隱私計(jì)算刪除控制技術(shù)要求

隱私計(jì)算刪除控制技術(shù)要求范圍本文件描述了個(gè)人信息刪除控制的機(jī)制及其安全要求，包含刪除通知與確認(rèn)、副本查找、自動(dòng)刪除與按需刪除、刪除存證等環(huán)節(jié)的控制技術(shù)要求等。本文件適用于規(guī)范各類組織對(duì)個(gè)人信息刪除處理的控制技術(shù)要求，也可為主管監(jiān)管機(jī)構(gòu)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息刪除處理進(jìn)行監(jiān)督、管理、評(píng)估提供參考。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性應(yīng)用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范術(shù)語和定義

個(gè)人信息personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包含個(gè)人信息本身及其衍生信息,不包括匿名化處理后的信息。[來源：GB/T35273—2020,3.1,有修改]

個(gè)人信息主體personalinformationsubject是指個(gè)人信息所識(shí)別或者關(guān)聯(lián)的自然人。[來源：GB/T35273—2020,3.3]

隱私信息privateinformation能通過信息系統(tǒng)進(jìn)行處理的敏感個(gè)人信息，是個(gè)人信息記錄中的標(biāo)識(shí)符、準(zhǔn)標(biāo)識(shí)符和敏感屬性的集合。隱私信息包括個(gè)人生物特征信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個(gè)人信息等。

刪除delete采用訪問控制、消磁、物理破壞等技術(shù)或措施，使得信息不能被訪問或被檢索，或者從物理上去除了信息并保障其難以恢復(fù)的操作。刪除包括不能被訪問或被檢索、全部物理刪除或部分物理刪除。[來源：GB/T35273—2020,3.10,有修改]

數(shù)據(jù)恢復(fù)datarecovery通過專門的計(jì)算機(jī)軟件、硬件等技術(shù)，從刪除對(duì)象曾經(jīng)留存過的存儲(chǔ)系統(tǒng)或介質(zhì)中，重建被刪除對(duì)象的過程。

刪除對(duì)象deletedobject刪除操作的客體。刪除對(duì)象包括個(gè)人信息的正本信息、副本信息、正本信息的一部分、副本信息的一部分，以及正本信息與副本信息的全部或者部分的組合。

刪除等級(jí)deletelevel對(duì)刪除對(duì)象可恢復(fù)程度和難度的量化分級(jí)。

刪除意圖deleteintention是指個(gè)人信息主體對(duì)自身個(gè)人信息何時(shí)何地何條件何等級(jí)下的刪除需求，刪除意圖包括：刪除對(duì)象、刪除時(shí)間、刪除空間、刪除等級(jí)等內(nèi)容，以及個(gè)人信息主體的個(gè)性化約束條件。

刪除通知deletenotification用于指示刪除對(duì)象關(guān)聯(lián)方如何刪除的請求，通知內(nèi)容包括：刪除通知發(fā)送者、刪除通知接收者、刪除對(duì)象標(biāo)識(shí)、刪除觸發(fā)條件、刪除方式、刪除通知確認(rèn)方式等內(nèi)容。

刪除指令deleteinstructions基于刪除通知構(gòu)造的、程序可識(shí)別可執(zhí)行的刪除命令。

刪除通知發(fā)送者deletenotificationsender是指刪除通知的發(fā)起方（含通知生成）或轉(zhuǎn)發(fā)方，刪除通知發(fā)送者可以為人、組織、設(shè)備、程序。

刪除通知接收者deletenotificationrecipient是指刪除通知的接收方，并將刪除通知解析為刪除指令，分發(fā)給個(gè)人信息刪除者。刪除通知接收者一般為個(gè)人或者組織。

刪除通知確認(rèn)deletenotificationconfirmation是指刪除通知送達(dá)刪除通知接收者后，接收者給刪除通知發(fā)送者反饋的接收確認(rèn)信息。確認(rèn)信息包含：刪除通知接收者標(biāo)識(shí)、刪除對(duì)象標(biāo)識(shí)、通知確認(rèn)時(shí)間、通知確認(rèn)的驗(yàn)證信息等內(nèi)容。

刪除通知到達(dá)驗(yàn)證delete-notification’sarrivalverification以抗抵賴的方式證明刪除通知已經(jīng)送達(dá)刪除通知接收者。

個(gè)人信息刪除者personalinformationremover對(duì)持有的個(gè)人信息執(zhí)行刪除操作的實(shí)體。

刪除執(zhí)行反饋deleteexecutionfeedback是指個(gè)人信息刪除者執(zhí)行刪除操作后，將刪除結(jié)果反饋給刪除通知接收者，然后由刪除通知接收者反饋給刪除通知發(fā)送者。

按需刪除on-demanddelete是指刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者按照個(gè)人信息主體刪除意圖隨時(shí)觸發(fā)的刪除操作流程。

自動(dòng)刪除automaticdelete是指刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者按照個(gè)人信息主體預(yù)先設(shè)置的刪除意圖或者法律法規(guī)的要求，自行觸發(fā)的刪除操作流程。自動(dòng)刪除與按需刪除的主要差異在于，按需刪除一定包含了個(gè)人信息主體的刪除意圖。

刪除約束條件deleteconstraint是指對(duì)刪除對(duì)象執(zhí)行的刪除操作流程需滿足的觸發(fā)要求、執(zhí)行要求、反饋要求。

刪除觸發(fā)條件triggerconditionsfordeletion根據(jù)刪除意圖或者法律法規(guī)生成的，一旦匹配即刻觸發(fā)刪除流程的判定條件，包括：時(shí)間條件、個(gè)人信息流傳次數(shù)條件、接收到刪除通知等。刪除觸發(fā)條件一般包括：刪除約束時(shí)間、刪除約束流轉(zhuǎn)次數(shù)、符合刪除約束位置、符合刪除約束設(shè)備、符合刪除約束網(wǎng)絡(luò)、符合刪除約束操作、接收到通知、發(fā)生違規(guī)使用行為、符合指定信息屬性、符合刪除執(zhí)行主體。

多副本信息multiplecopiesinformation是指同一個(gè)人信息存儲(chǔ)于不同管理域、信息系統(tǒng)的多拷貝。

多備份信息multiplebackupinformation是指同一個(gè)人信息存儲(chǔ)于同一個(gè)管理域或者同一個(gè)信息系統(tǒng)內(nèi)的多拷貝。

分散存儲(chǔ)信息distributedstorageinformation是指同一個(gè)人信息拆分后分布式存儲(chǔ)于不同存儲(chǔ)設(shè)備/系統(tǒng)中的部分。

完備刪除completedelete是指刪除個(gè)人信息的正本信息、多副本信息、分散存儲(chǔ)信息和多備份信息。

個(gè)人信息處理者personalinformationprocessor對(duì)個(gè)人信息進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除、脫敏、存證與取證等操作的實(shí)體。

個(gè)人信息源域originaldomainofpersonalinformation是指個(gè)人信息主體首次留存?zhèn)€人信息的管理域。

個(gè)人信息傳播域broadcastingdomainofpersonalinformation是指個(gè)人信息流轉(zhuǎn)過程中由個(gè)人信息源域傳播到達(dá)的管理域。

刪除延伸控制extendeddeletecontrol是指刪除意圖、刪除通知及其確認(rèn)、刪除執(zhí)行反饋及其驗(yàn)證等刪除控制規(guī)則的傳遞應(yīng)與刪除對(duì)象傳播路徑保持一致。傳播范圍包括：系統(tǒng)內(nèi)部、跨系統(tǒng)、跨管理域、跨網(wǎng)絡(luò)等。概述刪除的目的保障個(gè)人信息，特別是隱私信息，在業(yè)務(wù)非必要使用時(shí)，按照個(gè)人信息主體刪除意圖或者法律法規(guī)的要求，進(jìn)行個(gè)人信息刪除，以降低個(gè)人信息被泄露、非法使用的風(fēng)險(xiǎn)，支撐個(gè)人信息主體的刪除權(quán)和被遺忘權(quán)。刪除的基本原則個(gè)人信息處理者開展個(gè)人信息刪除處理應(yīng)遵循及時(shí)、透明的原則，具體包括:按照與個(gè)人信息主體的約定或設(shè)置，采取技術(shù)、人工等手段保障個(gè)人信息完備刪除；以明確、易懂與合理的方式向個(gè)人信息主體及時(shí)告知?jiǎng)h除結(jié)果，包括：時(shí)間、范圍、規(guī)則等；存證刪除流程的關(guān)鍵狀態(tài)，并接受監(jiān)管機(jī)構(gòu)或第三方評(píng)估機(jī)構(gòu)審查，保障個(gè)人信息可信刪除；由于個(gè)人信息未能按照約定及時(shí)刪除導(dǎo)致個(gè)人信息主體合法權(quán)益造成損害時(shí)，應(yīng)承擔(dān)責(zé)任。刪除控制的基本流程圖SEQ圖\*ARABIC1個(gè)人信息刪除控制基本流程如圖1所示，個(gè)人信息刪除控制的基本流程如下：個(gè)人信息主體根據(jù)需求設(shè)置刪除意圖，并發(fā)送給個(gè)人信息源域的刪除通知發(fā)送者（如圖1所示步驟1）；個(gè)人信息源域的刪除通知發(fā)送者生成刪除通知，將刪除通知逐級(jí)發(fā)送給刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者，同時(shí)也將刪除通知發(fā)送給本域且與刪除對(duì)象關(guān)聯(lián)的所有業(yè)務(wù)系統(tǒng)的個(gè)人信息刪除者（如圖1所示步驟2、8、9）；個(gè)人信息源域的個(gè)人信息刪除者收到刪除通知后，生成刪除指令并要求關(guān)聯(lián)的存儲(chǔ)系統(tǒng)執(zhí)行刪除，待刪除結(jié)束后向本域的刪除通知發(fā)送者反饋刪除結(jié)果（如圖1所示步驟3、4）；各個(gè)人信息傳播域的刪除通知接收者收到刪除通知后，向上級(jí)刪除通知發(fā)送者反饋刪除通知確認(rèn)信息，并將刪除通知發(fā)送給本域且與刪除對(duì)象關(guān)聯(lián)的所有業(yè)務(wù)系統(tǒng)的個(gè)人信息刪除者（如圖1所示步驟5、6、10）；各個(gè)人信息傳播域的個(gè)人信息刪除者收到刪除通知后，生成刪除指令并要求關(guān)聯(lián)的存儲(chǔ)系統(tǒng)執(zhí)行刪除，待刪除結(jié)束后向本域的刪除通知接收者反饋刪除結(jié)果（如圖1所示步驟7、8）；各個(gè)人信息傳播域的刪除通知接收者收到刪除結(jié)果后，向上級(jí)刪除通知發(fā)送者反饋本域的刪除結(jié)果（如圖1所示步驟11、12）；個(gè)人信息源域的刪除通知發(fā)送者匯總各域的刪除結(jié)果后，向個(gè)人信息主體反饋?zhàn)罱K刪除結(jié)果（如圖1所示步驟13）。刪除控制通用技術(shù)要求刪除觸發(fā)刪除觸發(fā)條件應(yīng)遵守以下要求：當(dāng)個(gè)人信息處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要時(shí)；當(dāng)個(gè)人信息主體注銷或終止個(gè)人信息處理者提供的產(chǎn)品或服務(wù)時(shí)；當(dāng)個(gè)人信息處理者注銷或者產(chǎn)品或者業(yè)務(wù)最終下線、或者保存期限已屆滿時(shí)；當(dāng)個(gè)人信息主體以書面、郵件或信函等形式提出主觀刪除意愿時(shí)；當(dāng)個(gè)人撤回同意時(shí)；當(dāng)行政主管部門、司法裁定等要求刪除個(gè)人信息時(shí)；依據(jù)個(gè)人信息收集時(shí)個(gè)人信息主體的設(shè)置或者與個(gè)人信息處理者的約定，達(dá)到刪除條件時(shí)；法律另有要求的除外。刪除通知與刪除通知確認(rèn)刪除通知與刪除通知確認(rèn)應(yīng)遵守以下要求：當(dāng)個(gè)人信息未被設(shè)定自動(dòng)觸發(fā)的刪除條件時(shí)，可以通過個(gè)人信息主體與個(gè)人信息處理者約定的途徑發(fā)送，發(fā)送途徑比如：系統(tǒng)消息、程序接口、人工、電話、短信、郵件、信函等；在個(gè)人信息全生命周期中留存?zhèn)€人信息的各個(gè)環(huán)節(jié)，應(yīng)提供用于接收刪除通知的接口或者其他接收方式；刪除通知接收者應(yīng)以適當(dāng)?shù)耐緩椒答亜h除通知確認(rèn)信息，反饋途徑比如：系統(tǒng)消息、程序接口、人工、電話、短信、郵件、信函等；刪除通知發(fā)送者應(yīng)具有刪除通知到達(dá)驗(yàn)證能力。刪除延伸控制刪除延伸控制應(yīng)遵守以下要求：刪除通知的傳遞順序應(yīng)與個(gè)人信息傳播的路徑相同；當(dāng)刪除通知在系統(tǒng)內(nèi)部、跨系統(tǒng)、跨管理域、跨網(wǎng)絡(luò)傳遞時(shí)，刪除通知中的刪除控制規(guī)則應(yīng)保持一致，包括刪除對(duì)象、刪除方式等；當(dāng)個(gè)人信息處理者將個(gè)人信息提供給其他個(gè)人信息處理者時(shí)，應(yīng)同時(shí)傳遞相應(yīng)的刪除規(guī)則，并確保它們履行該刪除規(guī)則。刪除方式依據(jù)個(gè)人信息的刪除等級(jí)，個(gè)人信息刪除者選擇不同的刪除方式，應(yīng)遵守以下要求：可采用物理破壞、化學(xué)破壞等方法刪除個(gè)人信息，具體包括：物理破壞方法：分解、研磨、粉碎、消磁、壓花、滾花磁性存儲(chǔ)介質(zhì)等；化學(xué)破壞方法：溶解、腐蝕、焚化，或者用化學(xué)物質(zhì)剝離磁性存儲(chǔ)介質(zhì)表面信息等?？刹捎眉用軇h除、多次覆寫刪除等方法刪除個(gè)人信息，具體包括：加密刪除：使用對(duì)稱或者非對(duì)稱密碼算法對(duì)個(gè)人信息進(jìn)行加密存儲(chǔ)（比如：硬件內(nèi)置加密、文件加密、磁盤分區(qū)加密、存儲(chǔ)設(shè)備加密），在執(zhí)行刪除時(shí)，對(duì)加密密鑰執(zhí)行密鑰銷毀；多次覆寫刪除：在磁性存儲(chǔ)介質(zhì)（比如：磁盤）上執(zhí)行三次及以上的連續(xù)覆寫操作，覆蓋原有數(shù)據(jù)。可采用覆寫刪除、填充刪除、硬件內(nèi)置刪除命令等方法刪除個(gè)人信息，具體包括：覆寫刪除：在磁性存儲(chǔ)介質(zhì)（比如：磁盤）上執(zhí)行兩次及以下的覆寫操作，比如：磁盤完全格式化；填充刪除：在固態(tài)存儲(chǔ)介質(zhì)（比如：閃存硬盤）上執(zhí)行擦除操作，比如：閃存硬盤完全格式化；硬件內(nèi)置刪除命令：使用硬件內(nèi)置命令，擦除存儲(chǔ)介質(zhì)上的數(shù)據(jù)，如ATASecureErase命令、NVMeFormat命令。刪除存證刪除過程的存證應(yīng)遵守以下要求：應(yīng)當(dāng)對(duì)刪除全流程中的主體、客體、關(guān)鍵步驟、操作、結(jié)果等進(jìn)行存證；應(yīng)采用技術(shù)手段，使得存證內(nèi)容無法被篡改。刪除存證主體刪除存證涉及到的主體包括但不限于：個(gè)人信息主體、刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者、中心存證系統(tǒng)、本地存證系統(tǒng)、其他業(yè)務(wù)系統(tǒng)等。刪除存證內(nèi)容刪除存證內(nèi)容包括但不限于：刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時(shí)間、刪除通知接收時(shí)間、刪除觸發(fā)、刪除方式、刪除時(shí)間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。刪除存證期限刪除存證期限應(yīng)遵守以下要求：個(gè)人信息主體同意后，刪除存證可以不再繼續(xù)保存；達(dá)到約定的保持期限后，刪除存證可以不再繼續(xù)保存；法律另有要求的除外。刪除控制技術(shù)的實(shí)施要求按需刪除按需刪除概述按需刪除主要是實(shí)現(xiàn)個(gè)人信息的刪除權(quán)。個(gè)人信息源域的刪除通知發(fā)送者根據(jù)個(gè)人信息主體刪除意圖生成個(gè)人信息按需刪除通知，并需保證所有關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者能按照按需刪除通知完成對(duì)刪除對(duì)象的按需刪除，最終整體實(shí)現(xiàn)個(gè)人信息完備刪除。按需刪除流程一般應(yīng)包括以下幾個(gè)主要步驟：刪除意圖設(shè)置、觸發(fā)條件與流轉(zhuǎn)模式設(shè)置、刪除通知生成、刪除通知發(fā)送與轉(zhuǎn)發(fā)、刪除通知確認(rèn)、刪除操作執(zhí)行、刪除確認(rèn)、刪除存證。按需刪除流程參見附錄A。按需刪除意圖設(shè)置個(gè)人信息主體設(shè)置按需刪除意圖應(yīng)包括但不限于：刪除對(duì)象、刪除時(shí)間、刪除等級(jí)等。按需刪除意圖的輸入可以通過服務(wù)商應(yīng)用/網(wǎng)頁界面進(jìn)行設(shè)置。按需刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置按需刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置應(yīng)遵守以下要求：當(dāng)個(gè)人信息主體無自動(dòng)刪除需求或法律法規(guī)無自動(dòng)刪除要求時(shí)，默認(rèn)基于刪除意圖構(gòu)造按需刪除觸發(fā)條件，并保證其不可偽造性；按需刪除觸發(fā)條件應(yīng)隨個(gè)人信息流轉(zhuǎn)配置在所有關(guān)聯(lián)的個(gè)人信息源域和傳播域的個(gè)人信息處理者。按需刪除通知生成當(dāng)滿足按需刪除觸發(fā)條件時(shí)，按需刪除通知生成應(yīng)遵守以下要求：個(gè)人信息源域的刪除通知發(fā)送者根據(jù)個(gè)人信息主體需要構(gòu)造按需刪除通知；按需刪除通知需包含不可偽造性驗(yàn)證憑證。按需刪除通知發(fā)送與轉(zhuǎn)發(fā)當(dāng)按需刪除通知生成后，按需刪除通知的發(fā)送與轉(zhuǎn)發(fā)應(yīng)遵守以下要求：按需刪除通知的發(fā)送范圍要與刪除對(duì)象的流轉(zhuǎn)范圍保持一致，可以采用逐層逐級(jí)下發(fā)的方式；個(gè)人信息源域的刪除通知發(fā)送者依據(jù)刪除對(duì)象的流轉(zhuǎn)路徑，將按需刪除通知發(fā)送給下一層關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者；收到按需刪除通知后，個(gè)人信息傳播域的刪除通知接收者進(jìn)一步依據(jù)刪除對(duì)象的流轉(zhuǎn)路徑，將按需刪除通知轉(zhuǎn)發(fā)給下一層關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者；以此類推，直到刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者均收到按需刪除通知為止；刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域的刪除通知發(fā)送者將按需刪除通知發(fā)送給域內(nèi)個(gè)人信息刪除者；刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者應(yīng)驗(yàn)證按需刪除通知的完整性。按需刪除通知確認(rèn)收到按需刪除通知后，刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者發(fā)送確認(rèn)信息。按需刪除操作執(zhí)行刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域中的個(gè)人信息刪除者收到按需刪除通知后應(yīng)執(zhí)行按需刪除操作，并遵守以下要求：解析收到的按需刪除通知；查找刪除對(duì)象，包括：刪除對(duì)象的正本信息、多副本信息、分散存儲(chǔ)信息、多備份信息；根據(jù)刪除等級(jí)，選擇刪除方式，構(gòu)造刪除指令，執(zhí)行刪除指令。刪除等級(jí)示例參見附錄B。按需刪除確認(rèn)按需刪除完成后，刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域中的個(gè)人信息刪除者應(yīng)完成刪除確認(rèn)信息的反饋，并遵守以下要求：個(gè)人信息源域的個(gè)人信息刪除者應(yīng)向本域內(nèi)的刪除通知發(fā)送者反饋域內(nèi)刪除執(zhí)行結(jié)果；個(gè)人信息傳播域的個(gè)人信息刪除者應(yīng)向本域內(nèi)的刪除通知接收者反饋域內(nèi)刪除執(zhí)行結(jié)果；各個(gè)人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者反饋本域及其下層域的刪除執(zhí)行結(jié)果；個(gè)人信息源域的刪除通知發(fā)送者收到所有關(guān)聯(lián)的個(gè)人信息傳播域的刪除執(zhí)行結(jié)果后，應(yīng)將刪除執(zhí)行整體情況告知個(gè)人信息主體；告知的方式，可以通過網(wǎng)絡(luò)、郵件、電話等其他方式進(jìn)行。按需刪除存證執(zhí)行按需刪除的各有關(guān)域的刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者應(yīng)本地存證包括但不限于收到的刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時(shí)間、刪除通知接收時(shí)間、刪除觸發(fā)條件、刪除方式、刪除時(shí)間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。自動(dòng)刪除自動(dòng)刪除概述自動(dòng)刪除主要是實(shí)現(xiàn)個(gè)人信息的被遺忘權(quán)。個(gè)人信息源域中的個(gè)人信息處理者（或刪除通知發(fā)送者）根據(jù)個(gè)人信息主體刪除意圖設(shè)置自動(dòng)刪除觸發(fā)條件，或?qū)⒎?wù)到期或下線作為刪除觸發(fā)條件，并隨個(gè)人信息的流轉(zhuǎn)（或通過生成與發(fā)送自動(dòng)刪除通知）保證所有關(guān)聯(lián)的個(gè)人信息傳播域中的個(gè)人信息處理者（或刪除通知接收者）設(shè)置同樣的自動(dòng)刪除觸發(fā)條件。自動(dòng)刪除的觸發(fā)條件主要包括計(jì)時(shí)自動(dòng)刪除和計(jì)次自動(dòng)刪除。當(dāng)刪除觸發(fā)條件達(dá)到時(shí)，個(gè)人信息源域和所有傳播域的個(gè)人信息刪除者自動(dòng)刪除所有刪除對(duì)象，最終整體實(shí)現(xiàn)個(gè)人信息完備刪除。刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域同時(shí)應(yīng)遵照法律法規(guī)要求，在各關(guān)聯(lián)域的個(gè)人信息處理者（或刪除通知發(fā)送者）處自動(dòng)觸發(fā)刪除流程。自動(dòng)刪除流程一般應(yīng)包括以下幾個(gè)主要步驟：刪除意圖設(shè)置、觸發(fā)條件與流轉(zhuǎn)模式設(shè)置、觸發(fā)條件同步配置、刪除通知生成、刪除通知發(fā)送與轉(zhuǎn)發(fā)、刪除通知確認(rèn)、刪除操作執(zhí)行、刪除確認(rèn)、刪除存證。自動(dòng)刪除流程參見附錄A。自動(dòng)刪除意圖設(shè)置個(gè)人信息主體設(shè)置自動(dòng)刪除意圖應(yīng)包括但不限于：刪除對(duì)象、自動(dòng)刪除的時(shí)間限制條件、自動(dòng)刪除的計(jì)次限制條件、刪除等級(jí)等。自動(dòng)刪除不依賴于個(gè)人信息主體的刪除意圖時(shí)，該設(shè)置過程為可選步驟。如果需要設(shè)置，則參照6.1.2的方式進(jìn)行。自動(dòng)刪除意圖的輸入可以通過服務(wù)商應(yīng)用/網(wǎng)頁界面進(jìn)行設(shè)置。自動(dòng)刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置自動(dòng)刪除觸發(fā)條件與流轉(zhuǎn)模式設(shè)置應(yīng)遵守以下要求：采用技術(shù)方法，根據(jù)刪除意圖或者法律法規(guī)要求構(gòu)造不可偽造性自動(dòng)刪除觸發(fā)條件；當(dāng)個(gè)人信息流轉(zhuǎn)前個(gè)人信息主體即已提出自動(dòng)刪除需求時(shí)，自動(dòng)刪除觸發(fā)條件應(yīng)隨個(gè)人信息流轉(zhuǎn)配置在所有關(guān)聯(lián)的個(gè)人信息源域和傳播域的個(gè)人信息處理者（或刪除通知發(fā)送者）；當(dāng)個(gè)人信息流轉(zhuǎn)后個(gè)人信息主體才提出自動(dòng)刪除需求時(shí)，自動(dòng)刪除觸發(fā)條件應(yīng)由個(gè)人信息源域的刪除通知發(fā)送者依據(jù)個(gè)人信息流轉(zhuǎn)路徑依次通知到所有關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者。自動(dòng)刪除觸發(fā)條件同步配置當(dāng)個(gè)人信息源域或傳播域收到自動(dòng)刪除觸發(fā)條件時(shí)，刪除通知發(fā)送者（或接收者）應(yīng)遵守以下要求：解析、驗(yàn)證、配置收到的自動(dòng)刪除觸發(fā)條件；當(dāng)個(gè)人信息繼續(xù)流轉(zhuǎn)且自動(dòng)刪除觸發(fā)條件為計(jì)時(shí)自動(dòng)刪除時(shí)，將關(guān)聯(lián)的自動(dòng)刪除觸發(fā)條件發(fā)送給下一層個(gè)人信息傳播域中的刪除通知接收者；當(dāng)個(gè)人信息繼續(xù)流轉(zhuǎn)且自動(dòng)刪除觸發(fā)條件為計(jì)次自動(dòng)刪除時(shí)，依次向上一層個(gè)人信息傳播域的刪除通知發(fā)送者實(shí)時(shí)反饋個(gè)人信息流轉(zhuǎn)次數(shù)，以保證個(gè)人信息所有關(guān)聯(lián)域的個(gè)人信息流轉(zhuǎn)計(jì)次數(shù)全局一致。自動(dòng)刪除通知生成當(dāng)自動(dòng)刪除觸發(fā)條件滿足時(shí)，自動(dòng)刪除通知生成應(yīng)遵守以下要求：個(gè)人信息源域的刪除通知發(fā)送者根據(jù)個(gè)人信息主體需要構(gòu)造自動(dòng)刪除通知；自動(dòng)刪除通知需包含不可偽造性驗(yàn)證憑證。自動(dòng)刪除通知發(fā)送與轉(zhuǎn)發(fā)當(dāng)自動(dòng)刪除通知生成后，自動(dòng)刪除通知的發(fā)送與轉(zhuǎn)發(fā)應(yīng)遵守以下要求：自動(dòng)刪除通知的發(fā)送范圍要與刪除對(duì)象的流轉(zhuǎn)范圍保持一致，可以采用逐層逐級(jí)下發(fā)的方式；個(gè)人信息源域的刪除通知發(fā)送者依據(jù)刪除對(duì)象的流轉(zhuǎn)路徑，將自動(dòng)刪除通知發(fā)送給下一層關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者；收到自動(dòng)刪除通知后，個(gè)人信息傳播域的刪除通知發(fā)送者進(jìn)一步依據(jù)刪除對(duì)象的流轉(zhuǎn)路徑，將自動(dòng)刪除通知轉(zhuǎn)發(fā)給下一層關(guān)聯(lián)的個(gè)人信息傳播域的刪除通知接收者；以此類推，直到刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者均收到自動(dòng)刪除通知為止；刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域的刪除通知發(fā)送者將自動(dòng)刪除通知發(fā)送給域內(nèi)個(gè)人信息刪除者；刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者應(yīng)驗(yàn)證自動(dòng)刪除通知的完整性。自動(dòng)刪除通知確認(rèn)收到自動(dòng)刪除通知后，刪除對(duì)象關(guān)聯(lián)的所有個(gè)人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者發(fā)送確認(rèn)信息。自動(dòng)刪除操作執(zhí)行刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域中的個(gè)人信息刪除者收到自動(dòng)刪除通知后應(yīng)執(zhí)行自動(dòng)刪除操作，并遵守以下要求：解析收到的自動(dòng)刪除通知；查找刪除對(duì)象，包括：刪除對(duì)象的正本信息、多副本信息、分散存儲(chǔ)信息、多備份信息；根據(jù)刪除等級(jí)，選擇刪除方式，構(gòu)造刪除指令，執(zhí)行刪除指令。刪除等級(jí)示例參見附錄B。自動(dòng)刪除確認(rèn)自動(dòng)刪除完成后，刪除對(duì)象關(guān)聯(lián)的個(gè)人信息源域和所有傳播域中的個(gè)人信息刪除者應(yīng)完成刪除確認(rèn)信息的反饋，并遵守以下要求：個(gè)人信息源域的個(gè)人信息刪除者應(yīng)向本域內(nèi)的刪除通知發(fā)送者反饋域內(nèi)刪除執(zhí)行結(jié)果；個(gè)人信息傳播域的個(gè)人信息刪除者應(yīng)向本域內(nèi)的刪除通知接收者反饋域內(nèi)刪除執(zhí)行結(jié)果；各個(gè)人信息傳播域的刪除通知接收者應(yīng)向上一層刪除通知發(fā)送者反饋本域及其下層域的刪除執(zhí)行結(jié)果；個(gè)人信息源域的刪除通知發(fā)送者收到所有關(guān)聯(lián)的個(gè)人信息傳播域的刪除執(zhí)行結(jié)果后，應(yīng)將刪除執(zhí)行整體情況告知個(gè)人信息主體；告知的方式，可以通過網(wǎng)絡(luò)、郵件、電話等其他方式進(jìn)行。自動(dòng)刪除存證執(zhí)行自動(dòng)刪除的各有關(guān)域的刪除通知發(fā)送者、刪除通知接收者、個(gè)人信息刪除者應(yīng)本地存證包括但不限于收到的刪除意圖、刪除通知、刪除通知確認(rèn)、刪除通知發(fā)送時(shí)間、刪除通知接收時(shí)間、刪除觸發(fā)條件、刪除方式、刪除時(shí)間、刪除指令、刪除算法及參數(shù)、刪除結(jié)果等。刪除異常事件處置與通報(bào)要求對(duì)刪除過程所涉主體對(duì)個(gè)人信息刪除操作過程中涉及到的主體應(yīng)遵守以下要求：明確刪除異常事件的定義和等級(jí)；制定刪除異常事件應(yīng)急預(yù)案；定期(至少每年一次)組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程；刪除異常事件處置發(fā)生個(gè)人信息刪除異常事件后，相關(guān)個(gè)人信息源域和傳播域的個(gè)人信息處理者應(yīng)根據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行以下處置，并遵守以下要求：記錄事件內(nèi)容，包括但不限于：發(fā)現(xiàn)事件的人員、時(shí)間、地點(diǎn)，涉及的個(gè)人信息，發(fā)生事件的系統(tǒng)名稱，對(duì)其他互聯(lián)系統(tǒng)的影響，是否已聯(lián)系執(zhí)法機(jī)關(guān)或有關(guān)部門