全美物联网设备法案生效，提供合理的安全功能与防护

全美第一部针对物联网设备安全的加州法案SB 327已在2020年1月1日正式生效，即日起要求连接设备的制造商须提供合理的安全功能，给给消费者物联网设备的基本安全防护。

法规推陈出新，规范标准设计顾及公用性

自2018年9月底通过后，加州法案SB 327《Title 1.81.26. Security of Connected Devices》(下称加州设备安全法)便持续受各界瞩目，除全美第一部物联网设备专法的代表性外，内容未臻完善的部分诸如合理安全(Reasonable Security)之定义、对HIPAA等法律的豁免性等也引发不少讨论。虽至生效日前加州政府并未有更进一步补充，然而经由法案颁行，也让在加州销售的设备制造商须于设计过程中确实提供安全措施，给给消费者对物联网设备的基本安全防护。

鉴于物联网规范标准陆续推陈出新，后续相关法规或机制的设计或将延续与兼容暨存法规，以提高公用性与国际对接，例如俄勒冈州物联网设备安全法(HouseBill2395)即是以加州法案为基础，仅将设备的范围聚焦于个人家庭，并对设备制造商定义略有出入，对于厂商须具备的安全防护要求则相似;国际认证单位UL推出的IoTSecurityRaTIng则兼容现行部分法规框架之要求，以便厂商采用。

UL IoT Security RaTIng符合部分法规框架要求。(Source：UL;拓扑产业研究院整理整理，2020.1)

安全立法现聚焦产品设计，或需扩大至数据管理

观察近年物联网相关安全规范与标准，无论已发布的EU Cybersecurity Act 2019、US NIST IoT Cybersecurity CapabiliTIes Base line、ETSI TS 103 645，抑或2020年始生效的加州设备安全法、英国酝酿中的安全标签等，皆将规范对象锁定在设备制造商，就设备之密码设置、软件更新、安全通信、数据加密等大方向进行管制。此举将物联网安全责任归属延伸至设计源头，通过官方与民间之机制消弭物联网的最大隐忧，构建消费者对物联网设备的信心以壮大市场，对消费者及厂商而言皆有正面影响可期。

物联网不仅有设备被黑客入侵及消费者疏于管理的安全议题，于数据管理也为风险管控点之一。近期发生的IoT设备商Wyze数据外泄事件，即是由于员工操作及内部管理不当，造成240万客户数据如用户名、账号、健康信息等暴露于网络上长达22天;Wyze事件受害者或将针对所受影响对企业提起集体诉讼，但事实上，现行物联网安全法规虽就设备设备多有着墨，然在企业或平台数据管理部分却相对乏善可陈。

经此事件，消费者于物联网的信任无疑又蒙了一层灰，故对政府及企业而言，当物联网相关厂商的商业模式是建基于信任上时，相关立法的对象除设备设计外，未来或也将进一步扩大范围，将数据管理纳入规范对象。