强制性国家标准发布与实施时间 - 《数据安全技术电子产品信息清除技术要求》强制性国家标准已由国家市场监督管理总局、国家标准化管理委员会批准发布 [2] - 该标准将于2027年1月1日起正式实施 [2] - 为确保标准平稳落地，设定了自发布之日起13个月的过渡期，于发布一年后正式实施 [9] 标准出台的背景与目的 - 背景是二手电子产品流通体量日益庞大，信息清除不彻底导致的数据泄露风险日益凸显，威胁社会公共利益和个人信息安全 [3] - 旨在落实《推动大规模设备更新和消费品以旧换新行动方案》中关于出台信息清除方法国家标准的要求 [3] - 标准旨在规范信息清除技术方法，引导回收经营者建立健全管理和技术措施，防范数据泄露风险，促进二手电子产品交易行业健康有序发展 [3] 标准的总体思路 - 坚持通用性与可行性并重，面向广泛的电子产品类型和存储介质，确保要求可验证、可操作 [4] - 坚持技术与管理相结合，既规定“怎么清”的技术方法，也对回收经营者提出“怎么管”的过程要求 [4] - 坚持统筹发展与安全，在确保用户个人信息被彻底清除的同时，避免设置过高技术壁垒，促进循环经济各环节互信机制建立 [4][5] 标准的适用范围与主体 - 适用于面向境内生产、销售的，具有非易失性存储介质的电子产品 [6] - 适用主体包括产品制造与服务方（电子产品厂商、第三方信息清除功能开发者）和流通经营方（二手电子产品回收经营者） [6] - 涉及的产品范围主要包括手机、平板、笔记本电脑、台式机电脑、智能穿戴设备、办公设备 [6] 信息清除的核心技术方法 - 标准所指的“信息清除”是对存储介质中的数据进行技术处理，使其不可逆且无法被访问或恢复，不同于普通的删除或恢复出厂设置 [6] - 核心技术方法之一是数据覆写，即将固定或随机的无含义数据写入以覆盖用户数据存储单元 [6] - 核心技术方法之二是块擦除，针对半导体介质，通过调用存储介质指令对物理块执行根本性擦除操作 [6] 对电子产品厂商的具体技术要求 - 要求电子产品厂商应在设备中内置一键信息清除功能 [2][7] - 如果无法开发内置功能，厂商必须提供外部清除工具、或告知可用第三方工具信息、或向用户提供免费清除服务 [8] - 清除功能需覆盖用户产生的各类文件、通讯录、应用程序及数据、身份鉴别信息、加密密钥等 [8] - 针对不同设备，标准规定了严格的数据覆写次数：手机、平板电脑等用户数据需至少覆写2次，电脑的固态硬盘同样至少覆写2次，传统机械硬盘则不少于3次 [2][7] 对回收经营者的管理与操作要求 - 回收前必须主动提示用户进行清除，未经用户同意禁止访问或留存用户数据 [8] - 必须使用符合标准的功能或工具进行彻底清除；若产品损坏无法软件清除，则必须对存储介质进行物理销毁 [8] - 在销售二手电子产品前必须对信息清除效果进行验证，未清除用户数据的产品禁止再销售和运输出境 [2][8] - 必须对清除操作和验证结果进行记录并建立档案，留存时间不少于3年 [2][8] 标准的法律地位与后续推进 - 该标准是强制性国家标准，不仅是技术规范，也是法律法规落地的支撑，配套支撑《网络安全法》《数据安全法》《个人信息保护法》《消费者权益保护法》等 [9] - 中央网信办将会同市场监管总局等部门，依据标准制定实践指南，以产品目录形式推进实施，督促检查厂商和回收经营者落实情况 [9] - 将指导第三方机构建设检测工具和公共服务平台 [9]