物联网标签是实体要素连接到网络的主要入口，是物联网的终端节点，从RFID电子标签到AI芯片，其在物联网中始终扮演着重要角色。据测算，全球每年RFID标签出货量超过400亿枚，随着5G商用的进一步发展，物联网连接数还将保持高速增长态势。与此同时，连接的便利性也给物联网设备安全带来极大威胁，据SAM Seamless Network报告分析，2021年有近10亿物联网设备遭受攻击，物联网标签存在重大安全隐患。这一问题引起主要发达国家高度重视，美国于2021年5月率先启动物联网安全标签计划，并持续给予政策支持，旨在通过构建新型物联网标签体系从根源上解决物联网设备安全问题。因此，我国需加强物联网安全研究，探索国际互认的新型标签体系。

成为全球主要发达国家重点关注对象

随着全球物联网产业的规模化，物联网标签逐步向高端化和智能化迈进。IDTechEx预测，到2024年超高频RFID标签的销量将从2019年的150亿枚增至412亿枚。然而，传统标签缺乏必要的安全认证手段，导致物联网设备和产品极易受到网络攻击，对个人、工控设备、国家网络安全等造成了严重影响。美国、德国、英国及欧盟等全球主要发达经济体逐步将物联网设备及网络安全上升到国家和地区安全治理的战略高度，纷纷启动物联网设备网络安全标签计划，通过立法、标准、认证等手段保障计划落地实施，意图建立可管、可控、可信的物联网设备网络安全防控体系。

美国率先提出物联网安全标签计划

美国将物联网安全标签计划列入长期战略规划，以立法为主并协同多部门出台推进举措，保障物联网安全标签计划落地实施。2017—2020年，美国多次修正《物联网网络安全改进法案》，要求联邦机构及其供货商仅使用符合安全标准的物联网设备。2021年5月，美国政府发布《关于改善国家网络安全的行政令》，要求国家标准技术研究院（NIST）、美国联邦贸易委员会（FTC）与其他机构合作，启动网络安全标签试点项目，开展消费物联网产品网络安全标准、测试和评估等相关工作。自此开始，NIST研制并发布多项标准，包括消费物联产品和消费软件网络安全标签标准和基准要求，并推进物联网网络安全漏洞披露和共享等相关标准制定；美国商务部于2022年10月宣布成立专门的物联网咨询委员会，监督物联网发展各项举措与安全立法的合规性；亚马逊和百思买等零售商以及思科、谷歌、LG、高通和三星等科技巨头签署了物联网设备网络安全标签倡议，并拟于2024年启动。

标准先行，欧盟将立法提上日程

欧盟继美国之后高度重视新型物联网标签安全体系建设，逐步从标准规范向法律强制实施转变。2020年6月，欧洲电信标准委员会(ETSI)与相关产品生产商、学术界和政府合作开发消费物联网网络安全标准ETSI EN 303 645，旨在提供一种有效、基本的评估方法，可为连接互联网的消费类产品建立安全基线，保障用户隐私安全，该项标准已成为德国、芬兰等欧洲国家开展物联网网络标签认证的重要依据。2022年1月，欧盟委员会发布了《无线设备指令》的授权法案，要求进入欧盟的无线物联网设备必须满足安全标准和认证要求，新法案将于2024年8月1日起强制执行。2023年7月，欧洲议会成员委员会批准《网络弹性法案（草案）》，将为数字产品的网络安全风险进行分级分类，并进行合规评定。

德国成为第一个启用新型标签的国家

德国已于2021年底通过并实施了新型物联网标签方案。2021年，德国联邦信息安全办公室（BSI）推出了“ITSecurity标签方案"，通过扫描该标签消费者可以自行检查数字连接设备和服务的安全特性。购买这种贴有标签的设备时，只要输入标签上的链接地址或用智能手机扫描二维码，就可以链接到BSI的网站上查询产品特定的安全信息，确认设备的网络安全状况。为了获得IT-Security标签，设备供应商需要填写一份申请，并声明该产品或服务满足相应BSI产品类别的要求。BSI对文件进行合格确认后，将在指定的有效期内分配标签，并生成与指定标签链接相对应的产品信息网页。

英国持续关注消费物联网产品安全

英国在消费物联网产品方面提出多项法律约束，并持续关注新型标签的发展与应用。2018年英国数字、文化、传媒和体育部(DCMS)与英国国家网络安全中心(NCSC)发布《消费类物联网设备安全行为准则》，列出禁止使用默认密码、实施漏洞披露、保持软件更新、存储安全凭据和安全敏感数据等13项准则，对连接到互联网或家庭网络的消费物联网产品提出要求。2021年11月，英国政府向议会提交《产品安全和电信基础设施（PSTI）法案》，对互联网可连接设备（如手机、平板电脑、智能电视和健身跟踪器）的制造商、进口商和分销商制定了新的网络安全标准。该法案还适用于可以连接到多个其他设备但不能直接连接到互联网的产品，如智能灯泡和智能恒温器等。

新加坡实施消费物联网产品标签互认举措

新加坡以欧盟标准为准则，率先实施消费物联网设备与产品的标签互认政策。2020年新加坡网络安全局提出针对路由器和智能家居等消费智能设备的网络安全标签计划(CLS)，遵循欧盟的物联网设备标准，将智能设备的网络安全分为四个等级，每个级别用星号表示。为了通过前两个等级的标准，制造商需要提交一份符合证明的声明；对于更高的两个级别，他们将需要提交一份由CSA批准的实验室评估报告。目前，该标签计划已扩展至所有类型的消费物联网设备。该计划在亚太地区尚属首次，截至2022年底，新加坡已有200多种产品获得了相应的网络安全标签。

全球新型物联网标签计划的影响分析

新型物联网标签对我国出口产品影响

新型物联网标签计划通过为符合合规认证的设备赋予新的标签铭牌，且能够提供安全更新信息、控制的访问方式、收集的数据信息，并通过国家权威平台予以注册认证，将从根源上解决设备的网络安全问题。当前，新型物联网标签已获得知名物联网制造商、零售商的大力支持，将成为未来物联网设备进入零售市场的重要参考依据。按照主要发达国家的新型物联网标签推进计划，第一批新型物联网标签产品包括路由器等通信产品，以及冰箱、微波炉、电视等智能家居产品，这些都是以我国为主的发展中国家出口贸易的重要产品，标签计划一旦推广实施，将增加相关企业的出口压力，对外贸易或将呈现一段“窗口期"。

新型物联网标签互认或将重构全球物联网发展格局

当前，美国正与欧盟国家以及新加坡等发达国家进行沟通，促进新型物联网设备网络安全标签实现互认，并推动相关方案达成全球共识。我国是全球物联网市场的主要参与者，据国际数据公司（IDC）数据，未来五年内我国物联网复合年增长率为13%，2024年我国或将成为全球物联网行业领导者。国际主要发达国家一旦就“标签计划"达成互认，全球物联网市场或将出现“两极分化"现象，发达国家抱团抢占物联网科技制高点并试图将发展中国家排除在外，双方的差距将更加明显。

新型物联网标签认证机制或将带来数据隐私泄露风险

新型物联网标签计划通过合规认证手段，构建符合相关物联网产品认证标准和规则的、自主可信的物联网安全标签体系，以实现物联网重要数据的可管、可控。根据最新物联网标签网络安全标准有关规定，物联网设备网络安全认证需要对软件更新政策、数据加密标准、漏洞修复等信息进行共享，可能涉及到企业数据、个人数据的跨境流动，对相关企业和行业信息安全带来隐患。

关于我国推进物联网标签发展的建议

加强顶层设计，统筹谋划物联网网络安全措施。一是持续跟踪美国物联网安全治理推进策略和最新动向，从法律规章、国家标准、产品研发和安全监管评估等方面加快推进我国物联网安全监管体系建设。二是加强物联网的战略规划，出台跨部门物联网融合机制举措，加快出台物联网网络安全立法和规范性政策，从法律层面保障物联网发展安全可控。制定我国物联网监管标准和防护指南，指导企业提升物联网设备安全性能，强化物联网设备安全监管要求。

强化标准引领，加快推进关键技术和标准研制。完善物联网安全标准体系，加强物联网设备网络安全标签标识、标签设计、分级分类、评估认证等国家标准研制，推动建立新型物联网标签、物联网终端的安全等级认证体系，为全面提升物联网综合安全水平提供支撑。建立物联网产品网络化标识体系，加强分级分类管理，提高产品联网与数据流通安全保障能力。

推动国际互认，建立自主可控的网络标签体系。建议我国加快推动物联网设备网络安全标签计划，加快与美国、欧盟国家开展物联网设备网络安全标签联合倡议，积极参与国际标准研制，推动国际标准对标、标签标准互认，实现标签的自主化和可控化。面向电信产品和视讯监控等重点设备进行试点应用，逐步建立我国自主可控的物联网标签安全体系并推动规模化应用。