新版ISO27001:2022的A.8.10資訊刪除 (Information deletion)是一項全新的要求;相較於舊版ISO27001:2013當中的A.8.2提到資訊的分級與處置、A.8.3提到應防止儲存於媒體之資訊被未經授權之移除,新版的資訊刪除的焦點放在應刪除不必要的資料,以免敏感資料外洩,並且再次強調法遵合規的重要性。
未來組織/企業必須在刪除方法、資訊刪除的證據留存、法遵合規三大面向符合A.8.10資訊刪除的要求。
其中,值得深入探討的是在法遵合規面:
一、我國《個資法》、ISO27701:2019個資隱私資訊管理系統可以直接對應新要求A.8.10資訊刪除:
我國《個人資料保護法》第11條第三款:個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
ISO27701:2019個資隱私資訊管理系統(Personal Information Management System, PIMS)條文7.4.5處理結束時之PII去識別化及刪除規定:一旦對所敘明目的不再需要原始PII時,組織宜刪除PII或以不允許識別或重新識別PII當事人之形式提供之;條文7.4.8毀棄規定:組織宜具毀棄PII之書面政策、程序及/或機制。
二、歐盟GDPR(General Data Protection Regulation)、美國CCPA(California Consumer Privacy Act)則沒有對敏感資料設置落日條款,而是要求個資持有者有義務在個資所有人提出要求時,將資料刪除(出於公共利益、法規要求等情況例外)。