专栏名称: 合规社

数据安全与隐私保护新知分享平台

数据删除和数据销毁的监管要求｜详细步骤+案例

合规社 · 公众号 · · 2024-07-10 10:27

正文

探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

■ 全文：8332字阅读时间约为28分钟

■ 作者：Smart

■ 编辑：郑烨

探索数据安全要塞，守护数字世界。

——《数据守望》专栏

No.027

数据删除和数据销毁的监管要求

▽

本文纲要

一、数据删除和数据销毁的区别

二、数据删除的监管要求

三、数据存储典型形态

四、三个视角分析数据流转场景

五、数据删除的义务豁免

六、数据删除的触发条件有哪些？

七、数据删除的标准流程

八、数据删除的方法

九、两个数据删除的实践

十、五类特殊场景数据删除及注意事项

上一篇日志留存和数据保留的监管要求 | 附表格，有位朋友反馈关于核心数据和重要数据处理的日志留存时间更长，查询相关资料后，进行补充更新，如下：

（1）《自然资源领域数据安全管理办法》中第二十三条，提出一般日志留存不少于六个月，涉及重要数据的安全事件溯源等使用不少于一年，向他人提供、委托处理等情形不少于三年，涉及核心数据的不少于三年。

图1：自然资源领域的日志要求

（2）《银行保险机构数据安全管理办法（公开征求意见稿）》和《会计师事务所数据安全管理暂行办法）》与上述要求类似。

简要总结：一般数据的日志留存六个月是底线要求；涉及重要数据处理记录通常不少于一年，向他人提供、委托处理的不少于三年；涉及核心数据的处理日志留存不少于三年。不同行业有特定要求遵守行业要求，在数据合规管理时需识别企业涉及行业的日志保留具体要求。

与“日志留存和数据保留”相对应的是“数据删除和数据销毁”，数据到期后应及时删除，但对于如何安全、有效的删除数据存在较大的分歧。数据可以流转到任何地方，存储于多个环节，导致数据删除难度极大，本文详细分析“数据删除和数据销毁”的概念、监管要求、方法、典型场景，并结合实践案例阐述，希望对大家有帮助。

数据删除（Data Deletion）

是指通过软件操作将存储在计算机、数据库或云存储等介质中的特定数据项、记录、文件或整个数据集移除的过程。这种方法通常成为“逻辑删除”。这些数据在被删除后仍然可能以某种形式存在，比如存储在回收站、备份系统或磁盘的未覆盖区域中。

数据删除的主要目的是去除不再需要的数据，以减少存储空间的使用，同时降低数据泄露的风险。数据逻辑删除不一定彻底，数据可能通过技术手段（如数据恢复软件、日志重组等）被恢复。

数据销毁（Data Destruction）

是指通过物理或逻辑手段，将存储在计算机、硬盘、移动设备或其他存储介质上的数据彻底删除，并确保这些数据无法被任何技术手段恢复的过程。

数据销毁通常包括物理销毁和物理删除。物理销毁是指涉及对存储介质的物理破坏，如硬盘捣碎、剪碎、焚毁、钻孔或熔化等。这些方法直接破坏存储介质的物理结构，使数据无法被读取或恢复。物理删除是指通过软件工具对存储介质上的数据进行多次覆写、多次格式化、消磁或加密擦除等操作，使数据在逻辑上无法被恢复。

数据销毁的主要目的是保护个人隐私、商业机密和敏感信息不被泄露，降低数据泄露带来的风险，同时遵守相关法律法规和行业标准对数据处理的要求。

相关区别见下表：

图2：数据删除和数据销毁对比图

个人理解：在实际工作中遇到的“数据删除”，除了包含“逻辑删除”的内容，应再叠加数据销毁中“物理删除（复写、加密擦除等）”的含义。而数据销毁中的物理销毁更多指存储介质销毁，强调数据彻底清除且无法通过任何手段恢复，销毁的效果更彻底，但成本更高、效率偏低、落地实施难度大，很少企业能满足。在实践中提及数据删除时，应尽可能选择更可靠的数据删除方法，需要覆盖逻辑删除和物理删除。

关于数据删除方面的监管要求非常多，要求也比较明确，个人建议从三方面进行区分，如下：

一是网络安全等保测评中对于“剩余信息保护”要求；二是数据安全中对更广泛通用数据的删除要求；三是个人信息保护法中个人信息或敏感信息作为一类特殊的数据，明确了个人信息删除具体要求。

（1）网络安全：等保测评的“剩余信息保护”

《GB/T 22239-2019 网络安全等级保护基本要求》中对数据删除要求主要体现在“剩余信息保护”层面，并聚焦通用要求和云扩展要求。

通用要求指出：a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
云扩展要求指出：a) 应保证虚拟机所使用的内存和存储空间回收时得到完全清除；b) 云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。

图3：等保测评中的“剩余信息保护”

（2）数据安全：通用数据的数据删除要求

参照《数据安全风险评估方法（征求意见稿）》，在“数据安全管理”模块中，对“数据删除”独立成一个小节，内容包括数据删除管理和存储介质销毁，具体要求如下：

图4：数据安全中通用数据删除

●数据删除管理

针对数据删除管理情况，应重点评估如下方面：

a) 数据删除流程和审批机制的建设落实情况；

b) 数据删除安全策略和操作规程，是否明确数据销毁对象、原因、销毁方式和销毁要求及对应操作规程；

c) 是否按照法律法规、合同约定、隐私政策等及时删除数据；

d) 委托第三方进行数据处理的，是否在委托结束后监督第三方删除或返还数据；

e) 数据删除有效性、彻底性验证情况，以及可能存在的多副本同步删除情况；

f) 是否明确数据存储期限，并于存储期限到期后按期删除数据，明确不可删除数据的类型及原因；

g) 缓存数据、到期备份数据的删除情况。

简要总结：通用数据的删除工作，在管理层面应该制定配套的流程规范、策略要求，识别合同、隐私政策等方面数据删除要求；在落地实践上特别注意第三方合作到期、云上数据、备份数据等特殊场景，在技术上需要对的数据删除有效性和彻底性进行验证。

●存储介质销毁

针对存储介质销毁情况，应重点评估如下方面：

a) 存储介质销毁管理制度和审批机制的建设落实情况；

b) 介质销毁策略和操作规程，是否明确各类介质的销毁流程、方式和要求，是否妥善处置销毁的存储介质；

c) 存储介质销毁过程的监控、记录情况；

d) 软硬件资产维护、报废、销毁管理情况等；

e) 介质销毁措施有效性，是否对被销毁的存储介质进行数据恢复验证；

f) 是否按照数据分类分级，明确不同级别数据适当的删除措施，核心数据删除是否采用存储介质销毁方式。

简要总结：需要关注数据存储硬件安全处理，比如业务下线硬件再利用、硬件损坏更换处理等，如有必要采用物理措施进行彻底销毁。

（3）个人信息保护：特定数据的数据删除

个人信息作为一种特定的数据类型，个人信息删除作为个人的一种权利，在2021年颁布的《个人信息保护法》第四十七条，提出了个人信息处理者应当主动删除和被动删除（个人信息主体请求提出的删除），如遇技术上难以删除的，可以最小化进行存储，但不应再用于其他数据处理活动。理解上，个人信息删除更加贴近业务和用户诉求，详细要求见下图：

图5：《个人信息保护法》的数据删除

要想做好数据删除工作，必须先了解数据的存储形态，避免在数据删除过程覆盖不全，出现遗漏问题，个人整理了数据的主要形态，如下：

（1）业务流转过程的数据

开展业务过程中，数据会流经业务全链条上的所有信息系统和网络，这些环节可能包含的数据形态：数据库文件、业务应用日志、大数据平台、文件等，包括知晓密钥的加密文件。

（2）保障业务运行的日志

● 业务保障类日志，如：系统日志、安全网关、安全设备、大数据报表分析（用于数据分析的数据，比较容易忽视的数据）；

● 各类备份文件及测试数据，如：数据库的备份文件、各类日志的备份文件、灾备环境的数据、测试环境的数据、大数据平台的副本机制。

（3）人参与业务运营接触的文件

业务人员参与业务经营过程可能接触的各类业务数据，常见于我们办公场景，尤其是数据外发场景，这类数据容易被忽视，进行数据清理时需要重点关注。比如即时通讯软件发送的视频文件、压缩包、发送的word、excel等电子文件数据（分析报表、测试数据等）；通过打印机打印的纸质材料、合同文件等；通过邮箱发送的业务资料和数据。

结合业务实际使用场景，我们继续分析数据流转的环节，这些环节均存在数据留存可能。个人建议可从三个视角进行分析，一是从业务使用视角，围绕业务使用全链条可能经过的环节。二是从IT承载环境视角，业务所需要的IT基础设施和设备。三是从特定的衍生产场景视角，提出不能遗漏的环节。

（1）业务使用视角（业务环境）

业务使用过程中可以区分两类数据，一类是管理数据，用来管理和配置的数据，即管理流数据；另一类是业务过程中产生的业务数据，即业务流数据。以数据服务业务为例（虚构最大化的场景，方便演示），描述业务使用过程可能经过的节点。如下：

“1.数据提供方（所涉及的环境）或硬件终端（数据自主采集）--->2.网络环境（通过无线、有线等网络传输）--->3.数据存储环境（大数据平台、数据库、前置机器等）--->4.数据加工处理（大数据分析平台、应用程序）--->5.数据提供使用（隐私计算、数据服务平台等）---6.数据使用方（所涉及的整套数据处理活动所涉及的环境）---7.个人终端（如APP形式使用）

（2）IT承载环境视角

IT环境是数据的重要承载环境，例如企业自建机房、自建私有云、办公网络环境、企业开发测试环境、公有云环境、国家统一建设的云环境（如电子政务云、国资云、国家云等）。

不同环境的数据删除和介质销毁要求不同。

例如企业自建的私有云，云基础设施、云管平台的配置、虚拟资源的分配等，需要企业侧考虑。对于物理机房，企业需要根据托管IDC机房情形，确定责任归属（企业侧、IDC托管方），并明确物理硬件的管理和介质销毁策略，确保硬件维修过程中数据安全。

（3）衍生场景视角

业务运营中所衍生的数据承载环境容易被忽视，比如办公网络环境、企业的内部开发环境、测试环境，用于容灾的灾备环境、员工个人笔记本、开发终端等，都是可能承载数据的环境，涉及数据删除时需要同步考虑，避免出现遗漏。

在法律层面提出了特殊情况下数据删除的义务豁免，其中《个人信息保护法》第47 条的第二款也规定了个人信息删除的例外情形，即“法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”

关于数据豁免重点关注三方面：

●一是法律、行政法规规定的保存期限是一个非常明确的要求，通常会具体到法定的目的、情形、场景，甚至具体的时间周期。可参考上一篇“日志留存和数据保留”整理的文件。

●二是删除个人信息从技术上难以实现，是一种因客观条件所限的特殊情形。例如：存储相关个人信息的介质被彻底毁损，数据无法被访问和执行删除操作；因软硬件故障等，导致数据库无法登录访问，且因数据加密等导致数据即使被恢复也无法获得原始数据。

●三是在适用豁免条款情形下，处理者不得进行任何存储以外的处理行为。在此情形下的存储行为应作狭义理解，其中不包括个人信息拷贝及备份等处理行为。同时还需要对所存储的数据履行作为处理者的义务，即根据存储数据的体量及敏感程度，采取相应的安全保护措施，比如设置内部人员访问控制、数据加密、定期评估安全风险以及敏感信息单独存储等。

图6：数据豁免的三个关注点

简要总结：法律法规有明确数据存储要求的，参照要求执行，因特殊情况（介质损坏、软件故障等）无法进行数据删除的，豁免情形下只能进行数据存储动作，确保不存在其他的数据处理其他活动，需要采取严格的安全保护措施（访问控制、加密、单独存储等）。

数据删除中有数据处理者的主动删除和被动删除，其中被动删除是上级主管部门要求、个人数据主体者主动提出要求。本文整理一些数据删除的触发条件，供大家参考。

（1）主动删除场景：企业业务下线（业务不再经营、停止运营等）、业务容量缩减规模（服务器资源的缩小容量）、IT环境迁移（正式环境、测试环境的迁移）、合作方业务到期后删除、数据保留期间到期删除。

（2）被动删除场景：监管要求（如疫情结束后，健康码的删除）、个人主体主动提出（个人权利）、云上基础环境到期不再续费触发的资源删除。

图7：数据豁免的三个关注点

参照《“健康码”数据删除等后续处置措施实施指引》内容，更新数据删除的标准流程，包括六个主要步骤：

第一步：识别履行数据删除义务的主体
第二步：识别数据保留要求和豁免情形
第三步：识别需要删除的数据
第四步：识别数据存储的位置
第五步：实施数据删除
第六步：验证和确认数据删除

图8：数据删除的关键步骤

此外，以业务下线的必要动作中，附带数据删除的要求，例如：制定方案、收回权限、关闭数据授权接口、实施删除、确认删除。

数据删除应根据数据形态和存储方式不同，选择合适的数据删除方法：

（1）物理销毁

主要方法：

消磁（对磁性存储介质（如硬盘、磁带）进行强磁场处理，消除其存储的数据）、物理破坏（通过粉碎、磨削、捣碎或焚烧）等物理手段破坏存储介质、化学破坏（使用腐蚀性液体、如盐酸等）腐蚀存储介质的表面或内部，以破坏其上的数据。

适用场景：

业务过程中涉及的非电子化材料，如纸质合同、协议、保密文件、通知等文件；

移动硬盘、光盘、终端（PC机、手机等）、哑终端（打印机等）等；

机房的SSD、磁盘、设备报废等、硬件更换等；

（2）物理删除（逻辑）

主要方法：

系统层面的删除功能或命令（如Windows的“删除”命令、Linux的rm命令等）；

数据库层面的使用DROP TABLE命令删除整个表，包括删除表的结构和数据；TRUNCATE TABLE命令可以快速清空表中的所有数据，但保留表结构；包括delete等命令。

格式化处理、多次随机复写等方式。

专业的数据销毁软件。

适用场景：

存储在数据库服务器、文件服务器、日志服务器、磁盘阵列的数据，数据库归档日志、应用程序日志、大数据分析报表等数据删除；终端、存储介质等可能需要再次重复适用的介质，保障数据删除，介质可重复适用。

特别注意：对于云上存储的数据，在云上计算资源、存储资源释放前，应执行数据库删除、文件删除等命令，包括相关的缓存、快照、副本和备份，并向云服务商确认云上资源释放后资源是否会被社会面使用，是否存在被恢复的可能。

场景1：业务下线的数据删除

业务下线场景中会主动触发数据删除动作，在整体业务下线过程中需要同步制定数据删除的方案，下面从企业角度针对业务下线过程中，涉及数据删除的主要动作如下：

1) 发布业务下线通知。目的是通知业务相关方做好业务下线的预案及数据处理动作。

2) 制定业务下线方案，包括数据删除删除方案。删除方案中应明确如下基本要素：数据删除背景、删除要求、截止时间、豁免情形、相关数据情况分析（业务类数据、管理类数据、保障类数据等）、停用相关数据接口、删除账号权限、网络权限关闭、业务上下游各责任方梳理、上下游的数据删除子方案、相关删除责任人和执行实施人员、数据删除记录附件；

3) 数据删除方案论证，方案的申请、审批授权；

4) 开展数据删除实施。要求业务上下游，按照数据删除方案进行才做并留痕操作，相关操作参照模版进行记录。

5) 开展数据删除的抽查和验证。对上下游各方开展数据删除的抽查，确保数据删除，要求各方对删除情况提供盖章说明，并附录删除过程记录单和承诺书。

数据资源下线方案模版可参考如下：

图9：资源下线处理流程参考

图10：资源下线方案模版

场景2：数据业务到期后删除

数据业务合作到期后，要求下游进行数据到期删除操作。删除要求应参考“数据服务合作协议”“数据服务合作合同”等具体条款开展数据删除。由于数据删除工作执行难度和确认难度大，通常采取的方式，由数据删除方出具删除承诺说明书及配套的数据删除记录表单，盖章方式进行承诺。如涉及大规模数据，作为数据上游（数据提供方）有必要开展现场的监督检查和数据删除确认动作。

场景1：公有云服务到期后数据删除

公有云服务到期后，除了进行数据备份和迁移外，涉及云上数据删除工作需要进行明确。比如与公有云服务商签署的相关协议中，了解清楚数据删除的情形。在到期之前，客户需要主动进行业务侧的数据清理动作，通常云上数据每个客户拥有独自密钥，有时销毁密钥即满足数据删除要求。

图11：阿里公有云安全责任模型

场景2：物理硬件更换场景（私有云）

很多企业开始建设私有机房或在IDC托管机房，从资源归属上，机房的各类设备设施权属于客户，当涉及设备故障、磁盘损坏时，需要进行硬件更换，对于故障硬件的处理需要重点考虑，比如要求故障硬件不被设备维修商带走，进行集中销毁，这可能会带来更多的费用。尤其涉及IDC机房托管的场景。

场景3：离线备份数据的安全隐患

对于数据的存储通常要求满足异地备份，而异地备份成本和实施难度大。为解决这个问题，很多企业采取的做法是将数据库的备份定期从生产环境导出，并通过网络下载到企业的本地移动硬盘，并保存在特定的储物柜。

这种做法有几个风险点，数据从生产环境转移出来、移动硬盘的访问控制增加风险隐患，上述存储的数据容易被忽略。因此不建议用此方法进行离线备份，如果一定要操作，建议增加补充措施加强管控，如下：

（1）数据从生产环境下载到本地前，进行数据加密；数据定期备份和下载过程，记录相关操作日志。

（2）用于保存离线数据的移动硬盘具备全盘加密的功能，即使拿到硬盘也无法读取数据；

（3）管理上，加强移动硬盘介质的访问控制与审计；

（4）离线备份目的是为了特殊情况下数据恢复，需要将离线数据开展数据备份恢复测试。

场景4：临时数据尽量采用系统自动化处理

在日常工作中，涉及临时数据的处理非常关键。例如测试数据、报表数据、中间结果数据等，这些数据的删除也需要考虑。以API接口的数据服务业务，为了验证数据接口的质量，需要进行敏感数据的批量测试处理。原则上，涉及临时尽量减少人员参与接触（邮箱、文件传输等），尽量通过系统、脚本命令方式进行数据自动删除，并定期检查和审计方式确认临时数据删除。

场景5：硬件终端的数据删除

很多业务会涉及智能操作系统的硬件、物联网终端等场景，终端层面可能留存数据和业务日志信息，需要考虑数据删除事项。比如对终端进行出厂设置、特殊情况的物理硬件销毁。

此外，涉及大量物理终端时，终端设备商配置终端服务管理平台，对终端进行统一的软件版本管理和终端管控，管理平台上的数据也非常容易忽视的一个环节。

本文对数据删除和数据销毁进行整体分析，梳理相关监管要求，结合实际场景提出数据删除方法、触发条件、特殊场景及重点注意事项。通过对业务全流程环节梳理，分析数据的存储形态及可能留存的环节，避免数据删除中出现遗漏情形，最后对结合业务资源下线案例给出一些可操作的模版参考。