ICS

CCS

團體標準

T/CVIAXX-2023

智能電視信息安全應用程序

個人信息保護要求和評測方法

SmartTVinformationsecurity

PersonalinformationprotectionrequirementsandtestmethodsforsmartTV

application

(征求意見稿)

2023-XX-XX發布2023-XX-XX實施

中國電子視像行業協會發布

T/CVIA-XX-2023

智能電視信息安全

應用程序個人信息保護要求和評測方法

1范圍

本文件規定了智能電視應用程序中個人信息保護要求及測評方法。

本文件適用于智能電視應用程序涉及的個人信息處理活動，包括個人信息收集、存儲、傳輸、刪

除、使用等環節，以及個人信息保護的評測方法。

2規范性引用文件

下列文件中的內容通過文中規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T35273-2020信息安全技術個人信息安全規范

T/CVIA29-2014智能電視機總規范

T/CVIA108.7-2023智能電視信息安全應用程序信息采集與傳輸技術要求和評測方法

T/CVIA108.6-2023智能電視信息安全應用程序采集必要個人信息范圍

3術語和定義

3.1

智能電視smarttv

智能電視機是具有操作系統，支持第三方應用資源實現功能擴展，支持多網絡接入功能，具備智能

人機交互、與其它智能設備進行交互的電視機。

[來源：T/CVIA29-2014，2]

3.2

智能電視應用程序smartTVapplication

運行在智能電視操作系統之上，向用戶提供各個功能和服務的應用程序；

[來源：T/CVIA29-2014，3.3]

3.3

個人信息personalinformation

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人

活動情況的各種信息。

1

T/CVIA-XX-2023

注1：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標

簽，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信

息。

[來源：GB/T35273-2020，3.1，有修改]

3.4

個人敏感信息personalsensitiveinformation

一旦泄露、非法提供或濫用，可能危害人身或財產安全，個人隱私暴露，極易導致個人名譽、身心

健康等受到損害或歧視性待遇等的個人信息。

注1：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或濫

用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的，屬于個人敏感

信息。

[來源：GB/T35273-2020，3.2，有修改]

3.5

個人信息主體personalinformationsubject

個人信息所標識或者關聯的自然人。

[來源：GB/T35273-2020，3.3]

3.6

個人信息控制者personalinformationcontroller

有能力決定個人信息處理目的、方式等的組織或個人。

[來源：GB/T35273-2020，3.4]

3.7

明示同意explicitconsent

個人信息主體通過書面、口頭等方式主動作出紙質或電子形式的聲明，或者自主作出肯定性動作，

對其個人信息進行特定處理作出明確授權的行為。

注1：肯定性動作包括個人信息主體主動勾選、主動點擊“同意”“注冊”“發送”“撥打”、主動填寫

或提供等。

[來源：GB/T35273-2020，3.6]

3.8

個人畫像userprofiling

通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如職業、經濟、健康、教育、個人喜

好、信用、行為等方面作出分析或預測，形成其個人特征模型的過程。

3.9

匿名化anonymization

通過對個人信息的技術處理，使得個人信息主體無法被識別或者關聯，且處理后的信息不能被復原

的過程。

注：個人信息經匿名化處理后所得的信息不屬于個人信息。

[來源：GB/T35273-2020，3.14]

2

T/CVIA-XX-2023

3.10

去標識化de-identification

通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別或關聯個人信息主體的過

程。

注：去標識化建立在個體基礎之上，保留了個體顆粒度，采用假名、加密、哈希函數等技術手段代

替對個人信息的標識。

[來源：GB/T35273-2020，3.15]

4概述

本文件對智能電視應用程序在個人信息保護關于收集、存儲、傳輸、刪除、使用等方面制定了技術

要求，并給出具體的測試方法和步驟。

4.1個人信息分類和安全分級

本文件所制定的智能電視應用程序個人信息分類和分級方法，遵從《個人信息保護法》和《GB/T

35273-2020信息安全技術個人信息安全規范》，并針對智能電視應用程序的特點進行適當調整，其最新

版及后續修訂版適用于本文件。

4.1.1個人信息分類方法

智能電視應用程序個人信息分類方法如表1所示：

表1智能電視應用程序個人信息分類

序號個人信息分類個人信息內容

姓名、生日、性別、民族、國籍、家庭關系、住址、電話號碼、電子郵

1個人基本資料

箱地址等

2個人身份信息身份證、軍官證、護照、駕駛證、工作證、出入證、社保卡、居住證等

3個人生物性識別信息基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等

4個人網絡身份標識信息系統賬號、IP地址、口今保護答案、個人數字證書等

因病醫治等產生的相關記錄，如:病癥、住院志、醫囑單、檢驗報告、

手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信

5個人健康生理信息

息、以往病史、診治情況、家族病史、現病史、傳染病史等，以及與個

人身體健康狀況相關的信息，如體重、身高、肺活量等

職業、職位、工作單位、學歷、學位、教育經歷、工作經歷、培訓記

6個人教育工作信息

錄、成績單等

銀行賬號、鑒別信息（口令）、存款信息（包括資金數量、支付收款記

7個人財產信息錄等）、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄

等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產信息

8個人通信信息通信記錄和內容、電子郵件，以及指述個人通信的數據等

9個人聯系人信息通訊錄、好友列表、群列表、電子郵件地址列表等

10個人位置信息包括行蹤軌跡、精準定位信息、住宿信息、經緯度等

3

T/CVIA-XX-2023

包括硬件序列號、設備MAC地址、唯一設備識別碼（如Android

11個人設備標識信息ID/UDID/OMID/GUID信息等)等唯一標識個人設備的信息，以及軟件列

表等描述個人設備基本情況的信息

智能電視收集的與個人設備或用戶行為相關的信息。包括但不限于:

設備狀態信息，如:WLAN配置、系統版本、硬件信息、系統日志等；

12智能電視運行信息文件信息，如:文本、照片、音頻、視頻等；

用戶行為信息，如:點擊和搜索、功能設置開關狀態、產品使用時長、

用戶登錄、影片觀看等可以表征用戶行為的信息

為描述自然人的工作表現、經濟狀況、健康、個人偏好、興趣、可靠

13個人畫像信息

性、行為方式、位置或行蹤等特征而進行自動化處理后形成的信息

14個人家庭信息家庭成員、家庭成員關系

可能會導致歧視、不公正待遇的信息，如：婚史、宗教信仰、性取向、

15其他個人信息

未公開的違法犯罪記錄等

4.1.2個人敏感信息方法

智能電視應用程序個人敏感信息分類方法如表2所示：

表2智能電視應用程序個人敏感信息分類

序號個人敏感信息分類個人敏感信息內容

銀行賬號、鑒別信息（口令）、存款信息（包括資金數量、支付收款記錄

1個人財產信息等）、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及

虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產信息

個人因病醫治等產生的相關記錄，如:病癥、住院志、醫囑單、檢驗報告、手

2個人健康生理信息術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病

史、診治情況、家族病史、現病史、傳染病史等

3個人生物性識別信息基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等

4個人身份信息身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等

性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、通訊

5其他信息

錄、好友列表、群組列表、行蹤軌跡、住宿信息、精準定位信息等

4.1.3個人信息安全分級方法

智能電視應用程序個人信息安全分級方法如表3所示：

表3智能電視應用程序個人信息安全分級

安全級別劃分標準個人信息分類

個人敏感信息，同表2

個人基本資料，同表1第1條中住址、電話號碼、電子郵箱等可直接

法律法規明確要求嚴格控制識別到個人的信息

處理的個人信息或用戶重要個人網絡身份標識信息，同表1第4條

Ⅰ

的個人信息，被篡改或泄露個人通信信息，同表1第8條

會造成用戶巨大損失個人聯系人信息，同表1第9條

個人位置信息，同表1第10條

個人畫像信息，同表1第13條

4

T/CVIA-XX-2023

其他信息，同表1第15條

個人基本資料，表1第1條中除住址、電話號碼、電子郵箱等以外，

存在一定安全風險，用戶一無法直接識別到個人的信息

般重要的個人信息，被篡改個人教育工作信息，同表1第6條

Ⅱ

或泄露后可能會使用戶的安個人設備標識信息，同表1第11條

全和利益受到損害智能電視運行信息，同表1第12條中文件信息、用戶行為信息

個人家庭信息，同表1第14條

不存在安全風險或安全風險

Ⅲ較低，向外擴散有可能對用智能電視運行信息，同表1第12條中設備狀態信息

戶利益造成輕微損害

5個人信息保護技術要求

5.1個人信息收集技術要求

在收集個人信息時，個人信息控制者應滿足的技術要求如下：

a)收集個人信息應滿足《T/CVIA108.7-2023智能電視信息安全應用程序信息采集與傳輸技術要求和

評測方法》中4.1規定的要求；

b)收集個人信息的最小必要原則應滿足《T/CVIA108.6-2023智能電視信息安全應用程序采集必要個

人信息范圍》中5.1規定的要求；

c)收集必要個人信息應滿足《T/CVIA108.6-2023智能電視信息安全應用程序采集必要個人信息范圍》

中5.2規定的要求。

5.2個人信息存儲技術要求

在個人信息的存儲階段，個人信息控制者應滿足的技術要求如下：

a)智能電視應用程序收集的可識別特定自然人的個人信息應進行去標識化處理，并將可用于恢復識別個

人的信息與去標識化后的信息分開存儲；

b)智能電視應用程序中不應存儲原始個人生物識別信息，可存儲個人生物識別信息的摘要信息；

c)智能電視應用程序中個人生物識別信息的摘要信息應與個人身份信息分開存儲；

d)在存儲安全級別為Ⅰ（按照4.1.3中表3定義的個人信息安全分級）的個人信息時，應采用加密算

法對個人信息進行加密，密碼算法要求與《T/CVIA108.7-2023智能電視信息安全應用程序信息采

集與傳輸技術要求和評測方法》中4.2.2規定的要求一致。

5.3個人信息傳輸技術要求

在個人信息的傳輸階段，智能電視應用程序個人信息傳輸應滿足《T/CVIA108.7-2023智能電視信

息安全應用程序信息采集與傳輸技術要求和評測方法》中4.2規定的要求。

5.4個人信息刪除技術要求

對個人信息控制者的要求如下:

a)個人信息主體取消授權后，應及時刪除或匿名化處理其所對應個人信息；

b)產品或服務停止運營后，應及時刪除或匿名化處理其個人信息；

c)對智能電視應用程序中緩存的個人信息數據，應提供自動刪除或者手動刪除功能；

d)個人信息主體注銷賬戶后，應及時刪除或匿名化處理其個人信息。

5

T/CVIA-XX-2023

5.5個人信息使用技術要求

在使用個人信息時，對個人信息控制者的要求如下：

a)個人信息主體在首次訪問應用程序時，應用程序應通過彈窗或者鏈接等明顯方式向個人信息主體提示

授權申請，并提供同意和拒絕選項；在獲得個人信息主體授權同意后，才可使用授權范圍內的個人信

息；

b)應用程序在通過界面展示個人信息時，應對需要展示的安全級別為Ⅰ（按照4.1.3中表3定義的個

人信息安全分級）的個人信息采取匿名化或者去標識化處理措施；

c)當應用程序需要將個人信息共享、轉讓時，應通過彈窗或者鏈接向個人信息主體告知共享、轉讓個人

信息的目的、數據接收方的類型以及可能產生的后果，并需征得個人信息主體的授權同意；

d)當應用程序在產品或服務中接入具備收集個人信息功能的第三方產品或服務時，應該在用戶協議或者

隱私政策中向用戶明示，包括但不限于第三方名稱、目的、個人信息類型、隱私政策鏈接。

5.6個人信息權利保護技術要求

為保障個人信息主體的權利，對個人信息控制者的要求如下：

a)應通過界面、彈窗或者鏈接等明顯方式向個人信息主體提供個人信息查詢方法，包括但不限于：個人

信息或個人信息類型、個人信息的來源、所用于的目的、已獲得上述個人信息的第三方身份或者類型；

b)個人信息主體發現個人信息控制者所持有的該主體的個人信息有錯誤或不完整的，個人信息控制者應

通過界面、彈窗或者鏈接等明顯方式為其提供請求更正或補充信息的方法；

c)應通過界面、彈窗或者鏈接等明顯方式向個人信息主體提供撤回收集、使用其個人信息的授權同意的

方法。撤回授權同意后，個人信息控制者后續不應再處理相應的個人信息，且撤回授權同意后應滿足

5.4中a）的要求；

d)若應用程序提供賬戶注冊類服務，應向個人信息主體提供有效的注銷賬戶方法，且在相關界面上設置

注銷指引，且注銷賬戶后應滿足5.4中d）的要求；

e)提供有效安全的投訴、舉報渠道，且在相關界面中設置投訴、舉報指引。

6評測方法

6.1測試環境搭建

6.1.1提供1臺可以正常開機運行的智能電視機，以下稱“測試樣機”

a)該測試樣機已安裝智能電視操作系統，且能正常操作；

6.1.2提供1種可以接入互聯網的網絡，以下稱“測試網絡”

a)測試網絡訪問互聯網的帶寬不低于200M，訪問中國大陸地區主要互聯網結點（參考公有云、電

信運營商數據中心位置分布）的網絡延時不高于100ms；

b)根據測試樣機的網絡接入方式，測試網絡可以是有線形式或Wi-Fi形式。

6.1.3提供1個待測應用程序，以下稱“應用”

a)該智能電視操作系統能兼容待測應用；

b)應用能正常接入和使用網絡。

6

T/CVIA-XX-2023

6.2評測方法

6.2.1個人信息收集評測

a)評測標準：與《T/CVIA108.7-2023智能電視信息安全應用程序信息采集與傳輸技術要求和評測

方法》中5.1下各評測項的a）評測標準一致。

b)前置條件：按照6.1章節中的條件搭建測試環境，并分別按照《T/CVIA108.7-2023智能電視信

息安全應用程序信息采集與傳輸技術要求和評測方法》中5.1下各評測項的b）前置條件進行準

備。

c)評測方法：分別按照《T/CVIA108.7-2023智能電視信息安全應用程序信息采集與傳輸技術要求

和評測方法》中5.1下各評測項的c）評測方法進行。

d)期望結果：分別按照《T/CVIA108.7-2023智能電視信息安全應用程序信息采集與傳輸技術要求

和評測方法》中5.1下各評測項的d）期望結果進行判定。

6.2.2個人信息存儲評測

a)評測標準：參照5.2章節中的技術要求。

b)前置條件：按照6.1章節中的條件搭建測試環境，智能電視處于可開機使用的正常工作狀態。

c)評測方法：

1)步驟1：啟動應用并進行個人信息采集操作后，進入智能電視，查看個人信息數據去標識化

處理情況。

2)步驟2：通過技術檢測查看個人生物識別信息存儲情況。

3)步驟3：通過技術檢測查看個人生物識別信息與個人身份信息存儲情況。

4)步驟4：通過技術檢測查看安全級別為Ⅰ的個人信息存儲情況。

d)期望結果：

1)步驟1后：如果收集的可識別特定自然人的個人信息未進行去標識化處理，或者去標識化后

的信息未與可用于恢復識別個人的信息分開存儲，則評測結果為“不符合要求”，評測結束；

否則繼續執行步驟2。

2)步驟2后：如果存儲了原始個人生物識別信息，則評測結果為“不符合要求”，評測結束；

否則繼續執行步驟3。

3)步驟3后：如果個人生物識別信息的摘要信息未與個人身份信息分開存儲，則評測結果為

“不符合要求”，評測結束；否則繼續執行步驟3。

4)步驟4后：如果安全級別為Ⅰ的個人信息已加密存儲，且加密算法應滿足《T/CVIA108.7-

2023智能電視信息安全應用程序信息采集與傳輸技術要求和評測方法》中4.2.2項的要求，

則評測結果為“符合要求”，評測結束；否則為“不符合要求”。

6.2.3個人信息傳輸評測

a)評測標準：與《T/CVIA108.7-2023智能電視信息安全應用程序信息采集與傳輸技術要求和評測

方法》中5.2下各評測項的a）評測標準一致。

b)前置條件：按照6.1章節中的條件搭建測試環境，并分別按照《T/CVIA108.7-2023智能電視信

息安全應用程序信息采集與傳輸技術要求和評測方法》中5.2下各評測項的b）前置條件進行準

備。

c)評測方法：分別按照《T/CVIA108.7-2023智能電視信息安全應用程序信息采集與傳輸技術要求

和評測方法》中5.2下各評測項的c）評測方法進行。

d)期望結果：分別按照《T/CVIA108.7-2023智能電視信息安全應用程序信息采集與傳輸技術要

7

T/CVIA-XX-2023

求和評測方法》中5.2下各評測項的d）期望結果進行判定。

6.2.4個人信息刪除評測

a)評測標準：參照5.3章節中的技術要求。

b)前置條件：按照6.1章節搭建測試環境，應用中賬號處于登錄狀態。

c)評測方法：

1)步驟1：啟動應用，并對應用程序進行抓包。

2)步驟2：進入授權管理頁面，撤回個人信息的部分授權，重復步驟1。

3)步驟3：進入智能電視，查看個人信息數據。

4)步驟4：應用執行刪除緩存操作，重復步驟3。

5)步驟5：進入注銷頁面，確認注銷，重復步驟1。

d)期望結果：

1)步驟2后：如果采集的個人信息包含撤回授權部分的個人信息，則評測結果為“不符合要

求”，評測結束；否則繼續執行步驟4。

2)步驟4后：如果還存在個人信息數據，則評測結果為“不符合要求”，評測結束；否則繼續

執行步驟5。

3)步驟5后：如果應用賬號未退出登錄，且還能采集個人信息，則評測結果為“不符合要求”，