本文转自【央视新闻客户端】;
近年来,随着电子产品“以旧换新”和二手交易的快速扩张,大量旧手机、旧电脑进入回收渠道,但是这些电子产品中存储的用户照片、通讯录等个人信息如果没有被有效清除,就容易引发消费者的隐私泄露。目前一些传统的删除方式能够彻底清除这些个人信息吗?
在中国电子技术标准化研究院网络安全研究中心,专业技术人员用消费者经常会使用到的电子产品进行了演示。
向一个没有任何文件的机械硬盘中,导入一些PDF、视频、音频和图片数据,用系统自带的删除功能做一次删除。电脑显示硬盘中的文件都清空了,随后,技术人员使用了一款数据恢复软件进行了操作。
中国电子技术标准化研究院网络安全研究中心工程师 高晨涛:数据在这个恢复工具中显示出来了,像文件名,包括文件的视频内容。可以看到,常规的这种删除效果有限。
技术人员随后用一部手机随机拍摄了几张照片后,用手机自带的删除程序将照片进行了删除。
中国电子技术标准化研究院网络安全研究中心工程师 高晨涛:我们用一个专业的恢复软件,对刚才删除掉的图片做数据恢复尝试,经过软件的提取,刚才通过简单删除方式删除掉的图片还是可以被恢复出来的。
技术人员介绍,消费者在处置旧电子产品时,仅采用“删除文件”“恢复出厂设置”等常规操作实际上很多时候并没有彻底清除用户信息,依靠一些技术手段就能恢复被删除的数据。
中国电子技术标准化研究院副院长 范科峰:“十四五”期间,我国手机闲置总量达到60亿部,但仅有10%的闲置手机进入二手平台流通,主要原因之一是消费者担心信息清除不彻底,存在隐私泄露风险。
生产商须提供信息清除功能
记者从国家标准委了解到,《数据安全技术电子产品信息清除技术要求》强制性国家标准近日正式发布,2027年1月1日起正式实施。这项标准由中央网信办提出并归口,出台的主要目的就是解决消费者对二手电子产品中数据被恶意恢复,导致隐私泄露的担忧。
标准首次以强制性形式对手机、电脑、平板、硬盘等设备的信息清除技术和流程提出统一要求。
中国电子技术标准化研究院副院长 范科峰:消费者处理旧手机时常面临“三怕”:怕操作复杂、怕删除不掉、怕回收不规范,强制性国家标准提供一站式解决方案,让电子产品厂商提供信息清除途径,包括内置清除功能、免费服务或第三方清除工具,消费者无须自行摸索。
标准规定必须彻底清除电子产品存储的所有用户数据,包括文本、图片、视频等各类文件;通话记录、短信、位置、行为记录等数据;与身份相关的账号、口令、生物识别信息等安全数据,绑定的银行卡、交通卡、门禁卡等外部设备信息等。
中国电子技术标准化研究院副院长 范科峰:明确了数据覆写、块擦除等方法的技术指标,并通过清除认证、标识追溯、日志记录、技术检测等多种方法验证清除效果。
技术人员演示了对这张存有大量数据的存储卡,按照新国标要求进行信息清除的过程。
中国电子技术标准化研究院网络安全研究中心工程师 李卓峻:当进度条到达100%之后,覆写过程就正式结束,完整的覆写相当于是把目录性结构破坏掉。再使用专业的数据读取工具查看,原本写入了数据的分区已经被成功地清除掉了。后面要求手机厂商也要在手机中植入类似于这种数据覆写清除的工具,方便以后用户自主主动地对数据进行清除操作。
规范回收商行为守护信息安全
除了对电子产品生产商提出要求,新国标还专门对回收经营者提出了明确要求。标准明确,回收商必须对二手电子产品进行信息清除,销售前要验证信息清除效果,未清除信息的产品不得再销售或出境;因电子产品损坏等原因,无法进行信息彻底清除的,要对存储介质进行物理销毁;同时为保障消费者能追溯产品信息清除记录,回收商需对清除操作进行详细记录,内容包括产品信息、清除方法、操作时间、清除结果等;并将清除操作记录和效果验证结果留存不少于3年。
(总台央视记者 李晶晶 杨小刚)