(高清版)GBT 40979-2021 智能家用電器個(gè)人信息保護(hù)要求和測(cè)評(píng)方法

智能家用電器個(gè)人信息保護(hù)要求和測(cè)評(píng)方法2021-11-26發(fā)布2022-06-01實(shí)施國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)前言 I 2規(guī)范性引用文件 3術(shù)語和定義 4概述 34.1智能家電收集個(gè)人信息的方式 34.2智能家電個(gè)人信息流轉(zhuǎn)場(chǎng)景 34.3智能家電軟件操作系統(tǒng)分類 45技術(shù)要求 5.1智能家電個(gè)人信息分類和安全分級(jí) 45.2業(yè)務(wù)流程 65.3個(gè)人信息主體的權(quán)利 6組織管理要求 6.1明確責(zé)任部門與人員 6.2個(gè)人信息安全影響評(píng)估 6.3個(gè)人信息安全事件處置 7測(cè)評(píng)方法 7.1測(cè)評(píng)類型及方法 7.2測(cè)評(píng)方法選擇 附錄A(資料性)智能家電應(yīng)用場(chǎng)景 場(chǎng)景1:App和家電設(shè)備屬同一個(gè)人信息控制者 場(chǎng)景2:App與家電設(shè)備屬不同個(gè)人信息控制者 場(chǎng)景3:不同個(gè)人信息控制者的智能家電通過互聯(lián)網(wǎng)和云平臺(tái)進(jìn)行聯(lián)動(dòng) 附錄B(規(guī)范性)智能家電核心業(yè)務(wù)功能對(duì)應(yīng)的最少信息與約束條件 附錄C(資料性)常見漏洞類型 C.1Web應(yīng)用和服務(wù)中的漏洞 C.2移動(dòng)應(yīng)用和服務(wù)中的漏洞 參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)輕工業(yè)聯(lián)合會(huì)提出。本文件由全國(guó)家用電器標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC46)歸口。本文件起草單位：中國(guó)家用電器研究院、青島海爾科技有限公司、美的集團(tuán)股份有限公司、深圳TCL新技術(shù)有限公司、惠而浦(中國(guó))股份有限公司、合肥榮事達(dá)電子電器集團(tuán)有限公司、中國(guó)信息安全測(cè)評(píng)中心、海信家電集團(tuán)股份有限公司、北京石頭世紀(jì)科技股份有限公司、科沃斯機(jī)器人股份有限公司、珠海格力電器股份有限公司、無錫小天鵝電器有限公司、北京百度網(wǎng)訊科技有限公司、合肥美的電冰箱有限公司、萬源眾享聯(lián)盟科技(北京)有限公司、寧波奧克斯電氣股份有限公司、廣州艾羅伯特機(jī)器人技術(shù)咨詢有限公司、大金(中國(guó))投資有限公司上海分公司、通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)(上海)有限公司、奇安信科技集團(tuán)股份有限公司、中家院(北京)檢測(cè)認(rèn)證有限公司。本文件主要起草人：馬德軍、曲宗峰、李紅偉、閆凌、王淼、徐祥智、劉復(fù)鑫、時(shí)雨、陳勇、1智能家用電器個(gè)人信息保護(hù)要求和測(cè)評(píng)方法本文件規(guī)定了智能家用電器應(yīng)用過程中個(gè)人信息保護(hù)的技術(shù)要求、組織管理要求及測(cè)評(píng)方法。本文件適用于智能家用電器、智能家用電器系統(tǒng)和智能家居應(yīng)用過程中相關(guān)各類組織的個(gè)人信息及個(gè)人信息保護(hù)的組織管理與評(píng)價(jià)。注：本文件中的智能家用電器系統(tǒng)評(píng)測(cè)范圍包括智能家電設(shè)備、App等所有應(yīng)用網(wǎng)絡(luò)技術(shù)的家用電器，相關(guān)設(shè)備操控、數(shù)據(jù)收集、數(shù)據(jù)處理等所有應(yīng)用程序，以及相關(guān)的云平臺(tái)(遠(yuǎn)程服務(wù)平臺(tái))。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T28219—2018智能家用電器通用技術(shù)要求GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T39335—2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南3術(shù)語和定義GB/T28219—2018、GB/T35273—2020中界定的以及下列術(shù)語和定義適用于本文件。應(yīng)用了智能化技術(shù)或具有了智能化能力/功能的家用和類似用途電器。注：智能家用電器可簡(jiǎn)稱為智能家電，也可稱為智慧家電、人工智能家電等。智能家電系統(tǒng)intelligenthouseholdappliancessystem至少由一個(gè)智能家電和其他部件構(gòu)成的家電系統(tǒng)。注：系統(tǒng)除包含智能家電產(chǎn)品與相關(guān)設(shè)備、網(wǎng)絡(luò)通信系統(tǒng)以及相關(guān)服務(wù)平臺(tái)等組成部分外，還包含上述產(chǎn)品、設(shè)備、系統(tǒng)和平臺(tái)的制造商、用戶、服務(wù)提供商等相關(guān)方。建立在住宅基礎(chǔ)上的，基于人們對(duì)家居生活的安全性、實(shí)用性、便捷性、舒適性、環(huán)保節(jié)能等更高的綜合需求，由一個(gè)或一個(gè)以上智能家電系統(tǒng)組成的家居設(shè)施及其管理系統(tǒng)。注：智能家居也可稱為智慧家居、智慧家庭、智能家庭等。2控制端應(yīng)用controlapplication注：本文件簡(jiǎn)稱為App。為智能家電、智能家電系統(tǒng)和智能家居提供服務(wù)的系統(tǒng)。以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。注1:個(gè)人信息包括個(gè)人基本資料(如姓名、出生日期、性別)、個(gè)人教育工作信息、個(gè)人通信信息、個(gè)人身份信息、注2:個(gè)人信息控制者通過個(gè)人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標(biāo)簽，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的，屬于個(gè)人信息。歧視性待遇等的個(gè)人信息。注：個(gè)人敏感信息包括個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息、網(wǎng)絡(luò)身份標(biāo)識(shí)信息、個(gè)人生物性識(shí)別信息、個(gè)人健康生理信個(gè)人信息所標(biāo)識(shí)或者關(guān)聯(lián)的自然人。有能力決定個(gè)人信息處理目的、方式等的組織或個(gè)人。滿足個(gè)人信息主體的具體使用需求的服務(wù)類型。個(gè)人信息主體通過書面、口頭等方式主動(dòng)作出紙質(zhì)或電子形式的聲明，或者自主作出肯定性動(dòng)作，3對(duì)其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為。注2:本文件中的授權(quán)同意均指明示同意。用、行為等方面作出分析或預(yù)測(cè)，形成其個(gè)人特征模型的過程。注：直接使用特定自然人的個(gè)人信息，形成該自然人的特征模型，稱為直接用戶畫像。使用來源于特定自然人以外匿名化anonymization通過對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無法被識(shí)別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原的過程。注：個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息。通過對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識(shí)別或關(guān)聯(lián)個(gè)人信息主體的過程。識(shí)。常用去標(biāo)識(shí)化技術(shù)見GB/T37964—2019附錄A。4概述4.1智能家電收集個(gè)人信息的方式智能家電個(gè)人信息的保護(hù)要求，因智能家電收集個(gè)人信息方式的不同而異。智能家電收集個(gè)人信息的方式，取決于用戶與智能家電交互界面的類型，主要分為以下三種：a)不帶觸摸屏類智能家電：未使用設(shè)備屏端輸入方式，而是通過控制端應(yīng)用或設(shè)備傳感等其他方b)帶觸摸屏類智能家電：通過設(shè)備屏端輸入方式(可以兼具通過控制端應(yīng)用或設(shè)備傳感等其他方c)生物識(shí)別類智能家電：通過人機(jī)語音交互、指紋、人臉、手勢(shì)等生物性識(shí)別的方式(可以兼具通過控制端應(yīng)用、設(shè)備傳感、設(shè)備屏端輸入等其他方式),收集用戶個(gè)人信息，示例：帶語音交互的電冰箱、帶指紋識(shí)別的電坐便器蓋、帶圖像識(shí)別的房間空調(diào)器等。注：智能家電系統(tǒng)使用Cookie等同類技術(shù)(包括腳本、Cli等)收集個(gè)人信息，及通過嵌入第三方代碼、插件等方式將個(gè)人信息傳輸至第三方服務(wù)器，均屬于本文件的范圍。4.2智能家電個(gè)人信息流轉(zhuǎn)場(chǎng)景一般地，家電廠商通過獨(dú)立的控制端應(yīng)用、云平臺(tái)來控制和管理其智能家電，但同一個(gè)家庭可能存4在多個(gè)家電廠商的智能家電，存在不同家電廠商的智能家電或控制端應(yīng)用通過各家電廠商云平臺(tái)間的互聯(lián)互通，來實(shí)現(xiàn)跨家電廠商、跨平臺(tái)的操作及信息交互的場(chǎng)景。智能家電控制與互聯(lián)操作的三種應(yīng)用場(chǎng)景見附錄A。對(duì)應(yīng)地，智能家電個(gè)人信息流轉(zhuǎn)的三種場(chǎng)景如下：a)場(chǎng)景一：App和家電設(shè)備屬同一個(gè)人信息控制者，流轉(zhuǎn)于個(gè)人信息控制者自身的智能家電、App以及云平臺(tái)之間；b)場(chǎng)景二：App與家電設(shè)備屬不同個(gè)人信息控制者，流轉(zhuǎn)于不同個(gè)人信息控制者的智能家電、云平臺(tái)，以及第三方App、云平臺(tái)之間；c)場(chǎng)景三：不同個(gè)人信息控制者的智能家電通過互聯(lián)網(wǎng)和云平臺(tái)進(jìn)行聯(lián)動(dòng)，流轉(zhuǎn)于不同個(gè)人信息控制者的智能家電、云平臺(tái)，以及第三方智能家電、云平臺(tái)之間。4.3智能家電軟件操作系統(tǒng)分類4.3.1單用戶操作系統(tǒng)智能家電的固件的各軟件功能具備有統(tǒng)一的權(quán)限控制，每一個(gè)功能都能使用到系統(tǒng)的全部硬件和軟件資源，如實(shí)時(shí)操作系統(tǒng)(RTOS)。4.3.2多用戶操作系統(tǒng)智能家電的固件的各軟件功能具備有不同類別的訪問權(quán)限，如安卓系統(tǒng)。5技術(shù)要求5.1智能家電個(gè)人信息分類和安全分級(jí)5.1.1智能家電個(gè)人信息分類根據(jù)GB/T35273—2020,結(jié)合智能家電的特點(diǎn)，智能家電個(gè)人信息的分類如表1所示。表1智能家電個(gè)人信息分類個(gè)人信息分類個(gè)人信息內(nèi)容個(gè)人基本資料姓名、生日、性別、民族、國(guó)籍、家庭關(guān)系、住址、電話號(hào)碼、電子郵箱等個(gè)人教育工作信息職業(yè)、職位、工作單位、學(xué)歷、學(xué)位、教育經(jīng)歷、工作經(jīng)歷、培訓(xùn)記錄、成績(jī)單等個(gè)人通信信息通訊錄、好友列表、群列表、電子郵件地址列表等聯(lián)系人信息，通信記錄和內(nèi)容、短信、彩信、電子郵件，以及描述個(gè)人通信的數(shù)據(jù)等個(gè)人位置信息行蹤軌跡、精準(zhǔn)定位信息、住宿信息、經(jīng)緯度等個(gè)人身份信息身份證、護(hù)照、駕駛證、軍官證、工作證、出入證、社?？?、居住證、教師證、學(xué)生證等個(gè)人財(cái)產(chǎn)信息銀行賬號(hào)、鑒別信息(口令)、存款信息(包括資金數(shù)量、支付收款記錄等)、房產(chǎn)信息、信貸記錄、征信信息、交易和消費(fèi)記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財(cái)產(chǎn)信息網(wǎng)絡(luò)身份標(biāo)識(shí)信息系統(tǒng)賬號(hào)、IP地址、郵箱地址及前述有關(guān)的密碼、口令、口令保護(hù)答案、用戶個(gè)人數(shù)字證書等個(gè)人生物性識(shí)別信息基因、指紋、虹膜、聲紋、掌紋、耳廓、鞏膜、靜脈、面部特征等5表1智能家電個(gè)人信息分類(續(xù))個(gè)人信息分類個(gè)人信息內(nèi)容個(gè)人健康生理信息病史等，以及與個(gè)人身體健康狀況相關(guān)的信息，如體重、身高、肺活量、體脂等其他個(gè)人信息可能會(huì)導(dǎo)致歧視、不公正待遇的信息，如：婚史、性生活或性取向、未公開的違法犯罪記錄，以及揭示種族或民族、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員的信息等設(shè)備標(biāo)識(shí)信息唯一標(biāo)識(shí)個(gè)人設(shè)備的信息，如：設(shè)備MAC地址、唯一設(shè)備識(shí)別碼(設(shè)備ID/IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等)、硬件序列號(hào)等，以及軟件列表等描述個(gè)人設(shè)備基本情況的信息智能家電系統(tǒng)采集信息智能家電系統(tǒng)，包括智能家電、控制端應(yīng)用和云平臺(tái)，采集的與用戶設(shè)備或用戶行為有關(guān)的信息。包括但不限于：—設(shè)備運(yùn)行信息，如：開關(guān)機(jī)狀態(tài)、運(yùn)行時(shí)長(zhǎng)、設(shè)備操作數(shù)據(jù)等；—文件信息，如：照片、音頻、視頻、文本等；—日志信息，如：用戶登錄、設(shè)備操作等可以表征用戶行為的信息特定家庭信息用戶畫像信息等而進(jìn)行的自動(dòng)化處理形成的信息5.1.2智能家電個(gè)人敏感信息分類智能家電個(gè)人敏感信息分類如表2所示。表2智能家電個(gè)人敏感信息分類個(gè)人敏感信息分類個(gè)人敏感信息內(nèi)容個(gè)人身份信息身份證、護(hù)照、駕駛證、軍官證、工作證、出入證、社?？?、居住證、教師證、學(xué)生證等個(gè)人財(cái)產(chǎn)信息銀行賬號(hào)、鑒別信息(口令)、存款信息(包括資金數(shù)量、支付收款記錄等)、房產(chǎn)信息、信貸記錄、征信信息、交易和消費(fèi)記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財(cái)產(chǎn)信息網(wǎng)絡(luò)身份標(biāo)識(shí)信息系統(tǒng)賬號(hào)、密碼、口令、口令保護(hù)答案、用戶個(gè)人數(shù)字證書等個(gè)人生物性識(shí)別信息基因、指紋、虹膜、聲紋、掌紋、耳廓、鞏膜、靜脈、面部特征等個(gè)人健康生理信息個(gè)人因病醫(yī)治等產(chǎn)生的相關(guān)記錄，如：病癥、住院志、醫(yī)囑單、檢驗(yàn)報(bào)告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、診治情況、以往病史、家族病史、現(xiàn)病史、傳染病史等其他個(gè)人敏感信息可能會(huì)導(dǎo)致歧視、不公正待遇的信息，如：婚史、性生活或性取向、未公開的違法犯罪記錄，以及揭示種族或民族、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員的信息等以及通信記錄和內(nèi)容、通訊錄、行蹤軌跡、網(wǎng)頁瀏覽記錄、住宿信息、精準(zhǔn)定位信息等65.1.3智能家電個(gè)人信息安全分級(jí)智能家電個(gè)人信息安全分級(jí)如表3所示。表3智能家電個(gè)人信息安全分級(jí)安全級(jí)別劃分標(biāo)準(zhǔn)個(gè)人信息分類個(gè)人信息內(nèi)容極高法律法規(guī)明確禁止或嚴(yán)格控制處理的個(gè)人信息個(gè)人生物性識(shí)別信息同表1個(gè)人健康生理信息表1中個(gè)人因病醫(yī)治等產(chǎn)生的相關(guān)記錄其他個(gè)人敏感信息同表2高存在高安全風(fēng)險(xiǎn)，用戶重要的個(gè)人信息，被篡改或泄露會(huì)造成用戶巨大損失，引起用戶投訴、經(jīng)濟(jì)索賠、用戶流失，對(duì)企業(yè)經(jīng)營(yíng)造成較大影響個(gè)人基本資料表1中姓名、住址、電話號(hào)碼、電子郵箱等可直接識(shí)別到個(gè)人的信息個(gè)人通信信息同表1個(gè)人位置信息個(gè)人身份信息個(gè)人財(cái)產(chǎn)信息網(wǎng)絡(luò)身份標(biāo)識(shí)信息用戶畫像信息智能家電系統(tǒng)采集信息表1中文件信息中存在一定安全風(fēng)險(xiǎn)，用戶一般重要的個(gè)人信息，被篡改或泄露后可能會(huì)使客戶的安全和利益受到損害，以及對(duì)企業(yè)造成一定影響個(gè)人基本資料表1中除姓名、住址、電話號(hào)碼、電子郵箱等以外，無法直接識(shí)別到個(gè)人的信息個(gè)人教育工作信息同表1個(gè)人健康生理信息表1中與個(gè)人身體健康狀況相關(guān)的信息，如體重、身高、肺活量等設(shè)備標(biāo)識(shí)信息同表1特定家庭信息低不存在安全風(fēng)險(xiǎn)或安全風(fēng)險(xiǎn)較低，且沒有對(duì)其提出專門安全要求(如保密性、完整性等),僅能在企業(yè)內(nèi)部或在某一部門內(nèi)部公開，向外擴(kuò)散有可能對(duì)用戶利益造成輕微損害智能家電系統(tǒng)采集信息表1中設(shè)備運(yùn)行信息、日志信息5.2業(yè)務(wù)流程5.2.1個(gè)人信息的收集隱私政策等收集使用規(guī)則的內(nèi)容和發(fā)布智能家電系統(tǒng)收集使用個(gè)人信息，應(yīng)在智能家電、控制端應(yīng)用及相關(guān)的網(wǎng)站或系統(tǒng)端分別制定并公開隱私政策等收集使用規(guī)則。收集使用規(guī)則應(yīng)滿足的要求如下：a)隱私政策等收集使用規(guī)則的內(nèi)容應(yīng)按照GB/T35273—2020中5.5的第a)項(xiàng)規(guī)定的要求；b)在首次注冊(cè)使用智能家電或控制端應(yīng)用(App)前，應(yīng)通過彈窗或鏈接等明顯方式提示用戶閱7讀隱私政策等收集使用規(guī)則；c)隱私政策等收集使用規(guī)則應(yīng)易于訪問，進(jìn)入智能家電或控制端應(yīng)用主功能界面后，不應(yīng)多于4次點(diǎn)擊、滑動(dòng)等操作才能訪問到隱私政策等收集使用規(guī)則；d)用戶同意隱私政策等收集使用規(guī)則前，智能家電或控制端應(yīng)用應(yīng)關(guān)閉對(duì)個(gè)人信息的采集功能；e)隱私政策等收集使用規(guī)則告知的信息應(yīng)真實(shí)、準(zhǔn)確、完整，網(wǎng)站、應(yīng)用程序等收集或使用個(gè)人信息的功能設(shè)計(jì)應(yīng)同隱私政策等收集使用規(guī)則保持一致；f)智能家電或控制端應(yīng)用發(fā)生個(gè)人信息業(yè)務(wù)流程或功能的變化時(shí)，應(yīng)同步更新隱私政策等收集使用規(guī)則，并采用彈窗或鏈接等明顯方式，提醒用戶重新閱讀；g)應(yīng)正確標(biāo)識(shí)隱私政策發(fā)布、生效或更新日期；h)無法通過智能家電本體或控制端應(yīng)用向用戶提供隱私政策內(nèi)容，則應(yīng)在智能家電的包裝、說明書、外殼等明顯位置提示隱私收集政策、規(guī)則及內(nèi)容，從而對(duì)用戶進(jìn)行必要的提醒。對(duì)個(gè)人信息控制者的要求如下：a)智能家電系統(tǒng)所收集的個(gè)人信息均應(yīng)直接關(guān)聯(lián)產(chǎn)品或服務(wù)的業(yè)務(wù)功能，即如果不收集該個(gè)人信息，產(chǎn)品或服務(wù)的業(yè)務(wù)功能則無法實(shí)現(xiàn)；b)智能家電系統(tǒng)所提供的各項(xiàng)功能服務(wù)應(yīng)按照附錄B最小化的收集個(gè)人信息，不應(yīng)捆綁多項(xiàng)業(yè)務(wù)功能收集個(gè)人信息，當(dāng)用戶拒絕或者撤銷某項(xiàng)或某幾項(xiàng)功能服務(wù)時(shí)，不應(yīng)連帶終止用戶其他滿足附錄B中對(duì)應(yīng)條件的功能服務(wù)；c)不應(yīng)僅以改善智能家電或控制端應(yīng)用的程序功能、提升用戶體驗(yàn)、定向推送等為由，以默認(rèn)授權(quán)、功能捆綁等形式強(qiáng)迫、誤導(dǎo)用戶同意收集其個(gè)人信息，對(duì)于確有此類目的的收集，應(yīng)為用戶明確提供同意授權(quán)以及終止授權(quán)的操作選項(xiàng)；d)自動(dòng)收集個(gè)人信息的頻率應(yīng)為所使用業(yè)務(wù)功能所必需的最低頻率，智能家電或控制端應(yīng)用應(yīng)以實(shí)現(xiàn)服務(wù)所必需的最低合理頻率向后臺(tái)服務(wù)器發(fā)送個(gè)人信息；間接收集個(gè)人信息的數(shù)量應(yīng)為所使用業(yè)務(wù)功能所必需的最少數(shù)量，智能家電業(yè)務(wù)功能收集個(gè)人信息對(duì)應(yīng)的約束條件應(yīng)符合附錄B的規(guī)定。對(duì)個(gè)人信息控制者的要求如下：a)收集個(gè)人信息前，應(yīng)通過彈窗或鏈接等方式，征得個(gè)人信息主體的明示同意。明示同意內(nèi)容包括但不限于：1)所提供產(chǎn)品或服務(wù)的各業(yè)務(wù)功能分別收集的個(gè)人信息類型；3)存儲(chǔ)規(guī)則：存儲(chǔ)地域、存儲(chǔ)期限或期限無法提供情形下的確定標(biāo)準(zhǔn)、自身的數(shù)據(jù)安全能力；4)使用規(guī)則：對(duì)外共享、轉(zhuǎn)讓、公開披露等使用情況，對(duì)外提供個(gè)人信息的第三方及安全措施(例如，如何限制第三方對(duì)共享的個(gè)人信息的使用，如何保證第三方數(shù)據(jù)安全能力等);5)存在的用戶畫像及其目的。b)當(dāng)智能家電或控制端應(yīng)用首次申請(qǐng)打開個(gè)人信息相關(guān)權(quán)限或要求用戶輸入個(gè)人敏感信息前，應(yīng)向用戶同步明示其目的并征得用戶的同意。c)對(duì)于生物識(shí)別類智能家電，收集個(gè)人生物性識(shí)別信息的，應(yīng)在首次收集前，向用戶明示其目的并征得用戶的同意。d)對(duì)于使用Cookie等同類技術(shù)(包括腳本、Clickstream、Web信標(biāo)、FlashCookie、內(nèi)嵌Web連接、SDK等)收集個(gè)人信息的，應(yīng)在首次收集前，向用戶明示所收集個(gè)人信息的目的、類型并征8得用戶的同意。e)對(duì)于通過嵌入第三方代碼、插件等方式將個(gè)人信息傳輸至第三方服務(wù)器的，應(yīng)通過彈窗等方式向用戶明示其目的并征得用戶的同意。f)收集年滿14周歲的未成年人的個(gè)人信息前，應(yīng)征得未成年人或監(jiān)護(hù)人的明示同意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意；例如：可在注冊(cè)時(shí)通過勾選的方式確認(rèn)用戶是否年滿14周歲或令用戶輸入出生年月日來判斷。g)智能家電或控制端應(yīng)用新增(更新)業(yè)務(wù)功能時(shí)，不應(yīng)將用戶設(shè)置的權(quán)限恢復(fù)到默認(rèn)狀態(tài)，未經(jīng)用戶同意不應(yīng)私自更改用戶設(shè)置的權(quán)限，收集的個(gè)人信息超出原有同意范圍，超出部分應(yīng)先進(jìn)行明示同意，如用戶不同意收集，不應(yīng)拒絕提供原有業(yè)務(wù)功能。新增業(yè)務(wù)功能取代原有業(yè)務(wù)功能的除外。h)間接收集個(gè)人信息時(shí)，應(yīng)滿足：1)應(yīng)要求個(gè)人信息提供方說明個(gè)人信息來源，并對(duì)其個(gè)人信息來源的合法性進(jìn)行確認(rèn)；2)應(yīng)了解個(gè)人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括使用目的，個(gè)人信息主體是否授權(quán)同意共享、轉(zhuǎn)讓、公開披露等。如果超出該授權(quán)同意范圍，應(yīng)在獲取個(gè)人信息后的合理期限內(nèi)(不超過一個(gè)月)或處理個(gè)人信息前，征得個(gè)人信息主體的明示同意。5.2.2個(gè)人信息的存儲(chǔ)個(gè)人信息存儲(chǔ)地域要求對(duì)個(gè)人信息控制者的要求如下：a)在技術(shù)可行且不影響終端和服務(wù)正常的情況下，智能家電系統(tǒng)宜在用戶智能家電終端或控制應(yīng)用終端中存儲(chǔ)、使用所收集的個(gè)人信息；b)在中華人民共和國(guó)境內(nèi)收集和生產(chǎn)的個(gè)人信息，宜存儲(chǔ)在中華人民共和國(guó)境內(nèi)。個(gè)人信息存儲(chǔ)期限要求對(duì)個(gè)人信息控制者的要求如下：a)個(gè)人信息存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)收集使用目的所需的最短時(shí)間，且不應(yīng)超出收集使用規(guī)則中告知的保存期限，例如使用產(chǎn)品或服務(wù)期間持續(xù)保存。超出上述期限后，應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。b)用戶注銷賬號(hào)后應(yīng)及時(shí)刪除其個(gè)人信息，匿名化處理的除外。個(gè)人信息存儲(chǔ)措施要求對(duì)個(gè)人信息控制者的要求如下：a)收集個(gè)人信息后，應(yīng)按照表3的安全分級(jí)要求采取去標(biāo)識(shí)化等安全措施，確保單憑該個(gè)人信息無法準(zhǔn)確定位到特定個(gè)人。同時(shí)采取管理措施，確保經(jīng)過去標(biāo)識(shí)化處理的個(gè)人信息與可用于恢復(fù)識(shí)別個(gè)人的信息分開保存，在后續(xù)的個(gè)人信息處理過程中也無法再次識(shí)別特定個(gè)人。b)應(yīng)對(duì)存儲(chǔ)個(gè)人信息的文件或系統(tǒng)設(shè)置授權(quán)訪問。c)對(duì)于存儲(chǔ)涉及個(gè)人敏感信息時(shí)(按照表2定義的個(gè)人敏感信息分類),應(yīng)采用加密等安全措施。d)個(gè)人生物性識(shí)別信息應(yīng)與個(gè)人身份信息分開存儲(chǔ)。e)非必要情況下，不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息(如樣本、圖像等),可采取的措施包括但不限于：1)僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息；2)在采集終端中直接使用個(gè)人生物識(shí)別信息實(shí)現(xiàn)身份識(shí)別、認(rèn)證等功能；93)在使用面部識(shí)別特征、指紋、掌紋、虹膜等實(shí)現(xiàn)識(shí)別身份、認(rèn)證等功能后刪除可提取個(gè)人生物識(shí)別信息的原始圖像。5.2.3個(gè)人信息的刪除對(duì)個(gè)人信息控制者的要求如下：a)用戶刪除智能家電或控制應(yīng)用端的個(gè)人信息，或注銷賬號(hào)后，或個(gè)人信息在超過存儲(chǔ)期限后，應(yīng)立即停止智能家電、控制端應(yīng)用與云平臺(tái)對(duì)其個(gè)人信息的使用，并對(duì)其信息進(jìn)行刪除或匿名化處理；b)停止運(yùn)營(yíng)的產(chǎn)品或服務(wù)，應(yīng)停止繼續(xù)收集個(gè)人信息，將停止運(yùn)營(yíng)通知以逐一送達(dá)或公告的形式通知個(gè)人信息主體，并對(duì)持有的信息進(jìn)行刪除或匿名化處理；c)對(duì)智能家電收集、使用等各階段個(gè)人信息的緩存數(shù)據(jù)，應(yīng)提供自動(dòng)刪除或者手動(dòng)刪除功能；d)智能家電或應(yīng)用存儲(chǔ)的個(gè)人信息進(jìn)行刪除后，應(yīng)采取措施防止通過技術(shù)手段恢復(fù)。5.2.4個(gè)人信息的使用個(gè)人信息使用限制對(duì)個(gè)人信息控制者的要求如下：a)使用個(gè)人信息時(shí)，不應(yīng)超出與收集時(shí)告知用戶并獲得授權(quán)同意的范圍。因業(yè)務(wù)需要，確需超出上述范圍使用個(gè)人信息的，應(yīng)再次征得用戶的明示同意。b)應(yīng)對(duì)個(gè)人信息的接觸者設(shè)置相應(yīng)的訪問控制措施，包括：1)應(yīng)按照最小授權(quán)原則，使被授權(quán)人員只能訪問職責(zé)所需的最少夠用的個(gè)人信息，以及具備完成職責(zé)所需的最少數(shù)據(jù)操作權(quán)限；批流程的審批后方可操作；3)因業(yè)務(wù)需要，需授權(quán)特定人員超權(quán)限處理個(gè)人信息的，即特殊訪問權(quán)，其分配和使用應(yīng)由業(yè)務(wù)代表進(jìn)行審批，并記錄在冊(cè)；4)應(yīng)在“一事一議”的基礎(chǔ)上，基于職能角色的最低要求進(jìn)行分配；5)應(yīng)規(guī)定特殊訪問權(quán)到期的要求；6)對(duì)個(gè)人敏感信息的訪問、修改等處理，應(yīng)在對(duì)角色權(quán)限控制的基礎(chǔ)上，采取強(qiáng)認(rèn)證方法，例如雙因素身份認(rèn)證；或根據(jù)業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)，例如因收到客戶投訴，該投訴處理者才可訪問用戶的相關(guān)信息；7)個(gè)人信息控制者在進(jìn)行個(gè)人信息操作時(shí)，應(yīng)啟用日志審計(jì)記錄整個(gè)操作過程，如批量查c)宜對(duì)必需要通過界面(如智能家電顯示屏幕、紙面)展示的個(gè)人信息采取去標(biāo)識(shí)化處理等措施，防止未授權(quán)人員獲取個(gè)人信息。d)除目的必需外，使用個(gè)人信息時(shí)應(yīng)消除身份指向性，避免精確定位到特定個(gè)人。例如，為準(zhǔn)確評(píng)價(jià)個(gè)人信用狀況，可使用直接用戶畫像，而用于推送商業(yè)廣告目的時(shí)，宜使用間接用戶畫像。e)用戶應(yīng)能自主打開或關(guān)閉基于用戶畫像對(duì)用戶進(jìn)行精準(zhǔn)識(shí)別和歸類的個(gè)性化推薦。f)不應(yīng)依據(jù)用戶是否授權(quán)收集個(gè)人信息及授權(quán)范圍，對(duì)用戶采取歧視行為，包括服務(wù)質(zhì)量、價(jià)格差異等。g)對(duì)個(gè)人信息進(jìn)行加工處理時(shí)，應(yīng)保證智能家電系統(tǒng)穩(wěn)定運(yùn)行，不造成個(gè)人信息的損毀、泄露和丟失等，加工過程完畢時(shí)應(yīng)進(jìn)行數(shù)據(jù)完整性和準(zhǔn)確性檢查。個(gè)人信息不應(yīng)進(jìn)行公開披露。經(jīng)法律授權(quán)或具備合理事由確需公開披露時(shí)，應(yīng)充分重視風(fēng)險(xiǎn)，遵守的要求如下：a)事先開展個(gè)人信息風(fēng)險(xiǎn)評(píng)估(見6.2)并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體權(quán)益的措施；b)向個(gè)人信息主體告知公開披露個(gè)人信息的目的、類型，并事先征得個(gè)人信息主體明示同意，與等直接相關(guān)的情形除外；c)公開披露個(gè)人敏感信息前，除b)中告知的內(nèi)容外，還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容；d)準(zhǔn)確記錄和保存?zhèn)€人信息的公開披露的情況，包括公開披露的日期、規(guī)模、目的、公開范圍等；e)承擔(dān)因公開披露個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任；f)不應(yīng)公開披露個(gè)人生物識(shí)別信息和疾病等個(gè)人生理信息；g)不應(yīng)公開披露個(gè)人信息主體的種族、民族、政治觀點(diǎn)、宗教信仰等敏感數(shù)據(jù)分析結(jié)果。對(duì)于智能家電個(gè)人信息流轉(zhuǎn)于第三方App或云平臺(tái)的場(chǎng)景，應(yīng)充分重視風(fēng)險(xiǎn)，遵守的要求如下。a)共享和轉(zhuǎn)讓行為應(yīng)經(jīng)過合法性、必要性評(píng)估，必要性還應(yīng)基于最少夠用的原則，對(duì)于本地加工處理能滿足功能需求的個(gè)人信息，不需要進(jìn)行數(shù)據(jù)的傳輸轉(zhuǎn)移。b)事先開展個(gè)人信息風(fēng)險(xiǎn)評(píng)估，應(yīng)對(duì)個(gè)人信息接收者的數(shù)據(jù)安全能力進(jìn)行評(píng)估，確保個(gè)人信息接收者具備足夠的數(shù)據(jù)安全能力，并按照評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施。c)在共享、轉(zhuǎn)讓前應(yīng)向個(gè)人信息主體告知共享、轉(zhuǎn)讓個(gè)人信息的目的、數(shù)據(jù)接收者的類型等信息，并事先征得個(gè)人信息主體的授權(quán)同意。共享、轉(zhuǎn)讓經(jīng)去標(biāo)識(shí)化處理的個(gè)人信息，且確保個(gè)人信息接收者無法重新識(shí)別個(gè)人信息主體的除外。d)共享、轉(zhuǎn)讓個(gè)人敏感信息前，除c)中告知的內(nèi)容外，還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的類型、個(gè)人信息接收者的身份和數(shù)據(jù)安全能力，并事先征得個(gè)人信息主體的明示同意。e)準(zhǔn)確記錄和保存?zhèn)€人信息共享、轉(zhuǎn)讓的情況，將共享、轉(zhuǎn)讓的日期、規(guī)模、目的和數(shù)據(jù)接收者的基本情況在內(nèi)的信息進(jìn)行登記。f)在共享、轉(zhuǎn)讓后應(yīng)了解接收者對(duì)個(gè)人信息的保存、使用情況和個(gè)人信息主體的權(quán)利，例如訪問、g)當(dāng)個(gè)人信息控制者或處理者發(fā)生收購、兼并、重組、破產(chǎn)等變更時(shí)，應(yīng)向個(gè)人信息主體告知有關(guān)情況，并繼續(xù)履行原個(gè)人信息控制者或處理者的責(zé)任和義務(wù)，如變更個(gè)人信息使用目的時(shí)，應(yīng)重新取得個(gè)人信息主體的明示同意。h)當(dāng)個(gè)人信息控制者與第三方聯(lián)合確定個(gè)人信息處理的目的與方法時(shí)，為共同控制者，例如服務(wù)平臺(tái)與平臺(tái)上的簽約商家。個(gè)人信息控制者應(yīng)：1)通過合同等形式與第三方共同確定應(yīng)滿足的個(gè)人信息安全要求，及在個(gè)人信息安全方面分別應(yīng)承擔(dān)的責(zé)任和義務(wù)；2)通過隱私政策、用戶協(xié)議、產(chǎn)品說明等顯著且可證明的方式向個(gè)人信息主體告知；3)共同控制者的任一方都有義務(wù)響應(yīng)個(gè)人信息主體權(quán)利的請(qǐng)求。注：個(gè)人信息控制者在提供產(chǎn)品或服務(wù)的過程中部署了收集個(gè)人信息的第三方插件(例如網(wǎng)站經(jīng)營(yíng)者與在其網(wǎng)頁或應(yīng)用程序中部署統(tǒng)計(jì)分析工具、軟件開發(fā)工具包SDK、調(diào)用API接口),且該第三方并未單獨(dú)向個(gè)人信息主體征得收集、使用個(gè)人信息的授權(quán)同意，則個(gè)人信息控制者與該第三方為共同控制者。i)承擔(dān)因共享、轉(zhuǎn)讓個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任。例如，接入平臺(tái)的第三方應(yīng)用，發(fā)生數(shù)據(jù)安全事件對(duì)用戶造成損失的，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)承擔(dān)部分或全部責(zé)任，除非網(wǎng)絡(luò)運(yùn)營(yíng)者能夠證明無過錯(cuò)。個(gè)人信息第三方委托處理對(duì)個(gè)人信息控制者的要求如下：a)在對(duì)個(gè)人信息委托處理時(shí)，不應(yīng)超出用戶授權(quán)同意的范圍；b)在對(duì)個(gè)人信息委托處理時(shí)，應(yīng)對(duì)委托行為進(jìn)行個(gè)人信息風(fēng)險(xiǎn)評(píng)估，確保受托方具備足夠的數(shù)據(jù)安全能力，提供了足夠的安全保護(hù)水平；c)在對(duì)個(gè)人信息委托處理時(shí)，應(yīng)簽訂相關(guān)協(xié)議要求受托方符合本文件；d)應(yīng)確保受托方對(duì)個(gè)人信息的相關(guān)數(shù)據(jù)處理完成之后，對(duì)存儲(chǔ)的個(gè)人信息進(jìn)行刪除；e)準(zhǔn)確記錄和保存?zhèn)€人信息委托處理的情況。對(duì)受托方的要求如下：a)嚴(yán)格按照控制者的要求處理個(gè)人信息，如因特殊原因未按照控制者的要求處理個(gè)人信息，應(yīng)及時(shí)向控制者反饋；b)如確需再次委托時(shí)，應(yīng)事先征得控制者的授權(quán)；c)協(xié)助控制者響應(yīng)個(gè)人信息主體基于5.3提出的合理請(qǐng)求；d)在處理個(gè)人信息過程中無法提供足夠的安全保護(hù)水平或發(fā)生了安全事件，應(yīng)及時(shí)向控制者反饋；e)委托關(guān)系解除時(shí)不再保存?zhèn)€人信息。在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息，如需出境應(yīng)遵循中華人民共和國(guó)個(gè)人信息出境安全相關(guān)法律法規(guī)。處理個(gè)人信息的智能家電系統(tǒng)還應(yīng)滿足的網(wǎng)絡(luò)安全要求如下：a)智能家電個(gè)人信息處理系統(tǒng)的安全技術(shù)措施應(yīng)依據(jù)不同業(yè)務(wù)類型，滿足對(duì)應(yīng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止個(gè)人信息泄露或者被竊取、篡改；b)應(yīng)采取校驗(yàn)技術(shù)或密碼技術(shù)保證個(gè)人信息在傳輸和存儲(chǔ)過程中的完整性；c)應(yīng)采用密碼技術(shù)保證個(gè)人信息在傳輸和存儲(chǔ)過程中的保密性；d)應(yīng)確保調(diào)試接口不外露，調(diào)試命令的輸入通過鑒權(quán)才能開啟。網(wǎng)絡(luò)調(diào)試接口應(yīng)經(jīng)過用戶手動(dòng)授權(quán)后才能打開，防止通過通用調(diào)試工具或方法獲取個(gè)人信息存儲(chǔ)包；e)智能家電、控制端應(yīng)用、云平臺(tái)其中任意兩方在建立連接之前，應(yīng)進(jìn)行雙向身份驗(yàn)證；f)智能家電軟件系統(tǒng)有管理員用戶分級(jí)時(shí)，涉及個(gè)人信息的權(quán)限分配，應(yīng)符合中b)的要求；g)智能家電在多用戶操作系統(tǒng)中，不應(yīng)給予root級(jí)別的權(quán)限；h)具備有遠(yuǎn)程調(diào)試或管理等進(jìn)行用戶體驗(yàn)改善行為功能的智能家電，使用該功能應(yīng)由用戶主動(dòng)發(fā)起或用戶授權(quán)同意，使用過程中應(yīng)加密傳輸，使用結(jié)束后，應(yīng)刪除服務(wù)端的記錄和用戶信息或做脫敏處理；i)智能家電在日志和調(diào)試信息中不應(yīng)打印除設(shè)備標(biāo)識(shí)信息、運(yùn)行狀態(tài)信息以外的個(gè)人信息；j)通過藍(lán)牙連接設(shè)備前，應(yīng)進(jìn)行雙向身份認(rèn)證。5.3個(gè)人信息主體的權(quán)利5.3.1個(gè)人信息訪問應(yīng)為個(gè)人信息主體提供查詢其個(gè)人信息的權(quán)利如下：a)其所持有的關(guān)于該主體的個(gè)人信息或類型；b)上述個(gè)人信息的來源、使用目的；c)已獲得上述個(gè)人信息的第三方身份或類型。5.3.2個(gè)人信息更正應(yīng)為個(gè)人信息主體提供更正其個(gè)人信息的權(quán)利如下：a)可產(chǎn)品內(nèi)自行更正，或通過反饋與報(bào)錯(cuò)等提交申請(qǐng)；b)將更正信息告知已經(jīng)被披露給的每個(gè)接收者，除非此類告知是不可能的或者需要付出不相稱的工作。應(yīng)為個(gè)人信息主體提供刪除其個(gè)人信息的權(quán)利如下：a)對(duì)于存儲(chǔ)個(gè)人信息的智能家電，用戶可通過隱私政策、用戶協(xié)議或產(chǎn)品說明等方式得知?jiǎng)h除智能家電內(nèi)個(gè)人信息的途徑；b)用戶可通過產(chǎn)品內(nèi)提供的功能自行刪除設(shè)備所收集的個(gè)人信息，或通過提交申請(qǐng)進(jìn)行刪除；c)如有違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息時(shí)，個(gè)人信息主體要求刪除的，應(yīng)及時(shí)刪除，并通知已經(jīng)披露給的第三方及時(shí)刪除。5.3.4個(gè)人信息主體注銷賬戶應(yīng)為個(gè)人信息主體提供注銷賬戶的權(quán)利如下：a)提供注銷賬號(hào)的方法，且易于操作；b)注銷前驗(yàn)證用戶身份；c)不同意用戶注銷需明確不同意注銷申請(qǐng)的條件，例如：存在用戶未支付訂單的情況；d)個(gè)人信息主體注銷賬號(hào)后，應(yīng)刪除或匿名化處理其個(gè)人信息。5.3.5個(gè)人信息主體撤回授權(quán)同意應(yīng)為個(gè)人信息主體提供撤回授權(quán)同意的權(quán)利如下：a)提供隨時(shí)撤回授權(quán)同意的途徑；b)撤回授權(quán)同意應(yīng)與作出授權(quán)同意同等容易；c)用戶撤回授權(quán)同意后，應(yīng)停止對(duì)其個(gè)人信息的收集；已經(jīng)收集的個(gè)人信息，應(yīng)進(jìn)行匿名化處理或刪除。應(yīng)為個(gè)人信息主體提供請(qǐng)求行使數(shù)據(jù)可攜權(quán)的方法。即在技術(shù)可行的前提下，允許個(gè)人信息主體以結(jié)構(gòu)化、通用化和機(jī)器可讀的格式獲取其個(gè)人信息副本，以及控制者將個(gè)人信息主體的個(gè)人信息副本直接傳輸給個(gè)人信息主體指定的第三方?？蓴y的數(shù)據(jù)類型為通過自動(dòng)化方式收集處理的個(gè)人信息。數(shù)據(jù)可攜權(quán)的范圍如下：a)個(gè)人信息主體主動(dòng)提供的個(gè)人信息，如通過網(wǎng)上表格填寫的賬戶信息(包括賬戶、郵箱地址、年齡)等由數(shù)據(jù)主體填寫、提交的信息；b)主體通過使用服務(wù)或者設(shè)備所提供的采集信息，如個(gè)人活動(dòng)日志、搜索歷史記錄、交通和位置信息、可穿戴設(shè)備記錄的心跳數(shù)據(jù)等；c)不包括對(duì)個(gè)人信息主體的行為進(jìn)行事后分析而獲得的個(gè)人信息，例如通過個(gè)性化或推薦性處理、通過用戶分類或用戶畫像等；d)不包括通過紙質(zhì)形式收集的個(gè)人信息。5.3.7個(gè)人信息自動(dòng)化決策完全依靠自動(dòng)化處理的用戶畫像技術(shù)應(yīng)用于精準(zhǔn)營(yíng)銷、搜索結(jié)果排序、個(gè)性化推送新聞、定向投放廣告等增值應(yīng)用的要求如下：a)應(yīng)以明顯方式標(biāo)明“定推”等字樣，并為用戶提供停止接收定向推送信息的功能，以確保用戶有反對(duì)或者拒絕的權(quán)利；b)用戶選擇停止接收定向推送信息時(shí)，個(gè)人信息控制者應(yīng)當(dāng)停止推送，并可由用戶決定是否對(duì)已經(jīng)收集的設(shè)備識(shí)別碼等用戶數(shù)據(jù)和個(gè)人信息進(jìn)行刪除或匿名化處理。5.3.8響應(yīng)個(gè)人信息主體的請(qǐng)求對(duì)個(gè)人信息控制者的要求包括如下。a)如果是直接從個(gè)人信息主體處收集個(gè)人信息的，應(yīng)在收集時(shí)，將5.3.1至5.3.7所述權(quán)利的存在告知個(gè)人信息主體；如果是間接收集個(gè)人信息主體的個(gè)人信息的，應(yīng)在獲得數(shù)據(jù)后的合理時(shí)間內(nèi)(不超過一個(gè)月)與個(gè)人信息主體進(jìn)行首次溝通或向第三方披露時(shí)，將上述權(quán)利的存在告知個(gè)人信息主體。b)對(duì)于5.3.1至5.3.7所述權(quán)利提供的在線操作、客服電話、電子郵件等途徑，個(gè)人信息主體進(jìn)行相關(guān)操作后，個(gè)人信息控制者應(yīng)在合理時(shí)間和代價(jià)范圍內(nèi)響應(yīng)，并在承諾時(shí)限內(nèi)(無承諾時(shí)限的，以15個(gè)工作日為限)完成核查和處理。c)以下情況可不響應(yīng)個(gè)人信息主體基于5.3.1至5.3.7提出的請(qǐng)求：1)與國(guó)家安全、國(guó)防安全直接相關(guān)的；2)與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的；3)與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的；4)有充分證據(jù)表明個(gè)人信息主體存在主觀惡意或?yàn)E用權(quán)利的；5)響應(yīng)個(gè)人信息主體的請(qǐng)求將導(dǎo)致個(gè)人信息主體或其他個(gè)人、組織的合法權(quán)益受到嚴(yán)重?fù)p害的；6)涉及商業(yè)秘密的。6組織管理要求6.1明確責(zé)任部門與人員明確責(zé)任部門與人員要求，應(yīng)遵守GB/T35273—2020中11.1規(guī)定的要求。6.2個(gè)人信息安全影響評(píng)估個(gè)人信息安全影響評(píng)估要求，應(yīng)遵守GB/T39335—2020中規(guī)定的要求。6.3個(gè)人信息安全事件處置個(gè)人信息安全事件處置要求，應(yīng)遵守GB/T35273—2020中第10章規(guī)定的要求。7測(cè)評(píng)方法7.1測(cè)評(píng)類型及方法7.1.1文檔審查有關(guān)個(gè)人信息數(shù)據(jù)收集、處理和管理的文檔，包括系統(tǒng)功能說明、隱私政策、審批流程、個(gè)人信息安全事件記錄、特殊訪問記錄等文檔。有關(guān)個(gè)人信息數(shù)據(jù)收集、處理和管理的文檔應(yīng)滿足的要求包括但不限于：a)完備性要求如下：1)個(gè)人信息收集的目的；2)家電用戶有可能看到的有關(guān)個(gè)人信息處理的各種明示警示信息；3)個(gè)人信息數(shù)據(jù)的流轉(zhuǎn)過程說明；4)有關(guān)個(gè)人信息收集、處理和管理的系統(tǒng)功能說明；5)全部個(gè)人信息訪問入口及權(quán)限；6)如必要，給出個(gè)人信息的加密處理辦法；7)如必要，給出個(gè)人信息管理辦法。b)正確性要求如下：1)文檔中的所有信息都符合第5章、第6章對(duì)應(yīng)要求；2)文檔不應(yīng)有歧義的信息。c)一致性要求如下：各文檔中的內(nèi)容不應(yīng)自相矛盾、互相矛盾以及與產(chǎn)品說明矛盾。d)易理解性要求如下：用戶文檔應(yīng)使用對(duì)于其讀者可理解的術(shù)語和文體，應(yīng)通過經(jīng)過編排的文檔清單，為用戶理解文檔提供便利。審查與個(gè)人信息收集、處理相關(guān)的代碼，包括位于智能家電內(nèi)部軟件控制器中的代碼、智能家電配套App軟件代碼及遠(yuǎn)程服務(wù)平臺(tái)軟件代碼。代碼審查前，應(yīng)保證滿足的條件如下：a)代碼無錯(cuò)誤的通過編譯；b)獲得被測(cè)代碼有關(guān)的文檔。依據(jù)軟件相關(guān)文檔，通過使用軟件工具和人工分析相結(jié)合的方式對(duì)源程序進(jìn)行代碼審查，代碼應(yīng)與文檔中規(guī)定的功能一致。7.1.3設(shè)備功能及安全測(cè)試主要測(cè)試控制端應(yīng)用以及設(shè)備本體中與個(gè)人信息相關(guān)的功能安全模塊。設(shè)備功能性方面包括：設(shè)備主要功能、界面內(nèi)容、隱私政策等。設(shè)備安全性方面包括：固件安全、權(quán)限限制、密鑰復(fù)雜度等。智能家電、智能家電系統(tǒng)和智能家居整個(gè)系統(tǒng)的功能性及安全性應(yīng)符合第5章中的要求。使用漏洞掃描測(cè)試工具，掃描可能會(huì)影響個(gè)人信息安全的Web應(yīng)用和服務(wù)中存在的漏洞。常見的漏洞類型見附錄C。7.1.5通信保護(hù)測(cè)試主要測(cè)試與個(gè)人信息相關(guān)的網(wǎng)絡(luò)傳輸數(shù)據(jù)。依據(jù)第5章的要求，可采用網(wǎng)絡(luò)抓包、終端網(wǎng)絡(luò)抓包、嗅探等測(cè)試方法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行抓包，分析是進(jìn)一步分析，查看里面是否攜帶個(gè)人信息，個(gè)人敏感信息?？墒褂镁W(wǎng)絡(luò)上通用的字典，對(duì)加密包進(jìn)行字典攻擊后，分析其中是否攜帶個(gè)人敏感信息。核查對(duì)象主要包括的內(nèi)容如下：a)人員核查包括但不限于：人員職責(zé)劃分、權(quán)限分配等；b)行為核查包括但不限于：定期開展安全影響評(píng)估、了解信息提供方的情況等；c)數(shù)據(jù)核查包括但不限于：對(duì)于個(gè)人敏感數(shù)據(jù)的收集、刪除、去標(biāo)識(shí)化、匿名化等。核查內(nèi)容及要求：依據(jù)第5章、第6章的要求，根據(jù)實(shí)際情況，現(xiàn)場(chǎng)通過考核抽查等形式，對(duì)于被測(cè)評(píng)方進(jìn)行實(shí)地考察，主要目的就是通過對(duì)被測(cè)評(píng)方進(jìn)行現(xiàn)場(chǎng)實(shí)地考察，驗(yàn)證被測(cè)評(píng)方的實(shí)際執(zhí)行情況，從而來評(píng)價(jià)該環(huán)境管理體系運(yùn)行的有效性，判別被測(cè)評(píng)方建立的環(huán)境管理體系符合標(biāo)準(zhǔn)要求。依照考核實(shí)際情況與標(biāo)準(zhǔn)所要求是否相符合。7.2測(cè)評(píng)方法選擇智能家電個(gè)人信息保護(hù)的測(cè)評(píng)對(duì)象是智能家電產(chǎn)品端、控制端(App)、遠(yuǎn)程服務(wù)平臺(tái)等多個(gè)對(duì)象所測(cè)試類型見表4。表4測(cè)評(píng)項(xiàng)目與測(cè)試類型對(duì)應(yīng)關(guān)系表要求條款測(cè)評(píng)項(xiàng)目文檔審查代碼審查設(shè)備功能及安全測(cè)試漏洞掃描通信保護(hù)測(cè)試現(xiàn)場(chǎng)核查隱私政策等收集使用規(guī)則的內(nèi)容和發(fā)布√√收集的最小化要求√√收集的授權(quán)同意要求√√個(gè)人信息存儲(chǔ)地域要求√個(gè)人信息存儲(chǔ)期限要求√個(gè)人信息存儲(chǔ)措施要求√√√5.2.3個(gè)人信息的刪除√個(gè)人信息使用限制√√√√個(gè)人信息公開披露√√個(gè)人信息共享、轉(zhuǎn)讓√√√個(gè)人信息第三方委托處理√√個(gè)人信息跨境傳輸√√5.2.5網(wǎng)絡(luò)安全要求√√√√√√5.3.1個(gè)人信息訪問√√5.3.2個(gè)人信息更正√5.3.3個(gè)人信息刪除√√√5.3.4個(gè)人信息主體注銷賬戶√√5.3.5個(gè)人信息主體撤回授權(quán)同意√√5.3.6個(gè)人信息可攜√5.3.7個(gè)人信息自動(dòng)化決策√√5.3.8響應(yīng)個(gè)人信息主體的請(qǐng)求√√明確責(zé)任部門與人員√√個(gè)人信息安全影響評(píng)估√√個(gè)人信息安全事件處置√√(資料性)智能家電應(yīng)用場(chǎng)景本附錄給出了實(shí)現(xiàn)智能家電控制與互聯(lián)互通的三種應(yīng)用場(chǎng)景，其中控制者指?jìng)€(gè)人信息控制者。在實(shí)際業(yè)務(wù)邏輯中，可能同時(shí)存在下述多個(gè)場(chǎng)景。場(chǎng)景1:App和家電設(shè)備屬同一個(gè)人信息控制者A控制者家電設(shè)備與A控制者App,通過與A控制者云平臺(tái)的連接，將App的控制命令傳遞給云平臺(tái)，實(shí)現(xiàn)App對(duì)智能家電的控制，云平臺(tái)對(duì)智能家電的管理；App也可以不經(jīng)過云平臺(tái)，直接與家電設(shè)備相連，實(shí)現(xiàn)對(duì)智能家電的控制。如圖A.1所示。A控制者云平臺(tái)個(gè)刀設(shè)備狀態(tài)控制命令設(shè)備狀態(tài)控制命令設(shè)備狀態(tài)控制命令A(yù)A控制者AA控制者AppAA控制者家電設(shè)備圖A.1A控制者App控制A控制者的家電設(shè)備場(chǎng)景2:App與家電設(shè)備屬不同個(gè)人信息控制者由于B控制者App只能連接到B控制者云平臺(tái)，B控制者云平臺(tái)不能直接管理A控制者家電設(shè)備，所以B控制者云平臺(tái)需與A控制者云平臺(tái)對(duì)接，才能把B控制者App的控制命令傳遞給A控制者云平臺(tái)，從而實(shí)現(xiàn)B控制者App對(duì)A控制者智能家電的遠(yuǎn)程控制。如圖A.2所示。A控制者云平臺(tái)與B控制者云平臺(tái)也可通過第三方云平臺(tái)間接進(jìn)行互聯(lián)。B控制者App控制命令設(shè)備狀態(tài)控制命令A(yù)控制者云平臺(tái)B控制者云平臺(tái)>設(shè)備狀態(tài)控制命令設(shè)備狀態(tài)A控制者家電設(shè)備圖A.2B控制者App遠(yuǎn)程控制A控制者的家電設(shè)備場(chǎng)景3:不同個(gè)人信息控制者的智能家電通過互聯(lián)網(wǎng)和云平臺(tái)進(jìn)行聯(lián)動(dòng)B控制者云平臺(tái)與A控制者云平臺(tái)對(duì)接，或B控制者云平臺(tái)直接控制A控制者家電設(shè)備，家電設(shè)備聯(lián)動(dòng)的業(yè)務(wù)邏輯放置在B控制者云平臺(tái)內(nèi)。當(dāng)B控制者家電設(shè)備狀態(tài)改變時(shí)，B控制者根據(jù)設(shè)備聯(lián)動(dòng)的業(yè)務(wù)邏輯控制A控制者的家電設(shè)備。如圖A.3所示。A控制者云平臺(tái)與B控制者云平臺(tái)也可通過第三方云平臺(tái)間接進(jìn)行互聯(lián)。BB控制者家電設(shè)備路徑1設(shè)備狀態(tài)控制命令(或設(shè)備狀態(tài))設(shè)備狀態(tài)7控制命令設(shè)備狀態(tài)路徑2設(shè)備狀態(tài)么A控制者家電設(shè)備A控制者云平臺(tái)圖A.3不同控制者的智能家電通過互聯(lián)網(wǎng)和云平臺(tái)進(jìn)行聯(lián)動(dòng)(規(guī)范性)智能家電核心業(yè)務(wù)功能對(duì)應(yīng)的最少信息與約束條件本附錄規(guī)定了用戶注冊(cè)及登錄、設(shè)備控制、智慧場(chǎng)景、網(wǎng)上商城、售后服務(wù)等常用核心業(yè)務(wù)功能可收集的最少信息與約束條件，見表B.1。表B.1常用核心業(yè)務(wù)功能可收集的最少信息與約束條件常用核心業(yè)務(wù)功能最少個(gè)人信息約束條件用戶注冊(cè)及登錄用戶賬號(hào)密碼網(wǎng)絡(luò)日志用戶注冊(cè)及登錄時(shí)設(shè)備控制通用用戶賬號(hào)用戶登錄/出時(shí)設(shè)備運(yùn)行信息(運(yùn)行時(shí)長(zhǎng)、運(yùn)行狀態(tài)等)網(wǎng)絡(luò)日志用戶交互時(shí)攝像頭類僅與所需數(shù)據(jù)相關(guān)的最少信息。例如：——功能型家電：冰箱、烤箱等產(chǎn)品內(nèi)置攝像頭僅采集食材信息；掃地機(jī)器人攝像頭僅收集環(huán)境模型或?qū)τ脩粜畔⑦M(jìn)行過濾；空調(diào)攝像頭僅收集用戶活動(dòng)狀態(tài)信息。——內(nèi)容型家電：電視攝像頭、門鎖攝像頭等應(yīng)限制拍攝角度。網(wǎng)絡(luò)日志功能開啟時(shí)語音類語音交互內(nèi)容網(wǎng)絡(luò)日志成功喚醒后的一定時(shí)間內(nèi)智慧場(chǎng)景食譜推薦/家人健康用戶賬號(hào)用戶登錄/出時(shí)身高體重BMI指數(shù)肥胖度基礎(chǔ)代謝網(wǎng)絡(luò)日志用戶填寫時(shí)離家/回家用戶賬號(hào)用戶登錄/出時(shí)出門時(shí)間到家時(shí)間網(wǎng)絡(luò)日志用戶填寫時(shí)就寢/起床用戶賬號(hào)用戶登錄/出時(shí)睡覺時(shí)間起床時(shí)間網(wǎng)絡(luò)日志用戶填寫時(shí)常用核心業(yè)務(wù)功能最少個(gè)人信息約束條件網(wǎng)上商城姓名手機(jī)號(hào)碼收貨地址網(wǎng)絡(luò)日志用戶填寫時(shí)售后服務(wù)姓名手機(jī)號(hào)碼收貨地址網(wǎng)絡(luò)日志用戶填寫時(shí)天氣服務(wù)粗略地理位置信息網(wǎng)絡(luò)日志每次打開App時(shí)(資料性)常見漏洞類型C.1Web應(yīng)用和服務(wù)中的漏洞常見的可能影響個(gè)人信息安全的Web應(yīng)用和服務(wù)中存在的漏洞如下：——數(shù)據(jù)注入和操縱攻擊；——跨站腳本攻擊(XSS攻擊),包括反射型和持久型XSS攻擊；——跨站請(qǐng)求偽造；——SQL注入；——緩沖器溢出；——整數(shù)溢出