一、美的IoT隐私保护价值观

温馨智能家庭来自安全的保障，美的IoT以智能互联为驱动，在科技智能连接家居的同时，我们把保障用户个人数据的安全作为美的产品与服务的核心生命线，让用户随时随地享受智能便利、安全舒适的智能家居服务。

二、美的参考的外部法规、行业实践

美的IoT一直致力于遵循各国的数据安全与隐私保护法规的要求，如我国的《网络安全法》《欧盟通用数据保护条例（ “GDPR”）》以及《加州消费者隐私法（ “CCPA”）》等保护用户的隐私安全。美的作为消费者信赖的全球化科技集团，严格遵守我国《消费者权益保护法》，并依据我国权威部门发布的《App违法违规收集使用个人信息行为认定方法》、《GB/T-2020-35273信息安全技术-个人信息安全规范》、《工信部APP侵害用户权益专项整治8项要求》的要求提升美的美居在App端的合规性及个人信息保护能力。

同时美的IoT落实国际权威的安全标准及行业最佳实践，如ISO27001信息安全管理体系及ISO 27701隐私管理体系，建立并形成了具有美的特色的智慧家居隐私管理与安全体系。

美的IoT是中国家用电器协会、智能家电云云互联互通工作组的成员，是智能家电云云互联互通工作组-安全组的组长单位，牵头制定了《中国智能家居云云互联互通信息安全标准》。此外，美的IoT还加入了中国通信标准化协会，参与了相关的物联网标准的制定和撰写，包括《信息安全技术 智能家居安全通用技术要求和测试评价方法》、《智能家用电器个人信息保护要求和测评方法》等行业标准的制定。

美的IoT参与美国ASTM材料实验协会对联网消费产品安全标准的意见征集，该标准主要为解决消费者产品具备互联功能后逐渐担心的安全隐患问题，旨在用作互联消费产品制造商的指南，确保其连接功能相关的物理安全。

美的IoT参与编纂了由国家市场监督管理总局、中国国家标准化管理委员会发布的《家用和类似用途电器专用WLAN通信模块技术规范》，针对其信息安全要求中的固件安全、数据保护、安全审计等规范提出修订建议并被采用。

美的IoT携手信息安全检测设备及技术研发商纽创信安、中国科学院的密码学家王小云院士成立智能家居终端安全与国密密码算法研究技术联合实验室，针对智能家电的终端安全、协议安全、适配国密密码算法安全等核心技术和应用展开研究，推进相关核心技术的产品化、产业化，增强终端安全的攻防实战能力。

三、美的隐私保护责任

用户在使用美的IoT产品及美的美居的过程中，美的基于运营支持及服务开展需收集用户个人数据，部分数据的收集、处理过程由美的IoT协同第三方供应商共同进行并共同承担个人数据的保护责任。其中，美的IoT负责美的物联网平台内的服务和数据交互的安全管理和运营，对其提供的美的物联网平台和基础架构的安全性负责；第三方供应商的云服务安全、SDK的个人数据保护责任由美的IoT和供应商共同承担。

我们将基于下图的责任模型介绍美的IoT、供应商需要承担的隐私保护责任和义务。

美的IoT的责任：

美的IoT负责美的美居的服务和数据交互的安全管理和运营，对向用户提供的服务的隐私保护及安全性负责，其中安全责任覆盖数据安全和用户隐私权利保障。美的IoT提供APP的安全运维和运营服务，切实保护美居的安全运营，以及保障用户个人数据的安全，包括但不限于：

• 数据安全：对收集的用户数据实施管理措施，包括收集与识别、PIA评估、分类与分级、权限与加密以及隐私合规等方面；
• 访问控制管理：对存储在美的物联网平台的用户个人数据进行严格且合理的访问权限控制，包括用户管理、权限管理、身份验证等；
• 数据主体权利响应：根据《中华人民共和国网络安全法》等适用法规中对用户权利响应的要求，美的IoT隐私声明中描述了美的保障用户的知情权、访问权、删除权、更正权等权利的责任，并通过美的美居或DPO邮箱，对客户的各项主体权利提供切实的支持。

美的IoT与第三方供应商共同承担的责任：

美的将与第三方供应商共同维护美的物联网平台以及第三方SDK、第三方云服务的安全。主要包含：

• 美的物联网平台安全：美的IoT选择全球知名的云服务供应商亚马逊云、阿里云等全球领先的云计算供应商进行合作，并在签订的合同中对服务可用性及安全服务提出要求，确保云服务的基础设施、物理设备的安全和可靠。
• 供应商隐私管理：美的IoT和第三方供应商合作的时候，供应商需要严格按照美的IoT的安全配置和接入要求执行。对于美的IoT的数据安全合规、隐私政策等相关信息，我们严格遵循相关的法律和规章制度，与此同时，供应商也必须提供和遵循数据安全和隐私保护的解决方案和服务，确保用户个人数据安全。

四、美的隐私安全保护基本原则

参考适用的隐私保护法律法规与ISO 27701标准的要求，美的IoT确定了六大隐私保护基本原则，覆盖产品设计、数据收集、数据保护及数据主体权利响应等方面。具体原则如下：

1、公开透明原则

我们将以明确具体，通俗易懂且不设障碍的方式在隐私政策及隐私协议中向用户告知我们收集个人数据的原则，以及收集个人数据的方式、目的、范围和期限。若数据处理的目的、收集的个人信息类型发生变更，我们将更新我们的隐私政策，并告知用户，重新获取用户的同意。

2、合理必要原则

我们严格遵守“合法、正当、必要”的个人数据保护的原则，明确仅收集为提供服务所必须的个人数据。为给用户带来更好的产品用户体验，我们所提供的产品及服务将尽可能最小限度地向用户申请收集最少量的、为提供服务所必需的个人数据。此外，为保障数据私密性，数据处理也会尽可能地在设备本地进行，减少个人数据上传尤其是跨境传输。

3、自主选择原则

用户有权要求访问、更正、删除我们持有的与个人数据，可自主选择允许或拒绝提供个人数据。我们为用户提供完善的主体权利响应机制，用户可以通过DPO邮箱与我们联系，确保数据主体权利得到保障。

4、规范自律原则

我们在内部建立系统化的隐私合规审查机制，确保各业务部门同样重视您的个人数据安全。我们的合规审查机制贯穿产品全生命周期，从产品设计到开发、测试、上线，都有专业审查团队进行数据保护影响评估及安全性测试。

4、规范自律原则

我们在内部建立系统化的隐私合规审查机制，确保各业务部门同样重视您的个人数据安全。我们的合规审查机制贯穿产品全生命周期，从产品设计到开发、测试、上线，都有专业审查团队进行数据保护影响评估及安全性测试。

5、安全可靠原则

用户的个人信息是无价的，对于用户的个人数据，无论是传输或者存储，我们都采用严格健全的保护措施，降低数据泄漏风险。传输过程采用了 HTTPS 安全传输、敏感信息哈希混淆、传输链路保护等方式最大程度保障传输安全性；数据存储方面，本地存储采用文件级加密、密钥分离等保护方式，云端存储则采取了安全等级分类、多种加密保护等保护方式。

6、将隐私保护理念融入产品

为保障用户获得更加安心舒适的产品服务体验，在产品或服务的计划，评审，开发，测试等各个环节，将法律、开发、产品、设计等多因素融入隐私保护理念，在产品服务的全流程加强对用户个人隐私数据的保护。