“去年把旧手机卖给回收店,特意恢复了出厂设置,结果前阵子收到陌生短信,说我手机里的照片在网上流传!” 同事小林的遭遇,让不少人捏了把汗。现在大家换手机越来越频繁,旧手机里存着照片、通讯录、银行卡绑定信息,可就算删光文件、恢复出厂设置,数据还是可能被恢复。不过别急,最近发布的强制性国家标准《数据安全技术 电子产品信息清除技术要求》,将于 2027 年 1 月 1 日起正式实施,明确要求用 “数字覆写”“块擦除” 技术实现 “物理级” 清除,这下旧手机回收终于有了隐私保障?
先说说为啥普通的删除操作不靠谱。小林当初卖旧手机时,不仅删了相册里的照片,还把通讯录、聊天记录全删了,最后还做了恢复出厂设置,可即便这样,数据还是泄露了。技术人员解释,普通删除或恢复出厂设置,只是把数据标记为 “无效”,就像给文件贴了张 “不用了” 的标签,数据本身还藏在手机存储介质里,用专业软件就能找回来。之前有测试显示,一部做过恢复出厂设置的旧手机,通过数据恢复工具,能找回 80% 以上的照片和通讯录,想想都让人后怕。
而这次新国标的 “信息清除”,和普通删除完全不是一回事。它要求对存储介质里的数据进行技术处理,让数据不可逆、无法被访问或恢复,也就是所谓的 “物理级” 清除。具体有两种核心技术方法:一种是数据覆写,把固定或随机的无含义数据写入手机,覆盖每一个存储用户数据的单元。要是手机用的是磁介质存储,得覆写至少 3 次,而且其中 1 次必须是随机数覆写;要是半导体介质,比如现在常见的闪存,至少覆写 1 次就行。另一种是块擦除,专门针对半导体介质,通过调用存储介质的指令,对物理块进行根本性擦除,相当于把存储数据的 “小格子” 彻底清空,再也没法复原。
新国标的适用范围也很广,不是只针对手机。它覆盖了境内生产、销售的,有非易失性存储介质的电子产品,像平板、笔记本电脑、台式机电脑、智能穿戴设备(比如智能手表、手环)、办公设备(比如打印机、复印机)都包含在内。不过要注意,涉及国家秘密的电子产品,信息清除得遵照国家保密相关规定,不能按这个国标来。
适用主体分两类,一类是产品制造与服务方,包括电子产品厂商、第三方信息清除功能开发者;另一类是流通经营方,主要是做二手电子产品回收的经营者。也就是说,不管是生产手机的厂家,还是回收旧手机的店铺,都得按新国标来操作。
对于电子产品厂商,新国标有明确要求:得为用户提供内置的信息清除功能。要是实在开发不了内置功能,那也得提供外部信息清除工具,或者告诉用户能用哪些第三方工具,再或者直接给用户提供免费的信息清除服务。而且在执行清除前,必须明确告诉用户清除的范围、用的方法以及会有什么影响,得拿到用户同意才能动手。清除的内容也得全面,像用户拍的照片、写的文本、下载的视频,通讯录、通话记录、短信,装的应用程序和应用产生的数据,还有账号密码、生物识别信息(比如指纹、人脸数据)、加密密钥这些,都得清干净。
之前问过某手机品牌的客服,他们说目前还没推出内置的信息清除功能,只能提供恢复出厂设置的指引。但按照新国标,2027 年 1 月 1 日之后生产、销售的手机,必须得有内置清除功能,要是到时候还没有,就算违规了。
二手电子产品回收经营者的责任更重。首先,回收前得主动提醒用户进行信息清除,没经过用户同意,绝对不能访问或留存用户数据。之前有回收店为了验机,会翻看用户手机里的文件,以后这种行为就不允许了。其次,必须用符合新国标的功能或工具来清除数据。要是手机摔坏了、开不了机,没法用软件清除,那就得对存储介质进行物理销毁,比如把手机的存储芯片拆下来碾碎,不能随便处理。
而且在把旧手机卖给下一个买家前,回收经营者必须验证清除效果,要是数据没清干净,绝对不能再销售,也不能运到国外去。同时,还得建立档案,把清除操作的过程和验证结果都记录下来,这个档案至少要留存 3 年,方便后续追溯。
有次路过小区门口的二手手机回收点,问老板知不知道这个新国标,老板说 “听说过要清数据,但具体怎么清、清到什么程度还不清楚”。按照新国标要求,2027 年 1 月 1 日之后,回收点必须掌握合规的清除方法,还得有验证清除效果的能力,不然就没法合法经营了。
新国标还明确了具体的清除范围,几乎涵盖了所有用户数据,比大家想象的更全面。除了常见的文本、图片、音频、视频,还有通讯录、通话记录、短信、彩信、日历、备忘录、位置信息、行为记录(比如 APP 使用记录);用户装的应用程序,以及应用产生的各种数据,包括跨应用共享的数据;账号、口令、生物识别信息、应用证书这些和身份安全相关的数据;甚至连手机绑定的银行卡、交通卡、门禁卡信息,用户设置的网络、蓝牙、桌面个性化参数,还有手机里备份的数据、缓存数据,都在清除范围内。
之前有用户卖旧手机,忘了解绑交通卡,结果新买主用旧手机里的交通卡刷了地铁,最后还是通过客服才把卡冻结。按照新国标,这种绑定的交通卡信息也得清掉,能避免类似的麻烦。
可能有人会问,要是 2027 年 1 月 1 日之前买的旧手机,回收时要不要按新国标来?新国标是 2027 年 1 月 1 日起实施,理论上实施之后,不管是新生产的还是之前生产的二手电子产品,回收时都得按国标要求清除信息。毕竟标准实施后,隐私保护的要求统一了,不能因为是老手机就降低标准。
不过现在距离实施还有一年多时间,不少回收机构还在观望。有行业人士说,他们正在联系符合新国标的信息清除工具供应商,也在培训员工怎么操作,争取在实施前做好准备。
对于普通消费者来说,以后处理旧电子产品也得更谨慎。就算有了新国标,卖旧手机前最好自己先做一遍信息清除,再让回收经营者按国标清一次,双重保险更放心。而且要记得索要清除操作和验证结果的记录,要是回收店不给,可以拒绝交易,避免后续出问题没法追溯。
之前看到过新闻,有人因为旧手机数据没清干净,被不法分子获取了银行卡信息,导致存款被盗。虽然新国标实施后,这种情况会减少,但大家自己也要有隐私保护意识,不能全靠厂商和回收店。
现在还有个疑问:要是回收经营者没按新国标操作,会有什么处罚?目前新国标里没明确处罚措施,但既然是强制性国家标准,后续应该会有配套的监管办法,比如市场监管部门会抽查回收店的操作,要是发现违规,可能会罚款、责令整改,严重的甚至会吊销营业执照。
总的来说,这个新国标的出台,对保护大家的隐私是件好事,能解决旧电子产品回收时数据泄露的痛点。但关键还是要看实施后的执行情况,要是厂商不提供清除功能、回收店不按要求操作,那国标也只是一纸空文。不过从现在到 2027 年 1 月 1 日,还有足够的时间让各方做好准备,希望到时候大家处理旧手机时,都能放心地把数据清干净,不用再担心隐私泄露。
