2026年5月23日，沙特标准组织（SASO）发布技术通报SASO/TC 128/2026，对通过蓝牙向手机APP传输血糖、尿酸等生理数据的生物传感器产品，新增AES-128或更高强度加密及固件OTA安全升级能力的强制性要求，新规自2026年6月1日起执行。该政策直接影响体外诊断设备出口企业、医疗电子ODM/OEM厂商、跨境医疗器械贸易商及SDK技术服务提供商，是近年中东市场在数据安全维度最明确的准入技术升级信号。

事件概述

沙特标准组织（SASO）于2026年5月23日发布技术通报SASO/TC 128/2026，明确要求：所有通过蓝牙方式向移动终端APP传输血糖、尿酸等人体生理参数的生物传感器产品，其无线通信链路必须采用AES-128或更高等级加密算法；同时，设备固件须支持经认证的远程OTA安全升级机制。该要求适用于全部进口至沙特的同类产品，覆盖进口商及本地组装厂。未满足上述条件的产品将被拒绝清关。三诺生物、九诺医疗已公开发布适配新版SASO要求的SDK开发包与认证白皮书。

对哪些细分行业产生影响

直接贸易企业

因新规直接关联清关准入，从事血糖仪、尿酸仪等生物传感器整机出口的贸易企业，将面临出口前合规验证环节前置。影响主要体现为：出口申报需同步提交加密协议实现说明与OTA升级流程验证报告；原有未加密或仅使用基础BLE pairing机制的产品可能无法完成SASO CoC（符合性证书）签发。

加工制造企业

为沙特市场代工或贴牌生产生物传感器的企业，需重新评估现有蓝牙模组选型、嵌入式软件架构及固件签名机制。影响主要体现为：部分低功耗蓝牙（BLE）SoC若不支持硬件级AES加速或安全启动链，将无法满足固件OTA安全升级要求；现有量产产线可能需增加加密密钥注入与固件签名烧录工序。

供应链服务企业

提供SASO认证代理、测试实验室对接、本地代表（LAR）服务的第三方机构，将收到更多关于蓝牙加密协议验证与OTA安全机制确认的技术咨询。影响主要体现为：原有SASO认证服务包需补充蓝牙通信层安全测试项；部分机构若未具备BLE协议栈级安全分析能力，服务能力匹配度将面临考验。

SDK与软件服务企业

为硬件厂商提供移动端APP SDK或嵌入式固件中间件的企业，需确保其通信组件支持AES-128加密协商流程，并兼容可验证的OTA差分升级框架。影响主要体现为：原有轻量级蓝牙通信库若无加密握手扩展接口，将难以满足认证要求；SDK文档与白皮书需明确标注符合SASO/TC 128/2026条款编号。

相关企业或从业者应关注哪些重点、当前应如何应对

关注SASO后续是否发布实施细则或测试方法指南

当前通报未明确加密实现路径（如是否允许软件AES）、OTA签名算法类型（RSA/ECC）、密钥生命周期管理要求等细节。企业应持续跟踪SASO官网及授权测试实验室（如SGS、TÜV Rheinland沙特分支）是否更新配套技术文件。

区分已出货库存与新订单的技术合规边界

新规自2026年6月1日起执行，但未说明是否设置过渡期或以提单日期/清关日期为判定基准。企业需立即梳理在途货物与待排产订单，与沙特本地清关代理确认以哪个时间节点作为合规判定依据，避免批量滞港风险。

优先验证现有蓝牙模组与SDK组合的可认证性

不建议整体重构通信协议栈，而应基于当前硬件平台与软件版本，联合模组供应商及SDK提供商开展最小化合规验证：包括BLE ATT层加密通道建立日志、OTA固件包签名与验签全流程记录、密钥存储机制说明——这些材料已是当前认证白皮书的核心组成部分。

同步准备技术文档中英文双语版本

SASO认证过程中，加密算法实现说明、OTA升级流程图、安全启动链描述等文档需提交英文版。企业宜在内部技术文档定稿阶段即启动专业医学翻译，避免后期因术语不一致导致审核退回。

编辑观点 / 行业观察

Observably, this SASO requirement is not a standalone technical amendment but reflects a broader regulatory shift toward embedded device data integrity in Gulf healthcare markets. Analysis shows it functions primarily as a signal — one that prioritizes verifiable cryptographic implementation over generic compliance statements. From an industry perspective, the speed of response from two domestic manufacturers (Sanuo and Jiunuo) suggests that core technical capability already exists among leading suppliers; however, scalability across mid-tier OEMs remains untested. The real test will be whether local Saudi testing labs can deliver repeatable, protocol-level validation within standard certification timelines — a factor that may ultimately determine rollout pace beyond June 2026.

结语：
本次SASO技术通报标志着沙特对个人健康数据无线传输环节的安全管控进入可验证、可追溯阶段。它并非单纯加设一道准入门槛，而是推动产业链从“功能实现”向“安全可证”演进的关键节点。当前更适合理解为一项聚焦具体通信行为的技术合规升级，其影响深度取决于后续实施细则落地节奏与本地化检测能力支撑水平，而非政策本身的方向性变化。

信息来源说明：
主要来源：沙特标准组织（SASO）技术通报SASO/TC 128/2026（2026年5月23日发布）；三诺生物、九诺医疗官方发布的SDK开发包与认证白皮书（公开渠道可查）。
待持续观察部分：SASO是否就AES实现方式、OTA签名标准、过渡期安排等发布补充说明；沙特授权实验室是否已启用对应测试用例。