美国物联网安全标签计划项目重回正轨,"政治武器"特点明显

近日，美国联邦通讯委员会（FCC）宣布，选择全球物联网安全标准组织ioXt（internet of secure things）联盟为美国物联网安全标签计划项目的首席管理员，让一度中断的物联网安全标签计划再次进入加速实施通道。与此同时，我国在近期也印发了《网络安全标识管理办法》，该办法将于7月1日起实施，其中物联网产品占据办法适用范围的发部分比例，因此在一定程度上可以认为是中国版物联网安全标签体系的发布。至此，中美两个大国的物联网安全标签计划均已落地，对全球物联网产业健康发展产生深远影响。

筹备多年的物联网安全标签计划重回正轨

回顾美国物联网安全标签计划的历程，该计划从特朗普第一次任期开始有一定的雏形，拜登任期期间形成主体内容，到特朗普第二任务落地实施。从关键里程碑来看，可以总结为以下几个节点：

第一阶段，立法和行政命令奠定基础。这一阶段可以说是从2018年开始，到2021年结束。2018年，加利福尼亚州通过首部专门的《IoT设备网络安全法》，虽然只是一个地方法规，但具有一定的里程碑意义，它是首次对物联网设备安全的立法。2020年12月，特朗普在其总统任期最后阶段，签署了《物联网网络安全改进法》，这成为美国首个全国性物联网安全法律，当然，这个法律主要规范联邦政府采购和使用的物联网设备的安全性，并没有对物联网整体安全有非常明确的要求，但作为首个全国性物联网安全法规，体现了美国对这一领域的高度关注。到2021年5月，拜登总统签发《关于改善国家网络安全行政令》，该行政令中强调了改善物联网安全的必要性，并要求启动消费物联网标签计划，代表了美国对于改善全国物联网网络安全更广泛的举措，为物联网产品设定了安全标准、明确了机构责任。

第二阶段，推动筹备和征求意见。2022年10月，白宫召集产业界、学术界和政府机构召开会议，提出参考“能源之星（Energy Star）”模式来设计物联网安全标签计划。2023年7月，拜登政府正式宣布推出“U.S. Cyber Trust Mark”计划，目标于2024年启动。同时，亚马逊、谷歌、三星等众多头部厂商宣布支持。2023年8月，FCC发布拟议规则制定通知（NPRM），开始公开征求意见，并与2024年2月发布发布《报告与命令》草案，成为物联网安全标签的完整版方案，开始征求意见。2024年3月，FCC投票正式通过该计划，确立了实施框架。在这一框架中，计划将医疗设备以及被列入FCC管制清单、商务部实体清单、国防部涉军企业清单等（其中点名了中国企业）的实体生产的产品排除在外。

第三阶段，实施推进。2024年12月：FCC选定UL Solutions公司作为物联网安全标签计划的首席管理员，负责协调测试标准制定和日常管理。2025年1月，白宫宣布计划“正式启动”。不过，2025年6月FCC官员在对外采访中透露，由于对首席管理员UL Solutions与中国合作关系的调查，计划实施陷入停滞，专家担忧其可能“半途而废”。2026年1月，FCC透露正在选择新的首席管理员，至今选定ioXt作为新的首席管理员，该计划才重新进入正常实施轨道。

物联网安全标签计划已上升为美国的一个“政治武器”

通过物联网安全标签计划提升物联网产品生产者对安全能力投入，保护消费者合法权益，这本是一个非常有效的市场化手段。美国在出台物联网安全标签计划时虽然强调这是一个自愿性、市场主导的计划，但是，在实际推进过程中却并非如此，从该计划的方案到实施过程中对首席管理员的调查，无不体现出将该计划作为一个政治手段。

以美国对首次选定的首席管理员UL Solutions调查为例，UL Solutions作为一家第三方认证公司，对多种技术解决方案进行认证，物联网安全认证也是其中一项重要的业务，被选为物联网安全标签计划的首席管理员，背后有其对于物联网测试认证长期的积累。例如，早在2020年，UL Solutions就推出了专为物联网产品设计的安全验证和标签解决方案——物联网安全评级服务，按照青铜、白银、黄金、铂金和钻石五个等级进行产品分类，经过验证的产品将获得相应的UL物联网安全评级验证标签（指明产品达到的安全级别），并由UL进行持续评估。

不过，UL Solutions与中国有深入合作，进入中国已有四十多年，在国内广泛开展业务，目前在国内设有12个分支机构以及8个大型实验室，以及众多获得UL认可的第三方合作实验室和客户实验室。2016年在东莞松山湖建立的物联网实验室就是国内8个大型实验室之一，其中最重要的一个任务就是对企业生产的智能产品进行多个方面的测试，包括互通性、兼容性、可用性、数据安全性、网络安全性、快速充电、电磁兼容性等，已覆盖智能家居、车载信息娱乐设备、可穿戴设备、机器人、VR等众多领域。

UL Solutions在中国广泛开展业务，成了美国政府对其调查的一个借口。在物联网安全标签计划的方案中就提出，要将“不可信”的实验室剔除出去，其中包括来自中的是实验室。2025年以来，特朗普政府的新任FCC主席加强对“不可信”的实验室从计划中剔除力度，6月份对UL Solutions进行调查，其对外措辞是UL Solutions与中国国有企业成立合资公司，以及在中国运营实验室。

新选择的首席管理员ioXt联盟是物联网安全的全球标准的重要推动者，由200多家全球领先的OEM、无线运营商、标准组织、合规实验室和政府组织组成，致力于协调最佳安全实践和建立可测试标准。ioXt认证计划依照多项不同的承诺原则来评估产品的安全等级，一旦设备通过了实验室或自我认证的测试，它们就会被认为是安全的且可以得到ioXt的标签。

ioXt宣称为一家第三方的组织，在ioXt的成员中，也有一些中国企业。不过该组织似乎更加支持美国以安全之名对其他国家的制裁。例如，2024年3月，ioXt曾公开宣称其维护和提升物联网生态系统安全完整性承诺中的一项关键决定，即：经过全面审查，ioXt决定不再向部分中国企业及其应用和设备提供认证，并取消已提供的认证。ioXt提出，鉴于该组织需要配置严格标准以及网络安全标签项目的更高标准，这些中国制造商获得认证和获得网络安全标签的可能性不大，此举是ioXt与FCC和联邦政府等监管机构更紧密合作、打造更安全的物联网环境的更广泛战略的一部分。

可以看出，ioXt由于在对中国的立场上与美国政府保持一致，成为其被选定为首席管理员的一个重要因素。物联网安全标签计划已升级为美国针对全球物联网市场抛出的一个政治武器。

目前，国内已印发《网络安全标识管理办法》，标志着我国对消费物联网产品的安全管理从相对粗放走向精细化和市场化。对于我国企业尤其是出海的物联网企业来说，必须加强对海外物联网安全标签计划的研究，与合格的测试认证机构合作，深入跟踪标签计划实施的细则，提升产品出海的竞争力。同时，中国版物联网安全标签计划也需要加快与海外市场的互认，为我国企业产品出海提供制度基础。