《隱私計(jì)算 刪除方法能力和刪除效果評估技術(shù)要求（征求意見稿）》編制說明

在當(dāng)前數(shù)字化和網(wǎng)絡(luò)化的時(shí)代背景下，數(shù)據(jù)安全管理尤為重要。隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展和數(shù)字化轉(zhuǎn)型的深入，個(gè)人信息數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ)量呈指數(shù)級增長。這些數(shù)據(jù)的安全性直接關(guān)系到個(gè)人隱私保護(hù)、企業(yè)核心競爭力維護(hù)以及國家安全的多個(gè)層面，個(gè)人信息保護(hù)成為了全球關(guān)注的焦點(diǎn)。2016年由十二屆全國人大常委會(huì)第二十四次會(huì)議表決通過的《中華人民共和國網(wǎng)絡(luò)安全法》中首次為個(gè)人賦予了明確的刪除權(quán)。2021年發(fā)布的《中華人民共和國個(gè)人信息保護(hù)法》中進(jìn)一步明確規(guī)定了個(gè)人信息處理者刪除個(gè)人信息的情形。要求個(gè)人信息處理者保障個(gè)人信息安全，明確了數(shù)據(jù)主體的權(quán)利，如知情權(quán)、選擇權(quán)、訪問權(quán)等。因此，開展刪除方法能力和刪除效果評估是確保數(shù)據(jù)安全和個(gè)人信息控制者、個(gè)人信息處理者遵守法律法規(guī)的重要手段。通過刪除方法能力和刪除效果評估將有助于全面了解和掌握個(gè)人信息處理者刪除個(gè)人信息的效果和存在的問題，進(jìn)而有針對性的進(jìn)行修正。其中，刪除方法能力和刪除效果評估的關(guān)鍵作用在于：1、國際上普遍缺少一個(gè)全面的刪除方法能力評估框架，難以確保數(shù)據(jù)刪除時(shí)選擇的刪除方法的有效性。合理的刪除方法能力評估有助于企業(yè)等個(gè)人信息處理者有效管理數(shù)據(jù)存儲(chǔ)，避免無效或過期數(shù)據(jù)的累積，從而提高數(shù)據(jù)處理的效率和質(zhì)量。2、各國缺乏具體、有效的刪除評估體系來衡量安全刪除的有效性。通過對刪除效果的評估，可以確保個(gè)人信息得到徹底清除，減少因數(shù)據(jù)泄露而帶來的風(fēng)險(xiǎn)，特別是對于涉及個(gè)人隱私和商業(yè)機(jī)密的數(shù)據(jù)。3、根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》等法律規(guī)定，企業(yè)等個(gè)人信息處理者必須對個(gè)人信息進(jìn)行安全管理，包括對不再需要的個(gè)人信息執(zhí)行刪除操作。4、全球范圍內(nèi)尚未形成一套成熟的刪除方法能力和刪除效果評估的體系結(jié)構(gòu)，影響了數(shù)據(jù)安全管理的效率和有效性。定期進(jìn)行刪除方法能力和刪除效果的評估有助于發(fā)現(xiàn)和改進(jìn)數(shù)據(jù)安全管理中的不足，同時(shí)為應(yīng)對內(nèi)外部審計(jì)提供支持，確保合規(guī)性。二、任務(wù)來源國際上，關(guān)注數(shù)據(jù)安全和隱私保護(hù)的趨勢自20世紀(jì)70年代中期開始興起，隨后在80年代迅速發(fā)展，到了90年代后期，數(shù)據(jù)安全和隱私保護(hù)成為世界各國普遍關(guān)注的重點(diǎn)。隨著信息技術(shù)的不斷進(jìn)步和數(shù)據(jù)泄露事件的頻繁發(fā)生，安全刪除作為保護(hù)個(gè)人隱私和企業(yè)敏感數(shù)據(jù)的關(guān)鍵技術(shù)，其重要性愈發(fā)凸顯。少數(shù)歐美國家和國際組織相繼提出了各自的安全刪除標(biāo)準(zhǔn)和指導(dǎo)原則，以確保數(shù)據(jù)被徹底、安全地刪除，防止未經(jīng)授權(quán)的訪問和使用。進(jìn)行刪除方法能力和刪除效果評估是驗(yàn)證數(shù)據(jù)刪除措施是否有效的重要手段。通過執(zhí)行該評估工作，可以明確現(xiàn)存的問題和不足之處，從而有助于企業(yè)等個(gè)人信息處理者采取更為精準(zhǔn)和針對性的措施，持續(xù)改進(jìn)和提高數(shù)據(jù)刪除的能力和效率，保障整體的數(shù)據(jù)安全并符合法規(guī)要求。隨著數(shù)據(jù)量的激增和數(shù)據(jù)應(yīng)用的廣泛性，數(shù)據(jù)泄露和濫用的風(fēng)險(xiǎn)也隨之增加。在這樣的背景下，安全刪除不僅是數(shù)據(jù)安全管理的重要組成部分，也是法律法規(guī)遵從的必要條件。目前，雖然少數(shù)國家和組織已經(jīng)實(shí)施了關(guān)于數(shù)據(jù)保護(hù)和隱私的法律，如歐盟的通用數(shù)據(jù)保護(hù)條例和《中華人民共和國個(gè)人信息保護(hù)法》，但在實(shí)際操作中，確保數(shù)據(jù)被安全刪除仍然是一個(gè)挑戰(zhàn)。因此，制定和實(shí)施有效的刪除方法能力和刪除效果評估標(biāo)準(zhǔn)至關(guān)重要。這不僅能夠提升數(shù)據(jù)處理的安全性和可靠性，還能夠幫助企業(yè)等個(gè)人信息處理者防范法律風(fēng)三、編制過程單位對前期的研究工作進(jìn)行了匯報(bào)。確定了標(biāo)準(zhǔn)的研究思路和分工。3）2023年5月25日，召開立項(xiàng)評審會(huì)，邀請專家對草案給出建議。了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并根據(jù)專家提出的建議進(jìn)行修改，形成第二版草案。5）2023年8月20日，邀請專家對第二版草案給出建了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并根據(jù)專家提出的建議針對草案部分內(nèi)容進(jìn)行了細(xì)節(jié)的修改與調(diào)整，形成第三版草案。8）2024年1月29日，根據(jù)專家建議，對草案繼續(xù)完善和修改。9）2024年6月28日，召開專家評審會(huì)，邀請專家對修改后的版本進(jìn)行評審。10）2024年8月，形成征求意見稿。四、主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)規(guī)范了評估不同刪除方法能力的技術(shù)要求和評估個(gè)人信息刪除效果的技術(shù)要求的基本實(shí)踐。詳情如下：1、評估不同刪除方法能力的技術(shù)要求：主要包含刪除方法能力的評估指標(biāo)體系、成本開銷評估技術(shù)要求、不可恢復(fù)性評估技術(shù)要求、等效性評估技術(shù)要求等。通過這些方面衡量不同刪除方法的能力。2、評估個(gè)人信息刪除效果的技術(shù)要求：主要包含刪除效果評估的指標(biāo)體系、日志內(nèi)容要求、刪除通知與確認(rèn)完備性評估技術(shù)要求、刪除觸發(fā)正確性評估技術(shù)要求、刪除操作正確性評估技術(shù)要求、不可恢復(fù)性評估技術(shù)要求、副本刪除完備性評估技術(shù)要求、刪除一致性評估技術(shù)要求等。通過對各項(xiàng)內(nèi)容的評價(jià)，可以衡量個(gè)人信息的刪除效果。本標(biāo)準(zhǔn)適用于規(guī)范企業(yè)等個(gè)人信息處理者針對不同隱私含量的個(gè)人信息選擇合適強(qiáng)度的刪除方法，也適用于規(guī)范第三方機(jī)構(gòu)對個(gè)人信息處理者開展個(gè)人信息刪除效果的評本標(biāo)準(zhǔn)牽頭單位為中國科學(xué)院信息工程研究所，參加單位包括華中科技大學(xué)、西安電子科技大學(xué)、中央網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心、四川昊華銳恒科技有限公司、成都西電網(wǎng)絡(luò)安全研究院、普華永道商務(wù)咨詢(上海)有限公司等。五、與相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和GB/T25069-2022《信息安全技術(shù)術(shù)語》GB/T35273-2020《信息安全技術(shù)