隐私计算删除方法能力和删除效果评估技术要求编制说明

隐私安全删除方法能力和删除效果评估技术要求编制说明目的意义在当前数字化和网络化的时代背景下，数据安全管理尤为重要。随着互联网技术的迅猛发展和数字化转型的深入，个人信息数据在网络中的传输和存储量呈指数级增长。这些数据的安全性直接关系到个人隐私保护、企业核心竞争力维护以及国家安全的多个层面，个人信息保护成为了全球关注的焦点。2016年由十二届全国人大常委会第二十四次会议表决通过的《中华人民共和国网络安全法》中首次为个人赋予了明确的删除权。2021年发布的《中华人民共和国个人信息保护法》中进一步明确规定了个人信息处理者删除个人信息的情形。要求个人信息处理者保障个人信息安全，明确了数据主体的权利，如知情权、选择权、访问权等。因此，开展删除方法能力和删除效果评估是确保数据安全和个人信息控制者、个人信息处理者遵守法律法规的重要手段。通过删除方法能力和删除效果评估将有助于全面了解和掌握个人信息处理者删除个人信息的效果和存在的问题，进而有针对性的进行修正。其中，删除方法能力和删除效果评估的关键作用在于：1、国际上普遍缺少一个全面的删除方法能力评估框架，难以确保数据删除时选择的删除方法的有效性。合理的删除方法能力评估有助于企业等个人信息处理者有效管理数据存储，避免无效或过期数据的累积，从而提高数据处理的效率和质量。2、各国缺乏具体、有效的删除评估体系来衡量安全删除的有效性。通过对删除效果的评估，可以确保个人信息得到彻底清除，减少因数据泄露而带来的风险，特别是对于涉及个人隐私和商业机密的数据。3、根据《中华人民共和国个人信息保护法》等法律规定，企业等个人信息处理者必须对个人信息进行安全管理，包括对不再需要的个人信息执行删除操作。4、全球范围内尚未形成一套成熟的删除方法能力和删除效果评估的体系结构，影响了数据安全管理的效率和有效性。定期进行删除方法能力和删除效果的评估有助于发现和改进数据安全管理中的不足，同时为应对内外部审计提供支持，确保合规性。任务来源国际上，关注数据安全和隐私保护的趋势自20世纪70年代中期开始兴起，随后在80年代迅速发展，到了90年代后期，数据安全和隐私保护成为世界各国普遍关注的重点。随着信息技术的不断进步和数据泄露事件的频繁发生，安全删除作为保护个人隐私和企业敏感数据的关键技术，其重要性愈发凸显。少数欧美国家和国际组织相继提出了各自的安全删除标准和指导原则，以确保数据被彻底、安全地删除，防止未经授权的访问和使用。进行删除方法能力和删除效果评估是验证数据删除措施是否有效的重要手段。通过执行该评估工作，可以明确现存的问题和不足之处，从而有助于企业等个人信息处理者采取更为精准和针对性的措施，持续改进和提高数据删除的能力和效率，保障整体的数据安全并符合法规要求。随着数据量的激增和数据应用的广泛性，数据泄露和滥用的风险也随之增加。在这样的背景下，安全删除不仅是数据安全管理的重要组成部分，也是法律法规遵从的必要条件。目前，虽然少数国家和组织已经实施了关于数据保护和隐私的法律，如欧盟的通用数据保护条例和《中华人民共和国个人信息保护法》，但在实际操作中，确保数据被安全删除仍然是一个挑战。因此，制定和实施有效的删除方法能力和删除效果评估标准至关重要。这不仅能够提升数据处理的安全性和可靠性，还能够帮助企业等个人信息处理者防范法律风险。编制过程1）2023年3月2日，规范研制正式启动会。标准牵头单位对前期的研究工作进行了汇报。确定了标准的研究思路和分工。2）2023年3月29日，提交项目立项申请书。3）2023年5月25日，召开立项评审会，邀请专家对草案给出建议。4）2023年5月27日至2023年7月10日，期间进行了多次标准工作组内部讨论，并根据专家提出的建议进行修改，形成第二版草案。5）2023年8月20日，邀请专家对第二版草案给出建议。6）2023年8月26日至2023年11月30日，期间进行了多次标准工作组内部讨论，并根据专家提出的建议针对草案部分内容进行了细节的修改与调整，形成第三版草案。7）2023年12月14日，邀请专家对第三版草案给出建议。8）2024年1月29日，根据专家建议，对草案继续完善和修改。9）2024年6月28日，召开专家评审会，邀请专家对修改后的版本进行评审。10）2024年8月，形成征求意见稿。主要内容技术指标确立本标准规范了评估不同删除方法能力的技术要求和评估个人信息删除效果的技术要求的基本实践。详情如下：1、评估不同删除方法能力的技术要求：主要包含删除方法能力的评估指标体系、成本开销评估技术要求、不可恢复性评估技术要求、等效性评估技术要求等。通过这些方面衡量不同删除方法的能力。2、评估个人信息删除效果的技术要求：主要包含删除效果评估的指标体系、日志内容要求、删除通知与确认完备性评估技术要求、删除触发正确性评估技术要求、删除操作正确性评估技术要求、不可恢复性评估技术要求、副本删除完备性评估技术要求、删除一致性评估技术要求等。通过对各项内容的评价，可以衡量个人信息的删除效果。本标准适用于规范企业等个人信息处理者针对不同隐私含量的个人信息选择合适强度的删除方法，也适用于规范第三方机构对个人信息处理者开展个人信息删除效果的评估。本标准牵头单位为中国科学院信息工程研究所，参加单位包括华中科技大学、西安电子科技大学、中央网信办数据与技术保障中心、中国电子技术标准化研究院、中国网络安全审查认证和市场监管大数据中心、四川昊华锐恒科技有限公司、成都西电网络安全研究院、普华永道商务咨询(上海)有限公司等。与相关法律法规和国家标准的关系本标准的总体结构和编写方法按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定执行。本标准参考的相关法律、法规和标准文件如下：GB/T25069-2022《信息安全技术术语》GB/T35273-2020《信息安全技术