GB／T 40979-2021  智能家用电器个人信息保护要求和测评方法

5.2.1个人信息的收集

5.2.1.1隐私政策等收集使用规则的内容和发布

GB/T 40979—2021

5.2.1.2收集的最小化要求

对个人信息控制者的要求如下： 智能家电系统所收集的个人信息均应直接关联产品或服务的业务功能，即如果不收集该个人 信息，产品或服务的业务功能则无法实现； b） 智能家电系统所提供的各项功能服务应按照附录B最小化的收集个人信息，不应捆绑多项业 务功能收集个人信息，当用户拒绝或者撤销某项或某儿项功能服务时，不应连带终止用户其他 满足附录B中对应条件的功能服务； 不应仅以改善智能家电或控制端应用的程序功能、提升用户体验、定向推送等为由，以默认授 权、功能捆绑等形式强迫、误导用户同意收集其个人信息电气安全标准，对于确有此类目的的收集，应为用户 明确提供同意授权以及终止授权的操作选项： d 自动收集个人信息的频率应为所使用业务功能所必需的最低频率，智能家电或控制端应用应 以实现服务所必需的最低合理频率向后台服务器发送个人信息；间接收集个人信息的数量应 为所使用业务功能所必需的最少数量，智能家电业务功能收集个人信息对应的约束条件应符 合附录B的规定

5.2.1.3收集的授权同意要求

GB/T 409792021

得用户的同意。 e） 对于通过嵌人第三方代码、插件等方式将个人信息传输至第三方服务器的，应通过弹窗等方式 向用户明示其目的并征得用户的同意。 收集年满14周岁的未成年人的个人信息前，应征得未成年人或监护人的明示同意；不满14周 岁的，应征得其监护人的明示同意；例如：可在注册时通过勾选的方式确认用户是否年满14周 岁或令用户输人出生年月日来判断， g）智能家电或控制端应用新增（更新）业务功能时，不应将用户设置的权限恢复到默认状态，未经 用户同意不应私自更改用户设置的权限，收集的个人信息超出原有同意范围，超出部分应先进 行明示同意，如用户不同意收集，不应拒绝提供原有业务功能。新增业务功能取代原有业务功 能的除外。 h 间接收集个人信息时，应满足： 1）应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认； 2 应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息 主体是否授权同意共享、转让、公开披露等。如果超出该授权同意范围，应在获取个人信 息后的合理期限内（不超过一个月）或处理个人信息前，征得个人信息主体的明示同意。

5.2.2个人信息的存储

5.2.2.1个人信息存储地域要求

对个人信息控制者的要求如下： a）在技术可行且不影响终端和服务正常的情况下，智能家电系统宜在用户智能家电终端或控制 应用终端中存储、使用所收集的个人信息； b）在中华人民共和国境内收集和生产的个人信息，宜存储在中华人民共和国境内

对个人信息控制者的要求如下： a）个人信息存储期限应为实现收集使用目的所需的最短时间，且不应超出收集使用规则中告知 的保存期限，例如使用产品或服务期间持续保存。超出上述期限后，应对个人信息进行删除或 匿名化处理。 b）用户注销账号后应及时删除其个人信息，暨名化处理的除外

5.2.2.3个人信息存储措施要求

对个人信息控制者的要求如下： 收集个人信息后，应按照表3的安全分级要求采取去标识化等安全措施，确保单凭该个人信息 无法准确定位到特定个人。同时采取管理措施，确保经过去标识化处理的个人信息与可用于 恢复识别个人的信息分开保存，在后续的个人信息处理过程中也无法再次识别特定个人 应对存储个人信息的文件或系统设置授权访问。 对于存储涉及个人敏感信息时（按照表2定义的个人敏感信息分类），应采用加密等安全措施。 个人生物性识别信息应与个人身份信息分开存储。 e 非必要情况下，不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不 限于： 1）仅存储个人生物识别信息的摘要信息； 2）在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能：

GB/T 40979—2021

在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生 物识别信息的原始图像

5.2.3个人信息的删除

对个人信息控制者的要求如下： a）用户删除智能家电或控制应用端的个人信息，或注销账号后，或个人信息在超过存储期限后， 应立即停止智能家电、控制端应用与云平台对其个人信息的使用，并对其信息进行删除或匿名 化处理； b）停止运营的产品或服务，应停止继续收集个人信息，将停止运营通知以逐一送达或公告的形式 通知个人信息主体，并对持有的信息进行删除或匿名化处理： 对智能家电收集、使用等各阶段个人信息的缓存数据，应提供自动删除或者手动删除功能； d）智能家电或应用存储的个人信息进行删除后，应采取措施防止通过技术手段恢复

5.2.4个人信息的使用

5.2.4.1个人信息使用限制

对个人信息控制者的要求如下： a）1 使用个人信息时，不应超出与收集时告知用户并获得授权同意的范围。因业务需要，确需超出 上述范围使用个人信息的，应再次征得用户的明示同意。 b） 应对个人信息的接触者设置相应的访问控制措施，包括： 1）应按照最小授权原则，使被授权人员只能访问职责所需的最少够用的个人信息，以及具备 完成职责所需的最少数据操作权限； 2）对个人信息的大规模处理等重要操作，例如批量查询、修改、拷贝、下载、删除等，需通过审 批流程的审批后方可操作； 3） 因业务需要，需授权特定人员超权限处理个人信息的，即特殊访同权，其分配和便用应由 业务代表进行审批，并记录在册； 4） 应在“一事一议”的基础上，基于职能角色的最低要求进行分配 5 应规定特殊访问权到期的要求； 6） 对个人敏感信息的访问、修改等处理，应在对角色权限控制的基础上，采取强认证方法，例 如双因素身份认证；或根据业务流程的需求触发操作授权，例如因收到客户投诉，该投诉 处理者才可访问用户的相关信息； 7）个人信息控制者在进行个人信息操作时，应启用日志审计记录整个操作过程，如批量查 询、修改、拷贝、下载、删除等。 宜对必需要通过界面（如智能家电显示屏幕、纸面）展示的个人信息采取去标识化处理等措施， 防止未授权人员获取个人信息 d 除目的必需外，使用个人信息时应消除身份指向性，避免精确定位到特定个人。例如，为准确 评价个人信用状况，可便用直接用户画像，而用于推送商业产告目的时，宜使用间接用户画像。 用户应能自主打开或关闭基于用户像对用户进行精准识别和归类的个性化推荐， ）不应依据用户是否授权收集个人信息及授权范围，对用户采取歧视行为，包括服务质量、价格 差异等。 g 对个人信息进行加工处理时，应保证智能家电系统稳定运行，不造成个人信息的损毁、泄露和 丢失等，加工过程完毕时应进行数据完整性和准确性检查，

GB/T 409792021

5.2.4.2个人信息公开披霸

个人信息不应进行公开披露。经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守 的要求如下： a）事先开展个人信息风险评估（见6.2)并依评估结果采取有效的保护个人信息主体权益的措施； 向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意，与 国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行 等直接相关的情形除外； C 公开披露个人敏感信息前，除b)中告知的内容外，还应向个人信息主体告知涉及的个人敏感 信息的内容； d） 准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等； e） 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任； f 不应公开披露个人生物识别信息和疾病等个人生理信息； 不应公开披露个人信息主体的种族、民族、政治观点、宗教信仰等敏感数据分析结果。

4.3个人信息共享、转让

对于智能家电个人信息流转于第三方APP或云平台的场景，应充分重视风险，遵守的要求如下。 a）共享和转让行为应经过合法性、必要性评估，必要性还应基于最少够用的原则，对于本地加工 处理能满足功能需求的个人信息，不需要进行数据的传输转移。 事先开展个人信息风险评估，应对个人信息接收者的数据安全能力进行评估，确保个人信息接 收者具备足够的数据安全能力，并按照评估结果采取有效的保护个人信息主体的措施， 在共享、转让前应向个人信息主体告知共享、转让个人信息的目的、数据接收者的类型等信息， 并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息，且确保个人信 息接收者无法重新识别个人信息主体的除外 d）共享、转让个人敏感信息前，除c)中告知的内容外，还应向个人信息主体告知涉及的个人敏感 信息的类型、个人信息接收者的身份和数据安全能力，并事先征得个人信息主体的明示同意。 e 准确记录和保存个人信息共享、转让的情况，将共享、转让的日期、规模、目的和数据接收者的 基本情况在内的信息进行登记 f 在共享、转让后应了解接收者对个人信息的保存、使用情况和个人信息主体的权利，例如访问、 更正、删除、注销等。 g）当个人信息控制者或处理者发生收购、兼并、重组、破产等变更时，应向个人信息主体告知有关 情况，并继续履行原个人信息控制者或处理者的责任和义务，如变更个人信息使用目的时，应 重新取得个人信息主体的明示同意。 h 当个人信息控制者与第三方联合确定个人信息处理的目的与方法时，为共同控制者，例如服务 平台与平台上的签药商家。个人信息控制者应： 1）通过合同等形式与第三方共同确定应满足的个人信息安全要求，及在个人信息安全方面 分别应承担的责任和义务； 2）通过隐私政策、用户协议、产品说明等显著且可证明的方式向个人信息主体告知； 3）共同控制者的任一方都有义务响应个人信息主体权利的请求。 注：个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如网站经营者与在其网页 或应用程序中部署统计分析工具、软件开发工具包SDK、调用API接口），且该第三方并未单独向个人信息主体 征得收集、使用个人信息的授权同意，则个人信息控制者与该第三方为共同控制者， i）承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任。例如，接入平台的

GB/T 40979—2021

第三方应用，发生数据安全事 的，网络运营者应当承担部分或全部责任，除 非网络运营者能够证明无过错

5.2.4.4个人信息第三方委托处理

5.2.4.4.1个人信息控制者要求

对个人信息控制者的要求如下： a）在对个人信息委托处理时，不应超出用户授权同意的范围； b）在对个人信息委托处理时，应对委托行为进行个人信息风险评估，确保受托方具备足够的数据 安全能力，提供了足够的安全保护水平； 在对个人信息委托处理时，应签订相关协议要求受托方符合本文件； d）应确保受托方对个人信息的相关数据处理完成之后，对存储的个人信息进行删除； e）准确记录和保存个人信息委托处理的情况

5.2.4.4.2受托方要求

对受托方的要求如下： a 严格按照控制者的要求处理个人信息，如因特殊原因未按照控制者的要求处理个人信息，应及 时向控制者反馈； b） 如确需再次委托时，应事先征得控制者的授权； 协助控制者响应个人信息主体基于5.3提出的合理请求； d） 在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件，应及时向控制者 反馈； e） 委托关系解除时不再保存个人信息

.2.4.5个人信息跨境传

在中国境内运营中收集和产生的个人信息，如需出境应遵循中华人民共和国个人信息出境安全相 关法律法规

5.2.5网络安全要求

处理个人信息的智能家电系统还应满足的网络安全要求如下： a 智能家电个人信息处理系统的安全技术措施应依据不同业务类型，满足对应的网络安全等级 保护要求，保障网络免受干扰、破坏或者未经授权的访问，防止个人信息泄露或者被窃取， 宴改； 应采取校验技术或密码技术保证个人信息在传输和存储过程中的完整性： C 应采用密码技术保证个人信息在传输和存储过程中的保密性； ） 应确保调试接口不外露，调试命令的输人通过鉴权才能开启。网络调试接口应经过用户手动 授权后才能打开，防止通过通用调试工具或方法获取个人信息存储包； e 智能家电、控制端应用、云平台其中任意两方在建立连接之前，应进行双向身份验证； 智能家电软件系统有管理员用户分级时，涉及个人信息的权限分配，应符合5.2.4.1中b）的 要求； g 智能家电在多用户操作系统中，不应给予root级别的权限； h）具备有远程调试或管理等进行用户体验改善行为功能的智能家电，使用该功能应由用户主动

GB/T 40979—2021

或做脱敏处理； i）智能家电在日志和调试信息中不应打印除设备标识信息、运行状态信息以外的个人信息； i）通过蓝牙连接设备前.应进行双向身份认证。

5.3个人信息主体的权利

5.3.1个人信息访问

应为个人信息主体提供查询其个人信息的权利如下： a）其所持有的关于该主体的个人信息或类型； b）上述个人信息的来源、使用目的； C）已获得上述个人信息的第三方身份或类型

5.3.2个人信息更正

应为个人信息主体提供更正其个人信息的权利如下： a）可产品内自行更正，或通过反馈与报错等提交申请； b 将更正信息告知已经被披露给的每个接收者，除非此类告知是不可能的或者需要付出不相称 的工作。

5.3.3 个人信息删除

应为个人信息主体提供删除其个人信息的权利如下： a）对于存储个人信息的智能家电，用户可通过隐私政策、用户协议或产品说明等方式得知删除智 能家电内个人信息的途径； b 用户可通过产品内提供的功能自行删除设备所收集的个人信息，或通过提交申请进行删除； 如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时，个人信息主体要求 删除的，应及时删除，并通知已经披露给的第三方及时删除

5.3.4个人信息主体注销账户

应为个人信息主体提供注销账户的权利如下： a 提供注销账号的方法，且易于操作； b）注销前验证用户身份； 不同意用户注销需明确不同意注销申请的条件，例如：存在用户未支付订单的情况 d）个人信息主体注销账号后，应删除或匿名化处理其个人信息

5.3.5个人信息主体撤回授权同意

应为个人信息主体提供撤回授权同意的权利如下： a 提供随时撤回授权同意的途径； b） 撤回授权同意应与作出授权同意同等容易； C 用户撤回授权同意后，应停止对其个人信息的收集；已经收集的个人信息，应进行匿名化处 或删除

5.3.6个人信息可携

应为个人信息主体提供请求行使数据可携权的方法。 即在技术可行的前提下，充许个人信息主 构化、通用化和机器可读的格式获取其个人信息副本，以及控制者将个人信息主体的个人信息副

GB/T 40979—2021

5.3.7个人信息自动化决策

完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放 广告等增值应用的要求如下： a）应以明显方式标明“定推”等字样，并为用户提供停止接收定向推送信息的功能，以确保用户有 反对或者拒绝的权利： b 用户选择停止接收定向推送信息时，个人信息控制者应当停止推送，并可由用户决定是否对已 经收集的设备识别码等用户数据和个人信息进行删除或匿名化处理，

5.3.8响应个人信息主体的请求

6.1明确责任部门与人员

.2个人信息安全影响语

GB/T 409792021

6.3个人信息安全事件处置

7.1.1.1审查对象

有关个人信息数据收集、处理和管理的文档，包括系统功能说明、隐私政策、审批流程、个人信息 件记录、特殊访问记录等文档

7.1.1.2审查内容及要求

有关个人信息数据收集、处理和管理的文档应满足的要求包括但不限于： a 完备性要求如下： 1）个人信息收集的目的； 2 家电用户有可能看到的有关个人信息处理的各种明示警示信息； 3 个人信息数据的流转过程说明： 有关个人信息收集、处理和管理的系统功能说明； 5 全部个人信息访问入口及权限； 6 如必要，给出个人信息的加密处理办法； 7） 如必要，给出个人信息管理办法。 b） 正确性要求如下： 1）文档中的所有信息都符合第5章、第6章对应要求； 2）文档不应有歧义的信息。 一致性要求如下： 各文档中的内容不应自相矛盾、互相矛盾以及与产品说明矛盾 易理解性要求如下： 用户文档应使用对于其读者可理解的术语和文体，应通过经过编排的文档清单，为用户理解文 档提供便利

审查与个人信息收集、处理相关的代码，包括位于智能家电内部软件控制器中的代码、智能家电配 套APP软件代码及远程服务平台软件代码。 代码审查前，应保证满足的条件如下： a）代码无错误的通过编译； b）获得被测代码有关的文档 依据软件相关文档，通过使用软件工具和人工分析相结合的方式对源程序进行代码审查，代码应与 文档中规定的功能一致，

7.1.3设备功能及安全测试

7.1.3. 1测试对象

7.1.3.2测试内容及要求

GB/T40979202

制端应用以及设备本体中与个人信息相关的功能

设备功能性方面包括：设备主要功能、界面内容、隐私政策等。 设备安全性方面包括：固件安全、权限限制、密钥复杂度等， 智能家电、智能家电系统和智能家居整个系统的功能性及安全性应符合第5章中的要求

更用通间扫描测试 信息安全的Web应用和服务中存在的漏洞。 常见的漏洞类型见附录C

7.1.5通信保护测试

7.1.5.1测试对象

要测试与个人信息相关的网络传输数据

.1.5.2测试内容及要求

依据第5章的要求，可采用网络折包、端网络包、噪探等测试方法对网络数据进行抓包，分析是 否加密传输，加密格式，是否跨境传输，重放攻击，身份鉴别，通信保护等；可对图片，视频的等数据进行 进一步分析，查看里面是否携带个人信息，个人敏感信息。可使用网络上通用的字典，对加密包进行字 典攻击后.分析其中是否携带个人敏感信息

7.1.6.1核查对象：

核查对象主要包括的内容如下： a）人员核查包括但不限于：人员职责划分、权限分配等； b）行为核查包括但不限于：定期开展安全影响评估、了解信息提供方的情况等；

.1.6.2核查内容及要求

依据第5章、第6章的要求，根据实际情况，现场通过考核抽查等形式，对于被测评方进行实地考 察，主要目的就是通过对被测评方进行现场实地考察，验证被测评方的实际执行情况，从而来评价该环 境管理体系运行的有效性，判别被测评方建立的环境管理体系符合标准要求。依照考核实际情况与标 推所要求是否相符合

智能家电个人信息保护的测评对象是智能家电产品端、控制端（APP）、远程服务平台等多个对 成的系统，主要从完备性、正确性、一致性、真实性、合法性等多个方面来进行考核，应综合运用文格 、代码审查、设备功能及安全测试、漏洞扫描、通信保护测试、现场核查进行评估，具体相关测评项目 试类型见表4。

GB/T40979—2021

表4测评项目与测试类型对应关系表

GB/T 40979—2021

智能家电应用场景 本附录给出了实现智能家电控制与互联互通的三种应用场景，其中控制者指个人信息控制者。 在实际业务逻辑中，可能同时存在下述多个场景。 场景1：APp和家电设备属同一个人信息控制者 A控制者家电设备与A控制者APP，通过与A控制者云平台的连接，将APP的控制命令传递给云 平台，实现App对智能家电的控制，云平台对智能家电的管理；App也可以不经过云平台，直接与家电 设备相连，实现对智能家电的控制。如图A.1所示

日A.1A控制者App控制A控制者的家电设备

场景2：APP与家电设备属不同个人信息控制者 由于B控制者ApP只能连接到B控制者云平台，B控制者云平台不能直接管理A控制者家电设 备，所以B控制者云平台需与A控制者云平台对接，才能把B控制者APP的控制命令传递给A控制者 云平台，从而实现B控制者App对A控制者智能家电的远程控制。如图A.2所示。 A控制者云平台与B控制者云平台也可通过第三方云平台间接进行互联

GB/T40979—2021

2B控制者App远程控制A控制者的家电设备

B控制者云平台与A控制者云平台对接，或B控制者云平台直接控制A控制者家电设备，家电设 备联动的业务逻辑放置在B控制者云平台内。当B控制者家电设备状态改变时，B控制者根据设备联 动的业务逻辑控制A控制者的家电设备。如图A.3所示。 A控制者云平台与B控制者云平台也可通过第三方云平台间接进行互联。

不同控制者的智能家电通过互联网和云平台进

GB/T 40979—2021

能家电核心业务功能对应的最少信息与约束条件

本附录规定了用户注册及登录、设备控制、智慧场景、网上商城、售后服务等常用核心业务功能 的最少信息与约束条件，见表B.1。

常用核心业务功能可收集的最少信息与约束

GB/T40979—2021

核心业务功能可收集的最少信息与约束条件（续

C.1Web应用和服务中的漏洞

常见的可能影响个人信息安全的web应用和服务中存在的漏洞如下 数据注人和操纵攻击； 跨站脚本攻击（XSS攻击），包括反射型和持久型XSS攻击； 跨站请求伪造； SQL注人； 缓冲器溢出； 整数溢出： Log注人； 远程文件包含（RFI）注入； 服务器端包含（SSI）注人： 操作系统命令注人； 本地文件包含（LFI)； 会话与验证； 会话强度； 验证攻击（Authenticationattack)； 验证不充分； 会话有效期短（insufficientsessionexpiration）； 服务器与通用HTTP； 安全套接层（SSL）证书问题： SSL协议、SSL密码； 服务器配置不当； 目录索引与列举； 拒绝服务（DoS)； HTTP响应拆分； 译码攻击； Windows8.3文件名； DOS驱动程序安装处理DoS(DOSdevicehandleDoS)； 标准化攻击； URL改道攻击； 密码自动完成； Cookie安全； 自定义模糊； 路径操纵； 路径截断(Pathtruncation)； Ajax审计； WebDAV审计：

GB/T40979202

C.2移动应用和服务中的漏洞

表C.1Android漏洞类型

GB/T 40979—2021

牛奶标准表C.1Android漏洞类型（续）

GB/T40979—2021

表C.1Android漏洞类型（续）

表 C.2IOS漏洞类型

GB/T 40979—2021

装修标准规范范本表C.2IOS漏洞类型（续）

GB/T40979—2021参考文献[1]GB/Z28828—2012信息安全技术公共及商用服务信息系统个人信息保护指南[2] GB/T37964—2019信息安全技术，个人信息去标识化指南[3]DB21/T1628.1—2012信息安全个人信息保护规范[4] App违法违规收集使用个人信息行为认定方法（国信办秘字[2019]191号）26