T∕CHEAA 0001.2-2019 智能家電云云互聯互通 第2部分：信息安全能力要求

ISC 35.100.70 L 79 團體標準T/CHEAA 0001.22019 智能家電云云互聯互通 第 2 部分：信息安全能力要求 Cloud to cloud interconnection for smart household appliances Part 2: Requirements for the competence of information security 2019-03-15 發(fā)布 2019-03-15 實施 中國家用電器協會 發(fā)布 1 T/CHEAA 0001.22019 目次前言 . II 引言 . III 1. 范圍 . 12. 規(guī)范性引用文件 . 13. 術語和定義及縮略語 . 13.1 術語和定義. 13.2 縮略語. 34. 接口信息安全要求 . 44.1 通信安全. 44.2 身份認證和授權. 44.3 數據安全. 54.4 錯誤信息處理. 64.5 接口穩(wěn)定性. 64.6 日志審計. 65. 安全事件協同管理要求 . 75.1 安全事件的分類和分級. 75.2 責任模型. 75.3 服務條款. 75.4 明確責任部門和人員. 85.5 應急響應. 85.6 事件通告. 85.7 持續(xù)改進. 9附錄 A（規(guī)范性附錄）對用戶數據和隱私保護的特別要求 . 10 A.1 A.2 A.3 A.4 A.5 A.6 導則. 數據生產和收集. 數據傳輸. 數據的使用. 數據保存. 數據銷毀. 10 10 10 10 11 11 附錄 B（資料性附錄）相關法規(guī)、標準、認證規(guī)則 . 12 B.1 導則. 12 B.2 國內相關標準和認證規(guī)則 . 12 B.3 國際相關法規(guī)、標準、認證規(guī)則 . 12 I T/CHEAA 0001.22019 前言T/CHEAA 0001智能家電云云互聯互通分為以下 2 個部分： 第 1 部分：基本要求及一般模型 第 2 部分：信息安全能力要求 本部分為 T/CHEAA 0001 的第 2 部分。 本部分按照 GB/T 1.12009 給出的規(guī)則起草。 本部分由中國家用電器協會提出。 本部分由中國家用電器協會標準化委員會歸口。 本部分版權歸中國家用電器協會所有，未經中國家用電器協會許可不得隨意復制，其他 機構采用本部分的技術內容制修訂標準須經中國家用電器協會允許， 任何單位或個人引用本 部分的內容需指明本部分的標準號。 截至本部分正式發(fā)布之日，中國家用電器協會未收到任何有關于本部分涉及專利的報 告，中國家用電器協會不負責確認本部分的某些內容是否還存在涉及專利的可能性。 本部分起草單位：中國家用電器協會、杭州涂鴉信息技術有限公司、青島海爾科技有限 公司、博西家用電器投資（中國）有限公司、廣州云智易物聯網有限公司、聯想（北京）有 限公司、青島聚好聯科技有限公司、TCL 電子控股有限公司、長虹美菱股份有限公司、創(chuàng)維 集團有限公司、 康佳集團股份有限公司、 美的集團股份有限公司、 奧克斯空調股份有限公司、 廣東格蘭仕集團有限公司、蘇州三星電子有限公司、惠而浦（中國）股份有限公司。 本部分主要起草人：姜風、劉龍威、王淼、蘇州、李楊、張亞群、張沛、羅壽中、李昱 兵、黃辰、陸軍鋒、陳挺、劉復鑫、李桂豐、黃圣祥、謝廠節(jié)、萬春暉、邵光達、錢海峰、 柯都敏、周瑞鑫、井皓、祖巖巖、黃兵、胡協斌、張瑜龍、祁樹壯、羅新宇、嚴勇、陳嘉琦、 廖杰、畢志國、張?zhí)祉?、曾偉樞、張小平、王濤?II T/CHEAA 0001.22019 引言近年，隨著越來越多的家用電器接入了互聯網、物聯網，眾多家電廠商的智能云平臺從 私有走向開放共享，而信息安全風險也隨之被擴大，所以，實施云云互聯互通的廠商間達成 一致的信息安全要求就勢在必行。 本部分針對家電云云互聯面臨的信息安全風險，提出了實施云云互聯的云平臺接口的 信息安全能力要求、 出現安全事件的協同管理機制、 應滿足或參考的國內外標準和技術法規(guī)、 用戶數據和隱私的保護規(guī)定，旨在幫助云云互聯的企業(yè)達成一致的信息安全規(guī)范，保障雙方 利益，遏制因共享而產生的安全風險。 III T/CHEAA 0001.22019 智能家電云云互聯互通 第 2 部分：信息安全能力要求 1. 范圍 本部分規(guī)定了在中國開展云云互聯互通業(yè)務的各關聯廠商云平臺（以下簡稱各云平臺） 之間云云互聯互通接口及相關要素的信息安全能力要求、信息安全事件的管理要求、相關標 準及技術法規(guī)以及對用戶數據和隱私保護的特別要求。 本部分不涉及對各云平臺上非云云互聯互通業(yè)務的安全和隱私性做要求。 2. 規(guī)范性引用文件 下列文件對于本部分的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適 用于本部分。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本部分。 GB/T 16264.8 信息技術 第 8 部分：開放系統(tǒng)互聯目錄 GB/Z 20985 信息技術 安全技術 信息安全事件管理指南 GB/Z 20986 信息安全技術 信息安全分類事件分級指南 GB/T 25069 信息安全技術 術語 GB/T 35273 信息安全技術 個人信息安全規(guī)范 IETF RFC 5246 安全傳輸層協議 1.2 版本 The Transport Layer Security（TLS） Protocol Version 1.2 3. 術語和定義及縮略語 3.1 術語和定義 以下術語和定義適用于本部分。 3.1.1 安全傳輸層協議 transport layer security 在兩個通信應用程序之間提供身份認證、數據保密性和數據完整性功能的協議。 IETF RFC 5246，The Transport Layer Security (TLS) Protocol Version 1.2 3.1.2 1 T/CHEAA 0001.22019 證書認證機構 Certificate Authority（CA） 負責創(chuàng)建和分配證書，受用戶信任的權威機構。用戶可以選擇該機構為其創(chuàng)建密鑰。 GB/T 16264.8-2005，定義 3.3.16 3.1.3 個人信息 personal information 以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反 映特定自然人活動情況的各種信息。 注 1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、 通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。 注 2：關于個人信息的范圍和類型詳見 GB/T 35273-2017 附錄 A。 GB/T 35273-2017，定義 3.1 3.1.4 個人敏感信息 personal sensitive information 一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受 到損害或歧視性待遇等的個人信息。 注 1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、 征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下（含）兒童的個人信息等。 注 2：關于個人敏感信息的范圍和類型可詳見 GB/T 35273-2017 附錄 B。 GB/T 35273-2017，定義 3.2 3.1.5 個人信息主體 personal data subject 個人信息所標識的自然人 GB/T 35273-2017，定義 3.3 3.1.6 收集 collect 獲得對個人信息的控制權的行為，包括由個人信息主體主動提供、通過與個人信息主體 交互或記錄個人信息主體行為等自動采集，以及通過共享、轉讓、搜集公開信息間接獲取等 方式。 GB/T 35273-2017，定義 3.5 3.1.7 密鑰 key 一種用于控制密碼變換操作(例如加密、解密、密碼校驗函數計算、簽名生成或簽名驗 證)的符號序列。 GB/T 25069-2010，定義 2.2.2.106 3.1.8 2 T/CHEAA 0001.22019 匿名化 anonymization 通過對個人信息的技術處理，使得個人信息主體無法被識別，且處理后的信息不能被復 原的過程。 注：個人信息經匿名化處理后所得的信息不屬于個人信息。 GB/T 35273-2017，定義 3.13 3.1.9 去標識化 de-identification 通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體 的過程。 注：去標識化建立在個體基礎之上，保留了個體顆粒度，采用假名、加密、哈希函數等技術手段替代 對個人信息的標識。 GB/T 35273-2017，定義 3.14 3.1.10 重放攻擊 replay attack 一種主動攻擊方法，攻擊者通過記錄通信會話，并在以后某個時刻重放這個會話或者會 話的一部分。 GB/T 25069-2010，定義 2.2.1.138 3.1.11 信息安全事件 information security incident 一個信息安全事件由單個的或一系列的有害或意外信息安全事態(tài)組成， 他們具有損害業(yè) 務運作和威脅信息安全的極大可能性。 GB/T 20985-2007，定義 3.3 3.2 縮略語 以下縮略詞適用于本部分。 TLS：安全傳輸協議（Transport Layer Security） AES：高級加密標準（Advanced Encryption Standard） 3DES：三重數據加密算法（Triple Data Encryption Algorithm） CFB：密碼反饋（Cipher Feedback） OFB：輸出反饋（Output Feedback） IV：初始化向量（Initialization Vector） HMAC：哈希消息認證碼（Hash-based Message Authentication Code） SHA：安全散列演算法（Secure Hash Algorithm） JSON：對象標記（Java Script Object Notation） 3 T/CHEAA 0001.22019 DDoS：分布式拒絕服務攻擊（Distributed Denial of Service） CDN：內容分發(fā)網絡（Content Delivery Network） API：應用程序接口（Application Programming Interface） 4. 接口信息安全要求 4.1 通信安全 4.1.1 通信兩端建立 TLS 傳輸通道 a) 各云平臺之間的通訊接口均應采用 TLS 安全機制，應使用不低于 1.2 的安全版本。同時 需要通過各自的證書進行雙向認證，只允許證書校驗通過后，才能完成請求。 b) 各云平臺均應向證書認證機構（CA）申請證書或通過特定組織統(tǒng)一自建證書，并在云 平臺上部署證書。證書有效期不超過 24 個月。 4.2 身份認證和授權 4.2.1 平臺登錄接口 a) 各云平臺的唯一標識符 PlatID 應滿足隨機性。 b) 各云平臺的身份令牌 AuthToken 應根據 PlatID 和時間戳、隨機數等計算得出，應通過 安全的哈希方式生成，長度不應低于 16 位，應使用數字和字母組成。 注 1： PlatID 和 AuthToken，來源于 T/CHEAA 0001-2017智能家電云云云云互聯互通標準 。注 2： 時間戳精度毫秒級，采用東 8 區(qū)（北京時間）的網絡時間。 c) d) 每對 PlatID 和 AuthToken 應僅適用于對接的兩個平臺。 例：A 平臺給 B 平臺發(fā)送的 PlatID 和 AuthToken，僅適用于 B 平臺對 A 平臺的身份驗證，其他平臺 需要重新協商。 應采取雙向身份校驗。 例：A 平臺發(fā)送驗證信息給 B 平臺，B 平臺再確認 A 平臺身份正確后，也發(fā)送自己的驗證信息給 A 平臺。 4.2.2 訪問令牌管理 a) b) c) d) 完成身份驗證后，A 平臺應通過 AuthToken 提交獲取訪問令牌 AccessToken 的請求，B 平臺下發(fā)給 A 平臺訪問令牌 AccessToken、更新令牌 RefreshToken 和 AccessToken 的有 效時長，A 平臺所有的請求都應在有效時長內，且包含該 AccessToken 才能正常請求。 注： AccessToken 和 RefreshToken,分別用來做請求和刷新的 token。 AccessToken 和 RefreshToken 應根據 PlatID 和時間戳、隨機數等，通過安全的哈希方式 生成，長度不應低于 32 位，應使用數字和大小字母和特殊字符組成。 AccessToken 有效期不應超過 2 小時，過期或登出操作后應自動銷毀。RefreshToken 有 效期不應超過 14 天，過期或登出操作后應自動銷毀。 應主動更新 AccessToken，應使用 RefreshToken 進行請求更新， RefreshToken 應僅可使 用一次，更新一次 AccessToken 后，RefreshToken 也應進行更新。 4.2.3 授權 平臺應使用精細粒度的訪問權限控制，能夠根據平臺賬號分配最小、僅必要的權限。 4 T/CHEAA 0001.22019 4.3 數據安全 4.3.1 個人敏感信息傳輸 1) 加密密鑰獲取要求 a) b) c) d) e) f) g) 平臺認證后，各廠商之間應相互下發(fā)密鑰以加密隱私數據。 例如，A 廠商的 APP 通過 A 廠商的云請求控制 B 廠商的云，需要拿到 B 廠商下發(fā)的動態(tài)密鑰，進行 數據加密。 各商云平臺之間共享的數據，如果涉及個人敏感信息，需要分發(fā)密鑰，用來加密傳輸， 密鑰有效期 60 分鐘。 密鑰應保證隨機性，應結合用戶 ID，以及時間戳和隨機數的哈希函數生成 128 位及以 上字符串。 動態(tài)密鑰：每次用戶登錄認證后，應下發(fā)最新密鑰，舊密鑰廢棄。 用戶登出操作后，舊密鑰應廢棄。 加密算法應使用 AES 或 3DES 加密算法。 加密模式應使用 CFB 或 OFB 模式，IV 應通過偽隨機數生成器生成。 2) 安全傳輸要求 a) 個人敏感信息傳輸前應使用動態(tài)獲取的加密密鑰加密。 b) 涉及個人身份信息、 個人生物特征識別信息或者密碼和口令的傳輸應通過安全的哈希方 式處理，應通過 HMAC-SHA256 方式進行加鹽哈希。 c) 其他個人敏感信息的傳輸應根據業(yè)務場景選擇去標簽化、匿名化等處理方式。 表 1 個人敏感信息舉例 隱私類型 個人身份信息 個人生物識別信息 個人健康生理信息 網絡身份標識信息 其他信息 舉例 身份證、軍官證、護照、駕駛證、工作證、社?？?、居住證等 個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等 個人因生病醫(yī)治等產生的相關記錄，如病癥、住院志、醫(yī)囑單、檢驗報告、 手 術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病 史、診治情況、家族病史、現病史、傳染病史等，以及與個人身體健康 狀況 產生的相關信息等 系統(tǒng)賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數 字證書等 個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄 和內容、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息等 注：關于個人敏感信息的范圍和類型可詳見 GB/T 35273-2017 附錄 B。 4.3.2 消息認證 a) 所有請求應取有效手段防止重放攻擊。 例：可采取時間戳均存儲在緩存中，且僅一次性有效的策略，以防止重放的可能性。 b) 所有請求應攜帶毫秒級別時間戳標記，時間的有效期設置為前后 10 分鐘內有效。 c) 應使用 HMAC-SHA256 算法對數據內容和所有接口字段進行校驗。 4.3.3 數據過濾 a) 數據傳輸，應使用 PUT 或 POST 傳輸 JSON 格式的數據，請求頭部應指明類型 5 T/CHEAA 0001.22019 application/json，并且使用明確恰當的字符集。 例：指定明確的字符集，比如 UTF-8。 b) 驗證數據范圍、長度和類型。 c) JSON 中的所有參數，均應使用強類型和固定長度的校驗。 例：PlateID 使用 Long 數字類型，長度為 16。 d) 數據過濾前，將數據按照常用字符進行編碼。 e) 對所有的參數進行安全過濾， 應對內容包含特殊字符和注入攻擊的行為應進行嚴格檢測， 丟棄任何沒有通過檢測的數據。 注：常見的危險字符包括， % ( ) & + 。 f) 盡可能采用白名單形式，驗證所有參數。 4.4 錯誤信息處理 各云平臺在云云對接過程中請求失敗的情況下，應通過錯誤編碼來表示錯誤類型，不應 暴露任何平臺或用戶的敏感信息。 4.5 接口穩(wěn)定性 4.5.1 分布式拒絕服務攻擊（DDoS）的防護 a) 針對流量型和系統(tǒng)資源型的攻擊，應有完善的應急防護手段，應通過運營商或基于域名 的云防護產品實現快速流量遷移和清洗、CDN 等方式實現流量的稀釋。 b) 針對應用服務資源消耗類型，應通過中間件層、應用層面對訪問頻率和訪問特征進行限 制等策略進行防護。 4.5.2 應用服務的系統(tǒng)安全 提供 API 的平臺和對應的服務器，應執(zhí)行系統(tǒng)和服務的加固，包括開放端口的白名單 嚴格限制和對外服務的加固。 例：使用了 Apache，需要使用安全的 Apache 版本，并進行安全的配置。系統(tǒng)、中間件和應用服務應 使用一定強度以上的密碼，使其能夠抵御字典式攻擊。 4.5.3 應急響應與災備 各云平臺應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息 資源的可用性。廠商云平臺應建立事件處理計劃，包括對事件的預防、檢測、分析、控制、 恢復及用戶響應活動等，對事件進行跟蹤、記錄并向相關人員報告。各云平臺應具備災難恢 復能力，建立必要的備份設施，確保客戶業(yè)務可持續(xù)。 4.5.4 風險評估與監(jiān)控 各云平臺應定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進行風險評估，確保云計算平 臺的安全風險處于可接受水平。應采取第三方機構進行風險評估、服務商安全監(jiān)控預警等方 式加強風險評估能力。 4.6 日志審計 各云平臺應具備自動化請求日志收集和審計系統(tǒng)，監(jiān)控采集云端云云互聯互通業(yè)務相關 的日志及網絡流量，通過離線分析和實時分析兩種方式識別并發(fā)現潛在的網絡攻擊行為，及 時預警并采取相應的應對措施。 6 a) b) c) d) e) f) 5. T/CHEAA 0001.22019 日志收集和審計系統(tǒng)中應包括 API 接口日志和其他相關業(yè)務的服務和流量日志。 日志收集和審計系統(tǒng)應根據安全需求，制定可審計事件清單，明確審計記錄內容，實施 審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應防范對審計記錄的未 授權訪問、篡改和刪除行為，為事后調查提供支撐。 日志收集和審計系統(tǒng)應防止非授權訪問、篡改或刪除審計記錄。 日志收集和審計系統(tǒng)的接口請求日志保存時間應不少于 6 個月。 日志中不應記錄用戶敏感數據信息。 針對異常日志，應自動告警到相關運維人員，并進行對應的分析和處理。 安全事件協同管理要求 5.1 安全事件的分類和分級 5.1.1 安全事件分類 應根據信息安全事件產生的結果表象做分類，分為數據泄露事件、服務不可用事件和其 他事件。 a) 數據泄露事件：云云互聯的數據出現泄露。 b) 服務不可用事件：服務出現不穩(wěn)定或者不可用情況，并且影響到云互聯的其他廠商的事 件。 c) 其他事件，除了上述事件以外的其他事件。 5.1.2 事件分級 安全事件應依據國標 GB/Z 20986 中的安全事件分級考慮隱私，將信息安全事件劃分為 四級：特別重大事件、重大事件、較大事件和一般事件。 a) 特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件。 b) 重大事件是指能夠導致嚴重影響或破壞的信息安全事件。 c) 較大事件是指能夠導致較嚴重影響或破壞的信息安全事件。 d) 一般事件是指不滿足以上條件的信息安全事件。 注：事件詳細說明請參考 GB/Z 20986。 5.2 責任模型 a) b) c) 針對數據泄露事件，各云平臺相互間的追責，基本依據是責任歸屬于直接導致數據泄露 的云平臺或客戶端所屬的廠商。 針對服務不可用事件，應根據導致服務不穩(wěn)定或不可用的節(jié)點判斷，責任應歸屬于該節(jié) 點所有者平臺。 在責任未明確的時候，雙方應共同協商、承擔并調查原因。在雙方對于數據泄露事件無 法達成一致的情況下， 應由獨立的第三方介入調查。 如調查無果， 雙方應共同承擔責任。 5.3 服務條款 云云互聯雙方應簽訂具有法律效應的服務條款，應包含以下等內容： a) 云云互聯企業(yè)雙方的服務內容。 b) 云云互聯企業(yè)雙方各自的權利和義務。 c) 涉及用戶數據、用戶隱私數據，需要明確數據的所有權，使用權限。 d) 保密條款，包括用戶數據、用戶隱私數據不允許主動向第三方披露等。 7 T/CHEAA 0001.22019 e) 服務期限和終止，并且終止后雙方對于信息安全的義務。 f) 違約責任和免責條款。 5.3.1 平臺數據所有權說明 a) 個人信息所有權應歸屬于信息所標識的自然人，即使用物聯網服務的實際個人用戶。個 人信息所有者應擁有信息數據的完全訪問和控制權限， 并且有權利要求提供服務的廠商 對其信息數據進行對應的操作。 b) c) 經過匿名化處理后的數據和信息，應歸屬于這些信息的提供者，即提供信息的云平臺主 體。數據歸屬的云平臺應具有對數據的完全訪問和控制權限。 云平臺的用戶數據和歸屬合作平臺的數據，不能執(zhí)行任何未獲授權的使用和披露，但是 以下情形除外：在國家有關機關依法查詢或調閱用戶數據時，平臺具有按照相關法律法 規(guī)或政策文件要求提供配合，并向第三方或者行政、司法等機構披露的義務。 5.3.2 平臺數據使用權限說明 1) 數據的披露 a) 未在雙方書面允許下，不允許向第三方披露。 b) 只允許為提供或改進產品、服務的目的而與第三方共享。 c) 不允許為第三方的銷售目的而與第三方共享數據，更不允許銷售共享數據。 2) 數據的刪除 a) b) c) d) 用戶有權申請刪除其在雙方平臺交互過程中，產生的個人數據。平臺雙方需要在 7 天內 完成數據刪除。 非個人數據，數據歸屬平臺有權利要求共享平臺對數據進行刪除的操作。 所有數據刪除的操作，需要在企業(yè)內部有明確的流程和制度保障。 在服務終止后，必須安全刪除通過云云互聯接口同步過來的用戶數據及用戶隱私數據。 5.4 明確責任部門和人員 a) 應明確各云平臺主要負責人對信息安全負全面領導責任， 包括為信息安全工作提供人力、 財力、物力保障等。 b) 應明確各云平臺對接的安全接口人和備用接口人，及其職責。 5.5 應急響應 a) 各平臺協同診斷，認定安全事件和確認事件的責任方。 b) 事件責任方應根據合作服務條款內的明細，在指定時間內抑制受害范圍并恢復業(yè)務服 務。 c) 事件責任方應負責整個事件調查，包括必要的調查記錄。 5.6 事件通告 a) b) c) d) 8 云云互聯任何一方應有義務和權力向各相關方通告詳細的安全事件原因。 如果因特別重大事件、重大事件或較大事件，而導致對業(yè)務可用性和穩(wěn)定性的影響時間 超過 1 個小時，應按照與各相關方的服務條款進行事件對外的通告。 需要向在有關事件響應的法律、法規(guī)和/或規(guī)章中要求的地方、省、國家有關部門通告。 在牽涉到法律強制的地方，事件責任方負責與法律強制部門的聯絡。 T/CHEAA 0001.22019 5.7 持續(xù)改進 云云互聯各相關方應對重大事件和特別重大事件進行持續(xù)的跟蹤。 責任方應給出相應的 改進措施，并通過管理手段或技術手段真實落地。 9 T/CHEAA 0001.22019 附錄A （規(guī)范性附錄） 對用戶數據和隱私保護的特別要求 A.1 導則 由于云云互聯涉及的業(yè)務場景必然涉及用戶隱私的傳輸，為保護用戶的隱私數據，對信 息收集主體及云云互聯中各關聯廠商（以下簡稱各方）特別提出以下信息安全能力要求。 A.2 數據生產和收集 A.2.1 基本原則 a) b) c) d) e) f) 合法性：對各方的所有行為應進行合法要求，同時，明確對應的法律責任的明確。 用戶授權：應通過有效的渠道獲取信息主體的授權，不允許超過信息主體授權行為以外 的數據收集和操作。 用戶權限保障：各方需要通過技術或管理流程保障用戶的權限能夠得到有效的保障。 數據最小化：各方不應收集、存儲、請求、提供、傳遞與服務無關的數據。 數據分類：應區(qū)分個人數據和平臺信息數據。 匿名化：個人敏感信息在傳遞前應做匿名化處理。 A.2.2 用戶權限 1) 知情權 a) 用戶應能通過隱私條款等方式知悉信息收集主體及其所提供服務的基本信息和數據。 b) 用戶應能通過隱私條款等方式知悉其將被收集到的所有數據及這些數據的全部用途。 c) 用戶應能通過隱私條款等方式知悉其享有的用戶數據保存、訪問、遷移、刪除等權力。 注：隱私條款模板應參考 GB/T 352732017 的附錄 D。 2) 選擇權 當某位用戶不選擇上傳數據或不同意隱私條款時，不應收集該用戶的數據。 3) 處置權 用戶應能通過電郵或聯系客服等方式履行訪問、遷移、刪除等權力。信息收集主體和云 云互聯中各關聯廠商應支持用戶賬號注銷等機制， 某一用戶要求刪