近年来,手机、电脑等电子产品更新换代频率加快,大量旧手机、旧电脑进入回收渠道,但是这些电子产品中存储的用户照片、通讯录等个人信息如果没有被有效清除,就容易引发消费者的隐私泄露。
数据显示,“十四五”期间我国累计产生的闲置手机总量已经达到了惊人的60亿部,但只有约10%进入了二手流通市场。为什么大部分都被闲置甚至直接丢弃?中国电子技术标准化研究院副院长范科峰此前曾一针见血地指出,核心原因之一就是消费者害怕信息清除不彻底,存在严重的隐私泄漏风险。
实验室的演示更是让人后怕:用系统自带的“删除”或“恢复出厂设置”,数据只是被标记为无效,远未真正消失。技术人员用专业软件轻轻一点,就能把刚“删掉”的照片、文件完整恢复出来。这种“删除≠消失”的现实,正是新国标出台最直接的推动力。
记者从国家标准委了解到,近日,强制性国家标准《数据安全技术电子产品信息清除技术要求》(以下简称“技术要求”)发布,将于2027年1月1日起正式实施。
据悉,这项《技术要求》由中央网信办提出并归口,出台的主要目的就是解决消费者对二手电子产品中数据被恶意恢复,导致隐私泄露的担忧。标准首次以强制性形式对手机、电脑、平板、硬盘等设备的信息清除技术和流程提出统一要求。
《技术要求》明确了清除范围,覆盖了所有用户数据。包括文本、图片、视频等各类文件;通话记录、短信、位置、行为记录等数据;与身份相关的账号、口令、生物识别信息等安全数据,绑定的银行卡、交通卡、门禁卡等外部设备信息等。同时,其规定采用“数字覆写”“块擦除”技术,确保数据能够被“物理级”清除。二手电子产品回收经营者在销售前必须对清除效果进行验证,未清除用户数据的产品禁止再销售和运输出境。
《技术要求》的适用范围是什么?
《技术要求》适用于面向境内生产、销售的,具有非易失性存储介质的电子产品。
适用主体包括两类:产品制造与服务方,包括电子产品厂商、第三方信息清除功能开发者;流通经营方,主要是对二手电子产品进行信息清除的回收经营者。
《技术要求》涉及的产品范围广泛,主要包括手机、平板、笔记本电脑、台式机电脑、智能穿戴设备、办公设备。需要说明的是,涉及国家秘密的电子产品信息清除,需遵照国家保密相关规定执行。
《技术要求》的“信息清除”与普通的删除有什么区别?
普通的删除或恢复出厂设置往往只是将数据标记为无效,数据本身仍可能残留在存储介质中。
消费者在处置旧电子产品时,往往仅采用“删除文件”“恢复出厂设置”等常规操作。实际上,依靠一些技术手段就能恢复被删除的数据。
《技术要求》所指的“信息清除”,是对存储介质中的数据进行技术处理,使其不可逆且无法被访问或恢复。《技术要求》提出了两种核心技术方法:
数据覆写,将固定或随机的无含义数据写入电子产品,覆盖与用户数据有关的每个存储单元。对于磁介质,要求覆写至少3次且包含1次随机数覆写;对于半导体介质,要求至少覆写1次。
块擦除,针对半导体介质,通过调用存储介质指令,对物理块执行根本性的擦除操作。
电子产品厂商需要做什么?
《技术要求》规定,电子产品厂商应为用户提供内置的信息清除功能。
如果无法开发内置功能,厂商必须提供外部信息清除工具,或告知可用的第三方工具信息,或者向用户提供免费的信息清除服务。
在执行清除前,必须向用户明示清除范围、方法和影响,并获得用户同意。清除功能需覆盖用户产生的各类文件、通讯录、应用程序及数据、身份鉴别信息、加密密钥等。
对二手电子产品回收经营者有哪些要求?
除了对电子产品生产商提出要求,新国标还专门对回收经营者提出了明确要求:
回收前主动提示用户进行清除,未经同意禁止访问或留存用户数据。
必须使用符合《技术要求》的功能或工具进行清除。若产品损坏无法使用软件清除,则必须对存储介质进行物理销毁。
在销售前必须对清除效果进行验证,未清除用户数据的产品禁止再销售和运输出境。