数安条例百问41、42、关于“删除”
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。
解读
“删除权”是个人的一项基本权利。正因为如此,《个人信息保护法》在第四章“个人在个人信息处理活动中的权利”中,通过第四十七条确认了个人信息的“删除权”:
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
《个人信息保护法》第四十七条的规定已经比较清楚,但实践中有三类问题还没有解决。
一是删除的时限。虽然法律明确了“删除权”,但个人信息处理者什么时候删除才是适宜的?如果花费个三年五载才删除,算不算?
二是账号作为个人信息的一种,其删除过程较为复杂,传统的删除个人信息要求未必适用。
三是除了《个人信息保护法》第四十七条规定的条件外,也可能还有需要删除个人信息的情形。典型如行车记录仪,其无法避免采集到路人的信息,这种情况怎么办?
为此,《条例》第二十二条对“删除”作了细化,其对删除或匿名化个人信息的条件并没有过多创设(当然,也有人认为重复《个人信息保护法》没有意义,这可以另行讨论),而是重点明确了删除个人信息的时限(十五个工作日),增加了删除账号的要求,并规定了使用自动化采集技术时对个人信息的处理要求。
有的人提出,为什么一定是“十五个”工作日?当个人信息处理者需要删除个人信息时,难道不是应当立即删除吗?
从当事人的良好意愿出发,当然是越快删除越好,特别是当个人信息处理者“违反法律、行政法规或者违反约定处理个人信息”时。但在实际操作时,往往会面临两类问题,一删了之可能有困难。
一是某账号还关联了很多行为,例如有贷款。那么在删除该账号时,还要确认其绑定的所有关联关系均已解除,这个过程较为耗时。
二是某账号可能是犯罪嫌疑人用来实施诈骗的,在完成犯罪行为后,其一般会主动提出删除,如立刻响应,恐对日后公安机关办案带来困难。有的人提出,这属于“法律法规另有规定”或“司法执法活动所需”的情况,本来就应该作为证据留存。实则不然,当某账号还没有被公安机关列为犯罪嫌疑人线索时,不能因果倒置来要求该账号以司法原因必须长期保留。
为此,《条例》从实际出发,提出了十五个工作日内删除或匿名化个人信息的要求,这是综合了保护个人权利需求(时间不能太长)与各种特殊情况(时间无法太短)的结果。
但考虑到即使延长到十五日,确实也还存在难以删除的情况。故《条例》进一步规定,删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
对应条款
第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
解读
“无法避免采集到非必要个人信息或者未经个人同意的个人信息”,这是《个人信息保护法》没有涉及的一种新场景。之所以增加这种场景,主要是考虑到了自动化采集技术应用越来越普遍的情况。
最典型的是行车记录仪,其在记录车况、路况时必然会拍摄到不相干的路人,这种情况不可避免,也不可能征得个人同意。事实上,这种场景的提出十分必要,毕竟个人信息保护的核心要求是征得“同意”,但除去例外情况(见《个人信息保护法》第十三条)外,仍有还一些场景是无法征得个人同意的。为此,有必要对这种场景下的个人信息保护作出规定。
《条例》第二十二条提出的主体要求是,在十五个工作日内删除此类个人信息或者进行匿名化处理。但事实上,很难对前述行车记录仪采集的个人信息作这样的处理。《条例》为此还进一步作了例外规定:如从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难,不得开展除存储和采取必要的安全保护措施之外的处理。这意味着,行程记录仪采集的信息正常存储即可,但不宜公开。如必须公开,应当对无关人员的个人信息进行处理,例如打马赛克。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
