信息来源：互联网   发布时间：2023-12-09

智能家居市场迅速增长的同时，也对消费者数据安全和隐私保护构成潜在的威胁。对于智能家居行业相关企业而言，如何在拓展智能家居产品服务功能的同时满足监管和消费者对于隐私和个人信息保护的要求，是当前需要重点关注的问题之一。

 

如您希望下载PDF版本，请点击文末“阅读原文”获取智能家居产业是物联网在家庭环境中的创新与应用，具有集中管理、远程控制、互联互通、自主学习等功能，可实现家庭环境管理、安全防卫、信息交流、影音娱乐与家居生活的有机结合，为用户创造舒适便捷的智能居住环境。

数据显示，2021年中国智能家居设备出货量为2.3亿台，2025年预计将达到5.4亿台，形成一个万亿规模的市场[1]智能家居市场迅速增长的同时，也对消费者数据安全和隐私保护构成潜在的威胁对于智能家居行业相关企业而言，如何在拓展智能家居产品服务功能的同时满足监管和消费者对于隐私和个人信息保护的要求，是当前需要重点关注的问题之一。

智能家居行业常见的个人信息处理场景智能家居设备通常以其与用户交互时收集的个人信息作为实现功能和服务的基础诸多类型的智能家居设备会收集用户主动交互的信息，包括用户的语音、人脸甚至指纹、声纹、虹膜等，同时智能家居设备也会收集用户“被动”产生的信息，如用户行为记录，设备使用信息等。

[2]。实践中，智能家居设备为实现设备识别、关联、管理和控制等功能可能需要收集以下个人信息：

同时，智能家居设备会根据其不同的服务功能而收集相应的个人信息，例如：

智能家居产业正逐步进入以用户为中心的全屋智能、全面互联时代智能家居设备不仅会在上述的某一具体场景下为用户提供个性化、智能化的服务，也会将多场景多功能的智能家居设备进行互联，实现全屋控制目前的全屋控制将全品类智能家居设备通过家庭网络连接到智能中控系统进行集中通信、监视、控制和管理，以语音控制作为交互入口，通过对设备数据的实时获取与计算决策，为用户带来沉浸式的智能家居体验。

全屋控制为用户带来更加个性化和智能化体验的同时，也意味着需要收集和处理更多的用户个人信息以全屋控制中的智慧睡眠场景为例，在用户对智能语音终端（如智能音响等）说出“晚安”等唤醒词时，房屋的所有设备会一键切换至睡眠模式：门窗关闭、窗帘闭合、夜灯开启、背景音乐转换至用户习惯的入睡歌曲、新风系统进入低噪模式并实时监控空气质量；在用户成功入睡后，屋内设备会进一步切换：灯光和背景音乐将均会关闭。

[4]由此可见，全屋控制产品和服务对用户个人信息的涉及程度是非常深入的目前大多智能家居企业会搭建控制端APP以及云平台，以提供远程控制和管理智能家居设备的功能其中，最典型的个人信息传输路径如下[5]：

在该路径中，本地设备与APP通过云平台连接，本地设备或者APP将收集的个人信息传输至云平台，由云平台进行数据处理同时，APP也会将控制命令通过云平台传递给本地设备，以实现对本地设备的控制此外，本地设备和APP也可以不经过云平台而通过局域网实现互联以及个人信息的传输。

实践中，为实现最小化收集个人信息，部分智能家居设备会在本地处理完所收集的个人信息后，直接向云平台或者APP传递个人信息的处理结果例如，本地设备利用生物识别信息进行身份识别、认证后，企业在云端仅接收验证结果而不收集用户的生物识别信息。

智能家居行业的几个高频数据合规“考题”1. 特殊人群的个人信息保护（1）老年人用户目前智能家居“适老化”是行业关注点之一，例如，通过睡眠监测机器人、睡眠看护枕头进行老人离床、心率呼吸异常状态提醒，通过每日睡眠报告，随时关注老人的睡眠质量；语音可视门锁具备徘徊报警功能，一旦有可疑人在门口徘徊超过30秒，就会立马向管理者（子女）发送警报视频，子女可以通过视频看到老人家门口的场景，确保老人安全。

对于老年人的隐私和个人信息保护，一般遵从成人相关的隐私和数据保护合规要求即可但是老人大多认为智能家居操作复杂，不会使用，往往不是智能家居设备的购买者和操控者，因此告知同意等个人信息保护机制很可能无法得到真正落实。

目前，工信部发布了《移动互联网应用(APP)适老化通用设计规范》和《互联网应用适老化及无障碍水平评测体系》，以明确APP适老化通用设计规范及评测体系，并通过授予无障碍标识和企业信用加分等方式来鼓励企业对其智能家居产品进行适老化设计，同时强调APP进行个人信息处理时应遵循最小必要原则，即处理个人信息应当有明确、合理的目的，并应当限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息处理，以保障老年用户个人信息安全。

具体收集信息（如位置信息、图片信息等）行为，应符合《常见类型移动互联网应用程序必要个人信息范围规定》《APP收集使用个人信息最小必要评估规范》的要求[6]当儿女或其他看护人代为操控、访问的智能家居设备收集老年人个人信息以及敏感个人信息时，建议智能家居企业在隐私政策中以显著方式提示取得老年人的同意或单独同意，并遵守“最小必要”的收集原则，尽可能减少需要老人进行单独同意的场景。

当儿女或其他看护人需访问老人敏感个人信息（如心率、脉搏、行踪轨迹等）时，应当进行多重身份认证，避免老年人敏感个人信息的泄露（2）儿童用户智能家居设备在儿童教育、看护方面发挥着重要功能，如某品牌智能音箱可以通过前置摄像头，判断摄像头前的是成人还是儿童，以此判断是否需要进入儿童模式。

在处理不满14周岁儿童个人信息时，应当取得其父母或监护人的同意，保障儿童及其父母或者其他监护人的合法权益我国对儿童隐私和个人信息的保护及监管日趋严格，有关智能家居企业在处理儿童个人信息时需注意的要点包括但不限于。

[7]：建立儿童用户发现机制，通过注册时的主动填报或服务过程中的验证机制对未成年用户进行认定；完善父母或其他监护人的同意机制，通过增强告知的方式（如设置专门界面或单独步骤）获取父母或其他监护人的明确同意；

设置儿童隐私和个人信息保护规则和用户协议，指定保护专员，并通过隔离存储、加密保护等安全保护措施，严格遵守儿童个人信息合规要求；可以考虑为儿童建立专门的儿童账户，并通过特定功能（如“家长模式”、“支付验证”等）实现监护人对儿童个人信息及购买行为的管理。

对于儿童个人信息的保护分析也可见我们的文章《科技向善——智能穿戴设备个人信息保护》2. 摄像头功能场景下对隐私的保护近些年来频发的摄像头隐私泄露事件，增加了用户的不安全感和焦虑目前与智能家居相关的司法案例多涉及产品的摄像头功能。

以电子猫眼为例，在最高法人格权司法保护典型民事案例之八（[2020]沪0118民初15600号）一案中，被告为随时对住宅周边进行监测，在其入户门上安装一款采用人脸识别技术、可自动拍摄视频并存储的可视门铃，位置正对原告的住宅。

原告认为，被告可通过手机APP操控可视门铃、长期监控原告住宅，侵犯原告隐私法院判决支持了原告要求被告拆除可视门铃的诉讼请求另外，在上海市第一中级人民法院 (2020)沪01民终7742号一案中，被告安装的智能电子猫眼具有移动侦测自动拍摄、手机APP远程可视、1080P高清摄像头、手机云存储等功能。

法院认为被上诉人（一审原告）日常进出住宅的信息，包括出行人员、出行规律、访客来往等活动信息，与其私人的生活习惯及其家庭、财产的安全等直接关联，具有一定的私密性，应属于法律规定的隐私权的范畴，受法律保护，法院判决上诉人（一审被告）安装的电子猫眼在事实上构成了对被上诉人隐私权的侵犯。

尽管智能家居产品中的摄像头功能对用户隐私造成了不小的威胁，但从智能家居产品的功能拓展、用户使用体验提升等方面，摄像头功能均扮演了相当重要的作用为了在两者之间寻求平衡，我们建议智能家居企业将隐私保护设计融入到产品最初的研发过程中。

3. 智能家居行业的隐私保护设计隐私保护设计（Privacy by Design, PbD）是指将以用户为导向的隐私保护引入到产品开发设计和使用的各个环节，将隐私保护前置，主张在产品开发设计的最初阶段就嵌入隐私和数据保护的要求，成为产品运行的默认规则。

欧盟《通用数据保护条例》（General Data Protection Regulation, GDPR）第25条明确提出数据控制者需采取“设计及默认的数据保护”（data protection by design and by default），通过设计和默认设置方式有效地实施数据保护，从而保护数据主体的权利。

中国目前虽未发布书面文件明确PbD的概念和要求，但《民法典》《网络安全法》《数据安全法》《个人信息保护法》《GB/T 41817-2022 个人信息安全工程指南》等法律法规、国家标准已对PbD进行理论落地与实践探索。

作为举例，隐私保护设计可以从以下几个方面着手[8]：（1）个人信息的收集在收集环节，PbD着重于个人信息收集的最小化和告知同意策略的落实智能家居企业应当在产品设计阶段即建立个人信息收集的合规机制以及恰当的告知同意机制，具体包括：。

识别和梳理智能家居设备基本功能以及必要的个人信息，设计个人信息的收集机制，例如：-仅要求用户提供必要的个人信息，即智能家居设备收集的个人信息应直接关联服务功能，如果不收集该个人信息，设备功能将无法实现；

-智能家居设备不应捆绑多项业务以收集个人信息，当用户对某项功能拒绝收集或者撤回同意时，不应连带终止其他同意收集的个人信息所能满足的功能；-用户对非必要个人信息拒绝收集或者撤回同意时，不应影响设备基本服务功能的实现；

-智能家居设备或控制端APP应当以最低合理频率向云平台传输个人信息；-间接收集个人信息时，应要求提供方说明个人信息的来源，并对来源合法性进行确认；了解提供方已获得的个人信息处理授权同意范围，如果超出该授权同意范围，应在获取个人信息后的合理期限内重新取得用户的同意；

-如涉及通过控制端APP收集个人信息，应当按照《GB/T 41391-2022 APP收集个人信息基本要求》来设计个人信息收集机制结合产品特点和使用方式，设计恰当的告知同意机制：-设计恰当的告知方式（以弹窗、链接等方式进行一般告知、增强告知或即时提示等），将告知内容准确清晰地传达给用户；。

-设计恰当的同意机制，确保用户在充分知情的情况下作出自愿、明确的同意；需要取得单独同意的，向用户进行专门的充分告知，并通过明示同意的方式取得用户的单独同意设计敏感个人信息的收集机制：-默认关闭收集生物识别信息的功能，如当APP在手机后台调用麦克风、摄像头等权限时进行提醒或默认拦截；。

-收集生物识别、医疗健康、行踪轨迹等敏感个人信息时，以明确具体、通俗易懂的方式告知用户收集使用的目的，并取得用户的单独同意；-处理不满14周岁未成年人个人信息前取得未成年人监护人同意，并设置专门的儿童个人信息处理机制。

（2）个人信息的存储在存储环节，PbD的重点在于存储时间的最小化，除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间[9]，超出该期限后应当对个人信息进行删除和匿名化处理此外，收集个人信息后，个人信息处理者宜立即进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理

[10]（3）个人信息的提供在此阶段，通常在提供个人信息前（或收集个人信息时），通过发布隐私保护政策等机制，向个人信息主体告知可能涉及提供的场景，接收方的姓名、联系方式，提供目的、方式，涉及的个人信息种类等。

提供方式如果包含SDK，产品设计要点包括但不限于：SDK宜为不同的功能进行模块化设计，支持根据实际需要对无关功能进行分割，不强制捆绑无关功能；采用安全传输协议，通过数据加密、数字证书绑定、数字证书双向校验等方式保障个人信息的传输安全；对于敏感个人信息，可考虑对其进行单独加密；

在保障安全的前提下，SDK宜优先在本地存储个人信息SDK与智能家居设备共享的数据宜保存在单独的存储目录下；设计用户便捷退出SDK的机制（4）个人信息的删除/销毁删除/销毁阶段的重点在于在存储期限届满、不再具备处理个人信息的合法目的、用户撤回同意、产品/服务终止运营等情形下，相关智能家居企业应及时删除个人信息并承诺不会恢复用户个人信息。

实践中，可借鉴的数据销毁方法包括：将随机数据多次写入相关存储硬盘扇区中；在备份前对数据进行加密，通过将该等加密密钥与特定的保存期限关联起来，只要销毁特定密钥，就可销毁相关所有数据（5）身份鉴别和访问控制

智能家居与家庭生活安全性相关性很高，对于身份鉴别和个人信息访问应当具备相当的复杂度：设置最小授权机制，即被授权人员只能访问职责所需的最少个人信息，以及具备完成职责所需的最少数据操作权限；采用两种或以上的方式进行身份鉴别，并且设置鉴别失败的尝试次数；

对于需要通过显示界面展示的个人信息以实现功能的设备，采取去标识化处理，防止未经授权人员获取个人信息；提供针对未经授权访问或恶意攻击的检测机制4. 虚拟语音助手与生成式人工智能合规虚拟语音助手（Virtual Voice Assistant, VVA）目前在国内市场的普及率较高，是常见的智能家居设备。

根据2021年7月欧盟数据保护委员会（EDPB）发布的《虚拟语音助手指南V2.0》[11]，VVA是一种服务，可以理解并执行语音命令或在需要时作为与其他IT系统交互的媒介同时，ChatGPT、文心一言等生成式人工智能（Generative Artificial Intelligence, “GAI”）。

[12]近期获得极高的关注度，在不久的将来很可能与VVA终端结合，将VVA的端口接入GAI，使得用户与VVA的对话更加智能、准确和个性化2023年4月11日，国家互联网信息办公室发布了《生成式人工智能服务管理办法（征求意见稿）》，智能家居企业未来有很大可能会扮演利用GAI提供聊天和文本、图像、声音生成等服务的角色，当涉及个人信息时，需承担个人信息处理者的法定责任，履行个人信息保护义务。

[13]同时，智能家居企业作为提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责[14]在隐私保护设计方面，EDPB为VVA的提供者和开发者遵守“设计及默认数据保护”义务提供了如下指引。

[15]，国内相关智能家居企业可作参考：虚拟语音助手的提供者和开发者应考虑其每项功能是否必须要有一个注册用户对于管理日程或通讯录，注册用户必要性较高；但对于打电话或上网搜索功能，要求VVA拥有注册用户必要性似乎不高；。

默认情况下，不需要识别用户的服务不应该通过命令关联任何识别用户隐私和数据保护友好的VVA只会为了执行用户请求处理用户数据，而不会存储语音数据或已执行命令的记录；有些设备只能运行一个VVA，而其他设备可以在不同的VVA中选择，企业应当提供可以实现个人信息可携带的途径。

此外，基于 VVA不同的功能特性，结合近期受到广泛关注的《信息安全技术 个人信息处理中告知和同意的实施指南》（GB/T 42574-2023），相关智能家居企业可以考虑针对性地设计告知机制[16]：目前市场主流的VVA的运行模式是，VVA从聆听激活词或唤醒词切换到主动监听模式，比如Siri的“hey, siri”。

唤醒有时也可通过物理动作来实现，比如按下激活键或打开应用程序在语音助手被唤醒前，其始终保持聆听状态，只有被唤醒后，语音助手才会根据用户的指令，对数据进行处理、分析与存储因此，如果在谈话中无意包含了激活词或者不小心按到了激活键都可能造成意外唤醒与监听。

在意外唤醒的情况下，用户的个人信息（如谈话内容、视频等）将在未经同意的情况下被收集，从而产生合规风险因此，在开启该功能前，需向用户清晰告知实现监听所需的条件，如是否仅监听唤醒词，是否需要向云端回传数据（如回传，说明回传的个人信息类型、频次），是否为本地化使用麦克风的方式，并经用户的充分同意后才开启该功能。

另外，产品开发者可以考虑在设计阶段采用多重唤醒模式，以避免意外唤醒导致的对个人信息的“过度收集”如VVA配备可触摸或可操控的显示屏，可在显示屏上展示告知内容，并取得用户同意；如VVA不配备显示屏，可在产品包装上提供访问链接/二维码等以引导用户获取告知内容，或采用语音播放方式提示重要内容，并取得用户同意；如VVA可以绑定APP，可在用户登录APP账号时，展示告知内容并取得用户同意。

在全屋智能的场景下，VVA作为控制中枢时的产品形态通常为智能音箱，当智能家居设备由第三方提供，或者智能音箱集成了第三方开发的APP时，在向第三方提供或者接收第三方收集的个人信息前，可以通过智能音箱向用户告知，并取得用户同意。

结语智能家居产业目前处于不断创新发展的阶段，随着GAI等技术的逐步普及，智能家居设备的智能化水平将得到进一步提升，这个过程与用户个人信息的收集和后续使用存在着非常密切的联系我们建议智能家居行业的相关企业重视用户隐私和数据（尤其是个人信息）保护，在构建基本数据保护体系的同时，进一步对行业特殊场景的相关风险进行识别和预防，以确保对用户隐私和个人信息安全的充分保障。

向下滑动阅览脚注：[1] 亚马逊云科技：2022智能家居行业研究与场景分析报告 (https://mp.weixin.qq.com/s/YmeyAshuxVpnHk2Kj_gq5w)[2] 参见《GB/T 40979-2021 智能家用电器 个人信息保护要求和测评方法》

[3] 分类参考《GB/T 39579-2020 公众电信网 智能家居应用技术要求》[4] 黑马工厂《2022天猫行业趋势报告——全屋智能》[5] 参考《GB/T 40979-2021 智能家用电器 个人信息保护要求和测评方法》附录A

[6] 《移动互联网应用（APP）适老化通用设计规范》5.2[7] 参考《中兴 隐私保护设计（PbD）研究报告》4.3[8] 参考《GB/T 40979-2021 智能家用电器 个人信息保护要求和测评方法》《GB/T 41817-2022个人信息安全工程指南》《中兴 隐私保护设计（PbD）研究报告》

[9] 《个人信息保护法》第十九条[10] 《GB/T 35273-2020 信息安全技术 个人信息安全规范》6.2[11] Guidelines 02/2021 on virtual voice assistants Version 2.0 (https://edpb.europa.eu/system/files/2021-07/edpb_guidelines_202102_on_vva_v2.0_adopted_en.pdf)

[12] 《生成式人工智能服务管理办法（征求意见稿）》第二条：生成式人工智能，是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术[13] 《生成式人工智能服务管理办法（征求意见稿）》第五条。

[14] 《生成式人工智能服务管理办法（征求意见稿）》第七条[15] Article 3.11, Guidelines 02/2021 on virtual voice assistants Version 2.0 (https://edpb.europa.eu/system/files/2021-07/edpb_guidelines_202102_on_vva_v2.0_adopted_en.pdf)

[16] 参见《GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南》附录D本文作者

赵新华

合伙人公司业务部atticus.zhao@cn.kwm.com业务领域：公司业务、外商直接投资、公司重组及一般公司事务赵新华律师拥有十多年法律从业经验，曾为多家知名国内外企业提供法律服务，包括股权或资产收购、转让、公司重组、设立合资公司、特许经营等，赵律师服务的客户涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、船舶、工业制造和医药等。

赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究，并为国内外众多客户提供并购、市场准入及合规方面的法律服务

王哲峰

公司业务部

司马丹旎

公司业务部感谢实习生徐虹宇对本文作出的贡献。转载声明：好文共赏，如需转载，请直接在公众号后台或下方留言区留言获取授权。封面图源：画作·林子豪

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186