近日,由中央网信办归口提出并组织制定的《数据安全技术 电子产品信息清除技术要求》强制性国家标准,已获国家市场监督管理总局、国家标准化管理委员会批准发布。该标准将于2027年1月1日起正式施行,旨在规范电子产品信息清除行为,保障用户数据安全。
据了解,这一标准适用于面向境内生产、销售的具备非易失性存储介质的电子产品。适用主体涵盖两大类:一是产品制造与服务方,包括电子产品厂商以及第三方信息清除功能开发者;二是流通经营方,主要指对二手电子产品进行信息清除的回收经营者。
该标准所涉及的产品范围十分广泛,手机、平板、笔记本电脑、台式机电脑、智能穿戴设备以及办公设备等均包含在内。不过,涉及国家秘密的电子产品信息清除,需严格依照国家保密相关规定执行。
在日常生活中,普通用户删除数据或恢复出厂设置,往往只是将数据标记为无效,数据本身仍可能残留在存储介质中,存在被恢复的风险。而《技术要求》所定义的“信息清除”,是对存储介质中的数据进行技术处理,使其不可逆且无法被访问或恢复,从而有效保护用户数据安全。
为实现这一目标,标准提出了两种核心技术方法。其一是数据覆写,即把固定或随机的无含义数据写入电子产品,覆盖与用户数据相关的每个存储单元。对于磁介质,要求覆写至少3次,且其中包含1次随机数覆写;对于半导体介质,则要求至少覆写1次。其二是块擦除,针对半导体介质,通过调用存储介质指令,对物理块执行根本性的擦除操作。
为从源头保障用户数据安全,标准明确规定电子产品厂商应为用户提供内置的信息清除功能。若无法开发内置功能,厂商必须提供外部信息清除工具,或告知用户可用的第三方工具信息,或者向用户提供免费的信息清除服务。在执行清除操作前,厂商必须向用户明示清除范围、方法和可能产生的影响,并获得用户同意。清除功能需全面覆盖用户产生的各类文件、通讯录、应用程序及数据、身份鉴别信息、加密密钥等。
回收经营者作为二手电子产品流通过程中的关键安全节点,也受到严格规范。标准要求回收经营者在回收前主动提示用户进行信息清除,未经用户同意禁止访问或留存用户数据。在清除过程中,必须使用符合标准的功能或工具进行操作。若产品损坏无法使用软件清除,则必须对存储介质进行物理销毁。在销售前,回收经营者必须对清除效果进行验证,未清除用户数据的产品禁止再销售和运输出境。同时,要建立档案,对清除操作和验证结果进行记录,留存时间不少于3年。
考虑到当前市场上电子产品种类繁多、形态复杂,且二手流通体量大,相关企业对现有产品进行适配改造、建立相应管理体系需要一定时间。为确保标准平稳落地,经充分调研和试点验证,设定自标准发布之日起13个月的过渡期,于发布一年后正式实施,给予企业充足的准备时间。
