个人信息处理者有责任保护个人信息主体的权益,包括但不限于知情权、选择权、删除权、投诉权等。而删除权是个人在个人信息处理活动中的一项重要权利,该权利是个人对其个人信息处理活动享有决定权的具体体现,也是对目的限制原则与合法原则的贯彻落实,故本文将围绕《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第四十七条进行解读和探讨,在哪些情形下,个人信息处理者应主动删除用户个人信息,个人可通过行使删除权来维护自身权益。
注:《个人信息保护法》“第四十七条” 有下列情形之一的(详见法条解析(一)-(五)),个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除(法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理)。
情形解析与示例
(一)处理目的已实现、无法实现
或者为实现处理目的不再必要
首先,我们先来简单了解下,何为个人信息处理目的已实现、无法实现或者处理目的不再必要,以及相关的示例。
1、处理目的已实现:当个人信息处理目的已经达到预期或最终的目标,且不再具备正当留存意义时,需要进行删除操作,如:APP用户执行注销账号操作,且相关信息不再需要被使用和处理。以下图1为APP隐私政策承诺在用户注销账户后,APP将对个人信息进行删除处理的示例。
图1:APP承诺注销账户将删除个人信息
2、无法实现处理目的:为了实现预定目标而收集个人信息,但因为技术限制、需求发生变更等原因导致目标无法达成或不再存在时,应予以删除,如:APP运营者收集用户个人信息计划开发新的业务功能,但因内部资源不足、需求无法满足,而暂停相关项目。
3、为实现处理目的不再必要:受自身或外部环境影响(例如业务方向的调整、法律法规变化等)使得原定的处理目标不再必要或不具备意义时,应当执行删除操作,如:用户取消使用APP某一款业务功能,则基于此功能采集的个人信息变得不再必要。以下图2为APP隐私政策告知说明,若用户不使用相关功能时,可进行删除操作的示例。
图2:APP告知不使用相关功能时,用户可进行删除操作
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满
1、个人信息处理者停止提供产品或者服务
APP产品如若终止、下架,或停止向收集了个人信息的用户提供服务,建议APP处理者通过停运公告、隐私政策明示等方式向用户告知对已收集个人信息的处理方式,以充分保障用户的知情权。以下图3为App停运公告示例;图4为隐私政策中关于停止运营时的告知说明。
图3:App停运公告
图4:隐私政策中关于停止运营时的告知说明
2、保存期限已届满
GB/T 35273-2020《信息安全技术 个人信息安全规范》的6.1-b)中要求,个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,当个人信息存储期限届满之后,应及时对个人信息进行删除或匿名化处理。以下图5为App隐私政策承诺当个人信息超出存储期限后的处理方式示例。
图5:隐私政策承诺超出存储期限后的处理方式
通常情况下,存储个人信息的期限会因自身的业务需求、法律法规要求、行业标准以及合同约定等因素而有所不同(常见个人信息类型存储期限参考下方表1),甚至部分行业APP受行业或国家权力机构强制,需要永久存储用户个人信息直至停业,若存在此类情形的APP,建议个人信息处理者在隐私政策中援引有关法律、强制标准规范、准入政策、行业标准等强制性要求的条款。以下图6为某投资理财类APP,在隐私政策中援引法律法规的示例。
| 个人信息类型 | 法律法规、行业规定的存储期限 |
客户交易信息 | 根据《反洗钱法》第三十四条,客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存十年; |
涉及商品和服务信息、交易信息 | 根据《电子商务法》第三十一条,商品和服务信息、交易信息保存时间自交易完成之日起不少于三年; |
涉及证券交易信息 | 根据《证券法》第一百三十七条,证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项信息,上述信息的保存期限不得少于二十年; |
日志信息 | 根据《网络安全法》第二十一条,留存相关的网络日志不少于六个月; |
门诊、住院病历 | 根据《医疗机构管理条例实施细则》第五十三条,医疗机构的门诊病历的保存期不得少于十五年;住院病历的保存期不得少于三十年; |
网络游戏购买记录、交易记录和账务记录等 | 根据《网络游戏管理暂行办法》,游戏用户的购买记录,保存期限自用户最后一次接受服务之日起,不得少于180日;保存用户间的交易记录和账务记录等信息不得少于180日; |
非银行支付机构支付操作记录 | 《非银行支付机构网络支付业务管理办法》第十六条,在操作生效之日起至少5年内,真实、完整保存操作记录。 |
表1:常见个人信息类型存储期限
图6:隐私政策援引法律法规示例
(三)个人撤回同意
APP应向用户提供真实有效的撤回同意的途径、方式,如若需经过人工服务处理,其响应时限可以参考TC260-PG-20202A《网络安全标准实践指南—移动互联网应用程序(APP)收集使用个人信息自评估指南》的 6.2-b)的量化要求,在十五个工作日内及时处理删除个人信息并反馈,而删除后个人信息是否仍在被测应用的服务端存储以及存储多久,建议参照存储期限在隐私政策中进行告知说明。以下图7为隐私政策告知撤回同意的示例。
图7:隐私政策有关撤回同意描述
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息
1、个人信息处理者违反法律、行政法规
APP违反法律、行政法规所收集和处理用户个人信息,APP用户有权要求进行删除,作为个人信息处理者也应主动进行删除处理。
以《个人信息保护法》第十四条为例,其认为在未经用户授权、用户未充分知情等情况下所收集的个人信息,均可视为不合法的收集行为,如:用户在选择同意隐私政策前,APP就开始采集用户个人信息。以下图8为《个人信息保护法》第十四条原文;图9为违法收集用户个人信息的示例。
图8:《个人信息保护法》第十四条原文
图9:征得用户同意前采集个人信息的违法违规示例
2、违反约定处理个人信息
个人信息处理者与用户之间通常会通过隐私政策、服务协议、合同等形式达成明确的处理个人信息的约定,而作为个人信息处理者应当严格遵守相关规定。倘若处理者存在违反约定的行为,用户有权制止并要求处理者删除涉及的个人信息,避免个人信息被滥用或泄露。
例如隐私政策中明示会采用加密技术确保用户数据的安全,但实际并未遵守承诺,该行为即违反了约定的处理个人信息规则。以下图10为APP隐私政策承诺会使用加密技术确保数据的保密性,但实际在http协议中,存在明文传输用户个人信息的情况。
图10:APP未遵守承诺采用加密技术保护个人信息
(五)法律、行政法规规定的其他情形
本条法规未具体指明在哪些法律法规规定的情形下,个人信息处理者应当主动删除个人信息,但随着社会和科技的发展,例如:大数据、人工智能等技术领域的不断进步和创新,新的应用场景和情形将产生更加复杂的个人信息处理需求,而这些变化可能引发新的删除需求,故本条法规为其他已施行或未来即将颁布的法律、行政法规预留足够的解释空间。
对于法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情况,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
虽然用户享有删除权,个人信息处理者也有责任履行删除义务,但从技术和法律法规的角度出发,并非所有已收集的个人信息都可以被任意删除,例如:
1、该个人信息属于主键信息,删除后将直接导致基本业务无法正常运行;
2、法律法规要求在规定期限内保留的个人信息。
因系统设计、技术限制或保存期限未届满等因素导致无法删除的个人信息,并不意味着个人信息处理者可以任意使用和处理,反之则必须加以更为严格的限制和规范,不得进行除存储和安全防护措施以外的信息处理活动,例如:持续性的收集、向第三方共享个人信息、将信息用于用户画像、或用于业务功能上的识别和加工等。
结 语
个人信息删除权的落实不仅是法律的硬性要求,更是个人信息处理者展现社会责任感的重要体现,个人信息处理者应自觉、依法履行删除义务,在信息管理制度或技术设计上规范删除用户个人信息的流程和操作,而个人用户也应学会正确地行使删除权来维护自身权益。“法律的尊严源于人民的内心拥护和真诚信仰”,这说明法律的权威不仅在于其规定,更在于人们对法律的尊重和信任,仅依靠外部强制力无法使法律效力发挥到其应有的作用,只有各方的协同合作,才得以推动个人信息保护法在全社会的贯彻落实,提高社会整体法治水平。
(本文作者:北京梆梆安全科技有限公司 陈希婷 高洁颖)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
