◎ 文 《法人》全媒体记者 银昕

“之前的立法比较概括，提出的是原则性要求，这次对个人信息删除权作了迄今为止最细致的规定，而且还规定了平台不提供删除功能将会面临的处罚。”11月22日，通信行业观察家项立刚就《网络数据安全管理条例(征求意见稿)》(下称“征求意见稿”)的发布，对《法人》记者说。

个人信息删除权最早出现在网络安全法中，其后，在民法典、个人信息保护法中也有相关规定。而此次的征求意见稿，对个人信息删除权作出了更为细致的规定，如个人有权提出查阅、复制、更正、补充、限制处理和删除其个人信息的合理请求，数据处理者提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注“之前的立法比较概括，提出的是原则性要求，这次对个人信息删除权作了迄今为止最细致的规定，而且还规定了平台不提供删除功能将会面临的处罚。”11月22日，通信行业观察家项立刚就《网络数据安全管理条例(征求意见稿)》(下称“征求意见稿”)的发布，对《法人》记者说。

个人信息删除权最早出现在网络安全法中，其后，在民法典、个人信息保护法中也有相关规定。而此次的征求意见稿，对个人信息删除权作出了更为细致的规定，如个人有权提出查阅、复制、更正、补充、限制处理和删除其个人信息的合理请求，数据处理者提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能，且不得设置不合理条件等。

尽管个人信息的删除权已多次出现在前序法律法规中，但习惯了数字经济的大多数互联网用户，对个人信息的删除以及撤回同意，仍十分陌生。

想“被遗忘”有多难?

记者使用自己的个人账号在某支付平台、某打车平台和某外卖平台提出删除个人全部信息的申请，得到的回复大同小异。

某打车平台的用户界面中未提供删除全部个人信息的选项，记者联系客服专员，对方给出的解决方法是：将账户注销。“如果账户被注销，所有的个人信息、打车信息和支付信息都不会存在。”但是，记者最终也没能找到在保留账号的前提下，删除全部个人信息的办法。

某外卖平台的用户界面也没有提供删除个人信息的选项，记者从客服专员处了解到，该App目前可以逐条删除每一笔订单的消费记录(不可一次性打包删除，只能手动逐条删除)，也可以删除全部浏览行为的历史记录，但若想删除全部个人信息，也只能注销账户。

某支付平台的界面提供了注销账户的选项，客服专员表示，只能通过注销账户的方式删除个人信息，不存在保留账户的前提下一次性打包删除个人信息的选项。

以上现状意味着，目前离个人信息删除权的真正落地，尚有一段距离。

中国政法大学传播法研究中心副主任朱巍对记者表示，所谓个人信息删除权，可以类比欧盟《通用数据保护条例》在立法过程中一直强调的“被遗忘权”理念。“在数字经济发达的时代，我们的行为无时无刻不被记录着，每个人都被迫行使了被记录权，所以此时应该更多地强调‘被遗忘权’。”

朱巍认为，所谓“个人信息”，在范围上应当有所圈定。“我理解的个人信息，是指能直接识别到具体自然人的信息，比如某张订单上标明的物品购买者的姓名、手机号码和家庭住址;但如果把这些能直接识别出自然人的个人信息删掉，只留下这张订单，商家依然能够看到是某人买了这些物品，但无法识别出究竟是哪个自然人买的，这种匿名化的处理方式是可以被接受的，而匿名化之后的订单信息不属于个人信息，不必删除。”

用户数据到底是谁的?

个人信息删除权，最早出现在2017年施行的网络安全法中。该法第四十三条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息。

一年后，2018年5月1日生效的《个人信息安全规范》，再度出现个人信息删除权的内容，但该规范中删除权的实现是有前提的：当信息收集者违反了有关法律法规，或违反了与被收集个人的约定时;当信息收集者违背了与个人的约定将个人信息转移至第三方时;当信息收集者违反与个人的约定，对外公开披露个人信息时，删除权得以行使。

民法典第一千零三十七条规定，自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

今年11月1日开始施行的个人信息保护法第四十七条规定，当信息被处理目的已实现、无法实现或者为实现处理目的不再必要时，个人信息处理者停止提供产品或者服务，或者保存期限已届满时，个人撤回同意时，个人信息处理者违反法律、行政法规或者违反约定处理个人信息时，个人有权提出删除。

个人信息删除权的这几次出现，第二次是出现在一项国家推荐性标准中，没有法律效力，其他三次出现在法律中，但只规定了原则，没有实施细则。但这次征求意见稿明确规定了数据处理者对个人行使删除权所应尽的义务和提供的技术配合，还规定了一旦没有做到，所面临的具体惩处措施。如，第二十三条规定，数据处理者除了提供删除个人信息的功能外，还被要求在个人信息主体提出删除要求的十五个工作日内处理并反馈。并且在第六十一条规定，一旦违反了第二十三条，数据处理者面临的处罚：由有关部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务;拒不改正的，并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

用户的数据到底是谁的?这个问题一度是数据行业的“灵魂之问”。2021年数据安全法实施之后，上海数据交易中心CEO汤奇峰对记者表示，数据安全法给这个问题提出了新的思路：不再问数据的主人是谁，而是追究一旦在某个环节出了问题，该由谁负责，负多大的责。“数据安全法的立法思路是不再纠结于数据到底归谁，而是聚焦于数据产生和流转的全生命周期，在哪个环节出了问题，该由哪些责任主体来承担责任，以此来解决数据安全的问题。”汤奇峰说。

然而，在删除权的问题上，中国法律法规似乎依然遵循着“数据归用户所有”的逻辑。项立刚对记者表示，征求意见稿对个人信息删除权之所以有如此细致且易于落地的规定，就是为了保护用户对个人信息的所有权和控制权。“由用户的行为产生的数据，当用户不想继续被数据处理者使用时，自然可以提出删除要求。”项立刚说。

何谓真正删除?

另一个问题是，在信息爆炸的时代，将个人信息彻底删除，在技术上究竟能不能实现?

一位不愿具名的某网站技术部门负责人对记者表示，很难真正销毁一段数据。“就像我们在电脑上删除一个文件一样，表面上删除了，其实只是被挪到了回收站里而已;即便回收站被清空了，通过残留的注册表信息，依然可以复原，这都不叫真正的删除，只是改变了数据的显示方式而已。”

这位技术部门负责人还说，特别是在“得数据者得天下”的大数据时代，由于利益的驱动，各商家都希望尽可能多地掌握用户的个人信息、浏览记录、消费偏好和消费记录等，帮助用户彻底抹去一段数据，不符合数据处理者的商业利益。“最让人担心的是，表面上个人行使了删除权，实际上个人信息并未被彻底删除。”

项立刚则认为，当监管的压力增大，特别是一些个案纠纷的发生客观上起到推动作用之后，这个技术问题其实不难解决。“一旦出现争端和诉讼，监管部门随后介入，会倒逼数据处理者做到真正意义上的删除。”

技术之外的问题也不容忽视，有法规明确规定，某些信息必须至少保存三年。如国家市场监督管理总局《网络交易监督管理办法》第三十一条规定，网络交易平台经营者对平台内经营者身份信息的保存时间自其退出平台之日起不少于三年，对商品或者服务信息，支付记录、物流快递、退换货以及售后等交易信息的保存时间自交易完成之日起不少于三年。朱巍告诉记者，这项规定是为了监管部门在争议发生之际有证可查。

“我认为可以这样解决：当用户提出删除的要求后，这些信息立即停止在商业上的使用，存入另一个专门的数据库中继续保留，而这个数据库须满足一定条件才能开启，如发生交易纠纷需要取证，或公安机关调查相关案件时提出取证要求等。”朱巍说。

(责编 惠宁宁)