国家标准 GB/T409792021 智能家用电器个人信息保护要求和测评方法 Personalinformationproteetionrequirementsandtest methodsforintelligenthoseholdapplianees 2021-11-26发布 2022-06-01实施国家市场监督管理总局发布国家标涯花警理委员会国家标准
GB/T40979一2021 次目前言范围 2 规范性引用文件术语和定义概述 4.1智能家电收集个人信息的方式 4.2智能家电个人信息流转场景 4.3智能家电软件操作系统分类技术要求 5.1智能家电个人信息分类和安全分级 5.2业务流程 5.3个人信息主体的权利组织管理要求 13 6.1明确责任部门与人员 13 6.2个人信息安全影响评估 13 6.3个人信息安全事件处置 14 测评方法 14 7.1测评类型及方法 14 7.2测评方法选择 15 附录A(资料性智能家电应用场景场景1;App和家电设备属同一个人信息控制者 17 场景2;App与家电设备属不同个人信息控制者 17 场景3:不同个人信息控制者的智能家电通过互联网和云平台进行联动 18 附录B(规范性智能家电核心业务功能对应的最少信息与约束条件 19 附录c(资料性)常见漏洞类型 21 C.1web应用和服务中的漏洞 21 C.2移动应用和服务中的漏洞 22 参考文献 26
GB/40979一2021 前言本文件按照GB/T1.1一2020<标准化工作导则第1部分;标准化文件的结构和起草规则》的规定起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由轻工业联合会提出本文件由全国家用电器标准化技术委员会(SAC/Tc46)归口本文件起草单位:家用电器研究院、青岛海尔科技有限公司,美的集团股份有限公司、深圳 TCL.新技术有限公司、惠而浦()股份有限公司、合肥荣事达电子电器集团有限公司、信息安全测评中心,海信家电集团股份有限公司.北京石头世纪科技股份有限公司、科沃斯机器人股份有限公司、珠海格力电器股份有限公司、无锡小天鹅电器有限公司、北京百度网讯科技有限公司、合肥美的电冰箱有限公司,万源众享联盟科技(北京)有限公司、宁波奥克斯电气股份有限公司、广州艾罗伯特机器人技术咨询有限公司,大金()投资有限公司上海分公司,通标标准技术服务(上海)有限公司、奇安信科技集团股份有限公司、中家院(北京)检测认证有限公司本文件主要起草人马德军、曲宗峰、李红伟、闫凌、王森、徐祥智、刘复鑫、时雨、陈勇、黄育楷陈坚波、沈睿、高翔、范凌云、张利、赵鹏、祖岩岩、林舜大.陈冬青、李后上、吴月升、陈仙铜、李一,杜文超高宇昊、杨文靖、孙威威、刘宇馨、赵燕伟、马晓玉
GB/40979一2021 智能家用电器个人信息保护要求和测评方法范围本文件规定了智能家用电器应用过程中个人信息保护的技术要求、组织管理要求及测评方法本文件适用于智能家用电器、智能家用电器系统和智能家居应用过程中相关各类组织的个人信息处理活动,包括个人信息收集、存储,使用(公开披露,共享与转让、委托处理及跨境传输)等业务流程,以及个人信息保护的组织管理与评价注:本文件中的智能家用电器系统评测范围包括智能家电设备.Ap等所有应用网络技术的家用电器,相关设备操控、数据收集、数据处理等所有应用程序,以及相关的云平台(远程服务平台) 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T28219-2018智能家用电器通用技术要求 GB/T352732020信息安全技术个人信息安全规范 GB/T393352020信息安全技术个人信息安全影响评估指南术语和定义 GB/T282192018,GB/T352732020中界定的以及下列术语和定义适用于本文件， 3.1 智能家用电器 intelligenthoseholdappliances 应用了智能化技术或具有了智能化能力/功能的家用和类似用途电器注智能家用电器可简称为智能家电,也可称为智慧家电、人工智能家电等 [来源:GB/T28219-2018,3.8] 3.2 智能家电系统 intelligenthouseholdappliancessystem 至少由一个智能家电和其他部件构成的家电系统注系统除包含智能家电产品与相关设备、网络通信系统以及相关服务平台等组成部分外,还包含上述产品、设备、系统和平台的制造商、用户,服务提供商等相关方 [来源;GB/T28219一2018,3.9,有修改 3.3 智能家居 inteligenthome 建立在住宅基础上的,基于人们对家居生活的安全性,实用性、便捷性、舒适性、环保节能等更高的综合需求,由一个或一个以上智能家电系统组成的家居设施及其管理系统注，智能家居也可称为智慧家居,智慧家庭、智能家庭等
GB/T40979一202 [来源;GB/T28219一2018,3.10 3.4 lapplieatnmn 控制端应用 cOntrol 由用户操作,与网络服务连接,能对智能家电进行远程操作的应用程序注:本文件简称为App 3.5 服务平台 serviceplatform 为智能家电、智能家电系统和智能家居提供服务的系统注，服务平台也可称为应用服务平台,云服务平台,云平台等 [来源:GB/T282192018,3.12,有修改] 3.6 个人信息perwalinfmatm 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息注1个人信息包括个人基本资料(如姓名、出生日期、性别),个人教育工作信息、个人通信信息,个人身份信息个人财产信息、网络身份标识信息,个人健康生理信息、个人生物性识别信息、设备标识信息、智能家电系统采集信息,特定家庭信息.,用户画像信息等具体分类和内容见5.1.l 注2:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息 [来源:GB/T352732020,3.l,有修改 3.7 个人敏感信息 personalsensitiveinformation -旦泄露、非法提供或滥用,可能危害人身或财产安全,极易导致个人名誉,身心健康等受到损害或歧视性待遇等的个人信息注;个人敏感信息包括个人身份信息、个人财产信息、网络身份标识信息、个人生物性识别信息、个人健康生理信息、其他个人敏感信息等具体分类和内容见5.1.2 [来源;GB/T352732020,3.2,有修改] 3.8 个人信息主体 personalinformationsubject 个人信息所标识或者关联的自然人 [来源;GB/T352732020,3.3] 3.9 个人信息控制者 personalinformationcontroller 有能力决定个人信息处理目的、方式等的组织或个人 [来源(GB/T352732020,3.4打] 3.10 业务功能 businessfunction 满足个人信息主体的具体使用需求的服务类型注:智能家电业务功能主要包括设备控制、智慧场景(家人健康、食谱推荐、离家/回家、就寝/起床等、售后服务、网上商城等 [来源:GB/T35273一2020,3.17,有修改] 3.11 明示同意expliciteonsent 个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作，
GB/40979一2021 对其个人信息进行特定处理作出明确授权的行为注1:肯定性动作包括个人信息主体主动勾选、主动点击“同意"“注册”“发送”“拨打”,主动填写或提供等注2:本文件中的授权同意均指明示同意 [[来源GB/T35273一2020,3.6,有修改] 3.12 用户画像 userprofiling 通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程注，直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像 [来源:GB/T352732020,3.8 3.13 anonymization 匿名化通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程注:个人信息经匿名化处理后所得的信息不属于个人信息 [[来源GB/T352732020,3.14] 3.14 去标识化 de-identification 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或关联个人信息主体的过程注去标识化建立在个体基础之上,保留了个体颗粒度,采用假名,加密,哈希函数等技术手段代替对个人信息的标识常用去标识化技术见GB/T37964一2019附录A [来源:GB/T35273一2020,3.15,有修改] 概述 4.1智能家电收集个人信息的方式智能家电个人信息的保护要求,因智能家电收集个人信息方式的不同而异智能家电收集个人信息的方式,取决于用户与智能家电交互界面的类型,主要分为以下三种不带触摸屏类智能家电:未使用设备屏端输人方式,而是通过控制端应用或设备传感等其他方式收集用户个人信息,示例:不带触摸屏空调、洗衣机、热水器等; b 带触摸屏类智能家电;通过设备屏端输人方式(可以兼具通过控制端应用或设备传感等其他方式),收集用户个人信息,示例;带触摸屏电冰箱、房间空调器、烤箱等; 生物识别类智能家电;通过人机语音交互,指纹、人脸、手势等生物性识别的方式(可以兼具通过控制端应用、设备传感、设备屏端输人等其他方式),收集用户个人信息,示例:带语音交互的电冰箱,带指纹识别的电坐便器盖、带图像识别的房间空调器等注:智能家电系统使用Cookie等同类技术包括脚本、Cickstream、web信标、FlashCookie、内嵌web连接、SDK 等)收集个人信息,及通过嵌人第三方代码,插件等方式将个人信息传输至第三方服务器,均属于本文件的范围 4.2智能家电个人信息流转场景 -般地,家电厂商通过独立的控制端应用,云平台来控制和管理其智能家电,但同一个家庭可能存
GB/T40979一202 在多个家电厂商的智能家电,存在不同家电厂商的智能家电或控制端应用通过各家电厂商云平台间的互联互通,来实现跨家电厂商,跨平台的操作及信息交互的场景智能家电控制与互联操作的三种应用场景见附录A 对应地,智能家电个人信息流转的三种场景如下 a 场景一:ApPp和家电设备属同一个人信息控制者,流转于个人信息控制者自身的智能家电、 App以及云平台之间 b 场景二:Ap与家电设备属不同个人信息控制者,流转于不同个人信息控制者的智能家电、云平台,以及第三方App,云平台之间; 场景三;不同个人信息控制者的智能家电通过互联网和云平台进行联动,流转于不同个人信息控制者的智能家电、云平台,以及第三方智能家电、云平台之间 4.3智能家电软件操作系统分类 4.3.1单用户操作系统智能家电的固件的各软件功能具备有统一的权限控制,每一个功能都能使用到系统的全部硬件和软件资源,如实时操作系统(RTos) 多用户操作系统 4.3.2 智能家电的固件的各软件功能具备有不同类别的访问权限,如安卓系统技术要求 5 5.1智能家电个人信息分类和安全分级 5.1.1智能家电个人信息分类根据GB/T352732020,结合智能家电的特点,智能家电个人信息的分类如表1所示表1智能家电个人信息分类个人信息分类个人信息内容个人基本资料姓名、生日,性别,民族、国籍、家庭关系,住址电话号码、电子邮箱等个人教育工作信息职业、职位、工作单位、学历、学位,教育经历、工作经历、培训记录,成绩单等通讯录.好友列表,群列表,电子邮件地址列表等联系人信息,通信记录和内容,短信,彩信,电个人通信信息子邮件,以及描述个人通信的数据等个人位置信息行踪轨迹、精准定位信息,住宿信息、经纬度等个人身份信息身份证、护照、驾驶证将军官证、工作证、出人证、社保卡、居住证、教师证、学生证等银行账号、鉴别信息口令、存款信息包括资金数量、支付收款记录等、房产信息、信贷记个人财产信息录,征信信息,交易和消费记录,流水记录筝,以及虚拟货币、虚拟交易,游戏类兑换码等虚拟财产信息网络身份标识信息系统账号、IP地址、邮箱地址及前述有关的密码、口令、口令保护答案、用户个人数字证书等个人生物性识别信息基因、指纹、虹膜、声纹、掌纹、耳廓、巩膜、静脉、面部特征等
GB/T40979一2021 表1智能家电个人信息分类续个人信息内容个人信息分类个人因病医治等产生的相关记录,如;病症,住院志,医嘱单,检验报告、手术及麻醉记录、护理个人健康生理信息记录,用药记录,药物食物过敏信息,生育信息,诊治情况,以往病史,家族病史,现病史,传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量、体脂等可能会导致歧视、不公正待遇的信息,如:婚史、性生活或性取向、未公开的违法犯罪记录,以其他个人信息及揭示种族或民族,政治观点,宗教或哲学信仰,工会成员的信息等唯一标识个人设备的信息,如;设备MAC地址,唯一设备识别码(设备ID/IME/androidD) 设备标识信息 IDFA/OPENUDIDGUIDSIM卡IMSI信息等)、硬件序列号等,以及软件列表等描述个人设备基本情况的信息智能家电系统包括智能家电、控制端应用和云平台,采集的与用户设备或用户行为有关的信息包括但不限于智能家电系统设备运行信息,如;开关机状态,运行时长,设备操作数据等; 采集信息文件信息,如照片、音频视频、文本等; -日志信息,如;用户登录、设备操作等可以表征用户行为的信息特定家庭信息从设备信息中形成的家庭成员关系的信息、一个家庭的年用水或能源消耗等为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪用户画像信息等而进行的自动化处理形成的信息 5.1.2智能家电个人敏感信息分类智能家电个人敏感信息分类如表2所示表2智能家电个人敏感信息分类个人敏感信息分类个人敏感信息内容个人身份信息身份证,护照,驾驶证,军官证,工作证,出人证,社保卡,居住证,教师证、学生证等银行账号,鉴别信息(口令),存款信息(包括资金数量,支付收款记录等),房产信息,信贷记个人财产信息录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息网络身份标识信息系统账号,密码,口令,口令保护答案,用户个人数字证书等个人生物性识别信息基因指纹、虹膜,声纹,掌纹,耳廓,巩膜,静脉,面部特征等个人因病医治等产生的相关记录,如;病症,住院志,医嘱单,检验报告,手术及麻醉记录,护理个人健康生理信息记录、用药记录、药物食物过敏信息、生育信息、诊治情况、以往病史、家族病史、现病史、传染病史等可能会导致歧视,不公正待遇的信息,如;婚史,性生活或性取向,未公开的违法犯罪记录,以其他个人敏感信息及揭示种族或民族,政治观点,宗教或哲学信仰、工会成员的信息等以及通信记录和内容,通讯录、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等
GB/T40979一202 5.1.3智能家电个人信息安全分级智能家电个人信息安全分级如表3所示表3智能家电个人信息安全分级划分标准个安全级别人信息分类个人信息内容同表1 个人生物性识别信息法律法规明确禁止或严格控制极高个人健康生理信息表1中个人因病医治等产生的相关记录处理的个人信息其他个人敏感信息同表2 表1中姓名,住址,电话号码,电子邮箱个人基本资料等可直接识别到个人的信息个人通信信息存在高安全风险,用户重要的个个人位置信息人信息,被篡改或泄露会造成用户巨大损失,引起用户投诉,经个人身份信t 高同表1 济索赔、用户流失,对企业经营人财产信息个造成较大影响网络身份标识信息用户画像信息智能家电系统采集信息表1中文件信息表1中除姓名、住址,电话号码电子邮个人基本资料箱等以外,无法直接识别到个人的信息存在一定安全风险,用户一般重个人教育工作信息同表1 要的个人信息,被篡改或泄露后可能会使客户的安全和利益受表1中与个人身体健康状况相关的信中个人健康生理信息到损害,以及对企业造成一定息,如体重、身高、肺活量等影响设备标识信息同表1 特定家庭信息不存在安全风险或安全风险较低，且没有对其提出专门安全要求(如保密性,完整性等),仅能低智能家电系统采集信息表1中设备运行信息、日志信息在企业内部或在某一部门内部公开,向外扩散有可能对用户利益造成轻微损害 5.2业务流程 5.2.1个人信息的收集 5.2.1.1隐私政策等收集使用规则的内容和发布智能家电系统收集使用个人信息,应在智能家电、控制蹦应用及相关的网站或系统端分别制定并公开隐私政策等收集使用规则收集使用规则应满足的要求如下隐私政策等收集使用规则的内容应按照GB/T35273一2020中5.5的第a)项规定的要求; a b)在首次注册使用智能家电或控制端应用(App)前,应通过弹窗或链接等明显方式提示用户阅
GB/T40979一2021 读隐私政策等收集使用规则隐私政策等收集使用规则应易于访问,进人智能家电或控制端应用主功能界面后,不应多于4 次点击、滑动等操作才能访问到隐私政策等收集使用规则 d 用户同意隐私政策等收集使用规则前,智能家电或控制端应用应关闭对个人信息的采集功能; 隐私政策等收集使用规则告知的信息应真实准确、完整,网站、应用程序等收集或使用个人信息的功能设计应同隐私政策等收集使用规则保持一致; fD 智能家电或控制端应用发生个人信息业务流程或功能的变化时,应同步更新隐私政策等收集使用规则,并采用弹窗或链接等明显方式,提醒用户重新阅读; 应正确标识隐私政策发布,生效或更新日期 g h)无法通过智能家电本体或控制端应用向用户提供隐私政策内容,则应在智能家电的包装、说明书、外壳等明显位置提示隐私收集政策,规则及内容,从而对用户进行必要的提醒 5.2.1.2收集的最小化要求对个人信息控制者的要求如下智能家电系统所收集的个人信息均应直接关联产品或服务的业务功能,即如果不收集该个人 a 信息,产品或服务的业务功能则无法实现智能家电系统所提供的各项功能服务应按照附录B最小化的收集个人信息,不应捆绑多项业 b 务功能收集个人信息,当用户拒绝或者撤销某项或某几项功能服务时,不应连带终止用户其他满足附录B中对应条件的功能服务; 不应仅以改善智能家电或控制端应用的程序功能,提升用户体验、定向推送等为由,以默认授权、功能捆绑等形式强迫、误导用户同意收集其个人信息,对于确有此类目的的收集,应为用户明确提供同意授权以及终止授权的操作选项; 自动收集个人信息的频率应为所使用业务功能所必需的最低频率,智能家电或控制端应用应以实现服务所必需的最低合理频率向后台服务器发送个人信息;间接收集个人信息的数量应为所使用业务功能所必需的最少数量,智能家电业务功能收集个人信息对应的约束条件应符合附录B的规定 5.2.1.3收集的授权同意要求对个人信息控制者的要求如下收集个人信息前,应通过弹窗或链接等方式征得个人信息主体的明示同意明示同意内容包 a 括但不限于 1) 所提供产品或服务的各业务功能分别收集的个人信息类型收集规则收集目的收集方式、收集频率、拒绝收集的可能结果 2 3 存储规则:存储地域、存储期限或期限无法提供情形下的确定标准、自身的数据安全能力 4 使用规则:对外共享、转让、公开披露等使用情况,对外提供个人信息的第三方及安全措施例如,如何限制第三方对共享的个人信息的使用,如何保证第三方数据安全能力等) 5 存在的用户画像及其目的当智能家电或控制端应用首次申请打开个人信息相关权限或要求用户输人个人敏感信息前应向用户同步明示其目的并征得用户的同意对于生物识别类智能家电,收集个人生物性识别信息的,应在首次收集前,向用户明示其目的并征得用户的同意 d 对于使用Cookie等同类技术包括脚本,Clickstream、web信标、FlashCookie,内嵌web连接,SDK等)收集个人信息的,应在首次收集前,向用户明示所收集个人信息的目的,类型并征
GB/T40979一202 得用户的同意对于通过嵌人第三方代码,插件等方式将个人信息传输至第三方服务器的,应通过弹窗等方式向用户明示其目的并征得用户的同意收集年满14周岁的未成年人的个人信息前,应征得未成年人或监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;例如;可在注册时通过勾选的方式确认用户是否年满14周岁或令用户输人出生年月日来判断智能家电或控制端应用新增(更新)业务功能时,不应将用户设置的权限恢复到默认状态,未经用户同意不应私自更改用户设置的权限,收集的个人信息超出原有同意范围,超出部分应先进行明示同意,如用户不同意收集,不应拒绝提供原有业务功能新增业务功能取代原有业务功能的除外间接收集个人信息时,应满足: h 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认 1 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息 2 主体是否授权同意共享、转让、公开披露等如果超出该授权同意范围,应在获取个人信息后的合理期限内(不超过一个月)或处理个人信息前,征得个人信息主体的明示同意 5.2.2个人信息的存储 5.2.2.1个人信息存储地域要求对个人信息控制者的要求如下在技术可行且不影响终端和服务正常的情况下,智能家电系统宜在用户智能家电终端或控制 a 应用终端中存储、使用所收集的个人信息; b 在境内收集和生产的个人信息,宜存储在境内 5.2.2.2个人信息存储期限要求对个人信息控制者的要求如下: 个人信息存储期限应为实现收集使用目的所需的最短时间,且不应超出收集使用规则中告知 a 的保存期限,例如使用产品或服务期间持续保存超出上述期限后,应对个人信息进行删除或匿名化处理用户注销账号后应及时删除其个人信息,匿名化处理的除外 b 5.2.2.3个人信息存储措施要求对个人信息控制者的要求如下收集个人信息后,应按照表3的安全分级要求采取去标识化等安全措施,确保单凭该个人信息 a 无法准确定位到特定个人同时采取管理措施,确保经过去标识化处理的个人信息与可用于恢复识别个人的信息分开保存,在后续的个人信息处理过程中也无法再次识别特定个人 b 应对存储个人信息的文件或系统设置授权访问 c 对于存储涉及个人敏感信息时(按照表2定义的个人敏感信息分类),应采用加密等安全措施 d 个人生物性识别信息应与个人身份信息分开存储非必要情况下,不应存储原始个人生物识别信息如样本、图像等),可采取的措施包括但不限于 1 仅存储个人生物识别信息的摘要信息 22 在采集终端中直接使用个人生物识别信息实现身份识别认证等功能
GB/T40979一2021 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像 5.2.3个人信息的删除对个人信息控制者的要求如下用户删除智能家电或控制应用端的个人信息,或注销账号后,或个人信息在超过存储期限后 a 应立即停止智能家电、控制端应用与云平台对其个人信息的使用,并对其信息进行删除或匿名化处理; b 停止运营的产品或服务,应停止继续收集个人信息,将停止运营通知以逐一送达或公告的形式通知个人信息主体,并对持有的信息进行删除或匿名化处理对智能家电收集,使用等各阶段个人信息的缓存数据,应提供自动删除或者手动别除功能; c d)智能家电或应用存储的个人信息进行删除后,应采取措施防止通过技术手段恢复 5.2.4个人信息的使用个人信息使用限制 5.2.4.1 对个人信息控制者的要求如下使用个人信息时,不应超出与收集时告知用户并获得授权同意的范围因业务需要,确需超出 a 上述范围使用个人信息的,应再次征得用户的明示同意应对个人信息的接触者设置相应的访问控制措施,包括 b 应按照最小授权原则,使被授权人员只能访问职责所需的最少够用的个人信息,以及具备完成职责所需的最少数据操作权限对个人信息的大规模处理等重要操作,例如批量查询、修改、,拷贝、下载,删除等,需通过审批流程的审批后方可操作因业务需要,需授权特定人员超权限处理个人信息的,即特殊访问权,其分配和使用应由业务代表进行审批,并记录在册应在“一事一议”的基础上,基于职能角色的最低要求进行分配应规定特殊访问权到期的要求; 5 对个人敏感信息的访问、修改等处理,应在对角色权限控制的基础上,采取强认证方法,例 6 如双因素身份认证;或根据业务流程的需求触发操作授权,例如因收到客户投诉,该投诉处理者才可访问用户的相关信息个人信息控制者在进行个人信息操作时,应启用日志审计记录整个操作过程,如批量查询、修改、拷贝、下载,删除等宜对必需要通过界面(如智能家电显示屏幕、纸面)展示的个人信息采取去标识化处理等措施防止未授权人员获取个人信息除目的必需外,使用个人信息时应消除身份指向性,避免精确定位到特定个人例如,为准确 d 评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,宜使用间接用户画像用户应能自主打开或关闭基于用户画像对用户进行精准识别和归类的个性化推荐 e 不应依据用户是否授权收集个人信息及授权范围,对用户采取歧视行为,包括服务质量、价格差异等对个人信息进行加工处理时,应保证智能家电系统稳定运行,不造成个人信息的损毁、泄露和 g 丢失等,加工过程完毕时应进行数据完整性和准确性检查
GB/T40979一2021 5.2.4.2个人信息公开披露个人信息不应进行公开披露经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守的要求如下事先开展个人信息风险评估(见6.2)并依评估结果采取有效的保护个人信息主体权益的措施; a b)向个人信息主体告知公开披露个人信息的目的、,类型,并事先征得个人信息主体明示同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查,起诉,审判和判决执行等直接相关的情形除外:; 公开披露个人敏感信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容; d 准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等; 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任 fD 不应公开披露个人生物识别信息和疾病等个人生理信息不应公开披露个人信息主体的种族、民族、政治观点、宗教信仰等敏感数据分析结果 8 5.2.4.3个人信息共享、转让对于智能家电个人信息流转于第三方App或云平台的场景,应充分重视风险,遵守的要求如下共享和转让行为应经过合法性、必要性评估,必要性还应基于最少够用的原则,对于本地加工 a 处理能满足功能需求的个人信息,不需要进行数据的传输转移 b 事先开展个人信息风险评估,应对个人信息接收者的数据安全能力进行评估,确保个人信息接收者具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施在共享、转让前应向个人信息主体告知共享、转让个人信息的目的、数据接收者的类型等信息并事先征得个人信息主体的授权同意共享、转让经去标识化处理的个人信息,且确保个人信息接收者无法重新识别个人信息主体的除外共享,转让个人敏感信息前,除c)中告知的内容外,还应向个人信息主体告知涉及的个人敏感 d 信息的类型、个人信息接收者的身份和数据安全能力,并事先征得个人信息主体的明示同意准确记录和保存个人信息共享、转让的情况,将共享、转让的日期,规模、目的和数据接收者的基本情况在内的信息进行记在共享、转让后应了解接收者对个人信息的保存使用情况和个人信息主体的权利,例如访问、更正、删除、注销等当个人信息控制者或处理者发生收购、兼并、重组、破产等变更时,应向个人信息主体告知有关 g 情况,并继续履行原个人信息控制者或处理者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意 h) 当个人信息控制者与第三方联合确定个人信息处理的目的与方法时,为共同控制者,例如服务平台与平台上的签约商家个人信息控制者应: 通过合同等形式与第三方共同确定应满足的个人信息安全要求,及在个人信息安全方面 1 分别应承担的责任和义务; 通过隐私政策、用户协议、产品说明等显著且可证明的方式向个人信息主体告知 2 3 共同控制者的任一方都有义务响应个人信息主体权利的请求注个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用AP接口),且该第三方并未单独向个人信息主体征得收集,使用个人信息的授权同意,则个人信息控制者与该第三方为共同控制者承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任例如,接人平台的 10
GB/T40979一2021 第三方应用,发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错 5.2.4.4个人信息第三方委托处理 5.2.4.4.1个人信息控制者要求对个人信息控制者的要求如下在对个人信息委托处理时,不应超出用户授权同意的范围 aa b)在对个人信息委托处理时,应对委托行为进行个人信息风险评估,确保受托方具备足够的数据安全能力,提供了足够的安全保护水平; 在对个人信息委托处理时,应签订相关协议要求受托方符合本文件; c 应确保受托方对个人信息的相关数据处理完成之后,对存储的个人信息进行删除 d 准确记录和保存个人信息委托处理的情况 5.2.4.4.2受托方要求对受托方的要求如下严格按照控制者的要求处理个人信息,如因特殊原因未按照控制者的要求处理个人信息,应及时向控制者反馈; b)如确需再次委托时,应事先征得控制者的授权协助控制者响应个人信息主体基于5.3提出的合理请求 c d)在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向控制者反馈; 委托关系解除时不再保存个人信息 5.2.4.5个人信息跨境传输在境内运营中收集和产生的个人信息,如需出境应遵循个人信息出境安全相关法律法规 5.2.5网络安全要求处理个人信息的智能家电系统还应满足的网络安全要求如下智能家电个人信息处理系统的安全技术措施应依据不同业务类型,满足对应的网络安全等级 a 保护要求,保障网络免受干扰、破坏或者未经授权的访问,防止个人信息泄露或者被窃取、篡改; 应采取校验技术或密码技术保证个人信息在传输和存储过程中的完整性; b 应采用密码技术保证个人信息在传输和存储过程中的保密性; c d 应确保调试接口不外露,调试命令的输人通过鉴权才能开启网络调试接口应经过用户手动授权后才能打开,防止通过通用调试工具或方法获取个人信息存储包智能家电、控制端应用、云平台其中任意两方在建立连接之前,应进行双向身份验证 e 智能家电软件系统有管理员用户分级时,涉及个人信息的权限分配,应符合5.2.4.1中b)的要求; 智能家电在多用户操作系统中,不应给予root级别的权限; g h)具备有远程调试或管理等进行用户体验改善行为功能的智能家电,使用该功能应由用户主动发起或用户授权同意,使用过程中应加密传输,使用结束后,应删除服务端的记录和用户信息 1
GB/T40979一202 或做脱敏处理智能家电在日志和调试信息中不应打印除设备标识信息、运行状态信息以外的个人信息通过蓝牙连接设备前,应进行双向身份认证 5.3个人信息主体的权利 5.3.1个人信息访问应为个人信息主体提供查询其个人信息的权利如下其所持有的关于该主体的个人信息或类型; a b) 上述个人信息的来源、使用目的已获得上述个人信息的第三方身份或类型 c 5.3.2个人信息更正应为个人信息主体提供更正其个人信息的权利如下可产品内自行更正,或通过反馈与报错等提交申请; a b)将更正信息告知已经被披露给的每个接收者,除非此类告知是不可能的或者需要付出不相称的工作 5.3.3个人信息删除应为个人信息主体提供剧除其个人信息的权利如下对于存储个人信息的智能家电,用户可通过隐私政策、用户协议或产品说明等方式得知删除智 a 能家电内个人信息的途径; b 用户可通过产品内提供的功能自行删除设备所收集的个人信息,或通过提交申请进行删除; 如有违反法律、行政法规的规定或者双方的约定收集,使用其个人信息时,个人信息主体要求 c 删除的,应及时删除,并通知已经披露给的第三方及时删除 5.3.4个人信息主体注销账户应为个人信息主体提供注销账户的权利如下提供注销账号的方法,且易于操作 a 注销前验证用户身份; b) 不同意用户注销需明确不同意注销申请的条件,例如;存在用户未支付订单的情况 c d 个人信息主体注销账号后,应删除或匿名化处理其个人信息 5.3.5个人信息主体撤回授权同意应为个人信息主体提供撤回授权同意的权利如下 a) 提供随时撤回授权同意的途轻 b) 撤回授权同意应与作出授权同意同等容易用户撤回授权同意后,应停止对其个人信息的收集;已经收集的个人信息,应进行匿名化处理 c 或删除 5.3.6个人信息可携应为个人信息主体提供请求行使数据可携权的方法即在技术可行的前提下,允许个人信息主体以结构化、通用化和机器可读的格式获取其个人信息副本,以及控制者将个人信息主体的个人信息副本 12
GB/T40979一2021 直接传输给个人信息主体指定的第三方可携的数据类型为通过自动化方式收集处理的个人信息数据可携权的范围如下个人信息主体主动提供的个人信息,如通过网上表格填写的账户信息(包括账户,邮箱地址、年龄)等由数据主体填写、提交的信息 b 主体通过使用服务或者设备所提供的采集信息,如个人活动日志、搜索历史记录、交通和位置信息、可穿戴设备记录的心跳数据等; 不包括对个人信息主体的行为进行事后分析而获得的个人信息,例如通过个性化或推荐性处理、,通过用户分类或用户画像等; 不包括通过纸质形式收集的个人信息 5.3.7个人信息自动化决策完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用的要求如下: 应以明显方式标明“定推”等字样,并为用户提供停止接收定向推送信息的功能,以确保用户有 a 反对或者拒绝的权利; b 用户选择停止接收定向推送信息时,个人信息控制者应当停止推送,并可由用户决定是否对已经收集的设备识别码等用户数据和个人信息进行删除或匿名化处理响应个人信息主体的请求 5.3.8 对个人信息控制者的要求包括如下如果是直接从个人信息主体处收集个人信息的,应在收集时,将5.3.1至5.3.7所述权利的存 a 在告知个人信息主体;如果是间接收集个人信息主体的个人信息的应在获得数据后的合理时间内(不超过一个月)与个人信息主体进行首次沟通或向第三方披露时,将上述权利的存在告知个人信息主体对于5.3.1至5.3.7所述权利提供的在线操作、客服电话电子邮件等途径,个人信息主体进行相关操作后,个人信息控制者应在合理时间和代价范围内响应,并在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理以下情况可不响应个人信息主体基于5.3.1至5.3.7提出的请求 1) 与国家安全、国防安全直接相关的; 22 与公共安全、公共卫生、重大公共利益直接相关的; 与犯罪侦查,起诉、审判和判决执行等直接相关的 33 4 有充分证据表明个人信息主体存在主观恶意或滥用权利的 5 响应个人信息主体的请求将导致个人馆息主体或其他个人.组织的合法权益受到严重害的; 涉及商业秘密的组织管理要求 6 6.1明确责任部门与人员明确责任部门与人员要求,应遵守GB/T35273一2020中11.1规定的要求 6.2个人信息安全影响评估个人信息安全影响评估要求,应遵守GB/T39335一2020中规定的要求 13
GB/T40979一2021 6.3个人信息安全事件处置个人信息安全事件处置要求,应遵守GB/T35273一2020中第10章规定的要求测评方法 7.1测评类型及方法 7.1.1文档审查 7.1.1.1审查对象有关个人信息数据收集、处理和管理的文档,包括系统功能说明、隐私政策、审批流程、个人信息安全事件记录、特殊访问记录等文档 7.1.1.2审查内容及要求有关个人信息数据收集、处理和管理的文档应满足的要求包括但不限于 a 完备性要求如下 1) 个人信息收集的目的; 2 家电用户有可能看到的有关个人信息处理的各种明示警示信息 33 个人信息数据的流转过程说明有关个人信息收集、处理和管理的系统功能说明; 44 全部个人信息访问人口及权限 5 如必要，给出个人信息的加密处理办法 6 如必要,给出个人信息管理办法 77 正确性要求如下 b 文档中的所有信息都符合第5章,第6章对应要求; 1！文档不应有鼓义的信息 22 -致性要求如下各文档中的内容不应自相矛盾、互相矛盾以及与产品说明矛盾 d 易理解性要求如下用户文档应使用对于其读者可理解的术语和文体,应通过经过编排的文档清单,为用户理解文档提供便利 7.1.2代码审查审查与个人信息收集、处理相关的代码,包括位于智能家电内部软件控制器中的代码、智能家电配套App软件代码及远程服务平台软件代码代码审查前,应保证满足的条件如下代码无错误的通过编译 a 获得被测代码有关的文档 b 依据软件相关文档,通过使用软件工具和人工分析相结合的方式对源程序进行代码审查.代码应与文档中规定的功能一致 14
GB/40979一2021 7.1.3设备功能及安全测试 7.1.3.1 测试对象主要测试控制端应用以及设备本体中与个人信息相关的功能安全模块 7.1.3.2测试内容及要求设备功能性方面包括;设备主要功能、界面内容、隐私政策等设备安全性方面包括:固件安全、权限限制、密钥复杂度等智能家电、智能家电系统和智能家居整个系统的功能性及安全性应符合第5章中的要求 7.1.4漏洞扫描使用漏洞扫描测试工具,扫描可能会影响个人信息安全的web应用和服务中存在的漏洞常见的漏洞类型见附录c 7.1.5通信保护测试 7.1.5.1测试对象主要测试与个人信息相关的网络传输数据 7.1.5.2测试内容及要求依据第5章的要求,可采用网络抓包、终端网络抓包、嗅探等测试方法对网络数据进行抓包,分析是香加密传输,加密格式,是否跨境传输,重放攻击,身份鉴别,通信保护等;可对图片,视频的等数据进行进一步分析,查看里面是否携带个人信息,个人敏感信息可使用网络上通用的字典,对加密包进行字典攻击后,分析其中是否携带个人敏感信息 7.1.6现场核查 7.1.6.1核查对象核查对象主要包括的内容如下 a)人员核查包括但不限于;人员职责划分、权限分配等， b)行为核查包括但不限于;定期开展安全影响评估、了解信息提供方的情况等; 数据核查包括但不限于;对于个人敏感数据的收集、删除、去标识化、匿名化等 c 7.1.6.2核查内容及要求: 依据第5章、第6章的要求,根据实际情况,现场通过考核抽查等形式,对于被测评方进行实地考察,主要目的就是通过对被测评方进行现场实地考察,验证被测评方的实际执行情况,从而来评价该环境管理体系运行的有效性,判别被测评方建立的环境管理体系符合标准要求依照考核实际情况与标准所要求是否相符合 7.2测评方法选择智能家电个人信息保护的测评对象是智能家电产品端、控制端(App)、远程服务平台等多个对象所组成的系统，主要从完备性、正确性、一致性、真实性、合法性等多个方面来进行考核,应综合运用文档审查、代码审查、设备功能及安全测试、漏洞扫描、通信保护测试、现场核查进行评估,具体相关测评项目与测试类型见表4 15
GB/T40979一2021 表4测评项目与测试类型对应关系表文档代码设备功能及漏洞通信保现场要求条款测评项目安全测试审查审查扫描护测试核查隐私政策等收集使用 5.2.1.1 规则的内容和发布 5,2.1.2 收集的最小化要求收集的授权同意要求 5.2.1.3 5.2.2.1 个人信息存储地域要求 5.2.2.2 个人信息存储期限要求 5.2.2.3 个人信息存储措施要求 5,2.3 个人信息的删除 5.2.4.1 个人信息使用限制个人信息公开披露 5.2.4.2 个人信息共享、转让 5,2.4.3 个人信息第三方委托处理 5.2.4.4 5.2.4.5 个人信息跨境传输 5.2.5 网络安全要求 5.3,1 个人信息访问 5.3,2 个人信息更正个人信息删除 5,3.3 个人信息主体注销账户 5,3.4 5.3.5 个人信息主体撤回授权同意 5.3.6 个人信息可携 5.3.7 个人信息自动化决策 5.3.8 响应个人信息主体的请求 6. 明确责任部门与人员个人信息安全影响评估 6.2 个人信息安全事件处置 6.3 16
GB/40979一2021 附录 A 资料性智能家电应用场景本附录给出了实现智能家电控制与互联互通的三种应用场景,其中控制者指个人信息控制者在实际业务逻辑中,可能同时存在下述多个场景场景1;App和家电设备属同一个人信息控制者 A控制者家电设备与A控制者App,通过与A控制者云平台的连接,将Ap的控制命令传递给云平台,实现App对智能家电的控制,云平台对智能家电的管理;App也可以不经过云平台,直接与家电设备相连,实现对智能家电的控制如图A.1所示 A控制者云平台控制命令设备状态设备状态控制命令 A控制者App A控制者家电设备图A.1A控制者App控制A控制者的家电设备场景2:App与家电设备属不同个人信息控制者由于B控制者App只能连接到B控制者云平台,B控制者云平台不能直接管理A控制者家电设备,所以B控制者云平台需与A控制者云平台对接,才能把B控制者App的控制命令传递给A控制者云平台,从而实现B控制者App对A控制者智能家电的远程控制如图A.2所示 A控制者云平台与B控制者云平台也可通过第三方云平台间接进行互联 17
GB/T40979一2021 时控制者Am 控制命令设备状态控制命令 A控制者云平台 B控制者云平台设备状态控制命令设备状态 A控制者家电设备图A.2B控制者App远程控制A控制者的家电设备场景3:不同个人信息控制者的智能家电通过互联网和云平台进行联动 B控制者云平台与A控制者云平台对接,或B控制者云平台直接控制A控制者家电设备,家电设备联动的业务逻辑放置在B控制者云平台内当B控制者家电设备状态改变时,B控制者根据设备联动的业务逻辑控制A控制者的家电设备如图A.3所示 A控制者云平台与B控制者云平台也可通过第三方云平台间接进行互联 B控制者家电设备路径1 设备状态控制命令或设备状态 A控制者云平台 B控制者云平台设备状态控制命令控制命令设备状态路径2 设备状态 A控制者家电设备图 A.3不同控制者的智能家电通过互联网和云平台进行联动 18
GB/40979一2021 附录B 规范性智能家电核心业务功能对应的最少信息与约束条件本附录规定了用户注册及登录,设备控制、智慧场景、,网上商城、售后服务等常用核心业务功能可收集的最少信息与约束条件,见表B.1 表B,.1常用核心业务功能可收集的最少信息与约束条件常用核心业务功能最少个人信息约束条件用户账号用户注册及登录时用户注册及登录密码网络日志用户账号用户登录/出时设备MNC 通用设备运行信息(运行时长,运行状态等) 用户交互时网络日志仅与所需数据相关的最少信息例如: -功能型家电;冰箱、烤箱等产品内置摄像头仅采集食材信息;扫地机器人摄像头仅设备控制收集环境模型或对用户信息进行过滤;空调摄像头类功能开启时摄像头仅收集用户活动状态信息 -内容型家电:电视摄像头、门锁摄像头等应限制拍摄角度网络日志语音交互内容语音类成功唤醒后的一定时间内网络日志用户账号用户登录/出时设备MAC 身高食谱推荐体重家人健康指数用户填写时肥胖度基础代谢网络日志用户账号用户登录/出时设备AC 智慧场景离家/回家出门时间用户填写时到家时间网络日志用户账号用户登录/出时设备MAC 就寝/起床睡觉时间用户填写时起床时间网络日志 19
GB/T40979一2021 表B.1常用核心业务功能可收集的最少信息与约束条件(续最少个人信息常用核心业务功能约束条件姓名手机号码用户填写时网上商城收货地址网络日志姓名手机号码售后服务用户填写时收货地址网络日志粗略地理位置信息每次打开Ap时天气服务网络日志 20
GB/40979一2021 录附 C 资料性常见漏洞类型 web应用和服务中的漏洞 C.1 常见的可能影响个人信息安全的web应用和服务中存在的漏洞如下 -数据注人和操纵攻击; -跨站脚本攻击(XSS攻击),包括反射型和持久型XSS攻击; -跨站请求伪造; SQL注人缓冲器溢出整数溢出; L.og注人远程文件包含(RFI)注人; 服务器端包含(SSI)注人; 操作系统命令注人; 本地文件包含(IFI); 会话与验证; 会话强度; 验证攻击(Authenticationattack); 验证不充分; 会话有效期短(insuffieientsessionexpiration); 服务器与通用HTTP 安全套接层(SsL)证书问题， SsL协议,SsL密码服务器配置不当; 目录索引与列举; 拒绝服务(DoSs); HTTP响应拆分; 译码攻击; windows8.3文件名; D0s驱动程序安装处理Dos(DOsdevicehandleDoS) 标准化攻击; URL改道攻击; 密码自动完成 Cookie安全; 自定义模糊路径操纵路径截断(Patht truncation; -Ajax审计; webDAV审计; 21
GB/T40979一202 -web服务审计; 文件列举信息泄露; -目录与路径穿越; 垃圾邮件网关检测; 强力验证攻击; 已知应用与平台漏洞 C.2移动应用和服务中的漏洞常见的可能影响个人信息安全的App应用和服务中存在的漏洞,见表C.1,表C.2 表C.1Android漏洞类型分类漏洞类型权限信息行为信息自身安全病毒扫描敏感词信息广告SDK检测 ava代码反编译风险 So文件破解风险算改和二次打包风险 Janus签名机制漏洞程序源文件安全资源文件泄露风险应用签名未校验风险代码未混淆风险使用调试证书发布应用风险 webview 明文存储密码风险 webvriewFile同源策略绕过漏洞明文数字证书风险调试日志函数调用风险数据库注人漏洞 AES/DES加密方法不安全使用漏洞本地数据存储安全 RSA加密算法不安全使用漏洞密钥硬编码漏洞动态调试攻击风险 webview远程调试风险应用数据任意备份风险敏感函数调用风险 22
GB/T40979一2021 表c.1Android漏洞类型(续漏洞类型分类数据库文件任意读写漏润全局可读写的内部文件漏洞 SharedPreferences 数据全局可读写漏洞 SharedUserld属性设置漏洞 lnternalStorage数据全局可读写漏洞 getDir数据全局可读写漏洞本地数据存储安全 FFmpeg文件读取漏洞 ava层动态调试风险内网测试信息残留漏洞随机数不安全使用漏洞 URL信息检测残留账户密码信息检测残留手机号信息检测 HTTP传输数据风险 HTTPS 未校验服务器证书漏润通信数据传输安全 HTTPs未校验主机名漏润 HTTPs允许任意主机名漏洞 webview绕过证书校验漏洞界面劫持风险身份认证安全输人监听风险截屏攻击风险动态注册Receiver风险数据泄露漏洞 ContentProvider 组件导出风险 Activity Service组件导出风险 BroadeastReceiver组件导出风险内部数据交互安全 ContentProvider组件导出风险 Pendinglnten错误使用lntent风险 ntent组件隐式调用风险 IntentScheme" neURL攻击漏调 Fragment注人攻击漏洞反射调用风险 23
GB/T40979一2021 表C.1Androi漏洞类型(续) 漏洞类型分类动态注人攻击风险 webview 远程代码执行漏洞未移除有风险的webview系统隐藏接口漏洞 zip文件解压目录遍历漏洞下载任意apk漏洞拒绝服务攻击漏洞恶意攻击防范能力 sdeard加载dex风险 sdeard加载so风险未使用编译器堆栈保护技术风未使用地址空间随机化技术风险 Root设备运行风险不安全的浏览器调用漏洞表c.2Ios漏洞类型分类漏洞类型权限信息自身安全行为信息代码未混淆风险未使用地址空间随机化技术风险二进制代码保护未使用编译器堆栈保护技术风险动态调试攻击风险输人监听风险调试日志丽数调用风险 webview组件跨域访问风险客户端数据存储安全越狱设备运行风险数据库明文存储风险配置文件信息明文存储风险动态库信息泄露风险 HTTP传输数据风险数据传输安全 HTTPS未校验服务器证书漏洞 URL.Schemes劫持谢测 AEs/DES加密算法不安全使用漏洞加密算法及密码安全弱哈希算法使用漏洞随机数不安全使用漏洞 24
GB/40979一2021 表C.2IOS漏洞类型(续) 分类漏洞类型 xcodeGhost感染漏洞不安全的AP函数引用风险 Private Methods使用检测 1(oS应用安全规范 ipperDown解压漏洞 iBackDoor控制漏洞未使用自动管理内存技术风险 25
GB/T40979一202 考文献参 [1]GB/Z28828一2012信息安全技术公共及商用服务信息系统个人信息保护指南 [[2]GB/T37964一2019信息安全技术个人信息去标识化指南 [3]DB21/T1628.1一2012信息安全个人信息保护规范 [[4]App违法违规收集使用个人信息行为认定方法(国信办秘字[2019]191号 26

智能家用电器个人信息保护要求和测评方法GB/T40979-2021

近年来，智能家居市场快速发展，越来越多的家庭开始使用智能家用电器。智能家居产品不仅能够提供更加舒适、便捷的生活体验，也使得家庭信息化程度更加高效。然而，随着智能家居产品的广泛应用，其所涉及的个人信息安全问题日益引起关注。

在此背景下，国家质量监督检验检疫总局发布了《智能家用电器个人信息保护要求和测评方法》（下称GB/T40979-2021），旨在加强智能家用电器个人信息保护，规范企业的生产和经营行为，提高消费者对产品的信任度。

GB/T40979-2021标准的主要内容

GB/T40979-2021标准规定了智能家用电器个人信息保护的要求和测评方法，包括以下几个方面：

基本要求。智能家用电器生产企业应当建立健全个人信息保护管理制度，明确个人信息保护的责任、权限和流程等。
风险评估。生产企业应当针对智能家用电器采集、传输、存储等过程中可能存在的个人信息泄露风险进行评估。
安全设计要求。生产企业应当根据风险评估结果，采取相应的技术措施，确保智能家用电器在采集、传输、存储等过程中对个人信息的保护。
个人信息保护测试。GB/T40979-2021标准规定了智能家用电器个人信息保护测试的内容和方法，包括对其个人信息处理能力和隐私保护能力的评估。
标识和说明。生产企业应当在产品标识、使用说明书等中明确标注个人信息保护有关的内容。

总体来说，GB/T40979-2021标准为智能家用电器个人信息保护提供了详细、全面的要求和测评方法，有助于加强企业对个人信息保护的管理，更好地保护消费者的隐私安全。

如何进行智能家用电器个人信息保护测试？

GB/T40979-2021标准规定了智能家用电器个人信息保护测试的内容和方法，主要包括以下几个方面：

个人信息处理能力测试。测试主要针对智能家用电器采集、传输、存储等过程中的个人信息处理能力，包括信息采集、传输、存储、处理、删除等方面。
隐私保护能力测试。测试主要评估智能家用电器在使用过程中对用户隐私的保护能力，包括基于业务场景的权限控制、数据加密和解密、日志审计等方面。
合规性测试。测试主要评估智能家用电器是否符合相关法律法规的规定，包括《个人信息保护法》等。

测试可采用第三方机构进行，也可由企业自行进行。无论是采用何种方式进行测试，都需要遵循GB/T40979-2021标准中所规定的测试方法和内容，确保测试结果真实可靠。

结论

智能家居市场的快速发展带来了巨大的便利，但同时也引发了安全隐患。为了加强智能家用电器个人信息保护，国家质量监督检验检疫总局发布了GB/T40979-2021标准，规定了智能家用电器个人信息保护的要求和测评方法。本文对此标准的主要内容和智能家用电器个人信息保护测试方法进行了简要介绍。在今后的智能家居市场中，企业应当积极采取措施，加强个人信息保护，提高消费者对产品的信任度。