【条文主旨】
本条是关于删除个人信息规则的规定。
【条文理解】
一、删除规则的立法沿革
本条的删除规则在《个人信息保护法(草案)》第47条就已经有所规定。只是,《个人信息保护法(草案)》第47条第1款是从个人信息处理者的义务角度进行规定。并且,《个人信息保护法(草案)》第1款第1项规定着眼于个人信息的保存期限和处理目的,《个人信息保护法(草案)》第1款第2项规定也是着眼于个人信息的保存期限。这样的表述,从立法技术角度而言并非最优,因为第1项和第2项同时涉及个人信息的保存期限,有重复繁琐之嫌,层次不够清晰。此外,《个人信息保护法(草案)》第47条第2款的规定,也过于绝对。有时,正是因为个人信息的删除从技术上难以实现,所以更需要采取周密的“存储”措施或其他必要的安全措施,而周密的“存储”措施或其他必要的安全措施显然也是一种“处理”。所以,《个人信息保护法(草案)》第47条第2款的规定不甚严谨。
《个人信息保护法(草案二次审议稿)》第47条比之《个人信息保护法(草案)》第47条有明显的变化。首先是对第1款第1项、第1项进行了优化。《个人信息保护法(草案二次审议稿)》第47条第1款第1项只规定处理目的的情况,第2项聚焦规定保存期限和与保存期限近似的“停止提供产品或者服务”的情况。这就在很大程度上避免了《个人信息保护法(草案)》第47条第1款第1项和第2项之间的层次不清晰的问题。当然,《个人信息保护法(草案二次审议稿)》第47条第1款第1项的内容也有微瑕,那就是对于“处理目的”,只考虑了“处理目的已实现”和“为实现处理目的不再必要”两种情况,而没有考虑非常重要的“处理目的无法实现”的情况。好在,这一问题在《个人信息保护法(草案三次审议稿)》第17条第1款第1项中已经得到解决。其次是对第2款进行了发展。《个人信息保护法(草案二次审议稿)》第47条第2款表述,由《个人信息保护法(草案)》中的“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息”修改为“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”,这就解决了上文提到的《个人信息保护法(草案)》第47条第2款的不严谨问题。
相比《个人信息保护法(草案二次审议稿)》第47条,《个人信息保护法(草案三次审议稿)》第47条又有发展,这就是对《个人信息保护法(草案二次审议稿)》第47条第1款第1项中“处理目的”情况考虑不足的问题,将原来的“处理目的已实现”和“为实现处理目的不再必要”两种情况,扩张为“处理目的已实现”“无法实现”或“为实现处理目的不再必要”等三种情况。这就使得基于处理目的而产生的删除规则更为丰富和圆满。
本法第47条保留了《个人信息保护法(草案三次审议稿)》第47条的内容。
二、删除抑或删除权
就超越个人信息处理目的个人信息,个人有权请求删除的问题,在个人信息保护法立法过程中,一直有“删除权”的讨论。[1]那么,本条规定的到底是删除权,还是删除规则呢?
在我国现行民事法律体系中,涉及民事主体权利保护类型的法律规范主要是《
民法典》,而《民法典》中关于个人信息保护的规定是放到人格权编中的,基于此,应当认为这里的删除抑或删除权应该属于人格权或人格权益的范畴。根据《民法典》第110条规定,自然人人格权类型主要是如下九种:生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权。除此之外,由于我国《民法典》第1165条还将民事权益纳入保护范围,这就使得上述九种法定的人格权类型不能涵盖的部分民事权益还存在由侵权法律制度提供保护的可能性。基于此,可以肯定的是,本法第47条规定的删除是一种利益,而不是一种权利。也就是说,在现行法的框架下,并不存在删除权这样的权利类型。甚至可以说,本条规定的删除,只是个人就其信息利益在符合法定条件下所享有的请求权中的固有内容,即只要个人信息处理者超越信息处理目的处理个人信息,该个人就有权请求个人信息处理者通过作为或不作为满足其个人信息利益。
三、删除与被遗忘权
从比较法上看,本条规定的删除规则,可以对应于欧洲的“被遗忘权”。2014年5月,欧盟法院对合并审理的谷歌公司、谷歌西班牙公司诉西班牙数据保护局案(因该案涉及的信息主体为西班牙公民冈萨雷斯,为便于区分,以下简称冈萨雷斯案)作出最终裁决,[2]要求谷歌公司删除涉及有关冈萨雷斯的过时的、无关紧要的因债务危机而拍卖房产的信息的链接后,被遗忘权被认为在欧盟范围内正式确立。在冈萨雷斯案中,欧洲法院认为,搜索引擎在涉及数据的行为中属于1995年《欧盟数据保护指令》中规定的信息控制者,[3]应按照《欧盟数据保护指令》承担相应的义务。这一义务就是,当信息主体的相关信息因时间流逝变得不准确、不充分、不相关或超越信息处理目的(inadequate,irrelevant?or?no?longer?relevant,or?excessive)时,只要通过搜索引擎可以检索到这些信息,即使这些信息当初是被合法公开的,信息主体也可以向搜索引擎服务商提出删除链接的请求。因为欧洲法院认为,相比于搜索引擎的经济利益而言,个人的信息保护权利更为优先。[4]当然,欧洲法院也留了退路,即当信息主体在社会公众生活中具有特定的角色时,其个人信息事关公众利益的,则会有一定程度的限制。总的原则是,信息事关公众利益越多,则法律越倾向于保护网民的知情权。从上述冈萨雷斯案的判决中,我们并不能找出被遗忘权到底是什么权利的论述,我们也无法通过该判决对被遗忘权的权利主体、义务主体和权利内容和权利客体等要素完全明晰。但是,该案判决还是大体上勾勒了被遗忘权的边界。第一,需要被遗忘或被删除的信息并非信息主体的所有个人信息,而是那些因时间流逝变得不准确、不充分、不相关或超越信息处理目的信息。第二,一般情况下,信息主体的个人权利比网民上网浏览信息的利益更重要,但是当信息主体是公众人物或其他对于公共利益有影响的人时,公众知情权将处于优位,对搜索引擎的删除要求相应就要降低。也就是,行使被遗忘权时,应该考虑信息的属性,考虑信息对于信息主体个人生活的敏感程度,也应考虑公众获取该信息的正当利益。第三,被遗忘权的行使并不是可以针对任何人,至少不能针对新闻网站。新闻网站基于新闻自由的原则而合法发布的信息是可以保留的,并且新闻网站网页上发布信息是否合法并不影响搜索引擎服务商按照《欧盟数据保护指令》承担删除义务。[5]
在冈萨雷斯案判决之后近两年的2016年4月27日,欧洲议会和欧盟理事会最终审议通过GDPR,GDPR第17条对被遗忘权的权利内容进行了较为详细的规定。根据该规定,被遗忘权的边界至少在于以下几个方面:第一,被遗忘权的义务主体仅限于信息控制者;第二,被遗忘权的行使需要以未经信息主体同意而处理个人敏感信息作为适用前提;第三,如果因行使言论自由或信息自由的权利确有必要,则被遗忘权不得与之对抗;第四,根据欧盟法律或其成员国的法律,如果信息控制者是履行合法义务,或出于公共利益的需要而执行任务,或行使其权利,从而对信息进行处理,则信息主体不享有要求删除的权利(这里的删除的权利即被遗忘权,下同);第五,由于公共利益的需要或进行科学或历史研究,或为了统计数据而归档存储,并能提供GDPR第89条第1款中所规定的保障措施,或根据GDPR第17条第1款的清除会对信息处理的目的产生重要影响的,则信息主体不享有要求删除的权利;第六,为了进行诉讼或法庭辩护而处理和利用数据信息的,信息主体也不能主张其要求删除的权利。从整体上看,最终通过的有关被遗忘权的条款,较之于第一次审议的版本对信息控制方的限制更少,法定义务也更为宽松。
比之而言,本法规定的删除规则,虽然没有GDPR关于被遗忘权的规定那么完备,但其基本的法律效果却并不逊色。在我国的法律语境下,虽然没有欧盟所谓“删除权”或“被遗忘权”的概念,但删除作为权利和利益受侵害时的救济措施早已有之,甚至可以追溯到《民法通则》中。在1986年制定的《民法通则》第134条规定的承担民事责任的十种方式中,第一种就是停止侵害。而停止侵害可以适用于各种正在进行的侵权行为,[6]当网络中存在的信息侵犯信息主体的隐私权、名誉权、姓名权或一般人格权时,权利人首先可以主张的救济措施就是停止侵害,而对于网络信息的侵权行为而言,停止侵害最普遍的方式就是删除涉案信息。这里的停止侵害相当于我国台湾地区“民法”规定的“除去侵害”,[7]但在我国台湾地区“民法”上,除去侵害请求权不属于侵权行为法上的请求权,而在我国大陆民法中则属于侵权责任方式,这点上二者有所不同。因此,在《民法通则》。之后,尽管我国法律中没有明确规定删除的责任方式,但实践中早已存在侵权信息被删除的实际效果,[8]这种情况一直延续并继受到《民法典》中。
四、我国是否有必要移植被遗忘权
一方面,现阶段确立被遗忘权不符合我国社会发展的实际情况。即使在欧洲的学理中,被遗忘权本身也是一个较新的法律概念。同时,欧洲的法律传统与我国也有较大的不同。欧洲进入资本主义社会已经有几百年的发展历史。其社会发展进程和对个人被遗忘权的保护从欧洲的社会标准来衡量或许是正当的,但这一标准未必适用中国。把欧洲认为符合比例原则的被遗忘权制度体系不加区分地硬搬到我国,则未必适用。并且即使在有些欧洲国家比如德国,对于作为信息输送者的网络服务提供者,也会被免予过重的责任。[9]现阶段过分强调被遗忘权,在我国反而可能是违背比例原则的。因此,在司法实践中,应谨慎对待被遗忘权。
另一方面,过分强调被遗忘权将消解我国信息产业的后发优势。对被遗忘权是否进行大张旗鼓的保护,还需要考虑国家的信息发展战略和信息产业政策。不能为了盲目地跟从国外的所谓潮流,而不顾自身信息产业发展的实际。这一问题如果处理不慎,将危及国家在信息产业方面的重大利益。从我国目前所处的信息技术发展阶段看,虽然我国在信息技术方面具有后发优势,但这种后发优势还有待于相对宽松的政策法律环境的支持。如果盲目地照搬被遗忘权,任由信息主体对数据信息进行过分的控制,则可能导致包括搜索引擎在内的众多互联网信息企业在被遗忘权的裹挟下,放慢甚至停止技术创新的步伐。最终妨碍我国信息产业的整体发展。
正是基于上述考虑,本法没有规定被遗忘权,而是通过删除制度来解决相关问题。
【条文适用】
一、删除规则适用的实体条件
本条规定的删除规则适用的实体条件是并列关系,只要具备条件之一,个人信息处理者就有义务删除。如果其不删除,个人有权请求删除。
(一)处理目的已实现、无法实现或者为实现处理目的不再必要
在个人信息的处理中需要遵循的重要原则之一是目的限制原则。本法第6条第1款规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关。对个人信息进行处理,在主观方面有两个正当性基础:其一,是从处理者角度看,处理个人信息必须遵循目的限制原则;其二,是从个人角度看,处理个人信息原则上必须经得个人明确同意。缺乏以上任意方面,则个人信息的处理都将因为不具备主观方面的正当性基础而变得不合法。这就意味着个人信息的处理者在收集、存储、使用、加工、传输、提供、公开个人信息等各个环节,都不能超越当初的目的去处理个人信息,否则就违背了目的限制原则,个人信息处理将变为不合法。
在个人信息的处理目的已经实现的情况下,个人信息处理的任务已经完成,信息处理者如果还保留他人的个人信息,则欠缺有效的留存目的,不具有正当性,应当删除。在个人信息的处理目的确定无法实现时,此前的处理目的实际上已经相当于不存在,则此时处理者再保留他人个人信息的正当性也已经不具备,应予删除。当个人信息的处理目的已经不需要再以保留他人个人信息为必要时,则基于最少必要原则,信息处理者亦不应再保留他人个人信息,应予删除。
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满
个人信息的处理,往往是因为个人信息处理者需要给信息主体提供产品或服务。前者如电商平台的卖家,因为需要给买家提供商品,则保留买家的购物信息以便提供完全符合买家要求的货物商品,同时也为防止双方就购物事宜发生纠纷而留存证据,并可以为买家记忆过往的购物轨迹。后者如出行服务提供商需要收集用户的即时位置信息,保留用户的过往接受服务记录。其中,收集即时位置信息,是为了提供出行服务所必需的;保留过往接受服务记录,则同样是为了留存相关证据,同时也为用户提供了其过去的出行记录,帮助其记忆过去的活动轨迹。如果个人信息处理者已经停止提供产品或服务,则无论是为了提供完全符合买家要求的货物商品,还是为了防止双方就购物事宜或服务事宜发生纠纷而留存证据,均因个人信息处理者停止提供产品或服务而变得没有客观基础。此时再保留他人个人信息,显然已经超出了其处理目的,应予删除。
同时,对于那些约定有保存期限的个人信息的处理,应严格遵守合同的约定。如果合同约定的保存期限届满,则个人信息处理者保存他人个人信息既违反知情同意原则,也违反目的限制原则,应予删除。实践中,个人信息处理者与自然人签订的合同中往往并不约定个人信息的保存期限,此时,当个人信息处理者停止提供产品或者服务时,应删除自然人的个人信息。比如,某教育培训机构保留有某中学生的个人信息,但双方的教育培训合同中并未约定涉及该中学生的个人信息的保存期限。此时,则教育培训机构应在双方的教育培训合同终止且未订立新的教育培训合同时,删除该中学生的个人信息。
需要着重探讨的是,个人信息的保存期限并未届满,但个人信息处理者注销时,个人信息应如何处理的问题。客观地讲,个人信息处理者往往是数据企业。数据企业的数据资产一方面是其核心竞争力之一,具有巨大的商业价值;另一方面也是用户的个人信息,一旦泄露可能产生大面积侵权,潜藏着巨大的权利风险。基于此,大数据企业在注销时,绝不仅仅是了结债权债务就可以的,而是必须确保其控制的海量个人信息数据不被泄露。必须指出,将海量个人信息物理删除是最符合知情同意原则和目的限制原则的本意的。虽然从资源节约利用的角度考虑,删除如此海量的个人信息可能造成数据浪费,因而或许可以考虑适当降低要求,改由相应负责人妥善保管个人信息的做法。但是,我们认为,从知情同意原则和目的限制原则的本质要求上看,信息主体的授权对象就是该注销企业,其处理时间限于其存续期限内。一旦企业注销,则授权基础就不复存在。如果还允许注销企业的相关负责人持有这些海量的个人信息,则相当于在未经信息主体同意的情况下,将原来的授权对象扩展到注销企业的相关负责人个人,明显违反了知情同意原则。因此,有必要在公法上设定企业相关负责人在企业注销时的数据删除义务。如果违反这一义务,相关负责人将不仅承担民事责任,更应承担行政责任,甚至承担刑事责任。表面看来,物理删除好像有数据浪费的嫌疑。但实际上,信息处理者处理个人信息本就有时间限制,约定或者授权的保存期限届满时,信息处理者理应删除其控制的个人信息。当然,在法律和相关行政法规规定这一义务之前,至少应要求相关负责人负有妥善保管该注销企业控制的海量个人信息的义务。如果企业的法定代表人以及专门负责数据库管理的相关负责人在企业注销时没有及时删除个人信息,导致该个人信息发生泄露的,受害的信息主体有权请求该法定代表人及负责人删除其控制的个人信息。如果该被泄露的个人信息被他人利用,导致信息主体发生损失的,则该法定代表人及数据库负责人应就信息主体的损失负担赔偿责任。
(三)个人撤回同意
根据本法第13条第1款第1项和第14条第1款,个人信息的处理必须经得本人同意,且该同意应当由个人在充分知情的前提下自愿、明确作出。这就是《个人信息保护法》中的知情同意原则。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条明确提出,在企业收集、使用个人信息时,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意。这是在法律层面知情同意原则被首次提出。知情同意原则并未禁止企业利用个人信息,而只是对企业利用个人信息提出了程序上的要求,即需要将信息处理的相关情况告知信息主体个人,并征得信息主体个人同意。这一原则基本上考虑了双方的合理诉求,在处理二者关系的层面上具有衡平的价值。
在本法立法启动之前的较长时间里,尽管有观点否认知情同意是个人信息处理的正当性基础,[10]但实际上知情同意原则为全球范围内的个人信息保护立法所普遍适用,并为个人信息保护的国际性文件所采纳。比如,1980年世界经济合作与发展组织(OECD)颁布《关于隐私保护和个人数据跨境流通的指南》,1995年发布《关于涉及个人数据处理的个人保护以及此类数据自由流通的指令》,2013年OECD发布的《OECD隐私框架》,以及2016年欧盟发布的GDPR。[11]因此,信息主体个人的同意仍然是个人信息处理最为重要的正当性基础。在此种情况下,一旦信息主体个人撤回此前的同意,则个人信息处理者的处理就不具备正当性基础,应当删除其个人信息。
当然,应当注意的一点是,个人撤回同意也并不是绝对的。一些情况下,个人撤回同意除了导致本条规定的个人信息删除的法律后果之外,还可能产生其他的法律后果。一方面,如果信息主体与他人有关于个人信息处理的约定,则个人撤回同意可能导致其不能获得履行利益。比如,某生物科技公司为了验证某创新药品的临床功效,而与符合特定健康条件且服用该创新药的部分患者签订合同,约定该生物科技公司可以在一年的期限内跟踪收集患者服用该药品之后的健康状况变化信息,但需要每月支付该患者1000元。如果某患者撤回其同意,该生物科技公司应当删除此前收集的患者健康信息,但该患者也将从撤回同意之日起,不能再获得1000元的利益。另一方面,如果信息主体撤回同意构成权利滥用的,则可能产生相应的法律后果。这种法律后果的具体表现有二:一是产生损害赔偿的法律效果。比如,网络预约出租车到某确定地点接人,在网约车前往接人地点的过程中,切断网络撤回对位置共享的同意,导致网约车延时10分钟到达且多支出汽油费5元,则应对网约车多支出的费用进行赔偿。二是产生权利限制行使的后果。在德国法上有所谓“失权”理论,即权利人在特定期限内不行使权利或从事某行为,使相对人有理由相信其将不行使该权利,则依据诚实信用原则,应当认定为该权利已经丧失。[12]比如,甲授权乙处理其个人信息,并先后三次向乙明确表示,其不会在合同约定的时间内撤回其同意,乙信赖甲的明示承诺,嗣后甲在没有合理事由的情况下即不应在合同约定的期限内撤回其同意。
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息
法律和行政法规是人们行为的基本边界。个人信息处理者违反法律、行政法规的规定就是违反了基本的行为边界,属于违法行为,应当给予否定性评价。此时,个人信息处理者所处理的信息是违法行为的“成果”,继续保留或进行其他处理,当然有违法律、行政法规的基本精神,应当要求个人信息处理者予以删除。
违反约定处理个人信息,一方面是合同法上的违约行为,相应的法律后果可以从《民法典》合同编中的得到规范支持。《民法典》第577条规定的违约责任中的采取补救措施就可以涵盖此处的“删除”,即如果依据《民法典》规定解决违反约定的个人处理行为,可以通过解释采取补救措施而将个人信息处理者删除个人信息作为一种补救措施。但在本条已经明确规定了删除规则的情况下,这种解释路径则不宜优先适用。此时,可以考察违反约定处理个人信息的另一个面相,即这是对知情同意原则和目的限制原则的背离和破坏。因此,从另一方面看,违反约定处理个人信息也是本法明确排除的违反知情同意和目的限制原则的行为,本法直接赋予“删除个人信息”的法律效力,可以直接作为请求权基础,而不必去对《民法典》第577条进行解释适用。
(五)法律、行政法规规定的其他情形
本条是为其他法律、行政法规给个人信息处理者设定删除义务而预留空间。在目前的法律体系中,已经有其他法律规定了删除的情形,但基本与本条第1款第4项的表述保持一致。比如,《民法典》第1037条第2款规定:自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。再如,《
网络安全法》第43条规定:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。未来,随着信息网络技术、大数据人工智能的进一步发展,基于新的应用场景或情形,很可能产生新的删除需求,本条款的规定可以为未来发展预留足够的解释空间。
二、删除的落实程序
(一)个人信息处理者主动删除
当出现本条第1款所列情形时,个人信息处理者随即产生删除这些个人信息的义务,该删除义务不是约定义务,而是依据本法产生的法定义务。即使个人信息处理者向第三人负有义务,且该义务的履行需要以该个人信息的保存或其他处理为前提,也不能免除个人信息处理者的删除义务。当然,此时个人信息处理者可能产生对于第三人的抗辩。比如,在信息主体撤回同意导致个人信息处理者无法向第三人履行义务的,其可以此向第三人提出抗辩,以求变更与第三人的合同,甚至减轻其向第三人承担的民事责任。
(二)个人行使删除请求权请求删除
当个人信息处理者没有主动删除个人信息时,个人可以行使删除请求权,该删除请求权的行使程序可以通过二阶路径行使。
1.直接向个人信息处理者请求删除。符合本法规定的删除情形而个人信息处理者没有主动删除个人信息的,个人可以直接向个人信息处理者提出删除请求,这是个人行使删除请求权的最常见情形。
2.向法院起诉请求个人信息处理者删除。符合本法规定的删除情形而个人信息处理者没有主动删除个人信息的,个人可以请求信息处理者予以删除。但如果个人信息处理者在个人提出删除的请求后仍然置之不理,则个人当然可以通过诉讼实现其删除请求权。当然,通过诉讼程序请求删除,法院需要经过实体审理后作出判断。只有经过实体审理后认为符合删除条件的,法院才会判决个人信息处理者删除相关个人信息。另外需要强调的是,删除个人信息的救济实际上是较为消极的,实践中如果个人信息处理者拒绝个人的删除请求导致个人产生损害(比如非物质损害)的,可能产生损害赔偿的补强救济。[13]
三、删除规则的例外
尽管在符合本条第1款规定情形下个人信息处理者产生删除义务,但这一删除义务也存在例外,即法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情况。
(一)法律、行政法规规定的保存期限未届满
虽然存在个人信息处理目的已实现、无法实现或者为实现处理目的不再必要以及本法第1款规定的其他情形,但如果法律或行政法规明确规定了个人信息的保存期限,且该保存期限尚未届满,则构成删除规则的例外,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
(二)删除个人信息从技术上难以实现
虽然人类计算机技术的发展已经使得对个人信息(数据)的存储、传输、删除等处理变得非常容易,但在一些极端情况下,删除个人信息也可能遇到不可逾越的技术障碍。比如,区块链上记录的每一笔个人信息都被加盖时间戳,成为具有原创性的信息,并且将永久地存在于区块链网络,这也是保证区块链数据可溯源、可追踪的必然要求。然而,也正是这一点使得特殊情况下可能造成侵权的个人信息也无法删除。[14]此时,就会遇到技术上难以删除的情形,构成删除规则的例外。
(三)删除规则例外情况下个人信息处理者的义务
存在本条第2款规定的情况下,个人信息处理者可以免除删除义务,但并不意味着个人信息处理者还可以继续处理个人信息。因为,之所以免除删除义务,并非个人信息处理者重新获得了处理个人信息的授权或其他正当性依据,而纯粹是因为技术上难以实现。因此,即使免除了个人信息处理者的删除义务,也要使得最终的状态达到与删除信息相近甚至相同的地步。于是,立法者明确要求个人信息处理者只能因存储和必要的安全保护而处理个人信息,不得再进行其他任何形式的处理。
