日前,中央网信办提出并归口的GB 46864-2025《数据安全技术 电子产品信息清除技术要求》(以下简称《技术要求》)强制性国家标准正式发布。《技术要求》由全国网络安全标准化技术委员会(TC260)制定,旨在落实国务院出台的《推动大规模设备更新和消费品以旧换新行动方案》,明确电子产品彻底清除用户数据的技术方法,解决电子产品在以旧换新、二手交易、废弃回收、翻新维修等二手流通中的数据泄露风险。

一、《技术要求》的制定背景

近年来,随着循环经济的快速发展,大量旧手机、旧电脑、旧硬盘等电子产品进入二手市场流通,但当前产品自带的数据删除功能大多将数据标记为无效,并未彻底清除存储介质的数据,可能被恶意恢复,导致用户数据泄露。据统计十四五期间,我国手机闲置总量达到60亿部,但仅有10%的闲置手机进入二手交易平台流通,其中最主要原因就是消费者担忧信息清除不彻底、存在信息泄露风险,因此保护用户信息、促进二手电子产品流通正是《技术要求》出台的主要目标。

2024年国务院出台《推动大规模设备更新和消费品以旧换新行动方案》(国发〔2024〕7号),要求制定“电子产品二手交易中信息清除方法国家标准”,以“推动二手电子产品交易规范化,防范泄露及恶意恢复用户信息”。《技术要求》正是在这一政策部署下制定,主要根据《网络安全法》《数据安全法》《个人信息保护法》等法律法规,旨在明确电子产品信息清除的技术方法和功能要求,规范二手流通中的信息清除活动。

二、《技术要求》的内容和作用

《技术要求》规定了电子产品信息清除的基本要求、功能要求,以及二手电子产品信息清除过程要求,主要适用于面向境内生产、销售的,具有非易失性存储介质的电子产品,也适用于电子产品厂商、第三方开发电子产品信息清除功能,以及回收经营者对二手电子产品进行信息清除。

《技术要求》主要内容包括:一是规定电子产品信息清除基本要求。明确信息清除范围应覆盖用户文件、应用程序、通讯录、账号口令、加密密钥等所有用户数据,针对磁介质、半导体介质明确数据覆写、块擦除等清除技术方法;二是提出电子产品信息清除功能要求。清除功能可由产品内置功能或外部工具实现,电子产品应为用户提供内置信息清除功能,实在无法开发的,电子产品厂商应提供外部清除工具、可用的第三方工具信息或免费信息清除服务;三是明确二手电子产品信息清除过程要求。要求回收经营者必须对二手电子产品进行信息清除,销售前要验证信息清除效果,未清除用户数据的电子产品禁止再销售和运输出境。

《技术要求》的实施将对二手流通行业产生显著作用。一是提供让用户放心的信息清除方法,彻底清除电子产品存储的用户数据,在保护消费者权益的基础上促进二手流通;二是规范二手电子产品流通市场,有效遏制用户信息泄露、恶意恢复、灰色数据交易等风险;三是推动相关方清除责任落地,明确电子产品厂商、第三方厂商、回收经营者等的信息清除相关责任,帮助电子产品信息清除工作真正落地。

三、《技术要求》的实施与展望

《数据安全技术 电子产品信息清除技术要求》过渡期为13个月,将于2027年1月1日起施行。为保障《技术要求》落地实施,全国网安标委秘书处将在主管部门指导下,通过制定系列标准实践指南、支撑建立信息清除检测认证机制、建设信息清除公共服务平台等多种形式,推动形成覆盖循环经济各环节和各相关方的信息清除互信机制和良好生态,助力二手商品流通市场建立用户信息保护体系,为亿万消费者的电子产品上好一把真正的“数据安全锁”。(作者:范科峰,中国电子技术标准化研究院副院长)