实务 | 企业如何因应《个人信息保护法(草案)》规定的“删除不能”
本篇是《个人信息保护法(草案)》对企业合规的趋势影响(中)篇,为公共假期前公众号特发。
《个人信息保护法(草案)》第四十七条第一款规定:有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息:(一)约定的保存期限已届满或者处理目的已实现;(二)个人信息处理者停止提供产品或者服务;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。第二款又规定:法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息。
对这条的讨论主要存在以下比较难的问题:何为“删除个人信息从技术上难以实现”?
1、删除不能的场景
在我们假定“要求删除个人信息的通知”在到达个人信息处理者之后,个人仍然可以完整的请求删除个人信息的前提下,剩下来的问题就是如何确定哪些情形属于“删除个人信息从技术上难以实现”,因为一旦判定为难以实现,个人信息处理者就可以不用删除个人信息。为此我们假想了在以下场景中,可能会产生“删除个人信息从技术上难以实现”的情况:
(1)个人信息因各种原因泄露而流入黑市(比如暗网),从而形成的不受控制的情形;
(2)新技术新应用或某些极端、特殊情况下,例如个人信息因写入共识而成为区块链数据,也称之为链上数据;
(3)个人信息因各种原因出境;
(4)在云计算中(例如IaaS),由于云服务的用户控制了自身收集的个人信息,或采取了加密保护等技术措施,云服务商无法进行删除(甚至无法对删除的请求进行巡查或响应);
(5)个人信息处理者认为的如删除个人信息的,将导致业务数据丧失完整性或可用性,例如交易信息无法实现统计和管理。
2、删除不能的法律后果
对于前述假定的各种情形下的责任主体与法律后果,我们尝试再做进一步分析:
(1)对于第一类的各种个人信息泄露,由于数据的可复制性和超出个人信息处理者控制的问题,确实触发了“从技术上难以实现”的条件,因此,如果确系非个人信息处理者原因导致,则只需承担“应当停止处理个人信息”的义务;但如果是个人信息处理者原因导致的个人信息泄露,则在“应当停止处理个人信息”的同时,可能承担《网络安全法》和生效后的《个人信息保护法》等规定的法律责任。
(2)对于第二类的区块链等所谓新技术、新应用导致的个人信息删除“从技术上无法实现”,倒是可能成为个人信息处理者的一个合理的理由,但是需要考虑当前技术无法删除,并不意味着将来难以实现,因此这里可能将来会成为类似于法律上的“恢复执行”问题,一旦个人用户提出技术上可实现的删除(如果不考虑时效),个人信息处理者就需要验证是否可行,如果两者认识不一致,则可能需要司法机构作出最终评价——从个人信息处理者而言,这将是个没完没了的事情。
(3)对于第三类数据出境导致的无法删除,这是否本质上是个技术问题需要进行判断。一般而言,个人信息处理者将难以论证出境属于“从技术上无法实现”的问题(当然确实也会存在无法访问、删除权限等技术问题,这些情况经验证可以构成“从技术上无法实现”),但一旦实施了远程的、跨境的删除,则可能产生更多的其他法律问题。
(4)在第四类云计算中,主要涉及两个问题:(i)与技术有关,这主要是云存储带来的无法彻底删除的问题,这一问题可以构成“从技术上无法实现”从而豁免删除;(ii)实质上不属于技术问题,即在不同云模式下如何认定云服务商还是用户应当承担删除义务的问题。例如在IaaS中,实际的个人信息处理者应是用户而非云服务商,因此如果要求云服务商履行删除义务,则会产生无法删除的“协议”不能。所以这里的技术问题实质上“转化”为法律问题。这要求对不同场景中的个人信息处理者进行准确认定。
(5)至于第五类,删除个人信息可能意味着甚至主要业务数据完整性丧失和不可用,因此“不能删除”(而不是“删除不能”)个人信息,这一理由显然非技术问题。但按照《信息安全技术 个人信息安全规范》(GB/T 35273—2020),删除是在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。《个人金融信息保护技术规范》(JR/T 0171—2020)对删除的定义是“在金融产品和服务所涉及的系统中去除个人金融信息的行为,使其保持不可被检索、访问的状态”,如果套用了这一概念,删除只是局限于无可访问,从而作为丧失数据可用性的一种逻辑子类,则个人信息处理者只需要通过“去索引”等逻辑删除,就可以在实现第四十七条规定的删除法律义务的同时,不对业务产生影响(例如仍然可以汇总和形成个人年度消费评价)。
本文作者
原浩浩,江苏竹辉律师事务所合伙人律师
黄道丽,公安部第三研究所研究员
图文编辑:公安部第三研究所 梁思雨