智能消費品安全1源）識別II目次目次 I前言 II范圍 3規性用件 3術和義 3一原則 4危分類 4一流程 5信準備 5特分析 6危（）定 6附錄A（資性錄）信息害源、理（源識方法 7附錄B（資性錄）信息害源、理（源示例 8附錄C（資性錄）智能費危（）別示例 10參考獻 15PAGEPAGE11智能消費品安全第1部分：危害（源）識別范圍源（）本文件適用于智能消費品生產企業及相關組織開展危害（源）識別活動。,其最新版本（包括所有的修改單）適用于本GB/T39011-2020消費品安全危害識別導則下列術語和定義適用于本文件。3.1智能intelligence具有人類或類似人類智慧特征的能力。注：人類或類似人類的智慧特征，表現為在實現某個目的的過程中，總會經歷一個或多個的感知、決策、執行的過程或過程循環，并在其中通過不斷學習，提高自身實現目的的能力和實現目的的效率與效果；本文件認為，在體現人類或類似人類的智慧特征上，感知、決策、執行和在其中的學習的各項能力和過程具有不可或缺性。[來源：GB/T41790-2022，3.2]3.2智能消費品intelligentconsumerproduct具有一種或多種智能特性的消費品。[來源：GB/T41849-2022，3.3]3.3安全safety免除了不可接受的風險的狀態。[來源：GB/T20002.4-2015，3.14]3.4危害（源）hazard可能導致傷害的潛在根源。[來源：GB/T28803-2012，3.2]3.5危害（源）識別hazardidentification發現、列舉和描述風險要素的過程。[來源：GB/T39011-2020，3.4]3.6信息安全informationsecurity對信息的保密性、完整性和可用性的保持。注：另外，可包括諸如真實性、可核查性、抗抵賴和可靠性等其他性質。[來源：GB/T29246-2017，2.33，有修改：注中的“其他特性”改為“其他性質”]3.7倫理安全ethicalsecurity不違背處理人與社會、人與自然相互關系時應遵循的具體行為準則的狀態。[來源：GB/T35892-2018，3.3，有修改]源、源（源源應選用科學有效的危害（源）識別方法，確保危害識別的全面性和準確性。識別過程應保持客觀性和透明性，避免主觀偏見，確保識別過程的規范化和標準化。源源。參考GB/T39011-2020，按照智能消費品危害特征屬性來分，智能消費品危害包括物理危害、化學危害、生物危害、信息危害和倫理危害。（源源（源GB/T39011-2020（源（）源）確。圖1智能消費品信息危害（源、倫理危害（源）識別流程圖智能消費品安全信息采集途徑主要包括：其他）b)（c)分析差異化安全要求（如未成年保護法、殘疾人保障法等國家法律提及的對特殊對象的保護差異）。（）A。危害（源）列表：信息危害（源）和倫理危害（源）列表的示例見附錄B，智能消費品危害（源）識別的示例見附錄C。附錄A(資料性附錄)信息危害（源）、倫理危害（源）識別方法A（源（）識別方法步驟說明因素分析法利用統計指數體系分析現象總變動中各個因素影響程度的解法等。因素分析法是現代統計學中一種重要而實用的方征的因素。D-S證據理論D-S定”、“不知道”的能力。流程圖法指采用建立流程圖的方式分析生產經營的每一個步驟。對企業生產運營的每一個環節通過流程圖來進行調查識別分析，從而挖掘出潛存的風險威脅以及風險可能造成的結果等的一種風險識別方法。環境分析法的威脅。發現環境可能造成的風險與損失。分解分析法分解分析法是將復雜的事務分解成系列較簡單且容易識別潛在的風險。專家調查列舉法是專門的風險管理人員以及風險咨詢機構或是風險處理專準的不同對風險進行分類統計的一種識別方法。附錄B(資料性附錄)源（源示例B（源（）大類中類小類（源數據隱私泄露未提供針對個人信息收集的隱私政策及使用規則或提供內容不完整未滿足個人信息收集最小化要求未得到用戶授權同意進行信息處理個人信息存儲超出保存期限個人信息未作去標識化未提供個人信息刪除的或匿名化的處理方式超出告知范圍處理個人信息處理個人敏感信息前未取得個人的單獨同意個人敏感信息未加密傳輸和存儲個人信息保護政策未公開發布或不易于訪問遠程控制風險未對智能消費品設置操作權限控制和管理未對遠程操作用戶進行身份鑒別未對遠程操作設置安全的用戶口令設備漏洞和惡意軟件存在高風險開放端口無固件更新功能未對固件更新來源進行校驗固件中關鍵代碼未加密及防篡改登錄用戶名、口令明文存儲弱口令網絡通信安全風險數據傳輸未加密或加密強度不足數據完整性保護機制不足通信防重放保護機制不足用于通信的安全關鍵參數未使用硬編碼實現通信機制使用的加密庫版本存在明顯已知的安全相關漏洞（源社會性風險主觀惡意使用違反倫理道德原則違反法律法規違反市場秩序侵權性風險侵犯人身權利侵犯隱私權利侵犯財產權利侵犯公共安全利益歧視性風險特定群體偏見提供服務不公平責任性風險民事責任刑事責任行政責任責任界定標準或原則的模糊損失救濟的缺位或不充分責任意識的缺乏或行為處理的失當失控性風險特殊種類人工智能應用風險附錄C(資料性附錄)智能消費品危害（源）識別示例A產品是市場上流行的一款智能按摩器，能夠對人體進行按摩。A產品出現傷害事件，需要進行危害（源）的識別。C.1.1AA形成包含產品功能、使用對象、使用方法、使用場景等使用場景列表，見表C.1。表C.1產品使用場景列表使用場景具體描述產品功能進行人體按摩使用對象年齡在15歲及以上的消費者…使用方法將智能按摩器放置到人體需要按摩的部位，如手臂，脖頸，選擇智能按摩模式并啟動使用環境在防水條件下使用（源C.3.1AA場景1：A產品使用者的姓名、性別、年齡、身份證號、住址、頭像、指紋等個人信息泄露，被非法用于支付，造成財產損失。場景2：A根據危害（源）識別需求，使用頭腦風暴法結合層次分析法進行危害（源）識別。（）選擇10（）C.2表C.2頭腦風暴專家列表編號姓名專業職位/職稱1A某某AI算法研究員2B某某信息統計分析教授3C某某網絡安全高級工程師4D某某產品開發研究員5E某產品設計高級工程師6F某數據科學研究員7G某某哲學教授8H某某社會學研究員9I某某法學教授10J某軟件科學高級工程師針對兩個傷害場景，組織專家展開討論：AA源源）B源源（）A）60A源根據附錄B，智能消費品危害（源）的劃分有三層，包括大類、中類和小類。（）A源A（C.31001源30（）60A（）（表C.3傷害場景1中危害（源）大類判別表危害（源）大類信息危害（源）倫理危害（源）專家1√2√3√4√5√√6√7√√8√9√√10√A（C.41001源10（）60A（）（表C.4傷害場景2中危害（源）大類判別表危害（源）大類信息危害（源）倫理危害（源）專家1√√2√3√4√5√6√7√8√9√10√（）A源1A（）C.5源90%20%30%、20%,60源表C.5傷害場景1中危害（源）中類判別表危害（源）中類數據隱私泄露遠程控制風險設備漏洞和惡意軟件網絡通信安全風險專家1√√√√2√3√√4√5√√√6√7√8√910√√A（源C.6源100%、30%、100%、0%、0%,以60%源表C.6傷害場景2中危害（源）中類判別表危害（源）中類社會性風險侵權性風險歧視性風險責任性風險失控性風險專家1√√2√√3√√4√√5√√6√√7√√√8√√√9√√√10√√（）A源1A（）C.760A（80%、90%、90%90表C.7傷害場景1中危害（源）小類判別表危害（源）中類數據隱私泄露危害（源）小類完整未滿足個人信息收集最小化要求未得到用戶授權同意進行信息處理個人信息存儲超出保存期限個人信息未作去標識化未提供個人信息刪除的或匿名化的處理方式超出告知范圍處理個人信息處理個人敏感信息前未取得個人的單獨同意個人敏感信息未加密傳輸和存儲個人信息保護政策未公開發布或不易于訪問專家1√√√√√√2√√√√√√√3√√√4√√√√√√√√5√√√√√6√√√√√7√√√√8√√√√√√9√√√10√√√√√2A（）C.860A（源10080%、100%表C.8傷害場景2中危害（源）小類判別表危害（源）中類社會性風險歧視性風險危害（源）小類主觀惡意使用違反倫理道德原則違反法律法規違反市場秩序特定群體偏見提供服務不公平專家1√√√2√√√3√√√4√√√√5√√√6