《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》將對美國物聯(lián)網(wǎng)建設(shè)產(chǎn)生巨大影響，并有可能對我國的物聯(lián)網(wǎng)設(shè)備出口產(chǎn)生沖擊。

　　2020年12月4日，美國《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》（Internet of Things Cybersecurity Improvement Act）被美國總統(tǒng)特朗普正式簽署，成為美國法律。[1]歷經(jīng)多年，幾經(jīng)波折，《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》終于正式出臺?！段锫?lián)網(wǎng)網(wǎng)絡(luò)安全改進法》將對美國物聯(lián)網(wǎng)建設(shè)產(chǎn)生巨大影響，并有可能對我國的物聯(lián)網(wǎng)設(shè)備出口產(chǎn)生沖擊，本文特此對相關(guān)情況進行梳理介紹，供有關(guān)機構(gòu)決策和學(xué)術(shù)研究參考。

　　1、《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》歷程

　　2016年，Mirai僵尸網(wǎng)絡(luò)等攻擊導(dǎo)致了幾個熱門網(wǎng)站發(fā)生癱瘓，并由此引發(fā)了人們對物聯(lián)網(wǎng)設(shè)備安全需求的關(guān)注。這促使美國立法者逐漸意識到，美國需要跟上物聯(lián)網(wǎng)設(shè)備帶來的數(shù)據(jù)指數(shù)級增長趨勢，并確保適當(dāng)?shù)陌踩院捅Ｗo措施。

　　2017年，在大西洋理事會（Atlantic Council）和哈佛大學(xué)（Harvard University）的幫助下，美國弗吉尼亞州民主黨參議員馬克沃納和科羅拉多州共和黨參議員克里加德納提出新法案《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》，該法案試圖建立一個框架，要求聯(lián)邦政府的設(shè)備供應(yīng)商遵循行業(yè)范圍內(nèi)的安全實踐，例如確?？纱┐髟O(shè)備、智能傳感器等設(shè)備能修復(fù)漏洞、更新密碼、推向市場時不存在已知安全漏洞。[2]該法案目的是期望阻止政府購買存在少數(shù)幾種明顯安全漏洞的聯(lián)網(wǎng)設(shè)備，[3]但該法案最終因多方面原因并未通過。

　　2019年3月11日，美國立法者向國會重新提出了提出了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》（編號為HR 1668），該法案通過為美國政府機構(gòu)購買的所有物聯(lián)網(wǎng)設(shè)備設(shè)定最低安全標(biāo)準(zhǔn)的方式解決其相關(guān)網(wǎng)絡(luò)風(fēng)險。在提出階段，該法案得到了德克薩斯州共和黨眾議員威爾·赫德（Will Hurd）、伊利諾伊州民主黨眾議員羅賓·凱利（Robin Kelly）、弗吉尼亞州民主黨參議員馬克·華納（Mark Warner）、科羅拉多州共和黨議員科里·加德納（Cory Gardner）的支持。[4]該法案即為《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》的原始版本。[5]

　　2020年9月14日，美國眾議院通過了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》（HR 1668），并提交參議院審議。2020年11月17日，參議院未經(jīng)修改通過了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》，將該法案呈交給白宮，供總統(tǒng)簽署。2020年12月7日，特朗普總統(tǒng)正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》，使其成為法律。[6]

　　2、《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》內(nèi)容

　　《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》要求美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）發(fā)布聯(lián)邦政府使用物聯(lián)網(wǎng)設(shè)備的標(biāo)準(zhǔn)和指南，并指示白宮管理和預(yù)算辦公室（OMB）審查政府政策，以確保它們符合NIST指南，聯(lián)邦機構(gòu)將不得購買不符合安全要求的物聯(lián)網(wǎng)設(shè)備。在該法中，物聯(lián)網(wǎng)定義與《對物聯(lián)網(wǎng)設(shè)備制造商的建議：基礎(chǔ)活動和核心設(shè)備網(wǎng)絡(luò)安全能力基線》這一文件中的物聯(lián)網(wǎng)定義保持一致，認(rèn)為其是“能夠獨立工作，擁有網(wǎng)絡(luò)接口，至少有一個傳感器（傳感器或驅(qū)動器）用于與物理世界直接交互的設(shè)備”，其涵蓋范圍非常廣泛。同時，法案規(guī)定了保護聯(lián)邦機構(gòu)免受網(wǎng)絡(luò)攻擊的責(zé)任等級，執(zhí)行部門、管理和預(yù)算辦公室、國土安全部部長以及各個此類機構(gòu)的負(fù)責(zé)人共同負(fù)責(zé)監(jiān)督美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）制定的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。該法還要求美國聯(lián)邦機構(gòu)和供應(yīng)商僅使用符合規(guī)定標(biāo)準(zhǔn)的設(shè)備，并將影響設(shè)備的已知漏洞通知機構(gòu)等。

　　《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》的簽署意味著美國網(wǎng)絡(luò)安全方面邁出了重要的一步，能夠確保在較大程度上美國政府物聯(lián)網(wǎng)設(shè)備的安全性，同時也意味著美國將針對物聯(lián)網(wǎng)設(shè)備開展更嚴(yán)密的審查，至于是否對我國物聯(lián)網(wǎng)設(shè)備出口產(chǎn)生影響還有待進一步觀察。

　　3、法律全文