政策发布与背景 - 一项名为《数据安全技术 电子产品信息清除技术要求》的强制性国家标准已获批准发布，将于2027年1月1日起正式实施 [1] - 该标准由中央网信办提出并归口，旨在落实国务院《推动大规模设备更新和消费品以旧换新行动方案》中关于出台电子产品二手交易信息清除方法国家标准的要求 [1] - 政策出台背景是数字经济快速发展下，二手电子产品流通体量日益庞大，但信息清除不彻底导致的数据泄露风险凸显，直接影响社会公共利益和个人信息安全 [1] 标准制定依据与目的 - 标准根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规制定 [6] - 标准旨在规范电子产品信息清除技术方法，引导回收经营者建立健全信息清除管理和技术措施，防范二手流通中的数据泄露风险，促进二手电子产品交易行业健康有序发展 [1] - 标准旨在保护用户数据的基础上促进电子产品规范流通 [6] 标准适用范围 - 标准适用于在境内生产、销售的，具有非易失性存储介质的电子产品 [7] - 适用对象包括电子产品厂商、第三方开发电子产品信息清除功能，以及回收经营者对二手电子产品进行信息清除 [7] - 标准不适用于处理国家秘密的电子产品，此类产品按照国家保密相关规定执行 [7] 信息清除的基本要求 - 清除范围必须覆盖电子产品存储的所有用户数据，具体包括用户的通讯录、通话记录、短信、彩信、日历、备忘录、位置、行为记录等数据 [9][12] - 清除范围还包括用户安装的应用程序、用户安装和产品预装应用程序产生的应用数据、跨应用共享数据 [14][16] - 清除范围还包括用户身份相关安全数据，如账号、口令、生物识别信息、应用证书等 [18] - 清除范围还包括用户绑定的智能卡等外部设备信息，如银行卡、交通卡、门禁卡等的信息 [20] - 清除范围还包括用户对系统设置的信息，如网络设置、权限设置、蓝牙设置、桌面和个性化设置等 [22] - 清除范围还包括用户产生或下载的文本、图片、音频、视频等各类文件、电子产品中备份的用户数据、用户使用电子产品产生的缓存数据 [22] - 对于加密存储用户数据的电子产品，要求清除或破坏用户数据的加密密钥及所有密钥副本 [23] - 要求退出电子产品所有预装应用程序用户账号，执行信息清除后禁止自动登录账号、自动同步云端用户数据、使用原口令激活 [23] 信息清除的技术方法 - 标准规定了分类施策的清除方法，针对不同存储介质有不同技术要求 [23] - 对于磁介质类存储，要求覆写所有存储用户数据的物理地址至少3次，且包含1次随机数覆写 [23] - 对于半导体介质类存储，方法之一是删除逻辑与物理地址映射关系，并至少覆写1次 [23] - 对于半导体介质类存储，另一方法是块擦除，即删除逻辑与物理地址映射关系，并擦除所有用户数据 [23] - 对于安全数据、外部设备信息等特殊情况，如无法通过数据覆写和块擦除清除，可通过删除用户数据逻辑地址和物理地址映射关系的方式清除 [24] - 对于仅存储系统设置信息的，可通过删除用户数据逻辑地址和物理地址映射关系的方式清除 [24] 对电子产品厂商的功能要求 - 电子产品应提供内置信息清除功能 [25] - 若无法开发内置功能，厂商应提供以下任一工具或服务：外部信息清除工具、可用的第三方信息清除工具信息、免费信息清除服务 [25] - 信息清除功能或工具必须符合标准规定的基本要求 [25] - 执行清除前需向用户明示信息清除的范围、方法、影响，在用户同意后进行清除 [25] - 执行清除时需验证电量等条件，若清除失败需重新执行或提供其他清除方法 [25] - 对于具有管理端应用程序的电子产品，应提示用户或自动解除账号绑定关系 [26] 对回收经营者的过程与管理要求 - 回收经营者对二手电子产品进行信息清除需符合标准第七章规定的过程要求 [9] - 过程红线要求包括：未经用户同意，禁止访问或留存用户数据；未清除用户数据的电子产品，禁止再销售和运输出境 [27] - 在回收前，应主动提示用户进行信息清除 [27] - 在清除过程中，应使用符合强标要求的信息清除功能或工具对用户数据进行清除 [27] - 若因电子产品损坏等原因无法完成清除，则需对存储介质进行物理销毁 [27] - 在清除后与销售前，需记录产品信息、清除方法、操作时间、清除结果等操作记录 [28] - 在销售前需验证信息清除效果，并留存操作记录和验证结果不少于3年 [28] - 回收经营者需建立信息清除管理和技术措施，包括明确工作负责人、制定相应管理制度和操作规程、为查询和追溯二手电子产品清除状态提供技术支持 [30][32] 标准实施与过渡期 - 该强制性国家标准设有过渡期，企业有13个月时间按照标准进行升级，确保符合强标要求 [31]