《隱私計(jì)算 刪除控制技術(shù)要求（征求意見(jiàn)稿）》

1T/CSACXXXXX—XXXX隱私計(jì)算刪除控制技術(shù)要求本文件描述了個(gè)人信息刪除控制的機(jī)制及其安全要求，包含刪除通知與確認(rèn)、副本查找、自動(dòng)刪除與按需刪除、刪除存證等環(huán)節(jié)的控制技術(shù)要求等。本文件適用于規(guī)范各類組織對(duì)個(gè)人信息刪除處理的控制技術(shù)要求，也可為主管監(jiān)管機(jī)構(gòu)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息刪除處理進(jìn)行監(jiān)督、管理、評(píng)估提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性應(yīng)用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范3術(shù)語(yǔ)和定義3.1個(gè)人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包含個(gè)人信息本身及其衍生信息,不包括匿名化處理后的信息。[來(lái)源：GB/T35273—2020,3.1,有修改]3.2個(gè)人信息主體personalinformationsubject是指?jìng)€(gè)人信息所識(shí)別或者關(guān)聯(lián)的自然人。[來(lái)源：GB/T35273—2020,3.3]3.3隱私信息privateinformation能通過(guò)信息系統(tǒng)進(jìn)行處理的敏感個(gè)人信息，是個(gè)人信息記錄中的標(biāo)識(shí)符、準(zhǔn)標(biāo)識(shí)符和敏感屬性的集合。注：隱私信息包括個(gè)人生物特征信息、銀行賬號(hào)、通健康生理信息、交易信息、14歲以下（含）3.4刪除delete采用訪問(wèn)控制、消磁、物理破壞等技術(shù)或措施，使得信息不能被訪問(wèn)或被檢索，或者從物理上去除了信息并保障其難以恢復(fù)的操作。[來(lái)源：GB/T35273—2020,3.10,有修改]2T/CSACXXXXX—XXXX3.5數(shù)據(jù)恢復(fù)datarecovery通過(guò)專門的計(jì)算機(jī)軟件、硬件等技術(shù)，從刪除對(duì)象曾經(jīng)留存過(guò)的存儲(chǔ)系統(tǒng)或介質(zhì)中，重建被刪除對(duì)象的過(guò)程。3.6刪除對(duì)象deletedobject刪除操作的客體。注：刪除對(duì)象包括個(gè)人信息的正本信息、副本信息、正本信息的一部3.7刪除等級(jí)deletelevel對(duì)刪除對(duì)象可恢復(fù)程度和難度的量化分級(jí)。3.8刪除意圖deleteintention是指?jìng)€(gè)人信息主體對(duì)自身個(gè)人信息何時(shí)何地何條件何等級(jí)下的刪除需求，刪除意圖包括：刪除對(duì)象、刪除時(shí)間、刪除空間、刪除等級(jí)等內(nèi)容，以及個(gè)人信息主體的個(gè)性化約束條件。3.9刪除通知deletenotification用于指示刪除對(duì)象關(guān)聯(lián)方如何刪除的請(qǐng)求，通知內(nèi)容包括：刪除通知發(fā)送者、刪除通知接收者、刪除對(duì)象標(biāo)識(shí)、刪除觸發(fā)條件、刪除方式、刪除通知確認(rèn)方式等內(nèi)容。3.10刪除指令deleteinstructions基于刪除通知構(gòu)造的、程序可識(shí)別可執(zhí)行的刪除命令。3.11刪除通知發(fā)送者deletenotificationsender是指刪除通知的發(fā)起方（含通知生成）或轉(zhuǎn)發(fā)方，刪除通知發(fā)送者可以為人、組織、設(shè)備、程序。3.12刪除通知接收者deletenotificationrecipient是指刪除通知的接收方，并將刪除通知解析為刪除指令，分發(fā)給個(gè)人信息刪除者。刪除通知接收者一般為個(gè)人或者組織。3.13刪除通知確認(rèn)deletenotificationconfirmation是指刪除通知送達(dá)刪除通知接收者后，接收者給刪除通知發(fā)送者反饋的接收確認(rèn)信息。確認(rèn)信息包含：刪除通知接收者標(biāo)識(shí)、刪除對(duì)象標(biāo)識(shí)、通知確認(rèn)時(shí)間、通知確認(rèn)的驗(yàn)證信息等內(nèi)容。3.14刪除通知到達(dá)驗(yàn)證delete-notification’sarrivalverification以抗抵賴的方式證明刪除通知已經(jīng)送達(dá)刪除通知接收者。3.15個(gè)人信息刪除者personalinformationremover對(duì)持有的個(gè)人信息執(zhí)行刪除操作的實(shí)體。3.16刪除執(zhí)行反饋deleteexecutionfeedback3T/CSACXXXXX—XXXX是指?jìng)€(gè)人信息刪除者執(zhí)行刪除操作后，將刪除結(jié)果反饋給刪除通知接收者，然后由刪除通知接收者反饋給刪除通知發(fā)送者。3.17按需刪除on-demanddelete是指刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者按照個(gè)人信息主體刪除意圖隨時(shí)觸發(fā)的刪除操作流程。3.18自動(dòng)刪除automaticdelete是指刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者按照個(gè)人信息主體預(yù)先設(shè)置的刪除意圖或者法律法規(guī)的要求，自行觸發(fā)的刪除操作流程。3.19刪除約束條件deleteconstraint是指對(duì)刪除對(duì)象執(zhí)行的刪除操作流程需滿足的觸發(fā)要求、執(zhí)行要求、反饋要求。3.20刪除觸發(fā)條件triggerconditionsfordeletion根據(jù)刪除意圖或者法律法規(guī)生成的，一旦匹配即刻觸發(fā)刪除流程的判定條件，包括：時(shí)間條件、個(gè)人信息流傳次數(shù)條件、接收到刪除通知等。注：刪除觸發(fā)條件一般包括：刪除約束時(shí)間、刪除約束流轉(zhuǎn)次數(shù)、符3.21多副本信息multiplecopiesinformation是指同一個(gè)人信息存儲(chǔ)于不同管理域、信息系統(tǒng)的多拷貝。3.22多備份信息multiplebackupinformation是指同一個(gè)人信息存儲(chǔ)于同一個(gè)管理域或者同一個(gè)信息系統(tǒng)內(nèi)的多拷貝。3.23分散存儲(chǔ)信息distributedstorageinformation是指同一個(gè)人信息拆分后分布式存儲(chǔ)于不同存儲(chǔ)設(shè)備/系統(tǒng)中的部分。3.24完備刪除completedelete是指刪除個(gè)人信息的正本信息、多副本信息、分散存儲(chǔ)信息和多備份信息。3.25個(gè)人信息處理者personalinformationprocessor對(duì)個(gè)人信息進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除、脫敏、存證與取證等操作的實(shí)體。3.26個(gè)人信息源域originaldomainofpersonalinformation是指?jìng)€(gè)人信息主體首次留存?zhèn)€人信息的管理域。3.27個(gè)人信息傳播域broadcastingdomainofpersonalinformation是指?jìng)€(gè)人信息流轉(zhuǎn)過(guò)程中由個(gè)人信息源域傳播到達(dá)的管理域。4T/CSACXXXXX—XXXX3.28刪除延伸控制extendeddeletecontrol是指刪除意圖、刪除通知及其確認(rèn)、刪除執(zhí)行反饋及其驗(yàn)證等刪除控制規(guī)則的傳遞應(yīng)與刪除對(duì)象傳播路徑保持一致。注：傳播范圍包括：系統(tǒng)內(nèi)部、跨系統(tǒng)、跨管理域、跨網(wǎng)絡(luò)等。4概述4.1刪除的目的保障個(gè)人信息，特別是隱私信息，在業(yè)務(wù)非必要使用時(shí)，按照個(gè)人信息主體刪除意圖或者法律法規(guī)的要求，進(jìn)行個(gè)人信息刪除，以降低個(gè)人信息被泄露、非法使用的風(fēng)險(xiǎn)，支撐個(gè)人信息主體的刪除權(quán)和被遺忘權(quán)。4.2刪除的基本原則個(gè)人信息處理者開(kāi)展個(gè)人信息刪除處理應(yīng)遵循及時(shí)、透明的原則，具體包括:a)按照與個(gè)人信息主體的約定或設(shè)置，采取技術(shù)、人工等手段保障個(gè)人信息完備刪除；b)以明確、易懂與合理的方式向個(gè)人信息主體及時(shí)告知?jiǎng)h除結(jié)果，包括：時(shí)間、范圍、規(guī)則等；c)存證刪除流程的關(guān)鍵狀態(tài)，并接受監(jiān)管機(jī)構(gòu)或第三方評(píng)估機(jī)構(gòu)審查，保障個(gè)人信息可信刪除；d)由于個(gè)人信息未能按照約定及時(shí)刪除導(dǎo)致個(gè)人信息主體合法權(quán)益造成損害時(shí)，應(yīng)承擔(dān)責(zé)任。4.3刪除控制的基本流程圖1個(gè)人信息刪除控制基本流程如圖1所示，個(gè)人信息刪除控制的基本流程如下：a)個(gè)人信息主體根據(jù)需求設(shè)置刪除意圖，并發(fā)送給個(gè)人信息源域的刪除通知發(fā)送者（如圖1所示）；b)個(gè)人信息源域的刪除通知發(fā)送者生成刪除通知，將刪除通知逐級(jí)發(fā)送給刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者，同時(shí)也將刪除通知發(fā)送給本域且與刪除對(duì)象關(guān)聯(lián)的所有業(yè)務(wù)系統(tǒng)的個(gè)人信息刪除者（如圖1所示步驟2、8、9）；c)個(gè)人信息源域的個(gè)人信息刪除者收到刪除通知后，生成刪除指令并要求關(guān)聯(lián)的存儲(chǔ)系統(tǒng)執(zhí)行刪除，待刪除結(jié)束后向本域的刪除通知發(fā)送者反饋刪除結(jié)果（如圖1所示步驟3、4）；5T/CSACXXXXX—XXXXd)各個(gè)人信息傳播域的刪除通知接收者收到刪除通知后，向上級(jí)刪除通知發(fā)送者反饋刪除通知確認(rèn)信息，并將刪除通知發(fā)送給本域且與刪除對(duì)象關(guān)聯(lián)的所有業(yè)務(wù)系統(tǒng)的個(gè)人信息刪除者（如圖1所示步驟5、6、10）；e)各個(gè)人信息傳播域的個(gè)人信息刪除者收到刪除通知后，生成刪除指令并要求關(guān)聯(lián)的存儲(chǔ)系統(tǒng)執(zhí)行刪除，待刪除結(jié)束后向本域的刪除通知接收者反饋刪除結(jié)果（如圖1所示步驟7、8）；f)各個(gè)人信息傳播域的刪除通知接收者收到刪除結(jié)果后，向上級(jí)刪除通知發(fā)送者反饋本域的刪除結(jié)果（如圖1所示步驟11、12）；g)個(gè)人信息源域的刪除通知發(fā)送者匯總各域的刪除結(jié)果后，向個(gè)人信息主體反饋?zhàn)罱K刪除結(jié)果（如圖1所示步驟13）。5刪除控制通用技術(shù)要求5.1刪除觸發(fā)刪除觸發(fā)條件應(yīng)遵守以下要求：a)當(dāng)個(gè)人信息處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要時(shí)；b)當(dāng)個(gè)人信息主體注銷或終止個(gè)人信息處理者提供的產(chǎn)品或服務(wù)時(shí)；c)當(dāng)個(gè)人信息處理者注銷或者產(chǎn)品或者業(yè)務(wù)最終下線、或者保存期限已屆滿時(shí)；d)當(dāng)個(gè)人信息主體以書面、郵件或信函等形式提出主觀刪除意愿時(shí)；e)當(dāng)個(gè)人撤回同意時(shí)；f)當(dāng)行政主管部門、司法裁定等要求刪除個(gè)人信息時(shí)；g)依據(jù)個(gè)人信息收集時(shí)個(gè)人信息主體的設(shè)置或者與個(gè)人信息處理者的約定，達(dá)到刪除條件時(shí)；h)法律另有要求的除外。5.2刪除通知與刪除通知確認(rèn)刪除通知與刪除通知確認(rèn)應(yīng)遵守以下要求：a)當(dāng)個(gè)人信息未被設(shè)定自動(dòng)觸發(fā)的刪除條件時(shí)，可以通過(guò)個(gè)人信息主體與個(gè)人信息處理者約定的途徑發(fā)送，發(fā)送途徑比如：系統(tǒng)消息、程序接口、人工、電話、短信、郵件、信函等；b)在個(gè)人信息全生命周期中留存?zhèn)€人信息的各個(gè)環(huán)節(jié)，應(yīng)提供用于接收刪除通知的接口或者其他接收方式；c)刪除通知接收者應(yīng)以適當(dāng)?shù)耐緩椒答亜h除通知確認(rèn)信息，反饋途徑比如：系統(tǒng)消息、程序接口、人工、電話、短信、郵件、信函等；d)刪除通知發(fā)送者應(yīng)具有刪除通知到達(dá)驗(yàn)證能力。5.3刪除延伸控制刪除延伸控制應(yīng)遵守以下要求：a)刪除通知的傳遞順序應(yīng)與個(gè)人信息傳播的路徑相同；b)當(dāng)刪除通知在系統(tǒng)內(nèi)部、跨系統(tǒng)、跨管理域、跨網(wǎng)絡(luò)傳遞時(shí)，刪除通知中的刪除控制規(guī)則應(yīng)保持一致，包括刪除對(duì)象、刪除方式等；c)當(dāng)個(gè)人信息處理者將個(gè)人信息提供給其他個(gè)人信息處理者時(shí)，應(yīng)同時(shí)傳遞相應(yīng)的刪除規(guī)則，并確保它們履行該刪除規(guī)則。5.4刪除方式6T/CSACXXXXX—XXXX依據(jù)個(gè)人信息的刪除等級(jí)，個(gè)人信息刪除者選擇不同的刪除方式，應(yīng)遵守以下要求：a)可采用物理破壞、化學(xué)破壞等方法刪除個(gè)人信息，具體包括：1)物理破壞方法：分解、研磨、粉碎、消磁、壓花、滾花磁性存儲(chǔ)介質(zhì)等；2)化學(xué)破壞方法：溶解、腐蝕、焚化，或者用化學(xué)物質(zhì)剝離磁性存儲(chǔ)介質(zhì)表面信息等。b)可采用加密刪除、多次覆寫刪除等方法刪除個(gè)人信息，具體包括：1)加密刪除：使用對(duì)稱或者非對(duì)稱密碼算法對(duì)個(gè)人信息進(jìn)行加密存儲(chǔ)（比如：硬件內(nèi)置加密、文件加密、磁盤分區(qū)加密、存儲(chǔ)設(shè)備加密），在執(zhí)行刪除時(shí)，對(duì)加密密鑰執(zhí)行密鑰銷毀；2)多次覆寫刪除：在磁性存儲(chǔ)介質(zhì)（比如：磁盤）上執(zhí)行三次及以上的連續(xù)覆寫操作，覆蓋原有數(shù)據(jù)。c)可采用覆寫刪除、填充刪除、硬件內(nèi)置刪除命令等方法刪除個(gè)人信息，具體包括：1)覆寫刪除：在磁性存儲(chǔ)介質(zhì)（比如：磁盤）上執(zhí)行兩次及以下的覆寫操作，比如：磁盤完全格式化；2)填充刪除：在固態(tài)存儲(chǔ)介質(zhì)（比如：閃存硬盤）上執(zhí)行擦除操作，比如：閃存硬盤完全格式化；3)硬件內(nèi)置刪除命令：使用硬件內(nèi)置命令，擦除存儲(chǔ)介質(zhì)上的數(shù)據(jù)，如ATASecureErase命令、NVMeFormat命令。5.5刪除存證刪除過(guò)程的存證應(yīng)遵守以下要求：a)應(yīng)當(dāng)對(duì)刪除全流程中的主體、客體、關(guān)鍵步驟、操作、結(jié)果等進(jìn)行存證；b)應(yīng)采用技術(shù)手段，使得存證內(nèi)容無(wú)法被篡改。5.5.1刪除存證主體刪除存證涉及到的主體包括但不限于：個(gè)人信息主體、刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者、中心存證系統(tǒng)、本地存證系統(tǒng)、其他業(yè)務(wù)系統(tǒng)等。5.5.2刪除存證內(nèi)容刪除存證內(nèi)容包括但不限于：刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時(shí)間、刪除通知接收時(shí)間、刪除觸發(fā)、刪除方式、刪除時(shí)間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。5.5.3刪除存證期限刪除存證期限應(yīng)遵守以下要求：a)個(gè)人信息主體同意后，刪除存證可以不再繼續(xù)保存；b)達(dá)到約定的保持期限后，刪除存證可以不再繼續(xù)保存；c)法律另有要求的除外。6刪除控制技術(shù)的實(shí)施要求6.1按需刪除6.1.1按需刪除概述7T/CSACXXXXX—XXXX按需刪除主要是實(shí)現(xiàn)個(gè)人信息的刪除權(quán)。個(gè)人信息源域的刪除通知發(fā)送者根據(jù)個(gè)人信息主體刪除意圖生成個(gè)人信息按需刪除通知，并需保證所有關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者能按照按需刪除通知完成對(duì)刪除對(duì)象的按需刪除，最終整體實(shí)現(xiàn)個(gè)人信息完備刪除。按需刪除流程一般應(yīng)包括以下幾個(gè)主要步驟：刪除意圖設(shè)置、觸發(fā)條件與流轉(zhuǎn)模式設(shè)置、刪除通知生成、刪除通知發(fā)送與轉(zhuǎn)發(fā)、刪除通知確認(rèn)、刪除操作執(zhí)行、刪除確認(rèn)、刪除存證。按需刪除流程參見(jiàn)附錄A。6.1.2按需刪除意圖設(shè)置個(gè)人信息主體設(shè)置按需刪除意圖應(yīng)包括但不限于：刪除對(duì)象、刪除時(shí)間、刪除等級(jí)等。按需刪除意圖的輸入可以通過(guò)服務(wù)商應(yīng)用/網(wǎng)頁(yè)界面進(jìn)行設(shè)置。6.1.3按需刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置按需刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置應(yīng)遵守以下要求：a)當(dāng)個(gè)人信息主體無(wú)自動(dòng)刪除需求或法律法規(guī)無(wú)自動(dòng)刪除要求時(shí)，默認(rèn)基于刪除意圖構(gòu)造按需刪除觸發(fā)條件，并保證其不可偽造性；b)按需刪除觸發(fā)條件應(yīng)隨個(gè)人信息流轉(zhuǎn)配置在所有關(guān)聯(lián)的個(gè)人信息源域和傳播域的個(gè)人信息處理者。6.1.4按需刪除通知生成當(dāng)滿足按需刪除觸發(fā)條件時(shí)，按需刪除通知生成應(yīng)遵守以下要求：a)個(gè)人信息源域的刪除通知發(fā)送者根據(jù)個(gè)人信息主體需要構(gòu)造按需刪除通知；b)按需刪除通知需包含不可偽造性驗(yàn)證憑證。6.1.5按需刪除通知發(fā)送與轉(zhuǎn)發(fā)當(dāng)按需刪除通知生成后，按需刪除通知的發(fā)送與轉(zhuǎn)發(fā)應(yīng)遵守以下要求：a)按需刪除通知的發(fā)送范圍要與刪除對(duì)象的流轉(zhuǎn)范圍保持一致，可以采用逐層逐級(jí)下發(fā)的方式；b)個(gè)人信息源域的刪除通知發(fā)送者依據(jù)刪除對(duì)象的流轉(zhuǎn)路徑，將按需刪除通知發(fā)送給下一層關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者；c)收到按需刪除通知后，個(gè)人信息傳播域的刪除通知接收者進(jìn)一步依據(jù)刪除對(duì)象的流轉(zhuǎn)路徑，將按需刪除通知轉(zhuǎn)發(fā)給下一層關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者；d)以此類推，直到刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者均收到按需刪除通知為止；e)刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域的刪除通知發(fā)送者將按需刪除通知發(fā)送給域內(nèi)個(gè)人信息刪除者；f)刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者應(yīng)驗(yàn)證按需刪除通知的完整性。6.1.6按需刪除通知確認(rèn)收到按需刪除通知后，刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者發(fā)送確認(rèn)信息。6.1.7按需刪除操作執(zhí)行刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域中的個(gè)人信息刪除者收到按需刪除通知后應(yīng)執(zhí)行按需刪除操作，并遵守以下要求：8T/CSACXXXXX—XXXXa)解析收到的按需刪除通知；b)查找刪除對(duì)象，包括：刪除對(duì)象的正本信息、多副本信息、分散存儲(chǔ)信息、多備份信息；c)根據(jù)刪除等級(jí)，選擇刪除方式，構(gòu)造刪除指令，執(zhí)行刪除指令。刪除等級(jí)示例參見(jiàn)附錄B。6.1.8按需刪除確認(rèn)按需刪除完成后，刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域中的個(gè)人信息刪除者應(yīng)完成刪除確認(rèn)信息的反饋，并遵守以下要求：a)個(gè)人信息源域的個(gè)人信息刪除者應(yīng)向本域內(nèi)的刪除通知發(fā)送者反饋域內(nèi)刪除執(zhí)行結(jié)果；b)個(gè)人信息傳播域的個(gè)人信息刪除者應(yīng)向本域內(nèi)的刪除通知接收者反饋域內(nèi)刪除執(zhí)行結(jié)果；c)各個(gè)人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者反饋本域及其下層域的刪除執(zhí)行結(jié)果；d)個(gè)人信息源域的刪除通知發(fā)送者收到所有關(guān)聯(lián)的個(gè)人信息傳播域的刪除執(zhí)行結(jié)果后，應(yīng)將刪除執(zhí)行整體情況告知個(gè)人信息主體；e)告知的方式，可以通過(guò)網(wǎng)絡(luò)、郵件、電話等其他方式進(jìn)行。6.1.9按需刪除存證執(zhí)行按需刪除的各有關(guān)域的刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者應(yīng)本地存證包括但不限于收到的刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時(shí)間、刪除通知接收時(shí)間、刪除觸發(fā)條件、刪除方式、刪除時(shí)間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。6.2自動(dòng)刪除6.2.1自動(dòng)刪除概述自動(dòng)刪除主要是實(shí)現(xiàn)個(gè)人信息的被遺忘權(quán)。個(gè)人信息源域中的個(gè)人信息處理者（或刪除通知發(fā)送者）根據(jù)個(gè)人信息主體刪除意圖設(shè)置自動(dòng)刪除觸發(fā)條件，或?qū)⒎?wù)到期或下線作為刪除觸發(fā)條件，并隨個(gè)人信息的流轉(zhuǎn)（或通過(guò)生成與發(fā)送自動(dòng)刪除通知）保證所有關(guān)聯(lián)的個(gè)人信息傳播域中的個(gè)人信息處理者（或刪除通知接收者）設(shè)置同樣的自動(dòng)刪除觸發(fā)條件。自動(dòng)刪除的觸發(fā)條件主要包括計(jì)時(shí)自動(dòng)刪除和計(jì)次自動(dòng)刪除。當(dāng)刪除觸發(fā)條件達(dá)到時(shí)，個(gè)人信息源域和所有傳播域的個(gè)人信息刪除者自動(dòng)刪除所有刪除對(duì)象，最終整體實(shí)現(xiàn)個(gè)人信息完備刪除。刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域同時(shí)應(yīng)遵照法律法規(guī)要求，在各關(guān)聯(lián)域的個(gè)人信息處理者（或刪除通知發(fā)送者）處自動(dòng)觸發(fā)刪除流程。自動(dòng)刪除流程一般應(yīng)包括以下幾個(gè)主要步驟：刪除意圖設(shè)置、觸發(fā)條件與流轉(zhuǎn)模式設(shè)置、觸發(fā)條件同步配置、刪除通知生成、刪除通知發(fā)送與轉(zhuǎn)發(fā)、刪除通知確認(rèn)、刪除操作執(zhí)行、刪除確認(rèn)、刪除存證。自動(dòng)刪除流程參見(jiàn)附錄A。6.2.2自動(dòng)刪除意圖設(shè)置個(gè)人信息主體設(shè)置自動(dòng)刪除意圖應(yīng)包括但不限于：刪除對(duì)象、自動(dòng)刪除的時(shí)間限制條件、自動(dòng)刪除的計(jì)次限制條件、刪除等級(jí)等。自動(dòng)刪除不依賴于個(gè)人信息主體的刪除意圖時(shí)，該設(shè)置過(guò)程為可選步驟。如果需要設(shè)置，則參照6.1.2的方式進(jìn)行。自動(dòng)刪除意圖的輸入可以通過(guò)服務(wù)商應(yīng)用/網(wǎng)頁(yè)界面進(jìn)行設(shè)置。6.2.3自動(dòng)刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置自動(dòng)刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置應(yīng)遵守以下要求：a)采用技術(shù)方法，根據(jù)刪除意圖或者法律法規(guī)要求構(gòu)造不可偽造性自動(dòng)刪除觸發(fā)條件；9T/CSACXXXXX—XXXXb)當(dāng)個(gè)人信息流轉(zhuǎn)前個(gè)人信息主體即已提出自動(dòng)刪除需求時(shí)，自動(dòng)刪除觸發(fā)條件應(yīng)隨個(gè)人信息流轉(zhuǎn)配置在所有關(guān)聯(lián)的個(gè)人信息源域和傳播域的個(gè)人信息處理者（或刪除通知發(fā)送者）；c)當(dāng)個(gè)人信息流轉(zhuǎn)后個(gè)人信息主體才提出自動(dòng)刪除需求時(shí)，自動(dòng)刪除觸發(fā)條件應(yīng)由個(gè)人信息源域的刪除通知發(fā)送者依據(jù)個(gè)人信息流轉(zhuǎn)路徑依次通知到所有關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者。6.2.4自動(dòng)刪除觸發(fā)條件同步配置當(dāng)個(gè)人信息源域或傳播域收到自動(dòng)刪除觸發(fā)條件時(shí)，刪除通知發(fā)送者（或接收者）應(yīng)遵守以下要求：a)解析、驗(yàn)證、配置收到的自動(dòng)刪除觸發(fā)條件；b)當(dāng)個(gè)人信息繼續(xù)流轉(zhuǎn)且自動(dòng)刪除觸發(fā)條件為計(jì)時(shí)自動(dòng)刪除時(shí)，將關(guān)聯(lián)的自動(dòng)刪除觸發(fā)條件發(fā)送給下一層個(gè)人信息傳播域中的刪除通知接收者；c)當(dāng)個(gè)人信息繼續(xù)流轉(zhuǎn)且自動(dòng)刪除觸發(fā)條件為計(jì)次自動(dòng)刪除時(shí)，依次向上一層個(gè)人信息傳播域的刪除通知發(fā)送者實(shí)時(shí)反饋個(gè)人信息流轉(zhuǎn)次數(shù)，以保證個(gè)人信息所有關(guān)聯(lián)域的個(gè)人信息流轉(zhuǎn)計(jì)次數(shù)全局一致。6.2.5自動(dòng)刪除通知生成當(dāng)自動(dòng)刪除觸發(fā)條件滿足時(shí)，自動(dòng)刪除通知生成應(yīng)遵守以下要求：a)個(gè)人信息源域的刪除通知發(fā)送者根據(jù)個(gè)人信息主體需要構(gòu)造自動(dòng)刪除通知；b)自動(dòng)刪除通知需包含不可偽造性驗(yàn)證憑證。6.2.6自動(dòng)刪除通知發(fā)送與轉(zhuǎn)發(fā)當(dāng)自動(dòng)刪除通知生成后，自動(dòng)刪除通知的發(fā)送與轉(zhuǎn)發(fā)應(yīng)遵守以下要求：a)自動(dòng)刪除通知的發(fā)送范圍要與刪除對(duì)象的流轉(zhuǎn)范圍保持一致，可以采用逐層逐級(jí)下發(fā)的方式；b)個(gè)人信息源域的刪除通知發(fā)送者依據(jù)刪除對(duì)象的流轉(zhuǎn)路徑，將自動(dòng)刪除通知發(fā)送給下一層關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者；c)收到自動(dòng)刪除通知后，個(gè)人信息傳播域的刪除通知發(fā)送者進(jìn)一步依據(jù)刪除對(duì)象的流轉(zhuǎn)路徑，將自動(dòng)刪除通知轉(zhuǎn)發(fā)給下一層關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者；d)以此類推，直到刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者均收到自動(dòng)刪除通知為止；e)刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域的刪除通知發(fā)送者將自動(dòng)刪除通知發(fā)送給域內(nèi)個(gè)人信息刪除者；f)刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者應(yīng)驗(yàn)證自動(dòng)刪除通知的完整性。6.2.7自動(dòng)刪除通知確認(rèn)收到自動(dòng)刪除通知后，刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者發(fā)送確認(rèn)信息。6.2.8自動(dòng)刪除操作執(zhí)行刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域中的個(gè)人信息刪除者收到自動(dòng)刪除通知后應(yīng)執(zhí)行自動(dòng)刪除操作，并遵守以下要求：a)解析收到的自動(dòng)刪除通知；b)查找刪除對(duì)象，包括：刪除對(duì)象的正本信息、多副本信息、分散存儲(chǔ)信息、多備份信息；T/CSACXXXXX—XXXXc)根據(jù)刪除等級(jí)，選擇刪除方式，構(gòu)造刪除指令，執(zhí)行刪除指令。刪除等級(jí)示例參見(jiàn)附錄B。6.2.9自動(dòng)刪除確認(rèn)自動(dòng)刪除完成后，刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域中的個(gè)人信息刪除者應(yīng)完成刪除確認(rèn)信息的反饋，并遵守以下要求：a)個(gè)人信息源域的個(gè)人信息刪除者應(yīng)向本域內(nèi)的刪除通知發(fā)送者反饋域內(nèi)刪除執(zhí)行結(jié)果；b)個(gè)人信息傳播域的個(gè)人信息刪除者應(yīng)向本域內(nèi)的刪除通知接收者反饋域內(nèi)刪除執(zhí)行結(jié)果；c)各個(gè)人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者反饋本域及其下層域的刪除執(zhí)行結(jié)果；d)個(gè)人信息源域的刪除通知發(fā)送者收到所有關(guān)聯(lián)的個(gè)人信息傳播域的刪除執(zhí)行結(jié)果后，應(yīng)將刪除執(zhí)行整體情況告知個(gè)人信息主體；e)告知的方式，可以通過(guò)網(wǎng)絡(luò)、郵件、電話等其他方式進(jìn)行。6.2.10自動(dòng)刪除存證執(zhí)行自動(dòng)刪除的各有關(guān)域的刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者應(yīng)本地存證包括但不限于收到的刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時(shí)間、刪除通知接收時(shí)間、刪除觸發(fā)條件、刪除方式、刪除時(shí)間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。7刪除異常事件處置與通報(bào)要求7.1對(duì)刪除過(guò)程所涉主體對(duì)個(gè)人信息刪除操作過(guò)程中涉及到的主體應(yīng)遵守以下要求：a)明確刪除異常事件的定義和等級(jí)；b)制定刪除異常事件應(yīng)急預(yù)案；c)定期(至少每年一次)組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程；7.2刪除異常事件處置發(fā)生個(gè)人信息刪除異常事件后，相關(guān)個(gè)人信息源域和傳播域的個(gè)人信息處理者應(yīng)根據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行以下處置，并遵守以下要求：a)記錄事件內(nèi)容，包括但不限于：發(fā)現(xiàn)事件的人員、時(shí)間、地點(diǎn)，涉及的個(gè)人信息，發(fā)生事件的系統(tǒng)名稱，對(duì)其他互聯(lián)系統(tǒng)的影響，是否已聯(lián)系執(zhí)法機(jī)關(guān)或有關(guān)部門；b)評(píng)估事件可能造成的影響，并采取必要措施控制事態(tài)，消除隱患；c)按照《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等有關(guān)規(guī)定及時(shí)上報(bào)報(bào)告內(nèi)容句括不限干涉及個(gè)人信息主體的類型、數(shù)量、內(nèi)容、性質(zhì)等總體情況,事件可能造成的影響，已采取或?qū)⒁扇〉奶幹么胧?事件處置相關(guān)人員的聯(lián)系方式；d)個(gè)人信息刪除異常事件可能會(huì)給個(gè)人信息主體的合法權(quán)益造成嚴(yán)重危害的，如隱私信息泄露，應(yīng)及時(shí)告知個(gè)人信息主體；e)對(duì)預(yù)案外發(fā)生的異常事件，應(yīng)根據(jù)事