《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布
2025-12-13 08:17:09 来源:界面新闻
12月2日,由中央网信办提出并归口的《数据安全技术电子产品信息清除技术要求》强制性国家标准,获国家市场监督管理总局、国家标准化管理委员会批准发布,将于2027年1月1日起正式施行。
伴随数字经济迅猛发展,手机、电脑等电子产品换代加速,二手电子产品流通规模不断扩大。然而,流通环节中因信息清除不彻底引发的数据泄露风险日益突出,直接危及社会公共利益与个人信息安全。为落实国务院印发的《推动大规模设备更新和消费品以旧换新行动方案》中“出台手机、平板电脑等电子产品二手交易中信息清除方法国家标准”的要求,中央网信办委托全国网络安全标准化技术委员会制定本标准,旨在规范电子产品信息清除技术手段,引导回收经营者完善信息清除管理与技术措施,防范二手流通中的数据泄露风险,推动二手电子产品交易行业健康有序发展。
日前,中央网信办相关负责人就《技术要求》相关问题回答了记者提问。
一、问:请阐述《技术要求》的出台背景?
答:随着数字经济快速发展,手机、电脑等电子产品更新换代愈发频繁,二手电子产品流通量日益庞大。但流通环节中,因信息清除不彻底致使的数据泄露风险日益显著,直接威胁社会公共利益和个人信息安全。为落实国务院印发方案中的相关要求,有效保障数据安全,中央网信办委托全国网络安全标准化技术委员会制定了本标准。其旨在规范电子产品信息清除技术方法,引导回收经营者构建健全信息清除管理和技术措施,防范二手流通中的数据泄露风险,促进二手电子产品交易行业健康有序发展。
二、问:制定《技术要求》的总体思路是什么?
答:其一,坚持通用性与可行性并重。《技术要求》面向众多电子产品类型和存储介质,明确通用的信息清除基本要求,确保技术要求在现有产业实践中可验证、可操作。其二,坚持技术与管理相结合。《技术要求》不仅规定“怎么清”的技术方法,还对回收经营者提出“怎么管”的过程要求,构建从技术实现到运营管理的闭环安全体系。其三,坚持统筹发展与安全。充分考量二手电子产品回收及资源再利用的产业模式,在保障用户个人信息彻底清除、防范隐私泄露的同时,避免设置过高技术壁垒,通过科学标准规范促进循环经济各环节互信机制建立。
三、问:《技术要求》的适用范围是什么?
答:《技术要求》适用于境内生产、销售的,具有非易失性存储介质的电子产品。适用主体有两类:产品制造与服务方,涵盖电子产品厂商、第三方信息清除功能开发者;流通经营方,主要是对二手电子产品进行信息清除的回收经营者。
《技术要求》涉及的产品范围广泛,包括手机、平板、笔记本电脑、台式机电脑、智能穿戴设备、办公设备等。需说明的是,涉及国家秘密的电子产品信息清除,需遵循国家保密相关规定执行。
四、问:《技术要求》中提及的“信息清除”与普通删除有何区别?核心技术要求是什么?
答:普通删除或恢复出厂设置往往仅将数据标记为无效,数据本身可能仍留存于存储介质中。《技术要求》所指的“信息清除”是对存储介质中的数据进行技术处理,使其不可逆且无法被访问或恢复。
《技术要求》提出两种核心技术方法。数据覆写,将固定或随机的无含义数据写入电子产品,覆盖与用户数据有关的每个存储单元。对于磁介质,要求覆写至少3次且包含1次随机数覆写;对于半导体介质,要求至少覆写1次。块擦除,针对半导体介质,通过调用存储介质指令,对物理块执行根本性的擦除操作。
五、问:《技术要求》明确了电子产品厂商哪些具体义务?
答:为从源头保障用户数据安全,《技术要求》规定电子产品厂商应为用户提供内置的信息清除功能。若无法开发内置功能,厂商须提供外部信息清除工具,或告知可用的第三方工具信息,或者向用户提供免费的信息清除服务。执行清除前,须向用户明示清除范围、方法和影响,并获用户同意。清除功能需覆盖用户产生的各类文件、通讯录、应用程序及数据、身份鉴别信息、加密密钥等。
六、问:《技术要求》对二手电子产品回收经营者提出了哪些要求?
答:回收经营者是二手电子产品流通过程中的关键安全节点。《技术要求》规定回收经营者必须满足以下要求。提示与授权:回收前主动提示用户进行清除,未经同意禁止访问或留存用户数据。彻底清除:必须使用符合《技术要求》的功能或工具进行清除。若产品损坏无法使用软件清除,则必须对存储介质进行物理销毁。验证与留痕:销售前必须对清除效果进行验证,未清除用户数据的产品禁止再销售和运输出境。同时,要建立档案,对清除操作和验证结果进行记录,留存时间不少于3年。
七、问:如何确保《技术要求》的有效实施?
答:《技术要求》作为强制性国家标准,不仅是技术规范,也是法律法规落地的支撑。其配套支撑《网络安全法》《数据安全法》《个人信息保护法》《消费者权益保护法》等法律法规落地。
中央网信办将会同市场监管总局等部门,依据本标准制定实践指南,以产品目录形式推进实施,督促检查厂商和回收经营者落实情况,并指导第三方机构建设检测工具和公共服务平台,为消费者和企业提供清除效果验证和查询服务,建立行业互信。
八、问:关于《技术要求》正式施行时间是如何考虑的?
答:鉴于目前市场上电子产品种类多样、形态复杂,且二手流通规模大,相关企业对现有产品进行适配改造、建立相应管理体系需要一定时间。为确保标准平稳落地,经充分调研和试点验证,设定自《技术要求》发布之日起13个月的过渡期,于发布一年后正式实施,给予企业充足准备时间。
(文章来源:界面新闻)
原标题:《数据安全技术 电子产品信息清除技术要求》强制性国家标准获批发布
郑重声明:信查查发布此内容旨在传播更多信息,与本站立场无关,不构成投资建议。据此操作,风险自担。
