返回列表
企业在个人信息删除场景中的合规建议
2022-04-08

《个人信息保护法》出台后,个人信息删除成为企业运营中的一个重点。本文将基于法律层面的个人信息删除的要求,结合实际场景,阐述企业在实务中进行个人信息删除的合规建议。

一、个人信息删除的法律依据

个人信息删除的要求主要由《个人信息保护法》第四十七条加以规范,该条给出了个人信息处理者的删除义务与个人信息主体请求删除的权利之一般情形与例外情形下的替代措施。第二十一条和第四十九条则给出了两种特殊法律关系背景下履行删除义务或行使删除权的方式。

(一)一般情形下的删除义务与权利

第四十七条第一款规定了五种应当对个人信息进行删除的情形:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

其中,第(一)项和第(二)项通常而言是需要企业主动履行的义务,即企业根据自身业务运营状况自觉地对个人信息进行删除。但在实际场景中,“处理目的已实现、无法实现或者为实现处理目的不再必要”的含义往往并不清晰,因为“处理目的”是由企业在提供服务时自行定义的。最为简单的例子就是企业在面向用户展示的隐私政策中采用模糊的语言,增加诸如“提升用户体验”等宽泛的处理目的,或“为事件追溯”等持续性的处理目的,则该“处理目的”往往在长时间内都不能算作“已实现”或“不再必要”。

同样,“停止提供产品或服务”也存在界限不清晰的情况。对于提供单一产品或服务的企业来说,因经营困难或业务转型的需求而停止提供产品或服务的,此时的“停止提供产品或服务”往往伴随着企业停止营业、注销或团队裁撤,是否产生主动删除个人信息的义务是相对确定的。但是,对于提供多元化产品或服务的企业来说,对某一个产品或服务的停止,显得并不迫切。例如,腾讯于2014年提供的QQ堂游戏,将于2022年4月停止服务。该类游戏实际上一旦进入用户流失的困境,就会进入多年的维护状态。企业依然可以花费最低的维护成本,继续进行个人信息的处理,直至剩余价值被利用完的一天。

综上,“处理目的”、“停止提供产品或服务”、“保存期限”本身是由个人信息处理者自行界定、判断甚至调整的,因而现实中是否以及何时产生了主动删除的义务就变得难以确定。可能立法者也考虑到仅仅由企业自我约束、主动履行并不现实,因此第四十七条为个人信息主体赋予了在个人信息处理者未删除时请求删除的权利。而且,在立法者列举的五种情形中,第(三)项通常而言是可以由个人信息主体一端主动发起和控制的。

(二)撤回同意情形下的删除方案

对个人信息进行删除的前提需要获得个人信息,而根据个保法第13条,除第二项至第七项的法定义务、必要或合理处理之外,获得个人信息的则需要获得个人信息主体的同意。个人信息主体行使撤回同意的权利,能够较为全面地约束企业,首先为企业主动删除个人信息的义务确定了相对明确的产生时点,在企业未主动履行的情形下,个人信息主体也可以较为明确地证明删除义务已经产生。

但在个保法全文或其他相关法律法规中,并未说明撤回同意的幅度。如果个人信息主体对全部同意进行撤回,对于企业来说则是对该用户的账号进行注销。注销的操作并不复杂,目前已经形成成熟的处置流程,即在法定需要记录、保存的信息外,对其余的个人信息进行删除。如果个人信息主体只撤回部分同意的,作为个人信息处理者的企业依然要响应撤回部分同意。但由于传统的业务流程中,数据与数据之间保持关联性,例如目前普通使用的关系型数据库中,将数据按照最小关系表的形式存储,关系表之间通过主键的关联或引用形成对象关系映射。在这种情况下,如果只对部分的数据进行删除的话,会导致关系表的关联关系中断,出现不完整的缺省数据。因此,相比传统的流程化业务中,需要增加在部分数据缺失的情况继续运营的兼容模式。

假设一个具体的场景,在订单信息中,如果个人信息主体对其手机号码进行撤回同意,企业删除该手机号码后会导致该条数据记录中的手机号码为空值,因此反馈到企业的信息系统层面,则需要增加对该字段为空值的异常处理机制,即允许该值为空,以及当判断为空时增加处置方法。因此企业需要从具体字段出发,向上推导出受影响的环节并逐一增加兼容措施,从而使业务逻辑能够继续正常流转到下一阶段。

(三)个人信息处理者违法、违规或者违约定处理个人信息情形下的删除方案

个人信息主体发现个人信息处理者违法、违规或者违约处理个人信息的,若提出删除请求,企业则需要响应,这是无可争议的事实。因此在这类情形下以及从企业的角度来看,可能讨论企业如何在个人信息主体提起删除请求前发现自身违法、违规或者违约行为显得更为重要。

企业可通过制定管理措施,例如构建数据安全管理部门、个人信息保护责任部门、IT技术委员会等组织架构,对个人信息收集、传输、存储、委托或提供、删除等环节进行合法性、合规性规范,并制定应急处置流程和定期审计制度,以及处罚细则。同时,企业也可通过技术措施,例如数据库审计系统,定期API安全检测,或对异常数据上传、下载的网络监控等。当通过管理措施或技术措施发现企业内部存在违法、违规或违约处理个人信息的,则可被企业外部人员所发现之前及时删除该类个人信息,从而降低企业面临的刑事或民事法律风险。

(四)例外情形下的替代措施——停止处理

相对于删除义务与权利的一般规定,第四十七条第二款规定了较为灵活的删除替代措施——“停止处理”,即在存储以及采取必要的安全保护措施之外,不再对个人信息进行其他的处理。其适用条件包括“法律、行政法规规定的保存期限未届满“和”删除个人信息从技术上难以实现”。

其中,“法律、行政法规规定的保存期限未届满”需要援引其他法律、行政法规进行体系解释和论证。如《电子商务法》第三十一条规定:“电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年”。又如《反洗钱法》第十九条规定:“金融机构应当按照规定建立客户身份资料和交易记录保存制度。客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。”由于部分交易信息包含个人信息,因此该部分个人信息在保存期限未届满前不需要删除。

而“删除个人信息从技术上难以实现的”本身是一个需要结合具体技术和业务场景加以权衡、判断的事实,可以说,立法者在保护个人信息主体的删除权的同时,也旨在平衡个人信息处理者的利益,以相对灵活的替代措施避免机械地要求履行删除义务可能给个人信息处理者创造“不可能的任务”。在实践中,一项或一类删除是否在技术上难以实现,尽管看起来是一个“事实问题”,但需要结合技术和业务场景综合判断,且实际可能掺杂了利益和价值考量,因而天然地存在边界模糊的问题。而且掌握技术和经济实力的个人信息处理者显然要比个人信息主体要更具有话语层面的优势,因此本项也成为了企业论证其不删除而采取替代措施之合理性的一个重要论据。

(五)特殊法律关系背景下履行删除义务或行使删除权利的方式

第二十一条是个人信息处理存在委托关系时对被委托方一方的约束。当委托关系不存在时,被委托方应当主动返还或删除个人信息。而作为个人信息处理者的委托方,应当要履行对被委托方的监督义务,要求被委托方返还或删除其委托的个人信息。

第四十九条规定当个人信息主体死亡后,其近亲属可以为了自身的合法、正当利益,行使对死者相关个人信息要求删除的权利。因此,对于企业来说,在个人信息主体死亡后,依然要响应对其近亲属关于个人信息的诉求。对于企业来说,需要切实履行对个人信息主体的近亲属身份的核实。

二、如何删除个人信息

对个人信息的删除,是对个人信息的实际抹除或清空,需要根据个人信息的不同载体,采取不同的删除方式。

如个人信息是以非电子化方式记录的,如纸质的人员名单、工资条、外卖单,可采用裁纸机或人为毁损等物理销毁方式,使其不可识别和使用,达到“删除”的效果。

如个人信息的载体是以电子化方式记录的,在当前广泛使用的数据库技术以及传统数据使用习惯上,电子信息的“删除”往往只是使用状态符进行标记,使标记后的电子信息不能被前端系统检索到,但该信息仍然存在于后端数据库当中。这就是在计算机科学领域中对电子信息删除的逻辑删除方式。逻辑删除,便是指使用状态符对该电子信息进行不可用标记,但仍然在一定权限下直接识别和使用。与逻辑删除共存的则是物理删除,其是指从文件系统中清除或数据库中执行delete等语句,使其无法直接被识别和使用。

但是物理删除并不是最终的状态,在计算机的存储介质中对电子信息执行物理删除只是将其从目录列表除名,如日常在计算机上执行“清空回收站”命令。在执行“删除”命令后,该电子信息仍然可以被恢复,就如同硬盘恢复一样,可以恢复到一定比例的原电子信息。要达到彻底删除的效果,最有效的方式是重复多次的文件覆盖,但这种方式的成本也是最高的。

正因如此,在实践中,很多信息技术类企业对“删除”会有认识上的差异。《个人信息保护法》并未对“删除”进行具体的定义,但可以参考国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》3.10中“删除”的定义:“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。”,即删除需要满足达到毁损不可用的状态。所以,对电子化的个人信息进行删除,无需追求重复覆盖的极端删除,但也不能采用仍然可识别和使用的逻辑删除,而应当采用物理删除的方式。

但信息的删除往往会影响企业业务的正常运作,那是否还有其他合法的替代方式?

对个人信息的删除,实际上可以理解为,让个人信息不再“存在”。而所谓个人信息是指可以识别或关联到具体的自然人的各种信息,因此,如果对个人信息进行某种处理,使其不可识别或关联出具体的自然人,使个人信息“去个人信息化”,间接也就达到了使个人信息不再“存在”的删除效果。该种处理一般分为匿名化处理和去标识化处理。但在不同国家的法律制度下,对这两种处理方式有不同的适用情况。如美国加州隐私立法(CCPA)认可去标识化可以达到“去个人信息化”的效果,即不再将其视为个人信息,因此去标识化也可以间接达到“删除”效果。但在中国和欧盟的法律体系下,法律要求更高,只认可匿名化处理才能“去个人信息化”。具体的去标识化和匿名化处理细节,本公众号已有发文阐述,具体请看《数据脱敏、加密、假名化、去标识化与匿名化的区分》(点击跳转)。

 

作者:李林兴

审稿:南红玉

 (文中观点不代表北源律师事务所的观点或法律意见)

返回列表
企业在个人信息删除场景中的合规建议
2022-04-08

《个人信息保护法》出台后,个人信息删除成为企业运营中的一个重点。本文将基于法律层面的个人信息删除的要求,结合实际场景,阐述企业在实务中进行个人信息删除的合规建议。

一、个人信息删除的法律依据

个人信息删除的要求主要由《个人信息保护法》第四十七条加以规范,该条给出了个人信息处理者的删除义务与个人信息主体请求删除的权利之一般情形与例外情形下的替代措施。第二十一条和第四十九条则给出了两种特殊法律关系背景下履行删除义务或行使删除权的方式。

(一)一般情形下的删除义务与权利

第四十七条第一款规定了五种应当对个人信息进行删除的情形:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

其中,第(一)项和第(二)项通常而言是需要企业主动履行的义务,即企业根据自身业务运营状况自觉地对个人信息进行删除。但在实际场景中,“处理目的已实现、无法实现或者为实现处理目的不再必要”的含义往往并不清晰,因为“处理目的”是由企业在提供服务时自行定义的。最为简单的例子就是企业在面向用户展示的隐私政策中采用模糊的语言,增加诸如“提升用户体验”等宽泛的处理目的,或“为事件追溯”等持续性的处理目的,则该“处理目的”往往在长时间内都不能算作“已实现”或“不再必要”。

同样,“停止提供产品或服务”也存在界限不清晰的情况。对于提供单一产品或服务的企业来说,因经营困难或业务转型的需求而停止提供产品或服务的,此时的“停止提供产品或服务”往往伴随着企业停止营业、注销或团队裁撤,是否产生主动删除个人信息的义务是相对确定的。但是,对于提供多元化产品或服务的企业来说,对某一个产品或服务的停止,显得并不迫切。例如,腾讯于2014年提供的QQ堂游戏,将于2022年4月停止服务。该类游戏实际上一旦进入用户流失的困境,就会进入多年的维护状态。企业依然可以花费最低的维护成本,继续进行个人信息的处理,直至剩余价值被利用完的一天。

综上,“处理目的”、“停止提供产品或服务”、“保存期限”本身是由个人信息处理者自行界定、判断甚至调整的,因而现实中是否以及何时产生了主动删除的义务就变得难以确定。可能立法者也考虑到仅仅由企业自我约束、主动履行并不现实,因此第四十七条为个人信息主体赋予了在个人信息处理者未删除时请求删除的权利。而且,在立法者列举的五种情形中,第(三)项通常而言是可以由个人信息主体一端主动发起和控制的。

(二)撤回同意情形下的删除方案

对个人信息进行删除的前提需要获得个人信息,而根据个保法第13条,除第二项至第七项的法定义务、必要或合理处理之外,获得个人信息的则需要获得个人信息主体的同意。个人信息主体行使撤回同意的权利,能够较为全面地约束企业,首先为企业主动删除个人信息的义务确定了相对明确的产生时点,在企业未主动履行的情形下,个人信息主体也可以较为明确地证明删除义务已经产生。

但在个保法全文或其他相关法律法规中,并未说明撤回同意的幅度。如果个人信息主体对全部同意进行撤回,对于企业来说则是对该用户的账号进行注销。注销的操作并不复杂,目前已经形成成熟的处置流程,即在法定需要记录、保存的信息外,对其余的个人信息进行删除。如果个人信息主体只撤回部分同意的,作为个人信息处理者的企业依然要响应撤回部分同意。但由于传统的业务流程中,数据与数据之间保持关联性,例如目前普通使用的关系型数据库中,将数据按照最小关系表的形式存储,关系表之间通过主键的关联或引用形成对象关系映射。在这种情况下,如果只对部分的数据进行删除的话,会导致关系表的关联关系中断,出现不完整的缺省数据。因此,相比传统的流程化业务中,需要增加在部分数据缺失的情况继续运营的兼容模式。

假设一个具体的场景,在订单信息中,如果个人信息主体对其手机号码进行撤回同意,企业删除该手机号码后会导致该条数据记录中的手机号码为空值,因此反馈到企业的信息系统层面,则需要增加对该字段为空值的异常处理机制,即允许该值为空,以及当判断为空时增加处置方法。因此企业需要从具体字段出发,向上推导出受影响的环节并逐一增加兼容措施,从而使业务逻辑能够继续正常流转到下一阶段。

(三)个人信息处理者违法、违规或者违约定处理个人信息情形下的删除方案

个人信息主体发现个人信息处理者违法、违规或者违约处理个人信息的,若提出删除请求,企业则需要响应,这是无可争议的事实。因此在这类情形下以及从企业的角度来看,可能讨论企业如何在个人信息主体提起删除请求前发现自身违法、违规或者违约行为显得更为重要。

企业可通过制定管理措施,例如构建数据安全管理部门、个人信息保护责任部门、IT技术委员会等组织架构,对个人信息收集、传输、存储、委托或提供、删除等环节进行合法性、合规性规范,并制定应急处置流程和定期审计制度,以及处罚细则。同时,企业也可通过技术措施,例如数据库审计系统,定期API安全检测,或对异常数据上传、下载的网络监控等。当通过管理措施或技术措施发现企业内部存在违法、违规或违约处理个人信息的,则可被企业外部人员所发现之前及时删除该类个人信息,从而降低企业面临的刑事或民事法律风险。

(四)例外情形下的替代措施——停止处理

相对于删除义务与权利的一般规定,第四十七条第二款规定了较为灵活的删除替代措施——“停止处理”,即在存储以及采取必要的安全保护措施之外,不再对个人信息进行其他的处理。其适用条件包括“法律、行政法规规定的保存期限未届满“和”删除个人信息从技术上难以实现”。

其中,“法律、行政法规规定的保存期限未届满”需要援引其他法律、行政法规进行体系解释和论证。如《电子商务法》第三十一条规定:“电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年”。又如《反洗钱法》第十九条规定:“金融机构应当按照规定建立客户身份资料和交易记录保存制度。客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。”由于部分交易信息包含个人信息,因此该部分个人信息在保存期限未届满前不需要删除。

而“删除个人信息从技术上难以实现的”本身是一个需要结合具体技术和业务场景加以权衡、判断的事实,可以说,立法者在保护个人信息主体的删除权的同时,也旨在平衡个人信息处理者的利益,以相对灵活的替代措施避免机械地要求履行删除义务可能给个人信息处理者创造“不可能的任务”。在实践中,一项或一类删除是否在技术上难以实现,尽管看起来是一个“事实问题”,但需要结合技术和业务场景综合判断,且实际可能掺杂了利益和价值考量,因而天然地存在边界模糊的问题。而且掌握技术和经济实力的个人信息处理者显然要比个人信息主体要更具有话语层面的优势,因此本项也成为了企业论证其不删除而采取替代措施之合理性的一个重要论据。

(五)特殊法律关系背景下履行删除义务或行使删除权利的方式

第二十一条是个人信息处理存在委托关系时对被委托方一方的约束。当委托关系不存在时,被委托方应当主动返还或删除个人信息。而作为个人信息处理者的委托方,应当要履行对被委托方的监督义务,要求被委托方返还或删除其委托的个人信息。

第四十九条规定当个人信息主体死亡后,其近亲属可以为了自身的合法、正当利益,行使对死者相关个人信息要求删除的权利。因此,对于企业来说,在个人信息主体死亡后,依然要响应对其近亲属关于个人信息的诉求。对于企业来说,需要切实履行对个人信息主体的近亲属身份的核实。

二、如何删除个人信息

对个人信息的删除,是对个人信息的实际抹除或清空,需要根据个人信息的不同载体,采取不同的删除方式。

如个人信息是以非电子化方式记录的,如纸质的人员名单、工资条、外卖单,可采用裁纸机或人为毁损等物理销毁方式,使其不可识别和使用,达到“删除”的效果。

如个人信息的载体是以电子化方式记录的,在当前广泛使用的数据库技术以及传统数据使用习惯上,电子信息的“删除”往往只是使用状态符进行标记,使标记后的电子信息不能被前端系统检索到,但该信息仍然存在于后端数据库当中。这就是在计算机科学领域中对电子信息删除的逻辑删除方式。逻辑删除,便是指使用状态符对该电子信息进行不可用标记,但仍然在一定权限下直接识别和使用。与逻辑删除共存的则是物理删除,其是指从文件系统中清除或数据库中执行delete等语句,使其无法直接被识别和使用。

但是物理删除并不是最终的状态,在计算机的存储介质中对电子信息执行物理删除只是将其从目录列表除名,如日常在计算机上执行“清空回收站”命令。在执行“删除”命令后,该电子信息仍然可以被恢复,就如同硬盘恢复一样,可以恢复到一定比例的原电子信息。要达到彻底删除的效果,最有效的方式是重复多次的文件覆盖,但这种方式的成本也是最高的。

正因如此,在实践中,很多信息技术类企业对“删除”会有认识上的差异。《个人信息保护法》并未对“删除”进行具体的定义,但可以参考国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》3.10中“删除”的定义:“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。”,即删除需要满足达到毁损不可用的状态。所以,对电子化的个人信息进行删除,无需追求重复覆盖的极端删除,但也不能采用仍然可识别和使用的逻辑删除,而应当采用物理删除的方式。

但信息的删除往往会影响企业业务的正常运作,那是否还有其他合法的替代方式?

对个人信息的删除,实际上可以理解为,让个人信息不再“存在”。而所谓个人信息是指可以识别或关联到具体的自然人的各种信息,因此,如果对个人信息进行某种处理,使其不可识别或关联出具体的自然人,使个人信息“去个人信息化”,间接也就达到了使个人信息不再“存在”的删除效果。该种处理一般分为匿名化处理和去标识化处理。但在不同国家的法律制度下,对这两种处理方式有不同的适用情况。如美国加州隐私立法(CCPA)认可去标识化可以达到“去个人信息化”的效果,即不再将其视为个人信息,因此去标识化也可以间接达到“删除”效果。但在中国和欧盟的法律体系下,法律要求更高,只认可匿名化处理才能“去个人信息化”。具体的去标识化和匿名化处理细节,本公众号已有发文阐述,具体请看《数据脱敏、加密、假名化、去标识化与匿名化的区分》(点击跳转)。

 

作者:李林兴

审稿:南红玉

 (文中观点不代表北源律师事务所的观点或法律意见)