返回列表
实务指引 | 个人信息删除义务的实务难点
2023-06-21

背景

根据《个人信息保护法》第四十七条的规定,个人信息处理者在某些情形下具有删除个人信息的法定义务。个人信息处理者如有下列情况,应当自行删除个人信息:(一)处理目的已实现、无法实现或者为实现处理目的不再必要。例如某抽奖活动会收集个人信息主体的手机号、姓名等个人信息时,当抽奖已结束,如无其他处理目的时,应当对其个人信息进行主动删除。(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满。例如,企业停止产品/服务的运营,或保存期限已达到隐私政策中所约定的期限。(三)个人信息主体向个人信息处理者提出撤回同意的通知。例如,用户向企业通过邮件、客服电话等方式,要求企业将其个人信息删除。(四)个人信息处理者非法收集或获得的个人信息。(五)法律、行政法规规定的其他情形。如个人信息处理者未主动履行该义务,个人信息主体可请求删除。

问题

对于个人信息的删除问题,在何种场景下应当采取删除处理已经较为明确,但仍存在两个问题:

01

删除义务的豁免条件

《个人信息保护法》在第47条仅以“法律、行政法规规定的保存期限未届满”以及“删除个人信息从技术上难以实现的”两类兜底式规定予以描述。对于前者,由于对个人信息保存期限的规定在法律和行政法规中较为分散,个人信息处理者容易遗漏某一情形;而对于后者,定义的不清晰使企业在实践中很难举证说明删除在技术上难以实现。

02

合规的删除方式

当删除义务的豁免条件无法适用,企业应该依法删除个人信息。合规的删除方式的选择是企业实务中的一个难点。

 

解决方案

1、法律、行政法规规定的保存期限未届满

本项主要指,即使在发生《个人信息保护法》所规定的应当删除的情形,如果在法律和行政法规规定了对某类信息进行保管的要求和保管期限,也应当遵守法律行政法规的特殊规定对个人信息予以保存,这需要援引其他法律、行政法规进行体系解释和论证(如下表)。

 

2、删除个人信息从技术上难以实现

“删除个人信息从技术上难以实现”本身是一个需要结合具体技术和业务场景加以权衡、判断的事实。可以说,立法者在保护个人信息主体的删除权的同时,也旨在平衡个人信息处理者的利益,以相对灵活的替代措施避免机械地要求履行删除义务可能给个人信息处理者创造“不可能的任务”。在实践中,一项或一类删除是否在技术上难以实现,看起来是一个“事实问题”,但需要结合技术和业务场景综合判断,这意味着可能掺杂了利益和价值考量,因而天然存在边界模糊的问题。而且掌握技术和经济实力的个人信息处理者显然要比个人信息主体要更具有话语层面的优势,因此本项也成为了企业论证其不删除而采取替代措施之合理性的一个重要论据。

3、删除方式的选择

对个人信息的删除,是对个人信息的实际抹除或清空,需要根据个人信息的不同载体,采取不同的删除方式。对于以非电子化方式记录的个人信息,如纸质的人员名单、工资条、外卖单,可采用裁纸机或人为毁损等物理销毁方式,使其不可识别和使用,达到“删除”的效果;对于以电子化方式记录的个人信息,在当前广泛使用的数据库技术以及传统数据使用习惯上,电子信息的“删除”往往只是使用状态符进行标记,使标记后的电子信息不能被前端系统检索到,但该信息仍然存在于后端数据库当中。这就是对电子信息的逻辑删除。

 

 逻辑删除,是指使用状态符对该电子信息进行不可用标记,但仍然在一定权限下直接识别和使用。

 

 

■ 物理删除,是指从文件系统中清除或数据库中执行delete等语句,使其无法直接被识别和使用。

 

但是物理删除并不是最终的状态,在计算机的存储介质中对电子信息执行物理删除只是将其从目录列表除名,如日常在计算机上执行“清空回收站”命令。在执行“删除”命令后,该电子信息仍然可以被恢复,就如同硬盘恢复一样,可以恢复到一定比例的原电子信息。要达到彻底删除的效果,最有效的方式是重复多次的文件覆盖,但这种方式的成本也是最高的。

 

正因如此,在实践中,很多信息技术类企业对“删除”会有认识上的差异。《个人信息保护法》并未对“删除”进行具体的定义,但可以参考国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》3.10对“删除”的定义:“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。”。即删除需要达到不可用的状态。所以,对电子化的个人信息进行删除,无需追求重复覆盖的极端删除,但也不能采用仍然可识别和使用的逻辑删除,而应当采用物理删除的方式。

 

但信息的删除往往会影响企业业务的正常运作,那是否还有其他合法的替代方式?对个人信息的删除,实际上可以理解为,让个人信息不再“存在”。而所谓个人信息是指可以识别或关联到具体的自然人的各种信息,因此,如果对个人信息进行某种处理,使其不可识别或关联出具体的自然人,使个人信息“去个人信息化”,间接也就达到了使个人信息不再“存在”的删除效果。该种处理一般分为匿名化处理和去标识化处理。但在不同国家的法律制度下,对这两种处理方式有不同的适用效果。如CCPA认可去标识化可以达到“去个人信息化”的效果,即不再将其视为个人信息,因此去标识化也可以间接达到“删除”效果。但在中国和欧盟的法律体系下,法律要求更高,认为只有通过匿名化处理才能达到“去个人信息化”的效果。

本文来源于北源律师事务所《个人信息保护合规白皮书》

返回列表
实务指引 | 个人信息删除义务的实务难点
2023-06-21

背景

根据《个人信息保护法》第四十七条的规定,个人信息处理者在某些情形下具有删除个人信息的法定义务。个人信息处理者如有下列情况,应当自行删除个人信息:(一)处理目的已实现、无法实现或者为实现处理目的不再必要。例如某抽奖活动会收集个人信息主体的手机号、姓名等个人信息时,当抽奖已结束,如无其他处理目的时,应当对其个人信息进行主动删除。(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满。例如,企业停止产品/服务的运营,或保存期限已达到隐私政策中所约定的期限。(三)个人信息主体向个人信息处理者提出撤回同意的通知。例如,用户向企业通过邮件、客服电话等方式,要求企业将其个人信息删除。(四)个人信息处理者非法收集或获得的个人信息。(五)法律、行政法规规定的其他情形。如个人信息处理者未主动履行该义务,个人信息主体可请求删除。

问题

对于个人信息的删除问题,在何种场景下应当采取删除处理已经较为明确,但仍存在两个问题:

01

删除义务的豁免条件

《个人信息保护法》在第47条仅以“法律、行政法规规定的保存期限未届满”以及“删除个人信息从技术上难以实现的”两类兜底式规定予以描述。对于前者,由于对个人信息保存期限的规定在法律和行政法规中较为分散,个人信息处理者容易遗漏某一情形;而对于后者,定义的不清晰使企业在实践中很难举证说明删除在技术上难以实现。

02

合规的删除方式

当删除义务的豁免条件无法适用,企业应该依法删除个人信息。合规的删除方式的选择是企业实务中的一个难点。

 

解决方案

1、法律、行政法规规定的保存期限未届满

本项主要指,即使在发生《个人信息保护法》所规定的应当删除的情形,如果在法律和行政法规规定了对某类信息进行保管的要求和保管期限,也应当遵守法律行政法规的特殊规定对个人信息予以保存,这需要援引其他法律、行政法规进行体系解释和论证(如下表)。

 

2、删除个人信息从技术上难以实现

“删除个人信息从技术上难以实现”本身是一个需要结合具体技术和业务场景加以权衡、判断的事实。可以说,立法者在保护个人信息主体的删除权的同时,也旨在平衡个人信息处理者的利益,以相对灵活的替代措施避免机械地要求履行删除义务可能给个人信息处理者创造“不可能的任务”。在实践中,一项或一类删除是否在技术上难以实现,看起来是一个“事实问题”,但需要结合技术和业务场景综合判断,这意味着可能掺杂了利益和价值考量,因而天然存在边界模糊的问题。而且掌握技术和经济实力的个人信息处理者显然要比个人信息主体要更具有话语层面的优势,因此本项也成为了企业论证其不删除而采取替代措施之合理性的一个重要论据。

3、删除方式的选择

对个人信息的删除,是对个人信息的实际抹除或清空,需要根据个人信息的不同载体,采取不同的删除方式。对于以非电子化方式记录的个人信息,如纸质的人员名单、工资条、外卖单,可采用裁纸机或人为毁损等物理销毁方式,使其不可识别和使用,达到“删除”的效果;对于以电子化方式记录的个人信息,在当前广泛使用的数据库技术以及传统数据使用习惯上,电子信息的“删除”往往只是使用状态符进行标记,使标记后的电子信息不能被前端系统检索到,但该信息仍然存在于后端数据库当中。这就是对电子信息的逻辑删除。

 

 逻辑删除,是指使用状态符对该电子信息进行不可用标记,但仍然在一定权限下直接识别和使用。

 

 

■ 物理删除,是指从文件系统中清除或数据库中执行delete等语句,使其无法直接被识别和使用。

 

但是物理删除并不是最终的状态,在计算机的存储介质中对电子信息执行物理删除只是将其从目录列表除名,如日常在计算机上执行“清空回收站”命令。在执行“删除”命令后,该电子信息仍然可以被恢复,就如同硬盘恢复一样,可以恢复到一定比例的原电子信息。要达到彻底删除的效果,最有效的方式是重复多次的文件覆盖,但这种方式的成本也是最高的。

 

正因如此,在实践中,很多信息技术类企业对“删除”会有认识上的差异。《个人信息保护法》并未对“删除”进行具体的定义,但可以参考国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》3.10对“删除”的定义:“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。”。即删除需要达到不可用的状态。所以,对电子化的个人信息进行删除,无需追求重复覆盖的极端删除,但也不能采用仍然可识别和使用的逻辑删除,而应当采用物理删除的方式。

 

但信息的删除往往会影响企业业务的正常运作,那是否还有其他合法的替代方式?对个人信息的删除,实际上可以理解为,让个人信息不再“存在”。而所谓个人信息是指可以识别或关联到具体的自然人的各种信息,因此,如果对个人信息进行某种处理,使其不可识别或关联出具体的自然人,使个人信息“去个人信息化”,间接也就达到了使个人信息不再“存在”的删除效果。该种处理一般分为匿名化处理和去标识化处理。但在不同国家的法律制度下,对这两种处理方式有不同的适用效果。如CCPA认可去标识化可以达到“去个人信息化”的效果,即不再将其视为个人信息,因此去标识化也可以间接达到“删除”效果。但在中国和欧盟的法律体系下,法律要求更高,认为只有通过匿名化处理才能达到“去个人信息化”的效果。

本文来源于北源律师事务所《个人信息保护合规白皮书》