2024智能消费品安全第1部分危害（源）识别

智能消费品安全1源）识别II目次目次 I前言 II范围 3规性用件 3术和义 3一原则 4危分类 4一流程 5信准备 5特分析 6危（）定 6附录A（资性录）信息害源、理（源识方法 7附录B（资性录）信息害源、理（源示例 8附录C（资性录）智能费危（）别示例 10参考献 15PAGEPAGE11智能消费品安全第1部分：危害（源）识别范围源（）本文件适用于智能消费品生产企业及相关组织开展危害（源）识别活动。,其最新版本（包括所有的修改单）适用于本GB/T39011-2020消费品安全危害识别导则下列术语和定义适用于本文件。3.1智能intelligence具有人类或类似人类智慧特征的能力。注：人类或类似人类的智慧特征，表现为在实现某个目的的过程中，总会经历一个或多个的感知、决策、执行的过程或过程循环，并在其中通过不断学习，提高自身实现目的的能力和实现目的的效率与效果；本文件认为，在体现人类或类似人类的智慧特征上，感知、决策、执行和在其中的学习的各项能力和过程具有不可或缺性。[来源：GB/T41790-2022，3.2]3.2智能消费品intelligentconsumerproduct具有一种或多种智能特性的消费品。[来源：GB/T41849-2022，3.3]3.3安全safety免除了不可接受的风险的状态。[来源：GB/T20002.4-2015，3.14]3.4危害（源）hazard可能导致伤害的潜在根源。[来源：GB/T28803-2012，3.2]3.5危害（源）识别hazardidentification发现、列举和描述风险要素的过程。[来源：GB/T39011-2020，3.4]3.6信息安全informationsecurity对信息的保密性、完整性和可用性的保持。注：另外，可包括诸如真实性、可核查性、抗抵赖和可靠性等其他性质。[来源：GB/T29246-2017，2.33，有修改：注中的“其他特性”改为“其他性质”]3.7伦理安全ethicalsecurity不违背处理人与社会、人与自然相互关系时应遵循的具体行为准则的状态。[来源：GB/T35892-2018，3.3，有修改]源、源（源源应选用科学有效的危害（源）识别方法，确保危害识别的全面性和准确性。识别过程应保持客观性和透明性，避免主观偏见，确保识别过程的规范化和标准化。源源。参考GB/T39011-2020，按照智能消费品危害特征属性来分，智能消费品危害包括物理危害、化学危害、生物危害、信息危害和伦理危害。（源源（源GB/T39011-2020（源（）源）确。图1智能消费品信息危害（源、伦理危害（源）识别流程图智能消费品安全信息采集途径主要包括：其他）b)（c)分析差异化安全要求（如未成年保护法、残疾人保障法等国家法律提及的对特殊对象的保护差异）。（）A。危害（源）列表：信息危害（源）和伦理危害（源）列表的示例见附录B，智能消费品危害（源）识别的示例见附录C。附录A(资料性附录)信息危害（源）、伦理危害（源）识别方法A（源（）识别方法步骤说明因素分析法利用统计指数体系分析现象总变动中各个因素影响程度的解法等。因素分析法是现代统计学中一种重要而实用的方征的因素。D-S证据理论D-S定”、“不知道”的能力。流程图法指采用建立流程图的方式分析生产经营的每一个步骤。对企业生产运营的每一个环节通过流程图来进行调查识别分析，从而挖掘出潜存的风险威胁以及风险可能造成的结果等的一种风险识别方法。环境分析法的威胁。发现环境可能造成的风险与损失。分解分析法分解分析法是将复杂的事务分解成系列较简单且容易识别潜在的风险。专家调查列举法是专门的风险管理人员以及风险咨询机构或是风险处理专准的不同对风险进行分类统计的一种识别方法。附录B(资料性附录)源（源示例B（源（）大类中类小类（源数据隐私泄露未提供针对个人信息收集的隐私政策及使用规则或提供内容不完整未满足个人信息收集最小化要求未得到用户授权同意进行信息处理个人信息存储超出保存期限个人信息未作去标识化未提供个人信息删除的或匿名化的处理方式超出告知范围处理个人信息处理个人敏感信息前未取得个人的单独同意个人敏感信息未加密传输和存储个人信息保护政策未公开发布或不易于访问远程控制风险未对智能消费品设置操作权限控制和管理未对远程操作用户进行身份鉴别未对远程操作设置安全的用户口令设备漏洞和恶意软件存在高风险开放端口无固件更新功能未对固件更新来源进行校验固件中关键代码未加密及防篡改登录用户名、口令明文存储弱口令网络通信安全风险数据传输未加密或加密强度不足数据完整性保护机制不足通信防重放保护机制不足用于通信的安全关键参数未使用硬编码实现通信机制使用的加密库版本存在明显已知的安全相关漏洞（源社会性风险主观恶意使用违反伦理道德原则违反法律法规违反市场秩序侵权性风险侵犯人身权利侵犯隐私权利侵犯财产权利侵犯公共安全利益歧视性风险特定群体偏见提供服务不公平责任性风险民事责任刑事责任行政责任责任界定标准或原则的模糊损失救济的缺位或不充分责任意识的缺乏或行为处理的失当失控性风险特殊种类人工智能应用风险附录C(资料性附录)智能消费品危害（源）识别示例A产品是市场上流行的一款智能按摩器，能够对人体进行按摩。A产品出现伤害事件，需要进行危害（源）的识别。C.1.1AA形成包含产品功能、使用对象、使用方法、使用场景等使用场景列表，见表C.1。表C.1产品使用场景列表使用场景具体描述产品功能进行人体按摩使用对象年龄在15岁及以上的消费者…使用方法将智能按摩器放置到人体需要按摩的部位，如手臂，脖颈，选择智能按摩模式并启动使用环境在防水条件下使用（源C.3.1AA场景1：A产品使用者的姓名、性别、年龄、身份证号、住址、头像、指纹等个人信息泄露，被非法用于支付，造成财产损失。场景2：A根据危害（源）识别需求，使用头脑风暴法结合层次分析法进行危害（源）识别。（）选择10（）C.2表C.2头脑风暴专家列表编号姓名专业职位/职称1A某某AI算法研究员2B某某信息统计分析教授3C某某网络安全高级工程师4D某某产品开发研究员5E某产品设计高级工程师6F某数据科学研究员7G某某哲学教授8H某某社会学研究员9I某某法学教授10J某软件科学高级工程师针对两个伤害场景，组织专家展开讨论：AA源源）B源源（）A）60A源根据附录B，智能消费品危害（源）的划分有三层，包括大类、中类和小类。（）A源A（C.31001源30（）60A（）（表C.3伤害场景1中危害（源）大类判别表危害（源）大类信息危害（源）伦理危害（源）专家1√2√3√4√5√√6√7√√8√9√√10√A（C.41001源10（）60A（）（表C.4伤害场景2中危害（源）大类判别表危害（源）大类信息危害（源）伦理危害（源）专家1√√2√3√4√5√6√7√8√9√10√（）A源1A（）C.5源90%20%30%、20%,60源表C.5伤害场景1中危害（源）中类判别表危害（源）中类数据隐私泄露远程控制风险设备漏洞和恶意软件网络通信安全风险专家1√√√√2√3√√4√5√√√6√7√8√910√√A（源C.6源100%、30%、100%、0%、0%,以60%源表C.6伤害场景2中危害（源）中类判别表危害（源）中类社会性风险侵权性风险歧视性风险责任性风险失控性风险专家1√√2√√3√√4√√5√√6√√7√√√8√√√9√√√10√√（）A源1A（）C.760A（80%、90%、90%90表C.7伤害场景1中危害（源）小类判别表危害（源）中类数据隐私泄露危害（源）小类完整未满足个人信息收集最小化要求未得到用户授权同意进行信息处理个人信息存储超出保存期限个人信息未作去标识化未提供个人信息删除的或匿名化的处理方式超出告知范围处理个人信息处理个人敏感信息前未取得个人的单独同意个人敏感信息未加密传输和存储个人信息保护政策未公开发布或不易于访问专家1√√√√√√2√√√√√√√3√√√4√√√√√√√√5√√√√√6√√√√√7√√√√8√√√√√√9√√√10√√√√√2A（）C.860A（源10080%、100%表C.8伤害场景2中危害（源）小类判别表危害（源）中类社会性风险歧视性风险危害（源）小类主观恶意使用违反伦理道德原则违反法律法规违反市场秩序特定群体偏见提供服务不公平专家1√√√2√√√3√√√4√√√√5√√√6