“家里有好多旧手机、iPad,不敢扔,也不敢送人。删除了数据还能恢复,格式化也不安全,看来还是不要随便处理才对。”北京海淀区的李女士对中国消费者报记者说。
今年央视“3.15”晚会上,相关技术人员就“如何彻底清除手机数据”进行了测试,得出的结论是,被快速格式化的数据可以轻松恢复。他们发现,很多恢复出厂设置的手机仍然有文件,数据并没有真正被删除,可以通过一定的技术手段恢复。这再次引发了消费者对信息安全的担忧。
如今电脑、手机、iPad、U盘等电子产品的更新换代速度非常快,很多人家里都有一堆旧设备。虽然二手市场红火,但很多用户担心数据无法彻底删除,导致个人隐私泄露,宁愿把这些存货放在家里积灰。
废弃电子产品中的照片、文件等数据存在泄露隐患,一直是用户的痛点。如何才能彻底删除手机内的数据?电子产品厂商又该履行怎样的通知或提醒义务?中国消费者报记者进行了深入采访,为您一一解答这些问题。
问题1:为什么删除的数据可以恢复?
“一键删除、快速格式化、取消设备默认的‘格式化SD卡和手机存储’选项等常见操作都无法彻底删除数据。”360手机安全专家葛建告诉记者。
北京汉华飞天新安科技有限公司总经理彭根告诉记者:“以手机相册中的照片为例,每张照片中都会包含一些不可见的备份、缩略图等信息。在删除相册和回收站中的照片时,备份和缩略图并不会同步删除,它们的清晰度完全正常,这为数据恢复提供了契机。”
彭根表示,删除并清空回收站后,U盘中的照片、Word、Excel、PDF等常用文件类型,技术人员利用专门的软件,依然可以快速恢复。这是因为操作系统为了快速响应删除动作,尽量减少对硬盘的物理操作,延长硬盘使用寿命,只删除“文件目录”内的文件,并没有清除实际的文件体,利用这些文件体,就可以恢复被删除的文件。
彭根补充道,比如快速格式化U盘,其实并不会清除整个U盘上的数据,而只是重新格式化所有文件的“目录”,而文件主体仍然保留在U盘的其他位置。
问题二:法律意义上的“删除”如何定义?
“手机、电脑里真正隐私的东西其实很少,大部分都是公开或者半公开的内容。”独立电信分析师付亮对中国消费者报记者表示,很多信息的安全性是有时间限制的。比如微信、支付宝密码如果几天没用过,或者在别的设备登录过,在原设备上再次登录时,通常需要更高级别的安全确认,比如人脸识别、手机验证码等。手机号注销后,电信运营商一般要6个月才能重新投放市场。这也是为了最大程度地终止信息的延续,降低隐私泄露带来的危害。
专业人士认为,对于手机、iPad、U盘等数据而言,法定的“删除”并不意味着数据消失,但足以保护个人隐私信息。
“《个人信息保护法》中,没有删除数据的概念。”TalkingData法务总监、数据合规官葛梦颖对记者表示。 “国家标准GB/T35273-2020《信息安全技术个人信息安全规范》中的‘删除’是指将个人信息从执行日常业务功能所涉及的系统中移除,使其处于无法访问、不可访问的状态的行为。因此,我们可以根据无法访问、不可访问的标准来判断数据是否被‘删除’,也就是不一定是真正意义上的物理删除。《个人信息保护法》对匿名化的定义是‘将个人信息处理成无法识别特定自然人且无法复原的过程’。比如个人信息被匿名化,使得数据处于无法检索、访问、无法复原的状态,也就是这部分数据是无法识别的,即使与任何其他数据结合,也无法看出它是什么数据,这就可以定义为‘已删除’状态。”
问题3:如何确保所有数据都被删除?
“一是彻底格式化”,葛建说,“彻底格式化就是把手机或者电脑设备上的存储内容全部删除、覆盖。”
葛梦英建议消费者对终端内的数据进行多次完全格式化,删除后再反复测试,检测是否真正被删除;对于存储在硬盘、文件服务器内的数据,应删除原始数据,还要注意日志文件是否具有数据恢复功能,防止原始数据被恢复。
葛建提醒,恢复出厂设置时,一定要区分设备型号,单独勾选删除所有应用、设置、数据和文件的选项,确保手机上的所有痕迹都被彻底删除。
使用专业的数据清理工具是彻底清除数据的另一种有效方法。这些工具可以确保删除的数据无法通过多次写入、覆盖和擦除数据的方式恢复。“为了确保隐私数据被彻底删除,可以使用专业、安全、隐私的数据删除工具应用。这样,在删除短信、管理相册、清理聊天垃圾的同时,保证数据安全和彻底清理,保证系统使用顺畅。”葛建说。
“还有一种方式就是彻底销毁存储介质。”彭根说,处理硬盘、U盘、SD卡等最好的方式是通过物理破坏的方式彻底销毁。比如用磁铁、刀具等工具彻底销毁。销毁前最好用数据清理工具彻底抹掉里面的数据,确保无法恢复。
问题四:如何安全处理旧设备?
“由于手机可能会丢失,电脑也可能会突然坏掉需要维修,所以我们要避免把隐私信息长期存放在手机、电脑里。”付亮说,比如身份证照片在手机、聊天记录里用完后要立即删除。还可以把隐私信息放在手机或电脑上专门的隐私区域,在手机或电脑上安装第三方软件对信息进行保护,甚至进行物理隔离。
彭根表示,使用电子产品时,要注意保护个人隐私和信息安全,避免泄露个人敏感信息,如密码、银行卡号等。注意使用强密码,并经常更换。不要在公共场所使用电子设备进行敏感操作,如网银、支付宝等。同时,不要下载来源不明的应用程序,不要随意连接公共无线网络。“对于一些重要的个人数据,还可以使用加密来保护其安全。”彭根说,“加密可以将数据转换成无法理解的形式,这样即使数据被窃取,攻击者也无法读取内容。”
葛建称,除了处置前清除旧手机上的数据外,手机内的应用账号要及时解除绑定,更新到新手机上登录绑定;手机账号内的数据要及时删除,避免同步造成泄露;并找到正规的回收厂商对设备进行回收。
问题五:生产企业应履行哪些义务?
设备制造商和应用服务提供商也必须承担相应的安全责任。付亮认为,在“手机恢复出厂设置”选项中,设备制造商应在显著位置提醒用户选择是否删除存储内容;“电脑硬盘格式化”至少应在操作系统中设置“快速格式化”选项。如果手机或电脑转让给第三方使用(尤其是卖到二手市场),“完全格式化”是不够的。“建议闲置几个月,或者将手机或电脑用于隐私要求不高的应用几个月。”他补充道。
葛梦英建议应用服务提供商为消费者提供更加突出的格式化选项,明确列出格式化方式,最好能通过弹窗等强提醒方式,让用户选择快速格式化还是全部格式化。
