特定交易产生的义务互联设备安全 1798.91.04-1798.91.06

Section § 1798.91

Explanation

这项加州法律要求联网设备(例如智能小工具)的制造商内置合理的安全功能。这些功能必须符合设备的用途及其处理的数据类型,以保护信息免受未经授权的访问或更改。如果设备可以在局域网外部访问,则必须为每个设备设置唯一的密码,或者要求用户在首次使用时设置新密码。制造商可以通过遵循美国国家标准与技术研究院(NIST)的标准来满足这些规定,包括第三方测试和标签要求。

(a)CA 民法 Code § 1798.91(a) 联网设备的制造商应当为该设备配备一项或多项合理安全功能,且该功能应符合以下所有要求:
(1)CA 民法 Code § 1798.91(a)(1) 适合设备的性质和功能。
(2)CA 民法 Code § 1798.91(a)(2) 适合其可能收集、包含或传输的信息。
(3)CA 民法 Code § 1798.91(a)(3) 旨在保护设备及其包含的任何信息免受未经授权的访问、破坏、使用、修改或披露。
(b)CA 民法 Code § 1798.91(b) 在符合 (a) 款所有要求的前提下,如果联网设备配备了在局域网外部进行身份验证的手段,则在满足以下任一要求时,应被视为 (a) 款项下的合理安全功能:
(1)CA 民法 Code § 1798.91(b)(1) 预设密码对每个制造的设备而言是唯一的。
(2)CA 民法 Code § 1798.91(b)(2) 设备包含一项安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证手段。
(c)CA 民法 Code § 1798.91(c) 联网设备的制造商可选择通过确保联网设备满足以下所有条件来履行 (a) 款的要求:
(1)CA 民法 Code § 1798.91(c)(1) 达到或超过符合NIST标签方案的基线产品标准。
(2)CA 民法 Code § 1798.91(c)(2) 满足符合NIST标签方案所描述的合格评定,该评定包括第三方测试、检查或认证。
(3)CA 民法 Code § 1798.91(c)(3) 带有符合NIST标签方案所描述的二进制标签。
联网设备 合理安全功能 身份验证 ...

Section § 1798.91

Explanation

本节定义了加州一项关于互联网连接设备法律的关键术语。“身份验证”是关于确认谁被允许使用系统。“联网设备”是指任何可以上网的物品,即使是间接上网,比如智能冰箱。“制造商”是指在该州销售这些设备的生产商。“符合NIST标准的标签方案”是指为符合特定网络安全标准的物联网产品贴上特殊标签。“安全功能”是指设备上旨在保持其安全的任何功能。最后,“未经授权的访问”涵盖了未经用户许可的任何设备使用。

本篇章中,下列术语具有以下含义:
(a)CA 民法 Code § 1798.91(a) “身份验证”是指验证用户、进程或设备访问信息系统资源的权限的方法。
(b)CA 民法 Code § 1798.91(b) “联网设备”是指任何能够直接或间接连接到互联网,并被分配有互联网协议地址或蓝牙地址的设备或其他物理对象。
(c)CA 民法 Code § 1798.91(c) “制造商”是指在加利福尼亚州销售或提供销售的联网设备的制造者,或代表其与他人签订合同制造该设备的人。就本款而言,代表某人与他人签订制造合同不包括仅购买联网设备,或仅购买并贴牌联网设备的合同。
(d)CA 民法 Code § 1798.91(d) “符合NIST标准的标签方案”是指符合国家标准与技术研究院(NIST)于2022年2月4日发布的题为《消费者物联网(IoT)产品网络安全标签推荐标准》的网络安全白皮书的标签方案,包括任何修订或后续出版物。
(e)CA 民法 Code § 1798.91(e) “安全功能”是指为设备提供安全而设计的设备功能。
(f)CA 民法 Code § 1798.91(f) “未经授权的访问、破坏、使用、修改或披露”是指未经消费者授权的访问、破坏、使用、修改或披露。
身份验证 联网设备 制造商 ...

Section § 1798.91

Explanation

这项法律规定,联网设备的制造商和应用程序的提供商不对用户在这些设备上安装的第三方软件负责。它还确认设备用户有权完全控制和修改他们的设备。联邦法律规定的安全义务优先,并且本法规不允许私人提起诉讼——只有特定的政府检察官可以执行。此外,该法律澄清,这些规定不凌驾于现有法律义务之上,并允许执法部门在需要时获取设备信息。受HIPAA等特定健康隐私法管辖的实体不受影响。本法规于2020年1月1日生效。

(a)CA 民法 Code § 1798.91(a) 本篇不得解释为对联网设备的制造商施加任何义务,涉及用户选择添加到联网设备中的非关联第三方软件或应用程序。
(b)CA 民法 Code § 1798.91(b) 本篇不得解释为对电子商店、网关、市场或其他购买或下载软件或应用程序的提供商施加任何义务,以审查或强制遵守本篇。
(c)CA 民法 Code § 1798.91(c) 本篇不得解释为对联网设备的制造商施加任何义务,以阻止用户对联网设备拥有完全控制权,包括用户可自行决定修改设备上运行的软件或固件的能力。
(d)CA 民法 Code § 1798.91(d) 本篇不适用于其功能受联邦法律、法规或联邦机构根据其监管执法权颁布的指南所规定的安全要求约束的任何联网设备。
(e)CA 民法 Code § 1798.91(e) 本篇不得解释为提供私人诉讼权的依据。司法部长、市检察官、县法律顾问或地区检察官应拥有独家权力执行本篇。
(f)CA 民法 Code § 1798.91(f) 本篇规定的职责和义务与根据其他法律规定的任何其他职责或义务累积,且不得解释为解除任何一方根据其他法律规定的任何职责或义务。
(g)CA 民法 Code § 1798.91(g) 本篇不得解释为限制执法机构根据法律授权或根据有管辖权的法院命令从制造商处获取联网设备信息的权力。
(h)CA 民法 Code § 1798.91(h) 受保实体、医疗保健提供者、业务伙伴、医疗保健服务计划、承包商、雇主或任何其他受1996年联邦健康保险流通与责任法案 (HIPAA) (公法104-191) 或医疗信息保密法 (第一部第2.6章 (第56条起)) 约束的人员,对于受这些法案监管的任何活动,不应受本篇约束。
(i)CA 民法 Code § 1798.91(i) 本篇应于2020年1月1日生效。
联网设备 第三方软件 用户控制 ...