1. 引言
互联网作为一项伟大的发明应用,极大的改变了人们的生活方式。近年来,随着网络科技的不断发展进步,互联网的功能开始逐步拓展。人们开始利用网络开展线上交易活动,电子商务迎来了快速发展阶段。但是随着网络交易市场的逐步扩张,网络交易安全问题开始逐渐显现并制约着互联网世界的发展。在网络世界,个人信息泄漏事件频发,大量个人信息被非法公布在网络,个人信息侵权事件也屡见不鲜。通过搜索引擎搜索某些关键词,检索结果便会展现出大量与某些个人隐私、过往经历、言论相关的个人信息,甚至包括当时信息主体的私密性照片。民事主体在网络世界成为“透明人”。此现象愈发严重对个人信息主体的私生活安宁造成了极大的困扰。为解决该问题,确保网络空间的安全可靠,我国民事立法中确定了个人信息主体的删除权。当发生法定情形时,个人信息主体可以要求信息处理者就其发布或转载的个人相关信息进行删除。此项权利一经确定,对个人信息提供者提出了较高的义务要求,通过立法的形式保障了个人信息主体的基本权利,同时又对个人信息处理者提出了较高的义务要求,最大程度确保个人信息安全。但是,由此也引发出了一些问题。
在实践中,个人信息删除权滥用现象开始出现,个人信息主体随意要求信息处理者删除个人信息,对信息处理者造成了较大的困扰。我国目前未对个人信息删除权的限制进行规定,存在立法上的空缺。本文意图通过比较法中的有关规定进行分析,论证个人信息删除权限制性规定的合理制定,确保网络空间的秩序价值。
2. 个人信息删除权概述
个人信息删除权是近些年所提出的全新概念,通过立法形式明确删除权为个人信息主体的一项基本权利,最大程度保护个人信息的安全可控。本章节从个人信息删除权的基础概念与行使的具体情形出发,对该项权利加以分析阐述。
2.1. 个人信息删除权的概念
个人信息删除权,简称为删除权,是指在符合法律规定或者当事人约定的情形下,信息主体可以请求信息处理者及时删除相关个人信息的权利。个人信息删除权的设立目的旨在保障信息主体对其个人信息的自主决定,确保个人信息安全 [1] 。例如,信息主体允许信息处理者处理其个人信息,制作成数据,但信息主体仍然依法享有个人信息删除权,有权请求数据处理者删除其相关个人信息。该权利的行使对于保障信息的完整性与自决性都具有十分重要的意义。
2017年开始实施的《网络安全法》第43条规定“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”本条为立法上首次对个人信息删除权加以明确,当个人信息主体发现如有侵权行为时,可以要求侵权人对相关信息进行删除,确保个人信息安全。
《民法典》中对于个人信息删除权也有所规定,在民事基本法中确定了删除权为信息主体的法定权利。《民法典》第1037条规定对个人信息主体的查询、复制、更正、删除四种权利系请求权加以明确,其中具体规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”本条对个人信息的正确适用加以明确,对于个人信息主体的请求权进行了具体的列举。但是,该条仅为原则性规定,并没有对删除权行使的具体情形进行明确,实践中适用该条存有疑问。
2.2. 行使个人信息删除权的具体情形
2021年《个人信息保护法》出台,对个人信息删除权加以细化规定。与此同时,也明确了行使删除权的具体情形。其中《个人信息保护法》第47条规定:“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一) 处理目的已实现、无法实现或者为实现处理目的不再必要;(二) 个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三) 个人撤回同意;(四) 个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五) 法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”该条以列举的方式明确了个人信息行使删除权的具体情形,并在法条最后以“其他情形”进行结尾,开放的列举方式使得删除权得以最大程度行使。而也正是由于列举的方式无法穷尽所有情形,使得在司法实践中,法官对于权利行使的认定具有较大的自由裁量权。在实践中,开始出现个人信息删除权滥用的现象。因此,有必要对个人信息删除权加以一定限制适用,无限的行使权利会导致权利突破秩序的边界。
3. 国内外关于个人信息删除权的限制性规定
个人信息删除权的权利主体是个人,义务主体是个人信息处理者。在符合法律规定的情形时,个人信息处理者应当主动删除个人信息,个人也有权请求处理者删除。国内外学界对该项权利的行使情形存在不同观点,纵观各国立法也对限制删除权的规定有所不同。
3.1. 我国关于限制个人信息删除权的有关规定
我国目前没有单独关于限制个人信息删除权的有关立法,因此应当从现有民事基本法以及民法基本原则中寻求答案。王利明老师认为,在个人信息删除权的限制上,民法典人格权编中的“一般规定”具有适用空间。例如,《民法典》第999条规定为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的个人信息。这一条款规定在人格权编“一般规定”的体系位置,这表明该条款属于一般条款,蕴含着民法典对个人信息的合理使用的基本价值判断。根据该条款的规定,法官在具体个案中应当对信息主体和信息处理者以及一般公众的利益进行衡量,当新闻报道与舆论监督的公共利益优于信息主体的利益时,信息主体的删除权就应当受到限制 [2] 。因此,鉴于《个人信息保护法》第47条没有对删除权做出限制,《民法典》第999条的规定作为一般条款可以发挥补充作用。
我国学界还有观点吸收了比较法上的内容,认为个人信息删除权的限制情形包括出于保护言论自由的需要,该网络信息应被保留;为了维护公共秩序和公共利益的需要,该信息不能被删除;出于历史、统计和科学研究的目的,保留该网络信息是必须的;有关信息主体的犯罪记录等 [3] 。
学界的观点为立法提供指引,在后续个人信息立法不断完善发展的过程中,应当制定关于限制个人信息删除权的具体规定。限制并且明确行使权利的边界,防止权利滥用。在弥补法律漏洞制定有关立法时,可以参考域外法律中的有关规定,取其精华,去其糟粕。比较法中的具体规定在下文进行详细展开。
3.2. 域外关于限制个人信息删除权的有关规定
在比较法上,欧盟和德国关于个人信息保护立法走在世界前列。其中对于个人信息删除权的限制有具体规定。二者的规定内容有一定的相同之处,但又有细微的差异。
欧盟《一般数据保护条例》第 17条第3款规定了五种不得删除的情形,具体包括行使言论和信息自由的权利、涉及公共利益的、为了公共卫生领域的公共利益、行使权利会彻底阻碍科学、历史等研究目的实现的、行使法律上的主张的。
德国《联邦数据保护法》第35条第1款规定:“如果在非自动化数据处理的情形中,删除是不可能的或者因特定的储存方式删除需要付出不合理的努力并且数据主体对删除只具有最低的利益,则数据主体无权要求删除并且控制者也没有义务依据欧盟第2016/679号条例第17条第1款删除个人数据,除非符合该条例第17条第3款规定的例外情形。前述情形中,应当适用欧盟第2016/679号条例第18条的限制处理来取代删除。如果个人数据的处理是非法的,第1句和第2句的规定不适用。” [4]
3.3. 国内外限制个人信息删除权之差异
通过上文阐述可知,我国并没有在立法中单独规定个人信息删除权的限制情形,而是需要通过现有立法中的规定推导出个人信息删除权的限制情形。除了上文所提到的《民法典》第999条具有一定的适用空间外,学界主流观点还认为,可以根据《个人信息保护法》第47条第2款规定推导出两种不能删除的情形。其一是由于删除个人信息存在法律上的不能,即法律、行政法规规定的保存期限未届满。其二是客观上的不能,即删除个人信息在技术上难以实现 [5] 。
而反观域外,多数国家对于个人信息删除权的限制是以明确列举的方式进行规定。只要包含法律所列举的具体情形,个人信息删除权就不具有行使条件。如此规定较为合理,通过列举具体情形使得法律规定更为直观,权利的行使边界更为清晰。
我国有关个人信息保护立法还处于起步阶段,有关规定有待后续不断补充完善 [6] 。在后续立法中,可以借鉴域外现有规定,采取列举的行使,明确我国限制个人信息删除权行使的具体情形。
4. 限制个人信息删除权之情形
我国应当充分吸收比较法上的内容同时结合我国实际情况,完善立法上的空缺,以列举的方式明确个人信息删除权的限制情形。具体来讲,笔者认为限制情形应当包括以下几点:(一) 为维护公共秩序和公共利益;(二) 技术上难以实现;(三) 保存期限未届满;(四) 司法公开信息;(五) 个人信息处理者合理使用。理由如下。
4.1. 涉及公共利益
首先,如果当删除个人信息涉及到公共秩序和公共利益时,应当对个人信息删除权的行使进行限制。立法上对个人信息进行保护的最终目的是使得个人的隐私权与公众的知情权之间达到利益的平衡。当个人信息删除情形可能会影响到公共秩序和公共利益时,在我国社会法益原则上应当优先于个人法益 [7] 。因此,此时应当优先保护公共秩序和公共利益。值得注意的是,笔者这里所讲的公共秩序公共利益应当做广义解释,其中包括比较法上的公共卫生领域下的公共利益、出于历史统计和科学研究目的的公共利益,无需再单独列举上述情形。但公共秩序和公共利益不能无限扩大,只有当信息的利用是为了维护社会生活所必须的秩序与利益,维护的主体是不确定的,此时才是我们所讲的公共秩序和公共利益。
4.2. 技术上难以实现
其次,当技术上难以实现时,应当对个人信息删除权进行限制。在大数据时代,个人信息在处理中包括收集、存储、使用、加工、传输、提供、公开、删除等 [8] 。本文中所讨论的删除是指将该个人信息彻底删除,即删除后不能再次恢复的完全抹去行为。虽然技术在不断发展不断进步,但仍然有一部分数据因其自身特点以及储存方式使得在技术上难以实现彻底删除。此时,个人信息删除权的行使存在限制,限制的原因并非法律上的限制,而是由于客观技术上的难以实现。但并不意味着个人信息处理者基于此可以随意处理个人信息,其只可对此类个人信息进行储存和必要的保护行为,对于其他处理行为应当予以限制。
4.3. 保存期限未届满
再次,当个人信息保存期限未届满时,应当对个人信息删除权予以限制。法律法规对部分个人信息的保存期限是有明确规定的。例如《网络交易监督管理办法》中第31条规定:“网络交易平台经营者对平台内经营者身份信息的保存时间自其退出平台之日起不少于三年;对商品或者服务信息,支付记录、物流快递、退换货以及售后等交易信息的保存时间自交易完成之日起不少于三年。”对保存期限进行规定的目的是为了更好的进行监督管理,当发生争议纠纷时可以更好的收集有关证据,了解当时发生的具体情形。所以,在个人信息合法的保存期限内,信息主体不能行使个人信息删除权。
4.4. 司法公开信息
再次,当个人信息为司法公开的信息时,个人信息删除权应当受到限制。笔者认为司法公开信息具体可以包括中国裁判文书网的裁判结果、信息主体的犯罪记录、个人征信记录以及其他依法应当公开的司法信息。
随着《最高人民法院关于人民法院在互联网公布裁判文书的规定》的出台,我国绝大多数民事、刑事、行政判决书都在中国裁判文书网予以公示,而信息主体是否能够要求裁判文书网以及相关文书检索网站对诉讼文书予以删除存在争议。判决书等进行公示的目的是为了司法的公正判决,便于公民行使知情权与监督权,最终实现法治的进步。但司法公开的信息本身必然包括个人信息,司法的透明化程度越来越高与个人隐私的保护愈来愈强势必存在着矛盾与冲突。此时,司法的公开透明、司法的民主监督具有更高的价值追求,应当对个人信息删除权进行限制。但限制并不代表对个人隐私权利的剥夺,当司法信息为法律规定不得公开的,应当直接不予公开,无需个人信息主体主动行使删除权。
4.5. 信息处理者合理使用
如个人信息处理者合理使用个人信息主体的个人信息,此时应当对个人信息删除权予以限制。大数据时代,网络互联互通是大势所趋,得数据者得天下。商业主体合理使用的个人信息,信息主体能否要求删除存在争议。例如网络购物平台消费者能否要求平台删除自己的后台浏览记录等类似争议时有发生。从商业交易习惯来看,个人信息处理者合理使用个人信息可以帮助其更好的了解用户需求提供更为优质的服务。对于个人信息主体而言其本身享受处理者提供的优质服务且平台合理使用并没有对其隐私造成侵害。如个人信息主体可以随意行使删除权,不仅不符合商业利益的追求,损害网络的互联互通,实则是个人隐私的过度保护,导致权利滥用。当然,这里的“合理使用”应当做严格限定,对于合理的限度范围应当做严格的限制,由审判机关进行严格认定,最终达到利益的平衡。
5. 结语
《个人信息保护法》的出台将个人信息主体要求个人信息处理者删除个人信息确定为一项法定权利。但是权利的行使应当具有明确的边界。现有立法中并没有规定限制个人信息删除权的具体情形,导致在实践中开始存在个人信息删除权滥用的情形。个人信息处理者合理使用个人信息却被诉侵权,无故要求删除的现象频发,扰乱了稳定的网络秩序。在现有法律没有单独规定限制行使删除权的情形时,应当从现有基本法的规定以及民法基本原则出发,推断行使个人信息删除权的合理界限,并在司法裁判中对于特定情形形成统一的裁判标准。与此同时,应当不断完善立法,弥补法律漏洞,吸收比较法中的有关规定,以列举的形式明确限制个人信息删除权行使的具体情形,明确权利的边界。