更新丨《个人信息保护法(草案)》二审稿的“删除不能”新规是否减轻了企业合规义务?
2021年4月底的《个人信息保护法(草案)》二审稿第四十七条第一款规定:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。
第二款规定:法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
和一审稿比较,除了部分措辞严谨和规范外,主要的修订体现在对个人信息处理者的“停止处理”增加了“存储”和“采取必要的安全保护措施”的例外。即如果删除不能,则应停止处理,但个人信息处理者仍然可以继续存储——并采取必要的安全保护措施(这里的表述虽为并列,但实际上应包含了采取必要的安全保护措施进行存储的本意)。
我们认为之前公众号文章“实务 | 企业如何因应《个人信息保护法(草案)》规定的“删除不能””的分析仍然有效,且二审稿确实也增加了对公众号文章中内容的考虑,包括如未采取必要的安全保护措施,不能以“技术上难以实现”为由而降低或减轻其法律责任等等,但整体上本条可能意味着个人信息处理者义务的“轻微”降低。
(1)“存储和采取必要的安全保护措施”本身可以成为“技术上难以实现”从而不予删除的理由。
个人信息处理者可以已经采取了“存储和采取必要的安全保护措施”作为不予删除的理由之一进行抗辩,从而成为执法或司法机构予以考虑的情形,结合“技术上难以实现”进行综合评价,增加了实务中豁免删除义务的“概率”。
(2)“存储和采取必要的安全保护措施”是何种“处理”的法律冲突。
随着各种隐私计算的发展,对存储和采取必要的安全保护措施的个人信息(我们理解为可以归类并定性为“静态数据”)进行处理,可能会突破条款本意。由于“理论上”隐私计算对各类静态数据的处理并不会导致数据的安全状态和保护程度的降低,未来在《数据安全法》下,可能会导致对这些“信息”,从“数据”的层面进行处理,且符合法律规定。因此这里实际上隐含着一个《个人信息保护法》与《数据安全法》协调与冲突的基本问题。
基于这些考虑,个人信息处理者的义务变得不确定而模糊,因此也事实上轻微的降低了。当然,从合规和完善的角度,我们仍然建议:(1)当基于技术发展的“删除不能”变得可能时,应履行删除义务;(2)在技术发展中解决对静态数据的处理问题,不应在条款中规定的过于机械,或也可进行适当宽泛的解释。
“苏州信息安全法学所”