(高清版)GBT 40979-2021 智能家用电器个人信息保护要求和测评方法

智能家用电器个人信息保护要求和测评方法2021-11-26发布2022-06-01实施国家标准化管理委员会前言 I 2规范性引用文件 3术语和定义 4概述 34.1智能家电收集个人信息的方式 34.2智能家电个人信息流转场景 34.3智能家电软件操作系统分类 45技术要求 5.1智能家电个人信息分类和安全分级 45.2业务流程 65.3个人信息主体的权利 6组织管理要求 6.1明确责任部门与人员 6.2个人信息安全影响评估 6.3个人信息安全事件处置 7测评方法 7.1测评类型及方法 7.2测评方法选择 附录A(资料性)智能家电应用场景 场景1:App和家电设备属同一个人信息控制者 场景2:App与家电设备属不同个人信息控制者 场景3:不同个人信息控制者的智能家电通过互联网和云平台进行联动 附录B(规范性)智能家电核心业务功能对应的最少信息与约束条件 附录C(资料性)常见漏洞类型 C.1Web应用和服务中的漏洞 C.2移动应用和服务中的漏洞 参考文献 I本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国轻工业联合会提出。本文件由全国家用电器标准化技术委员会(SAC/TC46)归口。本文件起草单位：中国家用电器研究院、青岛海尔科技有限公司、美的集团股份有限公司、深圳TCL新技术有限公司、惠而浦(中国)股份有限公司、合肥荣事达电子电器集团有限公司、中国信息安全测评中心、海信家电集团股份有限公司、北京石头世纪科技股份有限公司、科沃斯机器人股份有限公司、珠海格力电器股份有限公司、无锡小天鹅电器有限公司、北京百度网讯科技有限公司、合肥美的电冰箱有限公司、万源众享联盟科技(北京)有限公司、宁波奥克斯电气股份有限公司、广州艾罗伯特机器人技术咨询有限公司、大金(中国)投资有限公司上海分公司、通标标准技术服务(上海)有限公司、奇安信科技集团股份有限公司、中家院(北京)检测认证有限公司。本文件主要起草人：马德军、曲宗峰、李红伟、闫凌、王淼、徐祥智、刘复鑫、时雨、陈勇、1智能家用电器个人信息保护要求和测评方法本文件规定了智能家用电器应用过程中个人信息保护的技术要求、组织管理要求及测评方法。本文件适用于智能家用电器、智能家用电器系统和智能家居应用过程中相关各类组织的个人信息及个人信息保护的组织管理与评价。注：本文件中的智能家用电器系统评测范围包括智能家电设备、App等所有应用网络技术的家用电器，相关设备操控、数据收集、数据处理等所有应用程序，以及相关的云平台(远程服务平台)。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T28219—2018智能家用电器通用技术要求GB/T35273—2020信息安全技术个人信息安全规范GB/T39335—2020信息安全技术个人信息安全影响评估指南3术语和定义GB/T28219—2018、GB/T35273—2020中界定的以及下列术语和定义适用于本文件。应用了智能化技术或具有了智能化能力/功能的家用和类似用途电器。注：智能家用电器可简称为智能家电，也可称为智慧家电、人工智能家电等。智能家电系统intelligenthouseholdappliancessystem至少由一个智能家电和其他部件构成的家电系统。注：系统除包含智能家电产品与相关设备、网络通信系统以及相关服务平台等组成部分外，还包含上述产品、设备、系统和平台的制造商、用户、服务提供商等相关方。建立在住宅基础上的，基于人们对家居生活的安全性、实用性、便捷性、舒适性、环保节能等更高的综合需求，由一个或一个以上智能家电系统组成的家居设施及其管理系统。注：智能家居也可称为智慧家居、智慧家庭、智能家庭等。2控制端应用controlapplication注：本文件简称为App。为智能家电、智能家电系统和智能家居提供服务的系统。以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注1:个人信息包括个人基本资料(如姓名、出生日期、性别)、个人教育工作信息、个人通信信息、个人身份信息、注2:个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。歧视性待遇等的个人信息。注：个人敏感信息包括个人身份信息、个人财产信息、网络身份标识信息、个人生物性识别信息、个人健康生理信个人信息所标识或者关联的自然人。有能力决定个人信息处理目的、方式等的组织或个人。满足个人信息主体的具体使用需求的服务类型。个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，3对其个人信息进行特定处理作出明确授权的行为。注2:本文件中的授权同意均指明示同意。用、行为等方面作出分析或预测，形成其个人特征模型的过程。注：直接使用特定自然人的个人信息，形成该自然人的特征模型，称为直接用户画像。使用来源于特定自然人以外匿名化anonymization通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。注：个人信息经匿名化处理后所得的信息不属于个人信息。通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或关联个人信息主体的过程。识。常用去标识化技术见GB/T37964—2019附录A。4概述4.1智能家电收集个人信息的方式智能家电个人信息的保护要求，因智能家电收集个人信息方式的不同而异。智能家电收集个人信息的方式，取决于用户与智能家电交互界面的类型，主要分为以下三种：a)不带触摸屏类智能家电：未使用设备屏端输入方式，而是通过控制端应用或设备传感等其他方b)带触摸屏类智能家电：通过设备屏端输入方式(可以兼具通过控制端应用或设备传感等其他方c)生物识别类智能家电：通过人机语音交互、指纹、人脸、手势等生物性识别的方式(可以兼具通过控制端应用、设备传感、设备屏端输入等其他方式),收集用户个人信息，示例：带语音交互的电冰箱、带指纹识别的电坐便器盖、带图像识别的房间空调器等。注：智能家电系统使用Cookie等同类技术(包括脚本、Cli等)收集个人信息，及通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器，均属于本文件的范围。4.2智能家电个人信息流转场景一般地，家电厂商通过独立的控制端应用、云平台来控制和管理其智能家电，但同一个家庭可能存4在多个家电厂商的智能家电，存在不同家电厂商的智能家电或控制端应用通过各家电厂商云平台间的互联互通，来实现跨家电厂商、跨平台的操作及信息交互的场景。智能家电控制与互联操作的三种应用场景见附录A。对应地，智能家电个人信息流转的三种场景如下：a)场景一：App和家电设备属同一个人信息控制者，流转于个人信息控制者自身的智能家电、App以及云平台之间；b)场景二：App与家电设备属不同个人信息控制者，流转于不同个人信息控制者的智能家电、云平台，以及第三方App、云平台之间；c)场景三：不同个人信息控制者的智能家电通过互联网和云平台进行联动，流转于不同个人信息控制者的智能家电、云平台，以及第三方智能家电、云平台之间。4.3智能家电软件操作系统分类4.3.1单用户操作系统智能家电的固件的各软件功能具备有统一的权限控制，每一个功能都能使用到系统的全部硬件和软件资源，如实时操作系统(RTOS)。4.3.2多用户操作系统智能家电的固件的各软件功能具备有不同类别的访问权限，如安卓系统。5技术要求5.1智能家电个人信息分类和安全分级5.1.1智能家电个人信息分类根据GB/T35273—2020,结合智能家电的特点，智能家电个人信息的分类如表1所示。表1智能家电个人信息分类个人信息分类个人信息内容个人基本资料姓名、生日、性别、民族、国籍、家庭关系、住址、电话号码、电子邮箱等个人教育工作信息职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等个人通信信息通讯录、好友列表、群列表、电子邮件地址列表等联系人信息，通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据等个人位置信息行踪轨迹、精准定位信息、住宿信息、经纬度等个人身份信息身份证、护照、驾驶证、军官证、工作证、出入证、社保卡、居住证、教师证、学生证等个人财产信息银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息网络身份标识信息系统账号、IP地址、邮箱地址及前述有关的密码、口令、口令保护答案、用户个人数字证书等个人生物性识别信息基因、指纹、虹膜、声纹、掌纹、耳廓、巩膜、静脉、面部特征等5表1智能家电个人信息分类(续)个人信息分类个人信息内容个人健康生理信息病史等，以及与个人身体健康状况相关的信息，如体重、身高、肺活量、体脂等其他个人信息可能会导致歧视、不公正待遇的信息，如：婚史、性生活或性取向、未公开的违法犯罪记录，以及揭示种族或民族、政治观点、宗教或哲学信仰、工会成员的信息等设备标识信息唯一标识个人设备的信息，如：设备MAC地址、唯一设备识别码(设备ID/IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等)、硬件序列号等，以及软件列表等描述个人设备基本情况的信息智能家电系统采集信息智能家电系统，包括智能家电、控制端应用和云平台，采集的与用户设备或用户行为有关的信息。包括但不限于：—设备运行信息，如：开关机状态、运行时长、设备操作数据等；—文件信息，如：照片、音频、视频、文本等；—日志信息，如：用户登录、设备操作等可以表征用户行为的信息特定家庭信息用户画像信息等而进行的自动化处理形成的信息5.1.2智能家电个人敏感信息分类智能家电个人敏感信息分类如表2所示。表2智能家电个人敏感信息分类个人敏感信息分类个人敏感信息内容个人身份信息身份证、护照、驾驶证、军官证、工作证、出入证、社保卡、居住证、教师证、学生证等个人财产信息银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息网络身份标识信息系统账号、密码、口令、口令保护答案、用户个人数字证书等个人生物性识别信息基因、指纹、虹膜、声纹、掌纹、耳廓、巩膜、静脉、面部特征等个人健康生理信息个人因病医治等产生的相关记录，如：病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、诊治情况、以往病史、家族病史、现病史、传染病史等其他个人敏感信息可能会导致歧视、不公正待遇的信息，如：婚史、性生活或性取向、未公开的违法犯罪记录，以及揭示种族或民族、政治观点、宗教或哲学信仰、工会成员的信息等以及通信记录和内容、通讯录、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等65.1.3智能家电个人信息安全分级智能家电个人信息安全分级如表3所示。表3智能家电个人信息安全分级安全级别划分标准个人信息分类个人信息内容极高法律法规明确禁止或严格控制处理的个人信息个人生物性识别信息同表1个人健康生理信息表1中个人因病医治等产生的相关记录其他个人敏感信息同表2高存在高安全风险，用户重要的个人信息，被篡改或泄露会造成用户巨大损失，引起用户投诉、经济索赔、用户流失，对企业经营造成较大影响个人基本资料表1中姓名、住址、电话号码、电子邮箱等可直接识别到个人的信息个人通信信息同表1个人位置信息个人身份信息个人财产信息网络身份标识信息用户画像信息智能家电系统采集信息表1中文件信息中存在一定安全风险，用户一般重要的个人信息，被篡改或泄露后可能会使客户的安全和利益受到损害，以及对企业造成一定影响个人基本资料表1中除姓名、住址、电话号码、电子邮箱等以外，无法直接识别到个人的信息个人教育工作信息同表1个人健康生理信息表1中与个人身体健康状况相关的信息，如体重、身高、肺活量等设备标识信息同表1特定家庭信息低不存在安全风险或安全风险较低，且没有对其提出专门安全要求(如保密性、完整性等),仅能在企业内部或在某一部门内部公开，向外扩散有可能对用户利益造成轻微损害智能家电系统采集信息表1中设备运行信息、日志信息5.2业务流程5.2.1个人信息的收集隐私政策等收集使用规则的内容和发布智能家电系统收集使用个人信息，应在智能家电、控制端应用及相关的网站或系统端分别制定并公开隐私政策等收集使用规则。收集使用规则应满足的要求如下：a)隐私政策等收集使用规则的内容应按照GB/T35273—2020中5.5的第a)项规定的要求；b)在首次注册使用智能家电或控制端应用(App)前，应通过弹窗或链接等明显方式提示用户阅7读隐私政策等收集使用规则；c)隐私政策等收集使用规则应易于访问，进入智能家电或控制端应用主功能界面后，不应多于4次点击、滑动等操作才能访问到隐私政策等收集使用规则；d)用户同意隐私政策等收集使用规则前，智能家电或控制端应用应关闭对个人信息的采集功能；e)隐私政策等收集使用规则告知的信息应真实、准确、完整，网站、应用程序等收集或使用个人信息的功能设计应同隐私政策等收集使用规则保持一致；f)智能家电或控制端应用发生个人信息业务流程或功能的变化时，应同步更新隐私政策等收集使用规则，并采用弹窗或链接等明显方式，提醒用户重新阅读；g)应正确标识隐私政策发布、生效或更新日期；h)无法通过智能家电本体或控制端应用向用户提供隐私政策内容，则应在智能家电的包装、说明书、外壳等明显位置提示隐私收集政策、规则及内容，从而对用户进行必要的提醒。对个人信息控制者的要求如下：a)智能家电系统所收集的个人信息均应直接关联产品或服务的业务功能，即如果不收集该个人信息，产品或服务的业务功能则无法实现；b)智能家电系统所提供的各项功能服务应按照附录B最小化的收集个人信息，不应捆绑多项业务功能收集个人信息，当用户拒绝或者撤销某项或某几项功能服务时，不应连带终止用户其他满足附录B中对应条件的功能服务；c)不应仅以改善智能家电或控制端应用的程序功能、提升用户体验、定向推送等为由，以默认授权、功能捆绑等形式强迫、误导用户同意收集其个人信息，对于确有此类目的的收集，应为用户明确提供同意授权以及终止授权的操作选项；d)自动收集个人信息的频率应为所使用业务功能所必需的最低频率，智能家电或控制端应用应以实现服务所必需的最低合理频率向后台服务器发送个人信息；间接收集个人信息的数量应为所使用业务功能所必需的最少数量，智能家电业务功能收集个人信息对应的约束条件应符合附录B的规定。对个人信息控制者的要求如下：a)收集个人信息前，应通过弹窗或链接等方式，征得个人信息主体的明示同意。明示同意内容包括但不限于：1)所提供产品或服务的各业务功能分别收集的个人信息类型；3)存储规则：存储地域、存储期限或期限无法提供情形下的确定标准、自身的数据安全能力；4)使用规则：对外共享、转让、公开披露等使用情况，对外提供个人信息的第三方及安全措施(例如，如何限制第三方对共享的个人信息的使用，如何保证第三方数据安全能力等);5)存在的用户画像及其目的。b)当智能家电或控制端应用首次申请打开个人信息相关权限或要求用户输入个人敏感信息前，应向用户同步明示其目的并征得用户的同意。c)对于生物识别类智能家电，收集个人生物性识别信息的，应在首次收集前，向用户明示其目的并征得用户的同意。d)对于使用Cookie等同类技术(包括脚本、Clickstream、Web信标、FlashCookie、内嵌Web连接、SDK等)收集个人信息的，应在首次收集前，向用户明示所收集个人信息的目的、类型并征8得用户的同意。e)对于通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器的，应通过弹窗等方式向用户明示其目的并征得用户的同意。f)收集年满14周岁的未成年人的个人信息前，应征得未成年人或监护人的明示同意；不满14周岁的，应征得其监护人的明示同意；例如：可在注册时通过勾选的方式确认用户是否年满14周岁或令用户输入出生年月日来判断。g)智能家电或控制端应用新增(更新)业务功能时，不应将用户设置的权限恢复到默认状态，未经用户同意不应私自更改用户设置的权限，收集的个人信息超出原有同意范围，超出部分应先进行明示同意，如用户不同意收集，不应拒绝提供原有业务功能。新增业务功能取代原有业务功能的除外。h)间接收集个人信息时，应满足：1)应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；2)应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意共享、转让、公开披露等。如果超出该授权同意范围，应在获取个人信息后的合理期限内(不超过一个月)或处理个人信息前，征得个人信息主体的明示同意。5.2.2个人信息的存储个人信息存储地域要求对个人信息控制者的要求如下：a)在技术可行且不影响终端和服务正常的情况下，智能家电系统宜在用户智能家电终端或控制应用终端中存储、使用所收集的个人信息；b)在中华人民共和国境内收集和生产的个人信息，宜存储在中华人民共和国境内。个人信息存储期限要求对个人信息控制者的要求如下：a)个人信息存储期限应为实现收集使用目的所需的最短时间，且不应超出收集使用规则中告知的保存期限，例如使用产品或服务期间持续保存。超出上述期限后，应对个人信息进行删除或匿名化处理。b)用户注销账号后应及时删除其个人信息，匿名化处理的除外。个人信息存储措施要求对个人信息控制者的要求如下：a)收集个人信息后，应按照表3的安全分级要求采取去标识化等安全措施，确保单凭该个人信息无法准确定位到特定个人。同时采取管理措施，确保经过去标识化处理的个人信息与可用于恢复识别个人的信息分开保存，在后续的个人信息处理过程中也无法再次识别特定个人。b)应对存储个人信息的文件或系统设置授权访问。c)对于存储涉及个人敏感信息时(按照表2定义的个人敏感信息分类),应采用加密等安全措施。d)个人生物性识别信息应与个人身份信息分开存储。e)非必要情况下，不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于：1)仅存储个人生物识别信息的摘要信息；2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；93)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。5.2.3个人信息的删除对个人信息控制者的要求如下：a)用户删除智能家电或控制应用端的个人信息，或注销账号后，或个人信息在超过存储期限后，应立即停止智能家电、控制端应用与云平台对其个人信息的使用，并对其信息进行删除或匿名化处理；b)停止运营的产品或服务，应停止继续收集个人信息，将停止运营通知以逐一送达或公告的形式通知个人信息主体，并对持有的信息进行删除或匿名化处理；c)对智能家电收集、使用等各阶段个人信息的缓存数据，应提供自动删除或者手动删除功能；d)智能家电或应用存储的个人信息进行删除后，应采取措施防止通过技术手段恢复。5.2.4个人信息的使用个人信息使用限制对个人信息控制者的要求如下：a)使用个人信息时，不应超出与收集时告知用户并获得授权同意的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得用户的明示同意。b)应对个人信息的接触者设置相应的访问控制措施，包括：1)应按照最小授权原则，使被授权人员只能访问职责所需的最少够用的个人信息，以及具备完成职责所需的最少数据操作权限；批流程的审批后方可操作；3)因业务需要，需授权特定人员超权限处理个人信息的，即特殊访问权，其分配和使用应由业务代表进行审批，并记录在册；4)应在“一事一议”的基础上，基于职能角色的最低要求进行分配；5)应规定特殊访问权到期的要求；6)对个人敏感信息的访问、修改等处理，应在对角色权限控制的基础上，采取强认证方法，例如双因素身份认证；或根据业务流程的需求触发操作授权，例如因收到客户投诉，该投诉处理者才可访问用户的相关信息；7)个人信息控制者在进行个人信息操作时，应启用日志审计记录整个操作过程，如批量查c)宜对必需要通过界面(如智能家电显示屏幕、纸面)展示的个人信息采取去标识化处理等措施，防止未授权人员获取个人信息。d)除目的必需外，使用个人信息时应消除身份指向性，避免精确定位到特定个人。例如，为准确评价个人信用状况，可使用直接用户画像，而用于推送商业广告目的时，宜使用间接用户画像。e)用户应能自主打开或关闭基于用户画像对用户进行精准识别和归类的个性化推荐。f)不应依据用户是否授权收集个人信息及授权范围，对用户采取歧视行为，包括服务质量、价格差异等。g)对个人信息进行加工处理时，应保证智能家电系统稳定运行，不造成个人信息的损毁、泄露和丢失等，加工过程完毕时应进行数据完整性和准确性检查。个人信息不应进行公开披露。经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守的要求如下：a)事先开展个人信息风险评估(见6.2)并依评估结果采取有效的保护个人信息主体权益的措施；b)向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意，与等直接相关的情形除外；c)公开披露个人敏感信息前，除b)中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容；d)准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等；e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任；f)不应公开披露个人生物识别信息和疾病等个人生理信息；g)不应公开披露个人信息主体的种族、民族、政治观点、宗教信仰等敏感数据分析结果。对于智能家电个人信息流转于第三方App或云平台的场景，应充分重视风险，遵守的要求如下。a)共享和转让行为应经过合法性、必要性评估，必要性还应基于最少够用的原则，对于本地加工处理能满足功能需求的个人信息，不需要进行数据的传输转移。b)事先开展个人信息风险评估，应对个人信息接收者的数据安全能力进行评估，确保个人信息接收者具备足够的数据安全能力，并按照评估结果采取有效的保护个人信息主体的措施。c)在共享、转让前应向个人信息主体告知共享、转让个人信息的目的、数据接收者的类型等信息，并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息，且确保个人信息接收者无法重新识别个人信息主体的除外。d)共享、转让个人敏感信息前，除c)中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的类型、个人信息接收者的身份和数据安全能力，并事先征得个人信息主体的明示同意。e)准确记录和保存个人信息共享、转让的情况，将共享、转让的日期、规模、目的和数据接收者的基本情况在内的信息进行登记。f)在共享、转让后应了解接收者对个人信息的保存、使用情况和个人信息主体的权利，例如访问、g)当个人信息控制者或处理者发生收购、兼并、重组、破产等变更时，应向个人信息主体告知有关情况，并继续履行原个人信息控制者或处理者的责任和义务，如变更个人信息使用目的时，应重新取得个人信息主体的明示同意。h)当个人信息控制者与第三方联合确定个人信息处理的目的与方法时，为共同控制者，例如服务平台与平台上的签约商家。个人信息控制者应：1)通过合同等形式与第三方共同确定应满足的个人信息安全要求，及在个人信息安全方面分别应承担的责任和义务；2)通过隐私政策、用户协议、产品说明等显著且可证明的方式向个人信息主体告知；3)共同控制者的任一方都有义务响应个人信息主体权利的请求。注：个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用API接口),且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意，则个人信息控制者与该第三方为共同控制者。i)承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任。例如，接入平台的第三方应用，发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。个人信息第三方委托处理对个人信息控制者的要求如下：a)在对个人信息委托处理时，不应超出用户授权同意的范围；b)在对个人信息委托处理时，应对委托行为进行个人信息风险评估，确保受托方具备足够的数据安全能力，提供了足够的安全保护水平；c)在对个人信息委托处理时，应签订相关协议要求受托方符合本文件；d)应确保受托方对个人信息的相关数据处理完成之后，对存储的个人信息进行删除；e)准确记录和保存个人信息委托处理的情况。对受托方的要求如下：a)严格按照控制者的要求处理个人信息，如因特殊原因未按照控制者的要求处理个人信息，应及时向控制者反馈；b)如确需再次委托时，应事先征得控制者的授权；c)协助控制者响应个人信息主体基于5.3提出的合理请求；d)在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件，应及时向控制者反馈；e)委托关系解除时不再保存个人信息。在中国境内运营中收集和产生的个人信息，如需出境应遵循中华人民共和国个人信息出境安全相关法律法规。处理个人信息的智能家电系统还应满足的网络安全要求如下：a)智能家电个人信息处理系统的安全技术措施应依据不同业务类型，满足对应的网络安全等级保护要求，保障网络免受干扰、破坏或者未经授权的访问，防止个人信息泄露或者被窃取、篡改；b)应采取校验技术或密码技术保证个人信息在传输和存储过程中的完整性；c)应采用密码技术保证个人信息在传输和存储过程中的保密性；d)应确保调试接口不外露，调试命令的输入通过鉴权才能开启。网络调试接口应经过用户手动授权后才能打开，防止通过通用调试工具或方法获取个人信息存储包；e)智能家电、控制端应用、云平台其中任意两方在建立连接之前，应进行双向身份验证；f)智能家电软件系统有管理员用户分级时，涉及个人信息的权限分配，应符合中b)的要求；g)智能家电在多用户操作系统中，不应给予root级别的权限；h)具备有远程调试或管理等进行用户体验改善行为功能的智能家电，使用该功能应由用户主动发起或用户授权同意，使用过程中应加密传输，使用结束后，应删除服务端的记录和用户信息或做脱敏处理；i)智能家电在日志和调试信息中不应打印除设备标识信息、运行状态信息以外的个人信息；j)通过蓝牙连接设备前，应进行双向身份认证。5.3个人信息主体的权利5.3.1个人信息访问应为个人信息主体提供查询其个人信息的权利如下：a)其所持有的关于该主体的个人信息或类型；b)上述个人信息的来源、使用目的；c)已获得上述个人信息的第三方身份或类型。5.3.2个人信息更正应为个人信息主体提供更正其个人信息的权利如下：a)可产品内自行更正，或通过反馈与报错等提交申请；b)将更正信息告知已经被披露给的每个接收者，除非此类告知是不可能的或者需要付出不相称的工作。应为个人信息主体提供删除其个人信息的权利如下：a)对于存储个人信息的智能家电，用户可通过隐私政策、用户协议或产品说明等方式得知删除智能家电内个人信息的途径；b)用户可通过产品内提供的功能自行删除设备所收集的个人信息，或通过提交申请进行删除；c)如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时，个人信息主体要求删除的，应及时删除，并通知已经披露给的第三方及时删除。5.3.4个人信息主体注销账户应为个人信息主体提供注销账户的权利如下：a)提供注销账号的方法，且易于操作；b)注销前验证用户身份；c)不同意用户注销需明确不同意注销申请的条件，例如：存在用户未支付订单的情况；d)个人信息主体注销账号后，应删除或匿名化处理其个人信息。5.3.5个人信息主体撤回授权同意应为个人信息主体提供撤回授权同意的权利如下：a)提供随时撤回授权同意的途径；b)撤回授权同意应与作出授权同意同等容易；c)用户撤回授权同意后，应停止对其个人信息的收集；已经收集的个人信息，应进行匿名化处理或删除。应为个人信息主体提供请求行使数据可携权的方法。即在技术可行的前提下，允许个人信息主体以结构化、通用化和机器可读的格式获取其个人信息副本，以及控制者将个人信息主体的个人信息副本直接传输给个人信息主体指定的第三方。可携的数据类型为通过自动化方式收集处理的个人信息。数据可携权的范围如下：a)个人信息主体主动提供的个人信息，如通过网上表格填写的账户信息(包括账户、邮箱地址、年龄)等由数据主体填写、提交的信息；b)主体通过使用服务或者设备所提供的采集信息，如个人活动日志、搜索历史记录、交通和位置信息、可穿戴设备记录的心跳数据等；c)不包括对个人信息主体的行为进行事后分析而获得的个人信息，例如通过个性化或推荐性处理、通过用户分类或用户画像等；d)不包括通过纸质形式收集的个人信息。5.3.7个人信息自动化决策完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用的要求如下：a)应以明显方式标明“定推”等字样，并为用户提供停止接收定向推送信息的功能，以确保用户有反对或者拒绝的权利；b)用户选择停止接收定向推送信息时，个人信息控制者应当停止推送，并可由用户决定是否对已经收集的设备识别码等用户数据和个人信息进行删除或匿名化处理。5.3.8响应个人信息主体的请求对个人信息控制者的要求包括如下。a)如果是直接从个人信息主体处收集个人信息的，应在收集时，将5.3.1至5.3.7所述权利的存在告知个人信息主体；如果是间接收集个人信息主体的个人信息的，应在获得数据后的合理时间内(不超过一个月)与个人信息主体进行首次沟通或向第三方披露时，将上述权利的存在告知个人信息主体。b)对于5.3.1至5.3.7所述权利提供的在线操作、客服电话、电子邮件等途径，个人信息主体进行相关操作后，个人信息控制者应在合理时间和代价范围内响应，并在承诺时限内(无承诺时限的，以15个工作日为限)完成核查和处理。c)以下情况可不响应个人信息主体基于5.3.1至5.3.7提出的请求：1)与国家安全、国防安全直接相关的；2)与公共安全、公共卫生、重大公共利益直接相关的；3)与犯罪侦查、起诉、审判和判决执行等直接相关的；4)有充分证据表明个人信息主体存在主观恶意或滥用权利的；5)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的；6)涉及商业秘密的。6组织管理要求6.1明确责任部门与人员明确责任部门与人员要求，应遵守GB/T35273—2020中11.1规定的要求。6.2个人信息安全影响评估个人信息安全影响评估要求，应遵守GB/T39335—2020中规定的要求。6.3个人信息安全事件处置个人信息安全事件处置要求，应遵守GB/T35273—2020中第10章规定的要求。7测评方法7.1测评类型及方法7.1.1文档审查有关个人信息数据收集、处理和管理的文档，包括系统功能说明、隐私政策、审批流程、个人信息安全事件记录、特殊访问记录等文档。有关个人信息数据收集、处理和管理的文档应满足的要求包括但不限于：a)完备性要求如下：1)个人信息收集的目的；2)家电用户有可能看到的有关个人信息处理的各种明示警示信息；3)个人信息数据的流转过程说明；4)有关个人信息收集、处理和管理的系统功能说明；5)全部个人信息访问入口及权限；6)如必要，给出个人信息的加密处理办法；7)如必要，给出个人信息管理办法。b)正确性要求如下：1)文档中的所有信息都符合第5章、第6章对应要求；2)文档不应有歧义的信息。c)一致性要求如下：各文档中的内容不应自相矛盾、互相矛盾以及与产品说明矛盾。d)易理解性要求如下：用户文档应使用对于其读者可理解的术语和文体，应通过经过编排的文档清单，为用户理解文档提供便利。审查与个人信息收集、处理相关的代码，包括位于智能家电内部软件控制器中的代码、智能家电配套App软件代码及远程服务平台软件代码。代码审查前，应保证满足的条件如下：a)代码无错误的通过编译；b)获得被测代码有关的文档。依据软件相关文档，通过使用软件工具和人工分析相结合的方式对源程序进行代码审查，代码应与文档中规定的功能一致。7.1.3设备功能及安全测试主要测试控制端应用以及设备本体中与个人信息相关的功能安全模块。设备功能性方面包括：设备主要功能、界面内容、隐私政策等。设备安全性方面包括：固件安全、权限限制、密钥复杂度等。智能家电、智能家电系统和智能家居整个系统的功能性及安全性应符合第5章中的要求。使用漏洞扫描测试工具，扫描可能会影响个人信息安全的Web应用和服务中存在的漏洞。常见的漏洞类型见附录C。7.1.5通信保护测试主要测试与个人信息相关的网络传输数据。依据第5章的要求，可采用网络抓包、终端网络抓包、嗅探等测试方法对网络数据进行抓包，分析是进一步分析，查看里面是否携带个人信息，个人敏感信息。可使用网络上通用的字典，对加密包进行字典攻击后，分析其中是否携带个人敏感信息。核查对象主要包括的内容如下：a)人员核查包括但不限于：人员职责划分、权限分配等；b)行为核查包括但不限于：定期开展安全影响评估、了解信息提供方的情况等；c)数据核查包括但不限于：对于个人敏感数据的收集、删除、去标识化、匿名化等。核查内容及要求：依据第5章、第6章的要求，根据实际情况，现场通过考核抽查等形式，对于被测评方进行实地考察，主要目的就是通过对被测评方进行现场实地考察，验证被测评方的实际执行情况，从而来评价该环境管理体系运行的有效性，判别被测评方建立的环境管理体系符合标准要求。依照考核实际情况与标准所要求是否相符合。7.2测评方法选择智能家电个人信息保护的测评对象是智能家电产品端、控制端(App)、远程服务平台等多个对象所测试类型见表4。表4测评项目与测试类型对应关系表要求条款测评项目文档审查代码审查设备功能及安全测试漏洞扫描通信保护测试现场核查隐私政策等收集使用规则的内容和发布√√收集的最小化要求√√收集的授权同意要求√√个人信息存储地域要求√个人信息存储期限要求√个人信息存储措施要求√√√5.2.3个人信息的删除√个人信息使用限制√√√√个人信息公开披露√√个人信息共享、转让√√√个人信息第三方委托处理√√个人信息跨境传输√√5.2.5网络安全要求√√√√√√5.3.1个人信息访问√√5.3.2个人信息更正√5.3.3个人信息删除√√√5.3.4个人信息主体注销账户√√5.3.5个人信息主体撤回授权同意√√5.3.6个人信息可携√5.3.7个人信息自动化决策√√5.3.8响应个人信息主体的请求√√明确责任部门与人员√√个人信息安全影响评估√√个人信息安全事件处置√√(资料性)智能家电应用场景本附录给出了实现智能家电控制与互联互通的三种应用场景，其中控制者指个人信息控制者。在实际业务逻辑中，可能同时存在下述多个场景。场景1:App和家电设备属同一个人信息控制者A控制者家电设备与A控制者App,通过与A控制者云平台的连接，将App的控制命令传递给云平台，实现App对智能家电的控制，云平台对智能家电的管理；App也可以不经过云平台，直接与家电设备相连，实现对智能家电的控制。如图A.1所示。A控制者云平台个刀设备状态控制命令设备状态控制命令设备状态控制命令AA控制者AA控制者AppAA控制者家电设备图A.1A控制者App控制A控制者的家电设备场景2:App与家电设备属不同个人信息控制者由于B控制者App只能连接到B控制者云平台，B控制者云平台不能直接管理A控制者家电设备，所以B控制者云平台需与A控制者云平台对接，才能把B控制者App的控制命令传递给A控制者云平台，从而实现B控制者App对A控制者智能家电的远程控制。如图A.2所示。A控制者云平台与B控制者云平台也可通过第三方云平台间接进行互联。B控制者App控制命令设备状态控制命令A控制者云平台B控制者云平台>设备状态控制命令设备状态A控制者家电设备图A.2B控制者App远程控制A控制者的家电设备场景3:不同个人信息控制者的智能家电通过互联网和云平台进行联动B控制者云平台与A控制者云平台对接，或B控制者云平台直接控制A控制者家电设备，家电设备联动的业务逻辑放置在B控制者云平台内。当B控制者家电设备状态改变时，B控制者根据设备联动的业务逻辑控制A控制者的家电设备。如图A.3所示。A控制者云平台与B控制者云平台也可通过第三方云平台间接进行互联。BB控制者家电设备路径1设备状态控制命令(或设备状态)设备状态7控制命令设备状态路径2设备状态么A控制者家电设备A控制者云平台图A.3不同控制者的智能家电通过互联网和云平台进行联动(规范性)智能家电核心业务功能对应的最少信息与约束条件本附录规定了用户注册及登录、设备控制、智慧场景、网上商城、售后服务等常用核心业务功能可收集的最少信息与约束条件，见表B.1。表B.1常用核心业务功能可收集的最少信息与约束条件常用核心业务功能最少个人信息约束条件用户注册及登录用户账号密码网络日志用户注册及登录时设备控制通用用户账号用户登录/出时设备运行信息(运行时长、运行状态等)网络日志用户交互时摄像头类仅与所需数据相关的最少信息。例如：——功能型家电：冰箱、烤箱等产品内置摄像头仅采集食材信息；扫地机器人摄像头仅收集环境模型或对用户信息进行过滤；空调摄像头仅收集用户活动状态信息。——内容型家电：电视摄像头、门锁摄像头等应限制拍摄角度。网络日志功能开启时语音类语音交互内容网络日志成功唤醒后的一定时间内智慧场景食谱推荐/家人健康用户账号用户登录/出时身高体重BMI指数肥胖度基础代谢网络日志用户填写时离家/回家用户账号用户登录/出时出门时间到家时间网络日志用户填写时就寝/起床用户账号用户登录/出时睡觉时间起床时间网络日志用户填写时常用核心业务功能最少个人信息约束条件网上商城姓名手机号码收货地址网络日志用户填写时售后服务姓名手机号码收货地址网络日志用户填写时天气服务粗略地理位置信息网络日志每次打开App时(资料性)常见漏洞类型C.1Web应用和服务中的漏洞常见的可能影响个人信息安全的Web应用和服务中存在的漏洞如下：——数据注入和操纵攻击；——跨站脚本攻击(XSS攻击),包括反射型和持久型XSS攻击；——跨站请求伪造；——SQL注入；——缓冲器溢出；——整数溢出