《隱私計算 刪除方法能力和刪除效果評估技術要求（征求意見稿）》編制說明

在當前數字化和網絡化的時代背景下，數據安全管理尤為重要。隨著互聯網技術的迅猛發(fā)展和數字化轉型的深入，個人信息數據在網絡中的傳輸和存儲量呈指數級增長。這些數據的安全性直接關系到個人隱私保護、企業(yè)核心競爭力維護以及國家安全的多個層面，個人信息保護成為了全球關注的焦點。2016年由十二屆全國人大常委會第二十四次會議表決通過的《中華人民共和國網絡安全法》中首次為個人賦予了明確的刪除權。2021年發(fā)布的《中華人民共和國個人信息保護法》中進一步明確規(guī)定了個人信息處理者刪除個人信息的情形。要求個人信息處理者保障個人信息安全，明確了數據主體的權利，如知情權、選擇權、訪問權等。因此，開展刪除方法能力和刪除效果評估是確保數據安全和個人信息控制者、個人信息處理者遵守法律法規(guī)的重要手段。通過刪除方法能力和刪除效果評估將有助于全面了解和掌握個人信息處理者刪除個人信息的效果和存在的問題，進而有針對性的進行修正。其中，刪除方法能力和刪除效果評估的關鍵作用在于：1、國際上普遍缺少一個全面的刪除方法能力評估框架，難以確保數據刪除時選擇的刪除方法的有效性。合理的刪除方法能力評估有助于企業(yè)等個人信息處理者有效管理數據存儲，避免無效或過期數據的累積，從而提高數據處理的效率和質量。2、各國缺乏具體、有效的刪除評估體系來衡量安全刪除的有效性。通過對刪除效果的評估，可以確保個人信息得到徹底清除，減少因數據泄露而帶來的風險，特別是對于涉及個人隱私和商業(yè)機密的數據。3、根據《中華人民共和國個人信息保護法》等法律規(guī)定，企業(yè)等個人信息處理者必須對個人信息進行安全管理，包括對不再需要的個人信息執(zhí)行刪除操作。4、全球范圍內尚未形成一套成熟的刪除方法能力和刪除效果評估的體系結構，影響了數據安全管理的效率和有效性。定期進行刪除方法能力和刪除效果的評估有助于發(fā)現和改進數據安全管理中的不足，同時為應對內外部審計提供支持，確保合規(guī)性。二、任務來源國際上，關注數據安全和隱私保護的趨勢自20世紀70年代中期開始興起，隨后在80年代迅速發(fā)展，到了90年代后期，數據安全和隱私保護成為世界各國普遍關注的重點。隨著信息技術的不斷進步和數據泄露事件的頻繁發(fā)生，安全刪除作為保護個人隱私和企業(yè)敏感數據的關鍵技術，其重要性愈發(fā)凸顯。少數歐美國家和國際組織相繼提出了各自的安全刪除標準和指導原則，以確保數據被徹底、安全地刪除，防止未經授權的訪問和使用。進行刪除方法能力和刪除效果評估是驗證數據刪除措施是否有效的重要手段。通過執(zhí)行該評估工作，可以明確現存的問題和不足之處，從而有助于企業(yè)等個人信息處理者采取更為精準和針對性的措施，持續(xù)改進和提高數據刪除的能力和效率，保障整體的數據安全并符合法規(guī)要求。隨著數據量的激增和數據應用的廣泛性，數據泄露和濫用的風險也隨之增加。在這樣的背景下，安全刪除不僅是數據安全管理的重要組成部分，也是法律法規(guī)遵從的必要條件。目前，雖然少數國家和組織已經實施了關于數據保護和隱私的法律，如歐盟的通用數據保護條例和《中華人民共和國個人信息保護法》，但在實際操作中，確保數據被安全刪除仍然是一個挑戰(zhàn)。因此，制定和實施有效的刪除方法能力和刪除效果評估標準至關重要。這不僅能夠提升數據處理的安全性和可靠性，還能夠幫助企業(yè)等個人信息處理者防范法律風三、編制過程單位對前期的研究工作進行了匯報。確定了標準的研究思路和分工。3）2023年5月25日，召開立項評審會，邀請專家對草案給出建議。了多次標準工作組內部討論，并根據專家提出的建議進行修改，形成第二版草案。5）2023年8月20日，邀請專家對第二版草案給出建了多次標準工作組內部討論，并根據專家提出的建議針對草案部分內容進行了細節(jié)的修改與調整，形成第三版草案。8）2024年1月29日，根據專家建議，對草案繼續(xù)完善和修改。9）2024年6月28日，召開專家評審會，邀請專家對修改后的版本進行評審。10）2024年8月，形成征求意見稿。四、主要內容技術指標確立本標準規(guī)范了評估不同刪除方法能力的技術要求和評估個人信息刪除效果的技術要求的基本實踐。詳情如下：1、評估不同刪除方法能力的技術要求：主要包含刪除方法能力的評估指標體系、成本開銷評估技術要求、不可恢復性評估技術要求、等效性評估技術要求等。通過這些方面衡量不同刪除方法的能力。2、評估個人信息刪除效果的技術要求：主要包含刪除效果評估的指標體系、日志內容要求、刪除通知與確認完備性評估技術要求、刪除觸發(fā)正確性評估技術要求、刪除操作正確性評估技術要求、不可恢復性評估技術要求、副本刪除完備性評估技術要求、刪除一致性評估技術要求等。通過對各項內容的評價，可以衡量個人信息的刪除效果。本標準適用于規(guī)范企業(yè)等個人信息處理者針對不同隱私含量的個人信息選擇合適強度的刪除方法，也適用于規(guī)范第三方機構對個人信息處理者開展個人信息刪除效果的評本標準牽頭單位為中國科學院信息工程研究所，參加單位包括華中科技大學、西安電子科技大學、中央網信辦數據與技術保障中心、中國電子技術標準化研究院、中國網絡安全審查認證和市場監(jiān)管大數據中心、四川昊華銳恒科技有限公司、成都西電網絡安全研究院、普華永道商務咨詢(上海)有限公司等。五、與相關法律法規(guī)和國家標準的關系本標準的總體結構和編寫方法按照GB/T1.1-2020《標準化工作導則第一部分：標準化文件的結構和起草規(guī)則》的規(guī)定執(zhí)行。本標準參考的相關法律、法規(guī)和GB/T25069-2022《信息安全技術術語》GB/T35273-2020《信息安全技術