近日,由中央網(wǎng)信辦歸口提出并組織制定的《數(shù)據(jù)安全技術(shù) 電子產(chǎn)品信息清除技術(shù)要求》強(qiáng)制性國(guó)家標(biāo)準(zhǔn),已獲國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)發(fā)布。該標(biāo)準(zhǔn)將于2027年1月1日起正式施行,旨在規(guī)范電子產(chǎn)品信息清除行為,保障用戶數(shù)據(jù)安全。
據(jù)了解,這一標(biāo)準(zhǔn)適用于面向境內(nèi)生產(chǎn)、銷售的具備非易失性存儲(chǔ)介質(zhì)的電子產(chǎn)品。適用主體涵蓋兩大類:一是產(chǎn)品制造與服務(wù)方,包括電子產(chǎn)品廠商以及第三方信息清除功能開(kāi)發(fā)者;二是流通經(jīng)營(yíng)方,主要指對(duì)二手電子產(chǎn)品進(jìn)行信息清除的回收經(jīng)營(yíng)者。
該標(biāo)準(zhǔn)所涉及的產(chǎn)品范圍十分廣泛,手機(jī)、平板、筆記本電腦、臺(tái)式機(jī)電腦、智能穿戴設(shè)備以及辦公設(shè)備等均包含在內(nèi)。不過(guò),涉及國(guó)家秘密的電子產(chǎn)品信息清除,需嚴(yán)格依照國(guó)家保密相關(guān)規(guī)定執(zhí)行。
在日常生活中,普通用戶刪除數(shù)據(jù)或恢復(fù)出廠設(shè)置,往往只是將數(shù)據(jù)標(biāo)記為無(wú)效,數(shù)據(jù)本身仍可能殘留在存儲(chǔ)介質(zhì)中,存在被恢復(fù)的風(fēng)險(xiǎn)。而《技術(shù)要求》所定義的“信息清除”,是對(duì)存儲(chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行技術(shù)處理,使其不可逆且無(wú)法被訪問(wèn)或恢復(fù),從而有效保護(hù)用戶數(shù)據(jù)安全。
為實(shí)現(xiàn)這一目標(biāo),標(biāo)準(zhǔn)提出了兩種核心技術(shù)方法。其一是數(shù)據(jù)覆寫,即把固定或隨機(jī)的無(wú)含義數(shù)據(jù)寫入電子產(chǎn)品,覆蓋與用戶數(shù)據(jù)相關(guān)的每個(gè)存儲(chǔ)單元。對(duì)于磁介質(zhì),要求覆寫至少3次,且其中包含1次隨機(jī)數(shù)覆寫;對(duì)于半導(dǎo)體介質(zhì),則要求至少覆寫1次。其二是塊擦除,針對(duì)半導(dǎo)體介質(zhì),通過(guò)調(diào)用存儲(chǔ)介質(zhì)指令,對(duì)物理塊執(zhí)行根本性的擦除操作。
為從源頭保障用戶數(shù)據(jù)安全,標(biāo)準(zhǔn)明確規(guī)定電子產(chǎn)品廠商應(yīng)為用戶提供內(nèi)置的信息清除功能。若無(wú)法開(kāi)發(fā)內(nèi)置功能,廠商必須提供外部信息清除工具,或告知用戶可用的第三方工具信息,或者向用戶提供免費(fèi)的信息清除服務(wù)。在執(zhí)行清除操作前,廠商必須向用戶明示清除范圍、方法和可能產(chǎn)生的影響,并獲得用戶同意。清除功能需全面覆蓋用戶產(chǎn)生的各類文件、通訊錄、應(yīng)用程序及數(shù)據(jù)、身份鑒別信息、加密密鑰等。
回收經(jīng)營(yíng)者作為二手電子產(chǎn)品流通過(guò)程中的關(guān)鍵安全節(jié)點(diǎn),也受到嚴(yán)格規(guī)范。標(biāo)準(zhǔn)要求回收經(jīng)營(yíng)者在回收前主動(dòng)提示用戶進(jìn)行信息清除,未經(jīng)用戶同意禁止訪問(wèn)或留存用戶數(shù)據(jù)。在清除過(guò)程中,必須使用符合標(biāo)準(zhǔn)的功能或工具進(jìn)行操作。若產(chǎn)品損壞無(wú)法使用軟件清除,則必須對(duì)存儲(chǔ)介質(zhì)進(jìn)行物理銷毀。在銷售前,回收經(jīng)營(yíng)者必須對(duì)清除效果進(jìn)行驗(yàn)證,未清除用戶數(shù)據(jù)的產(chǎn)品禁止再銷售和運(yùn)輸出境。同時(shí),要建立檔案,對(duì)清除操作和驗(yàn)證結(jié)果進(jìn)行記錄,留存時(shí)間不少于3年。
考慮到當(dāng)前市場(chǎng)上電子產(chǎn)品種類繁多、形態(tài)復(fù)雜,且二手流通體量大,相關(guān)企業(yè)對(duì)現(xiàn)有產(chǎn)品進(jìn)行適配改造、建立相應(yīng)管理體系需要一定時(shí)間。為確保標(biāo)準(zhǔn)平穩(wěn)落地,經(jīng)充分調(diào)研和試點(diǎn)驗(yàn)證,設(shè)定自標(biāo)準(zhǔn)發(fā)布之日起13個(gè)月的過(guò)渡期,于發(fā)布一年后正式實(shí)施,給予企業(yè)充足的準(zhǔn)備時(shí)間。
