在数字化时代,个人数据处理规模剧增,这也带来了数据使用效益与个体数据权利保护之间的张力和平衡。删除权作为个人的重要数据权利之一,赋予个人要求数据处理者删除其个人数据的权利,对于保障个人对其数据的自主决定权具有重要意义。另一方面,数据处理者仅在适用法律规定和实现处理目的所必要的期限内保留个人数据,也有利于建立数字信任,防范个人数据被滥用。
本文旨在梳理和比较欧盟、美国、新加坡、澳大利亚和中国等司法辖区内个人数据删除权的法律规范框架、核心要求及当前执法监管实践,为中国企业在全球化运营中构建数据删除合规方案提供参考。
01
欧盟
欧盟《通用数据保护条例》(GDPR)第17条确立了系统性的删除权(被遗忘权)框架,赋予数据主体在特定情形下要求数据控制者删除其个人数据的法定权利。这些情形包括:
就收集或以其他方式处理个人数据的目的而言,个人数据已不再必要;
数据主体撤回同意,且处理没有其他法律依据;
数据主体反对处理,且处理个人数据无更优先的法律依据;
个人数据已被非法处理;
为遵守欧盟或成员国法律规定的法定义务,必须删除个人数据;
个人数据是在向儿童直接提供信息社会服务的情境下收集的。
在以上任一情形发生时,数据主体有权要求数据控制者及时删除其个人数据,且数据控制者有义务及时删除个人数据。
如果数据控制者已将个人数据公开,且负有删除该个人数据的义务,数据控制者应当在考虑现有技术和实施成本后,采取合理步骤(包括技术措施)通知正在处理该个人数据的其他控制者——如果数据主体已要求这些控制者删除其个人数据的任何链接、复制件或复制品。GDPR要求数据控制者在收到数据主体的删除请求后一个月内及时删除其个人数据,如因请求的复杂程度和数量需要延长响应期限的,数据控制者应当在收到数据主体请求后一个月内将延期和延期原因告知数据主体,且最多额外延长两个月[1]。
同时,GDPR还规定了即使发生上述情形,数据控制者也无需履行删除个人数据的例外情形,包括:
为行使言论和信息自由的权利;
为遵守欧盟或成员国法律规定的处理数据的法定义务,或为执行符合公共利益的任务或行使赋予控制者的官方权力而进行的处理;
出于公共卫生领域的公共利益原因;
为符合公共利益、科学或历史研究目的或统计目的而进行的处理,但删除个人数据很可能使此类处理的目标无法实现或严重受阻;或
为确立、行使法律诉请或进行辩护。
实践中较常见的、也是欧盟企业在制定内部数据删除计划时通常适用的一类例外情形是“法定保存期限(statutory retention period)”(为遵守欧盟或成员国法律规定的处理数据的法定义务)。欧盟成员国国内法中通常规定了不同行业领域内、不同数据类型的法定保存期限。即使数据主体要求数据控制者删除个人数据,或发生了GDPR第17条所列的控制者应当删除个人数据的情形,但如果该个人数据尚在法定保存期限内,数据控制者应继续保留该个人数据,直至法定保存期限届满。
GDPR序言部分第39项还规定,为确保个人数据的保存期限不超过必要期限,数据控制者应设定删除或定期审查的时间限制。尽管GDPR序言部分本身不具备强制效力,但在解释和适用GDPR正文条款时具有重要的指导作用。在我们服务的总部位于欧盟的跨国企业中,许多企业已经按照这一要求,并结合其所在国国内法中的法定保存期限和业务实际情况,制定了内部数据删除计划。
我们将部分欧盟成员国法律规定的常见保存期限列举如下:
从执法实践来看,欧盟各成员国数据监管机关对违反个人数据删除规定的处罚案例近年来也逐渐增多。
2019年11月,德国某房地产公司因超过必要期限长期存储租户的个人数据未进行删除,而被柏林数据监管机构处以1450万欧元的罚款。
2024年1月,法国某物流公司因将员工的工作绩效监控数据和统计指标保留31天,被法国国家信息自由委员会(CNIL)认为是“过度的”,并被处以3200万欧元的罚款。
2024年11月,一家位于德国汉堡的信贷催收服务商在超出法定保存期限、没有其他法律依据的情况下,依然存储了个人数据长达五年,未履行删除义务,而被处以90万欧元的罚款。
删除权是较常行使的GDPR权利之一,也是欧盟数据保护机构经常收到个人投诉的权利之一,欧洲数据保护委员会(EDPB)在2024年10月的全体会议上,选择将删除权(“被遗忘权”)(GDPR第17条)的实施作为2025年协调执行框架(CEF)的主题。参与协调执行框架的数据保护机构将与欧洲不同行业的数据控制者取得联系、展开调查,主要针对数据控制者如何处理和回应其收到的删除请求,特别是如何适用行使删除权的条件和例外情况[2]。可以预见,今后欧盟成员国将加强对个人数据删除义务的执法力度,数据控制者需要尽快提升合规意识、对数据保存情况进行全面盘点,履行删除义务。
02
美国
与欧盟不同,美国在联邦层面目前还没有制定像GDPR一样统一的、综合性数据保护法。美国的数据保护立法体系呈现分散化、以行业和各州为主导的特点,其中具有代表性的是2020年生效的《加州消费者隐私法案》(CCPA)(该法案后被《加州隐私权法案》(CPRA)所修订,CPRA于2023年生效)。CCPA是美国第一部赋予消费者综合性数据权利的州级法律。在CCPA颁布之后,弗吉尼亚、科罗拉多、康涅狄格等多个州相继效仿颁布了各自的州级隐私保护法案。我们以CCPA为例:
CCPA明确规定了消费者要求企业删除其个人信息的权利:
消费者有权要求企业删除其从消费者处收集的任何个人信息;
企业如收到消费者提出的可核实的删除其个人信息的要求,不仅应当从其记录中删除该消费者的个人信息,还应当通知其服务提供商或承包商、以及企业已出售或共享其个人信息的所有第三方删除该消费者的个人信息(除非事实证明这种通知是不可能的,或需要付出不成比例的努力)[3];
在收到可验证的关于删除个人信息的消费者请求后,企业应在45天内按照消费者要求删除个人数据,或者在合理必要的情况下可以延长45天(根据请求的复杂性和数量,最多可延长90天),但应当在第一个45天内告知消费者[4]。
CCPA同时规定了以下例外情形——如果维持消费者的个人数据是合理必要的,企业无需遵守消费者删除个人信息的请求:
(履行合同)完成收集个人信息的交易、履行联邦法律规定的书面保修或产品召回义务,提供消费者要求的商品和服务、或以其他方式履行企业与消费者之间的合同;
(安全目的)帮助确保安全性和完整性,前提是使用消费者的个人信息是合理必要的,且与该目的相称;
(言论自由)行使言论自由,确保其他消费者行使该消费者的言论自由权的权利,或行使法律规定的其他权利;
(内部使用)仅允许内部使用,这些使用应合理地符合消费者的期望,并与消费者提供信息的环境相兼容;
(法定义务)遵守法定义务;
……
就遵守法定义务而言,美国联邦法律规定的常见数据保存期限如下:
此外,许多州的法律也规定了特定数据的法定保存期限。以加州法律为例,员工数据的法定保存期限大多长于联邦法律规定的期限:
当联邦法和州法就同一数据类型规定的最短保存期限不一致时,加州数据处理者应当适用更长的保存期限,以同时符合联邦法和州法的规定。
CCPA规定,就每次违法最高可处以2,500美元的罚款,如果涉及到国际违法或针对16岁以下未成年的违法,则就每次违法最高可处以7,500美元的罚款。每涉及一名消费者即视为一次违法,如果涉及的消费者数量众多,则可能产生巨额罚款。在某全球知名连锁化妆品公司被控违反CCPA一案中,该公司因未能删除已经出售给第三方的消费者个人信息、未提供显著和清晰的行使删除权的渠道以及其他违反CCPA的行为,共计被处以120万美元的罚款。
03
新加坡
新加坡通过《个人数据保护法》(Personal Data Protection Act 2012,PDPA)构建其数据治理框架。该法于2012年生效,2020年进行修订后于2021年12月31日生效。新加坡个人数据保护委员会(Personal Data Protection Commission, PDPC)发布了配套指南,包括《关于个人数据保护法关键概念的咨询指南》(Advisory Guidelines on Key Concepts in the Personal Data Protection Act,《关键概念指南》)和《关于个人数据保护法(PDPA)部分专题咨询指南》(Advisory Guidelines on the Personal Data Protection Act(PDPA)for Selected Topics,《专题指南》),为PDPA的实施提供了补充性指引。
PDPA规定了企业必须在两种情形下终止保存载有个人数据的文件,或移除可使个人数据与特定个人相关联的途径:(1)保存个人数据已无法实现其原始收集目的;(2)保存不再具有法律或商业必要性[5]。该等义务在《关键概念指南》中被称为保存限制义务(Retention Limitation Obligation)[6],不仅适用于企业,也适用于数据中介(data intermediary)[7],即代表企业处理个人数据的第三方。
《关键概念指南》对企业终止保存载有个人数据的文件进行了补充说明,即当企业、其代理方及数据中介不再能访问相关文件及其所含个人数据时,即视为终止保存,具体方式包括但不限于:(a) 将文件返还数据主体;(b) 依数据主体指示将文件转移至第三方;(c) 销毁文件(如粉碎或其他方式处置);或(d) 实现个人数据匿名化[8]。但如果企业仅将文件锁入文件柜、移入仓储库,或移交受其控制的受让方,则不被认定为终止保存,仍会被视为保存载有个人数据的文件[9]。
值得注意的是,PDPA并未明确赋予个人法定的数据删除权,PDPC在《专题指南》中对此予以明确:个人无权强制要求企业停止保存其个人数据,企业可以在收到个人数据删除请求后,仍然按照保存限制义务的要求,继续保存相关个人数据[10];《关键概念指南》也提供了一致的观点[11]。
《关键概念指南》指出,由于每个企业的业务需求不同,因此PDPA中的保存限制义务并未规定统一的个人数据保存期限,企业可以基于原始收集目的及其他法律或商业目的的合理性进行评估,确立合理的个人数据留存期限[12]。尽管PDPA未规定具体的保存期限,但是企业仍需遵守其他适用的法律或行业标准中关于个人数据保存期限的要求[13]。
新加坡法律法规规定的较为常见的法定保存期限如下所示:
从执法案例来看,2021年X公司案例揭示了PDPC的监管尺度。在该案中,X公司创建了测试数据库,其明确目的是为了在不同环境中测试门户网站的某个新功能。其在测试完成后保存9,983条含姓名、邮箱、电话等个人数据长达2.5年。PDPC认定其违反了PDPA第25条规定的保存限制义务,核心依据有三:
测试目的完成后,收集个人数据的原始目的不再存在;
S公司所称的“商业分析目的”完全可通过匿名数据实现;
S公司使用2009年历史数据分析用户行为缺乏商业合理性,也并未尝试对数据去标识化处理。
根据S公司几项违反PDPA的行为,PDPC合并对S公司施以12个月分期支付共计37,500美元的经济处罚;并要求S公司在60天内制定并实施符合PDPA的内部数据保护政策和实践。
04
澳大利亚
澳大利亚《1988年隐私法》(1988 Privacy Act)是澳大利亚个人隐私保护的基础性法律。该法附录部分包括了13项《澳大利亚隐私原则》(Australian Privacy Principles,APPs),旨在规范澳大利亚政府机构以及私营组织(统称“APP实体(APP entities)”)透明公开地处理个人信息。此外,澳大利亚信息委员会办公室(Office of the Australian Information Commissioner,OAIC)还发布了《澳大利亚隐私原则指南》(Australian Privacy Principles Guidelines,《APPs 指南》),为APPs的具体实施提供了进一步的解释与指导。
APPs中规定了APP实体的个人信息保存及销毁义务。若同时满足以下条件,APP实体必须采取合理措施销毁该个人信息,或确保该个人信息去标识化[14]:
APP实体持有关于个人的个人信息(“持有(hold)”是指该实体对个人信息的拥有或控制,不仅包括对个人信息的实际拥有,还包括对个人信息有处理的权利或权限[15]);
该实体不再需要该个人信息用于其使用或披露的目的;
该信息未被纳入联邦记录;
澳大利亚法律或法院/仲裁命令未要求该实体保留该个人信息。
《APPs 指南》对于销毁或去标识化个人信息的标准做出了进一步的规定。当个人信息无法被恢复时,则视为被销毁,合理的销毁步骤需根据其存储形式(物理介质、电子形式或第三方硬件存储)确定[16]。当个人信息不再与可识别的个人或可合理识别的个人相关时,则被视为去标识化;去标识化后的信息不再属于个人信息[17]。
值得关注的是,澳大利亚隐私保护法律法规尚未明确规定个人拥有删除权,但公众对该权利的关注日益增加,相关讨论也已广泛展开。根据OAIC的调研,大多数居民重视删除权并主张有权要求企业删除其个人信息——这一比例在2020年为84%[18],到2023年已升至93%[19]。
2023年2月,澳大利亚总检察署(Attorney-General’s Department)发布《2022年隐私法审查报告》(Privacy Act Review Report 2022,《2022审查报告》),公开征求公众意见,并提出多项对《1988年隐私法》的修订提案。其中第18.3条提案建议引入具有以下特征的删除权:
个人可就其任何个人信息主张行使删除权。
已从第三方收集信息或已向第三方披露信息的 APP实体必须告知个人有关第三方的情况,并向第三方发出删除请求,除非无法做到或需要付出不相称的努力。
除一般例外情况外,某些有限的信息应被隔离而非应请求删除,以确保该信息仍可用于执法目的。
2023年9月,澳大利亚政府发布了对《2022审查报告》的回应(Government Response | Privacy Act Review Report),表示原则上同意《2022审查报告》第18.3条关于删除权的提案。但目前删除权并未被纳入于2024年12月10日生效的《2024年隐私和其他立法修正案》(Privacy and Other Legislation Amendment Act 2024,《2024隐私法修正案》)中。
澳大利亚法律法规中常见的法定保存期限包括:
根据《1988年隐私法》和《2024隐私法修正案》,若侵犯个人隐私,对任何实体的罚款数额不得超过660,000澳元[20];若严重或多次侵犯个人隐私,对非法人实体的个人的最高罚款为2,500,000澳元,对法人实体的最高罚款不超过以下数额较高者:50,000,000澳元;或法人实体和任何关联法人实体直接或间接获得的可合理归因于违法行为的利益价值的三倍;或如果法院不能确定该利益的价值,则为该违法行为在侵犯隐私营业期限内调整后营业额的30%[21]。
目前澳大利亚执法案例中尚未出现直接涉及删除权的案件,但在一些隐私泄露案件中,企业的整改措施已包含对超期保存个人信息进行删除的要求。例如,2021年某非政府组织发生数据泄露,导致近170万条记录丢失,该组织在与OAIC达成的强制执行承诺(Enforceable Undertaking)中承诺,将特定个人信息的保存期限限制在7年以内。
05
中国
中国个人信息保护立法体系对个人信息的删除做出了明确的规定。《个人信息保护法》从个人信息处理者主动删除和个人信息主体请求删除两方面做出了规定:
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
以上规定特别指出了“法定保存期限未届满”和“技术上难以实现删除”这两类履行删除义务的例外情况。
我国法律法规中常见的法定保存期限包括:
如个人信息处理者因“法定保存期限未届满”或“技术上难以实现删除”而无法履行删除义务,应当向请求删除的个人信息主体说明原因,并停止除存储和采取必要的安全措施以外的处理活动。
需要注意的是,个人信息处理者无需履行删除义务的情形并不仅限于以上两类。2025年2月,上海法院服务保障数字经济发展第二批典型案例公布了“夏某某诉上海某信息科技公司侵权责任纠纷案”[22]:夏某某系上海某信息科技公司运营的网络社交平台的注册用户,多次在该平台作出涉嫌营销推广金融理财产品的评论。平台以违反《平台社区规范》为由对其账号作出永久封禁处理。夏某某为此多次向平台申诉未果,亦无法自行注销其被封禁账号,于是起诉要求信息公司注销其个人账号、删除其后台个人信息等。法院认为,个人信息的处理并非仅仅依授权方可为,《个人信息保护法》列举的个人信息处理者有权处理个人信息的情形中,包括了为履行法定职责或法定义务所必需而处理个人信息等多项例外。某平台对被封禁账号不予注销,并在后台存储个人信息,目的在于防止夏某某以重新注册的方法规避永久封禁,是维护网络社交平台持续健康运行的必要措施,存储用户个人信息确为履行职责的技术前提。因此,在基于个人同意以外的其他合法性基础处理个人信息的情形下,个人信息处理者也可以拒绝响应个人信息主体的删除请求。
行政处罚方面,我国目前针对违反个人信息删除义务的处罚案例主要集中于App、小程序等触点,主要关注App是否提供删除个人信息或注销账号的功能,以及是否对删除个人信息或注销账号设置了不合理的条件。《网络数据安全管理条例》规定,个人请求删除其个人信息的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求[23]。
2025年2月,国家网信办因“未按法律规定提供删除或更正个人信息功能”集中查处了一批违法违规App,责令限期一个月内完成整改,逾期未完成整改的,将予以下架处置[24]。2025年7月,山东省网信办联合多部门共同开展了个人信息保护专项行动,将App(含小程序、公众号、快应用)未提供有效的更正删除个人信息及注销账号功能作为重点治理内容之一。
结语
从上述国家/区域的立法和执法实践可以看出,赋予并保障个人数据删除权已成为全球数据保护立法的主流思路。尽管部分国家出于历史或现实原因目前尚未通过立法明确赋予个人数据删除权,但修订立法的呼声已不可忽视。这要求企业,特别是中国出海企业重点关注相关国家/区域的个人数据删除权法律规定和执法实践,将制定个人数据保存计划、保障个人数据删除权内化为企业合规体系的一部分,这既有助于赢得用户的长期信任,也是避免监管风险与声誉损失的需要。
脚注:
[1] 欧盟《通用数据保护条例》第12.3条
[2] https://www.edpb.europa.eu/news/news/2025/cef-2025-launch-coordinated-enforcement-right-erasure_en
[3] CPRA被纳入《加利福尼亚州民法典》,相关条款见第1798.105条
[4] 《加利福尼亚州民法典》第1798.130(a)(2)(A)条
[5] 新加坡《个人数据保护法》第25条
[6] 《关于个人数据保护法关键概念的咨询指南》第18.1条
[7] 新加坡《个人数据保护法》第4(2)条
[8] 《关于个人数据保护法关键概念的咨询指南》第18.10条
[9] 《关于个人数据保护法关键概念的咨询指南》第18.11条
[10] 《关于个人数据保护法(PDPA)部分专题咨询指南》第4.28条
[11] 《关于个人数据保护法关键概念的咨询指南》第12.54条
[12] 《关于个人数据保护法关键概念的咨询指南》第18.2条
[13] 《关于个人数据保护法关键概念的咨询指南》第18.3条
[14] 《澳大利亚隐私原则》第11.2条
[15] 《澳大利亚隐私原则指南》第11.4、11.5条
[16] 《澳大利亚隐私原则指南》第11.36、11.37条
[17] 《澳大利亚隐私原则指南》第B.62条
[18] Australian Community Attitudes to Privacy Survey 2020,第5页
[19] Australian Community Attitudes to Privacy Survey 2023,第9页
[20] 《2024年隐私和其他立法修正案》第56节,第13H(3)条
[21] 《1988年隐私法》第13G(2), (3)条
[22] 上海高院官方公众号:https://mp.weixin.qq.com/s/_-g7Izg2ftm0_ItRc5ptMw
[23] 《网络数据安全管理条例》第23条
[24] https://www.cac.gov.cn/2025-02/19/c_1741664476228611.htm
本文作者
赵新华
合伙人
公司业务部
atticus.zhao@cn.kwm.com
业务领域:公司并购、外商直接投资、公司重组、数据及隐私保护
赵新华律师拥有十多年的法律从业经验,曾为多家知名国内外企业提供法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营、数据及隐私保护等,涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、工业制造、船舶和医药等。赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究,并为国内外众多客户提供并购、市场准入及合规方面的法律服务。
游婕
主办律师
“一带一路”国际法律业务部
司马丹旎
律师
公司业务部
感谢实习生刘宇涵对本文作出的贡献。
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
