T/CVIA 108.12-2023 智能电视信息安全 应用程序个人信息保护要求和评测方法

　　团 体 标 准

　　T/CVIA 108.12-2023

　　智能电视信息安全 应用程序个人信息保护要求和评测方法

　　Smart TV information security

　　Personal information protection requirements and test methods for smart TV

　　application

　　2023-12-06 发布 2023-12-06 实施

　　中国电子视像行业协会 发布

　　目 次

　　前 言

　　本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规则起草。

　　请注意本文件的某些内容可能涉及专利。本文件发布机构不承担识别这些专利的责任。

　　本文件由中国电子视像行业协会提出并归口。

　　本文件主要起草单位： 四川长虹电器股份有限公司、四川虹魔方网络科技有限公司、深圳市酷开网络科技股份有限公司、深圳创维-RGB 电子有限公司、深圳 TCL 新技术有限公司、海信视像科技股份有限公司、重庆市易平方科技有限公司、康佳集团股份有限公司、深圳康佳电子科技有限公司、中家院(北京) 检测认证有限公司、聚好看科技股份有限公司、厦门厦华科技有限公司、深圳市雷鸟网络科技有限公司。

　　本文件主要起草人：邓文科、宋舰、郝亚斌、冯晓曦、彭健锋、彭一亮、徐崖洲、马万铮、姜海辉、叶兴旺、房振会、范鸿波、鞠磊磊、马琳、郑梁、刘洋、时雨、薛元、林恺杰、张利利、王佳敏。

　　本文件是首次发布。

　　引 言

　　随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，人们进入了大数据时

　　代，电视也从普通电视发展为现在的智能电视，智能电视也进入了大数据时代。截止到 2022 年国内智能电视的保有量已经超过 4 亿台，智能电视的信息安全也关系到咱们国家的信息安全，也关系到亿万观众者的合法利益。这也是全生态发展到一定阶段的突出问题。

　　智能电视信息安全保护的最终目的是促进数据的合理使用。要在充分保护个人信息的前提下，探索实现更加精确的数据确权，更加便捷的数据交易，更合理的数据使用，激发市场主体活力和科技创新能力，同时也为我国数字化经济成功转型与健康、安全发展的强大保障力量提供了基础，也让人民群众在信息化发展中有更多获得感、幸福感、安全感。

　　为进一步加强行业自律，完善智能电视信息安全和用户信息保护体系，保障消费者权益，促进行业健康有序发展，根据智能电视产品的实际情况和市场的发展趋势，在工信部电子信息司消费电子处的指导下，2022 年 5 月中国电子视像行业协会立项《智能电视操作系统个人信息保护要求和评测方

　　法》等十三部团体标准，开展智能电视信息安全系列标准的制定。智能电视信息安全系列标准分别包括《智能电视信息安全 操作系统个人信息保护要求和评测方法》、《智能电视信息安全 操作系统权限管理技术要求和评测方法》、《智能电视信息安全 操作系统数据存储安全技术要求和评测方法》、《智能电视信息安全 固件安全技术要求和评测方法》、《智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》、《智能电视信息安全 操作系统调试与配置管理安全技术要求和评测方法》、《智能电视信息安全 操作系统开源软件及第三方库使用安全技术要求和评测方法》、《智能电视信息安全 应用程序个人信息保护要求和评测方法》、《智能电视信息安全 应用程序采集必要个人信息范围》、《智能电视信息安全 操作系统启动和更新安全技术要求和评测方法》、《智能电视信息安全 操作系统网络访问技术要求和评测方法》、《智能电视信息安全 软件日志安全技术要求和评测方法》。

　　《智能电视信息安全 应用程序个人信息保护要求和评测方法》规范了智能电视应用程序对于个人信息保护要求和评测方法，对保护消费者合法权益具有非常重要的指导意义

　　智能电视信息安全

　　应用程序个人信息保护要求和评测方法

　　1 范围

　　本文件规定了智能电视应用程序中个人信息保护要求及测评方法。

　　本文件适用于智能电视应用程序涉及的个人信息处理活动，包括个人信息收集、存储、传输、删除、使用等环节，以及个人信息保护的评测方法。

　　2 规范性引用文件

　　下列文件中的内容通过文中规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 35273-2020 信息安全技术 个人信息安全规范

　　T/CVIA 29-2014 智能电视机总规范

　　T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法

　　T/CVIA 108.6-2023 智能电视信息安全 应用程序采集必要个人信息范围

　　3 术语和定义

　　3.1 智能电视 smart tv

　　智能电视机是具有操作系统，支持第三方应用资源实现功能扩展，支持多网络接入功能，具备智能人机交互、与其它智能设备进行交互的电视机。

　　[来源：T/CVIA 29-2014 ，2]

　　3.2 智能电视应用程序 smart TV application

　　运行在智能电视操作系统之上，向用户提供各个功能和服务的应用程序;

　　[来源：T/CVIA 29-2014 ，3.3]

　　3.3 个人信息 personal information

　　以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

　　注 1 ：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。

　　[来源：GB/T 35273-2020 ，3.1，有修改]

　　3.4 个人敏感信息 personal sensitive information

　　一旦泄露、非法提供或滥用，可能危害人身或财产安全，个人隐私暴露，极易导致个人名誉、身心健康等受到损害或歧视性待遇等的个人信息。

　　注 1：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。

　　[来源：GB/T 35273-2020 ，3.2，有修改]

　　3.5 个人信息主体 personal information subject

　　个人信息所标识或者关联的自然人。

　　[来源：GB/T 35273-2020 ，3.3]

　　3.6 个人信息控制者 personal information controller

　　有能力决定个人信息处理目的、 方式等的组织或个人。

　　[来源：GB/T 35273-2020 ，3.4]

　　3.7 明示同意 explicit consent

　　个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。

　　注 1：肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

　　[来源：GB/T 35273-2020 ，3.6]

　　3.8 个人画像 user profiling

　　通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测，形成其个人特征模型的过程。

　　3.9 匿名化 anonymization

　　通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。

　　注：个人信息经匿名化处理后所得的信息不属于个人信息。

　　[来源：GB/T 35273-2020 ，3.14]

　　3.10 去标识化 de-identification

　　通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或关联个人信息主体的过程。

　　注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段代替对个人信息的标识。

　　[来源：GB/T 35273-2020 ，3.15]

　　4 概述

　　本文件对智能电视应用程序在个人信息保护关于收集、存储、传输、删除、使用等方面制定了技术要求，并给出具体的测试方法和步骤。

　　4.1 个人信息分类和安全分级

　　本文件所制定的智能电视应用程序个人信息分类和分级方法，遵从《个人信息保护法》和《GB/T 35273-2020 信息安全技术 个人信息安全规范》，并针对智能电视应用程序的特点进行适当调整，其最新版及后续修订版适用于本文件。

　　4.1.1 个人信息分类方法

　　智能电视应用程序个人信息分类方法如表 1 所示：

　　表 1 智能电视应用程序个人信息分类

　　4.1.2 个人敏感信息方法

　　智能电视应用程序个人敏感信息分类方法如表 2 所示：

　　表 2 智能电视应用程序个人敏感信息分类

　　4.1.3 个人信息安全分级方法

　　智能电视应用程序个人信息安全分级方法如表 3 所示：

　　表 3 智能电视应用程序个人信息安全分级

　　5 个人信息保护技术要求

　　5.1 个人信息收集技术要求

　　在收集个人信息时，个人信息控制者应满足的技术要求如下：

　　a) 收集个人信息应满足 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 4.1 规定的要求;

　　b) 收集个人信息的最小必要原则应满足 《T/CVIA 108.6-2023 智能电视信息安全 应用程序采集必要个人信息范围》中 5.1 规定的要求;

　　c) 收集必要个人信息应满足 《T/CVIA 108.6-2023 智能电视信息安全 应用程序采集必要个人信息范围》中 5.2 规定的要求。

　　5.2 个人信息存储技术要求

　　在个人信息的存储阶段，个人信息控制者应满足的技术要求如下：

　　a) 智能电视应用程序收集的可识别特定自然人的个人信息应进行去标识化处理，并将可用于恢复识别个人的信息与去标识化后的信息分 开存储;

　　b) 智能电视应用程序中不应存储原始个人生物识别信息，可存储个人生物识别信息的摘要信息;

　　c) 智能电视应用程序中个人生物识别信息的摘要信息应与个人身份信息分开存储;

　　d) 在存储安全级别为 Ⅰ(按照 4.1.3 中表 3 定义的个人信息安全分级)的个人信息时，应采用加密算法对个人信息进行加密，密码算法要求与 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 4.2.2 规定的要求一致。

　　5.3 个人信息传输技术要求

　　在个人信息的传输阶段，智能电视应用程序个人信息传输应满足 《T/CVIA 108.7-2023 智能电视信

　　息安全 应用程序信息采集与传输技术要求和评测方法》中 4.2 规定的要求。

　　5.4 个人信息删除技术要求

　　对个人信息控制者的要求如下:

　　a) 个人信息主体取消授权后，应及时删除或匿名化处理其所对应个人信息;

　　b) 产品或服务停止运营后，应及时删除或匿名化处理其个人信息;

　　c) 对智能电视应用程序中缓存的个人信息数据，应提供自动删除或者手动删除功能;

　　d) 个人信息主体注销账户后，应及时删除或匿名化处理其个人信息。

　　5.5 个人信息使用技术要求

　　在使用个人信息时，对个人信息控制者的要求如下：

　　a) 个人信息主体在首次访问应用程序时，应用程序应通过弹窗或者链接等明显方式向个人信息主体提示授权申请，并提供同意和拒绝选项;在获得个人信息主体授权同意后，才可使用授权范围内的个人信息;

　　b) 应用程序在通过界面展示个人信息时，应对需要展示的安全级别为 Ⅰ(按照 4.1.3 中表 3 定义的个人信息安全分级)的个人信息采取匿名化或者去标识化处理措施;

　　c) 当应用程序需要将个人信息共享、转让时，应通过弹窗或者链接向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果，并需征得个人信息主体的授权同意;

　　d) 当应用程序在产品或服务中接入具备收集个人信息功能的第三方产品或服务时，应该在用户协议或者隐私政策中向用户明示，包括但不限于第三方名称、目的、个人信息类型、隐私政策链接。

　　5.6 个人信息权利保护技术要求

　　为保障个人信息主体的权利，对个人信息控制者的要求如下：

　　a) 应通过界面、弹窗或者链接等明显方式向个人信息主体提供个人信息查询方法，包括但不限于：个人信息或个人信息类型、个人信息的来源、所用于的目的、已获得上述个人信息的第三方身份或者类型;

　　b) 个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的，个人信息控制者应通过界面、弹窗或者链接等明显方式为其提供请求更正或补充信息的方法;

　　c) 应通过界面、弹窗或者链接等明显方式向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后，个人信息控制者后续不应再处理相应的个人信息，且撤回授权同意后应满足

　　5.4 中 a) 的要求;

　　d) 若应用程序提供账户注册类服务，应向个人信息主体提供有效的注销账户方法，且在相关界面上设置注销指引，且注销账户后应满足 5.4 中 d) 的要求;

　　e) 提供有效安全的投诉、举报渠道，且在相关界面中设置投诉、举报指引。

　　6 评测方法

　　6.1 测试环境搭建

　　6.1.1 提供 1 台可以正常开机运行的智能电视机，以下称“测试样机”

　　a) 该测试样机已安装智能电视操作系统，且能正常操作;

　　6.1.2 提供 1 种可以接入互联网的网络，以下称“测试网络”

　　a) 测试网络访问互联网的带宽不低于 200M，访问中国大陆地区主要互联网结点(参考公有云、电信运营商数据中心位置分布)的网络延时不高于 100ms;

　　b) 根据测试样机的网络接入方式， 测试网络可以是有线形式或 Wi-Fi 形式。

　　6.1.3 提供 1 个待测应用程序，以下称“应用”

　　a) 该智能电视操作系统能兼容待测应用;

　　b) 应用能正常接入和使用网络。

　　6.2 评测方法

　　6.2.1 个人信息收集评测

　　a) 评测标准：与 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 5.1 下各评测项的a)评测标准 一致。

　　b) 前置条件：按照 6.1 章节中的条件搭建测试环境，并分别按照 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 5.1 下各评测项的 b)前置条件 进行准备。

　　c) 评测方法：分别按照 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 5.1 下各评测项的c)评测方法 进行。

　　d) 期望结果：分别按照 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 5.1 下各评测项的d)期望结果 进行判定。

　　6.2.2 个人信息存储评测

　　a) 评测标准：参照 5.2 章节中的技术要求。

　　b) 前置条件：按照 6.1 章节中的条件搭建测试环境，智能电视处于可开机使用的正常工作状态。

　　c) 评测方法：

　　1) 步骤 1：启动应用并进行个人信息采集操作后，进入智能电视，查看个人信息数据去标识化处理情况。

　　2) 步骤 2：通过技术检测查看个人生物识别信息存储情况。

　　3) 步骤 3：通过技术检测查看个人生物识别信息与个人身份信息存储情况。

　　4) 步骤 4：通过技术检测查看安全级别为 Ⅰ 的个人信息存储情况。

　　d) 期望结果：

　　1) 步骤 1 后：如果收集的可识别特定自然人的个人信息未进行去标识化处理，或者去标识化后的信息未与可用于恢复识别个人的信息分开存储，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果存储了原始个人生物识别信息，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 3。

　　3) 步骤 3 后：如果个人生物识别信息的摘要信息未与个人身份信息分开存储，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 3。

　　4) 步骤 4 后：如果安全级别为 Ⅰ的个人信息已加密存储，且加密算法应满足 《T/CVIA 108.7- 2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 4.2.2 项的要求，则评测结果为“符合要求”，评测结束;否则为“不符合要求”。

　　6.2.3 个人信息传输评测

　　a) 评测标准：与 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 5.2 下各评测项的a)评测标准 一致。

　　b) 前置条件：按照 6.1 章节中的条件搭建测试环境，并分别按照 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 5.2 下各评测项的 b)前置条件 进行准备。

　　c) 评测方法：分别按照 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 5.2 下各评测项的c)评测方法 进行。

　　d) 期望结果：分别按照 《T/CVIA 108.7-2023 智能电视信息安全 应用程序信息采集与传输技术要求和评测方法》中 5.2 下各评测项的 d)期望结果 进行判定。

　　6.2.4 个人信息删除评测

　　a) 评测标准：参照 5.3 章节中的技术要求。

　　b) 前置条件：按照 6.1 章节搭建测试环境，应用中账号处于登录状态。

　　c) 评测方法：

　　1) 步骤 1：启动应用，并对应用程序进行抓包。

　　2) 步骤 2：进入授权管理页面，撤回个人信息的部分授权，重复步骤 1。

　　3) 步骤 3：进入智能电视，查看个人信息数据。

　　4) 步骤 4：应用执行删除缓存操作，重复步骤 3。

　　5) 步骤 5：进入注销页面，确认注销，重复步骤 1。

　　d) 期望结果：

　　1) 步骤 2 后：如果采集的个人信息包含撤回授权部分的个人信息，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 4。

　　2) 步骤 4 后：如果还存在个人信息数据，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 5。

　　3) 步骤 5 后：如果应用账号未退出登录，且还能采集个人信息，则评测结果为“不符合要求”，评测结束。

　　6.2.5 个人信息使用评测

　　a) 评测标准：参照 5.4 章节中的技术要求。

　　b) 前置条件：按照 6.1 章节搭建测试环境，应用处于安装后从未启动状态。

　　c) 评测方法：

　　1) 步骤 1：启动应用。

　　2) 步骤 2：进入应用用户信息展示页面。

　　3) 步骤 3 ：隐私协议变更后，重新进入应用。

　　4) 步骤 4：进入应用用户协议或者隐私协议页面。

　　d) 期望结果：

　　1) 步骤 1 后：如果没有弹出弹窗或者链接提示授权申请，并提供同意和拒绝选项，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果安全级别为 Ⅰ的个人信息未被匿名化或者去标识化处理，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 3。

　　3) 步骤 3 后：如果没有再次弹出弹窗或者链接提示授权申请，并提供同意和拒绝选项，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 4。

　　4) 步骤 4 后：如果协议中未包含第三方名称、目的、个人信息类型、隐私政策链接等信息，则评测结果为“不符合要求”，评测结束。

　　6.2.6 个人信息的权利保护评测

　　a) 评测标准：参照 5.5 章节中的技术要求。

　　b) 前置条件：按照 6.1 章节搭建测试环境，应用处于安装后从未启动状态。

　　c) 评测方法：

　　1) 步骤 1：启动应用。

　　2) 步骤 2 ：阅读隐私政策，隐私政策中包含有效的访问、更正、删除个人信息，撤回授权同意，注销账号，投诉，举报指引。

　　3) 步骤 3 ：按照隐私政策中的访问、更正、删除个人信息，撤回授权同意，注销账号，投诉，举报指引步骤逐一操作。

　　d) 期望结果：

　　1) 步骤 1 后：如果没有果弹出隐私政策提醒，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 2。

　　2) 步骤 2 后：如果隐私政策中无有效的访问、更正、删除个人信息，无撤回授权同意，无注销账号、投诉、举报指引，则评测结果为“不符合要求”，评测结束;否则继续执行步骤 3。

　　3) 步骤 3 后：如果任一操作结果不符合隐私政策中的访问、更正、删除个人信息，撤回授权同意，注销账号，投诉，举报指引，则评测结果为“不符合要求”，评测结束。