家批准,标志着英国在消费级物联网产品安全监管领域迈入了新时代。这是全球首个针对消费级可连接产品安全要求的强制性法规,对全球物联网产业产生深远影响。

本文将全面介绍 PSTI 法案的背景、目的、适用范围和核心要求,帮助读者快速了解这一重要法规。

一、立法背景

1.1 物联网产品安全现状

消费级可连接产品(Consumer Connectable Products),俗称”智能家居产品”或”物联网设备”,包括智能手机、智能电视、智能音箱、联网婴儿监视器、智能门锁等。这类产品在 2020 年全球保有量估计已达 129 亿台

然而,这类产品的安全状况令人担忧:

  • 2021年调查:英国家庭平均拥有 9 台消费级可连接产品,其中许多产品缺乏基本的网络安全保护措施
  • 2020年UCL研究:调查了 270 款常见消费级可连接产品,发现消费者无法获得关于产品安全更新支持期限的清晰信息
  • 安全意识缺失:消费者往往假设在售产品都是安全的,而实际上许多产品存在严重安全漏洞

1.2 典型安全事件

事件 时间 影响
Mirai 僵尸网络攻击 2016年 30万台设备被劫持,攻击导致 BBC、Netflix 等多家知名网站服务中断
新加坡安防摄像头入侵 2019年 智能摄像头被黑客入侵,用户隐私严重泄露
儿童智能手表漏洞 2017-2018年 攻击者可获取儿童个人信息,包括手机号和GPS定位

1.3 现有监管不足

虽然消费级可连接产品作为电子产品,受以下法规约束:

  • 《消费者保护法 1987》(Consumer Protection Act 1987)
  • 《一般产品安全法规 2005》(General Product Safety Regulations 2005)
  • 《无线电设备法规 2017》(Radio Equipment Regulations 2017)

但这些法规均未设定最低网络安全要求

1.4 自愿合规的失败

英国政府于 2018年10月发布了《消费者物联网安全行为准则》(Code of Practice for Consumer IoT Security),提出了 13 项自愿性安全原则。然而:

  • 2018年:IoT 安全基金会估计,仅有 9% 的制造商有足够的漏洞披露计划
  • 2019年:该比例仅上升至 13%

自愿合规效果不佳,促使政府转向强制性立法。

二、立法目的

PSTI 法案的核心目标是:

2.1 保护消费者

  • 防止消费者遭受网络攻击
  • 保护消费者隐私和安全
  • 减少因安全漏洞造成的经济损失(估计每年超过 10 亿英镑

2.2 提升网络安全韧性

  • 建立”安全即默认”(Secure by Design)的产品安全标准
  • 推动制造商在产品设计阶段就考虑安全问题
  • 提升英国整体网络安全水平

2.3 促进产业发展

  • 为企业提供明确的合规标准
  • 增强消费者对物联网产品的信心
  • 促进数字经济健康发展

三、法案结构

PSTI 法案共分为三大部分:

1
2
3
4
5
6
7
8
9
10
11
12
PSTI Act 2022
├── Part 1: Product Security (产品安全) - Sections 1-56
│   ├── Chapter 1: Security Requirements (安全要求)
│   ├── Chapter 2: Duties of Relevant Persons (相关方职责)
│   ├── Chapter 3: Enforcement (执法)
│   └── Chapter 4: Supplementary Provision (补充条款)

├── Part 2: Telecommunications Infrastructure (电信基础设施) - Sections 57-75
│   └── 电子通信代码修订、设施共享权利等

└── Part 3: Final Provisions (附则) - Sections 76-80
    └── 生效条款、过渡安排等

Part 1: 产品安全(核心部分)

这是 PSTI 法案的核心内容,建立了消费级可连接产品安全的监管框架:

章节 内容 条款编号
Chapter 1 安全要求框架 Sections 1-7
Chapter 2 制造商、进口商、分销商职责 Sections 8-25
Chapter 3 执法机制、处罚措施 Sections 26-52
Chapter 4 定义、补充条款 Sections 53-56

四、核心术语解读

准确理解 PSTI 法案的核心术语是合规工作的基础。

4.1 Consumer Connectable Product (消费级可连接产品)

定义(Section 54):

A product which—
(a) is capable of connecting to the internet, and
(b) is capable of transmitting and receiving digital data.

三要素

要素 含义
连接互联网 可直接或间接连接互联网
传输数字数据 可发送和接收数字数据
消费级定位 面向消费者使用

4.2 Relevant Connectable Product (相关可连接产品)

消费级可连接产品中,不属于豁免产品的部分。

4.3 Manufacturer (制造商)

定义(Section 55):

A person who—
(a) manufactures a relevant connectable product, or
(b) has a relevant connectable product designed or manufactured, and markets that product under their own name or trademark.

两种认定情形

情形 说明
自行制造 自己生产产品
委托制造 委托他人设计或制造,以自己名义/商标销售

4.4 Importer (进口商)

定义(Section 56):

A person who is established in the United Kingdom and who—
(a) places a relevant connectable product on the market in the United Kingdom, and
(b) is not the manufacturer or the manufacturer’s authorised representative.

关键要素:在英国成立 + 从境外采购产品投放英国市场

4.5 Distributor (分销商)

定义(Section 56):

A person in the supply chain, other than the manufacturer or importer, who makes a relevant connectable product available on the market.

供应链角色对照

1
2
制造商 → 进口商 → 分销商 → 消费者
(境外)  (英国)   (英国零售商)

五、适用范围详解

5.1 产品范围判断流程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
产品范围判断流程

步骤1: 产品是否可连接互联网?
├── 是 → 进入步骤2
└── 否 → ❌ 不在范围内

步骤2: 产品是否可传输/接收数字数据?
├── 是 → 进入步骤3
└── 否 → ❌ 不在范围内

步骤3: 产品是否面向消费者?
├── 是 → 进入步骤4
└── 否 → ❌ 不在范围内

步骤4: 产品是否属于豁免类别?
├── 是 → ❌ 不在范围内
└── 否 → ✅ 在范围内

5.2 在范围内的产品类别

智能家居设备

类别 产品示例
智能中控 智能音箱、智能中控屏
智能照明 智能灯泡、智能开关
智能安防 智能门锁、智能摄像头、智能门铃
智能家电 智能冰箱、智能洗衣机、智能空调

可穿戴设备

类别 产品示例
智能手表 Apple Watch、智能手环
健康监测 心率监测器、睡眠监测器
定位设备 儿童定位手表、老人定位器

个人电子设备

类别 产品示例
移动设备 智能手机、平板电脑
电脑设备 笔记本电脑
音频设备 智能耳机、智能音箱

5.3 豁免产品类别

豁免类别 具体产品 豁免理由
医疗设备 心脏起搏器、胰岛素泵 受医疗器械法规监管
智能电表 住宅智能电表 已有专门监管框架
电动汽车充电桩 家用充电桩 能源监管
航空设备 无人机 航空监管

5.4 边界情况分析

间接连接设备

问题:通过网关连接互联网的设备是否在范围内?

答案是的。例如 Zigbee/Z-Wave 设备通过网关连接互联网,属于”间接连接互联网”,在 PSTI 范围内。

双用途设备

问题:同时面向消费者和企业的设备是否在范围内?

答案:如果产品面向消费者销售,在范围内。

二手设备

问题:二手设备是否在范围内?

答案不在范围内。PSTI 法规针对首次投放市场的产品。

六、核心安全要求

PSTI 法案授权国务大臣制定具体的安全要求。根据 PSTI Regulations 2023,核心安全要求基于 ETSI EN 303 645 标准,主要包括:

6.1 三项强制性要求

要求 ETSI条款 具体内容
禁止默认密码 5.1.1 每台设备使用唯一密码,禁止通用默认密码
漏洞披露政策 5.2 建立漏洞披露机制,公开安全联系方式
安全更新期限 5.3 明确声明安全更新支持期限

6.2 禁止的密码类型

密码类型 示例 是否禁止
通用默认密码 admin, password, 123456, root ❌ 禁止
可预测密码 序列号、MAC地址、型号+序号 ❌ 禁止
批量相同密码 同批次产品使用相同密码 ❌ 禁止
空密码 无密码 ❌ 禁止

6.3 允许的密码类型

密码类型 示例 是否允许
设备唯一随机密码 X7Kp9mN2qR5t ✅ 允许
用户自定义密码 用户设置的密码 ✅ 允许
硬件绑定密码 基于硬件特征生成 ✅ 允许

七、与其他法规对比

7.1 主要法规概览

法规 地区 生效时间 状态
PSTI Act 2022 英国 2024年4月 ✅ 生效
Cyber Resilience Act 欧盟 预计2027年 立法中
RED Directive 欧盟 2025年8月 生效中
California IoT Law 美国加州 2020年1月 ✅ 生效

7.2 安全要求对比

要求 PSTI CRA RED 加州法
禁止默认密码 ✅ 强制 ✅ 强制 ✅ 强制 ✅ 强制
漏洞披露政策 ✅ 强制 ✅ 强制 - ✅ 强制
安全更新声明 ✅ 强制 ✅ 强制 - -
安全设计 - ✅ 强制 ✅ 强制 -
风险评估 - ✅ 强制 ✅ 强制 -

7.3 合规策略建议

多市场策略:采用”最高标准”原则

1
2
3
4
5
6
7
多市场合规策略:

PSTI(3项) + CRA(扩展项) = 全面合规
     ↓              ↓
  英国市场      欧盟市场
     ↓              ↓
        基本覆盖美国市场

八、重要时间节点

日期 事件 说明
2018年10月 发布《消费者物联网安全行为准则》 13项自愿性安全原则
2022年11月 法案获议会通过 完成立法程序
2022年12月6日 获皇家批准 法案正式成立
2023年8月 PSTI 条例发布 规定具体安全要求
2024年4月29日 PSTI 条例生效 合规要求正式生效

九、对中国企业的影响

9.1 直接影响

如果您的企业:

  • 向英国市场出口消费级可连接产品
  • 作为制造商、进口商或分销商参与供应链

则需要:

  1. 评估产品合规性:对照 ETSI EN 303 645 标准进行自检
  2. 准备合规声明:制定合规声明文档
  3. 建立漏洞披露机制:公开联系方式,接受安全报告
  4. 明确更新支持期限:公开产品安全更新支持时间

9.2 间接影响

PSTI 法案作为全球首个消费级物联网安全强制性法规,可能产生示范效应:

  • 欧盟:《网络弹性法案》(Cyber Resilience Act)正在立法进程中
  • 美国:各州正在推进物联网安全立法
  • 其他英联邦国家:澳大利亚、印度已发布类似准则

小结

PSTI 法案是英国在消费级物联网安全领域的重要立法,标志着从”自愿合规”向”强制合规”的转变。核心要点:

  1. 适用范围:消费级可连接产品(可联网、可传输数据、面向消费者)
  2. 三项要求:禁止默认密码、漏洞披露政策、安全更新期限声明
  3. 角色义务:制造商、进口商、分销商各有不同义务
  4. 执法有力:最高罚款1000万英镑或全球营业额4%

对于向英国市场出口物联网产品的中国企业,需要高度重视这一法规,尽快开展合规准备工作。

参考资料

本文是 PSTI法案解读系列 的第一篇文章。下一篇:供应商合规义务详解

, , , — 2026年3月22日

本文阅读量

评论

Search

    Made with ❤ and Hexo.js at Lynd · 280327097@qq.com.

    本站总访问量 | 访客数 人次