T/CSAC 010-2024 隐私计算 删除方法和删除效果评估技术要求

ICS 35.030
CCS L 80
中华人民共和国团体标准
T/CSAC 010—2024
隐私计算删除方法和删除效果评估技术要求
Privacy computing: Methodology and assessment technical requirements foreffectiveness of deletion
2024 -12-18 发布2024 -12-18 实施
中国网络空间安全协会 发布

目 次
前言................................................................................ III
1 范围................................................................................ 1
2 规范性引用文件...................................................................... 1
3 术语和定义.......................................................................... 1
4 概述................................................................................ 3
4.1 删除方法和删除效果评估的目的.................................................... 3
4.2 删除方法和删除效果评估的基本原则................................................ 3
4.3 评估相关流程要求................................................................ 3
5 删除方法的评估技术要求.............................................................. 4
5.1 删除方法分类.................................................................... 4
5.2 删除方法的评估指标体系.......................................................... 6
5.3 成本开销评估.................................................................... 6
5.4 不可恢复性评估.................................................................. 6
5.5 等效性评估...................................................................... 6
6 删除效果评估的技术要求.............................................................. 7
6.1 删除效果评估的指标体系.......................................................... 7
6.2 日志内容要求.................................................................... 7
6.3 删除通知与确认完备性评估........................................................ 8
6.4 删除触发正确性评估.............................................................. 8
6.5 删除操作正确性评估.............................................................. 8
6.6 不可恢复性评估.................................................................. 8
6.7 副本删除完备性评估.............................................................. 8
6.8 删除一致性评估.................................................................. 9
附录A （资料性） 删除方法清单........................................................10
A.1 物理破坏删除方法............................................................... 10
A.2 化学破坏删除方法............................................................... 10
A.3 消磁删除方法................................................................... 11
A.4 磁盘格式化方法................................................................. 11
A.5 命令删除方法................................................................... 11
A.6 数据重写删除方法............................................................... 11
A.7 逻辑删除方法................................................................... 12
A.8 密文删除方法................................................................... 12
A.9 分片数据删除方法............................................................... 12
附录B （资料性） 数据恢复工具清单....................................................13
B.1 数据恢复软件................................................................... 13
B.2 原子级成像显微镜............................................................... 15
附录C （资料性） 删除等级示例........................................................17
T/CSAC 010—2024
II
C.1 基于可恢复数据的百分比和熵占比的删除等级示例................................... 17
C.2 不同删除方法对应的删除等级示例................................................. 17
附录D （资料性） 删除方法和删除效果评估的评估报告要求................................18
D.1 形成评估报告的目的............................................................. 18
D.2 评估报告的基本要求............................................................. 18
D.3 删除方法的评估报告内容......................................................... 18
D.4 删除效果的评估报告内容......................................................... 18
参考文献............................................................................. 19
T/CSAC 010—2024
III
前 言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国网络空间安全协会提出并归口。
本文件起草单位：中国科学院信息工程研究所、华中科技大学、西安电子科技大学、中央网信办数
据与技术保障中心、中国电子技术标准化研究院、中国网络安全审查认证和市场监管大数据中心、上海
交通大学、海南大学、四川昊华锐恒科技有限公司、成都西电网络安全研究院、普华永道商务咨询(上
海)有限公司、航天信息股份有限公司、中移(杭州)信息技术有限公司。
本文件主要起草人：李凤华、徐鹏、张玲翠、李晖、牛犇、宋祁朋、刁毅刚、周晨炜、于大东、崔
琦、何媛媛、庹鑫、徐倩华、邱卫东、曹春杰、王宇翔、崔艳鹏、马驰、金洪亮、唐鹏、陈威。

T/CSAC 010—2024
1
隐私计算删除方法和删除效果评估技术要求
1 范围
本文件描述了删除方法和删除效果评估的目的、基本原则、评估相关流程要求，给出了评估不同删
除方法的技术要求和评估个人信息删除效果的技术要求，包含删除方法分类、删除方法的评估指标体系、
成本开销评估、不可恢复性评估、等效性评估等技术要求，以及删除效果评估的指标体系、日志内容要
求、删除通知与确认完备性评估、删除触发正确性评估、删除操作正确性评估、不可恢复性评估、副本
删除完备性评估、删除一致性评估等技术要求。
本文件适用于规范各类组织的个人信息删除处理活动，也适用于互联网、通信、金融、医疗、物流、
交通、教育、文旅和公共服务等领域的机构为主体的个人信息处理者，以及个人信息保护产品提供商、
产品评测机构、个人信息保护合规审计评估机构、审查认证机构等组织对个人信息删除处理活动进行监
督、管理和评估。
1 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 25069-2022 信息安全技术术语
GB/T 35273-2020 信息安全技术个人信息安全规范
GB/T 44588-2024 数据安全技术互联网平台及产品服务个人信息处理规则
GB/T 31500-2024 网络安全技术存储介质数据恢复服务安全规范
T/CSAC 005—2024 隐私计算总体框架
T/CSAC 009—2024 隐私计算删除控制技术要求
2 术语和定义
GB/T 25069-2022和GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
2.1
个人信息personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然
人活动情况的各种信息，包含个人信息本身及其衍生信息,不包括匿名化处理后的信息。
[来源：GB/T 44588—2024,3.3,有修改]
2.2
存储介质storage medium
承载电子数据的各类载体或设备，包括但不限于计算机硬盘、磁带、软盘、光盘、各种形式的存储
卡、存储芯片等。
[来源：GB/T 31500-2024，3.2]
2.3
副本信息multiple copies information
T/CSAC 010—2024
2
同一信息内容存储于不同管理域、信息系统或介质中的拷贝。
[来源：T/CSAC 009—2024,3.20]
2.4
删除delete
采用访问控制、消磁、物理破坏等技术或措施，使得信息不能被访问或被检索，或者从物理上去除
了信息并保障其难以恢复的操作。
注：删除包括不能被访问或被检索、全部物理删除或部分物理删除。
[来源：GB/T 35273—2020，3.10，有修改]
2.5
数据恢复data recovery
通过专门的计算机软件、硬件等技术，从删除对象曾经留存过的存储系统或介质中，重建被删除对
象的过程。
2.6
删除对象delete object
删除操作的客体。
注：删除对象包括个人信息的正本信息、副本信息、正本信息的一部分、副本信息的一部分，以及正本信息与副本
信息的全部或者部分的组合。
[来源：T/CSAC 005—2024,3.40]
2.7
删除等级delete level
删除对象可恢复程度和难度的量化分级。
[来源：T/CSAC 005—2024,3.41]
2.8
完备删除complete delete
删除个人信息的正本信息、副本信息和分散存储信息。
[来源：T/CSAC 009—2024,3.22]
2.9
个人信息提供者personal information provider
向其他自然人、组织、设备或程序提供个人信息的实体。
2.10
个人信息处理者personal information processor
对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除、脱敏、存证与取证等操作的
实体。
[来源：T/CSAC 009—2024,3.23]
2.11
个人信息源域original domain of personal information
个人信息主体首次留存个人信息的管理域。
[来源：T/CSAC 009—2024,3.24]
2.12
个人信息传播域broadcasting domain of personal information
个人信息流转过程中由个人信息源域传播到达的管理域。
[来源：T/CSAC 009—2024,3.25]
T/CSAC 010—2024
3
2.13
审查认证机构audit and certification organization
负责个人信息安全保障的国家相关监管部门。
2.14
第三方评估机构third-party assessment organization
由个人信息处理者或审查认证机构委托评估机构，依据国家有关法规与标准，对信息系统中的个人
信息删除效果进行评估活动。
3 概述
3.1 删除方法和删除效果评估的目的
删除方法评估旨在帮助个人信息处理者（如企业）根据个人信息的敏感程度选择适当强度的删除方
法，以满足个人信息所有者的删除要求。删除效果评估旨在评估删除操作的效果，协助个人信息处理者、
个人信息保护合规审计评估机构、审查认证机构监督和管理个人信息删除活动。
注：删除方法和删除效果评估的评估报告要求详见附录D。
3.2 删除方法和删除效果评估的基本原则
3.2.1 删除方法评估
删除方法评估是为个人信息处理者提供合适的删除方法选择的重要依据。删除方法可以从成本开销、
不可恢复性、删除方法等效性等三个方面进行评估。
3.2.2 删除效果评估
删除效果评估是指对被删除的个人信息的可恢复程度的评价，是判断个人信息是否按要求实现删除
的重要依据。删除效果可以从删除通知与确认完备性、删除触发正确性、删除操作正确性、不可恢复性、
副本删除完备性、删除一致性等六个方面进行评估。
3.3 评估相关流程要求
3.3.1 删除方法评估流程要求
删除方法的评估流程应遵守以下步骤：
a) 发起评估：当需要评估删除方法时，第三方评估机构或个人信息处理者应根据实际需求制定评
估方案；
b) 执行评估：第三方评估机构或个人信息处理者应按照制定的评估方案执行评估，并生成评估报
告，由第三方评估机构执行评估时还应将评估报告提供个人信息处理者；
c) 结果分析与利用：评估结束后，个人信息处理者根据评估报告选择适当的删除方法，改进后续
删除操作。
注：删除效果评估报告内容详见附录D.3。
3.3.2 删除效果评估流程要求
删除效果的评估流程应遵守以下步骤，如图1所示：
a) 发起评估：当需要评估删除效果时，评估申请方应根据实际制定评估需求并提交申请，告知评
估执行方应开展的评估内容；
T/CSAC 010—2024
4
b) 执行评估：当收到评估申请方提交的评估申请后，评估执行方应组织专家对评估方案进行评审、
修正；评估方案通过后，应按照最终的评估方案执行评估，生成评估报告，并将评估报告返回
给评估申请方；
c) 结果分析与利用：评估申请方收到评估报告后，根据评估报告判断删除效果，并据此改进后续
操作。
注：删除效果评估报告内容详见附录D.4。
图1 评估流程图
4 删除方法的评估技术要求
4.1 删除方法分类
4.1.1 物理破坏删除方法
通过机械或手工方式物理破坏存储介质，以确保数据无法恢复。物理损坏一般包括分解、研磨、粉
碎、焚化、压花、滚花存储介质等，其删除程度由恢复的难易和破坏的粒度决定。使用该方法执行删除
操作后，存储介质无法继续使用。宜采用物理破坏删除方法的存储介质具体包括以下情况：
a) 磁性信息存储介质，包括磁带和硬盘驱动器等；
b) 光学信息存储介质，包括光盘、数字多功能光盘和蓝光光盘等；
c) 固态信息存储介质，包括随机存取存储器、只读存储器、现场可编程门阵列和闪存等。
4.1.2 化学破坏删除方法
使用化学物质腐蚀或溶解存储介质，以及生物降解存储介质，以确保数据无法恢复。化学损坏一般
包括溶解、腐蚀、生物降解，或者用化学物质剥离磁性存储介质表面信息等。使用该方法执行删除操作
后，存储介质无法继续使用。宜采用化学破坏删除方法的存储介质具体包括以下情况：
a) 磁性信息存储介质，包括磁带和硬盘驱动器等；
b) 光学信息存储介质，包括光盘、数字多功能光盘和蓝光光盘等；
T/CSAC 010—2024
5
c) 固态信息存储介质，包括随机存取存储器、只读存储器、现场可编程门阵列和闪存等。
4.1.3 消磁删除方法
使用消磁器或消磁棒等工具实现磁性信息存储介质的内部磁场性质发生变化，达到消除磁带、磁盘
或硬盘驱动器等磁性存储介质上的数据，以确保数据无法恢复。使用该方法执行删除操作后，存储介质
可继续使用。宜采用消磁删除方法的存储介质具体包括以下情况：
a) 磁性信息存储介质，包括磁带和硬盘驱动器等。
4.1.4 磁盘格式化方法
使用磁盘格式化的方法对磁盘数据进行删除，以确保数据无法恢复或达到删除数据的目的。使用该
方法执行删除操作后，存储介质可继续使用。具体包括以下情况：
a) 低级格式化：对磁盘的逻辑盘分区和扇区大小进行重新定义，并重写磁盘的物理扇区信息；
b) 完全格式化：覆盖整个磁盘或分区的所有扇区，通常通过写入特定模式（如零或随机数据）来
覆盖原有的数据；
c) 快速格式化：只重写了文件系统的目录管理区的相关信息，不会实际重写文件数据，它使得文
件不再被操作系统识别，但文件数据仍然存在于磁盘上，直到被新数据覆盖。
4.1.5 命令删除方法
通过使用存储介质的删除命令，擦除存储介质中全部或指定部分的数据，以确保数据无法恢复。使
用该方法执行删除操作后，存储介质可继续使用。宜采用命令删除方法的存储介质具体包括以下情况：
a) 固态信息存储介质，包括随机存取存储器、只读存储器、现场可编程门阵列和闪存等。
4.1.6 数据重写删除方法
通过利用计算机程序或操作系统提供的功能，使用随机或者无关联的数据执行至少一次覆写操作对
数据进行删除，以达到删除数据的目的。使用该方法执行删除操作后，存储介质可继续使用。
4.1.7 逻辑删除方法
仅通过删除文件系统的目录信息或者数据的索引信息，数据本身的内容并没有实质性删除，以此阻
断数据访问。此删除方法只是形式上的删除。具体包括以下情况：
a) 重写文件系统的目录管理区的相关信息：通过对目录管理区的相关信息包含文件的文件名、大
小、创建修改时间、权限及存储位置等的重写，使得无法识别文件信息；
b) 标记空间可用/索引断开：文件系统只是标记文件所占用的空间为“可用”或者是索引断开。
4.1.8 密文删除方法
密文删除的前提是数据内容已被加密，具体包括以下情况；
a) 只删除密钥，密文内容仅采用所占用的空间标记为可用；
b) 删除密钥，同时密文内容还采用数据覆写操作。
4.1.9 分片数据删除方法
数据分散存储于不同位置时，需要将不同位置上的数据全部获取后才能恢复全部数据。针对这类分
片存储形式，可以通过使得不能获得所有分片的完整数据，达到删除的效果，具体包括以下情况：
T/CSAC 010—2024
6
a) 在同一个物理介质中分片存储：通过选择命令删除、数据重写删除、逻辑删除、密文删除，来
删除部分或者全部分片的数据，适用于硬盘、U盘、磁带等；
b) 在同一台设备不同物理介质中分片存储：通过选择命令删除、数据重写删除、逻辑删除、密文
删除，来删除部分或者全部分片的数据，适用于硬盘、U盘、磁带等；
c) 在同一管理域不同设备中分片存储：通过选择命令删除、数据重写删除、逻辑删除、密文删除，
来删除部分或者全部分片的数据，适用于硬盘、U盘、光盘、磁带等；
d) 在不同管理域不同设备中分片存储：通过选择命令删除、数据重写删除、逻辑删除、密文删除，
来删除部分或者全部分片的数据，适用于硬盘、U盘、光盘、磁带等。
注： 删除方法清单详见附录B，删除方法等级示例详见附录C。
4.2 删除方法的评估指标体系
4.2.1 成本开销
成本开销评估是为了衡量执行删除方法所需的资源与时间，主要包括：
a) 工具成本：为了执行删除操作，所需购买的设备、工具、化学药品等的成本；
b) 软件成本：为了执行删除操作，所需购买或开发的计算机程序成本；
c) 后期成本：使用物理破坏删除方法完成删除操作后，妥善清理产生的碎片所需的成本；使用化
学破坏删除方法完成删除操作后，安全处理危险化学品废料所需的成本；
d) 时间成本：完成删除操作的准备、执行和后期处理所需要的时间。
4.2.2 不可恢复性
不可恢复性是为了衡量个人信息处理者执行删除操作后删除对象的残留程度。
4.2.3 等效性
等效性是为了衡量删除数据时，不同的删除方法是否能达到相同的删除程度。
4.3 成本开销评估
针对待评估的删除方法，参照成本开销评估指标体系，具体包括以下要求：
a) 详细列举该删除方法在执行前后所需的工具、计算机程序、后期清理工作；
b) 准确核算上述所需工具与计算机程序的购买或研发成本、后期清理工作的成本；
c) 完整记录删除准备阶段、执行阶段、后期处理阶段所需时间。
4.4 不可恢复性评估
个人信息处理者应在执行删除方法后进行不可恢复性评估，应使用数据恢复工具尝试恢复，并对恢
复结果进行定量评估。具体包括以下要求：
a) 应使用多种数据恢复工具，包括但不限于市场上常见的商业和开源工具；
b) 应使用多种数据恢复技术，包括但不限于文件恢复、分区恢复等；
c) 应在各种不同的环境中进行恢复测试，包括不同的操作系统、文件系统、硬件配置等；
d) 对恢复的数据进行分析，包括恢复的成功率、比例、质量等。
注：数据恢复工具清单详见附录B。
4.5 等效性评估
个人信息处理者应对删除方法的等效性进行验证，具体包括以下要求：
T/CSAC 010—2024
7
a) 应明确每种删除方法所需的工具、计算机程序、操作步骤；
b) 应准备一组相同的删除对象，用于评估各种删除方法的等效性；
c) 应使用相同的数据恢复方法，评估不同删除方法的等效性；
d) 根据恢复的成功率、比例、质量评估不同删除方法的等效性。
5 删除效果评估的技术要求
5.1 删除效果评估的指标体系
5.1.1 删除通知与确认完备性
删除通知与确认完备性评估是为了衡量个人信息处理者生成与发送的删除通知是否覆盖了删除对
象所有的个人信息源域和个人信息传播域，且这些个人信息源域和个人信息传播域是否确认收到了删除
通知。
5.1.2 删除触发正确性
删除触发正确性评估是为了衡量个人信息所有者或个人信息提供者的自动与按需删除意图是否正
确触发了删除操作，以及是否按照个人信息所有者或个人信息处理者的到期自动删除要求执行了对应的
删除操作等。
5.1.3 删除操作正确性
删除操作正确性评估是为了衡量个人信息处理者是否按个人信息所有者的删除意图执行了指定的
删除操作。
5.1.4 不可恢复性
不可恢复性评估是为了衡量个人信息处理者执行删除操作后删除对象的残留程度。
5.1.5 副本删除完备性
副本删除完备性评估是为了衡量个人信息处理者执行删除操作是否涵盖所有删除对象副本。
5.1.6 删除一致性
删除一致性评估是为了衡量同一删除对象在个人信息源域和不同个人信息传播域留存时，不同个人
信息处理者是否执行了相同的删除操作。
5.2 日志内容要求
为了实现删除效果评估，个人信息处理者在执行个人信息删除时，应准确记录如下日志内容：
a) 删除意图日志：个人信息处理者记录个人信息所有者的删除意图，内容包括但不限于个人信息
所有者标识、删除对象、删除要求、触发删除的预期条件等日志信息；
b) 删除请求日志：个人信息处理者解析个人信息所有者的删除意图，并得到删除请求，内容包括
但不限于个人信息所有者标识、删除对象、删除方法、删除粒度、触发删除的预期条件等日志
信息；
c) 删除触发日志：个人信息处理者记录删除触发情况，内容包括但不限于个人信息所有者标识、
删除对象、删除方法、删除粒度、触发删除的实际条件等日志信息；
T/CSAC 010—2024
8
d) 删除通知日志：个人信息处理者记录在个人信息源域和不同个人信息传播域之间转发的删除通
知信息，内容包括但不限于个人信息所有者标识、删除对象、删除方法、删除粒度、删除通知
等日志信息；
e) 删除确认日志：针对所发出的删除通知，个人信息处理者记录删除通知是否到达的相关确认信
息，内容包括但不限于个人信息所有者标识、删除对象、删除方法、删除粒度、删除确认、删
除通知等日志信息；
f) 删除操作日志：个人信息处理者记录所执行删除操作的信息，内容包括但不限于个人信息所有
者标识、删除对象、删除方法、删除粒度、删除副本信息标识、删除副本存储位置等日志信息。
5.3 删除通知与确认完备性评估
针对个人信息所有者的每个删除对象，评估执行方执行以下操作：
a) 收集所有关联的个人信息处理者记录的删除通知日志与删除确认日志，并验证上述日志的完整
性；
b) 检查每条删除通知是否存在匹配的删除确认信息，记录检查结果，并写入删除效果的评估报告
中。
5.4 删除触发正确性评估
针对个人信息所有者的每个删除对象，评估执行方应执行以下操作：
a) 收集所有关联的个人信息处理者记录的删除意图、删除请求、删除触发等日志，并验证上述日
志的完整性；
b) 检查删除意图日志中的删除触发预期条件、删除请求日志中的删除触发预期条件和删除触发日
志中的触发删除的实际条件三者是否一致，记录检查结果，并写入删除效果的评估报告中。
5.5 删除操作正确性评估
针对个人信息所有者的每个删除对象，评估执行方应执行以下操作：
a) 收集所有关联的个人信息处理者记录的删除操作日志，并验证上述日志的完整性；
b) 提取各删除操作日志中记录的删除对象及其副本的存储位置，获取上述位置的信息留存状态，
检查该状态与删除操作日志中记录的删除方法所能达到的预期删除效果是否一致，记录检查结
果，并写入删除效果的评估报告中。
5.6 不可恢复性评估
针对个人信息所有者的每个删除对象，评估执行方应执行以下操作：
a) 应使用多种数据恢复工具，包括但不限于市场上常见的商业和开源工具；
b) 应使用多种数据恢复技术，包括但不限于文件恢复、分区恢复等；
c) 应在各种不同的环境中进行恢复测试，包括不同的操作系统、文件系统、硬件配置等；
d) 对恢复的个人信息进行分析，包括恢复的成功率、比例、质量等；
e) 将恢复个人信息的过程和结果进行详细记录，并写入删除效果的评估报告中。
5.7 副本删除完备性评估
针对个人信息所有者的每个删除对象，评估执行方应执行以下操作：
a) 收集删除对象在个人信息流转过程中的副本存储位置；
b) 收集所有关联的个人信息处理者记录的删除操作日志，并验证上述日志的完整性；
c) 提取各删除操作日志中记录的删除对象及其副本的存储位置；
T/CSAC 010—2024
9
d) 检查a)中的副本存储位置与c)中的副本存储位置是否一一匹配；
e) 记录检查结果，并写入删除效果的评估报告中。
5.8 删除一致性评估
针对个人信息所有者的每个删除对象，评估执行方应执行以下操作：
a) 收集所有关联的个人信息处理者记录的删除操作日志，并验证上述日志的完整性；
b) 提取各删除操作日志中记录的删除方法；
c) 检查所有关联的个人信息处理者采用的删除方法是否一致；
d) 记录检查结果，并写入删除效果的评估报告中。
T/CSAC 010—2024
10
附录A
（资料性）
删除方法清单
A.1 物理破坏删除方法
A.1.1 磁性信息存储介质的物理破坏性删除
磁性信息存储介质包括磁带和硬盘驱动器等。恢复程度由破坏的粒度决定，针对不同的磁性信息存
储介质，设计或执行物理破坏删除方法时，具体包括以下要求：
a) 针对磁带，应在去除所有表明以前使用过或分类的标签（或标记）后，将磁带分解成2毫米大
小的颗粒；
b) 针对磁性硬盘驱动器，应在去除所有表明以前使用过或分类的标签（或标记）后，将磁性硬盘
的盘片分解成2毫米大小的颗粒；
c) 如采用焚化时，建议在超过670℃的温度下焚烧。
A.1.2 光学信息存储介质的物理破坏性删除
光学信息存储介质包括光盘、数字多功能光盘和蓝光光盘等。恢复程度由破坏的粒度决定，针对不
同的光学信息存储介质，设计或执行物理破坏删除方法时，具体包括以下要求：
a) 针对光盘，在去除所有表明以前使用过或分类的标签（或标记）后，应使用下列方式之一进行
销毁：
1) 分解：使用合适的固态分解器进行分解；
1) 压花/滚花：使用合适的压花或滚花器对光学信息存储介质进行压花/滚花；
2) 研磨：使用合适的研磨机对光学信息存储介质进行研磨。
b) 针对数字多功能光盘和蓝光光盘，在去除所有表明以前使用过或分类的标签（或标记）后，使
用合适的固态分解器进行分解。
A.1.3 固态信息存储介质的物理破坏性删除
固态信息存储介质包括随机存取存储器、只读存储器、现场可编程门阵列和闪存等。恢复程度由破
坏的粒度决定，针对不同的固态信息存储介质，设计或执行物理破坏删除方法时，个人信息处理者针对
固态信息存储介质，在去除所有表明以前使用过或分类的标签（或标记）后，应使用下列方式之一进行
销毁：
a) 分解：使用合适的固态分解器进行分解；
b) 电源移除：通过移除电源（包括备用电池），只对动态随机存取存储器、静态随机存取存储器
和易失性现场可编程门阵列进行销毁，断电后60分钟内进行销毁；
c) 如采用焚化时，建议在超过500℃的温度下焚烧。
A.2 化学破坏删除方法
A.2.1 磁性信息存储介质的化学破坏性删除
磁性信息存储介质包括磁带和硬盘驱动器等。针对不同的磁性信息存储介质，设计或执行化学破坏
删除方法时，应在去除所有表明以前使用过或分类的标签（或标记）后，使用下列方式之一进行销毁：
a) 溶解：完全浸入特定化学物质中；
b) 腐蚀：通过完全的化学反应逐渐分解和损坏。
T/CSAC 010—2024
11
A.2.2 光学信息存储介质的化学破坏性删除
光学信息存储介质包括光盘、数字多功能光盘和蓝光光盘等。针对不同的光学信息存储介质，设计
或执行化学破坏删除方法时，在去除所有表明以前使用过或分类的标签（或标记）后，应使用下列方式
之一进行销毁：
a) 溶解：完全浸入特定化学物质中；
b) 腐蚀：通过完全的化学反应逐渐分解和损坏。
A.2.3 固态信息存储介质的化学破坏性删除
固态信息存储介质包括随机存取存储器、只读存储器、现场可编程门阵列和闪存等。针对不同的固
态信息存储介质，设计或执行化学破坏删除方法时，个人信息处理者针对固态信息系统存储介质，在去
除所有表明以前使用过或分类的标签（或标记）后，应使用下列方式之一进行销毁：
a) 溶解：完全浸入特定化学物质中；
b) 腐蚀：通过完全的化学反应逐渐分解和损坏。
A.3 消磁删除方法
磁性信息存储介质包括磁带和硬盘驱动器等。针对不同的磁性信息存储介质，设计或执行消磁删除
方法时，应在去除所有表明以前使用过或分类的标签（或标记）后，使用合适的一款消磁器或消磁棒完
成消磁。
A.4 磁盘格式化方法
A.4.1 低级格式化
低级格式化是针对磁盘的彻底格式化，它会重写磁盘的物理分区或扇区信息。
A.4.2 完全格式化（慢速格式化）
完全格式化会尝试覆盖整个磁盘或分区的所有扇区，通常通过写入特定模式（如零或随机数据）来
实现。
A.4.3 快速格式化
快速格式化不会实际删除文件数据，它只是删除了文件系统的目录信息，使得文件不再被操作系统
识别，但文件数据仍然存在于磁盘上，直到被新数据覆盖为止。
A.5 命令删除方法
设计或执行硬件内置命令删除方法时，具体包括以下要求：
a) 针对完全删除、部分删除等不同需求，选择合适的硬件内置命令删除，包括但不限于：
1) 使用硬件内置命令，如ATA Secure Erase或NVMe Format命令，擦除存储介质中的数据；
2) 使用硬件内置命令，如TRIM命令，将已删除文件的存储空间标记为空闲，在后续空间覆写
时实现删除。
b) 针对硬盘驱动器、固态信息存储介质等有损坏的数据块，无法有效执行删除命令时，需要进行
物理或者化学破坏方法。
A.6 数据重写删除方法
T/CSAC 010—2024
12
通过在存储介质上覆盖原有数据的方式来删除个人信息，这种方法通常用于机械硬盘等传统存储介
质。设计或执行覆写数据重写删除方法时，具体包括以下要求：
a) 应采用以下数据模式中的一种或多种：
1) 使用全0覆写；
2) 使用全1覆写；
3) 使用随机数据覆写。
b) 设置一个覆写次数阈值，应至少对数据进行阈值相等的连续覆写，每次覆写应使用不同的数据
模式，针对更高敏感级别的个人信息，应采用7次或更高次数的覆写次数；
c) 应在每次覆写后，检查原始数据是否已被新数据完全替换，对于在覆写后发现原始数据仍然存
在的，应再次覆写；
d) 应记录覆写时间、覆写模式、覆写次数等关键信息，在删除完成后，应保存这些记录以备检查
和审核；
e) 应完全遍历整个存储介质，完全删除隐藏文件；
f) 覆写时，应修改磁盘控制器参数，保障删除效果；如未能修改磁盘控制器参数则删除效果低于
修改磁盘控制器参数的方法；
g) 针对硬盘驱动器、固态信息存储介质等有损坏的数据块，无法有效执行覆写删除时，需要进行
物理或者化学破坏方法。
A.7 逻辑删除方法
A.7.1 重写文件系统的目录信息
文件系统的目录信息（如FAT 表、MFT 等）会被重写，使得文件不能被操作系统访问。
A.7.2 标记空间为可用/索引断开
文件系统会将之前被文件占用的磁盘空间标记为可用或空闲，使得这些空间可以被新的数据覆盖，
在覆盖前原始数据并没有被实质性删除。
A.8 密文删除方法
密文删除方法是针对数据加密情况，采用删除密钥等方式，使得数据无法被解密，还可以进一步将
密文数据进行覆写删除，以使得数据更加难以恢复。
A.9 分片数据删除方法
分片数据删除方法跟存储介质的使用方式有关，当数据分散存储于不同存储介质时，需要将不同存
储介质上的数据全部获取后才能恢复全部数据，针对部分或者全部分布式存储介质进行数据删除操作，
可以达到删除部分或者全部数据的效果。
T/CSAC 010—2024
13
附录B
（资料性）
数据恢复工具清单
B.1 数据恢复软件
B.1.1 TestDisk
TestDisk 是一款免费的开源数据恢复软件，支持Windows、Mac 和Linux 操作系统，能够恢复各种
类型的文件和分区表，包括照片、视频、音频、分区表等。以下对其进行介绍：
a) 多种恢复模式：TestDisk支持快速扫描和深度扫描两种恢复模式，能够在不同情况下进行数据
恢复，包括已删除的文件、格式化后的硬盘、损坏的分区等；
b) 多种文件类型支持：该软件支持多种文件类型，包括照片、视频、音频、文档等，能够满足个
人信息处理者的不同恢复需求；
c) 多种分区表支持：TestDisk能够恢复多种分区表，包括DOS、Sun、SGI、Mac等，能够恢复损坏
的分区表；
d) 恢复引导扇区：该软件还具有恢复引导扇区的功能，能够修复损坏的引导扇区，使得无法启动
的计算机能够重新启动；
e) 其他功能：该软件还具有修复文件系统、备份分区表、重建分区表等多种功能，能够提高恢复
效率。
B.1.2 PhotoRec
PhotoRec 是一款免费的开源数据恢复软件，支持Windows、Mac 和Linux 操作系统，能够恢复各
种类型的文件，包括照片、视频、音频、文档等。以下对其进行介绍：
a) 多种恢复模式：PhotoRec支持快速扫描和深度扫描两种恢复模式，能够在不同情况下进行数
据恢复，包括已删除的文件、格式化后的硬盘、损坏的分区等；
b) 多种文件类型支持：该软件支持多种文件类型，包括照片、视频、音频、文档等，能够满足个
人信息处理者的不同恢复需求；
c) 多种文件系统支持：PhotoRec支持多种文件系统，包括FAT、NTFS、exFAT、ext2/3/4、HFS+
等；
d) 无需安装：该软件无需安装，可以直接从可移动媒体或光盘中运行，方便个人信息处理者进行
数据恢复。
B.1.3 R-Studio
R-Studio 是一款功能强大的数据复软件，支持Windows、Mac 和Linux 操作系统，能够恢复各种类
型的文件，包括照片、视频、音频、文档等。以下对其进行介绍：
a) 多种恢复模式：R-Studio支持快速扫描和深度扫描两种恢复模式，能够在不同情况下进行数
据恢复，包括已删除的文件、格式化后的硬盘、损坏的分区等；
b) 多种文件类型支持：该软件支持多种文件类型，包括照片、视频、音频、文档等，能够满足个
人信息处理者的不同恢复需求；
c) 多种文件系统支持：R-Studio支持多种文件系统，包括FAT、NTFS、exFAT、ext2/3/4、HFS+
等，能够恢复各种存储介质的数据；
T/CSAC 010—2024
14
d) 数据恢复分析：该软件能够对数据进行分析，提供详细的数据恢复报告，包括恢复的文件类型、
大小、修改时间等信息，帮助个人信息处理者更好地了解数据恢复情况；
e) 预览恢复文件：R-Studio允许个人信息处理者在恢复前预览文件内容，以确保恢复的文件正确
和完整；
f) 多种恢复方式：该软件提供多种恢复方式，包括恢复到本地硬盘、恢复到外部存储介质、恢复
到云端等。
B.1.4 GetDataBack
GetDataBack 是一款专业的数据恢复软件，主要用于恢复因误删除、格式化、系统故障、病毒攻击
等各种原因造成的数据丢失情况。该软件支持Windows 和Mac 系统。以下对其进行介绍：
a) 多种恢复模式：GetDataBack支持快速恢复和深度恢复两种模式，能够在不同情况下进行数据
恢复，包括已删除的文件、格式化后的硬盘、损坏的分区等；
b) 多种文件类型支持：该软件支持多种文件类型，包括照片、视频、音频、文档等，能够满足个
人信息处理者的不同恢复需求；
c) 多种文件系统支持：GetDataBack支持多种文件系统，包括FAT、NTFS、exFAT、ext2/3/4等，
能够恢复各种存储介质的数据；
d) 预览恢复文件：GetDataBack允许个人信息处理者在恢复前预览文件内容，以确保恢复的文件
正确和完整；
e) 该软件支持恢复各种存储介质，包括硬盘、SSD、闪存卡、USB、光盘等。
B.1.5 EaseUS Data Recovery Wizard
EaseUS Data Recovery Wizard 是一款专业的数据恢复软件，支持Windows 和Mac 操作系统，能够
恢复各种类型的文件，包括文档、照片、视频等。以下对其进行介绍：
a) 多种数据恢复模式：包括删除文件恢复、格式化恢复、分区恢复、原始恢复等多种恢复模式，
能够针对不同情况恢复数据；
b) 多种文件系统支持：支持各种文件系统，包括FAT、NTFS、ext2/3、HFS+等，能够恢复各种类
型的文件；
c) 预览和过滤功能：能够预览和过滤已找到的文件，方便个人信息处理者选择恢复的文件，提高
恢复效率；
d) 高级数据恢复技术：使用高级的数据恢复技术，能够恢复被格式化、分区损坏、病毒感染等情
况下丢失的数据。
B.1.6 Disk Drill
Disk Drill 是一款跨平台的数据恢复软件，支持Windows 和Mac 操作系统，能够恢复各种类型的文
件，包括文档、照片、视频、音频、电子邮件等。以下对其特点和功能进行介绍：
a) 多种恢复模式：该软件支持快速扫描和深度扫描两种恢复模式，能够在不同情况下进行数据恢
复，包括已删除的文件、格式化后的硬盘、损坏的分区等；
b) 多种文件类型支持：Disk Drill支持多种文件类型，包括文档、照片、视频、音频、电子邮件
等，能够满足个人信息处理者的不同恢复需求；
c) 多种文件系统支持：该软件支持多种文件系统，包括FAT、NTFS、exFAT、ext2/3/4、HFS+等；
d) 预览恢复文件：Disk Drill允许个人信息处理者在恢复前预览文件内容，以确保恢复的文件正
确和完整；
T/CSAC 010—2024
15
e) 多种恢复方式：该软件提供多种恢复方式，包括恢复到本地硬盘、恢复到外部存储介质、恢复
到云端等。
B.1.7 Stellar Data Recovery
Stellar Data Recovery 是一款高效、可靠的数据恢复工具，专门设计用于恢复因多种原因导致的数
据丢失。该软件兼容Windows 和Mac 操作系统。以下是对其进行介绍：
a) 多种恢复模式：Stellar Data Recovery支持快速扫描和深度扫描两种模式，能够在不同情况
下进行数据恢复，包括恢复因误删除的文件、格式化后的存储介质、损坏的分区，以及其他
复杂的数据丢失情况；
b) 多种文件类型支持：该软件支持多种文件类型，包括但不限于照片、视频、音频、文档等，能
够满足个人信息处理者的不同恢复需求；
c) 多种文件系统支持：Stellar Data Recovery支持多种文件系统，包括FAT、NTFS、exFAT、HFS+、
ext2/3/4等；
d) 预览恢复文件：Stellar Data Recovery允许个人信息处理者在恢复前预览文件内容，以确保
恢复的文件正确和完整。
B.1.8 MiniTool Power Data Recovery
MiniTool Power Data Recovery 是一款功能强大、易于使用的数据恢复软件，可以帮助个人信息处理
者恢复各种类型的文件，包括照片、视频、音频、文档等。以下对其进行介绍：
a) 多种恢复模式：该软件支持多种恢复模式，包括快速扫描、深度扫描、分区扫描、CD/DVD扫
描等，能够在不同情况下进行数据恢复，包括已删除的文件、格式化后的硬盘、损坏的分区
等；
b) 多种文件类型支持：MiniTool Power Data Recovery支持多种文件类型，包括照片、视频、音
频、文档等，能够满足个人信息处理者的不同恢复需求；
c) 多种文件系统支持：该软件支持多种文件系统，包括FAT、NTFS、exFAT、ext2/3/4、HFS+等，
能够恢复各种存储介质的个人信息；
d) 预览恢复文件：MiniTool Power Data Recovery允许个人信息处理者在恢复前预览文件内容，
以确保恢复的文件正确和完整；
e) 多种恢复方式：该软件提供多种恢复方式，包括恢复到本地硬盘、恢复到外部存储介质、恢复
到云端等。
B.1.9 易我数据恢复软件
易我数据恢复软件是一款数据恢复工具，适用于Windows 操作系统。以下是对其进行介绍：
a) 多种恢复模式：支持快速扫描和深度扫描两种模式，能够在不同情况下进行数据恢复，包括
恢复因误删除的文件、格式化后的存储介质、损坏的分区，以及其他复杂的丢失情况；
b) 多种文件类型支持：该软件支持多种文件类型，包括但不限于照片、视频、音频、文档等，能
够满足个人信息处理者的不同恢复需求；
c) 多种文件系统支持：支持多种文件系统，包括FAT、NTFS、exFAT、HFS+、ext2/3/4等；
d) 预览恢复文件：允许个人信息处理者在恢复前预览文件内容，以确保恢复的文件正确和完整。
B.2 原子级成像显微镜
B.2.1 磁力显微镜（Magnetic Force Microscopy, MFM）
T/CSAC 010—2024
16
磁力显微镜能够在纳米尺度上映射表面磁性信息。当磁盘因为物理损伤或者其他原因而变得难以通
过常规途径访问时，MFM 可以提供一种非侵入式的手段来可视化磁盘表面的磁性分布，从而间接读取
存储在磁盘上的数据。以下是使用磁力显微镜来恢复磁盘数据的一般步骤：
a) 磁盘的物理准备
1) 清理和稳定：让磁盘的物理状态保持稳定，清理任何可能影响扫描的尘埃或污渍；
2) 拆解：拆解硬盘来直接访问盘片；
3) 平面化：被扫描的盘片区域保持平整，减小探针与盘面的物理接触风险。
b) 扫描和数据提取
1) 初始化扫描：设置MFM进行扫描，选择适当的扫描区域和分辨率；
2) 数据映射：MFM会生成一个映射，展示磁盘表面的磁状态。在硬盘存储中，磁区的极性代
表数据位的“0”和“1”；
3) 位提取：通过分析MFM得到的映射图，解析磁域的方向来提取位数据。
c) 数据解码和重建
1) 位到字节：根据磁盘存储协议，将提取出的位组合成字节；
2) 文件系统解析：根据磁盘上的对应的文件系统结构，将字节组织成文件和目录；
3) 文件恢复：基于文件系统的结构信息，尝试恢复和重建文件。
d) 数据验证
1) 完整性检查：验证恢复的数据的完整性和一致性；
2) 校正错误：使用相应的错误检查和校正方法来修复或识别损坏的数据。
B.2.2 扫描隧道显微镜（Scanning Tunneling Microscope，STM）
扫描隧道显微镜是一种用于观察材料表面上原子级别结构的工具。以下是使用扫描隧道显微镜来恢
复磁盘数据的一般步骤：
a) 磁盘准备
1) 物理处理：硬盘需要在无尘、无震动的实验环境下进行处理，以保护其物理表面不受进一
步损坏；
2) 拆解：硬盘的拆解需要在干净的环境下进行，以访问存储数据的磁盘。
b) 使用STM扫描磁盘
1) 调整STM：需要调整STM的探针以达到适当的分辨率和灵敏度；
2) 数据采集：利用STM在磁盘表面进行扫描，记录每一点的隧道电流，用来表示信息位的'0'
或'1'。
c) 数据提取和解码
1) 图像处理：将STM获取的原子分辨率的图像转化为数据位的逻辑表示；
2) 数据解码：将提取出的位组合并解码成可用的数据。
d) 文件恢复
1) 文件系统解析：结合扫描到的文件系统逻辑结构进行数据块的重组；
2) 数据验证：核实恢复的数据的完整性和可用性。
e) 数据校正和保存
1) 错误纠正：利用相应的错误纠正机制修复或辨认损坏的数据；
2) 数据保存：将恢复的数据保存到另一个存储介质中。
T/CSAC 010—2024
17
附录C
（资料性）
删除等级示例
C.1 基于可恢复数据的百分比和熵占比的删除等级示例
表C.1 基于可恢复数据的百分比和熵占比的删除等级表
四级三级二级一级
恢复数据百分比（%） 0 (0,10] (10,20] (20,30]
恢复数据熵占比（%） 0 (0,5] (5,10] (10,20]
C.2 不同删除方法对应的删除等级示例
表C.2 不同删除方法的删除等级表
删除方法等级删除分类破坏程度
四级
物理破坏删除方法完全粉碎
化学破坏删除方法完全溶解
消磁删除方法完全消磁
三级
物理破坏删除方法
采用硬盘打孔、激光破坏、表面磨除、
超低温删除等方式，达到部分删除效
果，恢复率不能超过10%
化学破坏删除方法
采用表面溶解、损毁、化学爆燃等方
式，达到部分删除效果，恢复率不能
超过10%
消磁删除方法
部分消磁，达到部分删除效果，恢复
率不能超过10%
磁盘格式化方法低级格式化、完全格式化
命令删除
二级
数据重写删除方法
密文删除方法
通过加密数据，然后销毁或丢弃加密
密钥实现数据不可访问
分片数据删除方法
通过修改、删除分片存储数据的部分
或全部分区号，使得数据无法有效重
组恢复
一级
磁盘格式化方法快速格式化
逻辑删除方法
评级
评估指标
T/CSAC 010—2024
18
附录D
（资料性）
删除方法和删除效果评估的评估报告要求
D.1 形成评估报告的目的
形成删除方法的评估报告是为了帮助个人信息处理者选择合适的删除方法，以满足个人信息所有者
提出的删除要求。形成删除效果的评估报告是为了给个人信息保护合规审计评估机构、审查认证机构等
组织对个人信息处理者的个人信息删除活动的监督和管理提供依据。
D.2 评估报告的基本要求
评估报告应全面详细介绍评估过程涉及到的主体、指标、方法、结果等，并分条叙述。评估报告应
包含：封面、正文、附件等。评估报告封面应包括报名名称、报告编号、评估单位名称，评估日期等要
素。评估报告文字应简洁、准确。
D.3 删除方法的评估报告内容
应包括评估目的、评估对象、评估范围、评估开始日期、评估依据、评估方法、评估程序实施过程
和情况、评估假设、特别事项说明、删除方法的评估报告使用限制说明、评估单位印章等，内容中应详
细介绍删除方法的成本开销、不可恢复性、等效性等评估结果。
D.4 删除效果的评估报告内容
应包括委托人或删除效果的评估报告使用人，评估目的、评估对象、评估范围、评估开始日期、评
估依据、评估方法、评估程序实施过程和情况、评估假设、特别事项说明、删除效果的评估报告使用限
制说明、评估人员签名和评估机构印章，内容中应详细介绍删除效果的删除通知与确认完备性、删除触
发正确性、删除操作正确性、不可恢复性、副本删除完备性、删除一致性等方面的评估结果。
T/CSAC 010—2024
19
参考文献
[1] GB/T 25069-2022 信息安全技术术语
[2] GB/T 35273-2020 信息安全技术个人信息安全规范
[3] GB/T 44588-2024 数据安全技术互联网平台及产品服务个人信息处理规则
[4] GB/T 31500-2024 网络安全技术存储介质数据恢复服务安全规范
[5] T/CSAC 005—2024 隐私计算总体框架
[6] T/CSAC 009—2024 隐私计算删除控制技术要求
[7] 中华人民共和国网络安全法（2016 年11 月7 日第十二届全国人民代表大会常务委员会第二十四次
会议通过）
[8] 中华人民共和国数据安全法（2021 年6 月10 日第十三届全国人民代表大会常务委员会第二十九次
会议通过）
[9] 中华人民共和国个人信息保护法（2021 年8 月20 日第十三届全国人民代表大会常务委员会第三十
次会议通过）