当用户出售旧智能手表、更换车载终端或报废医疗监测设备时,如何确保其中的个人健康记录、位置信息或账户凭证不被他人恢复?这一问题正是 EN 18031 标准关注的重点之一。自2025年8月1日起强制实施的EN 18031明确规定:所有涉及用户数据的无线设备必须提供安全删除(Secure Erasure)机制,以防止数据残留引发隐私泄露风险。
根据ETSI EN 18031-1:2024第6.4条:“设备应支持在用户请求或生命周期结束时,彻底且不可逆地删除存储的个人数据。”
一、EN 18031对安全删除的核心要求
EN 18031从触发条件、技术实现和验证机制三个维度定义了安全删除功能:
1. 触发场景
| 场景类型 | 要求说明 |
|---|---|
| 用户主动重置 | 设备需提供“恢复出厂设置”选项,并明确提示将删除所有用户数据 |
| 远程擦除指令 | 支持通过云平台或移动APP发送安全擦除命令(如设备丢失时) |
| 生命周期终止 | 设备停产后,制造商应提供软件工具或固件更新以执行最终数据清除 |
2. 技术实现标准
- 不可恢复性:数据必须通过覆盖写入(如DoD 5220.22-M标准)或加密密钥销毁(Crypto-shredding)方式清除,禁止仅删除文件索引。
- 覆盖范围:包括主存储、缓存、日志、备份分区及安全元件(SE)中存储的敏感信息。
- 执行验证:系统应在删除完成后返回成功状态,并可选生成操作日志(用于审计)。
3. 用户交互要求
- 删除前需二次确认(防止误操作)
- 提供多语言操作指引(符合欧盟多语种要求)
- 对儿童设备(EN 18031-2),家长应拥有远程擦除权限
二、安全删除 vs 普通“恢复出厂设置”
许多厂商误以为“恢复出厂设置”即满足合规,但EN 18031明确区分了二者:
| 功能对比 | 普通恢复出厂设置 | EN 18031 安全删除 |
|---|---|---|
| 数据处理方式 | 仅删除文件系统指针,数据仍可恢复 | 物理覆盖或密钥销毁,数据不可恢复 |
| 覆盖范围 | 通常仅用户分区 | 包括缓存、日志、安全芯片等所有存储介质 |
| 合规效力 | 不满足EN 18031要求 | 满足RED指令第3(3)(e)款(隐私保护) |
| 验证机制 | 无 | 需提供操作反馈或日志记录 |
实测案例:某智能音箱在“恢复出厂”后,通过专业工具仍恢复出用户语音记录,导致产品被欧盟市场下架。
三、实现安全删除的技术路径
根据设备资源能力,制造商可选择以下任一或组合方案:
1. 加密密钥销毁(推荐)
- 所有用户数据在存储前均使用唯一密钥加密
- 安全删除 = 删除该密钥 → 数据立即不可读
- 优势:速度快、低功耗,适用于资源受限IoT设备
2. 多次覆盖写入
- 按照NIST SP 800-88 Rev.1标准,对存储区域进行1–3次随机数据覆盖
- 适用于未加密的存储介质(如部分eMMC)
- 注意:SSD/NAND闪存因磨损均衡机制,需依赖TRIM+ATA Secure Erase指令
3. 硬件级擦除
- 利用安全元件(SE)或TPM芯片内置的擦除指令
- 常用于支付终端、车载T-Box等高安全等级设备
四、与GDPR及行业标准的协同
EN 18031的安全删除要求并非孤立存在,而是与欧盟多项法规形成合力:
| 法规/标准 | 关联条款 | 协同要点 |
|---|---|---|
| GDPR 第17条(被遗忘权) | 用户有权要求删除其个人数据 | 安全删除是履行“被遗忘权”的技术基础 |
| NIST SP 800-88 Rev.1 | 清理、清除、销毁三级数据处置 | EN 18031采纳其“清除(Clear)”级别要求 |
| ISO/IEC 27001 A.8.3.2 | 介质处置安全 | 要求对退役设备执行安全数据擦除 |
欧盟数据保护委员会(EDPB)指出:“设备制造商有责任确保用户数据在生命周期结束时被有效清除,否则将被视为违反GDPR。”
总结
EN 18031明确要求无线设备必须支持真正意义上的安全删除功能,而非简单的系统重置。这不仅是满足RED指令网络安全条款的技术义务,更是履行GDPR数据保护责任的关键环节。制造商应在产品设计初期就集成加密存储与密钥销毁机制,并通过用户友好的交互设计确保功能可被有效使用,从而避免因数据残留导致的合规风险与品牌声誉损失。
如需专业EN 18031合规支持,欢迎联系我们,我们将为您提供一站式网络安全认证与检测服务。