搜索结果: GB/T 45097.1-2024, GB/T45097.1-2024, GBT 45097.1-2024, GBT45097.1-2024
| 标准编号 | GB/T 45097.1-2024 (GB/T45097.1-2024) | | 中文名称 | 智能消费品安全 第1部分:危害(源)识别 | | 英文名称 | Safety of intelligent consumer product - Part 1: Hazard identification | | 行业 | 国家标准 (推荐) | | 中标分类 | A00 | | 国际标准分类 | 03.120.01 | | 字数估计 | 18,148 | | 发布日期 | 2024-11-28 | | 实施日期 | 2024-11-28 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 45097.1-2024: 智能消费品安全 第1部分:危害(源)识别
ICS 03.120.01
CCSA00
中华人民共和国国家标准
智能消费品安全
第1部分:危害(源)识别
2024-11-28发布
2024-11-28实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 一般原则 2
5 危害(源)分类 2
6 一般流程 2
7 信息准备 3
8 特征分析 3
9 危害(源)确定 3
附录A(资料性) 信息危害(源)和伦理危害(源)识别方法 4
附录B(资料性) 信息危害(源)和伦理危害(源)示例 5
附录C(资料性) 智能消费品危害(源)识别示例 7
参考文献 10
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件是GB/T 45097《智能消费品安全》的第1部分。GB/T 45097已经发布了以下部分:
---第1部分:危害(源)识别;
---第2部分:风险评估;
---第3部分:风险控制。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国消费品安全标准化技术委员会(SAC/TC508)提出并归口。
本文件起草单位:中国标准化研究院、湖北省标准化与质量研究院、九牧厨卫股份有限公司、芜湖美
的厨卫电器制造有限公司、科沃斯机器人股份有限公司、浙江欧菲克斯交通科技有限公司、浙江方圆检
测集团股份有限公司、中家院(北京)检测认证有限公司、中国电子技术标准化研究院、小米通讯技术有
限公司、成都安可信电子股份有限公司、上海小度技术有限公司、国家文教用品质量监督检验中心、中标
标准技术研究所有限公司。
本文件主要起草人:刘霞、罗自立、詹德佑、房祥静、陈良权、张力潇、严海、顾雾睛、应立峰、李红伟、
黄石、许丽丹、许玉娜、陈倩雯、庞强、王坤然、彭妍妍、穆亚敏、曾剑、刘格飞。
引 言
智能消费品(如智能家电、智能电子信息技术产品、智能门锁等)是近年来新兴的消费品,在带来便
利生活的同时,其质量安全问题也备受关注。对智能消费品质量安全危害(源)开展识别、风险评估和风
险控制是有效防范产品质量安全问题的有效手段。GB/T 45097《智能消费品安全》旨在提供一套涵盖
上述措施的方法体系,为科学、规范、高效地开展智能消费品风险管理,从而助力企业提升产品质量安全
水平,促进行业有序健康发展,保障人民群众健康和财产安全,奠定技术基础。拟由三部分构成。
---第1部分:危害(源)识别。旨在为识别智能消费品质量安全危害(源)提供原则、方法,并给出
现阶段该类产品主要危害(源)清单。
---第2部分:风险评估。旨在为开展智能消费品安全风险评估提供流程和方法指导。
---第3部分:风险控制。旨在针对智能消费品危害(源)的不同风险等级,提供具有可操作性的风
险控制措施手段,使智能消费品的质量安全风险被控制在可容许范围内。
智能消费品安全
第1部分:危害(源)识别
1 范围
本文件给出了智能消费品安全危害(源)识别的原则、危害(源)分类,确立了智能消费品安全危害
(源)识别的一般流程,包括信息准备、特征分析及危害(源)确定。
本文件适用于开展智能消费品危害(源)识别活动。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 39011-2020 消费品安全 危害识别导则
3 术语和定义
下列术语和定义适用于本文件。
3.1
智能 inteligence
具有人类或类似人类智慧特征的能力。
注:人类或类似人类的智慧特征,表现为在实现某个目的的过程中,总会经历一个或多个的感知、决策、执行的过程
或过程循环,并在其中通过不断学习,提高自身实现目的的能力和实现目的的效率与效果;本文件认为,在体现
人类或类似人类的智慧特征上,感知、决策、执行和在其中的学习的各项能力和过程具有不可或缺性。
[来源:GB/T 28219-2018,3.1]
3.2
消费品 consumerproduct
主要但不限于为个人使用而设计、生产的产品,包括产品的组件、零部件、附件、使用说明和包装。
[来源:GB/T 35248-2017,2.2]
3.3
安全 safety
免除了不可接受的风险的状态。
[来源:GB/T 20002.4-2015,3.14]
3.4
危害(源) hazard
可能导致伤害的潜在根源。
[来源:GB/T 28803-2012,3.2]
3.5
信息危害(源) informationhazard
导致信息受未经授权的、意外或故意的获取、披露、传输、修改或销毁的因素。
3.6
伦理危害(源) ethicalhazard
违背处理人与人、人与社会、人与自然相互关系时需要遵循的具体行为准则的因素。
4 一般原则
4.1 全面性
覆盖智能消费品全生命周期,包括设计、生产、包装、储运、使用和回收等环节,从物理危害(源)、化
学危害(源)、信息危害(源)、伦理危害(源)等多个维度进行全面识别。
4.2 科学性
根据危害(源)的本质特征,选用科学有效的识别方法,确保危害识别的可靠性和准确性。
4.3 系统性
识别过程综合考虑法律法规、标准规范、经济发展、技术进步、理念提升等方面,保持客观性和透明
性,避免主观偏见。
4.4 动态性
根据技术进步和市场变化,及时更新危害(源)识别方法以应对新出现的危害(源)。
5 危害(源)分类
按照智能消费品危害(源)特征属性来划分,智能消费品危害(源)分为物理危害(源)、化学危害
(源)、信息危害(源)和伦理危害(源)。
6 一般流程
智能消费品危害(源)识别的一般流程包括信息准备、特征分析、危害(源)确定,详见图1。其中,物
理危害(源)和化学危害(源)识别的流程确立也可按GB/T 39011-2020的规定。
图1 智能消费品危害(源)识别流程图
7 信息准备
7.1 信息采集
智能消费品危害(源)识别过程的信息采集途径主要包括:
a) 产品技术资料,如产品原材料构成、产品设计方案、使用说明等;
b) 已发布的法规、标准;
c) 科技期刊;
d) 召回信息;
e) 检验、检测数据;
f) 消费者投诉;
g) 专家意见;
h) 媒体报道;
i) 其他。
7.2 信息调查
对于采集的信息,如果认为有必要针对信息的真实性、全面性等开展核实的,应安排现场调查或其
他措施进行进一步信息采集、核实、整理工作,最大限度地保证危害(源)识别所需信息的有效性。
8 特征分析
8.1 使用对象分析:
a) 使用对象特征:如性别、年龄、健康状况、受教育程度、专业化程度等;
b) 使用行为习惯:使用对象在正常使用和可合理预见的误使用情况下,使用产品的方式、动作、习
惯、使用时长、频率等信息。
8.2 产品功能分析:包含产品在特定环境下能达到的作用或效果,如感知、控制、通信、识别、交互等。
8.3 使用环境分析:包含气候、区域、温湿度等自然要素,以及运动、休息、家居、工作等生活环境特征。
9 危害(源)确定
9.1 伤害场景构建和分析:通过实验模拟、行为观察等方式,模拟消费者在不同使用环境下使用智能消
费品导致的不同伤害发生场景,对上述场景中涉及的“消费者-产品-环境”的关联关系进行致害机理
分析,并分析在特定伤害场景下,由于使用智能消费品可能导致的某种伤害后果。
9.2 识别方法选择:智能消费品信息危害(源)和伦理危害(源)可采取的识别方法见附录A,物理危害
(源)、化学危害(源)的识别方法见GB/T 39011-2020中附录A和附录B。
9.3 危害(源)清单:智能消费品信息危害(源)和伦理危害(源)的常见类型见附录B,物理危害(源)、化
学危害(源)的常见类型见GB/T 22760-2020中附录C。智能消费品危害(源)识别的示例见附录C。
附 录 A
(资料性)
信息危害(源)和伦理危害(源)识别方法
信息危害(源)和伦理危害(源)识别方法见表A.1,GB/T 39011-2020中附录A描述的消费品物
理危害识别方法,同样适用于信息危害(源)的识别。
表A.1 智能消费品信息危害(源)和伦理危害(源)识别方法示例
识别方法 方法说明
适用范围
信息
危害(源)
伦理
危害(源)
检查表法
基于安全标准规范或按照业内普遍认可的安全体系架构,把各个层次和
领域可能产生的重要安全因素尽可能列出,并结合该产品曾经发生过的
质量安全事件及产生的后果,建立危害(源)清单
√ √
案例研究法
通过研究相关的典型案例,总结产品质量安全事件发生的规律,获得危
害(源)
√ √
专家访谈法 通过专家调查与访谈,基于专家的研究成果和经验,建立危害(源)清单 √ √
问卷调查法
设计面向利益相关者的调研问卷,采集受访者数据进行分析,了解受访
者的看法、态度和需求,可包括面对面、电话、在线等形式的问卷填写
√ √
基线核查
对智能消费品的软件系统和硬件配置等进行详细审查,确保其符合最低
安全要求。基线核查主要依赖于安全基线,即各类系统和设备在特定环
境下应满足的基本安全配置标准
漏洞扫描
通过模拟攻击手段对智能消费品相关组成进行安全检测,发现潜在的安
全漏洞和弱点,得到信息危害(源)清单
代码审计 对产品的代码进行检查,发现代码中的安全漏洞 √
渗透测试
由受信任的第三方通过模拟黑客的攻击技术与手段,对智能消费品涉及
的网络、系统等进行全面安全测试,发现潜在安全隐患,常见的手段包含
黑盒测试和白盒测试
移动应用安
全测试
通过多种测试手段和技术来验证移动应用的安全等级、检查安全问题 √
政策分析法
采集智能消费品质量安全相关制度文件、标准规范等资料,提取产品伦
理危害因素,构建危害(源)清单
文献分析法
通过检索相关文献,提取产品伦理危害因素,包括文献检索、文献筛选、
文献分析、文献整理等步骤
文本分析法
对来自网络舆情、消费投诉、模拟实验、产品说明书等渠道的产品质量安
全文本信息进行分析,包括关键词、词向量等语料,获得伦理危害(源)
附 录 B
(资料性)
信息危害(源)和伦理危害(源)示例
信息危害(源)和伦理危害(源)示例见表B.1。
表B.1 信息危害(源)和伦理危害(源)示例
大类 中类 小类
信息危害(源)
硬件
整机
零部件
元器件
其他
固件
主控板
控制器
软件程序
其他
操作系统
操作系统集成
操作系统权限控制
操作系统启动
操作系统更新
操作系统配置
服务配置
操作系统安全审计
其他
应用
身份鉴别
权限控制
接口调用
其他
接口
硬件接口
端口
应用编程接口(API接口)
其他
通信
网关接入
终端接入控制
通信传输
网络攻击
侧信道攻击
其他
表B.1 信息危害(源)和伦理危害(源)示例 (续)
大类 中类 小类
信息危害(源) 数据
数据传输
数据访问
数据存储
数据使用
个人信息
其他
伦理危害(源)
社会性危害(源)
主观恶意使用
违反伦理道德
违反法律法规
违反市场秩序
其他
侵权性危害(源)
侵犯人身权利
侵犯隐私权利
侵犯财产权利
侵犯公共安全
其他
歧视性危害(源)
特定群体偏见
提供差异服务
其他
责任性危害(源)
民事责任
刑事责任
行政责任
责任界定模糊
损失救济不足
责任意识缺乏
其他
失控性危害(源)
特殊种类人工智能应用
其他
附 录 C
(资料性)
智能消费品危害(源)识别示例
C.1 信息采集
C.1.1 信息准备
A产品是市场上流行的一款智能电子产品,具备健康监测、定位联络和智能问答功能。通过文献
检索、舆情搜索、实验检测、专家访谈等手段,采集与A产品相关的法律法规、标准、产品技术资料、召回
信息、检验检测数据、消费者投诉、专家意见、媒体报道等渠道的信息。
C.1.2 信息调查
为确保信息的真实性、全面性,针对采集得到的A产品致害事件、消费者投诉等信息,面向消费者、
行业专家、监管机构等相关方,采用问卷调研、实地访谈等形式,开展信息深度调查。
C.2 特征分析
A产品特征分析示例见表C.1。
表C.1 A产品特征分析示例
使用场景 具体描述
使用对象
(1)年龄在3岁~16岁之间的未成年人,因其民事行为能力尚不能达到对日常生活事务的理性处理,需
要监护人在其旁侧进行指导与代理。
(2)随身携带,保持电量充足即可正常使用
产品功能
(1)定位功能:配备全球定位系统(GPS)、无线局域网接入(WiFi)、基站等多重定位技术,能够实时准确
地提供使用者的位置。
(2)通信功能:支持双向通话功能,随时与他人通话,他人也可以主动拨打,及时了解使用者的情况。
(3)健康监测:具有心率监测、睡眠监测等健康功能,随时了解使用者的健康状况,提供科学的健康管理
建议。
(4)智能问答:控制命令类、知识查询类和闲聊类,通过预设的程序或者知识库对使用者的指令或者问
题做出回应
使用环境 可短时间在水域、潮湿环境下使用,连接网络后可使用通信等功能
C.3 危害(源)识别
C.3.1 危害场景构建与分析
场景1:A产品使用者的姓名、性别、年龄、电话号码、住址、头像、指纹等个人信息泄露,被非法用于
支付,造成财产损失。
场景2:A产品设置男生/女生两种模式,在男生模式中引导使用者立志成为“勇敢”男子汉和“事业
成功型爸爸”,女生模式中引导使用者立志成为“漂亮”公主或“家庭主妇型妈妈”,存在误导儿童价值观
和人生观的风险。
C.3.2 识别方法选择
经来自企业、科研机构、行业协会、政府监管部门等机构的10名专家初判,场景1的主要危害(源)
为信息危害(源),场景2的主要危害(源)为伦理危害(源),因此,可采用渗透测试、政策分析法和专家访
谈法开展具体危害(源)识别。
C.3.3 危害(源)确定
C.3.3.1 场景1危害(源)的确定
依据国家相关法律和产品信息安全相关标准,邀请上述10名专家针对场景1的危害(源)开展识别
初判,可得到场景1的危害(源)初判结果为信息危害(源)中的“数据”。基于此,通过渗透测试工具进行
使用者的姓名、性别、年龄、身份证号、住址、头像、指纹等个人信息采集、传输项目的安全测试。测试流
程如下:
a) 信息收集:获取A产品系统、应用程序等信息,如IP地址、域名、网络架构等。
b) 漏洞扫描:使用自动化工具扫描A产品相关组成,识别潜在的漏洞和安全弱点。
c) 漏洞利用:利用已知的安全漏洞尝试获取未授权访问、提权或恶意操作机会,验证产品的脆
弱性。
d) 访问控制测试:评估产品的访问控制机制,包括密码策略、访问权限和身份验证。
测试结果见表C.2。
表C.2 场景1危害(源)识别结果示例
危害(源)大类 危害(源)中类 危害(源)小类
信息危害(源) 数据
数据传输
个人信息
根据上述渗透测试结果,可判断A产品的信息危害(源)中类为“数据”,小类为“数据传输”和“个人
信息”。
C.3.3.2 场景2危害(源)的确定
采用政策文本分析法和专家访谈法,依据国家发布的人工智能相关文件资料,通过10名来自政府
监管部门、企业、行业协会、科研机构的专家,开展场景2中有关伦理危害(源)的识别,识别结果见
表C.3。
表C.3 场景2危害(源)识别结果示例
危害(源)大类 危害(源)中类 危害(源)小类 相关文件资料
伦理危害(源) 歧视性危害(源) 特定群体偏见
《新一代人工智能发展规划》
《新一代人工智能伦理规范》
综上,确定A产品的危害(源),见表C.4。
表C.4 A产品危害(源)清单示例
伤害场景 危害(源......
|