智能消费品安全 第3部分：风险控制.pdfVIP

智能消费品安全第3部分风险控制

1范围

本文件规定了智能消费品安全风险控制的原则、流程和要求。

本文件适用于智能消费品生产企业及相关组织开展风险控制活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件,其最新版本（包括所有的修改单）适用于本

文件。

GB/T39013-2020消费品安全风险控制指南

GB/T39112-2020消费品生命周期安全风险控制通则

GB/T35273-2020信息安全技术个人信息安全规范

3术语和定义

下列术语和定义适用于本文件。

3.1

风险控制riskcontrol

实施风险管理决策的行为。

注:风险控制可能包括监测、再评价和执行决策。

[来源：GB/T28803-2012,3.97]

4一般原则

4.1全面性

应覆盖智能消费品的全生命周期，包括设计、生产、包装、储运、使用、回收和处置等各个环节，

确保每一环节的风险都得到有效控制。

4.2有效性

应综合考虑智能消费品各个部件和环节的协调性，确保风险控制措施能够有效降低风险至可容许的

范畴内。

4.3持续性

应根据新出现的危害（源），动态调整风险控制措施，确保风险控制的持续有效性，及时应对可能

出现的新风险。

4.4可追溯性

应记录消费品生命周期各个环节的风险控制措施涉及的相关方信息，以便后续进行查询。

3

5一般流程

风险控制的一般流程包括：设定计划、界定方法、追溯风险、跟踪反馈等步骤。具体流程见图1。

图1智能消费品安全风险控制流程图

6设定计划

6.1控制准备

基于智能消费品涉及的法律法规、标准等材料，界定风险控制的目标、范围、风险可接受准则。

62控制方案

风险控制方案可包含如下内容；风险控制的目标、依据、范围、人员、风险可接受准则、措施、反

馈等。

6.3控制预判

对智能消费品控制方案的预期效果进行判断，做好风险控制的备选方案，保证风险控制效果。判断

智能消费品的成本效益、残余风险，设置处置措施、应急计划，对控制措施进行预测试，形成预期的控

制效果评价表，在风险控制的过程中验证方案效果，以改进控制方案。

4

7界定方法

7.1物理、化学和生物危害（源）

依据GB/T39013-2020、GB/T39112-2020对智能消费品中物理、化学和生物危害（源）进行风险控

制。

7.2信息危害（源）

7.2.1数据隐私泄露

数据隐私泄露的控制方法主要包括：

a）应制定个人信息收集及使用的隐私政策，且符合GB/T35273-2020中5.5规定的要求；

b）应遵循个人信息采集范围最小化要求；

c）在收集、存储、使用、加工、传输、提供、公开披露、共享、转让等个人信息前，应得到用户

明示授权同意；

d）个人信息存储应为收集使用目的的所需最短时间，且不应超出收集使用规则中告知的保存期限；

e）在存储个人信息时，应当按照数据分类要求采取去标识化等安全措施；

f）应当为用户提供删除个人信息的机制，并对个人信息进行删除或匿名化处理；

g）在使用个人信息时，不能超出告知用户获得授权同意的范围。若开展业务所需进行的个人信息

处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个

人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意；

h）处理个人敏感信息前，应取得个人的单独同意。个人敏感信息包括生物识别、宗教信仰、特定

身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息；

i）传输和存储个人敏感信息时，应采用加密等安全措施；

j）个人信息保护政策应公开发布且易于访问。

7.2.2远程控制风险

远程控制风险的控制方法主要包括：

a）应当具有远程权限控制功能，对智能消费品的操作权限进行管理和控制，只有符合权限控制的

用户才能对智能消费品进行远程的配置和操作；

b）应当对远程操作用户的身份进行鉴别，防止非法用户对智能消费品进行远程操作；

c）应当对远程操作用户设置安全的用户口令。

7.2.3设备漏洞和恶意软