摘要:在当今信息时代,电商、社媒等企业存储海量个人信息的同时,信息泄露、非法采集等信息侵权事件频发,引发社会对个人信息安全的广泛关注。为保护个人信息权益,政府出台《中华人民共和国个人信息保护法》,通过立法正式确立了个人信息删除权,即“信息处理者在违反法律或者当事人约
在当今信息时代,电商、社媒等企业存储海量个人信息的同时,信息泄露、非法采集等信息侵权事件频发,引发社会对个人信息安全的广泛关注。为保护个人信息权益,政府出台《中华人民共和国个人信息保护法》,通过立法正式确立了个人信息删除权,即“信息处理者在违反法律或者当事人约定的情况下,自然人可以请求其及时删除有关信息,以保障公民对个人信息的控制权”。
在数字经济背景下,个人信息的删除最终体现为数据的删除,意味着对个人信息更直接有力的保护。此外,政府还陆续出台《网络安全法》《数据安全法》《互联网信息服务管理办法》等信息安全法规,提升个人信息保护力度的同时,也对企业数据合规提出了更高的要求。
然而,个体信息被非法利用的事件仍频频发生,个人信息权益尚未得到彻底保障。以国家计算机病毒应急处理中心监测数据为例,仅在2023年8月内便存在17款电商、证券类App未提供有效的个人信息删除及账号注销功能,背后潜藏的信息侵权风险不可小觑。本调研报告基于个体、企业、政府三视角,深入分析个人信息删除权行使所面临困境,并对其原因进行深层剖析,最后将个体、政府、企业三者合流,以建构倾斜式的保护机制为核心,提出个人信息删除权保护的优化构想,以期对中国个人信息权益保障提供理论支持。
一、个人信息删除权行使的困境
1.个体:维权动力不足。在当前法律条文约束下,个体普遍缺乏足够动力去行使信息删除权。根据《个人信息保护法》第四十七条,行使信息删除权行使的具体事由包括“个人信息处理者违反法律、行政法规或者违反约定处理个人信息”。在调研中,某律所资深律师指出了数字经济环境下个体与企业间的信息不对称现象,其中,重要数据处理信息披露的缺失构成信息盲区,使个人难以知悉自身信息如何被企业处理,进而难以指出企业的违规行为;若要强行获取相应证据,则面临高昂的举证成本。此外,个体若选择向企业撤销信息处理的同意等事由,虽不必举证企业的过往行为,但面临大量时间成本,如电商平台的消费者需逐个向平台经营者发送删除请求。由此,考虑到成本问题,部分个体将不倾向于行使信息删除权。
2.企业:受唯利思想影响。当前立法尚未规定企业有告知删除履行情况的义务,在外部约束与激励缺位的情况下,是否履行删除义务及进行程度如何完全基于企业的主观意愿与客观能力。在调研中,某全国百强电商企业表示,业内有众多企业会根据潜在利益多少,来决定是否严格遵守行业规定。由此可见,基于彼此信赖的交易准则很可能不敌唯利思想驱动的经营理念,故除去技术水平不足导致无法删除的情况外,企业很可能选择部分履行或完全不履行删除义务,从而对个体信息权益构成潜在危害。
3.政府:监督管理不清。在信息删除方面,政府部门常出现“监管不清”的现象。以中国大部分电商企业为例,这些互联网企业同时运营在线网站与移动端APP,虽然市场监督管理部门和工信部门都对其具有执法权与监督权,但目前仍未明确说明各大部门间的统筹协调方式;而在处理一些新问题时,据调研律所表示,监管部门往往出现“可管可不管、可罚可不罚”的现象。在这些场景中,政府难以发挥对企业的约束作用,部分企业由此自行修订协议文本,玩“文字游戏”,导致个体与企业签订的隐私协议流于形式,个人信息权益保障无依。
二、个人信息删除权行使遭困的原因剖析
1.相关法律规范模糊。《个人信息保护法》规定了法定情形下个人信息处理者有删除个人信息的义务,而2020年3月出台的《信息安全技术—个人信息安全规范》(GB/T 35273—2020)第3.10条进一步将删除规定为“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态”,即企业使个人信息无法被检索、访问便符合法律规定。
但其存在两个漏洞:其一,若非信息处理者的第三方存储、利用个人信息,将不受“一对一”特征的信息删除权规制,因此个人信息一旦通过多渠道传播,个体难以有效保护或控制个人信息。其二,为使个人信息无法被检索或访问而采用的删除方式并未明确,如谷歌诉冈萨雷斯一案中人们通过变更关键词或链接至原网址找到相关信息;而在实践操作中还存在逻辑删除、物理删除、匿名化删除等手段,加大了删除标准的模糊性。总体而言,当前相关法律规范并未具体规定如何删除、删除到什么程度及最终验收标准,给了企业落实法规时模糊操作的空间,对个体行使信息删除权造成负面影响。
图1 个人信息删除权的现有运作机制(来源:作者自制)
2.有效监管机制缺位。信息删除的种种乱象,还反映出政府缺少有效的监管机制。中国当前个人信息的保护与监管由网信部门统一协调,各部门在相应职责范围内负责。出于部门独立监管及兼顾各行业的专业性要求,这种职责划分有其可取之处,但也存在权责不清、监管部门分散等现象,影响监管工作的有效性。此外,监管工作的具体执行也存在显著问题。在预防性规范方面,互联网企业众多,监管部门对企业的用户协议、隐私政策缺乏充分调查,且投诉举报机制尚未规范化,致使部分企业趁机玩“文字游戏”;监管介入方面,监管部门虽有权依据《个人信息保护法》《电子商务法》《消费者权益保护法》等法律对不履行删除义务的企业采取处罚措施,但往往在信息侵犯发生后才介入调查,传统监管模式的滞后性导致对企业的震慑有限。
3.权利保护与公共利益的冲突。部分情形中,信息删除权的保护与公共利益的实现存在冲突。在调研中,某律所资深律师提到法院首先考虑的往往不是信息安全个案的法律判决,而是个案判决对社会公共利益的影响;而实际情况也是如此,对于个人信息安全面临的风险,若统一用高风险标准追求企业处理数据中的个人信息保护,将导向对数据利用的过度限制,反而会影响当下数字社会的建设。同时,对信息侵犯的处罚也面临两难境地。现今对出现数据安全问题的企业,处罚标准最高达5000万元人民币或上一年度营业额的5%,高额的罚款数目将压垮占中国企业总数90%以上的中小企业,进而浪费社会资源;但若从轻处罚违法企业,又难以起到对企业履行信息删除义务的震慑作用。由此可见,在平衡“信息处理者-信息主体”利益关系的路径确立前,具有私人属性的信息权利难免与公共利益产生矛盾,进而影响个人信息删除权的保护。
三、个人信息删除权保护的优化路径:三方参与的倾斜式保护机制
当前学界对个人信息删除权的研究主要基于其权利属性与行使情形,其中的个人享有删除信息的权利,企业承担删除个人信息的义务,因而将个体与企业视作平等的法律主体来谈法律适用性;然而,根据调研结果,个体与企业间存在明显的信息不对称现象,并表现为信息主体与信息处理者之间的不平等关系。基于这一实质不平等关系,本文倡导从机制设计角度,倾斜性地保护个体信息权利,从微观上促进个人信息删除权的积极实现,从宏观上对主体间的深层不平等关系进行一定程度矫正。由此,本文以建构倾斜式的保护机制为核心,要求个体、企业、政府的共同参与,为个人信息删除权保护提供如下优化路径。
1.明确并强化企业的信息删除义务。一是明确个人信息删除标准规范。明晰个人信息删除标准规范是企业履行相应义务的前提。为此,对“删除”这一行为本身应设立企业可执行的共同标准,如“耗费一定成本与时间仍无法识别特定个体”;此外,生成防篡改证书、验证覆盖等也是可考虑方向之一。二是企业向个人公开信息处理全过程。包括个人信息收集、使用及删除过程,并将其作为企业的信息披露义务,是缓解个人与企业信息不对称的直接举措。具体而言,企业应在用户协议中重点告知可请求删除的事由及方式。此外,企业还可进行部分义务拓展,如在合法基础上与个体自行约定信息保存期限,或定期以短信形式通知个体其享有的信息权利及授予企业的信息处理权等。
2.优化个体的信息删除权行使途径。基于个体在信息删除关系中的弱势地位,可以内外两种方式优化个人信息删除权的行使。一是试行自主删除选项。根据调研,过高成本阻却了个体的维权动力。为此,可尝试倾斜性给予个体单方面自主删除信息的权限。在此过程中,企业可设立相关网站,供个体直接勾选删除次要信息,对于重要信息则需附上删除理由。当然,这一倾斜式的保护存在边界,后文将予以具体阐释。二是设立约束机制促进企业自我规制。仅靠个体自行行使信息删除权并不是根本解决方法,可设立约束机制促进企业的自我规制。具体而言,可在消费者协会网站内设立特殊意见平台,对企业的“信息保护评级”进行评价,若企业未在规定期限内履行信息删除义务,个体可直接在平台内公开企业行为并为其“信息保护评级”赋低分,通过外部软约束力倒逼企业履行删除义务。
3.充分发挥政府的监管者与调控者身份。倾斜式保护机制的构建主体不止于个体与企业,政府在其中应充分扮演好监管者与调控者的身份,从而促进个人信息删除权的保障。
一是完善信息删除过程的监管机制。面对复杂的个人信息安全问题,监管部门应设立内部合作机制,定期调整、交流各自的工作体系,如每月联合开展一次个人信息权益专项治理行动,从而完善监管过程中各部门的协同配合。鉴于企业处理个人信息涉及大量新兴信息技术,监管部门也应提高对新技术的把握与理解。一方面,可引入业内资深人士对互联网企业合规监管提供专业建议;另一方面,也可对相关行业协会进行指导,使其形成一套成熟的行业信息处理准则,通过认证机制、准入机制等对企业进行有效规制,同时使行业协会通过设立黑白名单等方式与监管部门共同监督企业的信息删除义务,从而使行业自律与政府监管相辅相成。
二是均衡“倾斜式保护机制”中的各方利益。对个体权利的倾斜式保护并不意味个人信息删除权的滥用,须知这一保护是有边界的,其实现的关键便是政府合理均衡各方利益。基于比例原则,通过强化企业义务以倾斜保护个体权益的同时,也应对个体删除信息的自由做适当限制,如《个人信息保护法》在未来增设公共安全、言论自由等删除权的例外情形。政府也应适当考虑企业利益。具体而言,在司法适用角度,政府可结合企业实际情况及各类信息的特殊性,细化信息删除对各类企业的合规要求;在执法角度,政府也可建立企业信息删除的容错机制,在满足预防的前提下,防止企业骤然承担过高罚款,最终实现企业数字化发展与个人信息权利保护的动态平衡。
图2 三方参与的倾斜式保护机制设计(来源:作者自制)
总体而言,个人信息删除权本身是一项新型制度,其制度设计一时难以十分圆满,且将与互联网和数字化技术共同发展。为此,本报告从第三方视角对其开展情况展开调研,并提出“三方参与的倾斜式保护机制”的优化路径。不过,这一建议要落实仍有进一步完善的空间。
(本文系复旦大学发展研究院《数据跨境流动、个人信息保护与数字韧性建设》课题系列成果。报告主编:江天骄系复旦大学发展研究院副教授、金砖国家研究中心副主任,姚旭系复旦大学发展研究院青年副研究员、上海数据研究院特聘研究员,报告行业导师:陈文昊系植德律师事务所数据合规业务合伙人、合规部负责人,报告组成员:金子韫、吴致远、邢嘉耀、姚媛、马怡宁、陈梓培、郎瑾怡、张桐语均来自复旦大学)
来源:小何论科技