《隱私計(jì)算 刪除控制技術(shù)要求（征求意見稿）》編制說明

近年來，全球數(shù)據(jù)留存濫用事件頻發(fā)，涉及面廣，影響力大，不僅用戶隱私遭到泄露，也讓相關(guān)企業(yè)也因此陷入數(shù)據(jù)保護(hù)合規(guī)與社會(huì)輿情壓力的雙重危機(jī)。隱私保護(hù)因此成為全球網(wǎng)絡(luò)安全議程中的一個(gè)核心議題，其重要性關(guān)系到個(gè)人隱私、企業(yè)責(zé)任乃至國(guó)家安全的穩(wěn)定。2016年由十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中首次為個(gè)人賦予了明確的刪除權(quán)。2021年《中華人民共和國(guó)個(gè)人信息保護(hù)法》的頒布，進(jìn)一步明確規(guī)定了個(gè)人信息處理者刪除個(gè)人信息的情形。這一系列法律法規(guī)的頒布，不僅對(duì)個(gè)人信息刪除技術(shù)的應(yīng)用提出了明確要求，也強(qiáng)調(diào)了在選擇刪除方法時(shí)必須充分考慮個(gè)人的需求。因此，面對(duì)日益嚴(yán)峻的全球數(shù)據(jù)濫用和隱私泄露問題，以及不斷完善且日趨嚴(yán)格的隱私保護(hù)法律法規(guī)，企業(yè)和組織急需采取更積極的措施來加強(qiáng)個(gè)人信息的安全管理和刪除控制。這不僅是法律合規(guī)的必要條件，也是建立公眾信任、保護(hù)用戶隱私和維護(hù)企業(yè)聲譽(yù)的關(guān)鍵。在這一過程中，刪除控制技術(shù)要求發(fā)揮著至關(guān)重要的作用：1、在數(shù)字時(shí)代，亟需可以衡量個(gè)人信息刪除控制技術(shù)成熟度的工具和方法。2、國(guó)際上普遍缺少一個(gè)全面的個(gè)人信息刪除控制技術(shù)框架，難以全面把握和指導(dǎo)個(gè)人信息安全刪除的實(shí)踐和方向。3、各國(guó)缺乏具體、有效的實(shí)踐措施來縮小現(xiàn)有個(gè)人信息刪除技術(shù)與期望目標(biāo)之間的差距。4、主管部門在理解和應(yīng)用個(gè)人信息刪除控制技術(shù)方面，缺乏成熟的指導(dǎo)和支持，影響了有效的決策和執(zhí)行。二、任務(wù)來源國(guó)際上，關(guān)注數(shù)據(jù)安全和隱私保護(hù)的趨勢(shì)自20世紀(jì)70年代中期開始興起，隨后在80年代迅速發(fā)展，到了90年代后期，數(shù)據(jù)安全和隱私保護(hù)成為世界各國(guó)普遍關(guān)注的重點(diǎn)。隨著信息技術(shù)的不斷進(jìn)步和數(shù)據(jù)泄露事件的頻繁發(fā)生，安全刪除作為保護(hù)個(gè)人隱私和企業(yè)敏感數(shù)據(jù)的關(guān)鍵技術(shù)，其重要性愈發(fā)凸顯。少數(shù)歐美國(guó)家和國(guó)際組織相繼提出了各自的安全刪除標(biāo)準(zhǔn)和指導(dǎo)原則，以確保數(shù)據(jù)被徹底、安全地刪除，防止未經(jīng)授權(quán)的訪問和使用。針對(duì)刪除控制技術(shù)的要求不僅反映了當(dāng)前隱私保護(hù)的緊迫需求和技術(shù)挑戰(zhàn)，也是對(duì)過往個(gè)人信息刪除定義準(zhǔn)確性和刪除處理措施有效性的一次全面審視。通過明確刪除控制的技術(shù)要求，可以規(guī)范個(gè)人信息處理者的行為，確保個(gè)人信息的安全刪除，保障個(gè)人信息主體的刪除權(quán)和被遺忘權(quán)。同時(shí)，降低個(gè)人信息被泄露、非法使用的風(fēng)險(xiǎn)，確保個(gè)人信息在刪除過程中的安全性和合規(guī)性。盡管國(guó)內(nèi)外在刪除控制技術(shù)方面積累了一定的經(jīng)驗(yàn)，但面臨的諸多實(shí)踐挑戰(zhàn)如維度不全、體系化程度不高等問題仍然突出，亟需制定統(tǒng)一的標(biāo)準(zhǔn)來指導(dǎo)技術(shù)實(shí)施，支撐個(gè)人信息主體的刪除權(quán)和被遺忘權(quán)。制定刪除控制技術(shù)要求的標(biāo)準(zhǔn)將有助于為刪除操作提供明確的操作指南和技術(shù)規(guī)范，促進(jìn)數(shù)據(jù)刪除處理活動(dòng)的安全性和透明度；同時(shí)，通過提供一套一致可靠的刪除控制流程，也有助于確立一個(gè)全面的信息保護(hù)框架，確保數(shù)據(jù)刪除處理中的合規(guī)性，進(jìn)一步提升隱私保護(hù)能力。三、編制過程單位對(duì)前期的研究工作進(jìn)行了匯報(bào)。確定了標(biāo)準(zhǔn)的研究思路和分工。3）2023年5月25日，召開立項(xiàng)評(píng)審會(huì)，邀請(qǐng)專家對(duì)草案給出建議。了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并根據(jù)專家提出的建議進(jìn)行修改，形成第二版草案。5）2023年8月20日，邀請(qǐng)專家對(duì)第二版草案給出建了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并根據(jù)專家提出的建議針對(duì)草案部分內(nèi)容進(jìn)行了細(xì)節(jié)的修改與調(diào)整，形成第三版草案。8）2023年12月5日，根據(jù)專家建議，對(duì)草案繼續(xù)完善和修改。9）2024年6月28日，召開專家評(píng)審會(huì)，邀請(qǐng)專家對(duì)修改后的版本進(jìn)行評(píng)審。10）2024年8月，形成征求意見稿。四、主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)規(guī)范了刪除控制技術(shù)及實(shí)施要求。詳情如下：1、刪除控制技術(shù)要求：是對(duì)個(gè)人信息主體、個(gè)人信息控制者、個(gè)人信息處理者在刪除觸發(fā)、刪除通知與確認(rèn)、刪除延伸控制、刪除方式、刪除存證等方面應(yīng)遵循的技術(shù)要求。2、刪除控制技術(shù)的實(shí)施要求：是在刪除控制技術(shù)要求的基礎(chǔ)之上，進(jìn)一步對(duì)個(gè)人信息主體、個(gè)人信息控制者、個(gè)人信息處理者在實(shí)施按需刪除、自動(dòng)刪除過程中應(yīng)遵循的流程要求。其中，按需刪除和自動(dòng)刪除的基本過程與傳遞內(nèi)容包括：刪除意圖的設(shè)置，刪除觸發(fā)條件的生成，刪除通知的生成、發(fā)送、轉(zhuǎn)發(fā)和確認(rèn)，刪除操作，刪除后反饋確認(rèn)等。本標(biāo)準(zhǔn)適用于規(guī)范個(gè)人信息處理者的個(gè)人信息刪除處理的控制技術(shù)要求，也可為監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)對(duì)個(gè)人信息刪除處理進(jìn)行監(jiān)督、管理、評(píng)估提供參考。在實(shí)際應(yīng)用中，可根據(jù)刪除等級(jí)選擇不同的刪除方式,以及針對(duì)不同的刪除需求選擇不同的刪除觸發(fā)方式，以符合個(gè)人信息主體的刪除意圖和相關(guān)法律法規(guī)。本標(biāo)準(zhǔn)牽頭單位為中國(guó)科學(xué)院信息工程研究所，參加單位包括華中科技大學(xué)、西安電子科技大學(xué)、中央網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心、中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心、四川昊華銳恒科技有限公司、成都西電網(wǎng)絡(luò)安全研究院、普華永道商務(wù)咨詢(上海)有限公司、北京市計(jì)算中心有限公司等。五、與相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和GB/T25069-2022《信息安全技術(shù)術(shù)語(yǔ)》GB/T35273-2020《信息安全技術(shù)個(gè)人