GB/T 40979-2021 智能家用电器个人信息保护要求和测评方法

　　ICS 97 . 030 CCS Y 60

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 40979—2021

　　智能家用电器

　　个人信息保护要求和测评方法

　　personalinformationprotectionrequirementsandtest

　　methodsforintelligenthouseholdappliances

　　2021-1 1-26 发布 2022-06-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 40979—202 1

　　GB/T 40979—202 1

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定起草。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。

　　本文件由中国轻工业联合会提出。

　　本文件由全国家用电器标准化技术委员会(SAC/TC 46)归口 。

　　本文件起草单位：中国家用电器研究院、青岛海尔科技有限公司、美的集团股份有限公司、深圳TCL新技术有限公司、惠而浦(中国)股份有限公司、合肥荣事达电子电器集团有限公司、中国信息安全测评中心、海信家电集团股份有限公司、北京石头世纪科技股份有限公司、科沃斯机器人股份有限公司、珠海格力电器股份有限公司、无锡小天鹅电器有限公司、北京百度网讯科技有限公司、合肥美的电冰箱有限公司、万源众享联盟科技(北京)有限公司、宁波奥克斯电气股份有限公司、广州艾罗伯特机器人技术咨询有限公司、大金(中国)投资有限公司上海分公司、通标标准技术服务(上海)有限公司、奇安信科技集团股份有限公司、中家院(北京)检测认证有限公司。

　　本文件主要起草人：马德军、曲宗峰、李红伟、闫凌、王淼、徐祥智、刘复鑫、时雨、陈勇、黄育楷、陈坚波、沈睿、高翔、范凌云、张利、赵鹏、祖岩岩、林舜大、陈冬青、李后上、吴月升、陈仙铜、李一、杜文超、高宇昊、杨文靖、孙威威、刘宇馨、赵燕伟、马晓玉。

　　GB/T 40979—202 1

　　智能家用电器

　　个人信息保护要求和测评方法

　　1 范围

　　本文件规定了智能家用电器应用过程中个人信息保护的技术要求、组织管理要求及测评方法。

　　本文件适用于智能家用电器、智能家用电器系统和智能家居应用过程中相关各类组织的个人信息处理活动，包括个人信息收集、存储、使用(公开披露、共享与转让、委托处理及跨境传输)等业务流程，以及个人信息保护的组织管理与评价。

　　注：本文件中的智能家用电器系统评测范围包括智能家电设备、App等所有应用网络技术的家用电器，相关设备操控、数据收集、数据处理等所有应用程序，以及相关的云平台(远程服务平台)。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注 日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　3 术语和定义

　　GB/T 28219—2018、GB/T 35273—2020 中界定的以及下列术语和定义适用于本文件。

　　3.1

　　智能家用电器 intelligenthouseholdappliances

　　应用了智能化技术或具有了智能化能力/功能的家用和类似用途电器。

　　注：智能家用电器可简称为智能家电，也可称为智慧家电、人工智能家电等。

　　[来源：GB/T 28219—2018,3 . 8]

　　3.2

　　智能家电系统 intelligenthouseholdappliancessystem

　　至少由一个智能家电和其他部件构成的家电系统。

　　注：系统除包含智能家电产品与相关设备、网络通信系统以及相关服务平台等组成部分外，还包含上述产品、设备、系统和平台的制造商、用户、服务提供商等相关方。

　　[来源：GB/T 28219—2018,3 . 9,有修改]

　　3.3

　　智能家居 intelligenthome

　　建立在住宅基础上的，基于人们对家居生活的安全性、实用性、便捷性、舒适性、环保节能等更高的综合需求，由一个或一个以上智能家电系统组成的家居设施及其管理系统。

　　注：智能家居也可称为智慧家居、智慧家庭、智能家庭等。

　　GB/T 40979—202 1

　　[来源：GB/T 28219—2018,3 . 10]

　　3.4

　　控制端应用 controlapplication

　　由用户操作，与网络服务连接，能对智能家电进行远程操作的应用程序。

　　注：本文件简称为 App。

　　3.5

　　服务平台 serviceplatform

　　为智能家电、智能家电系统和智能家居提供服务的系统。

　　注：服务平台也可称为应用服务平台、云服务平台、云平台等。

　　[来源：GB/T 28219—2018,3 . 12,有修改]。

　　3.6

　　个人信息 personalinformation

　　以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

　　注 1 ：个人信息包括个人基本资料(如姓名、出生 日期、性别)、个人教育工作信息、个人通信信息、个人身份信息、个人财产信息、网络身份标识信息、个人健康生理信息、个人生物性识别信息、设备标识信息、智能家电系统采集信息、特定家庭信息、用户画像信息等。 具体分类和内容见 5 . 1 . 1 。

　　注 2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。

　　[来源：GB/T 35273—2020,3 . 1,有修改]

　　3.7

　　个人敏感信息 personalsensitiveinformation

　　一旦泄露、非法提供或滥用，可能危害人身或财产安全，极易导致个人名誉、身心健康等受到损害或歧视性待遇等的个人信息。

　　注：个人敏感信息包括个人身份信息、个人财产信息、网络身份标识信息、个人生物性识别信息、个人健康生理信息、其他个人敏感信息等。 具体分类和内容见 5 . 1 . 2 。

　　[来源：GB/T 35273—2020,3 . 2,有修改]

　　3.8

　　个人信息主体 personalinformationsubject

　　个人信息所标识或者关联的自然人。

　　[来源：GB/T 35273—2020,3 . 3]

　　3.9

　　个人信息控制者 personalinformationcontroller

　　有能力决定个人信息处理目的、方式等的组织或个人。

　　[来源：GB/T 35273—2020,3 . 4]

　　3 . 10

　　业务功能 businessfunction

　　满足个人信息主体的具体使用需求的服务类型。

　　注：智能家电业务功能主要包括设备控制、智慧场景(家人健康、食谱推荐、离家/回家、就寝/起床等)、售后服务、网上商城等。

　　[来源：GB/T 35273—2020,3 . 17,有修改]

　　3 . 1 1

　　明示同意 explicitconsent

　　个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，

　　GB/T 40979—202 1

　　对其个人信息进行特定处理作出明确授权的行为。

　　注 1 ：肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

　　注 2：本文件中的授权同意均指明示同意。

　　[来源：GB/T 35273—2020,3 . 6,有修改]

　　3 . 12

　　用户画像 userprofiling

　　通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测，形成其个人特征模型的过程。

　　注：直接使用特定自然人的个人信息，形成该自然人的特征模型，称为直接用户画像。 使用来源于特定 自然人以外的个人信息，如其所在群体的数据，形成该自然人的特征模型，称为间接用户画像。

　　[来源：GB/T 35273—2020,3 . 8]

　　3 . 13

　　匿名化 anonymization

　　通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。

　　注：个人信息经匿名化处理后所得的信息不属于个人信息。

　　[来源：GB/T 35273—2020,3 . 14]

　　3 . 14

　　去标识化 de-identification

　　通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或关联个人信息主体的过程。

　　注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段代替对个人信息的标识 。常用去标识化技术见 GB/T 37964—2019 附录 A。

　　[来源：GB/T 35273—2020,3 . 15,有修改]

　　4 概述

　　4 . 1 智能家电收集个人信息的方式

　　智能家电个人信息的保护要求，因智能家电收集个人信息方式的不同而异。 智能家电收集个人信息的方式，取决于用户与智能家电交互界面的类型，主要分为以下三种：

　　a) 不带触摸屏类智能家电：未使用设备屏端输入方式，而是通过控制端应用或设备传感等其他方式收集用户个人信息，示例：不带触摸屏空调、洗衣机、热水器等;

　　b) 带触摸屏类智能家电：通过设备屏端输入方式(可以兼具通过控制端应用或设备传感等其他方式)，收集用户个人信息，示例：带触摸屏电冰箱、房间空调器、烤箱等;

　　c) 生物识别类智能家电：通过人机语音交互、指纹、人脸、手势等生物性识别的方式(可以兼具通过控制端应用、设备传感、设备屏端输入等其他方式)，收集用户个人信息，示例：带语音交互的电冰箱、带指纹识别的电坐便器盖、带图像识别的房间空调器等。

　　注：智能家电系统使用 Cookie 等同类技术(包括脚本、Clickstream、Web 信标、FlashCookie、内嵌 Web 连接、SDK

　　等)收集个人信息，及通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器，均属于本文件的范围。

　　4 . 2 智能家电个人信息流转场景

　　一般地，家电厂商通过独立的控制端应用、云平台来控制和管理其智能家电，但同一个家庭可能存

　　GB/T 40979—202 1

　　在多个家电厂商的智能家电，存在不同家电厂商的智能家电或控制端应用通过各家电厂商云平台间的互联互通，来实现跨家电厂商、跨平台的操作及信息交互的场景。 智能家电控制与互联操作的三种应用场景见附录 A。

　　对应地，智能家电个人信息流转的三种场景如下：

　　a) 场景一：App 和家电设备属同一个人信息控制者，流转于个人信息控制者 自身的智能家电、 App 以及云平台之间;

　　b) 场景二：App 与家电设备属不同个人信息控制者，流转于不同个人信息控制者的智能家电、云平台，以及第三方 App、云平台之间;

　　c) 场景三：不同个人信息控制者的智能家电通过互联网和云平台进行联动，流转于不同个人信息控制者的智能家电、云平台，以及第三方智能家电、云平台之间。

　　4 . 3 智能家电软件操作系统分类

　　4 . 3 . 1 单用户操作系统

　　智能家电的固件的各软件功能具备有统一的权限控制，每一个功能都能使用到系统的全部硬件和软件资源，如实时操作系统(RTOS) 。

　　4 . 3 . 2 多用户操作系统

　　智能家电的固件的各软件功能具备有不同类别的访问权限，如安卓系统。

　　5 技术要求

　　5 . 1 智能家电个人信息分类和安全分级

　　5 . 1 . 1 智能家电个人信息分类

　　根据 GB/T 35273—2020,结合智能家电的特点，智能家电个人信息的分类如表 1 所示。

　　表 1 智能家电个人信息分类

　　GB/T 40979—202 1

　　表 1 智能家电个人信息分类(续)

　　5 . 1 . 2 智能家电个人敏感信息分类

　　智能家电个人敏感信息分类如表 2 所示。

　　表 2 智能家电个人敏感信息分类

　　GB/T 40979—202 1

　　5 . 1 . 3 智能家电个人信息安全分级

　　智能家电个人信息安全分级如表 3 所示。

　　表 3 智能家电个人信息安全分级

　　5 . 2 业务流程

　　5 . 2 . 1 个人信息的收集

　　5 . 2 . 1 . 1 隐私政策等收集使用规则的内容和发布

　　智能家电系统收集使用个人信息，应在智能家电、控制端应用及相关的网站或系统端分别制定并公开隐私政策等收集使用规则。 收集使用规则应满足的要求如下：

　　a) 隐私政策等收集使用规则的内容应按照 GB/T 35273—2020 中 5 . 5 的第 a)项规定的要求;

　　b) 在首次注册使用智能家电或控制端应用(App)前，应通过弹窗或链接等明显方式提示用户阅

　　GB/T 40979—202 1

　　读隐私政策等收集使用规则;

　　c) 隐私政策等收集使用规则应易于访问，进入智能家电或控制端应用主功能界面后，不应多于 4次点击、滑动等操作才能访问到隐私政策等收集使用规则;

　　d) 用户同意隐私政策等收集使用规则前，智能家电或控制端应用应关闭对个人信息的采集功能;

　　e) 隐私政策等收集使用规则告知的信息应真实、准确、完整，网站、应用程序等收集或使用个人信息的功能设计应同隐私政策等收集使用规则保持一致;

　　f) 智能家电或控制端应用发生个人信息业务流程或功能的变化时，应同步更新隐私政策等收集使用规则，并采用弹窗或链接等明显方式，提醒用户重新阅读;

　　g) 应正确标识隐私政策发布、生效或更新日期;

　　h) 无法通过智能家电本体或控制端应用向用户提供隐私政策内容，则应在智能家电的包装、说明书、外壳等明显位置提示隐私收集政策、规则及内容，从而对用户进行必要的提醒。

　　5 . 2 . 1 . 2 收集的最小化要求

　　对个人信息控制者的要求如下：

　　a) 智能家电系统所收集的个人信息均应直接关联产品或服务的业务功能，即如果不收集该个人信息，产品或服务的业务功能则无法实现;

　　b) 智能家电系统所提供的各项功能服务应按照附录 B最小化的收集个人信息，不应捆绑多项业务功能收集个人信息，当用户拒绝或者撤销某项或某几项功能服务时，不应连带终止用户其他满足附录 B 中对应条件的功能服务;

　　c) 不应仅以改善智能家电或控制端应用的程序功能、提升用户体验、定向推送等为由，以默认授权、功能捆绑等形式强迫、误导用户同意收集其个人信息，对于确有此类目的的收集，应为用户明确提供同意授权以及终止授权的操作选项;

　　d) 自动收集个人信息的频率应为所使用业务功能所必需的最低频率，智能家电或控制端应用应以实现服务所必需的最低合理频率向后台服务器发送个人信息;间接收集个人信息的数量应为所使用业务功能所必需的最少数量，智能家电业务功能收集个人信息对应的约束条件应符合附录 B 的规定。

　　5 . 2 . 1 . 3 收集的授权同意要求

　　对个人信息控制者的要求如下：

　　a) 收集个人信息前，应通过弹窗或链接等方式，征得个人信息主体的明示同意。 明示同意内容包括但不限于：

　　1) 所提供产品或服务的各业务功能分别收集的个人信息类型;

　　2) 收集规则：收集目的、收集方式、收集频率、拒绝收集的可能结果;

　　3) 存储规则：存储地域、存储期限或期限无法提供情形下的确定标准、自身的数据安全能力;

　　4) 使用规则：对外共享、转让、公开披露等使用情况，对外提供个人信息的第三方及安全措施(例如，如何限制第三方对共享的个人信息的使用，如何保证第三方数据安全能力等);

　　5) 存在的用户画像及其目的。

　　b) 当智能家电或控制端应用首次申请打开个人信息相关权限或要求用户输入个人敏感信息前，应向用户同步明示其目的并征得用户的同意。

　　c) 对于生物识别类智能家电，收集个人生物性识别信息的，应在首次收集前，向用户明示其 目 的并征得用户的同意。

　　d) 对于使用 Cookie 等同类技术(包括脚本、Clickstream、Web 信标、FlashCookie、内嵌 Web 连接、SDK等)收集个人信息的，应在首次收集前，向用户明示所收集个人信息的 目 的、类型并征

　　GB/T 40979—202 1

　　得用户的同意。

　　e) 对于通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器的，应通过弹窗等方式向用户明示其目的并征得用户的同意。

　　f) 收集年满 14 周岁的未成年人的个人信息前，应征得未成年人或监护人的明示同意;不满 14 周岁的，应征得其监护人的明示同意;例如：可在注册时通过勾选的方式确认用户是否年满 14 周岁或令用户输入出生年月 日来判断。

　　g) 智能家电或控制端应用新增(更新)业务功能时，不应将用户设置的权限恢复到默认状态，未经用户同意不应私自更改用户设置的权限，收集的个人信息超出原有同意范围，超出部分应先进行明示同意，如用户不同意收集，不应拒绝提供原有业务功能。 新增业务功能取代原有业务功能的除外。

　　h) 间接收集个人信息时，应满足：

　　1) 应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认;

　　2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意共享、转让、公开披露等。 如果超出该授权同意范围，应在获取个人信息后的合理期限内(不超过一个月)或处理个人信息前，征得个人信息主体的明示同意。

　　5 . 2 . 2 个人信息的存储

　　5 . 2 . 2 . 1 个人信息存储地域要求

　　对个人信息控制者的要求如下：

　　a) 在技术可行且不影响终端和服务正常的情况下，智能家电系统宜在用户智能家电终端或控制应用终端中存储、使用所收集的个人信息;

　　b) 在中华人民共和国境内收集和生产的个人信息，宜存储在中华人民共和国境内。

　　5 . 2 . 2 . 2 个人信息存储期限要求

　　对个人信息控制者的要求如下：

　　a) 个人信息存储期限应为实现收集使用目的所需的最短时间，且不应超出收集使用规则中告知的保存期限，例如使用产品或服务期间持续保存。 超出上述期限后，应对个人信息进行删除或匿名化处理。

　　b) 用户注销账号后应及时删除其个人信息，匿名化处理的除外。

　　5 . 2 . 2 . 3 个人信息存储措施要求

　　对个人信息控制者的要求如下：

　　a) 收集个人信息后，应按照表 3 的安全分级要求采取去标识化等安全措施，确保单凭该个人信息无法准确定位到特定个人。 同时采取管理措施，确保经过去标识化处理的个人信息与可用于恢复识别个人的信息分开保存，在后续的个人信息处理过程中也无法再次识别特定个人。

　　b) 应对存储个人信息的文件或系统设置授权访问。

　　c) 对于存储涉及个人敏感信息时(按照表 2 定义的个人敏感信息分类)，应采用加密等安全措施。

　　d) 个人生物性识别信息应与个人身份信息分开存储。

　　e) 非必要情况下，不应存储原始个人生物识别信息(如样本、图像等)，可采取的措施包括但不限于：

　　1) 仅存储个人生物识别信息的摘要信息;

　　2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;

　　GB/T 40979—202 1

　　3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

　　5 . 2 . 3 个人信息的删除

　　对个人信息控制者的要求如下：

　　a) 用户删除智能家电或控制应用端的个人信息，或注销账号后，或个人信息在超过存储期限后，应立即停止智能家电、控制端应用与云平台对其个人信息的使用，并对其信息进行删除或匿名化处理;

　　b) 停止运营的产品或服务，应停止继续收集个人信息，将停止运营通知以逐一送达或公告的形式通知个人信息主体，并对持有的信息进行删除或匿名化处理;

　　c) 对智能家电收集、使用等各阶段个人信息的缓存数据，应提供自动删除或者手动删除功能;

　　d) 智能家电或应用存储的个人信息进行删除后，应采取措施防止通过技术手段恢复。

　　5 . 2 . 4 个人信息的使用

　　5 . 2 . 4 . 1 个人信息使用限制

　　对个人信息控制者的要求如下：

　　a) 使用个人信息时，不应超出与收集时告知用户并获得授权同意的范围。 因业务需要，确需超出上述范围使用个人信息的，应再次征得用户的明示同意。

　　b) 应对个人信息的接触者设置相应的访问控制措施，包括：

　　1) 应按照最小授权原则，使被授权人员只能访问职责所需的最少够用的个人信息，以及具备完成职责所需的最少数据操作权限;

　　2) 对个人信息的大规模处理等重要操作，例如批量查询、修改、拷贝、下载、删除等，需通过审批流程的审批后方可操作;

　　3) 因业务需要，需授权特定人员超权限处理个人信息的，即特殊访问权，其分配和使用应由业务代表进行审批，并记录在册;

　　4) 应在“一事一议”的基础上，基于职能角色的最低要求进行分配;

　　5) 应规定特殊访问权到期的要求;

　　6) 对个人敏感信息的访问、修改等处理，应在对角色权限控制的基础上，采取强认证方法，例如双因素身份认证;或根据业务流程的需求触发操作授权，例如因收到客户投诉，该投诉处理者才可访问用户的相关信息;

　　7) 个人信息控制者在进行个人信息操作时，应启用 日志审计记录整个操作过程，如批量查询、修改、拷贝、下载、删除等。

　　c) 宜对必需要通过界面(如智能家电显示屏幕、纸面)展示的个人信息采取去标识化处理等措施，防止未授权人员获取个人信息。

　　d) 除目的必需外，使用个人信息时应消除身份指向性，避免精确定位到特定个人。 例如，为准确评价个人信用状况，可使用直接用户画像，而用于推送商业广告目的时，宜使用间接用户画像。

　　e) 用户应能自主打开或关闭基于用户画像对用户进行精准识别和归类的个性化推荐。

　　f) 不应依据用户是否授权收集个人信息及授权范围，对用户采取歧视行为，包括服务质量、价格差异等。

　　g) 对个人信息进行加工处理时，应保证智能家电系统稳定运行，不造成个人信息的损毁、泄露和丢失等，加工过程完毕时应进行数据完整性和准确性检查。

　　GB/T 40979—202 1

　　5 . 2 . 4 . 2 个人信息公开披露

　　个人信息不应进行公开披露。 经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守的要求如下：

　　a) 事先开展个人信息风险评估(见 6 . 2)并依评估结果采取有效的保护个人信息主体权益的措施;

　　b) 向个人信息主体告知公开披露个人信息的 目 的、类型，并事先征得个人信息主体明示同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;

　　c) 公开披露个人敏感信息前，除 b) 中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容;

　　d) 准确记录和保存个人信息的公开披露的情况，包括公开披露的 日期、规模、目的、公开范围等;

　　e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;

　　f) 不应公开披露个人生物识别信息和疾病等个人生理信息;

　　g) 不应公开披露个人信息主体的种族、民族、政治观点、宗教信仰等敏感数据分析结果。

　　5 . 2 . 4 . 3 个人信息共享、转让

　　对于智能家电个人信息流转于第三方 App 或云平台的场景，应充分重视风险，遵守的要求如下。

　　a) 共享和转让行为应经过合法性、必要性评估，必要性还应基于最少够用的原则，对于本地加工处理能满足功能需求的个人信息，不需要进行数据的传输转移。

　　b) 事先开展个人信息风险评估，应对个人信息接收者的数据安全能力进行评估，确保个人信息接收者具备足够的数据安全能力，并按照评估结果采取有效的保护个人信息主体的措施。

　　c) 在共享、转让前应向个人信息主体告知共享、转让个人信息的目的、数据接收者的类型等信息，并事先征得个人信息主体的授权同意。 共享、转让经去标识化处理的个人信息，且确保个人信息接收者无法重新识别个人信息主体的除外。

　　d) 共享、转让个人敏感信息前，除 c) 中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的类型、个人信息接收者的身份和数据安全能力，并事先征得个人信息主体的明示同意。

　　e) 准确记录和保存个人信息共享、转让的情况，将共享、转让的 日期、规模、目 的和数据接收者的基本情况在内的信息进行登记。

　　f) 在共享、转让后应了解接收者对个人信息的保存、使用情况和个人信息主体的权利，例如访问、更正、删除、注销等。

　　g) 当个人信息控制者或处理者发生收购、兼并、重组、破产等变更时，应向个人信息主体告知有关情况，并继续履行原个人信息控制者或处理者的责任和义务，如变更个人信息使用 目 的时，应重新取得个人信息主体的明示同意。

　　h) 当个人信息控制者与第三方联合确定个人信息处理的目的与方法时，为共同控制者，例如服务平台与平台上的签约商家。 个人信息控制者应：

　　1) 通过合同等形式与第三方共同确定应满足的个人信息安全要求，及在个人信息安全方面分别应承担的责任和义务;

　　2) 通过隐私政策、用户协议、产品说明等显著且可证明的方式向个人信息主体告知;

　　3) 共同控制者的任一方都有义务响应个人信息主体权利的请求。

　　注：个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用 API接口)，且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意，则个人信息控制者与该第三方为共同控制者。

　　i) 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任。 例如，接入平台的

　　GB/T 40979—202 1

　　第三方应用，发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

　　5 . 2 . 4 . 4 个人信息第三方委托处理

　　5 . 2 . 4 . 4 . 1 个人信息控制者要求

　　对个人信息控制者的要求如下：

　　a) 在对个人信息委托处理时，不应超出用户授权同意的范围;

　　b) 在对个人信息委托处理时，应对委托行为进行个人信息风险评估，确保受托方具备足够的数据安全能力，提供了足够的安全保护水平;

　　c) 在对个人信息委托处理时，应签订相关协议要求受托方符合本文件;

　　d) 应确保受托方对个人信息的相关数据处理完成之后，对存储的个人信息进行删除;

　　e) 准确记录和保存个人信息委托处理的情况。

　　5 . 2 . 4 . 4 . 2 受托方要求

　　对受托方的要求如下：

　　a) 严格按照控制者的要求处理个人信息，如因特殊原因未按照控制者的要求处理个人信息，应及时向控制者反馈;

　　b) 如确需再次委托时，应事先征得控制者的授权;

　　c) 协助控制者响应个人信息主体基于 5 . 3 提出的合理请求;

　　d) 在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件，应及时向控制者反馈;

　　e) 委托关系解除时不再保存个人信息。

　　5 . 2 . 4 . 5 个人信息跨境传输

　　在中国境内运营中收集和产生的个人信息，如需出境应遵循中华人民共和国个人信息出境安全相关法律法规。

　　5 . 2 . 5 网络安全要求

　　处理个人信息的智能家电系统还应满足的网络安全要求如下：

　　a) 智能家电个人信息处理系统的安全技术措施应依据不同业务类型，满足对应的网络安全等级保护要求，保障网络免受干扰、破坏或者未经授权的访问，防止个人信息泄露或者被窃取、篡改;

　　b) 应采取校验技术或密码技术保证个人信息在传输和存储过程中的完整性;

　　c) 应采用密码技术保证个人信息在传输和存储过程中的保密性;

　　d) 应确保调试接口不外露，调试命令的输入通过鉴权才能开启。 网络调试接口应经过用户手动授权后才能打开，防止通过通用调试工具或方法获取个人信息存储包;

　　e) 智能家电、控制端应用、云平台其中任意两方在建立连接之前，应进行双向身份验证;

　　f) 智能家电软件系统有管理员用户分级时，涉及个人信息的权限分配，应符合 5 . 2 . 4 . 1 中 b) 的要求;

　　g) 智能家电在多用户操作系统中，不应给予 root级别的权限;

　　h) 具备有远程调试或管理等进行用户体验改善行为功能的智能家电，使用该功能应由用户主动发起或用户授权同意，使用过程中应加密传输，使用结束后，应删除服务端的记录和用户信息

　　GB/T 40979—202 1

　　或做脱敏处理;

　　i) 智能家电在日志和调试信息中不应打印除设备标识信息、运行状态信息以外的个人信息;

　　j) 通过蓝牙连接设备前，应进行双向身份认证。

　　5 . 3 个人信息主体的权利

　　5 . 3 . 1 个人信息访问

　　应为个人信息主体提供查询其个人信息的权利如下：

　　a) 其所持有的关于该主体的个人信息或类型;

　　b) 上述个人信息的来源、使用 目的;

　　c) 已获得上述个人信息的第三方身份或类型。

　　5 . 3 . 2 个人信息更正

　　应为个人信息主体提供更正其个人信息的权利如下：

　　a) 可产品内 自行更正，或通过反馈与报错等提交申请;

　　b) 将更正信息告知已经被披露给的每个接收者，除非此类告知是不可能的或者需要付出不相称的工作。

　　5 . 3 . 3 个人信息删除

　　应为个人信息主体提供删除其个人信息的权利如下：

　　a) 对于存储个人信息的智能家电，用户可通过隐私政策、用户协议或产品说明等方式得知删除智能家电内个人信息的途径;

　　b) 用户可通过产品内提供的功能自行删除设备所收集的个人信息，或通过提交申请进行删除;

　　c) 如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时，个人信息主体要求删除的，应及时删除，并通知已经披露给的第三方及时删除。

　　5 . 3 . 4 个人信息主体注销账户

　　应为个人信息主体提供注销账户的权利如下：

　　a) 提供注销账号的方法，且易于操作;

　　b) 注销前验证用户身份;

　　c) 不同意用户注销需明确不同意注销申请的条件，例如：存在用户未支付订单的情况;

　　d) 个人信息主体注销账号后，应删除或匿名化处理其个人信息。

　　5 . 3 . 5 个人信息主体撤回授权同意

　　应为个人信息主体提供撤回授权同意的权利如下：

　　a) 提供随时撤回授权同意的途径;

　　b) 撤回授权同意应与作出授权同意同等容易;

　　c) 用户撤回授权同意后，应停止对其个人信息的收集;已经收集的个人信息，应进行匿名化处理或删除。

　　5 . 3 . 6 个人信息可携

　　应为个人信息主体提供请求行使数据可携权的方法。 即在技术可行的前提下，允许个人信息主体以结构化、通用化和机器可读的格式获取其个人信息副本，以及控制者将个人信息主体的个人信息副本

　　GB/T 40979—202 1

　　直接传输给个人信息主体指定的第三方。 可携的数据类型为通过自动化方式收集处理的个人信息。 数据可携权的范围如下：

　　a) 个人信息主体主动提供的个人信息，如通过网上表格填写的账户信息(包括账户、邮箱地址、年龄)等由数据主体填写、提交的信息;

　　b) 主体通过使用服务或者设备所提供的采集信息，如个人活动 日志、搜索历史记录、交通和位置信息、可穿戴设备记录的心跳数据等;

　　c) 不包括对个人信息主体的行为进行事后分析而获得的个人信息，例如通过个性化或推荐性处理、通过用户分类或用户画像等;

　　d) 不包括通过纸质形式收集的个人信息。

　　5 . 3 . 7 个人信息自动化决策

　　完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用的要求如下：

　　a) 应以明显方式标明“定推”等字样，并为用户提供停止接收定向推送信息的功能，以确保用户有反对或者拒绝的权利;

　　b) 用户选择停止接收定向推送信息时，个人信息控制者应当停止推送，并可由用户决定是否对已经收集的设备识别码等用户数据和个人信息进行删除或匿名化处理。

　　5 . 3 . 8 响应个人信息主体的请求

　　对个人信息控制者的要求包括如下。

　　a) 如果是直接从个人信息主体处收集个人信息的，应在收集时，将 5 . 3 . 1 至 5 . 3 . 7 所述权利的存在告知个人信息主体;如果是间接收集个人信息主体的个人信息的，应在获得数据后的合理时间内(不超过一个月)与个人信息主体进行首次沟通或向第三方披露时，将上述权利的存在告知个人信息主体。

　　b) 对于 5 . 3 . 1 至 5 . 3 . 7 所述权利提供的在线操作、客服电话、电子邮件等途径，个人信息主体进行相关操作后，个人信息控制者应在合理时间和代价范围内响应，并在承诺时限内(无承诺时限的，以 15 个工作日为限)完成核查和处理。

　　c) 以下情况可不响应个人信息主体基于 5 . 3 . 1 至 5 . 3 . 7 提出的请求：

　　1) 与国家安全、国防安全直接相关的;

　　2) 与公共安全、公共卫生、重大公共利益直接相关的;

　　3) 与犯罪侦查、起诉、审判和判决执行等直接相关的;

　　4) 有充分证据表明个人信息主体存在主观恶意或滥用权利的;

　　5) 响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;

　　6) 涉及商业秘密的。

　　6 组织管理要求

　　6 . 1 明确责任部门与人员

　　明确责任部门与人员要求，应遵守 GB/T 35273—2020 中 11 . 1 规定的要求。

　　6 . 2 个人信息安全影响评估

　　个人信息安全影响评估要求，应遵守 GB/T 39335—2020 中规定的要求。

　　GB/T 40979—202 1

　　6 . 3 个人信息安全事件处置

　　个人信息安全事件处置要求，应遵守 GB/T 35273—2020 中第 10 章规定的要求。

　　7 测评方法

　　7 . 1 测评类型及方法

　　7 . 1 . 1 文档审查

　　7 . 1 . 1 . 1 审查对象

　　有关个人信息数据收集、处理和管理的文档，包括系统功能说明、隐私政策、审批流程、个人信息安全事件记录、特殊访问记录等文档。

　　7 . 1 . 1 . 2 审查内容及要求

　　有关个人信息数据收集、处理和管理的文档应满足的要求包括但不限于：

　　a) 完备性要求如下：

　　1) 个人信息收集的 目的;

　　2) 家电用户有可能看到的有关个人信息处理的各种明示警示信息;

　　3) 个人信息数据的流转过程说明;

　　4) 有关个人信息收集、处理和管理的系统功能说明;

　　5) 全部个人信息访问入口及权限;

　　6) 如必要，给出个人信息的加密处理办法;

　　7) 如必要，给出个人信息管理办法。

　　b) 正确性要求如下：

　　1) 文档中的所有信息都符合第 5 章、第 6 章对应要求;

　　2) 文档不应有歧义的信息。

　　c) 一致性要求如下：

　　各文档中的内容不应自相矛盾、互相矛盾以及与产品说明矛盾。

　　d) 易理解性要求如下：

　　用户文档应使用对于其读者可理解的术语和文体，应通过经过编排的文档清单，为用户理解文档提供便利。

　　7 . 1 . 2 代码审查

　　审查与个人信息收集、处理相关的代码，包括位于智能家电内部软件控制器中的代码、智能家电配套 App 软件代码及远程服务平台软件代码。

　　代码审查前，应保证满足的条件如下：

　　a) 代码无错误的通过编译;

　　b) 获得被测代码有关的文档。

　　依据软件相关文档，通过使用软件工具和人工分析相结合的方式对源程序进行代码审查，代码应与文档中规定的功能一致。

　　GB/T 40979—202 1

　　7 . 1 . 3 设备功能及安全测试

　　7 . 1 . 3 . 1 测试对象

　　主要测试控制端应用以及设备本体中与个人信息相关的功能安全模块。

　　7 . 1 . 3 . 2 测试内容及要求

　　设备功能性方面包括：设备主要功能、界面内容、隐私政策等。

　　设备安全性方面包括：固件安全、权限限制、密钥复杂度等。

　　智能家电、智能家电系统和智能家居整个系统的功能性及安全性应符合第 5 章中的要求。

　　7 . 1 . 4 漏洞扫描

　　使用漏洞扫描测试工具，扫描可能会影响个人信息安全的 Web应用和服务中存在的漏洞。

　　常见的漏洞类型见附录 C。

　　7 . 1 . 5 通信保护测试

　　7 . 1 . 5 . 1 测试对象

　　主要测试与个人信息相关的网络传输数据。

　　7 . 1 . 5 . 2 测试内容及要求

　　依据第 5 章的要求，可采用网络抓包、终端网络抓包、嗅探等测试方法对网络数据进行抓包，分析是否加密传输，加密格式，是否跨境传输，重放攻击，身份鉴别，通信保护等;可对图片，视频的等数据进行进一步分析，查看里面是否携带个人信息，个人敏感信息。 可使用网络上通用的字典，对加密包进行字典攻击后，分析其中是否携带个人敏感信息。

　　7 . 1 . 6 现场核查

　　7 . 1 . 6 . 1 核查对象：

　　核查对象主要包括的内容如下：

　　a) 人员核查包括但不限于：人员职责划分、权限分配等;

　　b) 行为核查包括但不限于：定期开展安全影响评估、了解信息提供方的情况等;

　　c) 数据核查包括但不限于：对于个人敏感数据的收集、删除、去标识化、匿名化等。

　　7 . 1 . 6 . 2 核查内容及要求：

　　依据第 5 章、第 6 章的要求，根据实际情况，现场通过考核抽查等形式，对于被测评方进行实地考察，主要目的就是通过对被测评方进行现场实地考察，验证被测评方的实际执行情况，从而来评价该环境管理体系运行的有效性，判别被测评方建立的环境管理体系符合标准要求。 依照考核实际情况与标准所要求是否相符合。

　　7 . 2 测评方法选择

　　智能家电个人信息保护的测评对象是智能家电产品端、控制端(App)、远程服务平台等多个对象所组成的系统，主要从完备性、正确性、一致性、真实性、合法性等多个方面来进行考核，应综合运用文档审查、代码审查、设备功能及安全测试、漏洞扫描、通信保护测试、现场核查进行评估，具体相关测评项目与测试类型见表 4 。

　　GB/T 40979—202 1

　　表 4 测评项目与测试类型对应关系表

　　GB/T 40979—202 1

　　附 录 A

　　(资料性)

　　智能家电应用场景

　　本附录给出了实现智能家电控制与互联互通的三种应用场景，其中控制者指个人信息控制者。

　　在实际业务逻辑中，可能同时存在下述多个场景。

　　场景 1 ：APP和家电设备属同一个人信息控制者

　　A控制者家电设备与 A控制者 App,通过与 A控制者云平台的连接，将 App 的控制命令传递给云平台，实现 App对智能家电的控制，云平台对智能家电的管理;App 也可以不经过云平台，直接与家电设备相连，实现对智能家电的控制。 如图 A. 1 所示。

　　图 A.1 A 控制者 APP控制 A控制者的家电设备

　　场景 2：APP与家电设备属不同个人信息控制者

　　由于 B控制者 App 只能连接到 B控制者云平台，B控制者云平台不能直接管理 A 控制者家电设备，所以 B控制者云平台需与 A控制者云平台对接，才能把 B控制者 App 的控制命令传递给 A控制者云平台，从而实现 B控制者 App 对 A控制者智能家电的远程控制。 如图 A. 2 所示。

　　A控制者云平台与 B控制者云平台也可通过第三方云平台间接进行互联。

　　GB/T 40979—202 1

　　图 A.2 B 控制者 APP远程控制 A控制者的家电设备

　　场景 3：不同个人信息控制者的智能家电通过互联网和云平台进行联动

　　B控制者云平台与 A控制者云平台对接，或 B控制者云平台直接控制 A 控制者家电设备，家电设备联动的业务逻辑放置在 B控制者云平台内。 当 B控制者家电设备状态改变时，B控制者根据设备联动的业务逻辑控制 A控制者的家电设备。 如图 A. 3 所示。

　　A控制者云平台与 B控制者云平台也可通过第三方云平台间接进行互联。

　　图 A.3 不同控制者的智能家电通过互联网和云平台进行联动

　　GB/T 40979—202 1

　　附 录 B

　　(规范性)

　　智能家电核心业务功能对应的最少信息与约束条件

　　本附录规定了用户注册及登录、设备控制、智慧场景、网上商城、售后服务等常用核心业务功能可收集的最少信息与约束条件，见表 B. 1 。

　　表 B.1 常用核心业务功能可收集的最少信息与约束条件

　　GB/T 40979—202 1

　　表 B.1 常用核心业务功能可收集的最少信息与约束条件(续)

　　GB/T 40979—202 1

　　附 录 C

　　(资料性)

　　常见漏洞类型

　　C.1 web应用和服务中的漏洞

　　常见的可能影响个人信息安全的 Web应用和服务中存在的漏洞如下：

　　— 数据注入和操纵攻击;

　　— 跨站脚本攻击(XSS攻击)，包括反射型和持久型 XSS攻击;

　　— 跨站请求伪造;

　　—SQL 注入;

　　— 缓冲器溢出;

　　— 整数溢出;

　　—Log 注入;

　　— 远程文件包含(RFI)注入;

　　— 服务器端包含(SSI)注入;

　　— 操作系统命令注入;

　　— 本地文件包含(LFI) ;

　　— 会话与验证;

　　— 会话强度;

　　— 验证攻击(Authentication attack) ;

　　— 验证不充分;

　　— 会话有效期短(insufficient session expiration) ;

　　— 服务器与通用 HTTP ;

　　— 安全套接层(SSL)证书问题;

　　—SSL协议、SSL密码;

　　— 服务器配置不当;

　　— 目录索引与列举;

　　— 拒绝服务(DoS) ;

　　— HTTP 响应拆分;

　　— 译码攻击;

　　—Windows 8.3 文件名;

　　—DOS驱动程序安装处理 DoS(DOS device handle DoS) ;

　　— 标准化攻击;

　　—URL改道攻击;

　　— 密码自动完成;

　　—Cookie安全;

　　— 自定义模糊;

　　— 路径操纵;

　　— 路径截断(Path truncation) ;

　　—Ajax审计;

　　—WebDAV 审计;

　　GB/T 40979—202 1

　　—Web 服务审计 ;

　　— 文件列举;

　　— 信息泄露;

　　— 目录与路径穿越;

　　— 垃圾邮件网关检测;

　　— 强力验证攻击;

　　— 已知应用与平台漏洞。

　　C.2 移动应用和服务中的漏洞

　　常见的可能影响个人信息安全的 App应用和服务中存在的漏洞，见表 C. 1、表 C. 2 。

　　表 C.1 Android漏洞类型

　　GB/T 40979—202 1

　　表 C.1 Android漏洞类型(续)

　　GB/T 40979—202 1

　　表 C.1 Android漏洞类型(续)

　　表 C.2 IOS漏洞类型

　　GB/T 40979—202 1

　　表 C.2 IOS漏洞类型(续)

　　GB/T 40979—202 1

　　参 考 文 献

　　[1] GB/Z 28828—2012 信息安全技术 公共及商用服务信息系统个人信息保护指南

　　[2] GB/T 37964—2019 信息安全技术 个人信息去标识化指南

　　[3] DB21/T 1628 . 1—2012 信息安全 个人信息保护规范

　　[4] App违法违规收集使用个人信息行为认定方法( 国信办秘字〔2019〕191 号)