T∕CHEAA 0001.2-2019 智能家電云云互聯(lián)互通 第2部分：信息安全能力要求

ISC 35.100.70 L 79 團(tuán)體標(biāo)準(zhǔn)T/CHEAA 0001.22019 智能家電云云互聯(lián)互通 第 2 部分：信息安全能力要求 Cloud to cloud interconnection for smart household appliances Part 2: Requirements for the competence of information security 2019-03-15 發(fā)布 2019-03-15 實施 中國家用電器協(xié)會 發(fā)布 1 T/CHEAA 0001.22019 目次前言 . II 引言 . III 1. 范圍 . 12. 規(guī)范性引用文件 . 13. 術(shù)語和定義及縮略語 . 13.1 術(shù)語和定義. 13.2 縮略語. 34. 接口信息安全要求 . 44.1 通信安全. 44.2 身份認(rèn)證和授權(quán). 44.3 數(shù)據(jù)安全. 54.4 錯誤信息處理. 64.5 接口穩(wěn)定性. 64.6 日志審計. 65. 安全事件協(xié)同管理要求 . 75.1 安全事件的分類和分級. 75.2 責(zé)任模型. 75.3 服務(wù)條款. 75.4 明確責(zé)任部門和人員. 85.5 應(yīng)急響應(yīng). 85.6 事件通告. 85.7 持續(xù)改進(jìn). 9附錄 A（規(guī)范性附錄）對用戶數(shù)據(jù)和隱私保護(hù)的特別要求 . 10 A.1 A.2 A.3 A.4 A.5 A.6 導(dǎo)則. 數(shù)據(jù)生產(chǎn)和收集. 數(shù)據(jù)傳輸. 數(shù)據(jù)的使用. 數(shù)據(jù)保存. 數(shù)據(jù)銷毀. 10 10 10 10 11 11 附錄 B（資料性附錄）相關(guān)法規(guī)、標(biāo)準(zhǔn)、認(rèn)證規(guī)則 . 12 B.1 導(dǎo)則. 12 B.2 國內(nèi)相關(guān)標(biāo)準(zhǔn)和認(rèn)證規(guī)則 . 12 B.3 國際相關(guān)法規(guī)、標(biāo)準(zhǔn)、認(rèn)證規(guī)則 . 12 I T/CHEAA 0001.22019 前言T/CHEAA 0001智能家電云云互聯(lián)互通分為以下 2 個部分： 第 1 部分：基本要求及一般模型 第 2 部分：信息安全能力要求 本部分為 T/CHEAA 0001 的第 2 部分。 本部分按照 GB/T 1.12009 給出的規(guī)則起草。 本部分由中國家用電器協(xié)會提出。 本部分由中國家用電器協(xié)會標(biāo)準(zhǔn)化委員會歸口。 本部分版權(quán)歸中國家用電器協(xié)會所有，未經(jīng)中國家用電器協(xié)會許可不得隨意復(fù)制，其他 機構(gòu)采用本部分的技術(shù)內(nèi)容制修訂標(biāo)準(zhǔn)須經(jīng)中國家用電器協(xié)會允許， 任何單位或個人引用本 部分的內(nèi)容需指明本部分的標(biāo)準(zhǔn)號。 截至本部分正式發(fā)布之日，中國家用電器協(xié)會未收到任何有關(guān)于本部分涉及專利的報 告，中國家用電器協(xié)會不負(fù)責(zé)確認(rèn)本部分的某些內(nèi)容是否還存在涉及專利的可能性。 本部分起草單位：中國家用電器協(xié)會、杭州涂鴉信息技術(shù)有限公司、青島海爾科技有限 公司、博西家用電器投資（中國）有限公司、廣州云智易物聯(lián)網(wǎng)有限公司、聯(lián)想（北京）有 限公司、青島聚好聯(lián)科技有限公司、TCL 電子控股有限公司、長虹美菱股份有限公司、創(chuàng)維 集團(tuán)有限公司、 康佳集團(tuán)股份有限公司、 美的集團(tuán)股份有限公司、 奧克斯空調(diào)股份有限公司、 廣東格蘭仕集團(tuán)有限公司、蘇州三星電子有限公司、惠而浦（中國）股份有限公司。 本部分主要起草人：姜風(fēng)、劉龍威、王淼、蘇州、李楊、張亞群、張沛、羅壽中、李昱 兵、黃辰、陸軍鋒、陳挺、劉復(fù)鑫、李桂豐、黃圣祥、謝廠節(jié)、萬春暉、邵光達(dá)、錢海峰、 柯都敏、周瑞鑫、井皓、祖巖巖、黃兵、胡協(xié)斌、張瑜龍、祁樹壯、羅新宇、嚴(yán)勇、陳嘉琦、 廖杰、畢志國、張?zhí)祉槨⒃鴤?、張小平、王濤?II T/CHEAA 0001.22019 引言近年，隨著越來越多的家用電器接入了互聯(lián)網(wǎng)、物聯(lián)網(wǎng)，眾多家電廠商的智能云平臺從 私有走向開放共享，而信息安全風(fēng)險也隨之被擴(kuò)大，所以，實施云云互聯(lián)互通的廠商間達(dá)成 一致的信息安全要求就勢在必行。 本部分針對家電云云互聯(lián)面臨的信息安全風(fēng)險，提出了實施云云互聯(lián)的云平臺接口的 信息安全能力要求、 出現(xiàn)安全事件的協(xié)同管理機制、 應(yīng)滿足或參考的國內(nèi)外標(biāo)準(zhǔn)和技術(shù)法規(guī)、 用戶數(shù)據(jù)和隱私的保護(hù)規(guī)定，旨在幫助云云互聯(lián)的企業(yè)達(dá)成一致的信息安全規(guī)范，保障雙方 利益，遏制因共享而產(chǎn)生的安全風(fēng)險。 III T/CHEAA 0001.22019 智能家電云云互聯(lián)互通 第 2 部分：信息安全能力要求 1. 范圍 本部分規(guī)定了在中國開展云云互聯(lián)互通業(yè)務(wù)的各關(guān)聯(lián)廠商云平臺（以下簡稱各云平臺） 之間云云互聯(lián)互通接口及相關(guān)要素的信息安全能力要求、信息安全事件的管理要求、相關(guān)標(biāo) 準(zhǔn)及技術(shù)法規(guī)以及對用戶數(shù)據(jù)和隱私保護(hù)的特別要求。 本部分不涉及對各云平臺上非云云互聯(lián)互通業(yè)務(wù)的安全和隱私性做要求。 2. 規(guī)范性引用文件 下列文件對于本部分的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適 用于本部分。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本部分。 GB/T 16264.8 信息技術(shù) 第 8 部分：開放系統(tǒng)互聯(lián)目錄 GB/Z 20985 信息技術(shù) 安全技術(shù) 信息安全事件管理指南 GB/Z 20986 信息安全技術(shù) 信息安全分類事件分級指南 GB/T 25069 信息安全技術(shù) 術(shù)語 GB/T 35273 信息安全技術(shù) 個人信息安全規(guī)范 IETF RFC 5246 安全傳輸層協(xié)議 1.2 版本 The Transport Layer Security（TLS） Protocol Version 1.2 3. 術(shù)語和定義及縮略語 3.1 術(shù)語和定義 以下術(shù)語和定義適用于本部分。 3.1.1 安全傳輸層協(xié)議 transport layer security 在兩個通信應(yīng)用程序之間提供身份認(rèn)證、數(shù)據(jù)保密性和數(shù)據(jù)完整性功能的協(xié)議。 IETF RFC 5246，The Transport Layer Security (TLS) Protocol Version 1.2 3.1.2 1 T/CHEAA 0001.22019 證書認(rèn)證機構(gòu) Certificate Authority（CA） 負(fù)責(zé)創(chuàng)建和分配證書，受用戶信任的權(quán)威機構(gòu)。用戶可以選擇該機構(gòu)為其創(chuàng)建密鑰。 GB/T 16264.8-2005，定義 3.3.16 3.1.3 個人信息 personal information 以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反 映特定自然人活動情況的各種信息。 注 1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、 通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。 注 2：關(guān)于個人信息的范圍和類型詳見 GB/T 35273-2017 附錄 A。 GB/T 35273-2017，定義 3.1 3.1.4 個人敏感信息 personal sensitive information 一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受 到損害或歧視性待遇等的個人信息。 注 1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、 征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下（含）兒童的個人信息等。 注 2：關(guān)于個人敏感信息的范圍和類型可詳見 GB/T 35273-2017 附錄 B。 GB/T 35273-2017，定義 3.2 3.1.5 個人信息主體 personal data subject 個人信息所標(biāo)識的自然人 GB/T 35273-2017，定義 3.3 3.1.6 收集 collect 獲得對個人信息的控制權(quán)的行為，包括由個人信息主體主動提供、通過與個人信息主體 交互或記錄個人信息主體行為等自動采集，以及通過共享、轉(zhuǎn)讓、搜集公開信息間接獲取等 方式。 GB/T 35273-2017，定義 3.5 3.1.7 密鑰 key 一種用于控制密碼變換操作(例如加密、解密、密碼校驗函數(shù)計算、簽名生成或簽名驗 證)的符號序列。 GB/T 25069-2010，定義 2.2.2.106 3.1.8 2 T/CHEAA 0001.22019 匿名化 anonymization 通過對個人信息的技術(shù)處理，使得個人信息主體無法被識別，且處理后的信息不能被復(fù) 原的過程。 注：個人信息經(jīng)匿名化處理后所得的信息不屬于個人信息。 GB/T 35273-2017，定義 3.13 3.1.9 去標(biāo)識化 de-identification 通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別個人信息主體 的過程。 注：去標(biāo)識化建立在個體基礎(chǔ)之上，保留了個體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代 對個人信息的標(biāo)識。 GB/T 35273-2017，定義 3.14 3.1.10 重放攻擊 replay attack 一種主動攻擊方法，攻擊者通過記錄通信會話，并在以后某個時刻重放這個會話或者會 話的一部分。 GB/T 25069-2010，定義 2.2.1.138 3.1.11 信息安全事件 information security incident 一個信息安全事件由單個的或一系列的有害或意外信息安全事態(tài)組成， 他們具有損害業(yè) 務(wù)運作和威脅信息安全的極大可能性。 GB/T 20985-2007，定義 3.3 3.2 縮略語 以下縮略詞適用于本部分。 TLS：安全傳輸協(xié)議（Transport Layer Security） AES：高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard） 3DES：三重數(shù)據(jù)加密算法（Triple Data Encryption Algorithm） CFB：密碼反饋（Cipher Feedback） OFB：輸出反饋（Output Feedback） IV：初始化向量（Initialization Vector） HMAC：哈希消息認(rèn)證碼（Hash-based Message Authentication Code） SHA：安全散列演算法（Secure Hash Algorithm） JSON：對象標(biāo)記（Java Script Object Notation） 3 T/CHEAA 0001.22019 DDoS：分布式拒絕服務(wù)攻擊（Distributed Denial of Service） CDN：內(nèi)容分發(fā)網(wǎng)絡(luò)（Content Delivery Network） API：應(yīng)用程序接口（Application Programming Interface） 4. 接口信息安全要求 4.1 通信安全 4.1.1 通信兩端建立 TLS 傳輸通道 a) 各云平臺之間的通訊接口均應(yīng)采用 TLS 安全機制，應(yīng)使用不低于 1.2 的安全版本。同時 需要通過各自的證書進(jìn)行雙向認(rèn)證，只允許證書校驗通過后，才能完成請求。 b) 各云平臺均應(yīng)向證書認(rèn)證機構(gòu)（CA）申請證書或通過特定組織統(tǒng)一自建證書，并在云 平臺上部署證書。證書有效期不超過 24 個月。 4.2 身份認(rèn)證和授權(quán) 4.2.1 平臺登錄接口 a) 各云平臺的唯一標(biāo)識符 PlatID 應(yīng)滿足隨機性。 b) 各云平臺的身份令牌 AuthToken 應(yīng)根據(jù) PlatID 和時間戳、隨機數(shù)等計算得出，應(yīng)通過 安全的哈希方式生成，長度不應(yīng)低于 16 位，應(yīng)使用數(shù)字和字母組成。 注 1： PlatID 和 AuthToken，來源于 T/CHEAA 0001-2017智能家電云云云云互聯(lián)互通標(biāo)準(zhǔn) 。注 2： 時間戳精度毫秒級，采用東 8 區(qū)（北京時間）的網(wǎng)絡(luò)時間。 c) d) 每對 PlatID 和 AuthToken 應(yīng)僅適用于對接的兩個平臺。 例：A 平臺給 B 平臺發(fā)送的 PlatID 和 AuthToken，僅適用于 B 平臺對 A 平臺的身份驗證，其他平臺 需要重新協(xié)商。 應(yīng)采取雙向身份校驗。 例：A 平臺發(fā)送驗證信息給 B 平臺，B 平臺再確認(rèn) A 平臺身份正確后，也發(fā)送自己的驗證信息給 A 平臺。 4.2.2 訪問令牌管理 a) b) c) d) 完成身份驗證后，A 平臺應(yīng)通過 AuthToken 提交獲取訪問令牌 AccessToken 的請求，B 平臺下發(fā)給 A 平臺訪問令牌 AccessToken、更新令牌 RefreshToken 和 AccessToken 的有 效時長，A 平臺所有的請求都應(yīng)在有效時長內(nèi)，且包含該 AccessToken 才能正常請求。 注： AccessToken 和 RefreshToken,分別用來做請求和刷新的 token。 AccessToken 和 RefreshToken 應(yīng)根據(jù) PlatID 和時間戳、隨機數(shù)等，通過安全的哈希方式 生成，長度不應(yīng)低于 32 位，應(yīng)使用數(shù)字和大小字母和特殊字符組成。 AccessToken 有效期不應(yīng)超過 2 小時，過期或登出操作后應(yīng)自動銷毀。RefreshToken 有 效期不應(yīng)超過 14 天，過期或登出操作后應(yīng)自動銷毀。 應(yīng)主動更新 AccessToken，應(yīng)使用 RefreshToken 進(jìn)行請求更新， RefreshToken 應(yīng)僅可使 用一次，更新一次 AccessToken 后，RefreshToken 也應(yīng)進(jìn)行更新。 4.2.3 授權(quán) 平臺應(yīng)使用精細(xì)粒度的訪問權(quán)限控制，能夠根據(jù)平臺賬號分配最小、僅必要的權(quán)限。 4 T/CHEAA 0001.22019 4.3 數(shù)據(jù)安全 4.3.1 個人敏感信息傳輸 1) 加密密鑰獲取要求 a) b) c) d) e) f) g) 平臺認(rèn)證后，各廠商之間應(yīng)相互下發(fā)密鑰以加密隱私數(shù)據(jù)。 例如，A 廠商的 APP 通過 A 廠商的云請求控制 B 廠商的云，需要拿到 B 廠商下發(fā)的動態(tài)密鑰，進(jìn)行 數(shù)據(jù)加密。 各商云平臺之間共享的數(shù)據(jù)，如果涉及個人敏感信息，需要分發(fā)密鑰，用來加密傳輸， 密鑰有效期 60 分鐘。 密鑰應(yīng)保證隨機性，應(yīng)結(jié)合用戶 ID，以及時間戳和隨機數(shù)的哈希函數(shù)生成 128 位及以 上字符串。 動態(tài)密鑰：每次用戶登錄認(rèn)證后，應(yīng)下發(fā)最新密鑰，舊密鑰廢棄。 用戶登出操作后，舊密鑰應(yīng)廢棄。 加密算法應(yīng)使用 AES 或 3DES 加密算法。 加密模式應(yīng)使用 CFB 或 OFB 模式，IV 應(yīng)通過偽隨機數(shù)生成器生成。 2) 安全傳輸要求 a) 個人敏感信息傳輸前應(yīng)使用動態(tài)獲取的加密密鑰加密。 b) 涉及個人身份信息、 個人生物特征識別信息或者密碼和口令的傳輸應(yīng)通過安全的哈希方 式處理，應(yīng)通過 HMAC-SHA256 方式進(jìn)行加鹽哈希。 c) 其他個人敏感信息的傳輸應(yīng)根據(jù)業(yè)務(wù)場景選擇去標(biāo)簽化、匿名化等處理方式。 表 1 個人敏感信息舉例 隱私類型 個人身份信息 個人生物識別信息 個人健康生理信息 網(wǎng)絡(luò)身份標(biāo)識信息 其他信息 舉例 身份證、軍官證、護(hù)照、駕駛證、工作證、社?？?、居住證等 個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等 個人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫(yī)囑單、檢驗報告、 手 術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病 史、診治情況、家族病史、現(xiàn)病史、傳染病史等，以及與個人身體健康 狀況 產(chǎn)生的相關(guān)信息等 系統(tǒng)賬號、郵箱地址及與前述有關(guān)的密碼、口令、口令保護(hù)答案、用戶個人數(shù) 字證書等 個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄 和內(nèi)容、行蹤軌跡、網(wǎng)頁瀏覽記錄、住宿信息、精準(zhǔn)定位信息等 注：關(guān)于個人敏感信息的范圍和類型可詳見 GB/T 35273-2017 附錄 B。 4.3.2 消息認(rèn)證 a) 所有請求應(yīng)取有效手段防止重放攻擊。 例：可采取時間戳均存儲在緩存中，且僅一次性有效的策略，以防止重放的可能性。 b) 所有請求應(yīng)攜帶毫秒級別時間戳標(biāo)記，時間的有效期設(shè)置為前后 10 分鐘內(nèi)有效。 c) 應(yīng)使用 HMAC-SHA256 算法對數(shù)據(jù)內(nèi)容和所有接口字段進(jìn)行校驗。 4.3.3 數(shù)據(jù)過濾 a) 數(shù)據(jù)傳輸，應(yīng)使用 PUT 或 POST 傳輸 JSON 格式的數(shù)據(jù)，請求頭部應(yīng)指明類型 5 T/CHEAA 0001.22019 application/json，并且使用明確恰當(dāng)?shù)淖址?例：指定明確的字符集，比如 UTF-8。 b) 驗證數(shù)據(jù)范圍、長度和類型。 c) JSON 中的所有參數(shù)，均應(yīng)使用強類型和固定長度的校驗。 例：PlateID 使用 Long 數(shù)字類型，長度為 16。 d) 數(shù)據(jù)過濾前，將數(shù)據(jù)按照常用字符進(jìn)行編碼。 e) 對所有的參數(shù)進(jìn)行安全過濾， 應(yīng)對內(nèi)容包含特殊字符和注入攻擊的行為應(yīng)進(jìn)行嚴(yán)格檢測， 丟棄任何沒有通過檢測的數(shù)據(jù)。 注：常見的危險字符包括， % ( ) & + 。 f) 盡可能采用白名單形式，驗證所有參數(shù)。 4.4 錯誤信息處理 各云平臺在云云對接過程中請求失敗的情況下，應(yīng)通過錯誤編碼來表示錯誤類型，不應(yīng) 暴露任何平臺或用戶的敏感信息。 4.5 接口穩(wěn)定性 4.5.1 分布式拒絕服務(wù)攻擊（DDoS）的防護(hù) a) 針對流量型和系統(tǒng)資源型的攻擊，應(yīng)有完善的應(yīng)急防護(hù)手段，應(yīng)通過運營商或基于域名 的云防護(hù)產(chǎn)品實現(xiàn)快速流量遷移和清洗、CDN 等方式實現(xiàn)流量的稀釋。 b) 針對應(yīng)用服務(wù)資源消耗類型，應(yīng)通過中間件層、應(yīng)用層面對訪問頻率和訪問特征進(jìn)行限 制等策略進(jìn)行防護(hù)。 4.5.2 應(yīng)用服務(wù)的系統(tǒng)安全 提供 API 的平臺和對應(yīng)的服務(wù)器，應(yīng)執(zhí)行系統(tǒng)和服務(wù)的加固，包括開放端口的白名單 嚴(yán)格限制和對外服務(wù)的加固。 例：使用了 Apache，需要使用安全的 Apache 版本，并進(jìn)行安全的配置。系統(tǒng)、中間件和應(yīng)用服務(wù)應(yīng) 使用一定強度以上的密碼，使其能夠抵御字典式攻擊。 4.5.3 應(yīng)急響應(yīng)與災(zāi)備 各云平臺應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃，并定期演練，確保在緊急情況下重要信息 資源的可用性。廠商云平臺應(yīng)建立事件處理計劃，包括對事件的預(yù)防、檢測、分析、控制、 恢復(fù)及用戶響應(yīng)活動等，對事件進(jìn)行跟蹤、記錄并向相關(guān)人員報告。各云平臺應(yīng)具備災(zāi)難恢 復(fù)能力，建立必要的備份設(shè)施，確保客戶業(yè)務(wù)可持續(xù)。 4.5.4 風(fēng)險評估與監(jiān)控 各云平臺應(yīng)定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進(jìn)行風(fēng)險評估，確保云計算平 臺的安全風(fēng)險處于可接受水平。應(yīng)采取第三方機構(gòu)進(jìn)行風(fēng)險評估、服務(wù)商安全監(jiān)控預(yù)警等方 式加強風(fēng)險評估能力。 4.6 日志審計 各云平臺應(yīng)具備自動化請求日志收集和審計系統(tǒng)，監(jiān)控采集云端云云互聯(lián)互通業(yè)務(wù)相關(guān) 的日志及網(wǎng)絡(luò)流量，通過離線分析和實時分析兩種方式識別并發(fā)現(xiàn)潛在的網(wǎng)絡(luò)攻擊行為，及 時預(yù)警并采取相應(yīng)的應(yīng)對措施。 6 a) b) c) d) e) f) 5. T/CHEAA 0001.22019 日志收集和審計系統(tǒng)中應(yīng)包括 API 接口日志和其他相關(guān)業(yè)務(wù)的服務(wù)和流量日志。 日志收集和審計系統(tǒng)應(yīng)根據(jù)安全需求，制定可審計事件清單，明確審計記錄內(nèi)容，實施 審計并妥善保存審計記錄，對審計記錄進(jìn)行定期分析和審查，還應(yīng)防范對審計記錄的未 授權(quán)訪問、篡改和刪除行為，為事后調(diào)查提供支撐。 日志收集和審計系統(tǒng)應(yīng)防止非授權(quán)訪問、篡改或刪除審計記錄。 日志收集和審計系統(tǒng)的接口請求日志保存時間應(yīng)不少于 6 個月。 日志中不應(yīng)記錄用戶敏感數(shù)據(jù)信息。 針對異常日志，應(yīng)自動告警到相關(guān)運維人員，并進(jìn)行對應(yīng)的分析和處理。 安全事件協(xié)同管理要求 5.1 安全事件的分類和分級 5.1.1 安全事件分類 應(yīng)根據(jù)信息安全事件產(chǎn)生的結(jié)果表象做分類，分為數(shù)據(jù)泄露事件、服務(wù)不可用事件和其 他事件。 a) 數(shù)據(jù)泄露事件：云云互聯(lián)的數(shù)據(jù)出現(xiàn)泄露。 b) 服務(wù)不可用事件：服務(wù)出現(xiàn)不穩(wěn)定或者不可用情況，并且影響到云互聯(lián)的其他廠商的事 件。 c) 其他事件，除了上述事件以外的其他事件。 5.1.2 事件分級 安全事件應(yīng)依據(jù)國標(biāo) GB/Z 20986 中的安全事件分級考慮隱私，將信息安全事件劃分為 四級：特別重大事件、重大事件、較大事件和一般事件。 a) 特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件。 b) 重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件。 c) 較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件。 d) 一般事件是指不滿足以上條件的信息安全事件。 注：事件詳細(xì)說明請參考 GB/Z 20986。 5.2 責(zé)任模型 a) b) c) 針對數(shù)據(jù)泄露事件，各云平臺相互間的追責(zé)，基本依據(jù)是責(zé)任歸屬于直接導(dǎo)致數(shù)據(jù)泄露 的云平臺或客戶端所屬的廠商。 針對服務(wù)不可用事件，應(yīng)根據(jù)導(dǎo)致服務(wù)不穩(wěn)定或不可用的節(jié)點判斷，責(zé)任應(yīng)歸屬于該節(jié) 點所有者平臺。 在責(zé)任未明確的時候，雙方應(yīng)共同協(xié)商、承擔(dān)并調(diào)查原因。在雙方對于數(shù)據(jù)泄露事件無 法達(dá)成一致的情況下， 應(yīng)由獨立的第三方介入調(diào)查。 如調(diào)查無果， 雙方應(yīng)共同承擔(dān)責(zé)任。 5.3 服務(wù)條款 云云互聯(lián)雙方應(yīng)簽訂具有法律效應(yīng)的服務(wù)條款，應(yīng)包含以下等內(nèi)容： a) 云云互聯(lián)企業(yè)雙方的服務(wù)內(nèi)容。 b) 云云互聯(lián)企業(yè)雙方各自的權(quán)利和義務(wù)。 c) 涉及用戶數(shù)據(jù)、用戶隱私數(shù)據(jù)，需要明確數(shù)據(jù)的所有權(quán)，使用權(quán)限。 d) 保密條款，包括用戶數(shù)據(jù)、用戶隱私數(shù)據(jù)不允許主動向第三方披露等。 7 T/CHEAA 0001.22019 e) 服務(wù)期限和終止，并且終止后雙方對于信息安全的義務(wù)。 f) 違約責(zé)任和免責(zé)條款。 5.3.1 平臺數(shù)據(jù)所有權(quán)說明 a) 個人信息所有權(quán)應(yīng)歸屬于信息所標(biāo)識的自然人，即使用物聯(lián)網(wǎng)服務(wù)的實際個人用戶。個 人信息所有者應(yīng)擁有信息數(shù)據(jù)的完全訪問和控制權(quán)限， 并且有權(quán)利要求提供服務(wù)的廠商 對其信息數(shù)據(jù)進(jìn)行對應(yīng)的操作。 b) c) 經(jīng)過匿名化處理后的數(shù)據(jù)和信息，應(yīng)歸屬于這些信息的提供者，即提供信息的云平臺主 體。數(shù)據(jù)歸屬的云平臺應(yīng)具有對數(shù)據(jù)的完全訪問和控制權(quán)限。 云平臺的用戶數(shù)據(jù)和歸屬合作平臺的數(shù)據(jù)，不能執(zhí)行任何未獲授權(quán)的使用和披露，但是 以下情形除外：在國家有關(guān)機關(guān)依法查詢或調(diào)閱用戶數(shù)據(jù)時，平臺具有按照相關(guān)法律法 規(guī)或政策文件要求提供配合，并向第三方或者行政、司法等機構(gòu)披露的義務(wù)。 5.3.2 平臺數(shù)據(jù)使用權(quán)限說明 1) 數(shù)據(jù)的披露 a) 未在雙方書面允許下，不允許向第三方披露。 b) 只允許為提供或改進(jìn)產(chǎn)品、服務(wù)的目的而與第三方共享。 c) 不允許為第三方的銷售目的而與第三方共享數(shù)據(jù)，更不允許銷售共享數(shù)據(jù)。 2) 數(shù)據(jù)的刪除 a) b) c) d) 用戶有權(quán)申請刪除其在雙方平臺交互過程中，產(chǎn)生的個人數(shù)據(jù)。平臺雙方需要在 7 天內(nèi) 完成數(shù)據(jù)刪除。 非個人數(shù)據(jù)，數(shù)據(jù)歸屬平臺有權(quán)利要求共享平臺對數(shù)據(jù)進(jìn)行刪除的操作。 所有數(shù)據(jù)刪除的操作，需要在企業(yè)內(nèi)部有明確的流程和制度保障。 在服務(wù)終止后，必須安全刪除通過云云互聯(lián)接口同步過來的用戶數(shù)據(jù)及用戶隱私數(shù)據(jù)。 5.4 明確責(zé)任部門和人員 a) 應(yīng)明確各云平臺主要負(fù)責(zé)人對信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任， 包括為信息安全工作提供人力、 財力、物力保障等。 b) 應(yīng)明確各云平臺對接的安全接口人和備用接口人，及其職責(zé)。 5.5 應(yīng)急響應(yīng) a) 各平臺協(xié)同診斷，認(rèn)定安全事件和確認(rèn)事件的責(zé)任方。 b) 事件責(zé)任方應(yīng)根據(jù)合作服務(wù)條款內(nèi)的明細(xì)，在指定時間內(nèi)抑制受害范圍并恢復(fù)業(yè)務(wù)服 務(wù)。 c) 事件責(zé)任方應(yīng)負(fù)責(zé)整個事件調(diào)查，包括必要的調(diào)查記錄。 5.6 事件通告 a) b) c) d) 8 云云互聯(lián)任何一方應(yīng)有義務(wù)和權(quán)力向各相關(guān)方通告詳細(xì)的安全事件原因。 如果因特別重大事件、重大事件或較大事件，而導(dǎo)致對業(yè)務(wù)可用性和穩(wěn)定性的影響時間 超過 1 個小時，應(yīng)按照與各相關(guān)方的服務(wù)條款進(jìn)行事件對外的通告。 需要向在有關(guān)事件響應(yīng)的法律、法規(guī)和/或規(guī)章中要求的地方、省、國家有關(guān)部門通告。 在牽涉到法律強制的地方，事件責(zé)任方負(fù)責(zé)與法律強制部門的聯(lián)絡(luò)。 T/CHEAA 0001.22019 5.7 持續(xù)改進(jìn) 云云互聯(lián)各相關(guān)方應(yīng)對重大事件和特別重大事件進(jìn)行持續(xù)的跟蹤。 責(zé)任方應(yīng)給出相應(yīng)的 改進(jìn)措施，并通過管理手段或技術(shù)手段真實落地。 9 T/CHEAA 0001.22019 附錄A （規(guī)范性附錄） 對用戶數(shù)據(jù)和隱私保護(hù)的特別要求 A.1 導(dǎo)則 由于云云互聯(lián)涉及的業(yè)務(wù)場景必然涉及用戶隱私的傳輸，為保護(hù)用戶的隱私數(shù)據(jù)，對信 息收集主體及云云互聯(lián)中各關(guān)聯(lián)廠商（以下簡稱各方）特別提出以下信息安全能力要求。 A.2 數(shù)據(jù)生產(chǎn)和收集 A.2.1 基本原則 a) b) c) d) e) f) 合法性：對各方的所有行為應(yīng)進(jìn)行合法要求，同時，明確對應(yīng)的法律責(zé)任的明確。 用戶授權(quán)：應(yīng)通過有效的渠道獲取信息主體的授權(quán)，不允許超過信息主體授權(quán)行為以外 的數(shù)據(jù)收集和操作。 用戶權(quán)限保障：各方需要通過技術(shù)或管理流程保障用戶的權(quán)限能夠得到有效的保障。 數(shù)據(jù)最小化：各方不應(yīng)收集、存儲、請求、提供、傳遞與服務(wù)無關(guān)的數(shù)據(jù)。 數(shù)據(jù)分類：應(yīng)區(qū)分個人數(shù)據(jù)和平臺信息數(shù)據(jù)。 匿名化：個人敏感信息在傳遞前應(yīng)做匿名化處理。 A.2.2 用戶權(quán)限 1) 知情權(quán) a) 用戶應(yīng)能通過隱私條款等方式知悉信息收集主體及其所提供服務(wù)的基本信息和數(shù)據(jù)。 b) 用戶應(yīng)能通過隱私條款等方式知悉其將被收集到的所有數(shù)據(jù)及這些數(shù)據(jù)的全部用途。 c) 用戶應(yīng)能通過隱私條款等方式知悉其享有的用戶數(shù)據(jù)保存、訪問、遷移、刪除等權(quán)力。 注：隱私條款模板應(yīng)參考 GB/T 352732017 的附錄 D。 2) 選擇權(quán) 當(dāng)某位用戶不選擇上傳數(shù)據(jù)或不同意隱私條款時，不應(yīng)收集該用戶的數(shù)據(jù)。 3) 處置權(quán) 用戶應(yīng)能通過電郵或聯(lián)系客服等方式履行訪問、遷移、刪除等權(quán)力。信息收集主體和云 云互聯(lián)中各關(guān)聯(lián)廠商應(yīng)支持用戶賬號注銷等機制， 某一用戶要求刪