我国消费类可穿戴智能设备数据安全法规与监管情况如何？

针对数据安全和个人信息保护，我国建立了一系列法律法规体系。

1.我国法规情况

《中华人民共和国民法典》提出对自然人的个人信息进行法律保护。任何组织或者个 人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、 传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。信息处理者不得泄露或 者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但 是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必 要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能 发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有 关主管部门报告。对于消费类可穿戴智能设备来说，这些法律条款确保了用户的个人健康 数据、定位数据等敏感信息在收集、存储、处理和传输过程中的合法性和安全性。这意味 着设备制造商和服务提供商必须严格遵守法律要求，防止用户数据的非法使用和泄露，保 障用户隐私。

《中华人民共和国数据安全法》规定国家建立数据分类分级保护制度，根据数据在经 济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对 国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。 采取相应的技术措施和其他必要措施，保障数据安全。这要求设备制造商和服务提供商必 须采取更高标准的安全措施来保护这些数据。分类分级保护制度有助于识别和优先保护关 键数据，降低数据泄露和滥用的风险。 《中华人民共和国密码法》要求使用商用密码进行保护的关键信息基础设施，其运营 者应当使用商用密码进行保护。关键信息基础设施运营者，应当自行或者委托商用密码检 测机构开展商用密码应用安全性评估。

《中华人民共和国个人信息保护法》要求对个人信息实行分类管理，采取相应的加密、 去标识化等安全技术措施。对于消费类可穿戴智能设备，特别是那些涉及健康数据和位置 信息的设备，使用商用密码技术可以有效地提高数据传输和存储的安全性。运营者需要定期进行安全性评估，确保密码技术的实效性和安全性。 《个人信息和重要数据出境安全评估办法》规定数据出境安全评估应遵循公正、客观、 有效的原则，保障个人信息和重要数据安全，促进网络信息依法有序自由流动。对于消费 类可穿戴智能设备的制造商和服务提供商来说，如果涉及数据跨境传输，必须进行严格的 安全评估，确保数据在跨境传输过程中的安全性，防止数据泄露和滥用。

《数据安全管理办法（征求意见稿）》鼓励研发数据安全保护技术，要求制定数据安全 计划，实施数据安全技术防护，开展数据安全风险评估。消费类可穿戴智能设备制造商和 服务提供商需要不断研发和采用先进的数据安全技术，制定详尽的数据安全计划，并定期 进行数据安全风险评估，以确保设备和用户数据的长期安全。 《网络数据安全管理条例（征求意见稿）》提出国家建立数据分类分级保护制度。按照 数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般 数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重 要数据进行重点保护，对核心数据实行严格保护。各地区、各部门应当按照国家数据分类 分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。对于消费类 可穿戴智能设备来说，这意味着设备生成的数据需要根据其重要程度进行分类和分级保护。 制造商和服务提供商需要识别哪些数据属于一般数据、重要数据或核心数据，并采取相应 的保护措施。特别是对于核心数据，必须实施更加严格的保护措施，以防止对国家安全、 公共利益或个人、组织合法权益的重大影响。

2.我国监管情况

在监管执法方面，我国政府采取常态化检查和集中整治相结合的方式。工信部会同公 安、市监等部门，定期对消费类可穿戴智能设备企业开展数据安全检查，重点检查数据收 集的合法性、数据存储的安全性等内容。对于用户投诉集中、媒体曝光频繁的行业乱象， 监管部门还会联合开展专项整治，震慑违法行为。近年来，有关部门就消费类可穿戴智能 设备超范围收集用户信息、未经同意共享数据等问题，对多家企业进行了处罚，有力规范 了行业的数据安全实践。同时，政府还注重加强数据安全公众教育，提升用户的隐私保护 意识和能力。网信办举办网络安全宣传周活动，工信部开设“数据安全和个人信息保护” 专栏，公安部部署“净网”专项行动，全链条打击非法采集、提供、倒卖个人信息违法犯 罪。中消协发布消费类可穿戴智能设备数据安全消费提示，教育用户如何辨别风险、依法 维权。国家互联网信息办公室建立 App 数据安全信用评估制度，引导用户选择安全系数高 的 App。这些举措让更多用户意识到数据安全的重要性，学会更好地保护自身隐私。

但是，消费类可穿戴智能设备的数据安全作为产品质量安全的一个重要组成部分，还 需要得到国家监管部门的更多重视。从国家市场监督管理总局产品质量安全风险监测中心 的官网上可以查询到，2019 年至 2021 年，广东省、贵州省进行了消费类可穿戴智能设备的 监督抽查项目，但是监测项目仅仅针对电气安全、跌落、辐射杂散骚扰等，未涉及数据安 全相关项目。造成数据安全监管滞后的原因是多方面的。第一，消费类可穿戴智能设备作 为新兴事物，在概念内涵、功能边界等方面尚未形成统一的认知，技术和产业生态也处于 持续演进中。这使得政府在界定监管对象、评估安全风险时难以找到明确的抓手。第二， 传统的质量监管思路主要立足于硬件，对数据合规和安全的认知有所欠缺。消费类可穿戴 智能设备看似与普通硬件无异，但实则通过持续采集个人信息，形成了庞大的数据资产。 这些数据资产的合规性和安全性，关系到广大用户的切身利益，也关乎整个产业的可持续 发展，但目前尚未被纳入质量监管的核心考量。第三，消费类可穿戴智能设备的数据处理 涉及收集、传输、存储、计算等诸多环节，且在供应链各方之间频繁流转。面对如此复杂 的数据处理活动，政府在制定监管标准、界定责任边界、开展抽查检测等方面都面临诸多 挑战。同时，消费类可穿戴智能设备的数据处理通常依托算法实现，而算法作为一种新型 监管对象，也对传统的质量监管思路构成了新的挑战。