個(gè)人信息刪除義務(wù)的實(shí)證研究
——以12家電商平臺(tái)隱私政策為對(duì)象

趙 真（山西財(cái)經(jīng)大學(xué)，山西 太原 030000）

2021年11月，《中華人民共和國個(gè)人信息保護(hù)法》（下文簡(jiǎn)稱“個(gè)保法”）正式施行，于第47條規(guī)定了個(gè)人信息刪除權(quán)的適用情形以及權(quán)利邊界，確立了刪除權(quán)的基本法律框架，但因具體指引性不強(qiáng)，刪除義務(wù)的實(shí)際履行效果不佳。故當(dāng)前應(yīng)將刪除權(quán)的理論研究由立法論轉(zhuǎn)為解釋論，厘清規(guī)范適用，理順分歧焦點(diǎn)，對(duì)實(shí)踐問題予以針對(duì)性回應(yīng)才是應(yīng)有之義。有鑒于此，筆者梳理了個(gè)人信息權(quán)益、個(gè)人信息刪除權(quán)、個(gè)人信息刪除義務(wù)之間的內(nèi)在邏輯，對(duì)個(gè)保法中刪除權(quán)的法條構(gòu)造予以規(guī)范分析，并選取十二個(gè)具有代表性的電商平臺(tái)隱私政策文本進(jìn)行實(shí)證分析，試圖找出應(yīng)然層面與實(shí)然層面的沖突之處，并提出消解沖突的可能進(jìn)路，進(jìn)一步細(xì)化刪除義務(wù)履行規(guī)則，妥適處理信息主體的利益訴求，以期個(gè)保法規(guī)范得以準(zhǔn)確適用。

一、個(gè)人信息刪除義務(wù)的規(guī)范目的

（一）個(gè)人信息刪除義務(wù)的根本規(guī)范目的：保障個(gè)人信息權(quán)益的“本權(quán)權(quán)益”

大數(shù)據(jù)、人工智能、云計(jì)算、區(qū)塊鏈等信息技術(shù)的廣泛應(yīng)用，使得公民的身份信息、通信記錄、財(cái)產(chǎn)狀況等個(gè)人信息以數(shù)據(jù)形態(tài)呈現(xiàn)于現(xiàn)實(shí)生活中，而個(gè)人信息在大數(shù)據(jù)中如何被分析以及怎樣被應(yīng)用，已遠(yuǎn)遠(yuǎn)超出信息主體的意圖范圍與認(rèn)知能力[1]。新興技術(shù)的工具理性使得原本作為主體的人越來越像機(jī)器，逐漸喪失主體地位，成為工具的分析對(duì)象，海德格爾口中的“技術(shù)根本不是人可以控制的工具”或許會(huì)成為未來世界的理性危機(jī)[2]。個(gè)人信息權(quán)益無疑關(guān)乎人類自由，對(duì)人的生存與發(fā)展不可或缺。2021年9月頒布的《國家人權(quán)行動(dòng)計(jì)劃（2021—2025年）》將個(gè)人信息權(quán)益視為我國的基本人權(quán)，與“生命權(quán)”等權(quán)利一并納入“公民權(quán)利與政治權(quán)利”一節(jié)。

就個(gè)人信息權(quán)益構(gòu)造而言，包括“本權(quán)權(quán)益”與保護(hù)“本權(quán)權(quán)益”的權(quán)利，比如“物權(quán)”與“物權(quán)請(qǐng)求權(quán)”的權(quán)益構(gòu)造就與之類似[3]?！氨緳?quán)權(quán)益”是個(gè)人信息權(quán)益的根蒂，體現(xiàn)個(gè)人主體性之人的尊嚴(yán)，正如康德所說，“人永遠(yuǎn)是自身的目的而非他人的手段”[4]。個(gè)人信息源自人，以識(shí)別特定自然人為核心特征。法律保護(hù)個(gè)人信息，并不是保護(hù)個(gè)人信息本身，而是保護(hù)信息背后的“個(gè)人”。而刪除義務(wù)的有效履行能夠回應(yīng)信息主體的刪除訴求，尊重信息主體的意志自由。由是，個(gè)人信息刪除義務(wù)以保障個(gè)人信息權(quán)益的“本權(quán)權(quán)益”為根本規(guī)范目的。

（二）個(gè)人信息刪除義務(wù)的直接規(guī)范目的：實(shí)現(xiàn)“保護(hù)本權(quán)權(quán)益的權(quán)利”

刪除權(quán)與知情決定權(quán)、查詢復(fù)制權(quán)、轉(zhuǎn)移權(quán)、補(bǔ)充更正權(quán)等均屬于保護(hù)“本權(quán)權(quán)益”的權(quán)利。而保護(hù)“本權(quán)權(quán)益”的權(quán)利又被稱之為個(gè)人信息權(quán)利束[5]，是公民個(gè)人規(guī)避數(shù)據(jù)權(quán)力支配甚至奴役的重要手段。其中，個(gè)保法第44條知情權(quán)與決定權(quán)是個(gè)人信息權(quán)益的核心工具性權(quán)利，相當(dāng)于個(gè)人信息權(quán)利束中的概括性權(quán)利，其權(quán)利對(duì)象為“個(gè)人信息處理活動(dòng)”[6]，即在對(duì)個(gè)人信息處理活動(dòng)的相關(guān)事項(xiàng)知悉的基礎(chǔ)上，享有對(duì)個(gè)人信息處理活動(dòng)予以選擇、干預(yù)、限制、拒絕的決定權(quán)，以此構(gòu)建事先防御機(jī)制，使個(gè)人信息權(quán)益在最大程度上免受侵害。

刪除權(quán)作為個(gè)人信息權(quán)利束中的工具性權(quán)利之一，就是以實(shí)現(xiàn)公民個(gè)人的決定權(quán)為功能價(jià)值?；趥€(gè)人信息本身的交互性與公共性，其在技術(shù)上不能被任何主體所支配，亦不會(huì)因多次使用而貶損價(jià)值，在現(xiàn)代信息化社會(huì)明確個(gè)人信息之上的絕對(duì)權(quán)被詬病有礙信息流通之嫌[7]。不同于強(qiáng)調(diào)主體處分或控制的自決權(quán)，為實(shí)現(xiàn)個(gè)人信息的權(quán)益保護(hù)與合理利用的雙向奔赴，個(gè)人行使刪除權(quán)中的個(gè)人意志指向“個(gè)人信息處理活動(dòng)”的決定權(quán)。為避免數(shù)字技術(shù)對(duì)個(gè)人信息的數(shù)字化記憶打上“永恒烙印”，當(dāng)個(gè)人信息處理活動(dòng)中涉及某些不相關(guān)或非必要處理的個(gè)人信息時(shí)，信息主體有權(quán)拒絕信息處理行為，信息處理者應(yīng)當(dāng)履行信息刪除義務(wù)。

個(gè)保法第47條從權(quán)利行使與義務(wù)履行兩個(gè)方面建構(gòu)個(gè)人信息刪除權(quán)的法律框架，該法條構(gòu)造不僅包含個(gè)人信息主體的刪除權(quán)利，還包括個(gè)人信息處理者的刪除義務(wù)。基于個(gè)人信息權(quán)益，個(gè)人信息刪除權(quán)作為保護(hù)“本權(quán)權(quán)益”的權(quán)利，其權(quán)能在于實(shí)現(xiàn)人的主體意志；基于個(gè)人信息刪除權(quán)，在個(gè)人信息處理活動(dòng)中，當(dāng)滿足一定條件之時(shí)，信息主體請(qǐng)求信息處理者刪除其個(gè)人信息，賦予信息處理者相應(yīng)的刪除義務(wù)。通過刪除義務(wù)的有效履行以達(dá)到個(gè)人信息刪除權(quán)的完滿實(shí)現(xiàn)，從而保障個(gè)人信息權(quán)益之“本權(quán)權(quán)益”，彰顯人格尊嚴(yán)，回應(yīng)數(shù)字時(shí)代的挑戰(zhàn)。

二、個(gè)人信息刪除義務(wù)的規(guī)范構(gòu)造

（一）個(gè)人信息刪除義務(wù)的履行主體

個(gè)人信息刪除權(quán)的義務(wù)主體為個(gè)人信息處理者。在同一個(gè)人信息存在多個(gè)信息處理者的情形下，為明確多方信息處理者是否應(yīng)當(dāng)履行同等刪除義務(wù)，有必要厘清主體之間的法律關(guān)系以及適用規(guī)范，具體可分為三種情形。

其一，多方主體之間為連帶責(zé)任關(guān)系。根據(jù)個(gè)保法第20條，兩個(gè)以上共同處理個(gè)人信息的信息處理者之間為連帶責(zé)任關(guān)系，且個(gè)人信息處理者內(nèi)部約定的權(quán)利義務(wù)不具有外部效力。信息主體可以向其中任何一方信息處理者主張刪除權(quán)，多方主體均承擔(dān)信息刪除義務(wù)。

其二，多方主體之間為委托法律關(guān)系。個(gè)保法第21條規(guī)定了基于委托合同處理個(gè)人信息的規(guī)則，明確了委托人對(duì)受托人信息處理活動(dòng)的監(jiān)督義務(wù)。刪除作為個(gè)人信息處理活動(dòng)之一，受托人若需履行個(gè)人信息刪除義務(wù)，亦理應(yīng)受到委托人的監(jiān)督。

其三，多方主體之間為提供與被提供的法律關(guān)系，即個(gè)人信息處理者向其他處理者提供其所控制并處理的個(gè)人信息。個(gè)保法第23條規(guī)定，個(gè)人信息處理者經(jīng)由個(gè)人單獨(dú)同意對(duì)外提供個(gè)人信息的，僅涉及接收方變更先前處理目的及處理方式時(shí)的重新取得同意的義務(wù)。若信息主體請(qǐng)求原信息處理者刪除其個(gè)人信息，并不必然使得接收該信息的信息處理者履行同樣的刪除義務(wù)。

（二）個(gè)人信息刪除義務(wù)的履行前提

1.實(shí)質(zhì)前提：信息處理欠缺正當(dāng)性

個(gè)人信息處理行為缺乏正當(dāng)性基礎(chǔ)時(shí)，信息處理者應(yīng)當(dāng)履行個(gè)人信息刪除義務(wù)，包括以下三個(gè)方面。

其一，個(gè)人信息處理行為不具備個(gè)保法第13條規(guī)定的合法性基礎(chǔ)，即違法違規(guī)違約處理個(gè)人信息。因其欠缺合法性，信息主體有權(quán)行使刪除權(quán)，要求信息處理者刪除個(gè)人信息以維護(hù)個(gè)人權(quán)益。

其二，將個(gè)人同意作為個(gè)人信息處理的合法性基礎(chǔ)的，信息主體依照個(gè)保法第15條享有撤回同意權(quán)，若其“撤回同意”，即喪失意定的合法依據(jù)，信息處理者應(yīng)將所涉及的個(gè)人信息予以刪除。

其三，將個(gè)保法第13條2～7項(xiàng)作為個(gè)人信息處理行為的合法性基礎(chǔ)的，因其須滿足“必需”“合理”的要求，所以當(dāng)“處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要”“停止提供產(chǎn)品或服務(wù)”“保存期限已屆滿”時(shí)，信息主體可以請(qǐng)求信息處理者刪除其個(gè)人信息。可以說該規(guī)定所體現(xiàn)的比例原則是個(gè)保法的核心規(guī)范價(jià)值，并貫穿于整部法律規(guī)范中。首先在總則篇第5條確認(rèn)了合法、正當(dāng)、必要原則，并在第6條規(guī)定了目的限制原則，即處理個(gè)人信息目的的明確合理性，處理個(gè)人信息活動(dòng)與該特定目的的直接相關(guān)性，以及處理個(gè)人信息方式與范圍的最小影響化，不得過度收集。第19條也對(duì)處理個(gè)人信息的必要最短保存期限做出了規(guī)定。因此，當(dāng)個(gè)人信息處理行為欠缺必要性時(shí)，個(gè)人信息處理者亦應(yīng)當(dāng)履行刪除義務(wù)。

2.形式前提：具備刪除的啟動(dòng)條件

信息處理者履行刪除義務(wù)存在三種啟動(dòng)方式。

首先是主動(dòng)履行刪除義務(wù)。如上文所述，個(gè)人信息處理行為若不具備合法性基礎(chǔ)，個(gè)人信息處理者應(yīng)主動(dòng)履行刪除義務(wù)。例如在委托處理個(gè)人信息中，若該委托合同存在效力瑕疵，受托人應(yīng)將個(gè)人信息返還委托人或者履行刪除義務(wù)刪除該個(gè)人信息。

其次是因申請(qǐng)履行刪除義務(wù)。出現(xiàn)刪除權(quán)的適用情形時(shí)，信息主體可請(qǐng)求信息處理者予以刪除，但個(gè)人應(yīng)當(dāng)向事實(shí)上控制該個(gè)人信息的信息處理者主張刪除其個(gè)人信息。根據(jù)個(gè)保法第22條，因合并分立等事由，個(gè)人信息被信息處理者轉(zhuǎn)移至接收方的，此時(shí)信息主體的刪除權(quán)應(yīng)當(dāng)向接收方主張，接收方負(fù)有個(gè)人信息刪除義務(wù)。

最后是因起訴履行刪除義務(wù)。個(gè)人信息處理者拒絕個(gè)人刪除請(qǐng)求時(shí)，信息主體也可向法院起訴以行使刪除權(quán)。依據(jù)個(gè)保法第50條規(guī)定，信息主體通過訴訟的方式向法院行使刪除權(quán)時(shí)，該起訴存在前置條件，即個(gè)人信息處理者需明確拒絕個(gè)人行使刪除權(quán)的請(qǐng)求。

（三）個(gè)人信息刪除義務(wù)無需履行的情形

信息處理者在以下兩種情況下無需履行個(gè)人信息刪除義務(wù)。

情形一，依據(jù)相關(guān)法律、行政法規(guī)個(gè)人信息的保存期限未屆滿。如《電子簽名法》規(guī)定的個(gè)人信息保存期限為至少5年，《證券法》和《證券投資基金法》都規(guī)定不得少于20年，《精神衛(wèi)生法》規(guī)定不得少于30年等。

情形二，刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)。比如區(qū)塊鏈技術(shù)的不可篡改性與個(gè)人信息刪除權(quán)之間的沖突，區(qū)塊鏈技術(shù)的去中心化與個(gè)人信息刪除權(quán)的義務(wù)主體特定性之間的沖突，都是目前不可調(diào)和的技術(shù)難題[8]。在此情形下，所能進(jìn)行的信息處理行為僅限于存儲(chǔ)，且個(gè)人信息處理者應(yīng)當(dāng)采取安全保護(hù)措施履行個(gè)人信息保護(hù)義務(wù)。

三、實(shí)踐偏差：個(gè)人信息刪除義務(wù)難以有效履行

綜合考慮用戶量、交易量、市場(chǎng)知名度等因素，本文選取了十二個(gè)具有代表性的電子商務(wù)平臺(tái)進(jìn)行實(shí)證分析（見表1），發(fā)現(xiàn)現(xiàn)有的平臺(tái)隱私政策文本未對(duì)個(gè)保法的相關(guān)制度規(guī)范予以準(zhǔn)確回應(yīng)，實(shí)踐中個(gè)人信息刪除義務(wù)難以有效履行，實(shí)然層面與應(yīng)然層面存在一定差距。

表1 電商平臺(tái)隱私政策的研究樣本

（一）個(gè)人信息刪除義務(wù)履行主體中第三方應(yīng)否履行存疑

本文所選取的電商平臺(tái)無一例外地規(guī)定了第三方共享信息，均列明了第三方信息共享清單，并提供了共享信息范圍、使用目的、使用場(chǎng)景、共享方式以及第三方運(yùn)營(yíng)商的個(gè)人信息處理規(guī)則鏈接。但個(gè)人信息被多方共享，在個(gè)人行使刪除權(quán)時(shí)，多方信息控制者的刪除義務(wù)應(yīng)否履行并不統(tǒng)一。

存在一半的電商平臺(tái)并未對(duì)從該平臺(tái)獲得個(gè)人信息的第三方運(yùn)營(yíng)商的刪除義務(wù)予以說明。另一半電子商務(wù)平臺(tái)雖規(guī)定了向第三方通知?jiǎng)h除的義務(wù)，但都以“盡可能通知，要求其刪除，除非法律法規(guī)另有規(guī)定，或其已獲得個(gè)人獨(dú)立授權(quán)”之類的形式呈現(xiàn)，原文表述模糊寬泛、語焉不詳。第三方運(yùn)營(yíng)商的刪除義務(wù)處于可有可無的游離狀態(tài)，主導(dǎo)權(quán)完全被平臺(tái)掌控，到底是否應(yīng)當(dāng)履行、誰來通知、如何履行、誰來監(jiān)管均不明晰。

實(shí)踐中，為實(shí)現(xiàn)產(chǎn)品/服務(wù)的核心功能或提供滿足用戶需要的服務(wù)，平臺(tái)與關(guān)聯(lián)公司或第三方運(yùn)營(yíng)商之間的數(shù)據(jù)共享范圍極為廣泛。不僅包含手機(jī)號(hào)碼、手機(jī)存儲(chǔ)（相冊(cè)、媒體、和其他文件權(quán)限）、任務(wù)列表等；在與物流供應(yīng)商、報(bào)關(guān)供應(yīng)商、身份校驗(yàn)供應(yīng)商等第三方共享信息中還包含詳細(xì)地址、身份證號(hào)碼、面部識(shí)別信息等敏感個(gè)人信息。海量個(gè)人數(shù)據(jù)被第三方運(yùn)營(yíng)商所控制，使得個(gè)人行使刪除權(quán)變得復(fù)雜棘手，即使平臺(tái)履行刪除義務(wù)，也無法保證刪除權(quán)之有效性。若第三方的刪除義務(wù)不予以明確，刪除權(quán)極易淪為“紙面上的權(quán)利”。

（二）個(gè)人信息刪除義務(wù)履行方式與匿名化處理變相等同

絕大部分電商平臺(tái)在規(guī)定刪除義務(wù)時(shí)，都以“或”字將“刪除”與“匿名化處理”相連接，文義解釋上“或”表并列關(guān)系或選擇關(guān)系，并無先后順序。不僅如此，在《個(gè)人信息安全規(guī)范》(GB/T35273-2020)第6.1條與第6.4條中也將個(gè)人信息控制者的刪除義務(wù)與匿名化處理等同化。但問題是“匿名化處理”是否可以作為“刪除”的替代履行？

目前對(duì)于“刪除”的界定尚未形成通說[9]，個(gè)保法也未明確規(guī)定?！缎畔踩夹g(shù)-個(gè)人信息安全規(guī)范》（GB/T35W3-2020）3.10將“刪除”定義為“使其保持不可被檢索、訪問的狀態(tài)”。就刪除對(duì)象而言，刪除可區(qū)分為邏輯刪除與物理刪除。通俗來講，邏輯刪除只是更改數(shù)據(jù)中的某個(gè)字節(jié)使系統(tǒng)無法識(shí)別，相當(dāng)于把數(shù)據(jù)放置于回收站中，仍舊可以通過某種手段予以恢復(fù)。而物理刪除具有不可逆性，二進(jìn)制數(shù)據(jù)全部歸零，該數(shù)據(jù)所用到的磁存儲(chǔ)區(qū)域會(huì)被真正抹除[10]。刪除的目的在于使得個(gè)人信息不可被他人使用，由于在線無法訪問或放在回收站可以再次輕易獲得，顯然不構(gòu)成刪除[11]。《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中5.1（d）的“刪除”指“在信息系統(tǒng)中不可再用”，該款定義更符合保障個(gè)人信息權(quán)益的立法目的。

數(shù)據(jù)之所以作為再現(xiàn)現(xiàn)實(shí)世界的工具，正是因其總是描述特定對(duì)象，當(dāng)數(shù)據(jù)不能指向特定對(duì)象或者不能與特定對(duì)象相聯(lián)結(jié)時(shí)，就會(huì)喪失分析價(jià)值[12]?？梢哉f個(gè)人信息的利用價(jià)值與其可識(shí)別性直接相關(guān)，匿名化處理技術(shù)除刪除或更改某些直接或間接標(biāo)識(shí)符之外，為保證匿名化信息的實(shí)用性，必然會(huì)留存一些識(shí)別因子，由此便成為引發(fā)匿名化再識(shí)別風(fēng)險(xiǎn)的導(dǎo)火索[15]。匿名化技術(shù)并不是個(gè)人信息處理者逃避個(gè)人信息保護(hù)職責(zé)的一勞永逸之良方，其具有重識(shí)性，可以被突破，不能確保個(gè)人信息“在信息系統(tǒng)中不可再用”，反而會(huì)使得變相逃避履行刪除義務(wù)異化為常態(tài)。

（三）個(gè)人信息刪除義務(wù)得以履行后的外部監(jiān)管缺位

用戶可自行刪除的信息范圍十分有限，基本上僅涉及個(gè)人基本資料以及使用信息，與上文所述的平臺(tái)及第三方所控制并處理的個(gè)人信息規(guī)模相比相去甚遠(yuǎn)。若用戶想就超出隱私政策所規(guī)定的刪除范圍的信息行使刪除權(quán)，途徑有二：其一，注銷賬戶；其二，通過該隱私政策所提供的平臺(tái)聯(lián)系方式提交申請(qǐng)、表達(dá)刪除訴求。但上述兩種途徑都存在不同程度的阻礙，平臺(tái)刪除義務(wù)的履行效果并不理想。

以注銷賬戶為例，其意味著平臺(tái)將“停止提供產(chǎn)品或服務(wù)”，應(yīng)當(dāng)刪除特定用戶的全部個(gè)人信息。部分平臺(tái)隱私政策中明確規(guī)定在注銷賬戶時(shí)，個(gè)人信息會(huì)在前臺(tái)系統(tǒng)中去除，使其保持不可被檢索、訪問的狀態(tài)，或?qū)ζ溥M(jìn)行匿名化處理。如前所述，諸如此類的措施并不能保證刪除的徹底性，至于該平臺(tái)是否履行刪除義務(wù)以及其所刪除的個(gè)人信息范圍，仍然存在不確定性，個(gè)人無法驗(yàn)證。

本文所選取的樣本大都符合大型電子商務(wù)平臺(tái)特征，具備海量數(shù)據(jù)控制力的同時(shí)兼具強(qiáng)大數(shù)據(jù)分析能力，其所催生的數(shù)字鴻溝使得個(gè)人與此類個(gè)人信息處理者之間存在實(shí)質(zhì)上的“非對(duì)稱權(quán)力結(jié)構(gòu)”[14]。在數(shù)據(jù)權(quán)力的壓榨下，公民私人空間及其自決權(quán)利被迫削減。為強(qiáng)化大型電子商務(wù)平臺(tái)的個(gè)人信息保護(hù)責(zé)任義務(wù)，根據(jù)個(gè)保法第58條，對(duì)于此類信息處理者的個(gè)人信息保護(hù)情況應(yīng)當(dāng)由外部成員組成的獨(dú)立機(jī)構(gòu)予以監(jiān)督，但該規(guī)范并未得到落實(shí)，存在獨(dú)立機(jī)構(gòu)缺位、外部監(jiān)督缺失的現(xiàn)實(shí)問題。

（四）個(gè)人信息刪除義務(wù)不予履行時(shí)的存儲(chǔ)期限模糊

依據(jù)個(gè)保法第47條第2款，超出法律、行政法規(guī)規(guī)定的保存期限后，個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息。換言之,在法律、行政法規(guī)規(guī)定的保存期限內(nèi)平臺(tái)可拒絕信息主體行使刪除權(quán)，不予履行刪除義務(wù)。但就目前各大平臺(tái)隱私政策的規(guī)定來看，除“法律法規(guī)規(guī)定”外，“為實(shí)現(xiàn)本政策目的所必需”也一同成為保存期限的界定語。

這似乎已經(jīng)使得刪除義務(wù)的履行陷入一個(gè)邏輯怪圈中：由于用戶刪除范圍受限，若想要?jiǎng)h除其他信息，需要向平臺(tái)提交申請(qǐng)。但即使順利提交了刪除請(qǐng)求，刪除義務(wù)的履行仍受保存期限的限制，平臺(tái)仍可以“保存期限未屆滿”為由拒絕刪除。至于“為實(shí)現(xiàn)本政策目的所必需”的保存期限的界定，一無法律依據(jù)，二無用戶參與，所謂的遵循比例原則、目的限制完全由平臺(tái)掌控。

如此一來，用戶若仍舊想刪除該信息就只能注銷賬戶或動(dòng)用司法資源走上訴訟道路。但注銷之后由于監(jiān)管主體的缺失，對(duì)平臺(tái)是否真正履行刪除義務(wù)也無從知曉；而在個(gè)案審理中，單個(gè)信息用戶又因信息的不對(duì)稱陷入難以舉證的困境，或維權(quán)的成本與收益比例明顯失衡而無法得到相應(yīng)救濟(jì)?？梢姡畔⒅黧w處于被動(dòng)狀態(tài)，利益訴求很難得到有效實(shí)現(xiàn)。

四、規(guī)范進(jìn)路：個(gè)人信息刪除權(quán)如何有效實(shí)現(xiàn)

（一）區(qū)分第三方法定刪除義務(wù)

實(shí)踐中第三方運(yùn)營(yíng)商獲取個(gè)人信息的方式包括應(yīng)用程序接口傳輸（API）或內(nèi)嵌軟件工具開發(fā)包（SDK）。筆者認(rèn)為，基于不同的獲取方式應(yīng)當(dāng)區(qū)分不同的刪除義務(wù)。

1.通過SDK本機(jī)采集方式獲取個(gè)人信息的第三方刪除義務(wù)

軟件工具開發(fā)包（SDK）是以本機(jī)采集的方式獲取個(gè)人信息，屬于直接收集，并不在數(shù)據(jù)共享的范疇，在《京東隱私政策》的第三方SDK列表中對(duì)此也予以了說明。此類供應(yīng)商、服務(wù)提供商主要提供技術(shù)基礎(chǔ)設(shè)施服務(wù)、數(shù)據(jù)分析服務(wù)、客戶服務(wù)、安全服務(wù)或進(jìn)行學(xué)術(shù)研究和調(diào)查，比如微信、移動(dòng)、支付寶等，其所收集的個(gè)人信息范圍直接涉及用戶的本機(jī)號(hào)碼、手機(jī)存儲(chǔ)信息、音頻信息甚至面部特征，API接口傳輸?shù)牟杉秶鸁o法與其同日而語，一旦發(fā)生侵權(quán)事件，SDK本機(jī)采集方式獲取個(gè)人信息的“寒蟬效應(yīng)”顯然更甚。

平臺(tái)自身數(shù)據(jù)能力有限，大部分產(chǎn)品或服務(wù)無法單獨(dú)完成，為保障和優(yōu)化自身的產(chǎn)品或服務(wù)，外包成為替代解決方案，以借力于第三方機(jī)構(gòu)的數(shù)據(jù)服務(wù)。對(duì)個(gè)人信息的處理存在一個(gè)共同作用力，不僅具備主觀意思聯(lián)絡(luò)，還存在客觀行為的直接結(jié)合[15]，屬于連帶責(zé)任法律關(guān)系，適用個(gè)保法第20條。因此，基于SDK本機(jī)采集方式獲取個(gè)人信息的第三方運(yùn)營(yíng)商應(yīng)當(dāng)與原平臺(tái)負(fù)有同等的刪除義務(wù)，當(dāng)用戶行使刪除權(quán)時(shí)，平臺(tái)必須向第三方通知用戶的特定刪除訴求。

2.通過API接口傳輸共享個(gè)人信息的第三方刪除義務(wù)

不同于SDK本機(jī)采集，API接口傳輸應(yīng)屬于數(shù)據(jù)共享的范疇。在此基礎(chǔ)上，為準(zhǔn)確適用法律規(guī)范，還可以細(xì)分為有委托處理協(xié)議的API接口傳輸，以及無委托處理協(xié)議的API接口傳輸。需要說明的是，雖然在個(gè)人信息委托處理關(guān)系中，還包括內(nèi)嵌SDK的獲取方式，但如上文所述，理論上此種情形的第三方運(yùn)營(yíng)商都應(yīng)履行刪除義務(wù)，故不再做具體展開。

在有委托處理協(xié)議的API接口傳輸中，原平臺(tái)與第三方屬于委托法律關(guān)系，適用個(gè)保法第21條。這種情形主要指平臺(tái)隱私政策中所提到的廣告、分析服務(wù)類的授權(quán)合作伙伴，主要處理與廣告投放、覆蓋面和有效性相關(guān)的信息，提供廣告曝光監(jiān)測(cè)或服務(wù)決策，并且平臺(tái)明確表示不會(huì)共享識(shí)別身份的個(gè)人信息，否則會(huì)做去標(biāo)識(shí)化處理。但在《拼多多隱私政策》中還存在“這類實(shí)體可能將上述信息與它們合法獲取的其他數(shù)據(jù)相結(jié)合，以執(zhí)行平臺(tái)委托的廣告服務(wù)或決策建議”一類的表述。由于我國立法對(duì)個(gè)人信息的界定采“可識(shí)別+相關(guān)聯(lián)”的標(biāo)準(zhǔn)，第三方依舊可以通過數(shù)據(jù)挖掘輕易識(shí)別出特定個(gè)人身份。匿名化技術(shù)尚且存在再識(shí)別風(fēng)險(xiǎn)，遑論去標(biāo)識(shí)技術(shù)對(duì)個(gè)人信息保護(hù)程度還要次于匿名化，因此為保證刪除義務(wù)的有效履行，在委托處理協(xié)議中應(yīng)明確約定“用戶行使刪除權(quán)時(shí)的受托方刪除義務(wù)”。同時(shí)，當(dāng)委托處理協(xié)議出現(xiàn)效力瑕疵時(shí)，受托方因不具備處理個(gè)人信息的正當(dāng)性基礎(chǔ)，應(yīng)當(dāng)將個(gè)人信息返還委托方，或者主動(dòng)予以刪除且不得保留。

在無委托處理協(xié)議的API接口傳輸中，原平臺(tái)與第三方屬于提供與接收的法律關(guān)系，適用個(gè)保法第23條。比如，在第三方運(yùn)營(yíng)的網(wǎng)站或應(yīng)用中使用“微信登錄”功能，屬于微信向第三方提供個(gè)人信息，具體提供的范圍以交互頁面中用戶確認(rèn)為準(zhǔn)。質(zhì)言之，平臺(tái)向其他信息處理者提供個(gè)人信息，應(yīng)當(dāng)取得用戶個(gè)人的單獨(dú)同意。由于存在用戶獨(dú)立授權(quán)，在此情形下當(dāng)個(gè)人向原平臺(tái)提出刪除的請(qǐng)求時(shí)，原平臺(tái)就無需負(fù)有通知第三方刪除的義務(wù)，屬于各大平臺(tái)隱私政策中“已獲得個(gè)人獨(dú)立授權(quán)”的情形。

（二）動(dòng)態(tài)規(guī)制匿名化處理措施

首先，基于匿名化處理的再識(shí)別風(fēng)險(xiǎn)，必須明確匿名化處理非不得已而為之。實(shí)際上個(gè)保法第47條的規(guī)制思路亦驗(yàn)證了此點(diǎn)，在出現(xiàn)技術(shù)上難以刪除情形時(shí)，個(gè)人信息處理者應(yīng)當(dāng)采取必要的安全保護(hù)措施，此處的安全保護(hù)措施就應(yīng)包含個(gè)人信息的匿名化處理。匿名化處理與去標(biāo)識(shí)化技術(shù)、SSL/TLS加密技術(shù)、HTTPS協(xié)議安全瀏覽等，同屬于個(gè)保法第51條第3款的安全技術(shù)措施，與刪除本身并不相同。在各大平臺(tái)隱私政策關(guān)于履行刪除義務(wù)的相關(guān)規(guī)定中，將“刪除或匿名化處理”改為“若刪除個(gè)人信息在技術(shù)上難以實(shí)現(xiàn)的，則對(duì)個(gè)人信息進(jìn)行匿名化處理”更為穩(wěn)妥。如此糾偏，一來明確了刪除與匿名化處理的先后順序，只有刪除不能才可匿名化處理，刪除仍是平臺(tái)運(yùn)營(yíng)商的第一要?jiǎng)?wù)；二來針對(duì)某些無法克服的技術(shù)難題留有余地，以防法律過于嚴(yán)苛而致使實(shí)踐目的落空。

其次，基于匿名化處理的再識(shí)別風(fēng)險(xiǎn)之必然性，我國立法應(yīng)當(dāng)予以正視，并應(yīng)明文禁止信息控制者對(duì)匿名化信息的惡意識(shí)別。事實(shí)上由于對(duì)匿名化信息再流通利用的市場(chǎng)需求，并不存在絕對(duì)意義上的“無法識(shí)別且不可復(fù)原”的匿名化處理，個(gè)保法如此框定“匿名化”不免過于迂闊僵化。而不同平臺(tái)對(duì)匿名化的不同解讀極易造成互聯(lián)網(wǎng)產(chǎn)業(yè)中傳統(tǒng)經(jīng)濟(jì)學(xué)所謂的“檸檬市場(chǎng)”，因此相關(guān)法規(guī)也應(yīng)進(jìn)一步明確個(gè)人信息匿名化標(biāo)準(zhǔn)以及清晰匿名化處理規(guī)則[16]。比較法上，不同于美國《個(gè)人信息保護(hù)指引》為促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展而弱化個(gè)人信息保護(hù)的寬松標(biāo)準(zhǔn)，歐盟GDPR嚴(yán)格遵循目的限制原則，并引入“動(dòng)態(tài)風(fēng)險(xiǎn)管理”理念，具有一定的前瞻性意義。以風(fēng)險(xiǎn)管理為基礎(chǔ)的匿名化模式更貼合實(shí)際，對(duì)匿名化的法律標(biāo)準(zhǔn)并非為不可識(shí)別，而是再識(shí)別的風(fēng)險(xiǎn)最小化[17]。

最后，就平臺(tái)責(zé)任而言，平臺(tái)應(yīng)針對(duì)已匿名化信息進(jìn)行定期風(fēng)險(xiǎn)評(píng)估，對(duì)存在重識(shí)風(fēng)險(xiǎn)的信息出具風(fēng)險(xiǎn)評(píng)估報(bào)告，采取信息安全預(yù)防機(jī)制措施[18]。若該風(fēng)險(xiǎn)可能會(huì)轉(zhuǎn)化成實(shí)際損害，應(yīng)立即制定緊急應(yīng)對(duì)方案，及時(shí)保護(hù)信息主體合法權(quán)益。若評(píng)估后認(rèn)定為不充分匿名化信息，應(yīng)當(dāng)根據(jù)實(shí)際情況再予以匿名化處理[19]。

（三）內(nèi)部合規(guī)與外部監(jiān)管并舉

首先，平臺(tái)企業(yè)內(nèi)部應(yīng)當(dāng)建立健全個(gè)人信息保護(hù)合規(guī)制度體系，包括數(shù)據(jù)安全審計(jì)、個(gè)人信息分級(jí)分類、風(fēng)險(xiǎn)評(píng)估與識(shí)別、風(fēng)險(xiǎn)應(yīng)急預(yù)案、個(gè)人信息保護(hù)合規(guī)培訓(xùn)等，加強(qiáng)自身合規(guī)建設(shè)，降低個(gè)人信息處理的各類風(fēng)險(xiǎn)。平臺(tái)可進(jìn)一步拓寬用戶可自行操作刪除的個(gè)人信息范圍，擴(kuò)大用戶行使刪除權(quán)的自主空間。為避免平臺(tái)企業(yè)合規(guī)成本負(fù)擔(dān)過重，也可以要求用戶支付一定的合理費(fèi)用，但為保障用戶個(gè)人的知情決定權(quán)，需要在隱私政策中提前聲明，以顯著方式、清晰易懂的語言表達(dá)，向用戶進(jìn)行準(zhǔn)確完整的表述。

其次，平臺(tái)企業(yè)還應(yīng)強(qiáng)化外部監(jiān)督。對(duì)于獨(dú)立的外部監(jiān)督機(jī)構(gòu)來說，外部監(jiān)督成員可以理解為上市公司的獨(dú)立董事，強(qiáng)調(diào)個(gè)人信息治理的多方參與。有學(xué)者認(rèn)為，該機(jī)構(gòu)三分之二以上的成員不能是該個(gè)人信息處理者或其關(guān)聯(lián)方的內(nèi)部人員，也不能存在法律或經(jīng)濟(jì)上的利害關(guān)系，如股東、財(cái)務(wù)咨詢、法律服務(wù)等[20]。筆者對(duì)此予以認(rèn)可，為確保獨(dú)立機(jī)構(gòu)的中立性以及透明度，使其依法依規(guī)履職盡責(zé)，上述觀點(diǎn)具有一定可行性。但為避免平臺(tái)商業(yè)秘密、知識(shí)產(chǎn)權(quán)地泄露而損害企業(yè)合法權(quán)益，該獨(dú)立機(jī)構(gòu)僅能對(duì)平臺(tái)企業(yè)的個(gè)人信息保護(hù)情況予以監(jiān)督，而不涉及個(gè)人信息處理活動(dòng)。為確保個(gè)保法在實(shí)踐中得到正確、有效的貫徹實(shí)施，在個(gè)保法的基本法律框架下，應(yīng)加快出臺(tái)相關(guān)政策和指南，對(duì)該獨(dú)立機(jī)構(gòu)的義務(wù)規(guī)范以及法律責(zé)任予以細(xì)化明確。

（四）明晰個(gè)人信息的存儲(chǔ)期限

應(yīng)當(dāng)承認(rèn)為實(shí)現(xiàn)平臺(tái)服務(wù)所必需而處理個(gè)人信息存在一定的必要性，但大部分平臺(tái)隱私政策對(duì)何為“所必需”并未有詳細(xì)說明。事實(shí)上并不存在將所有存儲(chǔ)期限的情況予以羅列的蓋然性，故筆者認(rèn)為，可以進(jìn)一步明晰個(gè)人信息保存期限的判斷標(biāo)準(zhǔn)。目前部分平臺(tái)對(duì)判斷個(gè)人信息存儲(chǔ)期限標(biāo)準(zhǔn)的參考因素有所規(guī)定，具有一定的借鑒意義，未來出臺(tái)實(shí)施細(xì)則可將以下幾個(gè)方面作為參考。

第一，因取得個(gè)人同意而繼續(xù)保存?zhèn)€人信息。為保證用戶個(gè)人信息的自治性與用戶刪除權(quán)的自愿性，即使超過必要保存期限，只要用戶授權(quán)，平臺(tái)企業(yè)仍可繼續(xù)保留特定個(gè)人的個(gè)人信息，同時(shí)可以允許用戶備份相關(guān)信息。

第二，為完成相關(guān)交易目的、維護(hù)相應(yīng)交易及業(yè)務(wù)記錄所必需而繼續(xù)保存?zhèn)€人信息。如《電子商務(wù)法》中就要求商品和服務(wù)信息、交易信息保存時(shí)間為自交易完成之日起不少于三年，以應(yīng)對(duì)用戶可能的查詢或投訴。

第三，為實(shí)現(xiàn)該產(chǎn)品或服務(wù)的基本或核心功能所必需而繼續(xù)保存?zhèn)€人信息。此款的關(guān)鍵點(diǎn)在于對(duì)該平臺(tái)的“基本功能”或“核心服務(wù)”的清晰界定。比如，對(duì)于微信中的初始注冊(cè)手機(jī)號(hào)碼，為保證用戶正常使用微信服務(wù)，需要一直予以保存；再如，微博中為實(shí)現(xiàn)程序化廣告推送或幫助用戶參加營(yíng)銷推廣活動(dòng)的信息共享，就不屬于該平臺(tái)繼續(xù)留存用戶個(gè)人信息的事由，不可因此拒絕用戶行使刪除權(quán)。

第四，為實(shí)現(xiàn)相關(guān)訴訟的舉證責(zé)任所必需而繼續(xù)保存?zhèn)€人信息。根據(jù)個(gè)保法第69條，我國立法對(duì)個(gè)人信息處理者的侵權(quán)責(zé)任采過錯(cuò)推定原則，即在相關(guān)糾紛中平臺(tái)負(fù)有舉證責(zé)任證明自身沒有過錯(cuò)，以防對(duì)平臺(tái)合規(guī)過于嚴(yán)苛，因舉證需求而保留用戶個(gè)人信息的也具有一定合理性。

第五，法律法規(guī)對(duì)保存期限有所規(guī)定的從其規(guī)定。例如，按照《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者留存相關(guān)網(wǎng)絡(luò)日志不少于6個(gè)月的時(shí)間。

五、結(jié)語

個(gè)人信息權(quán)益作為數(shù)字人權(quán)彰顯人之尊嚴(yán)，而承載主體自決性的刪除權(quán)為個(gè)人信息權(quán)益保駕護(hù)航。《個(gè)人信息保護(hù)法》雖展開了個(gè)人信息刪除權(quán)的法律框架，但總體而言還是抽象寬泛的，在個(gè)人信息刪除義務(wù)的具體履行上依舊缺乏明確指引。未來還需國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)相關(guān)部門對(duì)個(gè)人信息處理者刪除義務(wù)的具體規(guī)則和實(shí)施細(xì)則予以規(guī)定。本文為此提供了應(yīng)對(duì)思路：義務(wù)主體上，區(qū)分?jǐn)?shù)據(jù)共享與非數(shù)據(jù)共享主體之間的法律關(guān)系，明確第三方運(yùn)營(yíng)商的法定刪除義務(wù)；履行方式上，準(zhǔn)確定位匿名化處理，厘清匿名化處理的法律標(biāo)準(zhǔn)為再識(shí)別的風(fēng)險(xiǎn)最小化，并予以動(dòng)態(tài)規(guī)制；監(jiān)管機(jī)制上，推動(dòng)企業(yè)內(nèi)部合規(guī)建設(shè)的同時(shí)，強(qiáng)調(diào)健全外部監(jiān)管，建立獨(dú)立監(jiān)督機(jī)構(gòu)；最后，相關(guān)立法亦應(yīng)提供個(gè)人信息存儲(chǔ)期限的判斷標(biāo)準(zhǔn)，合理限制個(gè)人信息刪除義務(wù)無需履行的適用范圍。