前不久,《数据安全技术电子产品信息清除技术要求》强制性国家标准正式发布,明确二手回收经营者必须彻底清除用户数据,并提出“数据覆写”和“块擦除”这两种确保设备数据能被“物理级”清除的方式。
数据覆写指的是将固定或无含义数据写入电子产品,覆盖与用户数据有关的每个存储单元;块擦除则是针对半导体介质,通过调用存储介质指令,对物理块执行根本性的擦除操作。复旦大学信息学院副教授凌力指出,普通的删除或恢复出厂设置往往只是将数据标记为无效,数据本身仍可能残留在存储介质中。而新国标提出的两种方式则通过“物理级”清除用户数据,杜绝恶意恢复、利用。
新国标要求,电子产品生产厂商应为用户提供内置的信息清除功能或外部专用清除工具、可靠的第三方清除工具信息或免费的专业清除服务。
而对于二手电子产品回收经营者,在收购旧设备前,应主动提示用户先行清除信息。未经用户许可,严禁接触或留存设备中的任何数据;回收后必须使用国家标准技术彻底清除信息。回收经营者在再次销售前,必须验证清除效果。未清除用户数据的设备,一律禁止再次销售和运输出境。对此,凌力表示,用户自己将数据清除干净存在困难,回收经营者的验证或二次清除,相当于“二道保险”,而且在发生信息泄露等问题时,也可帮助其免责。
为了相关企业能有充足准备时间,《技术要求》设定了13个月的过渡期,将于2027年1月1日正式实施。
编辑: 张涵媛
责编: 周奇