论《个人信息保护法》中的删除权
2022-02-03程啸
程 啸
引言
所谓删除权(right to erasure),是指在符合规定条件时,作为信息主体的个人所享有的请求个人信息处理者删除所处理的其个人信息的权利。从比较法来看,不少国家或地区的个人信息保护法或个人数据保护法都明确规定了个人享有删除权。在《个人信息保护法》颁布之前,我国法律上也已规定了信息主体即个人针对处理者的删除权。《网络安全法》第43条中第1句规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。”《民法典》第1037条第2款规定:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”《未成年人保护法》第72条第2款规定:“未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。”不仅如此,一些法规和规章还规定了处理者主动删除个人信息的义务。例如,国务院颁布的《征信业管理条例》第16条第1款规定,征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。国家网信办颁布的《儿童个人信息网络保护规定》第20条规定:“儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;(三)儿童监护人撤回同意的;(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。”在总结上述法律法规的规定并借鉴比较法立法经验的基础上,为充分满足我国个人信息权益保护的需要,《个人信息保护法》第47条对信息主体的删除权作出规定,该条共分两款,其中第1款规定:“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。”第2款规定:“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”
我国《个人信息保护法》在规定个人享有删除权的同时施加给个人信息处理者以删除义务,这具有重要的意义:一方面,删除权更好地保障了个人对其个人信息处理活动享有的决定权;另一方面,删除权也是对个人信息处理活动的两项基本原则即合法原则与目的限制原则的贯彻落实。为了理论界与实务界更好地理解并正确适用《个人信息保护法》关于删除权的规定,本文将围绕《个人信息保护法》第47条并结合在该条起草过程中的争论,对于删除权进行较为全面系统的研究,主要研究的问题包括:删除权与被遗忘权的关系;删除权与同意的撤回及网络侵权责任中的通知删除规则的区别;删除权适用的情形与要件;如何实现删除的效果;删除权被侵害的法律责任等。
一、删除权与相关权利的关系
(一)删除权与被遗忘权
被遗忘权(right to be forgotten)的概念最早是由2014年欧盟法院在针对西班牙的“冈萨雷斯诉谷歌案”(Google-González)所作出的判决中提出的。在该判决中,欧盟法院认为,作为数据控制者的谷歌公司对于其处理的第三方发布的带有个人数据的网页信息负有责任,有义务将其删除。如果数据的使用超出收集或处理数据的目的,或者数据不完全、不正确、不相关,或者超出储存时间,或者存在强制性合法理由时,数据主体就享有“被遗忘权”,这种权利的享有不要求数据对数据主体造成伤害。该判决由此确立了欧盟法上的“被遗忘权”概念。2018年的欧盟《一般数据保护条例》第17条明确规定了被遗忘权。依据该条第2款规定,如果控制者将符合该条第1款条件的个人数据进行了公开传播,则其应采取所有合理的方式予以删除(包括采取可用的技术手段和投入合理成本),控制者有责任通知处理此数据的其他数据控制者删除关于数据主体所主张的个人数据链接和复制件。这就是说,控制者并非仅仅是删除自己所控制的数据,还要对其公开传播的数据负有通知其他第三方停止利用、删除的义务。
2015年,在我国发生了第一起被遗忘权纠纷案件,即北京市第一中级人民法院终审的“任甲玉与北京百度网讯科技有限公司名誉权纠纷案”,该案引发了我国理论界与实务界对被遗忘权的关注和讨论。在该案中,原告曾经与无锡陶氏生物科技有限公司有过合作,网上存在不少关于该合作关系的信息。原告认为,其与陶氏公司的合作已经结束,且因该公司在业界口碑不好,经常有学生退钱,故如果有学生及合作伙伴搜索其名字,从百度页面看到搜索结果会误以为其与该公司还有合作,该不良搜索结果会影响其就业、工作交流及日常生活,这样的搜索信息应当“被遗忘”,所以原告要求百度公司删除这些信息。法院终审判决认为,我国现行法中并无法定称谓为“被遗忘权”的权利类型,同时,由于“涉诉工作经历信息是任甲玉最近发生的情况,其目前仍在企业管理教育行业工作,该信息正是其行业经历的组成部分,与其目前的个人行业资信具有直接的相关性及时效性;任甲玉希望通过自己良好的业界声誉在今后吸引客户或招收学生,但是包括任甲玉工作经历在内的个人资历信息正是客户或学生藉以判断的重要信息依据,也是作为教师诚实信用的体现,这些信息的保留对于包括任甲玉所谓潜在客户或学生在内的公众知悉任甲玉的相关情况具有客观的必要性。任甲玉在与陶氏相关企业从事教育业务合作时并非未成年人或限制行为能力人、无行为能力人,其并不存在法律上对特殊人群予以特殊保护的法理基础”①北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。。故此,任甲玉在本案中主张的应“被遗忘”(删除)信息的利益也不具有正当性和受法律保护的必要性,不应成为侵权保护的正当法益,其主张该利益受到一般人格权中所谓“被遗忘权”保护的诉讼主张,法院不予支持。〔1〕
在我国《个人信息保护法》的起草过程中,学界就是否需要规定被遗忘权存在不同的看法。一种观点认为,被遗忘权是现代信息社会中个人要求清除其负面历史信息并消除因此对自身声誉的不利影响的必然需求,有利于保障人格尊严。〔2〕在数字化与信息化时代,合理的遗忘机制已经被打破,“记忆已经成了常态,而遗忘反而成了例外”〔3〕,“完整的数字化记忆代表了一种更为严酷的数字圆形监狱。由于我们所说与所做的许多事情都被储存在数字化记忆中,并且可以通过存储器进行访问,因此,我们的言行可能不仅会被我们同时代的人们所评判,而且还会受到所有未来人的评判”〔4〕。“上帝宽恕和忘记我们的错误,但互联网从来不会,这就是为什么被遗忘权对于我们如此重要。随着越来越多的私人数据在网络上浮动,尤其是在社交网络上,人们应当拥有将他们的数据完全加以删除的权利。”〔5〕所以,应当通过确立被遗忘权而确立数字时代中新的遗忘机制,避免个人受困于历史记忆,从而对抗信息与数字技术给个人打上的“永恒烙印”〔6〕。《个人信息保护法》所保护的不仅是信息隐私和信息主体的可识别性,同时表明越来越有必要关注个人信息作为评断信息主体的功能,被遗忘权有助于信息主体更新其数字人格。遗忘过去是谅解个体的陈年劣迹的重要因素,有助于社会和解和个人自省,也可以抚慰逝者亲属的内心。〔7〕
反对被遗忘权的学者认为,被遗忘权希望实现的目标是删除个人遗留在信息网络当中的各种有关个人的数字痕迹,从而使其被其他人“忘记”,但这些数字痕迹往往是个人在之前产生的不光彩或不愿意让别人“知晓”的信息。〔8〕如果承认被遗忘权,就意味着个人可以不断重写历史、改头换面,将虚假的个人历史信息呈现于世人面前,这种做法构成了对公众的欺骗,损害了公众的知情权与公共利益,不利于舆论监督。〔9〕网络上涉及的个人信息并不一定仅是个人的信息,还会涉及其他人,因此承认被遗忘权会严重损害言论自由与信息的自由流动,同时也无端增加了企业的负担。至于网络与信息时代的数字化记忆可能会对个人产生的负面影响,应当通过社会规范与社会声誉机制来调整,而非简单的赋予个体以被遗忘权。〔10〕此外,被国内学者热议的欧盟《一般数据保护条例》所规定的被遗忘权,其核心仍然是传统的删除权,无非是在该权利的基础上进行了扩展,即要求数据控制者在已进行传播的情形下,应当告知第三方予以删除。不少学者混淆了删除权与被遗忘权的内涵,将我国尚未建立的删除权也打上被遗忘权的标签,对我国个人信息保护立法而言,更为迫切的需求是建立包括删除权在内的最基本制度。〔11〕
笔者认为,所谓被遗忘权的实质就是删除权,即赋予个人对于其个人信息处理的决定权,有权在一定情形下要求个人信息处理者删除所处理的其个人信息,我国《个人信息保护法》第47条已经对删除权作出了明确规定,且在《民法典》对网络侵权责任中的通知删除规则也作了详细规定的情形下,已经足以满足网络信息社会中个人删除其负面历史信息及消除对人格尊严和人格自由的不利影响的正当要求。具体阐述如下:首先,诚如学者所指出的,被遗忘权的实质就是删除权,被遗忘权的重点不在于遗忘,而在于删除,删除权更贴合权利实质。〔12〕无论是被遗忘权还是删除权,都是要实现个人对其个人信息在某种程度上的控制,即对其个人信息处理活动的决定权,对此我国法律一直采取的是肯定态度,故此,从《网络安全法》到《民法典》,再到《个人信息保护法》,都在不断丰富和完善个人的删除权等在内的个人信息权益的内容或权能。我国《个人信息保护法》第47条规定了在五种情形下,个人信息处理者应当承担主动删除个人信息的义务或者个人享有要求个人信息处理者删除个人信息的权利。该条规定的删除权的适用情形相当广泛,足以将被遗忘权需要保护的情形涵盖进去。此时,再规定所谓的被遗忘权,显然是叠床架屋。从欧盟《一般数据保护条例》第17条的规定来看,重点也是在第1款对于删除或被遗忘的情形的具体规定,这些规定和我国《个人信息保护法》第47条的规定基本相同。
其次,如果网络上发布的信息侵害了自然人的名誉权、隐私权等人格权益时,自然人基于名誉权、隐私权等人格权当然有权针对侵权人行使停止侵害、排除妨碍等人格权请求权,要求发布相关信息的网络用户删除该等信息。对此,《民法典》第995条有明确规定:“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。”如果网络用户利用网络服务实施侵害自然人人格权的侵权行为,除了该网络用户应当承担侵权责任外,依据《民法典》第1195条规定,被侵权人还有权要求网络服务提供者采取删除、屏蔽、断开链接等必要措施,网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。该规定就足以保证那些侵害人格权的信息从网络上被删除。
再次,如果网络上的信息是完全合法公开的个人信息,即便如西班牙谷歌案那样,将搜索引擎服务提供者提供的搜索服务也视为个人信息的处理活动,那么依据《个人信息保护法》第27条以及《民法典》第1036条,个人信息处理者也可以在合理的范围内处理这些合法公开的个人信息,除非个人明确拒绝。个人信息处理者处理公开的个人信息,对于个人权益有重大影响的,应当依照《个人信息保护法》的规定征得个人同意。从此角度来说,如果有人可以证明其已经合法公开的个人信息若被搜索引擎服务提供者搜索出来也会对其个人权益产生重大影响,则可以依据《个人信息保护法》第27条以及《民法典》第1036条的规定,并结合《个人信息保护法》第47条第4项的规定,向个人信息处理者行使删除权。换言之,这种处理合法公开的个人信息对个人权益有重大影响,因其并未取得个人的同意,同时也没有《个人信息保护法》第13条第1款第2—7项规定的其他合法根据,故此,包括搜索引擎服务提供者在内的个人信息处理者属于违反法律处理个人信息,个人有权请求其删除(对搜索引擎服务而言即断开链接)。
应当说,除上述情形之外,自然人已无正当的利益要求使网络服务提供者或个人信息处理者删除相关个人信息。凡是不符合前述情形而需要被删除的个人信息,无论是以何种方式在网络上呈现或流动,都是合法的,个人无权要求删除。倘若在自然人没有任何正当性理由的情况下可以通过被遗忘权去删除个人信息,势必损害言论自由和公众的知情权,不利于维护公共利益。①以我国发生的“任甲玉案”为例可知,网络服务提供者通过搜索引擎所收录的是已经合法公开的、客观真实的个人信息,这些信息通过网络服务提供者以搜索引擎的方式被再次呈现,既没有侵害原告的隐私权、名誉权等人格权益,也没有对原告的其他民事权益造成侵害,更未损害其人格尊严或妨害人格自由,故此,原告无权请求被告删除相关链接。但是,西班牙的“冈萨雷斯诉谷歌”案的情形,则有所不同。该案中通过谷歌搜索冈萨雷斯全名可与其财产被强制拍卖的信息相连,在冈萨雷斯生活的区域内对其个人的生活造成了一定的困扰,涉及对其人格尊严和职业发展这些重大利益的侵害,故此,法院认为冈萨雷斯有权要求谷歌断开相关个人信息的链接是妥当的。万方教授对“任甲玉案”与“冈萨雷斯案”的不同之处有深入详细的分析,具体参见万方:《终将被遗忘的权利——我国引入被遗忘权的思考》,《法学评论》2016年第6期。诚如学者所言,由于欧盟法院在西班牙谷歌案中没有认识到网络搜索引擎是如何承载了让如今的民主公众舆论形成事实上的交往空间的功能,故此,该案判决已经产生了巨大的负面作用,严重损害了言论自由,制造了新时代的网络审查制度。〔13〕据统计,自2014年6月以来,西班牙谷歌案已经促使谷歌处理了至少703910件请求,这些请求要求谷歌从搜索引擎中删除1948737个链接(URL),谷歌也在以姓名为关键词的搜索结果中删除了这些链接中的至少43.2%。在过去数年中,被遗忘权曾被一名乡村牧师所主张,他曾在村民指控他裸身站在住宅窗边咒骂孩童后辞职;被一名医生所主张,他曾试图在他怀孕情妇的饮料中下药致使儿子流产而被定罪;被一名屠夫所主张,他曾威胁要将与他不和的妻子参与集体性爱行为的录像寄给他富有的岳父母进行敲诈勒索而被定罪。甚至有人主张被遗忘权来对抗关于被遗忘权的文章。〔14〕正因如此,欧盟《一般数据保护条例》第17条第2款虽然规定了被遗忘权,但是在第3款对被遗忘权的适用进行了严格限制,即在以下情形之一时,不能行使删除权,也不能行使被遗忘权:(1)行使表达和信息自由的权利;①这一例外情形不仅可以由新闻媒体所引用,而且可以为任何主体所引用,用来排除被遗忘权。Paul Voigt&Axel von demBussche,The EU General Data Protection Regulation(GDPR):A Practical Guide,Switzerland:Springer International Publishing AG,2017,p.159.(2)为了公共健康领域的公共利益;(3)根据控制者所应遵守的欧盟或成员国法律规定的处理的法定义务,或为执行符合公共利益的任务,或在行使控制者被授予的官方任务时;(4)为了公共卫生领域的公共利益;(5)为了公共利益、科学、历史研究或数据统计目的,如果删除个人信息则导致该目的不可能实现或严重损害该目标的实现;(6)为法定请求权的确立、行使和抗辩。
(二)删除权与撤回同意
依据《个人信息保护法》第15条,当处理者是基于个人同意而处理个人信息时,个人有权撤回同意。而一旦个人撤回了同意,那么个人信息处理者就丧失了处理个人信息的合法性根据,除非依据法律、行政法规的规定可以继续处理个人信息,否则应当停止处理个人信息。此时就涉及撤回同意与删除权的关系问题。一方面,从两者的适用关系来看,撤回同意可能会导致处理者必须删除个人信息,但并非必然如此。因为在个人撤回同意后,如果处理者符合法律、行政法规规定的处理个人信息的情形,如《个人信息保护法》第13条第1款第2—7项规定的不需要取得个人同意即可处理个人信息的情形,那么即便个人撤回同意,也并不必定导致个人信息处理者要删除所处理的个人信息。此外,个人只有针对那些基于个人同意而处理个人信息的情形才能撤回同意,如果本身就不是基于个人同意而处理个人信息的,个人无法撤回。此时,如果存在处理目的已经实现、无法实现等法律规定的应当删除的情形,则个人只要行使删除权即可,无法也没有必要撤回个人同意。而且,在处理者完全就是非法处理个人信息时,如通过窃取、非法买卖等方式取得个人信息的,处理者处理个人信息完全就是非法的,个人显然不需要通过撤回同意来阻止处理者处理个人信息,而只需要通过行使删除权要求个人信息处理者予以删除。另一方面,从两者的法律效果来看,在个人信息处理者非法处理个人信息而侵害个人信息权益并造成损害时,自然人不仅有权要求处理者删除其违法处理的个人信息,还有权要求处理者承担赔偿损失等侵权责任。但是,在撤回同意的情形下,个人撤回同意这一行为本身并不影响撤回前基于个人同意已进行的个人信息处理活动的效力,故此,个人不可能在撤回同意后,要求处理者就此前的处理行为承担民事责任。
(三)删除权与网络侵权责任中的删除
我国《民法典》侵权责任编对网络侵权责任作出了详细的规定,其中一项重要的规则就是“通知删除规则”。依据《民法典》第1195、1196条规定,当权利人发现网络用户利用网络服务提供者提供的网络服务对其实施侵权行为时,有权通知网络服务提供者采取删除等措施,网络服务提供者在接到权利人的有效通知后应当及时采取该等措施,否则需就扩大的损害与实施侵权行为的网络用户一起向权利人承担连带责任。由此可见,在网络侵权纠纷中,网络服务提供者在特定条件下也负有删除义务。虽然都用了“删除”一词,但是这两类删除是不同的,它们存在以下区别:首先,适用的范围不同。《个人信息保护法》规定的删除权适用于个人信息处理活动中,是个人针对个人信息处理者所主张的权利,无论处理者是否为国家机关,也无论处理个人信息是否通过网络,均可以适用。但是,《个人信息保护法》中的删除权不适用于自然人因个人或者家庭事务处理个人信息的情形。《民法典》关于网络侵权责任中规定的删除属于法律施加给网络服务提供者预防和制止网络侵权行为的一项义务,其仅适用于网络服务提供者,而不适用于其他主体,至于该网络服务提供者是否属于个人信息处理者,在所不问。也就是说,无论网络侵权行为侵害的是否属于个人信息权益,都可以适用《民法典》网络侵权责任中规定的删除。
其次,适用条件不同。《个人信息保护法》所规定的删除,既包括个人信息处理者主动删除,也包括个人请求处理者加以删除。但是,《民法典》网络侵权责任中网络服务提供者采取删除这一措施的情形有两种:一是,网络服务提供者不知道并且不应当知道网络用户利用其网络服务侵害他人民事权益,此时需要权利人发出符合法律要求的通知,网络服务提供者收到该通知后有义务删除;二是,网络服务提供者知道或者应当知道有人利用其网络服务实施侵权行为的,那么无论网络用户是否通知,网络服务提供者都必须采取删除等措施。
再次,法律后果不同。个人信息处理者侵害个人删除权时,个人有权提起诉讼,请求法院判决处理者履行删除义务。在网络侵权责任中,如果网络服务提供者在接到权利人的通知后没有及时采取删除等必要措施,或者该提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益而未采取删除等必要措施,则网络服务提供者与侵权人承担连带责任。
二、删除权的适用情形
所谓删除的适用范围,是指在何种情形下,个人信息处理者应当删除其处理的个人信息,且个人有权请求处理者予以删除。从立法上来看,一般都是既规定能够适用删除权的情形,也规定不能适用删除权的情形。例如,欧盟《一般数据保护条例》第17条第1款规定的是能够适用删除权即被遗忘权的具体情形,而第3款则规定了不能要求删除的情形。我国《个人信息保护法》第47条也采取了这一模式,具体阐述如下。
(一)个人有权请求删除其个人信息的情形
依据《个人信息保护法》第47条第1款,以下五种情形中,个人信息处理者应当删除其处理的个人信息,若未删除的,个人有权请求删除:
1.处理目的已实现、无法实现或者为实现处理目的不再必要。这一删除的情形与目的限制原则密切相关。目的限制原则要求处理者处理个人信息应当具有明确、合理的目的,并且应当与处理目的直接相关,采取对个人权益影响最小的方式(《个人信息保护法》第6条)。目的限制原则构成了删除权适用的最核心场景,这也就意味着只有处理目的是明确、具体的,才可能出现处理者目的已实现、无法实现或为实现处理目的而不再必要的可能。〔15〕例如,A公司有三个空缺岗位对外进行招聘,收到了100名应聘者投递的简历,经过删选,最终有10名应聘者进入面试环节。这种情形下,没有进入面试环节的90名应聘者的个人信息对于处理者A公司实现其处理目的(招聘新员工)而言,就不再必要了,应当删除。一旦10名面试者中最终录取了3人,此次招聘完成,则剩余7人的个人信息也应当删除,因为A公司的处理目的已经实现了。如果处理者有多个个人信息的处理目的,仅仅其中部分处理目的实现了,个人信息对于实现剩下的处理目的而言仍然是必要的,则处理者可以不删除个人信息。
2.个人信息处理者停止提供产品或者服务。在很多情形中,处理者之所以处理个人信息,是为了履行其与个人之间订立的合同,向个人提供产品或者服务,对某些个人信息的处理对于提供产品或者服务来说是必需的。故此,处理者可以基于个人的同意或者在履行个人作为一方当事人的合同所必需的情况下无需取得个人的同意而处理个人信息。然而,一旦个人信息处理者停止提供产品或者服务,则个人信息的处理目的就不存在了,处理的正当性也消失了,处理者应当主动删除个人信息。所谓个人信息处理者停止提供产品或者服务的情形包括:个人信息处理者已经履行完毕与个人之间订立的合同或者双方的合同已因解除等其他原因而终止;个人信息处理者因为解散、破产等原因已经无法提供产品或者服务。
3.个人信息的保存期限已届满。这个保存期限首先是指法律、行政法规规定的保存期限。当法律、行政法规规定了保存期限时,处理者与个人约定的保存期限不得少于法律、行政法规规定的保存期限。只有在法律、行政法规没有规定保存期限时,处理者与个人才能进行约定,当然,该保存期限的约定也应当遵循目的限制原则,即保存期限应当为实现处理目的所必要的最短时间(《个人信息保护法》第19条)。无论是法定的保存期限还是约定的保存期限届满的,个人信息处理者均应主动删除个人信息。
4.个人撤回同意。在基于个人同意而进行的个人信息处理中,个人同意是个人信息处理活动的合法性基础,而个人有权随时撤回同意,虽然撤回同意不影响撤回前基于个人同意已经进行的个人信息处理活动的效力(《个人信息保护法》第15条第2款),但是,在个人撤回同意后,个人信息处理活动除非具有其他合法根据,否则处理者再进行处理活动就是非法的。在这种情形下,个人信息处理者也没有必要继续储存个人信息了,应当主动删除。个人在撤回同意的同时可以要求处理者删除其个人信息。当然,个人也可以仅仅撤回同意,但不要求处理者删除其个人信息。此时,个人信息处理者只能存储个人信息和采取必要的安全保护措施,但必须停止其他的个人信息处理活动。
5.个人信息处理者违反法律、行政法规或者违反约定处理个人信息。上文提到的删除情形都是个人信息处理者合法地处理个人信息的情形,而一旦处理者违反法律、行政法规或者约定处理个人信息的,那么这种处理活动即是非法的,个人信息处理者应当立即停止非法处理活动,即删除个人信息,而个人也有权请求其删除。个人信息处理者删除个人信息并不能免除其因非法处理活动而需要承担的法律责任。由于个人信息处理者违反法律、行政法规或约定而处理个人信息的情形各不相同,因此删除义务的主体或删除权所指向的对象也不同。如果处理者未取得个人同意而收集个人信息的,该处理者应当删除非法收集的个人信息;如果处理者未取得个人的单独同意而公开其处理的个人信息的,应当删除该个人信息,同时还应当通知其他处理该信息的处理者加以删除;如果处理者未取得个人的单独同意将个人信息提供给其他处理者的,接受者应当主动删除,而提供者也负有通知接受者删除该个人信息的义务。
6.法律、行政法规规定的其他情形。这是兜底性规定,例如,《征信业管理条例》第16条第1款规定:“征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。”
(二)不得或无法删除个人信息的情形
关于不得删除个人信息的情形,比较法上的规定有所不同。欧盟《一般数据保护条例》第17条第3款规定了五种不得删除的情形,如行使言论和信息自由的权利、为了公共卫生领域的公共利益等,对此上文已经有介绍。再如,德国《联邦数据保护法》第35条第1款规定:“如果在非自动化数据处理的情形中,删除是不可能的或者因特定的储存方式删除需要付出不合理的努力并且数据主体对删除只具有最低的利益,则数据主体无权要求删除并且控制者也没有义务依据欧盟第2016/679号条例第17条第1款删除个人数据,除非符合该条例第17条第3款规定的例外情形。前述情形中,应当适用欧盟第2016/679号条例第18条的限制处理来取代删除。如果个人数据的处理是非法的,第1句和第2句的规定不适用。”我国台湾地区“个人资料保护法”第11条第3项规定:“个人资料搜集之特定目的消失或期限届满时,应主动或依当事人之请求,删除、停止处理或利用该个人资料。但因执行职务或业务所必须或经当事人书面同意者,不在此限。”我国台湾地区的“个人资料保护法实施细则”第21条将该项中“因执行职务或业务所必须”细化为三种情形:“一、有法令规定或契约约定之保存期限。二、有理由足认删除将侵害当事人值得保护之利益。三、其他不能删除之正当事由。”
我国《个人信息保护法》第47条第2款规定了两种不能删除的情形。在这两种情形中,由于删除个人信息存在法律上的不能(法律、行政法规规定的保存期限未届满)和客观上的不能(删除个人信息在技术上难以实现),所以,第47条第2款规定了个人信息处理者应当停止除存储和采取必要安全保护措施之外的处理,即个人信息处理者可以继续存储个人信息并采取必要的安全保护措施,至于其他的处理活动应当全部予以停止。
1.法律、行政法规规定的保存期限未届满。这是指虽然已经符合第47条第1款第1—3项的情形,个人信息处理者应当主动删除个人信息,但是由于法律、行政法规规定了保存期限,而该期限并未届满,如果个人信息处理者主动删除个人信息或者个人有权请求删除个人信息,就势必出现违反法律、行政法规的规定。例如,《证券法》第137条规定:“证券公司应当建立客户信息查询制度,确保客户能够查询其账户信息、委托记录、交易记录以及其他与接受服务或者购买产品有关的重要信息。证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项信息,任何人不得隐匿、伪造、篡改或者毁损。上述信息的保存期限不得少于二十年。”《电子签名法》第24条规定:“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。”《精神卫生法》第47条规定:“医疗机构及其医务人员应当在病历资料中如实记录精神障碍患者的病情、治疗措施、用药情况、实施约束、隔离措施等内容,并如实告知患者或者其监护人。患者及其监护人可以查阅、复制病历资料;但是,患者查阅、复制病历资料可能对其治疗产生不利影响的除外。病历资料保存期限不得少于三十年。”在前述法律规定的保存期限内,无论是处理目的已经实现或者为实现处理目的不再必要,抑或个人信息处理者停止提供产品或者服务,个人撤回同意的,都不能删除个人信息。此时,个人信息处理者必须停止除了存储之外的处理活动。此外,由于处理者依然存储个人信息,故此,依据《个人信息保护法》第51条、《民法典》第1038条第2款以及《网络安全法》第42条第2款的规定,处理者应当采取必要的安全保护措施。由于采取必要的安全保护措施也涉及对个人信息的一些处理,如加密、去标识化等,所以《个人信息保护法》第47条第2款统称为“个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”。
2.删除个人信息从技术上难以实现。在现代网络信息社会中,收集个人信息越来越容易,成本也越来越低,但是删除个人信息的成本却比较高。“现实中,大多数数据库都随着时间的推移拼在一起,并未考虑今后要如何删除数据;如果一个数据库非常复杂,那么一个程序员要耗费几十个小时(或更多)从新数据中整理出旧数据并准确地删除不再需要的部分。雇用一个可以娴熟地处理如此复杂的数据库的程序员,一不小心就要花费100多美元(每小时),而且价格只会越来越高。”〔16〕个人信息越是被安全地删除,所需要的成本就越高。然而,不能简单地将删除个人信息的成本高看作是技术上难以实现。《个人信息保护法》第47条第2款所称的“删除个人信息从技术上难以实现”,应当理解为:现有的技术根本无法删除个人信息或者在现有的技术条件下需要付出不合理成本才能删除。例如,当个人信息是采取云存储的方式时,“相同的数据库或数据库表会存储不同用户的数据,所以这并不是单纯的物理存储,而是能在不同用户间共享的逻辑存储,仍需要软件进行分离”,“用户通过软件实现案件,以确保其他用户无法故意或意外地获取其数据”〔17〕。在云存储的情形下,除非全部清空用户的数据,否则无法删除个人信息,故此,这种情形就属于删除个人信息从技术上难以实现。此时,可以采取停止除存储和采取必要的安全保护措施之外的处理,以实现删除个人信息旨在达到的目标。
三、删除权的主体与义务人
依据《个人信息保护法》第47条,当存在需要删除个人信息的情形时,首先应当由个人信息处理者主动删除个人信息。所谓个人信息处理者,即自主决定处理目的、处理方式的组织、个人。如果处理者是共同处理者,即两个以上的个人信息处理者共同决定个人信息处理目的与处理方式的,那么任何一个共同处理者都负有主动删除个人信息的义务,至于他们内部的约定(如约定仅由某个处理者负责删除或收到个人提出删除其个人信息的请求后予以删除的),对于个人行使删除权不产生影响(《个人信息保护法》第20条第1款)。如果个人信息处理者因为合并、分立等原则导致个人信息发生转移的,则接收方负有主动删除的义务。如果处理者向他人提供其处理的个人信息或者向境外提供个人信息的,提供方和接收方都负有删除的义务,个人也可以请求其删除。
当负有主动删除个人信息义务的处理者没有进行删除的,个人作为删除权的主体有权请求其删除。个人信息的删除权可以由信息主体本人亲自行使,也可以委托其他人代为行使。当信息主体是未成年人时,应当由其父母或者其他监护人行使更正补充权。对此,《未成年人保护法》第72条第2款规定:“未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。”此外,死者的近亲属也可以针对死者的相关个人信息行使删除权(《个人信息保护法》第49条)。
个人信息处理者在收到个人提出的删除个人信息的请求后,负有验证提出请求的个人是否属于适合主体的义务,否则就可能错误删除其他人的个人信息。《个人信息保护法》第51条已经明确要求个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失,这些措施包括了制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案;法律、行政法规规定的其他措施等。
四、删除权的实现方式
(一)删除的涵义
无论是个人信息处理者主动删除,还是个人行使删除权,最终目的是要做到删除个人信息。问题是何为“删除”。换言之,做到何种程度才被认为是《个人信息保护法》要求的“删除”。《个人信息保护法》并未对“删除”进行界定。《信息安全技术个人信息安全》(GB/T 35273-2020)第3.10条将删除界定为“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态”。欧盟第29条工作组认为,个人数据的删除意味着:无论个人数据是存储在硬盘还是其他存储介质上都应当被删除,由于个人数据可以在不同位置的不同服务器上都有备份,故此必须确保所有数据实例被不可恢复地删除(之前版本、临时文档,甚至文档碎片也都要删除)。①Article 29 Data Protection Working Party,Opinion 05/2012 on Cloud Computing,WP 196,Adopted July 1st 2012,p.12.我国台湾地区“个人资料保护法施行细则”第6条第1款规定:“本法第二条第四款所称删除,指使已储存之个人资料自个人资料档案中消失。”笔者认为,由于删除个人信息的根本目的就是要使得个人信息不可用,即处理者或者其他人不可能取得、读取与使用个人信息,故此只要通过某种措施使得个人信息无法或者除非花费巨额的成本否则不可能再被处理者或其他人取得、读取与使用即可。具体的方式可以是物理上毁掉存储个人信息的硬盘,也可以是其他的技术手段。如果仅仅是无法在线访问或者删掉回收站,显然不构成删除,因为处理者可以很轻易地再次取得和使用该个人信息。
(二)处理者主动删除
当存在《个人信息保护法》第47条第1款规定的情形之一,处理者主动删除个人信息的,应当将其删除个人信息这一情况告知个人。《儿童个人信息网络保护规定》第23条规定:“网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。”从这一规定来看,似乎停止运营的通知就相当于删除个人信息的告知义务。
个人信息处理者应当主动删除个人信息的时间,就是指从个人信息处理者发现存在法律规定应当主动删除的个人信息时起,毫不迟延地删除个人信息所需要的时间。如果个人请求处理者删除的,则应当自处理者接到删除的请求时起毫不迟延地删除个人信息。《个人信息保护法》没有规定具体的时限,有一些规章和文件作了相关规定。例如,《汽车数据安全管理若干规定(试行)》第9条第1款第2项规定,汽车数据处理者处理敏感个人信息,个人要求删除的,汽车数据处理者应当在10个工作日内删除。再如,《App违法违规收集使用个人信息行为认定方法》第6条规定,15个工作日是删除的最高时限,App运营者主动承诺的时限可以低于15个工作日,但不能超过。如果没有承诺时限的,不得长于15个工作日。
(三)个人请求个人信息处理者删除
如果存在应当删除个人信息的情形,但是个人信息处理者未依法主动删除的,依据《个人信息保护法》第47条,个人有权请求删除。所谓请求删除,是指个人向个人信息处理者提出请求,要求个人信息处理者予以删除。如果个人信息处理者拒绝个人行使删除权的请求,依据《个人信息保护法》第50条第2款规定,个人可以依法向人民法院提起诉讼。在《个人信息保护法》的起草过程中,曾有一些人认为,个人在个人信息处理活动中的权利如查询复制权、更正补充权、删除权等如果未能得到实现,即处理者拒绝的,应当由履行个人信息保护职责的部门采取相应的处罚措施,而不应当允许个人提起诉讼,理由在于:首先,如果允许起诉,就会被人恶意利用来增加个人信息处理者的负担;其次,会给法院造成很大的麻烦,导致诉讼“爆炸”,案件量激增。另一种观点认为,没有救济就没有权利,如果个人在个人信息处理活动中的权利遭受侵害后,不能向法院起诉,则等于没有规定这些权利,无法实现保护个人信息权益的立法目的。
在审议《个人信息保护法》时,有全国人大常委会委员提出,应当要求个人信息处理者提供便捷的途径,并明确个人向人民法院起诉寻求救济的权利,以更好保障个人行使个人信息查询、复制等权利,宪法和法律委员会经研究后接受了该意见〔18〕,最终,《个人信息保护法》第50条第2款明确规定:“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”笔者认为,这一规定是正确的。首先,如果规定了个人在个人信息处理活动中的权利,却不允许权利人在权利无法得到实现时寻求法院的救济,那么该权利就没有意义了。没有救济,就没有权利。其次,任何权利都可能被滥用,对此自有法律加以规范,《民法典》第132条已经明确规定:“民事主体不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益。”故此,以权利可能被滥用来否定权利的可诉性,属于本末倒置。再次,至于所谓的诉讼“爆炸”,也没有证据加以支持。况且,通过合理的程序设计也可以防止这种可能性。
(四)侵害删除权的民事责任
删除权属于个人在个人信息处理活动中的权利,性质上是个人信息权益的权利内容,即手段性权利,我国《个人信息保护法》规定删除权的目的也是为了保护个人信息权益,故此,删除权是个人信息权益的权能,不是独立的人格权,同时删除权指向的是个人信息处理者,属于请求权,而非绝对权。个人信息处理者不依法履行删除义务且在个人请求其删除时拒绝删除的,其行为构成对删除权的侵害。依据《个人信息保护法》第50条第2款,个人可以依法向人民法院提起诉讼,该诉讼属于给付之诉,即由法院判决处理者履行删除义务并在其不履行时通过国家强制力予以实现。侵害删除权本身不会产生侵权赔偿责任,只有在侵害删除权给个人造成财产损失或精神损害时,个人信息处理者才应当承担损害赔偿等侵权责任(《个人信息保护法》第69条)。
五、结语
综上,删除权作为个人信息权益的重要内容,对于实现个人对其个人信息处理的决定权具有至关重要的作用。虽然我国《民法典》和《个人信息保护法》都对删除权作出了规定,但是,这些法律规定总体上仍然是比较原则且抽象的,故此,需要未来有相应的法规规章以及标准等加以细化,从而使之具有可操作性。此外,随着《个人信息保护法》的施行,司法实践中必将出现删除权的相关纠纷,通过这些纠纷也能暴露出更具体的问题并累积司法经验,这样也可以为删除权的行使提供更好的司法保障。