如何推进消费类可穿戴智能设备数据安全标准化工作？

对照消费类可穿戴智能设备数据安全风险挑战，以及已有的相关安全标准现状，建议 在以下方面推进消费类可穿戴智能设备数据安全标准化工作。

1.针对设备可穿戴特点的数据安全

目前的个人信息和数据安全标准大多是从通用的角度出发，虽然部分标准如 GB/T 34978-2017、GB/T 37076-2018、GB/T 20979-2019等涉及移动智能终端、生物特征识别等消 费类可穿戴智能设备相关技术，但相关要求分散在多个标准中，总体上碎片化严重。消费 类可穿戴智能设备具有随身携带、实时监测等独特属性，其采集的数据类型多样（如生理 参数、位置信息、行为习惯等），数据量大、更新频率高，且与个人生活与健康密切相关， 因此对数据安全和隐私保护提出了更高要求。

2.生物特征细化与扩展的数据安全

消费类可穿戴智能设备采集的数据中生物特征数据占据重要地位。虽然 GB/T 41806- 2022、GB/T 41807-2022、GB/T 41773-2022、GB/T 41819-2022 等标准对基因、声纹、步态 和人脸等识别的数据安全提出要求，但对其他类型的生物特征数据，如心率、体温、血糖、 血压、脑电（见附录 C）等仍缺乏专门的安全标准。由于生物特征数据具有唯一性和敏感 性，一旦泄露可能造成严重后果。因此需要针对不同类型的生物特征数据，制定更加细化 和全面的采集、传输、存储、使用等环节的安全要求，并在用户授权同意、隐私保护等方 面提出明确规定。同时，还需考虑如何平衡数据应用和隐私安全，制定生物特征数据脱敏、 加密等安全处理标准。

3.面向设备全生态体系的数据安全

当前的标准大多从数据视角关注安全，而缺乏对消费类可穿戴智能设备产品全架构、 全环节、全生态的体系性管理要求。未来需要明确各参与方（制造商、供应商、运营商、 服务提供商等）的安全职责；要将安全和隐私设计理念引入设备全生命周期，在设计之初 就考虑数据最小化、默认加密等隐私保护机制；要建立漏洞管理、安全更新等机制，保障 设备上市后的持续安全；要规范设备退役和废弃阶段的数据删除流程，防止数据二次泄露。 此外，从提升用户对设备安全性的信任度出发，探讨消费类可穿戴智能设备安全评估和认 证的可行性、必要性与紧迫性。针对消费类可穿戴智能设备数据安全特点，从测评对象、 测评指标、测评方法入手，为开展全方位、多角度的安全测评与认证提供依据。

4.数据收集与使用中用户权益保障

消费类可穿戴智能设备的数据价值主要体现在对用户数据的分析和服务，然而目前的标准对消费类可穿戴智能设备数据收集和使用环节的用户权益保障考虑不足。未来需结合 消费类可穿戴智能设备特点，通过适当方式明确告知用户消费类可穿戴智能设备数据收集 的范围、目的和使用方式，并允许用户选择性同意或拒绝；要赋予用户对个人数据的控制 权，提供适合消费类可穿戴智能设备特点的数据访问、更正、删除等机制；要规范基于用 户数据的行为分析和自动化决策，防止过度收集和滥用；要加强对儿童等特殊群体隐私的 保护。 

5.跨平台互操作性的数据同步安全

随着消费类可穿戴智能设备应用生态的发展，跨设备、跨平台的数据同步和可携带需 求日益凸显，但目前对这一环节缺乏明确的安全标准。未来需围绕消费类可穿戴智能设备 数据同步和可携带制定不同类型和品牌的消费类可穿戴智能设备之间的数据交互和通信协 议标准，确保数据在跨平台传输时的安全性和一致性；要建立第三方应用的准入机制和数 据访问审计机制，防止数据越权和非授权使用；要探索基于用户授权同意的数据同步模式， 确保用户对数据流向的知情权和控制权。

6.可穿戴智能设备数据安全测评

目前对消费类可穿戴智能设备数据安全测评缺乏统一、权威的标准和规范。为全面评 估消费类可穿戴智能设备的数据安全性能，亟需制定专门的测评标准，明确测评对象、测 评方法、测评指标等要素。测评对象需要覆盖消费类可穿戴智能设备的软硬件系统、移动 应用、云服务平台等，全面考察其数据安全能力。测评方法要从消费类可穿戴智能设备数 据处理活动各环节入手，采用文档审查、功能测试、渗透测试、行为分析等多种技术手段， 结合实验室与真实场景开展测评。测评指标要对应前述各项数据安全标准的具体要求，形 成科学、量化、可操作的指标体系。同时，测评标准要建立面向不同应用场景的安全等级 划分，对消费类可穿戴智能设备的数据安全能力进行分级评估，形成差异化的测评要求。 

7.可穿戴智能设备数据安全认证

安全认证是验证消费类可穿戴智能设备满足数据安全相关标准的重要手段。当前对消 费类可穿戴智能设备的数据安全认证缺乏统一规范，难以形成统一有效的安全认证市场。 未来应加快制定消费类可穿戴智能设备数据安全认证标准，明确认证对象、认证依据、认 证流程等。认证对象主要包括消费类可穿戴智能设备的硬件产品、嵌入式软件、移动 App、 后台云服务等，通过认证确保其数据安全能力符合标准要求。认证依据应以国家相关数据 安全标准和行业最佳实践为基础，制定统一的认证依据，避免认证标准碎片化。认证流程 要规范认证受理、测评、审核、颁证、监督等各环节的活动，明确认证机构的业务流程、 管理要求，确保认证工作的客观公正性和权威性。要建立面向不同安全保护等级的分级认 证制度，对消费类可穿戴智能设备的数据安全能力进行梯度划分。