记者 武晓莉
“家里有好多旧手机、旧ipad都不敢扔也不敢送人。删除的数据还能恢复,格式化也不保险,看样子不随便处置是对的。”北京海淀区的李女士对《中国消费者报》记者说。
(资料图片仅供参考)
今年央视“3·15”晚会上,相关技术人员针对“如何彻底清除手机数据”进行了测试,得出被快速格式化的数据能轻易恢复的结论,发现许多已经恢复出厂设置的手机里,文件仍然存在,数据并未被真正删除,通过一定的技术手段就能恢复。这再次引发了消费者对信息安全的担忧。
如今,电脑、手机、iPad、U盘等电子产品迭代速度很快,不少人家里都留有一堆旧设备。虽然二手市场火爆,但很多用户害怕数据删不干净导致个人隐私泄露,宁愿把这些存货放在家里落灰。
被淘汰电子产品中的照片、文件等数据泄露隐患,是一直困扰用户的痛点。如何操作,才能彻底删除手机里的数据?电子产品厂商又应尽到何种告知或提醒义务?《中国消费者报》记者对此进行了深入采访,为您一一解答这些问题。
一问:删除的数据为何能被恢复?
“常用的一键删除、快速格式化和设备默认不勾选‘格式化SD卡和手机存储’等操作,都不能完全将数据删除。”360手机安全专家葛健对记者说。
北京汉华飞天信安科技有限公司总经理彭根告诉记者:“以手机相册照片为例,每张照片都会包含一些表面看不见的备份、缩略图等信息。当删除相册和回收站中的照片时,备份和缩略图并没有被同步删除掉,其清晰程度完全能够正常观看,这就给数据恢复提供了机会。”
彭根说,U盘中经常会用到的文件类型照片、Word、Excel、PDF等,删除并清空回收站后,通过专用软件技术人员还是能快速恢复。这是因为操作系统为了快速响应删除动作并尽量少地对硬盘进行物理操作、延长硬盘使用寿命,只是在“文件目录”中进行了删除,真正的文件本体并没有被清除掉。利用这些文件本体,删除的文件就会被恢复。
彭根补充说,例如快速格式化U盘,其实并没有真正对整个U盘的数据进行清空,只是重新对所有文件的“目录”进行了格式化,文件的本体都还保留在U盘的其他地方。
二问:法定意义上的“删除”如何界定?
“手机、电脑中真正的隐私其实很少,绝大部分是公开、半公开的内容。”独立电信分析师付亮在接受《中国消费者报》记者时表示,很多信息的安全是有时效的。例如微信、支付宝密码,如果几天不用,或已经在另一个设备上登录,再次在原设备登录时,通常会需要更高级别的安全确认,如人脸识别、手机验证码等。一个手机号注销后,电信运营商通常要6个月才会再次投入市场,这也是为了最大程度地终止信息的延续,减少隐私泄露带来的危害。
在专业人士看来,对于手机、iPad、U盘内的数据来说,法定的“删除”定义,其内涵并非数据的消失,而是足以对个人隐私信息形成保护。
“《个人信息保护法》中并没有删除数据的概念。”TalkingData法务总监兼数据合规官葛梦莹对记者说,“国家标准GB/T35273—2020《信息安全技术 个人信息安全规范》中的‘删除’,是指在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。因此,可以按照不可被检索和不可被访问的这个标准,去判断数据是否被‘删除’了,也就是说,不一定是真正的物理删除。《个人信息保护法》对匿名化的界定是指‘个人信息经过处理无法识别特定自然人且不能复原的过程’。例如,对个人信息采取数据匿名化处理,以使数据处于不可以被检索或访问、不可以被还原的状态,也就是这部分数据不具有可识别性,即使结合其他任何数据也不能看出它是什么数据,这便可被界定为是一种‘删除’状态。”
三问:如何保证所有数据被删除?
“一个是完全格式化。”葛健说,“完全格式化就是将手机或电脑设备的存储内容全部删除、覆盖。”
葛梦莹则建议消费者对终端中的数据进行多次的完全格式化处理,并在删除后进行反复的测试以检测是否真正删除;对于存储在硬盘、文件服务器中的数据,应确保原始数据的删除,同时还需要注意带有数据恢复功能的日志文件,以避免原始数据还能被恢复。
葛健提醒说,恢复出厂设置时,需要区分设备机型,需要单独勾选删除所有的应用程序、设置、数据和文件选项,以确保手机上的所有痕迹都被彻底删除。
使用专业的数据清除工具是彻底清除数据的另一种有效方式。这些工具可以通过多次写入、覆盖和擦除数据的方式,确保被删除的数据无法被恢复。“为了保证隐私数据的删除彻底,可以使用专业、安全、具备删除隐私数据功能的工具类应用。这样,在删除短信、管理图片相册和清理聊天垃圾,保证系统流畅使用的同时,还能保证数据安全、清理彻底。”葛健说。
“还有一种方式,就是彻底销毁存储介质。”彭根说,如硬盘、U盘、SD卡等,最好的处理方式是使用物理破坏的方式彻底销毁。如使用磁铁、切割器等工具将其彻底摧毁,在销毁之前,最好使用数据清除工具将其中的数据彻底擦除,确保无法被恢复。
四问:怎样处置旧设备才安全?
“由于手机会丢、电脑可能突然坏掉要找人修,因此,平时就应避免隐私信息长期存储在手机、电脑中。”付亮说,例如身份证照片,在手机中和聊天记录中都应该用完后立刻删除,也可以将隐私信息放到手机或电脑专门的隐私区中,还可以在手机或电脑上安装第三方软件实现信息保护,甚至物理隔离。
彭根说,在使用电子产品的过程中,应注意保护个人隐私和信息安全,避免泄露个人敏感信息,如密码、银行卡号等。要注意使用强密码,并经常更换,不要在公共场合使用电子设备进行敏感操作,如进行网上银行、支付宝等操作。同时,不要下载不明来源的应用程序,不要随意连接公共无线网络等。“对于一些重要的个人数据,还可以采用加密的方式护其安全。”彭根说,“加密可以将数据转化为一种无法被理解的形式,这样,即使数据被盗取,攻击者也无法读取其中的内容。”
葛健说,除了旧手机要在处理前进行数据清除外,手机中的应用账号要及时解绑并更新到新的手机中登录绑定;要及时将手机账户中的数据进行删除,避免被同步导致泄露;找正规回收厂家进行设备回收。
五问:厂商应尽到何种义务?
设备厂商和应用服务商等也要担负起相应的安全责任。付亮认为,设备厂商在“手机恢复出厂设置”选项中,应在显著位置提醒用户作出已存储内容是否删除的选择;“电脑硬盘格式化”至少应在操作系统中设置“快速格式化”选项。如果将手机或电脑转给第三人使用(尤其是卖到二手市场),“完全格式化”其实也不够。“建议先闲置几个月,或将手机或电脑用于对隐私要求不高的应用使用几个月。”他补充道。
葛梦莹建议应用服务商为消费者提供更显著的格式化选项,清晰列明格式化的形式,最好是采取弹窗等强提醒的形式,请用户自行勾选快速格式化还是完全格式化。