随着云计算、大数据、人工智能等技术的迅猛发展,信息已经成为整个社会最重要资产。我国高度重视信息保护工作,在《网络安全法》《数据安全法》《个人信息保护法》中都明确了信息保护的相关要求,包括范围、原则和方法等,为信息保护工作奠定了扎实的基础。但是,这些法律法规更侧重于信息使用过程中的保护,未明确信息设备生命周期结束时,用户应该如何处理和保护用户数据的问题。因此,用户对安全问题的担心也导致社会上二手电子产品交易不畅,更新受阻,循环利用不够,这都制约了社会经济的健康发展。

《数据安全技术 电子产品信息清除技术要求》(以下简称《技术要求》)强制性国家标准补齐了用户使用电子设备更新换代环节个人信息保护的短板,在保护用户数据基础上,规范了信息清除的要求,将有效推动循环经济的发展。

一、电子产品废弃或再利用过程中的用户信息保护问题凸显

当前,我们的工作和生活中使用着大量的电子产品,种类繁多,功能多样,比如手机、手表、手环、电脑、打印机、智能音箱等。因为使用数量大,每年更新换代的电子产品也是海量的。这些电子产品使用过程中产生大量用户数据,很多涉及到隐私,其废弃或再利用过程中存在严重的用户隐私信息泄露的问题。但是,目前在以手机为典型的电子产品废弃或再利用环节还没有明确的用户隐私信息保护标准。个人用户、回收厂家有些会采取恢复出厂设置,删除个人信息等方式进行处理,但缺乏统一的规范要求和技术标准,回收生态中企业或个体工商户处理方式方法各异,亟待规范。

二、《技术要求》立足补齐短板

从个人用户角度来看,《网络安全法》《数据安全法》和《个人信息保护法》等法律构成了用户信息保护的基石和框架,但是具体实现层面,还需要一系列的可操作可执行的标准来进行规范。落实2024年国务院印发的《推动大规模设备更新和消费品以旧换新行动方案》,针对大规模电子设备更新和消费品以旧换新中的数据安全问题,制定电子产品信息清除标准非常必要,既能保护电子产品废弃或再利用过程中的用户隐私信息,又能够有效推动循环经济的迅速发展。

三、《技术要求》维护了一个健康可持续发展的生态环境

在循环经济生态中,用户是消费者,电子产品厂商和二手电子产品回收经营者是获利者,用户信息保护的责任理应由他们来承担。相应的,用户在被有效保护的前提下,消费和更新的意愿都会大大提升,这又给经营者提供了巨大的商机。因此,标准制定过程中,既要确保技术措施的精准有效,又要在公平公正的基础上激发各主体积极性。标准要求磁介质类电子产品采用数据覆写方法清除数据,半导体介质类电子产品采用数据覆写或块擦除方法清除数据,兼顾了用户信息保护的安全性与效率。标准对电子产品厂商提出要求,电子产品要为用户提供内置信息清除功能。无法开发内置功能的,电子产品厂商应提供外部信息清除工具或可用的第三方信息清除工具信息,或向用户提供免费信息清除服务。标准对二手电子产品回收经营者提出要求,要对信息清除操作进行记录,确保二手电子产品清除状态可查询和追溯。

四、《技术要求》涵盖已有和未来的全部电子产品

电子产品种类繁多,标准给出了通用定义,采用电子信息技术制造的软硬件设备及其配件,特别强调要具有存储用户数据的功能。这个通用定义意味着现有的手机、打印机、智能音箱等产品和未来的比如智能机器人、AI终端等产品,都被纳入其中。以往标准只关注存储部件和存储技术发展趋势,但本标准牢牢抓住存储属性,按照失去电源后数据是否保留,将使用非易失性存储介质的电子产品均包含在内,不限制电子产品形态,具有良好的可操作性和前瞻适应性。

五、《技术要求》出台将强有力推动循环经济发展

电子产品信息清除标准是支撑《个人信息保护法》落地的一块重要拼图。作为强制性的国家标准,其涉及产品范围广,社会影响力大。在我国高度重视网络安全和个人信息保护的背景下,《技术要求》在完成信息清除任务的同时,也解决了电子产品循环再利用生态中最棘手的安全问题,打通了制约堵点。随着国务院推动电子产品更新换代相关文件的出台,《技术要求》在夯实个人信息安全保护基础上,将为循环经济快速健康发展提供有力的技术支撑和标准保障。(作者:朱大立,中国科学院信息工程研究所正高级工程师)