欢迎访问学兔兔标准下载网,学习、交流 分享 !
返回首页 |
CCIA
中 国 网 络 安 全 产 业 联 盟 技 术 规 范
T/CCIA 003—2023
儿童智能手表个人信息和权益保护指南
Guidance on Personal Information and Rights Protection of Children's Smartwatches
2023 - 12 - 31 发布 2024 - 03 - 31 实施
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》给出的规则起草。
本文件由中国网络安全产业联盟提出。
本文件由中国网络安全产业联盟归口。
本文件起草单位:中国电子技术标准化研究院、广东小天才科技有限公司、深圳市网安计算机安全检测技术有限公司、深圳赛西信息技术有限公司、OPPO广东移动通信有限公司、北京汉华飞天信安科技有限公司、北京智游网安科技有限公司、广东北源律师事务所等。
本文件主要起草人:何延哲、周裕亮、任江晖、陆冰、佘豪情、刘昊鑫、吴建东、刘丹丹、杨忠华、黄伟杰、高超、韩云、彭根、付艳艳、许依榕、王月、张瑶、梁艳芬、吴蕊、尤诗佳、王琛等。
儿童智能手表个人信息和权益保护指南
1 范围
本文件提供了儿童智能手表在个人信息处理和权利保障、儿童个人信息安全、默认隐私和保护、监护人控制、操作系统和应用程序安全、网络信息内容安全、新技术新应用安全方面的建议。
本文件适用于儿童智能手表制造者及相关应用程序提供者在开发与运营过程中强化个人信息和权益保护机制,也可为检查、评估等活动,以及监护人选用、使用产品提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
3 术语和定义
GB/T 35273—2020、GB/T 41411—2022、GB/T 42574-2023界定的以及下列术语和定义适用于本文件。
3.1
儿童智能手表 children's smart watches
主要用户群为3周岁以上,14岁周岁及以下儿童,且满足儿童特定需求的智能手表。
[GB/T 41411-2022,定义3.4,有修改]
3.2
个人信息 personal information
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
[GB/T 42574-2023,定义3.1]
3.3
敏感个人信息 sensitive personal information
一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
[GB/T 42574-2023,定义3.2]
3.4
监护人控制应用程序 guardian control application
供儿童监护人使用,用于关联儿童智能手表对儿童使用儿童智能手表行为进行控制的应用程序。注:监护人控制应用程序可以是独立的应用程序或应用程序中的独立功能。
4 缩略语
下列缩略语适用于本文件。
App:移动互联网应用程序(mobile internet application)
IMEI:国际移动设备识别码(International Mobile Equipment Identity)
IMSI:国际移动用户识别码(International Mobile Subscriber Identity)
NFC:近场通信(Near Field Communication)
5 概述
儿童智能手表属于专门供未成年人使用的智能终端产品,儿童智能手表制造者应当坚持以最有利于儿童为根本原则设计操作系统、应用程序,并采取相应的安全保护措施,尽可能降低儿童个人信息安全风险,充分保障儿童网络权益。需考虑的因素包括:
a) 从保护儿童安全、促进身心健康发展、增进网络素养、实现亲情沟通、干预沉迷网络等视角设计儿童智能手表功能,确保处理儿童个人信息的正当性;
b) 儿童智能手表个人信息处理和安全保护宜参照GB/T 35273-2020和GB/T 41411-2022附录A相关要求;
c) 不满14周岁的儿童个人信息视为敏感个人信息进行管理和保护;
d) 为防止无法准确区分用户年龄、身份,儿童智能手表及监护人控制应用程序处理的个人信息宜参照敏感个人信息的安全措施进行保护。
6 个人信息处理和权利保障
6.1 业务功能和处理信息必要性
儿童智能手表制造者需考虑的因素包括:
a) 儿童智能手表涉及的业务功能属于附录A给出的常见业务功能时,参照附录A确定该业务系统功能和必要个人信息范围;
b) 儿童智能手表涉及的业务功能不属于附录A给出的常见功能时,参照GB/T 41391-2022第5章确定相应的必要个人信息范围,并在取得监护人同意的情况下处理个人信息;
c) 儿童智能手表提供的监护人控制应用程序支持查看儿童智能手表的个人信息处理规则,在儿童使用儿童智能手表前,监护人能通过监护人控制应用程序使用自身身份信息绑定管理权限;
d) 监护人控制应用程序收集个人信息,宜参照GB/T 41391—2022的相关要求。
6.2 告知同意实施
儿童智能手表制造者需考虑的因素包括以下内容。
a) 宜参照GB/T42574-2023 8.2和附录C制定并发布专门的儿童个人信息处理规则。
b) 在开启儿童智能手表功能前,应参考GB/T 42574—2023 9.3.5e)和附录C,向监护人告知个人信息处理规则并取得至少一位监护人的单独同意。
c) 儿童智能手表业务功能与应用程序宜针对儿童和监护人采取不同的告知同意方式,包括但不限于:
1) 儿童智能手表操作系统提供的业务功能,宜参照 GB/T 42574—2023 附录 D D.3;
2) 儿童智能手表内的 App 及监护人控制应用程序,宜参照 GB/T 42574—2023 附录 A。
d) 宜参照GB/T 42574—2023 9.7对监护人的同意证据进行留存。
6.3 个人信息权利行使
儿童智能手表制造者需考虑的因素包括:
a) 涉及个人信息的转移、删除等可能对儿童权益产生较大影响的权利行使,需通过核验监护人身份、向监护人发送通知等方式,确保权利行使监护人知情;
b) 在儿童智能手表的显著位置,如“设置”“更多 ”等交互界面向儿童及其监护人告知投诉与反馈的渠道,如个人信息安全责任部门的联系方式、地址、 电子邮箱等,并明确投诉处理与反馈的期限;
c) 建立投诉管理制度与操作流程,并设立专职人员负责处理儿童个人信息的投诉与请求,在规定的期限内对投诉和反馈进行响应;
d) 宜向儿童及其监护人提供外部争议解决机构及其联络方式,以应对出现无法协商解决的争议和纠纷。
注:涉及儿童的外部争议解决机构包括:未成年人保护相关工作委员会、法律援助中心、志愿者组织等。
7 儿童个人信息安全
7.1 账号安全
儿童智能手表制造者需考虑的因素包括:
a) 如注册账号失败或无法获得其监护人授权同意时,及时删除注册过程中已收集的儿童及其监护人的个人信息;
b) 在注册、登录、注销儿童账号等场景进行必要的监护人身份核验;
c) 为监护人提供设置管理监护人账号与儿童账号关联管理的途径;
注:监护人账号通常指由监护人注册使用用于对儿童智能手表使用情况进行查看、对功能进行控制等的账号,监护人账号与儿童账号相互独立,仅供监护人使用。
d) 支持监护人对儿童账号进行注销(监护人可选择将监护人账号与儿童账号解绑),并及时删除或匿名化儿童的个人信息。
7.2 传输和存储安全
儿童智能手表制造者需考虑的因素包括:
a) 宜参照GB/T 35273—2020中6.3的要求,采取必要的安全技术措施,保障儿童个人信息的保密性和完整性;
b) 儿童智能手表终端数据宜采取加密方式存储;
c) 在境内存储、处理儿童智能手表收集的数据;
d) 儿童个人信息与监护人个人信息宜分开存储,以便于强化对儿童个人信息的安全管理;
e) 通过监护人控制应用程序或手表终端,向监护人及儿童提供删除个人信息的途径和方法,并在接到删除请求时及时采取措施予以删除;
f) 在停止运营产品或者服务后,立即停止收集儿童个人信息的活动,并将停止运营的通知及时告知儿童及其监护人,由监护人决定删除或转移相关的儿童个人信息。
7.3 数据防泄漏
儿童智能手表制造者需考虑的因素包括:
a) 提供对儿童智能手表终端存储(包括缓存)的儿童个人信息等数据进行删除的机制;
b) 向监护人提供挂失等功能,挂失后的儿童智能手表禁止被其他人使用或访问,监护人可在挂失后通过监护人控制应用程序远程删除手表数据或设置手表联网后自动删除数据;
c) 向监护人提供儿童智能手表位置查找等功能,以便于及时找回遗失的儿童智能手表防范信息泄露。
7.4 个人信息安全管理
儿童智能手表制造者需考虑的因素包括:
a) 以最小授权为原则,在系统后台严格设定信息访问权限,控制儿童个人信息知悉范围。系统后台人员访问儿童个人信息的,需经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法处理未成年人个人信息;
b) 开展儿童个人信息处理相关的个人信息保护影响评估时,宜引入监护人代表作为咨询对象参与评估过程,个人信息保护影响评估情况可供监护人查询(如通过监护人控制应用程序查询);
c) 儿童用户数量巨大(如超过10万人的)的儿童智能手表制造者需成立主要由外部成员组成的独立机构对儿童个人信息保护情况进行监督;
注 1:外部成员中监护人代表的比例建议不低于 30%。
d) 儿童智能手表制造者每年公开发布(如在官方网站、公众号等渠道发布)专门的儿童网络保护
社会责任报告,并接受社会监督;
注 2:儿童网络保护社会责任报告可以是单独的报告或者整体社会责任报告的单独章节。
e) 儿童智能手表制造者需自行或者委托专业机构每年对处理儿童个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告相关主管部门。
8 默认隐私和保护
8.1 可收集个人信息种类限制
儿童智能手表制造者需考虑的因素包括:
a) 儿童智能手表采取保护机制禁止应用程序收集IMEI 、IMSI等设备信息,涉及儿童智能手表系统管理、设置等基础功能(非第三方提供)的除外;
b) 宜参照GB/T 41391—2022和附录A明确业务功能对应的个人信息种类,并形成必要信息清单,在开发、测试阶段验证是否遵循必要信息清单,防止多余种类个人信息被收集。
8.2 个人信息处理目的限制
儿童智能手表制造者需考虑的因素包括:
a) 在个人信息处理规则中对每个种类的个人信息处理目的、使用范围予以明确;
b) 应用程序仅处理其自行收集儿童个人行为习惯信息(如浏览记录、搜索记录等),系统后台不对儿童个人行为习惯信息进行汇聚融合,经监护人单独同意的除外;
c) 禁止出于商业营销的目的,对儿童个人信息进行用户画像或数据分析;
d) 未取得监护人同意,儿童个人信息仅存储在儿童智能手表终端。
8.3 权限和功能默认关闭
儿童智能手表中以下涉及个人信息处理的权限、功能在初次使用时保持默认关闭状态,权限、功能开启需由用户主动开启,包括:
a) 权限包括:定位、信息推送、存储访问、摄像头访问、麦克风访问、传感器访问、NFC访问等;
b) 功能包括:应用下载安装、社交、位置共享、购物和支付、远程控制等。
9 监护人控制
9.1 应用程序安装控制
儿童智能手表制造者需考虑的因素包括:
a) 提供儿童智能手表上的应用程序安装的监护人控制机制,在监护人同意安装或监护人同意未成
年人自主安装的应用程序才可进行安装;
注:应用程序功能介绍需全面准确,以便于监护人进行判断。
b) 涉及付费安装的应用程序,需强制通知监护人同意后安装并由监护人支付;
c) 原则上禁止儿童智能手表通过点击链接、扫描二维码等方式安装第三方应用程序;
d) 采取有效的管理和技术措施,严防垃圾软件和恶意软件的安装;
e) 原则上禁止网络游戏类应用程序被安装。
9.2 功能控制
儿童智能手表制造者在监护人控制应用程序设置相应功能,支持监护人能够对儿童智能手表及应用程序的特定功能(如应用内付费、通信浏览、社交娱乐等可能对儿童权益有较大影响的功能)进行控制,需考虑的因素包括以下内容。
a) 对于应用内付费功能,包括但不限于:
1) 禁止开启免密支付等快捷支付功能;
2) 禁止预充值和手表端自动续费;
3) 提供定期(如每日、每周等)支付限额设置功能,修改设置需验证监护人身份;
4) 支持退款的,需主动展示明确的退款条件等规则,并提供便捷的退款渠道。
b) 对于通信浏览功能,包括但不限于:
1) 选择是否启用拒接陌生人来电和接收短信等功能;
2) 支持设置通讯录黑名单、白名单;
3) 支持设置网页访问黑名单、白名单。
c) 对于社交功能,包括但不限于:
1) 选择是否启用社交功能,如摇一摇、好友群聊、碰一碰加好友等功能;
2) 线上新增好友时提醒监护人由监护人同意后添加好友;
3) 监护人可直接管理好友列表,进行好友的新增、删除。
d) 支持监护人控制与娱乐相关功能的使用,如小说、漫画、音视频、图片或视频美化等。
9.3 时间控制
儿童智能手表制造者需考虑的因素包括:
a) 儿童智能手表及安装的应用程序支持监护人设置可使用时段、时长等精细化设置;
b) 基于儿童保护需要或基于有关规定、标准、公约等,给予监护人对使用应用程序建议的控制时长,并提供控制功能;当超出设置的时长后,儿童无法继续使用应用程序或儿童智能手表,涉及儿童安全的功能除外;
c) 宜提供统计应用程序累计使用时长的功能,定期向监护人控制应用程序进行推送,以便监护人根据需求合理设置后续的使用时长等设置。
9.4 监护人控制功能
儿童智能手表制造者需考虑的因素包括:
a) 监护人控制应用程序采取强制的监护人身份验证机制;
b) 监护人可通过监护人控制应用程序实现8.1~8.3相关控制功能;
c) 控制功能仅向监护人(在监护人控制应用程序中绑定手表的成员)开放,使用控制功能前需验证监护人身份;
d) 不支持儿童直接通过儿童智能手表自行重置、修改监护人设置;
e) 支持监护人设置禁止儿童自行将儿童智能手表关机;
f) 宜提供查看儿童使用儿童手表相关应用、功能的日志信息功能,为监护人使用控制功能提供参考;
g) 儿童首次使用儿童智能手表时,操作系统宜对监护人强制提醒通过控制功能设置儿童智能手表相关控制设置。
10 操作系统和应用程序安全
10.1 操作系统安全
儿童智能手表制造者需考虑的因素包括:
a) 儿童智能手表使用的操作系统需支撑正常更新升级,以及时消除已知的安全漏洞与缺陷;
b) 儿童智能手表使用的操作系统具备恶意代码检测机制,恶意代码库能保持持续更新;
c) 儿童智能手表使用的操作系统管理员(root)权限不默认开启;
d) 宜在开发阶段通过第三方安全检测等方式主动发现产品使用的操作系统的安全漏洞、缺陷并及时改进。
10.2 预置应用程序安全
儿童智能手表制造者和预置应用程序需考虑的因素包括:
a) 与系统正常运行无关的预置应用程序卸载后不影响产品的正常使用,包括但不限于:不造成系统安全环境破坏,不导致系统崩溃等;
b) 实现同一功能的预置应用程序,至多有一个可设置为不可卸载;
c) 为可卸载预置应用程序提供便捷的卸载功能;
d) 在不影响产品安全使用的情况下,卸载预置应用程序应将相关程序文件及数据完全删除,用户选择保留的用户数据、配置文件除外;
e) 确保已被卸载的预置应用程序在产品操作系统升级时不被恢复;
f) 预置应用程序仅在用户开始对该应用程序进行交互操作后向用户申请可收集个人信息权限,不在用户未进行交互操作前获取相关权限;
g) 不可卸载应用程序宜提供监护人停止使用功能,如监护人选择停止使用前,需向监护人告知停止使用产生的影响,便于监护人做出决策,监护人选择停止使用后需停止个人信息的处理;
h) 预置应用程序将儿童个人信息共享给第三方的,需取得监护人单独同意。
10.3 第三方应用程序安全
儿童智能手表制造者需考虑的因素包括:
a) 儿童智能手表提供第三方应用程序商店等分发渠道的,对第三方应用程序个人信息处理规则和个人信息处理合规性进行审核,确保App在安全和个人信息保护方面符合相关国家标准要求,审核通过后方可上架分发,审核记录、报告等应至少保存三年;
b) 第三方应用程序被举报存在网络信息内容安全、个人信息保护问题的,需及时进行核实,确认存在问题的,对其采取应用下架等处置,直至问题被修复。
10.4 特殊应用程序安全
10.4.1 行踪管理应用程序安全
儿童智能手表制造者对应用程序的审核需考虑的因素包括:
a) 确保采集的精确位置信息及相关数据,仅用于监护人实时追踪儿童位置及相关的功能;
b) 行踪管理应用程序宜通过第三方安全检测;
c) 行踪管理应用程序管理侧监护人账户宜设置双因子认证机制。
10.4.2 多媒体应用程序安全
儿童智能手表制造者对应用程序的审核需考虑的因素包括:
a) 建立专门的审核机制,明确审核标准和流程并留存审核日志(如审核时间、审核人员等),确保多媒体应用程序提供的网络信息内容均已通过应用程序开发者审核;
b) 对儿童相关画像应以有益于身心健康发展、保护儿童权益为优先选项,且支持监护人关闭个性化推荐;
c) 提供个性化频道、栏目的,宜提供监护人管理的功能,便于监护人选择多媒体内容范围;
a) 不基于精确地理位置信息向儿童推送信息及多媒体内容。
10.4.3 成长陪伴应用程序安全
儿童智能手表制造者对应用程序的审核需考虑的因素包括:
a) 支持监护人代替儿童注册账号的机制;
b) 成长陪伴相关的虚拟角色,涉及使用深度合成技术的,需满足《互联网信息服务深度合成管理规定》相关要求。
c) 成长陪伴应用程序涉及真实角色的,予以明确标注。
11 网络信息内容安全
11.1 发布与传播安全
儿童智能手表制造者需考虑的因素包括:
a) 严格执行网络信息内容事先审核机制,防止以下内容在儿童智能手表操作系统、预置应用程序、第三方应用程序被制作、发布:
1) 含有淫秽、色情、暴力、邪教、迷信、赌博、引诱自残自杀、恐怖主义、分裂主义、极端主义等危害儿童身心健康内容的网络信息;
2) 含有可能引发或者诱导儿童模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响儿童身心健康的网络信息;
b) 宜在儿童智能手表的主要界面展示有利于儿童健康成长的网络信息内容,并对内容定期更新,营造有利于儿童健康成长的网络空间。
c) 建立网络信息内容监测与阻断机制,防止a)中涉及的网络信息(包括文字、图片、音视频等)
被涉及信息交互、信息发布的应用程序中被复制、传播, 监测过程不识别儿童身份、特征。注:鼓励采用人工智能、大数据等技术手段对网络信息进行自动监测、阻断,并提供人工申诉的渠道。
11.2 内容安全管理
儿童智能手表制造者和应用程序提供者需考虑的因素包括:
a) 建立违规发布信息管理制度,对于发布违规网络信息内容的应用程序、账号,根据其影响严重程度采取警告、暂停服务、封号等处置措施;
b) 儿童智能手表涉及利用算法深度合成内容的功能,需按照《互联网信息服务深度合成管理规定》加强管理,并履行备案和变更、注销备案手续;
c) 设立网络信息内容举报功能,允许儿童及其监护人在网络信息内容浏览、观看界面直接对违规网络信息内容进行举报,举报内容经专门人员进行二次审核后及时处置;
d) 宜提供网络信息内容屏蔽管理功能,允许儿童及其监护人对产品或服务展示的网络信息类型进行优化调整。
11.3 网络欺凌防范
儿童智能手表涉及信息交互、信息发布功能的,需建立网络欺凌防范机制,儿童智能手表制造者需考虑的因素包括:
a) 设置便利儿童或其监护人保存遭受网络欺凌记录、行使通知权利的功能、渠道,如提供儿童设置屏蔽陌生用户、本人发布信息可见范围等网络欺凌信息防护选项;
b) 宜建立健全网络欺凌信息特征库,优化相关算法模型,采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测;
c) 宜设置一键欺凌防护功能,便于儿童及其监护人能迅速阻断网络欺凌信息,如关闭所有的社交功能;宜通过设置口令、监护人授权等机制防范儿童自行关闭一键欺凌防护功能。
12 新技术新应用安全
12.1 新型硬件及组件应用
儿童智能手表向儿童提供传感器、近场通讯(如NFC、蓝牙)等功能、服务的,儿童智能手表制造者需考虑的因素包括:
a) 宜通过监护人控制应用程序向监护人提供关闭或限制传感器、近场通讯功能的途径;
b) 不使用传感器数据对儿童进行画像分析,经监护人单独同意或为监护人提供直接管理画像数据功能的除外,如通过传感器分析儿童运动水平、健康状况等;
注:直接管理画像数据功能指监护人可随时可查看、更正、删除儿童画像数据,且该数据不会变更目的被使用。
c) 不使用近场通讯数据对儿童社交关系、大致地理位置等信息进行分析、关联(涉及儿童安全的特殊情况除外)。
12.2 生物识别技术应用
儿童智能手表收集儿童生物识别信息用于实现特定功能的,宜参照GB/T 40660—2021相关要求保护生物特征识别信息,其他需考虑的因素包括:
a) 明确标识使用生物识别技术的应用程序及具体功能,不将相应功能设定为应用程序基本功能;
b) 除监护人单独同意外,不变更生物识别信息的使用目的;
c) 用于手表终端或应用程序解锁的人脸识别信息,仅在手表终端或应用程序中使用;
d) 不采集儿童生物识别信息用于开展统计、机器学习、算法优化等目的。
12.3 算法和人工智能应用
12.3.1 自动化决策应用
儿童智能手表收集儿童个人信息用于自动化决策的,宜考虑的因素包括:
a) 在儿童智能手表售卖前对算法模型进行科技伦理审查,重点审查对儿童行为习惯、身心健康的直接或间接影响;
b) 使用自动化决策进行信息推荐的,应按照《互联网信息服务算法推荐管理规定》加强管理,履行算法备案和变更、注销备案手续;
c) 在儿童智能手表售卖前对自动化决策开展专门的个人信息保护影响评估,确保采取的安全措施与风险相适应,并向监护人开放自动化决策的相关查询、答疑渠道。
12.3.2 生成式人工智能应用
儿童智能手表使用生成式人工智能技术的,儿童智能手表制造者需考虑的因素包括:
a) 按照《生成式人工智能服务管理暂行办法》加强管理,并履行备案和变更、注销备案手续;
b) 按照国家有关规定对生成式人工智能开展安全评估,通过评估后才可上线使用;
c) 限制生成式人工智能的生成内容范围,过滤儿童不宜内容,仅展示适合身心健康发展的内容;
d) 限制儿童单日互动次数与互动时长;
e) 对生成式人工智能算法训练的语料数据进行评估,防止少儿不宜内容、儿童个人信息等用于模型训练;
f) 不使用与儿童实时交互的数据用于模型训练;
g) 生成式人工智能分析处理后的数据不泄露儿童个人信息或可识别的特征。
附录 A
(资料性)
儿童智能手表常见业务功能及必要个人信息范围
A.1 账号绑定
A.2 安全管理
A.3 社交活动
A.4 健康运动
参 考 文 献
[1]《未成年人保护法》(2020年10月17日 中华人民共和国第十三届全国人民代表大会常务委员会第二十二次会议审议通过)
[2]《未成年人网络保护条例》(2023年10月16日公布 中华人民共和国国务院令第766号)
[3]《互联网信息服务算法推荐管理规定》(2021年12月31日公布 国家互联网信息办公室等〔2021〕 9号)
[4]《互联网信息服务深度合成管理规定》(2022年11月25日公布 国家互联网信息办公室等〔2022〕 12号)
[5]《生成式人工智能服务管理暂行办法》(2023年7月10日公布 国家互联网信息办公室等〔2023〕 15号)
