物联网设备数据采集与传输的合规要点？

物联网设备数据采集与传输的合规需以《个人信息保护法》《数据安全法》《网络安全法》及《物联网安全保护条例（征求意见稿）》为核心框架，聚焦“采集合法”传输安全“及主体权利保障三大维度。

采集环节需严格遵循“合法、正当、必要”原则：一是履行“告知-同意”义务，清晰向用户说明数据采集的目的、方式、范围及存储期限，涉及敏感个人信息（如生物特征、精准位置）需获取单独同意；二是坚持“最小必要”，仅采集设备功能必需的数据，不得超范围收集无关信息；三是确保来源合法，禁止窃取、非法获取他人设备或用户数据。

传输环节需强化安全防护：一是采用加密技术（如TLS协议）保护传输数据，防止泄露或篡改；二是落实访问控制，通过设备唯一标识、双向认证等方式管控传输链路权限；三是跨境传输需符合监管要求（如安全评估、标准合同、个人信息保护认证），不得未经审批向境外传输；四是留存传输日志，确保数据流向可溯源。此外，需保障用户对采集数据的查询、更正、删除等权利，企业应落实主体责任，制定内部管理制度，定期开展安全评估，及时处置漏洞或泄露事件。整体需平衡设备功能实现与数据安全，避免“过度采集”“裸传数据”等违规行为。

摘自《可信数据空间合规100问》