日前,央视新闻报道显示,12月2日,由中央网信办提出并归口的《数据安全技术 电子产品信息清除技术要求》强制性国家标准,经国家市场监督管理总局、国家标准化管理委员会批准发布,该标准将于2027年1月1日起正式实施。
随着数字经济的迅猛发展,手机、电脑等电子产品的更新换代节奏不断加快,二手电子产品的流通规模也日益扩大。但在流通过程中,因信息清除不彻底引发的数据泄露隐患愈发突出,这一问题直接关系到社会公共利益与个人信息安全。
为落实国务院《推动大规模设备更新和消费品以旧换新行动方案》中“出台手机、平板电脑等电子产品二手交易信息清除方法国家标准”的要求,中央网信办提出并委托全国网络安全标准化技术委员会组织制定本标准,目的是规范电子产品信息清除技术方法,引导回收经营者完善信息清除管理与技术措施,防范二手流通环节的数据泄露风险,推动二手电子产品交易行业健康有序发展。
《技术要求》适用于境内生产、销售且配备非易失性存储介质的电子产品,其覆盖的产品类型十分广泛,主要有手机、平板电脑、笔记本电脑、台式计算机、智能穿戴设备以及办公设备等。
其中有两大红线要求:
-未经用户同意,禁止访问或留存用户数据
未清除用户数据的电子产品,不得再进行销售及运输出境。
据介绍,常规的删除操作或是恢复出厂设置,通常仅仅是把数据标记成无效状态,而数据本身依旧有可能残留在存储介质里。
《技术要求》里所说的“信息清除”,是针对存储介质内的数据开展技术处理,让这些数据达到不可逆的状态,并且不能被访问或者恢复。
《技术要求》提出了两种核心技术方法:
数据覆写指的是向电子产品写入固定或随机的无意义数据,以此覆盖所有涉及用户数据的存储单元。针对磁介质,规定需至少覆写3次,且其中要包含1次随机数覆写;而对于半导体介质,则要求至少进行1次覆写操作。
块擦除:针对半导体类存储介质,借助调用存储介质自身指令,对物理块开展彻底性的擦除操作。
