2025年1月30日,歐盟委員會在《歐盟官方公報》(OJEU) 上發布了編號為(EU) 2025/138的決定,將EN 18031-1/2/3三個標準納入《無線電設備指令》(RED)的協調標準清單。該對無線電設備的網絡安全、隱私保護和反欺詐等方面提出了明確要求,將于2025年8月1日正式實施,屆時無線電設備必須符合RED指令第3(3)條(d)、(e)和(f)點的網絡信息安全要求才能進入歐盟市場銷售。其中,EN18031-2對應RED指令中的Article 3.3(e),確保無線電設備具備相應的隱私保護功能,為了避免這些設備被濫用于未經授權的訪問或防止個人信息泄露。
適用產品范圍:
能夠處理個人隱私數據的可聯網無線電設備。不具備聯網能力的三類無線電設備:玩具、兒童護理類設備、可穿戴類設備。
評估要點說明:
EN 18031系列標準將評估對象按資產分為安全資產、網絡資產、隱私資產和金融資產四類。
安全資產:關乎設備自身的安全防護機制,如設備的訪問控制、認證等功能;
網絡資產:側重于設備與網絡交互過程中的安全性,防止對網絡造成損害;
隱私資產:聚焦于保護用戶的個人數據和隱私,避免數據被非法獲取和使用;
金融資產:則主要針對涉及金融交易功能的設備,確保交易安全,防止欺詐。
EN 18031-2涉及兩類資產:安全資產與隱私資產
EN 18031-2標準主要測試與評估內容:
通用評估條款:
訪問控制機制:驗證設備是否實現了適當的訪問控制機制,確保只有授權人員能夠訪問和處理敏感數據。此外,對于兒童護理或玩具類設備,還要求實現不可繞過的家長/監護人權限管理,以保護兒童的隱私和安全。安全更新機制:設備應至少具備一種可用于更新其資產相關軟件的機制,如通過配套APP、Web管理界面或USB本地更新接口實現。確保設備的軟件和固件能夠安全、可靠地進行更新。安全存儲機制:設備應通過訪問權限控制或數據加密等手段保護持久保存在本地的資產,保證其完整性與機密性。測試人員將確認相關加密措施是否有效,包括加密算法的強度、密鑰管理的安全性等,以防止數據被未授權訪問或篡改。安全通信機制:設備在涉及到和網絡資產和安全資產有關的通信時,應采用適當的手段保障通信的完整性、真實性和機密性。例如,采用TLS1.2及以上版本的安全通信協議,采用符合當下密碼學最佳實踐的加密套件。
隱私資產的特定評估條款:
日志記錄機制:設備應具備有效的事件記錄能力來記錄與安全、隱私數據訪問相關的關鍵事件。設備在運行過程中與安全、隱私數據訪問等相關的重要行為或狀態變化,這些行為或狀態需要被記錄在日志中以便于后續追蹤、分析或審計。刪除機制:設備應具備刪除機制,確保用戶或授權實體可刪除設備上存儲的個人數據或敏感安全參數。用戶通知機制:對于隱私資產保護方式的變更,設備應實施至少一種相應的用戶通知機制。該機制應包含對于變更造成影響的描述。