歐盟RED網路安全標準EN 18031-2

11 May 2025

EN 18031系列標準為無線電設備滿足歐盟將在2025年8月1日強制執行的網路安全授權法案(Radio Equipment Directive Delegated Act) 設定了嚴格規範。其中，EN 18031-2對應RED指令中的Article 3.3(e)，確保無線電設備具備相應的隱私保護功能，為了避免這些設備被濫用於未經授權的存取或防止個人資訊外洩。

適用產品範圍：

• 能夠處理個人隱私資料的可連網無線電設備。
• 不具備連網能力的三類無線電設備：玩具、兒童照護設備、穿戴式裝置。

主要測試與評估內容：

EN 18031-2涉及兩類資產：安全資產與隱私資產，主要測試與評估內容如下：

• 通用評估條款：
  • 存取控制機制：驗證設備是否實現了適當的存取控制機制，確保只有授權人員能夠存取和處理敏感資料。此外，對於兒童照護或玩具類設備，也要求實現不可繞過的家長/監護人權限管理，以保護兒童的隱私和安全。
  • 安全更新機制：設備應至少具備一種可用於更新其資產相關軟體的機制，如透過配套APP、Web管理介面或USB本地更新介面實現。確保設備的軟體和韌體能夠安全、可靠的進行更新。
  • 安全儲存機制：設備應透過存取權限控製或資料加密等手段保護持久保存在本地的資產，確保其完整性與機密性。測試人員將確認相關加密措施是否有效，包括加密演算法的強度、金鑰管理的安全性等，以防止資料被未授權存取或篡改。
  • 安全通訊機制：設備在涉及和網路資產和安全資產相關的通訊時，應採用適當的手段保障通訊的完整性、真實性和機密性。例如，採用TLS1.2以上版本的安全通訊協議，採用符合當下密碼學最佳實踐的加密套件。
• 隱私權資產的特定評估條款：
  • 日誌記錄機制：設備應具備有效的事件記錄能力來記錄與安全、隱私資料存取相關的關鍵事件。設備在運作過程中與安全、隱私資料存取等相關的重要行為或狀態變化，這些行為或狀態需要被記錄在日誌中以便於後續追蹤、分析或稽核。
  • 刪除機制：設備應具備刪除機制，確保使用者或授權實體可刪除設備上儲存的個人資料或敏感安全參數
  • 使用者通知機制：對於隱私資產保護方式的變更，設備應實施至少一種對應的使用者通知機制。此機制應包含對於變更造成影響的描述。

如有查詢，請電郵至hkmarketing@intertek.com。