數安條例百問41、42、關于“刪除”
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第二十二條 有下列情況之一的,數據處理者應當在十五個工作日內刪除個人信息或者進行匿名化處理:
(一)已實現個人信息處理目的或者實現處理目的不再必要;
(二)達到與用戶約定或者個人信息處理規則明確的存儲期限;
(三)終止服務或者個人注銷賬號;
(四)因使用自動化采集技術等,無法避免采集到的非必要個人信息或者未經個人同意的個人信息。
刪除個人信息從技術上難以實現,或者因業務復雜等原因,在十五個工作日內刪除個人信息確有困難的,數據處理者不得開展除存儲和采取必要的安全保護措施之外的處理,并應當向個人作出合理解釋。
法律、行政法規另有規定的從其規定。
解讀
“刪除權”是個人的一項基本權利。正因為如此,《個人信息保護法》在第四章“個人在個人信息處理活動中的權利”中,通過第四十七條確認了個人信息的“刪除權”:
第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
《個人信息保護法》第四十七條的規定已經比較清楚,但實踐中有三類問題還沒有解決。
一是刪除的時限。雖然法律明確了“刪除權”,但個人信息處理者什么時候刪除才是適宜的?如果花費個三年五載才刪除,算不算?
二是賬號作為個人信息的一種,其刪除過程較為復雜,傳統的刪除個人信息要求未必適用。
三是除了《個人信息保護法》第四十七條規定的條件外,也可能還有需要刪除個人信息的情形。典型如行車記錄儀,其無法避免采集到路人的信息,這種情況怎么辦?
為此,《條例》第二十二條對“刪除”作了細化,其對刪除或匿名化個人信息的條件并沒有過多創設(當然,也有人認為重復《個人信息保護法》沒有意義,這可以另行討論),而是重點明確了刪除個人信息的時限(十五個工作日),增加了刪除賬號的要求,并規定了使用自動化采集技術時對個人信息的處理要求。
有的人提出,為什么一定是“十五個”工作日?當個人信息處理者需要刪除個人信息時,難道不是應當立即刪除嗎?
從當事人的良好意愿出發,當然是越快刪除越好,特別是當個人信息處理者“違反法律、行政法規或者違反約定處理個人信息”時。但在實際操作時,往往會面臨兩類問題,一刪了之可能有困難。
一是某賬號還關聯了很多行為,例如有貸款。那么在刪除該賬號時,還要確認其綁定的所有關聯關系均已解除,這個過程較為耗時。
二是某賬號可能是犯罪嫌疑人用來實施詐騙的,在完成犯罪行為后,其一般會主動提出刪除,如立刻響應,恐對日后公安機關辦案帶來困難。有的人提出,這屬于“法律法規另有規定”或“司法執法活動所需”的情況,本來就應該作為證據留存。實則不然,當某賬號還沒有被公安機關列為犯罪嫌疑人線索時,不能因果倒置來要求該賬號以司法原因必須長期保留。
為此,《條例》從實際出發,提出了十五個工作日內刪除或匿名化個人信息的要求,這是綜合了保護個人權利需求(時間不能太長)與各種特殊情況(時間無法太短)的結果。
但考慮到即使延長到十五日,確實也還存在難以刪除的情況。故《條例》進一步規定,刪除個人信息從技術上難以實現,或者因業務復雜等原因,在十五個工作日內刪除個人信息確有困難的,數據處理者不得開展除存儲和采取必要的安全保護措施之外的處理,并應當向個人作出合理解釋。
對應條款
第二十二條 有下列情況之一的,數據處理者應當在十五個工作日內刪除個人信息或者進行匿名化處理:
(一)已實現個人信息處理目的或者實現處理目的不再必要;
(二)達到與用戶約定或者個人信息處理規則明確的存儲期限;
(三)終止服務或者個人注銷賬號;
(四)因使用自動化采集技術等,無法避免采集到的非必要個人信息或者未經個人同意的個人信息。
解讀
“無法避免采集到非必要個人信息或者未經個人同意的個人信息”,這是《個人信息保護法》沒有涉及的一種新場景。之所以增加這種場景,主要是考慮到了自動化采集技術應用越來越普遍的情況。
最典型的是行車記錄儀,其在記錄車況、路況時必然會拍攝到不相干的路人,這種情況不可避免,也不可能征得個人同意。事實上,這種場景的提出十分必要,畢竟個人信息保護的核心要求是征得“同意”,但除去例外情況(見《個人信息保護法》第十三條)外,仍有還一些場景是無法征得個人同意的。為此,有必要對這種場景下的個人信息保護作出規定。
《條例》第二十二條提出的主體要求是,在十五個工作日內刪除此類個人信息或者進行匿名化處理。但事實上,很難對前述行車記錄儀采集的個人信息作這樣的處理。《條例》為此還進一步作了例外規定:如從技術上難以實現,或者因業務復雜等原因,在十五個工作日內刪除個人信息確有困難,不得開展除存儲和采取必要的安全保護措施之外的處理。這意味著,行程記錄儀采集的信息正常存儲即可,但不宜公開。如必須公開,應當對無關人員的個人信息進行處理,例如打馬賽克。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
