近日,一项名为《数据安全技术电子产品信息清除技术要求》的强制性国家标准正式落地。新规明确指出,二手回收经营者必须彻底清除设备中的用户数据,并提出两种确保数据能被“物理级”清除的方式:一种是“数据覆写”,另一种是“块擦除”。
所谓“数据覆写”,指的是将固定或毫无意义的数据写入电子产品,覆盖与用户数据相关的每一个存储单元。而“块擦除”则专门针对半导体介质,通过调用存储介质指令,对物理块执行根本性的清除操作。复旦大学信息学院副教授凌力指出,我们通常进行的删除或恢复出厂设置,往往只是将数据标记为无效,数据本身仍可能残留在存储介质当中。而新国标提出的这两种方式,则通过“物理级”清除用户数据,从根本上杜绝了恶意恢复或利用的可能。
依据新国标要求,电子产品生产厂商应为用户提供内置的信息清除功能,或配套外部专用清除工具、可靠的第三方清除工具信息,甚至提供免费的专项清除服务。
而对于二手电子产品回收经营者,新规则制定了更为严格的操作流程。在收购旧设备前,回收方应主动提示用户先行清除个人信息。未经用户许可,严禁接触或留存设备中的任何数据。回收后,必须使用符合国标的技术彻底清除信息。在设备再次销售前,经营者还必须验证清除效果。凡是未清除用户数据的设备,一律禁止再次销售和运输出境。对此,凌力教授表示,用户自行确保数据清除干净存在实际困难,回收经营者的验证或二次清除,相当于一道“双重保险”。在发生信息泄露等问题时,这也有助于相关方厘清责任。
为了让相关企业有充足的准备和调整时间,《技术要求》设定了13个月的过渡期,将于2027年1月1日起正式实施。
编辑: 张涵媚
责编: 周奇
