行業(yè)新聞
在《中華人民共和國(guó)個(gè)人信息保護(hù)法》(簡(jiǎn)稱:個(gè)保法)中,指出了個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。在《中華人民共和國(guó)數(shù)據(jù)安全法》(簡(jiǎn)稱:數(shù)安法)中,指出了數(shù)據(jù)處理活動(dòng)包含數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開。關(guān)于數(shù)據(jù)刪除或者數(shù)據(jù)銷毀,個(gè)保法中提到了個(gè)人信息的刪除,在數(shù)安法中沒(méi)有涉及。那么,數(shù)據(jù)刪除是否等同于數(shù)據(jù)銷毀?
數(shù)據(jù)刪除不等同于數(shù)據(jù)銷毀,兩者之間不具有替代性。涉及個(gè)人行駛個(gè)人信息刪除權(quán)利時(shí),適應(yīng)于數(shù)據(jù)刪除;涉及數(shù)據(jù)安全體系或數(shù)據(jù)生命周期安全時(shí),適應(yīng)于數(shù)據(jù)銷毀。下面從技術(shù)角度和法律法規(guī)角度分析數(shù)據(jù)刪除與數(shù)據(jù)銷毀。
從技術(shù)角度來(lái)講,數(shù)據(jù)刪除和數(shù)據(jù)銷毀不同。數(shù)據(jù)刪除是一種邏輯刪除,在物理上來(lái)看,經(jīng)過(guò)刪除的數(shù)據(jù)在物理層面依然是存在于存儲(chǔ)介質(zhì)上,通過(guò)一定的技術(shù)手段可能恢復(fù)出原始數(shù)據(jù)。數(shù)據(jù)銷毀是從軟銷毀、硬銷毀兩個(gè)方面進(jìn)行數(shù)據(jù)的處理,經(jīng)過(guò)銷毀的數(shù)據(jù)不能再恢復(fù)。軟銷毀比如對(duì)數(shù)據(jù)進(jìn)行刪除或者使用擦除軟件對(duì)數(shù)據(jù)進(jìn)行多次的覆寫、清除(如使用0反復(fù)覆蓋磁盤上的原始數(shù)據(jù));硬銷毀比如熔爐中焚化、借助外力粉碎等等。數(shù)據(jù)刪除屬于數(shù)據(jù)軟銷毀的一種。從這個(gè)角度理解,數(shù)據(jù)刪除的范圍相比數(shù)據(jù)銷毀要小,數(shù)據(jù)刪除的技術(shù)處理力度以及最終產(chǎn)生的安全效力相比數(shù)據(jù)銷毀來(lái)講,要弱一些。從數(shù)據(jù)安全性來(lái)講,數(shù)據(jù)銷毀是數(shù)據(jù)生命周期終止的一個(gè)重要環(huán)節(jié),不可恢復(fù)是數(shù)據(jù)生命周期終結(jié)的關(guān)鍵指標(biāo),因此,數(shù)據(jù)銷毀是保障數(shù)據(jù)安全的重要一環(huán)。
圖1:刪除數(shù)據(jù)
圖2 數(shù)據(jù)銷毀——數(shù)據(jù)覆寫與物理焚燒
從法律法規(guī)角度來(lái)講,數(shù)據(jù)刪除和數(shù)據(jù)銷毀不同。個(gè)保法是目前唯一提到“刪除”的法律法規(guī)。個(gè)保法中的“刪除”,是指?jìng)€(gè)人信息的刪除,在權(quán)利描述上,“個(gè)人信息的刪除”對(duì)應(yīng)的是“刪除權(quán)”,要求個(gè)人信息處理者為個(gè)人提供刪除的響應(yīng),這一響應(yīng)不等同于數(shù)據(jù)安全領(lǐng)域的數(shù)據(jù)銷毀。數(shù)安法中沒(méi)有提及數(shù)據(jù)銷毀,這基本上延續(xù)了以往國(guó)家法律法規(guī)的習(xí)慣。在國(guó)家法律法規(guī)層面,一般不把數(shù)據(jù)銷毀列入約束范圍,但數(shù)據(jù)銷毀作為數(shù)據(jù)生命周期的一個(gè)重要環(huán)節(jié),多在標(biāo)準(zhǔn)要求、數(shù)據(jù)安全體系建設(shè)方法等方面做出約束。
數(shù)據(jù)刪除不等同于數(shù)據(jù)銷毀,數(shù)據(jù)刪除不可替代數(shù)據(jù)銷毀。涉及個(gè)人信息刪除權(quán)利時(shí),適應(yīng)于數(shù)據(jù)刪除;從數(shù)據(jù)安全的角度來(lái)講,適應(yīng)于數(shù)據(jù)銷毀。專門針對(duì)個(gè)人信息處理而制定的相關(guān)標(biāo)準(zhǔn),數(shù)據(jù)刪除具有適應(yīng)性;如制定通用的數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)(適應(yīng)范圍包含非個(gè)人信息和個(gè)人信息),數(shù)據(jù)銷毀具有適應(yīng)性。GB/T 35273-2020《個(gè)人信息安全規(guī)范》中對(duì)個(gè)人信息刪除的處理做了約定;工信部發(fā)出的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(征求意見(jiàn)稿)是數(shù)據(jù)安全法規(guī)層面首次明確了數(shù)據(jù)銷毀,可供各方參考。