《隱私計算 刪除控制技術(shù)要求（征求意見稿）》

1T/CSACXXXXX—XXXX隱私計算刪除控制技術(shù)要求本文件描述了個人信息刪除控制的機制及其安全要求，包含刪除通知與確認(rèn)、副本查找、自動刪除與按需刪除、刪除存證等環(huán)節(jié)的控制技術(shù)要求等。本文件適用于規(guī)范各類組織對個人信息刪除處理的控制技術(shù)要求，也可為主管監(jiān)管機構(gòu)、第三方評估機構(gòu)等組織對個人信息刪除處理進行監(jiān)督、管理、評估提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性應(yīng)用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范3術(shù)語和定義3.1個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包含個人信息本身及其衍生信息,不包括匿名化處理后的信息。[來源：GB/T35273—2020,3.1,有修改]3.2個人信息主體personalinformationsubject是指個人信息所識別或者關(guān)聯(lián)的自然人。[來源：GB/T35273—2020,3.3]3.3隱私信息privateinformation能通過信息系統(tǒng)進行處理的敏感個人信息，是個人信息記錄中的標(biāo)識符、準(zhǔn)標(biāo)識符和敏感屬性的集合。注：隱私信息包括個人生物特征信息、銀行賬號、通健康生理信息、交易信息、14歲以下（含）3.4刪除delete采用訪問控制、消磁、物理破壞等技術(shù)或措施，使得信息不能被訪問或被檢索，或者從物理上去除了信息并保障其難以恢復(fù)的操作。[來源：GB/T35273—2020,3.10,有修改]2T/CSACXXXXX—XXXX3.5數(shù)據(jù)恢復(fù)datarecovery通過專門的計算機軟件、硬件等技術(shù)，從刪除對象曾經(jīng)留存過的存儲系統(tǒng)或介質(zhì)中，重建被刪除對象的過程。3.6刪除對象deletedobject刪除操作的客體。注：刪除對象包括個人信息的正本信息、副本信息、正本信息的一部3.7刪除等級deletelevel對刪除對象可恢復(fù)程度和難度的量化分級。3.8刪除意圖deleteintention是指個人信息主體對自身個人信息何時何地何條件何等級下的刪除需求，刪除意圖包括：刪除對象、刪除時間、刪除空間、刪除等級等內(nèi)容，以及個人信息主體的個性化約束條件。3.9刪除通知deletenotification用于指示刪除對象關(guān)聯(lián)方如何刪除的請求，通知內(nèi)容包括：刪除通知發(fā)送者、刪除通知接收者、刪除對象標(biāo)識、刪除觸發(fā)條件、刪除方式、刪除通知確認(rèn)方式等內(nèi)容。3.10刪除指令deleteinstructions基于刪除通知構(gòu)造的、程序可識別可執(zhí)行的刪除命令。3.11刪除通知發(fā)送者deletenotificationsender是指刪除通知的發(fā)起方（含通知生成）或轉(zhuǎn)發(fā)方，刪除通知發(fā)送者可以為人、組織、設(shè)備、程序。3.12刪除通知接收者deletenotificationrecipient是指刪除通知的接收方，并將刪除通知解析為刪除指令，分發(fā)給個人信息刪除者。刪除通知接收者一般為個人或者組織。3.13刪除通知確認(rèn)deletenotificationconfirmation是指刪除通知送達刪除通知接收者后，接收者給刪除通知發(fā)送者反饋的接收確認(rèn)信息。確認(rèn)信息包含：刪除通知接收者標(biāo)識、刪除對象標(biāo)識、通知確認(rèn)時間、通知確認(rèn)的驗證信息等內(nèi)容。3.14刪除通知到達驗證delete-notification’sarrivalverification以抗抵賴的方式證明刪除通知已經(jīng)送達刪除通知接收者。3.15個人信息刪除者personalinformationremover對持有的個人信息執(zhí)行刪除操作的實體。3.16刪除執(zhí)行反饋deleteexecutionfeedback3T/CSACXXXXX—XXXX是指個人信息刪除者執(zhí)行刪除操作后，將刪除結(jié)果反饋給刪除通知接收者，然后由刪除通知接收者反饋給刪除通知發(fā)送者。3.17按需刪除on-demanddelete是指刪除通知發(fā)送者、刪除通知接收者、個人信息刪除者按照個人信息主體刪除意圖隨時觸發(fā)的刪除操作流程。3.18自動刪除automaticdelete是指刪除通知發(fā)送者、刪除通知接收者、個人信息刪除者按照個人信息主體預(yù)先設(shè)置的刪除意圖或者法律法規(guī)的要求，自行觸發(fā)的刪除操作流程。3.19刪除約束條件deleteconstraint是指對刪除對象執(zhí)行的刪除操作流程需滿足的觸發(fā)要求、執(zhí)行要求、反饋要求。3.20刪除觸發(fā)條件triggerconditionsfordeletion根據(jù)刪除意圖或者法律法規(guī)生成的，一旦匹配即刻觸發(fā)刪除流程的判定條件，包括：時間條件、個人信息流傳次數(shù)條件、接收到刪除通知等。注：刪除觸發(fā)條件一般包括：刪除約束時間、刪除約束流轉(zhuǎn)次數(shù)、符3.21多副本信息multiplecopiesinformation是指同一個人信息存儲于不同管理域、信息系統(tǒng)的多拷貝。3.22多備份信息multiplebackupinformation是指同一個人信息存儲于同一個管理域或者同一個信息系統(tǒng)內(nèi)的多拷貝。3.23分散存儲信息distributedstorageinformation是指同一個人信息拆分后分布式存儲于不同存儲設(shè)備/系統(tǒng)中的部分。3.24完備刪除completedelete是指刪除個人信息的正本信息、多副本信息、分散存儲信息和多備份信息。3.25個人信息處理者personalinformationprocessor對個人信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等操作的實體。3.26個人信息源域originaldomainofpersonalinformation是指個人信息主體首次留存?zhèn)€人信息的管理域。3.27個人信息傳播域broadcastingdomainofpersonalinformation是指個人信息流轉(zhuǎn)過程中由個人信息源域傳播到達的管理域。4T/CSACXXXXX—XXXX3.28刪除延伸控制extendeddeletecontrol是指刪除意圖、刪除通知及其確認(rèn)、刪除執(zhí)行反饋及其驗證等刪除控制規(guī)則的傳遞應(yīng)與刪除對象傳播路徑保持一致。注：傳播范圍包括：系統(tǒng)內(nèi)部、跨系統(tǒng)、跨管理域、跨網(wǎng)絡(luò)等。4概述4.1刪除的目的保障個人信息，特別是隱私信息，在業(yè)務(wù)非必要使用時，按照個人信息主體刪除意圖或者法律法規(guī)的要求，進行個人信息刪除，以降低個人信息被泄露、非法使用的風(fēng)險，支撐個人信息主體的刪除權(quán)和被遺忘權(quán)。4.2刪除的基本原則個人信息處理者開展個人信息刪除處理應(yīng)遵循及時、透明的原則，具體包括:a)按照與個人信息主體的約定或設(shè)置，采取技術(shù)、人工等手段保障個人信息完備刪除；b)以明確、易懂與合理的方式向個人信息主體及時告知刪除結(jié)果，包括：時間、范圍、規(guī)則等；c)存證刪除流程的關(guān)鍵狀態(tài)，并接受監(jiān)管機構(gòu)或第三方評估機構(gòu)審查，保障個人信息可信刪除；d)由于個人信息未能按照約定及時刪除導(dǎo)致個人信息主體合法權(quán)益造成損害時，應(yīng)承擔(dān)責(zé)任。4.3刪除控制的基本流程圖1個人信息刪除控制基本流程如圖1所示，個人信息刪除控制的基本流程如下：a)個人信息主體根據(jù)需求設(shè)置刪除意圖，并發(fā)送給個人信息源域的刪除通知發(fā)送者（如圖1所示）；b)個人信息源域的刪除通知發(fā)送者生成刪除通知，將刪除通知逐級發(fā)送給刪除對象關(guān)聯(lián)的所有個人信息傳播域的刪除通知接收者，同時也將刪除通知發(fā)送給本域且與刪除對象關(guān)聯(lián)的所有業(yè)務(wù)系統(tǒng)的個人信息刪除者（如圖1所示步驟2、8、9）；c)個人信息源域的個人信息刪除者收到刪除通知后，生成刪除指令并要求關(guān)聯(lián)的存儲系統(tǒng)執(zhí)行刪除，待刪除結(jié)束后向本域的刪除通知發(fā)送者反饋刪除結(jié)果（如圖1所示步驟3、4）；5T/CSACXXXXX—XXXXd)各個人信息傳播域的刪除通知接收者收到刪除通知后，向上級刪除通知發(fā)送者反饋刪除通知確認(rèn)信息，并將刪除通知發(fā)送給本域且與刪除對象關(guān)聯(lián)的所有業(yè)務(wù)系統(tǒng)的個人信息刪除者（如圖1所示步驟5、6、10）；e)各個人信息傳播域的個人信息刪除者收到刪除通知后，生成刪除指令并要求關(guān)聯(lián)的存儲系統(tǒng)執(zhí)行刪除，待刪除結(jié)束后向本域的刪除通知接收者反饋刪除結(jié)果（如圖1所示步驟7、8）；f)各個人信息傳播域的刪除通知接收者收到刪除結(jié)果后，向上級刪除通知發(fā)送者反饋本域的刪除結(jié)果（如圖1所示步驟11、12）；g)個人信息源域的刪除通知發(fā)送者匯總各域的刪除結(jié)果后，向個人信息主體反饋最終刪除結(jié)果（如圖1所示步驟13）。5刪除控制通用技術(shù)要求5.1刪除觸發(fā)刪除觸發(fā)條件應(yīng)遵守以下要求：a)當(dāng)個人信息處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要時；b)當(dāng)個人信息主體注銷或終止個人信息處理者提供的產(chǎn)品或服務(wù)時；c)當(dāng)個人信息處理者注銷或者產(chǎn)品或者業(yè)務(wù)最終下線、或者保存期限已屆滿時；d)當(dāng)個人信息主體以書面、郵件或信函等形式提出主觀刪除意愿時；e)當(dāng)個人撤回同意時；f)當(dāng)行政主管部門、司法裁定等要求刪除個人信息時；g)依據(jù)個人信息收集時個人信息主體的設(shè)置或者與個人信息處理者的約定，達到刪除條件時；h)法律另有要求的除外。5.2刪除通知與刪除通知確認(rèn)刪除通知與刪除通知確認(rèn)應(yīng)遵守以下要求：a)當(dāng)個人信息未被設(shè)定自動觸發(fā)的刪除條件時，可以通過個人信息主體與個人信息處理者約定的途徑發(fā)送，發(fā)送途徑比如：系統(tǒng)消息、程序接口、人工、電話、短信、郵件、信函等；b)在個人信息全生命周期中留存?zhèn)€人信息的各個環(huán)節(jié)，應(yīng)提供用于接收刪除通知的接口或者其他接收方式；c)刪除通知接收者應(yīng)以適當(dāng)?shù)耐緩椒答亜h除通知確認(rèn)信息，反饋途徑比如：系統(tǒng)消息、程序接口、人工、電話、短信、郵件、信函等；d)刪除通知發(fā)送者應(yīng)具有刪除通知到達驗證能力。5.3刪除延伸控制刪除延伸控制應(yīng)遵守以下要求：a)刪除通知的傳遞順序應(yīng)與個人信息傳播的路徑相同；b)當(dāng)刪除通知在系統(tǒng)內(nèi)部、跨系統(tǒng)、跨管理域、跨網(wǎng)絡(luò)傳遞時，刪除通知中的刪除控制規(guī)則應(yīng)保持一致，包括刪除對象、刪除方式等；c)當(dāng)個人信息處理者將個人信息提供給其他個人信息處理者時，應(yīng)同時傳遞相應(yīng)的刪除規(guī)則，并確保它們履行該刪除規(guī)則。5.4刪除方式6T/CSACXXXXX—XXXX依據(jù)個人信息的刪除等級，個人信息刪除者選擇不同的刪除方式，應(yīng)遵守以下要求：a)可采用物理破壞、化學(xué)破壞等方法刪除個人信息，具體包括：1)物理破壞方法：分解、研磨、粉碎、消磁、壓花、滾花磁性存儲介質(zhì)等；2)化學(xué)破壞方法：溶解、腐蝕、焚化，或者用化學(xué)物質(zhì)剝離磁性存儲介質(zhì)表面信息等。b)可采用加密刪除、多次覆寫刪除等方法刪除個人信息，具體包括：1)加密刪除：使用對稱或者非對稱密碼算法對個人信息進行加密存儲（比如：硬件內(nèi)置加密、文件加密、磁盤分區(qū)加密、存儲設(shè)備加密），在執(zhí)行刪除時，對加密密鑰執(zhí)行密鑰銷毀；2)多次覆寫刪除：在磁性存儲介質(zhì)（比如：磁盤）上執(zhí)行三次及以上的連續(xù)覆寫操作，覆蓋原有數(shù)據(jù)。c)可采用覆寫刪除、填充刪除、硬件內(nèi)置刪除命令等方法刪除個人信息，具體包括：1)覆寫刪除：在磁性存儲介質(zhì)（比如：磁盤）上執(zhí)行兩次及以下的覆寫操作，比如：磁盤完全格式化；2)填充刪除：在固態(tài)存儲介質(zhì)（比如：閃存硬盤）上執(zhí)行擦除操作，比如：閃存硬盤完全格式化；3)硬件內(nèi)置刪除命令：使用硬件內(nèi)置命令，擦除存儲介質(zhì)上的數(shù)據(jù)，如ATASecureErase命令、NVMeFormat命令。5.5刪除存證刪除過程的存證應(yīng)遵守以下要求：a)應(yīng)當(dāng)對刪除全流程中的主體、客體、關(guān)鍵步驟、操作、結(jié)果等進行存證；b)應(yīng)采用技術(shù)手段，使得存證內(nèi)容無法被篡改。5.5.1刪除存證主體刪除存證涉及到的主體包括但不限于：個人信息主體、刪除通知發(fā)送者、刪除通知接收者、個人信息刪除者、中心存證系統(tǒng)、本地存證系統(tǒng)、其他業(yè)務(wù)系統(tǒng)等。5.5.2刪除存證內(nèi)容刪除存證內(nèi)容包括但不限于：刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時間、刪除通知接收時間、刪除觸發(fā)、刪除方式、刪除時間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。5.5.3刪除存證期限刪除存證期限應(yīng)遵守以下要求：a)個人信息主體同意后，刪除存證可以不再繼續(xù)保存；b)達到約定的保持期限后，刪除存證可以不再繼續(xù)保存；c)法律另有要求的除外。6刪除控制技術(shù)的實施要求6.1按需刪除6.1.1按需刪除概述7T/CSACXXXXX—XXXX按需刪除主要是實現(xiàn)個人信息的刪除權(quán)。個人信息源域的刪除通知發(fā)送者根據(jù)個人信息主體刪除意圖生成個人信息按需刪除通知，并需保證所有關(guān)聯(lián)的個人信息傳播域的刪除通知接收者能按照按需刪除通知完成對刪除對象的按需刪除，最終整體實現(xiàn)個人信息完備刪除。按需刪除流程一般應(yīng)包括以下幾個主要步驟：刪除意圖設(shè)置、觸發(fā)條件與流轉(zhuǎn)模式設(shè)置、刪除通知生成、刪除通知發(fā)送與轉(zhuǎn)發(fā)、刪除通知確認(rèn)、刪除操作執(zhí)行、刪除確認(rèn)、刪除存證。按需刪除流程參見附錄A。6.1.2按需刪除意圖設(shè)置個人信息主體設(shè)置按需刪除意圖應(yīng)包括但不限于：刪除對象、刪除時間、刪除等級等。按需刪除意圖的輸入可以通過服務(wù)商應(yīng)用/網(wǎng)頁界面進行設(shè)置。6.1.3按需刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置按需刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置應(yīng)遵守以下要求：a)當(dāng)個人信息主體無自動刪除需求或法律法規(guī)無自動刪除要求時，默認(rèn)基于刪除意圖構(gòu)造按需刪除觸發(fā)條件，并保證其不可偽造性；b)按需刪除觸發(fā)條件應(yīng)隨個人信息流轉(zhuǎn)配置在所有關(guān)聯(lián)的個人信息源域和傳播域的個人信息處理者。6.1.4按需刪除通知生成當(dāng)滿足按需刪除觸發(fā)條件時，按需刪除通知生成應(yīng)遵守以下要求：a)個人信息源域的刪除通知發(fā)送者根據(jù)個人信息主體需要構(gòu)造按需刪除通知；b)按需刪除通知需包含不可偽造性驗證憑證。6.1.5按需刪除通知發(fā)送與轉(zhuǎn)發(fā)當(dāng)按需刪除通知生成后，按需刪除通知的發(fā)送與轉(zhuǎn)發(fā)應(yīng)遵守以下要求：a)按需刪除通知的發(fā)送范圍要與刪除對象的流轉(zhuǎn)范圍保持一致，可以采用逐層逐級下發(fā)的方式；b)個人信息源域的刪除通知發(fā)送者依據(jù)刪除對象的流轉(zhuǎn)路徑，將按需刪除通知發(fā)送給下一層關(guān)聯(lián)的個人信息傳播域的刪除通知接收者；c)收到按需刪除通知后，個人信息傳播域的刪除通知接收者進一步依據(jù)刪除對象的流轉(zhuǎn)路徑，將按需刪除通知轉(zhuǎn)發(fā)給下一層關(guān)聯(lián)的個人信息傳播域的刪除通知接收者；d)以此類推，直到刪除對象關(guān)聯(lián)的所有個人信息傳播域的刪除通知接收者均收到按需刪除通知為止；e)刪除對象關(guān)聯(lián)的個人信息源域和所有傳播域的刪除通知發(fā)送者將按需刪除通知發(fā)送給域內(nèi)個人信息刪除者；f)刪除對象關(guān)聯(lián)的所有個人信息傳播域的刪除通知接收者應(yīng)驗證按需刪除通知的完整性。6.1.6按需刪除通知確認(rèn)收到按需刪除通知后，刪除對象關(guān)聯(lián)的所有個人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者發(fā)送確認(rèn)信息。6.1.7按需刪除操作執(zhí)行刪除對象關(guān)聯(lián)的個人信息源域和所有傳播域中的個人信息刪除者收到按需刪除通知后應(yīng)執(zhí)行按需刪除操作，并遵守以下要求：8T/CSACXXXXX—XXXXa)解析收到的按需刪除通知；b)查找刪除對象，包括：刪除對象的正本信息、多副本信息、分散存儲信息、多備份信息；c)根據(jù)刪除等級，選擇刪除方式，構(gòu)造刪除指令，執(zhí)行刪除指令。刪除等級示例參見附錄B。6.1.8按需刪除確認(rèn)按需刪除完成后，刪除對象關(guān)聯(lián)的個人信息源域和所有傳播域中的個人信息刪除者應(yīng)完成刪除確認(rèn)信息的反饋，并遵守以下要求：a)個人信息源域的個人信息刪除者應(yīng)向本域內(nèi)的刪除通知發(fā)送者反饋域內(nèi)刪除執(zhí)行結(jié)果；b)個人信息傳播域的個人信息刪除者應(yīng)向本域內(nèi)的刪除通知接收者反饋域內(nèi)刪除執(zhí)行結(jié)果；c)各個人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者反饋本域及其下層域的刪除執(zhí)行結(jié)果；d)個人信息源域的刪除通知發(fā)送者收到所有關(guān)聯(lián)的個人信息傳播域的刪除執(zhí)行結(jié)果后，應(yīng)將刪除執(zhí)行整體情況告知個人信息主體；e)告知的方式，可以通過網(wǎng)絡(luò)、郵件、電話等其他方式進行。6.1.9按需刪除存證執(zhí)行按需刪除的各有關(guān)域的刪除通知發(fā)送者、刪除通知接收者、個人信息刪除者應(yīng)本地存證包括但不限于收到的刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時間、刪除通知接收時間、刪除觸發(fā)條件、刪除方式、刪除時間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。6.2自動刪除6.2.1自動刪除概述自動刪除主要是實現(xiàn)個人信息的被遺忘權(quán)。個人信息源域中的個人信息處理者（或刪除通知發(fā)送者）根據(jù)個人信息主體刪除意圖設(shè)置自動刪除觸發(fā)條件，或?qū)⒎?wù)到期或下線作為刪除觸發(fā)條件，并隨個人信息的流轉(zhuǎn)（或通過生成與發(fā)送自動刪除通知）保證所有關(guān)聯(lián)的個人信息傳播域中的個人信息處理者（或刪除通知接收者）設(shè)置同樣的自動刪除觸發(fā)條件。自動刪除的觸發(fā)條件主要包括計時自動刪除和計次自動刪除。當(dāng)刪除觸發(fā)條件達到時，個人信息源域和所有傳播域的個人信息刪除者自動刪除所有刪除對象，最終整體實現(xiàn)個人信息完備刪除。刪除對象關(guān)聯(lián)的個人信息源域和所有傳播域同時應(yīng)遵照法律法規(guī)要求，在各關(guān)聯(lián)域的個人信息處理者（或刪除通知發(fā)送者）處自動觸發(fā)刪除流程。自動刪除流程一般應(yīng)包括以下幾個主要步驟：刪除意圖設(shè)置、觸發(fā)條件與流轉(zhuǎn)模式設(shè)置、觸發(fā)條件同步配置、刪除通知生成、刪除通知發(fā)送與轉(zhuǎn)發(fā)、刪除通知確認(rèn)、刪除操作執(zhí)行、刪除確認(rèn)、刪除存證。自動刪除流程參見附錄A。6.2.2自動刪除意圖設(shè)置個人信息主體設(shè)置自動刪除意圖應(yīng)包括但不限于：刪除對象、自動刪除的時間限制條件、自動刪除的計次限制條件、刪除等級等。自動刪除不依賴于個人信息主體的刪除意圖時，該設(shè)置過程為可選步驟。如果需要設(shè)置，則參照6.1.2的方式進行。自動刪除意圖的輸入可以通過服務(wù)商應(yīng)用/網(wǎng)頁界面進行設(shè)置。6.2.3自動刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置自動刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置應(yīng)遵守以下要求：a)采用技術(shù)方法，根據(jù)刪除意圖或者法律法規(guī)要求構(gòu)造不可偽造性自動刪除觸發(fā)條件；9T/CSACXXXXX—XXXXb)當(dāng)個人信息流轉(zhuǎn)前個人信息主體即已提出自動刪除需求時，自動刪除觸發(fā)條件應(yīng)隨個人信息流轉(zhuǎn)配置在所有關(guān)聯(lián)的個人信息源域和傳播域的個人信息處理者（或刪除通知發(fā)送者）；c)當(dāng)個人信息流轉(zhuǎn)后個人信息主體才提出自動刪除需求時，自動刪除觸發(fā)條件應(yīng)由個人信息源域的刪除通知發(fā)送者依據(jù)個人信息流轉(zhuǎn)路徑依次通知到所有關(guān)聯(lián)的個人信息傳播域的刪除通知接收者。6.2.4自動刪除觸發(fā)條件同步配置當(dāng)個人信息源域或傳播域收到自動刪除觸發(fā)條件時，刪除通知發(fā)送者（或接收者）應(yīng)遵守以下要求：a)解析、驗證、配置收到的自動刪除觸發(fā)條件；b)當(dāng)個人信息繼續(xù)流轉(zhuǎn)且自動刪除觸發(fā)條件為計時自動刪除時，將關(guān)聯(lián)的自動刪除觸發(fā)條件發(fā)送給下一層個人信息傳播域中的刪除通知接收者；c)當(dāng)個人信息繼續(xù)流轉(zhuǎn)且自動刪除觸發(fā)條件為計次自動刪除時，依次向上一層個人信息傳播域的刪除通知發(fā)送者實時反饋個人信息流轉(zhuǎn)次數(shù)，以保證個人信息所有關(guān)聯(lián)域的個人信息流轉(zhuǎn)計次數(shù)全局一致。6.2.5自動刪除通知生成當(dāng)自動刪除觸發(fā)條件滿足時，自動刪除通知生成應(yīng)遵守以下要求：a)個人信息源域的刪除通知發(fā)送者根據(jù)個人信息主體需要構(gòu)造自動刪除通知；b)自動刪除通知需包含不可偽造性驗證憑證。6.2.6自動刪除通知發(fā)送與轉(zhuǎn)發(fā)當(dāng)自動刪除通知生成后，自動刪除通知的發(fā)送與轉(zhuǎn)發(fā)應(yīng)遵守以下要求：a)自動刪除通知的發(fā)送范圍要與刪除對象的流轉(zhuǎn)范圍保持一致，可以采用逐層逐級下發(fā)的方式；b)個人信息源域的刪除通知發(fā)送者依據(jù)刪除對象的流轉(zhuǎn)路徑，將自動刪除通知發(fā)送給下一層關(guān)聯(lián)的個人信息傳播域的刪除通知接收者；c)收到自動刪除通知后，個人信息傳播域的刪除通知發(fā)送者進一步依據(jù)刪除對象的流轉(zhuǎn)路徑，將自動刪除通知轉(zhuǎn)發(fā)給下一層關(guān)聯(lián)的個人信息傳播域的刪除通知接收者；d)以此類推，直到刪除對象關(guān)聯(lián)的所有個人信息傳播域的刪除通知接收者均收到自動刪除通知為止；e)刪除對象關(guān)聯(lián)的個人信息源域和所有傳播域的刪除通知發(fā)送者將自動刪除通知發(fā)送給域內(nèi)個人信息刪除者；f)刪除對象關(guān)聯(lián)的所有個人信息傳播域的刪除通知接收者應(yīng)驗證自動刪除通知的完整性。6.2.7自動刪除通知確認(rèn)收到自動刪除通知后，刪除對象關(guān)聯(lián)的所有個人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者發(fā)送確認(rèn)信息。6.2.8自動刪除操作執(zhí)行刪除對象關(guān)聯(lián)的個人信息源域和所有傳播域中的個人信息刪除者收到自動刪除通知后應(yīng)執(zhí)行自動刪除操作，并遵守以下要求：a)解析收到的自動刪除通知；b)查找刪除對象，包括：刪除對象的正本信息、多副本信息、分散存儲信息、多備份信息；T/CSACXXXXX—XXXXc)根據(jù)刪除等級，選擇刪除方式，構(gòu)造刪除指令，執(zhí)行刪除指令。刪除等級示例參見附錄B。6.2.9自動刪除確認(rèn)自動刪除完成后，刪除對象關(guān)聯(lián)的個人信息源域和所有傳播域中的個人信息刪除者應(yīng)完成刪除確認(rèn)信息的反饋，并遵守以下要求：a)個人信息源域的個人信息刪除者應(yīng)向本域內(nèi)的刪除通知發(fā)送者反饋域內(nèi)刪除執(zhí)行結(jié)果；b)個人信息傳播域的個人信息刪除者應(yīng)向本域內(nèi)的刪除通知接收者反饋域內(nèi)刪除執(zhí)行結(jié)果；c)各個人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者反饋本域及其下層域的刪除執(zhí)行結(jié)果；d)個人信息源域的刪除通知發(fā)送者收到所有關(guān)聯(lián)的個人信息傳播域的刪除執(zhí)行結(jié)果后，應(yīng)將刪除執(zhí)行整體情況告知個人信息主體；e)告知的方式，可以通過網(wǎng)絡(luò)、郵件、電話等其他方式進行。6.2.10自動刪除存證執(zhí)行自動刪除的各有關(guān)域的刪除通知發(fā)送者、刪除通知接收者、個人信息刪除者應(yīng)本地存證包括但不限于收到的刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時間、刪除通知接收時間、刪除觸發(fā)條件、刪除方式、刪除時間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。7刪除異常事件處置與通報要求7.1對刪除過程所涉主體對個人信息刪除操作過程中涉及到的主體應(yīng)遵守以下要求：a)明確刪除異常事件的定義和等級；b)制定刪除異常事件應(yīng)急預(yù)案；c)定期(至少每年一次)組織內(nèi)部相關(guān)人員進行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程；7.2刪除異常事件處置發(fā)生個人信息刪除異常事件后，相關(guān)個人信息源域和傳播域的個人信息處理者應(yīng)根據(jù)應(yīng)急響應(yīng)預(yù)案進行以下處置，并遵守以下要求：a)記錄事件內(nèi)容，包括但不限于：發(fā)現(xiàn)事件的人員、時間、地點，涉及的個人信息，發(fā)生事件的系統(tǒng)名稱，對其他互聯(lián)系統(tǒng)的影響，是否已聯(lián)系執(zhí)法機關(guān)或有關(guān)部門；b)評估事件可能造成的影響，并采取必要措施控制事態(tài)，消除隱患；c)按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等有關(guān)規(guī)定及時上報報告內(nèi)容句括不限干涉及個人信息主體的類型、數(shù)量、內(nèi)容、性質(zhì)等總體情況,事件可能造成的影響，已采取或?qū)⒁扇〉奶幹么胧?事件處置相關(guān)人員的聯(lián)系方式；d)個人信息刪除異常事件可能會給個人信息主體的合法權(quán)益造成嚴(yán)重危害的，如隱私信息泄露，應(yīng)及時告知個人信息主體；e)對預(yù)案外發(fā)生的異常事件，應(yīng)根據(jù)事