智能家用电器个人信息保护要求和测评方法.docx

正在准备打印文档... 100% 取消 I I ICS 97.030 CCS Y 60 中华人民共和国国家标准 GB/T 40979—2021 智能家用电器个人信息保护要求和测评方法 Personal information protection requirements and testmethods for intelligent household appliances 2021-11-26 发布2022-06-01 2021-11-26 发布 體臨體體罷发布 GB/T 40979—2021 本文件按照GB/T 1.1 2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 清注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任? 本文件由中国轻丁?业联合会提出。 本文件由全国家用电器标准化技术委员会（SAC/TC 46）归LL 本文件起草单位：中国家用电器研究院、青岛海尔科技冇限公司、美的集团股份冇限公司、深圳 TCL新技术有限公司、惠而浦（中国）股份有限公司、合肥荣事达电子电器集团有限公司、中国信息安全 测评中心、海信家电集团股份有限公司、北京石头世纪科技股份有限公司、科沃斯机器人股份有限公司、 珠海格力电器股份有限公司、无锡小天鹅电器冇限公司、北京百度网讯科技冇限公司、合肥美的电冰箱 有限公司、万源众享联盟科技（北京）有限公司、宁波奥克斯电气股份有限公司、广州艾罗伯特机器人技 术咨询有限公司、大金（中国）投资有限公司上海分公司、通标标准技术服务（上海）有限公司、奇安信科 技集团股份有限公司、中家院（北京）检测认证有限公司。 本文件主要起草人：马德军、曲宗峰、李红伟、闫凌、王淼、徐祥智、刘复鑫、时雨、陈勇、黄育楷、 陈坚波、沈睿、高翔、范凌云、张利、赵鹏、祖岩岩、林舜大、陈冬青、李后上、吴月升、陈仙铜、李一、杜文超、 高宇昊、杨文靖、孙威威、刘宇馨、赵燕伟、马晓玉。 GB/T 40979—2021 TOC \o "1-5" \h \z 而言 I 1 范1甘 1 2规范性引用文件 1 术语和定义 1 概述 3 4.1智能家电收集个人信息的方式 3 智能家电个人信息流转场景 3 4.3智能家电软件操作系统分类 4 「:技术要求 4 5.1智能家电个人信息分类和安全分级 4 业务流程 6 5.3个人信息主体的权利 12 组织管理要求 13 明确责任部门与人员 13 6.2个人信息安全影响评估 13 个人信息安全事件处置 14 测评方法 14 7.1测评类型及方法 14 测评方法选择 15 附A （资料性）智能家电应用场景 17 场景l：App和家电设备属同一个人信息控制者 17 场景2：App与家电设备属不同个人信息控制者 17 场景3：不同个人信息控制者的智能家电通过互联网和云平台进行联动 18 附录规范性）智能家电核心业务功能对应的最少信息与约束条件 19 附录C （资料性）常见漏洞类型 21 C.l Web应用和服务中的漏洞 21 C.2移动应用和服务中的漏洞 22 参考文献 26 GB/T GB/T 40979—2021 PAGE PAGE # GB/T GB/T 40979—2021 PAGE PAGE # ［来源:GR/T 28219—2018,3.10］ 3.4 控制端应用 control application 由用户操作，与网络服务连接?能对智能家电证行远程操作的应用程序。 注：本文件简称为App = 3.5 服务平台 service platform 为智能家电、智能家电系统和智能家居提供服务的系统。 注：服务平台也可称为应用服务平台、云服务平台、云平台等。 ［来源:GR/T 28219—2018,3.12,有修改 3.6 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 注1：个人信息包括个人基本资料（如姓名、出牛日期、性别）、个人教育T作信息、个人通信信息、个人身份信息、 个人财产信息、网络身份标识信息、个人健康生理信息、个人生物性识别信息、设备标识信息、智能家电系统采 集信息、特定家庭信息、用户画像信息等。具体分类和内容见5.L1o 注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如,用戸画像或特征标签，能够单独或者 与其他信息结合识別特定自然人身份或者反映特定自然人活动情况的?属于个人信息。 ［来源:GR/T 35273—2020,3.1，有修改］ 3.7 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用，可能危害人身或财产安全，极易导致个