澳洲 IoT 网络安全规则（Cyber Security 2025）与英国 PSTI 笔记

近年来，消费级物联网（IoT）设备已成为全球网络安全监管的重点对象。不同于传统 IT 系统，IoT 设备生命周期长、更新能力弱、责任主体复杂，一旦存在系统性安全缺陷，往往会在真实环境中长期暴露。

澳大利亚《网络安全（智能设备安全标准）规则 2025》 与**英国《产品安全与电信基础设施法案》（PSTI）以 ETSI EN 303 645 为技术根基，但在监管思路、责任链设计、测试深度和执法方式 上存在本质差异。本文尝试从"监管者为什么这么设计 "的角度出发，系统梳理两套规则的异同点与实操影响。

一、区别

1. 澳洲网安规则（Cyber Security 2025）

立法定位

澳洲网安规则并非孤立存在，而是隶属于《2024 年网络安全法》（Cyber Security Act 2024）的配套强制性技术规则。其核心目标不是简单"提高安全水平"，而是：

解决 IoT 设备安全责任不可追溯的问题

澳大利亚市场高度依赖进口设备，监管部门长期面临的问题是：

• 产品有漏洞

• 但制造商在海外

• 本地卖家说"不是我做的"

• 最终消费者维权困难

因此，澳洲规则的设计关键词是：
责任闭环（accountability）+ 可追溯（traceability）

生效节奏（非常关键）

• 规则注册日：2025 年 3 月 4 日

• 核心安全义务（密码 / 漏洞 / 更新）：2026 年 3 月 4 日起强制

• 预留 1 年完整整改期

👉 这不是"宽松"，而是给企业建立证据链和流程体系的时间。

---

2. 英国 PSTI

立法定位

PSTI 是一部典型的市场监管法，立法出发点非常直白：

通过高额处罚，快速清理"安全底线不合格"的 IoT 产品

英国监管并不试图深度介入产品设计，而是通过：

• 明确最低安全要求

• 大额罚款

• 投诉触发执法

来迫使市场自行纠偏。

生效特点

• 2024 年 4 月 29 日直接生效

• 无过渡期

• 上市即合规，不合规即违法

👉 PSTI 是"快刀斩乱麻型"监管。

---

3. 核心监管逻辑对比

维度	澳洲网安规则	英国 PSTI
立法目的	建立可追责的 IoT 安全责任链	清理最低安全不合格产品
风格	工程化、流程化	原则化、惩戒化
合规重点	证据、流程、声明完整性	是否触碰三条红线
适合对象	体系化制造商	市场准入型制造商

---

二、适用范围与豁免：谁一定要做，谁明确不用做？

1. 适用产品范围

两套法规均聚焦消费者级联网产品，即：

• 设计或预期用于个人、家庭或家务环境

• 能直接或间接连接互联网

不关心是否"智能"，只关心：

👉 是否能联网 + 是否卖给消费者

---

2. 豁免逻辑差异（非常容易踩坑）

澳洲：强烈的"本地法律衔接"思维

在通用豁免（PC、手机等）之外，澳洲额外排除了：

• 医疗设备（已受《治疗用品法》监管）

• 道路车辆及部件（已受车辆安全法规监管）

👉 核心原则：不重复监管

英国：只做最小集合

PSTI 仅排除传统 IT 设备，其余交由其他法规处理，不在 PSTI 中重复说明。

---

三、责任主体设计：这是两套规则差异最大的地方

1. 澳洲：典型的"全链路追责"

澳洲规则中，责任主体不止制造商：

• 制造商

• 进口商

• 本地供应商

• 授权代表（强制要求）

关键点：

海外制造商 必须 在澳洲指定授权代表

合规声明中 必须写明其名称和地址

👉 监管部门的逻辑是：
"我必须在澳洲境内找到一个可以被起诉的人"

---

2. 英国：责任高度集中在制造商

PSTI 中：

• 合规责任几乎全部由制造商承担

• 进口商 / 分销商仅承担信息转递义务

• 无强制本地代表要求

👉 英国监管更像是：
"产品不行，我就罚你，不管你人在哪"

---

四、三项核心安全义务：同源标准，不同执行深度

1. 密码安全（No Universal Default Passwords）

澳洲：工程级要求

不仅禁止"通用默认密码"，还明确什么不算合规密码：

• 递增 / 可预测密码

• 来源于公开信息

• 直接使用序列号等唯一标识（除非加密处理）

• 行业内普遍认为"易猜"的密码形式

👉 在测试中，需要验证密码生成机制本身

英国：结果导向

只要证明：

• 没有一个所有设备都能用的密码

即可，不关心你怎么实现。

---

2. 漏洞披露机制（Vulnerability Disclosure）

澳洲：流程型监管的典型代表

明确要求：

• 公开 7×24 可用的联系方式

• 48 小时确认收到漏洞报告

• 每 7 天更新一次处理状态

• 留存记录至少 3 年

👉 测试时甚至可能需要真实发一封漏洞邮件。

英国：存在即可

• 只要官网有一个漏洞邮箱

• 不验证响应速度

• 不要求流程文档

---

3. 安全更新与支持期（Security Update Support Period）

这是澳洲规则最"狠"的部分。

澳洲的关键要求：

• 必须是明确截止日期（如：2029-12-31）

• 不允许"至少三年""视情况而定"

• 已公布的支持期 不得缩短

• 延长需重新公开

👉 本质是：
把安全更新从"营销承诺"变成"法律承诺"

英国：

• 只要求"告诉消费者能支持多久"

• 年限、形式、是否可执行，监管不深究

---

五、合规声明：为什么澳洲声明像"法律文件"，英国像"自我保证"？

澳洲合规声明

• 12 项强制要素

• 包含责任主体、支持期、签署人

• 保存 5 年

• 签字人可能承担连带责任

👉 它的法律地位 ≈ 正式监管文件

英国符合性声明

• 一句话即可："产品符合 PSTI 要求"

• 更多是市场准入形式文件

---

六、测试与审计视角：这两套规则到底怎么"查"？

测试维度	澳洲	英国
密码	验证算法与唯一性	验证无通用密码
漏洞机制	实测响应流程	看是否有邮箱
更新能力	验证 OTA 是否真实有效	看支持期说明
声明	核对内容真实性	看是否存在

👉 一句话总结：
澳洲查"你是不是真的做了"，英国查"你有没有踩红线"

---

七、处罚与风险暴露方式

• 澳洲：

  • 产品级罚款

  • 政府采购禁入

  • 可追溯到声明签署人

• 英国：

  • 最高全球营业额 4%

  • 禁止在英销售

  • 典型"重罚轻查"

---

八、实务建议（非常重要）

如果只做英国

• 确保三条红线不踩

• 保留最小合规证据

• 避免过度承诺支持期

如果做澳洲

• 提前设计安全更新年限

• 建立漏洞响应 SOP

• 把"声明"当法律文件写

同时做澳洲 + 英国

• 以 ETSI EN 303 645 为设计基线

• 按澳洲要求设计，用英国方式声明

• 澳洲多做的部分，英国不会拖后腿