Q&A on the Mandatory National Standard 'Data Security Technology - Technical Requirements for Electronic Product Information Erasure'

2025年12月2日，由中央网信办归口提出并组织制定的《数据安全技术 电子产品信息清除技术要求》（以下简称《技术要求》）强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，将于2027年1月1日起正式实施。日前，中央网信办有关负责人就《技术要求》有关问题回答了记者提问。<br> 一、问：请介绍一下《技术要求》的出台背景？<br> 答：随着数字经济快速发展，手机、电脑等电子产品更新换代频率加快，二手电子产品流通体量日益庞大。但在流通环节中，由于信息清除不彻底导致的数据泄露风险日益凸显，直接威胁社会公共利益和个人信息安全。<br> 为落实国务院印发的《推动大规模设备更新和消费品以旧换新行动方案》中关于“出台手机、平板电脑等电子产品二手交易中信息清除方法国家标准”的相关要求，有效保障数据安全，中央网信办委托全国网络安全标准化技术委员会组织制定了本标准。《技术要求》旨在规范电子产品信息清除技术方法，引导回收经营者建立健全信息清除管理和技术措施，防范二手流通中的数据泄露风险，促进二手电子产品交易行业健康有序发展。<br> 二、问：请问制定《技术要求》的总体思路是什么？<br> 答：一是坚持通用性与可行性并重。《技术要求》面向广泛的电子产品类型和存储介质，明确了通用的信息清除基本要求，确保技术要求在现有产业实践中可验证、可操作。二是坚持技术与管理相结合。《技术要求》不仅规定了“怎么清”的技术方法，还对回收经营者提出了“怎么管”的过程要求，构建了从技术实现到运营管理的闭环安全体系。三是坚持统筹发展与安全。充分考虑二手电子产品回收及资源再利用的产业模式，在确保用户个人信息被彻底清除、防范隐私泄露的同时，避免设置过高的技术壁垒，通过科学的标准规范促进循环经济各环节的互信机制建立。<br> 三、问：《技术要求》的适用范围是什么？<br> 答：《技术要求》适用于面向境内生产、销售的，具有非易失性存储介质的电子产品。适用主体包括两类：产品制造与服务方，包括电子产品厂商、第三方信息清除功能开发者；流通经营方，主要是对二手电子产品进行信息清除的回收经营者。<br> 《技术要求》涉及的产品范围广泛，主要包括手机、平板、笔记本电脑、台式机电脑、智能穿戴设备、办公设备。需要说明的是，涉及国家秘密的电子产品信息清除，需遵照国家保密相关规定执行。<br> 四、问：《技术要求》中提到的“信息清除”与普通的删除有什么区别？核心技术要求是什么？<br> 答：普通的删除或恢复出厂设置往往只是将数据标记为无效，数据本身仍可能残留在存储介质中。《技术要求》所指的“信息清除”是对存储介质中的数据进行技术处理，使其不可逆且无法被访问或恢复。<br> 《技术要求》提出了两种核心技术方法。数据覆写，将固定或随机的无含义数据写入电子产品，覆盖与用户数据有关的每个存储单元。对于磁介质，要求覆写至少3次且包含1次随机数覆写；对于半导体介质，要求至少覆写1次。块擦除，针对半导体介质，通过调用存储介质指令，对物理块执行根本性的擦除操作。<br> 五、问：《技术要求》明确了电子产品厂商哪些具体义务？<br> 答：为从源头保障用户数据安全，《技术要求》规定电子产品厂商应为用户提供内置的信息清除功能。如果无法开发内置功能，厂商必须提供外部信息清除工具，或告知可用的第三方工具信息，或者向用户提供免费的信息清除服务。在执行清除前，必须向用户明示清除范围、方法和影响，并获得用户同意。清除功能需覆盖用户产生的各类文件、通讯录、应用程序及数据、身份鉴别信息、加密密钥等。<br> 六、问：《技术要求》对二手电子产品回收经营者提出了哪些要求？<br> 答：回收经营者是二手电子产品流通过程中的关键安全节点。《技术要求》规定回收经营者必须符合以下要求。提示与授权：回收前主动提示用户进行清除，未经同意禁止访问或留存用户数据。彻底清除：必须使用符合《技术要求》的功能或工具进行清除。若产品损坏无法使用软件清除，则必须对存储介质进行物理销毁。验证与留痕：在销售前必须对清除效果进行验证，未清除用户数据的产品禁止再销售和运输出境。同时，要建立档案，对清除操作和验证结果进行记录，留存时间不少于3年。<br> 七、问：如何确保《技术要求》的有效实施？<br> 答：《技术要求》作为强制性国家标准，不仅是技术规范，也是法律法规落地的支撑。《技术要求》配套支撑《网络安全法》《数据安全法》《个人信息保护法》《消费者权益保护法》等法律法规落地。<br> 中央网信办将会同市场监管总局等部门，依据本标准制定实践指南，以产品目录形式推进实施，督促检查厂商和回收经营者落实情况，并指导第三方机构建设检测工具和公共服务平台，为消费者和企业提供清除效果验证和查询服务，建立行业互信。<br> 八、问：关于《技术要求》正式施行时间的考虑？<br> 答：考虑到目前市场上电子产品种类繁多、形态复杂，且二手流通体量大，相关企业对现有产品进行适配改造、建立相应的管理体系需要一定的时间周期。为确保标准平稳落地，经充分调研和试点验证，设定自《技术要求》发布之日起13个月的过渡期，于发布一年后正式实施，给予企业充足的准备时间。