随着大数据、人工智能、云计算等新技术在金融业深入应用，金融数据逐步实现从信息化资产到生产要素的转变，其重要性日益凸显。数据泄露、滥用、篡改等安全威胁的影响逐步从机构内转移扩大至机构间和行业间，甚至影响国家安全、社会秩序、公众利益和金融市场稳定。强化金融业数据保护能力，保障金融数据安全流动，已成为当前亟待解决的问题。

2021年4月8日全国金融标准化技术委员会正式公布了由中国人民银行发布的JR/T 0223-2021 《金融数据安全 数据生命周期安全规范》标准（以下简称“数据安全规范”或“规范”），并于即日实施。

该规范规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求，建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架。此规范在制定过程中，结合金融行业实践，将金融数据生命周期的定义如下：

关于数据删除

规范明确要求，超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据，应执行数据删除操作。在金融产品和服务所涉及的系统中删除数据应采取技术手段、并且需要使其保持不可被检索、访问的状态。

关于数据销毁

规范明确要求金融业机构在停止业务服务、数据使用以及存储空间释放再分配等场景下，对数据库、服务器和终端中的剩余数据以及硬件存储介质等采用数据擦除或者物理销毁的方式确保数据无法复原。

对于继续使用的存储介质，不应只采用删除索引、删除文件系统的方式进行数据销毁，应通过多次覆写等方式安全地擦除数据，确保介质中的数据不可再被恢复或者以其他形式被利用，具体措施包括但不限于：

1)  采用数据擦除方式销毁数据时，明确定义数据填充方式与擦除次数如全零、全一以及随机零一最少填写 7 次，并保证数据擦除所填充的字符完全覆盖存储数据区域。

2)  通过数据恢复工具或数据发现工具进行数据的尝试恢复及检查，验证数据销毁结果。 

数据销毁作为数据安全建设中非常重要的一环，可以有效防止数据泄露、滥用或不当使用，保护个人隐私和企业机密。未经安全销毁的数据可能被黑客窃取，或者被不法分子用于非法活动，给企业和个人造成难以弥补的损失。因此，数据安全建设必须将数据销毁作为一个重要的环节，以保证数据安全的全生命周期管理。

目前公开可查的国家标准，BMB21-2019标准是“涉及国家秘密的载体销毁与信息消除安全保密要求”，即对涉国家秘密的载体销毁和信息消除的标准进行了明确。数据销毁行业内有个别单位能够达到该标准、具备国家保密科技测评中心颁布的“涉密信息系统产品检测证书”。因此，数据处理者亦可根据要求较高的相关国家标准，以此审核第三方数据销毁的技术能力。

数据擦除专家-云擦

云擦数据擦除SaaS管理平台，是由北京卫达云计算有限公司自主研发的一款数据清理系统；该系统通过国家保密局所属“国家保密科技测评中心”专业检测，达到国家保密局BMB21-2019标准，可以完全清除存储设备中的数据且不被恢复，保证企业数据安全。通过“云擦”清理过的每一台设备，都将提供由国家保密局双方都认可的清除报告，保证设备清理的合规性和安全性。

云擦通过使用二进制“0”和“1”的形式，将数据存储设备上的所有数据安全地覆写在存储设备的扇区上，对存储设备进行数据覆写后，原数据不可恢复，从而实现数据清理。云擦区别于设备格式化，央视315晚会发布，恢复出厂设置不一定能彻底清除手机数据；315信息安全实验室对此展开了专门的测试，测试结果表明：一键删除、快速格式化、默认不勾选“格式化SD卡和手机存储”等操作均不能完全将数据删除。

01 应用场景

· 数据迁移：当数据从旧服务器转移到新服务器、或者从一台硬件设备虚拟机迁移到另一个台虚拟机时，原始数据需要被擦除；

· 灾难性数据恢复：成功恢复生产系统后，任何恢复磁盘上的数据都应该被擦除；

· 数据报废：当设备租赁期满或项目结案时，需要对设备上的全部数据进行擦除；

· 员工入职和离职：硬件设备需要交接，此过程需要对设备进行擦除，以防止数据泄露；

· 数据资产报废：当服务器、数据存储、设备或其他IT资产即将被转售或废弃时，数据需要被擦除；

· 退出云端：当用户退出云服务时，必须执行数据擦除以确保数据安全。

02 可服务的设备类型

· IT数据类产品：服务器、存储设备、网络、语音等；

· 移动产品：手机、平板电脑等；

· PC类产品：笔记本、台式机等；

· OA产品：打印机、复印机等。