PSTI执法机制与合规验证详解
概述
PSTI 法案建立了完整的执法框架,赋予执法机构广泛的调查和处罚权力。本文详细解读 PSTI 法案的执法机制、ETSI EN 303 645 标准框架,以及常见问题解答,帮助企业了解违规后果和合规验证方法。
一、执法机构与权力
1.1 执法主体
主要执法机构:Secretary of State(国务大臣)
实际执行部门:Department for Digital, Culture, Media and Sport (DCMS)
职权来源:Section 26
1.2 调查权力
执法机构的调查权力来源于:
- Consumer Rights Act 2015, Schedule 5(消费者权利法2015年附表5)
- PSTI Act 2022, Section 26(PSTI法案第26条)
| 权力类型 | 具体内容 |
|---|---|
| 信息收集 | 要求提供信息、文件、记录 |
| 进入检查 | 进入经营场所进行检查 |
| 产品检查 | 检查、测试产品 |
| 样本提取 | 提取产品样本进行检测 |
| 记录复制 | 复制相关记录文件 |
1.3 信息提供义务
根据 Section 26(4),执法机构可要求企业提供信息:
- 无需怀疑违规:即使没有违规嫌疑,也可要求提供信息
- 广泛用途:用于确定是否存在合规失败、评估风险等
- 财务信息:可要求提供财务信息以确定罚款计算基数
二、执法通知类型
2.1 三类通知对照
| 通知类型 | 英文 | 主要用途 | 严重程度 |
|---|---|---|---|
| 合规通知 | Compliance Notice | 要求限期整改 | 中 |
| 停止通知 | Stop Notice | 要求停止销售 | 高 |
| 召回通知 | Recall Notice | 要求召回产品 | 最高 |
2.2 通知层级关系
1 | 执法通知层级: |
三、合规通知 (Compliance Notice)
3.1 法律依据
Section 28 规定执法机构可发出合规通知。
3.2 适用情形
| 条件 | 说明 |
|---|---|
| 合理理由 | 执法机构有合理理由认为存在合规失败 |
| 需整改 | 合规失败可通过整改纠正 |
3.3 通知内容
| 要素 | 内容 |
|---|---|
| 违规说明 | 详细说明合规失败情况 |
| 整改要求 | 要求采取的整改措施 |
| 整改期限 | 完成整改的期限 |
| 后果告知 | 不履行的法律后果 |
| 申诉权利 | 申诉途径和期限 |
3.4 程序要求
1 | 合规通知发出流程: |
四、停止通知 (Stop Notice)
4.1 法律依据
Section 29 规定执法机构可发出停止通知。
4.2 适用情形
| 条件 | 说明 |
|---|---|
| 正在进行或可能进行违规活动 | 存在或可能存在违反义务的行为 |
| 风险较高 | 合规通知不足以消除风险 |
4.3 通知内容
| 要素 | 内容 |
|---|---|
| 停止要求 | 要求停止的特定活动 |
| 通知客户 | 可能要求通知客户风险 |
| 期限 | 停止活动的期限 |
4.4 紧急程序
Section 29(5) 规定紧急情况下可省略事前通知程序,立即发出停止通知。
紧急情况包括:
- 对用户安全造成紧迫风险
- 可能导致严重损害
- 需要立即采取行动
五、召回通知 (Recall Notice)
5.1 法律依据
Section 30 规定执法机构可发出召回通知。
5.2 适用情形
| 条件 | 说明 |
|---|---|
| 合规失败存在 | 已售产品存在合规失败 |
| 现有措施不足 | 当事人采取的措施不足以应对风险 |
| 其他措施不足 | 合规通知、停止通知均不足以消除风险 |
5.3 通知内容
| 要素 | 内容 |
|---|---|
| 召回安排 | 要求制定的召回方案 |
| 客户通知 | 通知客户召回原因和方式 |
| 回收安排 | 产品回收和处置方式 |
| 时间要求 | 召回完成期限 |
六、货币罚款
6.1 罚款权力
法律依据:Section 36
核心规定:
The Secretary of State may give a monetary penalty notice to a person if the Secretary of State has reasonable grounds to believe that a compliance failure has occurred.
6.2 罚款金额上限
| 情形 | 罚款上限 |
|---|---|
| 一般违规 | 1000万英镑 或 全球营业额4%(取较高者) |
| 持续违规 | 每日最高 2万英镑 |
6.3 罚款金额示例
| 企业全球营业额 | 4%计算 | 实际罚款上限 |
|---|---|---|
| 5000万英镑 | 200万英镑 | 1000万英镑(取上限) |
| 3亿英镑 | 1200万英镑 | 1200万英镑 |
| 10亿英镑 | 4000万英镑 | 4000万英镑 |
6.4 罚款决定因素
根据 Section 37,罚款金额需考虑:
| 因素 | 说明 |
|---|---|
| 违规性质 | 违规的严重程度 |
| 违规影响 | 对消费者和市场的实际影响 |
| 整改措施 | 是否采取补救措施 |
| 配合程度 | 配合调查的态度 |
| 过往记录 | 是否有违规前科 |
6.5 加重与减轻因素
加重因素:
| 因素 | 说明 |
|---|---|
| 故意违规 | 明知故犯 |
| 隐瞒违规 | 试图掩盖违规行为 |
| 长期违规 | 长时间未整改 |
| 拒不配合 | 拒绝配合调查 |
| 再次违规 | 有违规前科 |
减轻因素:
| 因素 | 说明 |
|---|---|
| 及时报告 | 主动报告违规 |
| 积极整改 | 迅速采取整改措施 |
| 配合调查 | 全力配合执法机构 |
| 初次违规 | 无违规记录 |
| 外部原因 | 因不可抗力导致 |
6.6 罚款程序
| 阶段 | 要求 |
|---|---|
| 事前通知 | 必须通知当事人 |
| 说明意图 | 说明拟罚款的意图和金额 |
| 陈述机会 | 给予陈述意见的机会 |
| 缴款期限 | 不少于28日 |
七、刑事处罚
7.1 不遵守执法通知
法律依据:Section 32
罪名:不遵守执法通知罪
处罚:罚款
抗辩理由:
- 已采取一切合理步骤遵守通知
- 无法合理预见或避免违规
7.2 冒充执法人员
法律依据:Section 49
处罚:
| 法院 | 最高处罚 |
|---|---|
| England & Wales | 51周监禁或罚款,或两者并罚 |
| Scotland | 12个月监禁或罚款,或两者并罚 |
| Northern Ireland | 6个月监禁或罚款,或两者并罚 |
八、上诉机制
8.1 上诉机构
第一审裁判所(First-tier Tribunal)
8.2 可上诉的决定
| 决定类型 | 上诉期限 |
|---|---|
| 执法通知 | 收到通知后28日内 |
| 货币罚款 | 收到罚款通知后28日内 |
8.3 上诉期间效力
暂停执行(Section 33(8)):
- 上诉期间,执法通知暂停执行
- 裁判所可另行决定
8.4 裁判所权力
| 权力 | 说明 |
|---|---|
| 确认决定 | 维持原决定 |
| 变更决定 | 修改原决定 |
| 撤销决定 | 取消原决定 |
| 发回重审 | 要求执法机构重新考虑 |
九、ETSI EN 303 645 标准框架
9.1 标准背景
ETSI(European Telecommunications Standards Institute)欧洲电信标准化协会:
| 项目 | 说明 |
|---|---|
| 性质 | 欧洲标准化组织 |
| 总部 | 法国索菲亚安蒂波利斯 |
| 成立 | 1988年 |
9.2 标准结构
1 | ETSI EN 303 645 V2.1.1 |
9.3 设备安全条款一览
| 条款 | 标题 | 中文 | PSTI要求 |
|---|---|---|---|
| 5.1 | No universal default passwords | 禁止通用默认密码 | ✅ 强制 |
| 5.2 | Implement a vulnerability disclosure policy | 实施漏洞披露政策 | ✅ 强制 |
| 5.3 | Keep software updated | 保持软件更新 | ✅ 强制 |
| 5.4 | Securely store sensitive security parameters | 安全存储敏感安全参数 | 推荐 |
| 5.5 | Communicate securely | 安全通信 | 推荐 |
| 5.6 | Minimize exposed attack surfaces | 最小化暴露攻击面 | 推荐 |
| 5.7 | Ensure software integrity | 确保软件完整性 | 推荐 |
| 5.8 | Ensure that personal data is secure | 确保个人数据安全 | 推荐 |
| 5.9 | Make systems resilient to outages | 使系统具有抗中断能力 | 推荐 |
| 5.10 | Examine system telemetry data | 检查系统遥测数据 | 推荐 |
| 5.11 | Make it easy for users to delete user data | 便于用户删除数据 | 推荐 |
| 5.12 | Make installation and maintenance easy | 使安装和维护简单 | 推荐 |
| 5.13 | Validate input data | 验证输入数据 | 推荐 |
9.4 合规建议
| 建议 | 说明 |
|---|---|
| 优先合规 | 先确保条款5.1-5.3合规 |
| 渐进实施 | 逐步实现其他条款 |
| 全面参考 | 参考完整标准提升安全性 |
十、收到执法通知的应对
10.1 一般应对流程
1 | 收到执法通知应对流程: |
10.2 各类通知应对要点
合规通知
| 步骤 | 行动 |
|---|---|
| 1 | 确认违规事实 |
| 2 | 制定整改计划 |
| 3 | 分配责任和资源 |
| 4 | 执行整改 |
| 5 | 验证整改效果 |
| 6 | 向执法机构报告 |
| 7 | 必要时提起申诉 |
停止通知
| 步骤 | 行动 |
|---|---|
| 1 | 立即停止销售 |
| 2 | 通知销售渠道 |
| 3 | 评估风险程度 |
| 4 | 制定应对方案 |
| 5 | 通知受影响客户 |
| 6 | 向执法机构报告 |
召回通知
| 步骤 | 行动 |
|---|---|
| 1 | 立即启动召回程序 |
| 2 | 通知所有已知客户 |
| 3 | 公开召回公告 |
| 4 | 建立退货渠道 |
| 5 | 处理退款/换货 |
| 6 | 定期向执法机构报告 |
十一、常见问题解答
Q1: 哪些产品在 PSTI 范围内?
答:满足以下三个条件的产品在 PSTI 范围内:
| 条件 | 说明 |
|---|---|
| 1. 可连接互联网 | 直接或间接连接互联网 |
| 2. 可传输数字数据 | 能发送和接收数字数据 |
| 3. 面向消费者 | 消费级产品,非工业/企业专用 |
Q2: 通过网关连接的设备是否在范围内?
答:是的。例如 Zigbee/Z-Wave 设备通过网关连接互联网,属于”间接连接互联网”,在 PSTI 范围内。
Q3: 如何实现”禁止默认密码”?
答:以下方案任选其一:
| 方案 | 说明 |
|---|---|
| 出厂唯一密码 | 每台设备出厂时预置唯一随机密码 |
| 首次设置 | 设备无密码,首次使用时强制设置 |
| 硬件绑定 | 基于硬件ID生成唯一密码 |
Q4: 安全更新支持期限最少多久?
答:法规未规定最短期限,但建议:
| 产品类型 | 建议期限 |
|---|---|
| 普通智能家居 | 3-5年 |
| 智能安防设备 | 5年以上 |
| 智能门锁 | 5年以上 |
Q5: 合规声明必须用英文吗?
答:是的,必须使用英语。其他语言可作为补充。
Q6: 合规声明可以只提供电子版吗?
答:可以,但必须确保消费者可以方便获取:
- 通过二维码链接
- 通过网址链接
- 产品包装上说明获取方式
Q7: 需要第三方认证吗?
答:PSTI 法规 不强制 要求第三方认证,但企业可选择:
- 自我声明合规
- 第三方测试认证(增强可信度)
Q8: 违规会有什么处罚?
答:可能的处罚包括:
| 措施 | 说明 |
|---|---|
| 合规通知 | 要求限期整改 |
| 停止通知 | 要求停止销售 |
| 召回通知 | 要求召回产品 |
| 货币罚款 | 最高1000万英镑或全球营业额4% |
| 刑事处罚 | 不遵守通知可能构成犯罪 |
Q9: 可以申诉吗?
答:可以。在收到通知后 28日内 向第一审裁判所(First-tier Tribunal)提起申诉。
Q10: 合规准备需要多长时间?
答:建议至少提前 6 个月启动合规准备:
| 阶段 | 时间 | 内容 |
|---|---|---|
| 评估规划 | 第1-2月 | 确定范围、差距分析 |
| 产品整改 | 第3-4月 | 技术整改、文档准备 |
| 验证发布 | 第5-6月 | 测试验证、正式发布 |
十二、合规验证要点
12.1 功能测试
| 测试项 | 测试方法 |
|---|---|
| 默认密码唯一性 | 检查多台设备密码是否不同 |
| 默认密码强制修改 | 首次登录测试 |
| 密码复杂度验证 | 尝试简单密码 |
| 漏洞报告接收 | 发送测试邮件 |
| 响应时效验证 | 记录响应时间 |
| 更新推送验证 | 模拟更新推送 |
12.2 文档验证
| 验证项 | 验证内容 |
|---|---|
| 合规声明完整性 | 检查所有必需内容 |
| 合规声明可获取性 | 验证消费者可获取 |
| 安全联系方式公开性 | 检查官网/包装 |
| 支持期限声明 | 检查文档一致性 |
12.3 记录保存
| 记录类型 | 保存期限 |
|---|---|
| 合规声明 | 产品生命周期+10年 |
| 合规失败记录 | 发现后10年 |
| 调查记录 | 调查完成后10年 |
| 漏洞报告 | 报告后10年 |
小结
PSTI 执法机制与合规验证要点:
- 执法机构:国务大臣(DCMS)拥有广泛调查权
- 三类通知:合规通知 → 停止通知 → 召回通知(逐级升级)
- 货币罚款:最高1000万英镑或全球营业额4%
- 申诉权利:28日内向裁判所申诉
- ETSI标准:13项设备安全条款,PSTI强制前三项
- 预防为主:建立合规体系,避免触犯法规
参考资料
- PSTI Act 2022, Chapter 3: Enforcement
- Consumer Rights Act 2015, Schedule 5
- ETSI EN 303 645
- UK Government PSTI Guidance
本文是 PSTI法案解读系列 的第三篇文章。上一篇:供应商合规义务详解。
ETSI EN 303 645, PSTI, 合规验证, 执法机制 — 2026年3月22日
本文阅读量 次
Search
Made with ❤ and at Lynd · 280327097@qq.com.
本站总访问量 次 | 访客数 人次
评论