扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
在数字信息技术高度发达的当下,公民的社会生活与互联网已经深度绑定。数字设备持续产生信息,每个人一切行动轨迹与社交图谱几乎都能以数字化形式记录,我们已经进入到一个一举一动都被数据记录和存储的时代,“数据化生存”成为我们每个人的真实写照。开放的社交平台、便捷的分享机制在丰富社会公众生活的同时,个人信息的抓取和采集也成为常态,数据隐私、信息安全以及算法偏见等问题也逐渐显现。每个人对自己的个人信息处理应当具有决定权,如果希望从数据平台“退出”或希望自己的信息“被遗忘”,这一意愿应当在依法、合理的范围内受到尊重。在我国法律中,有一项权利与此密切相关,就是个人信息删除权。
作为个人信息保护的一项重要权利,个人信息删除权旨在赋予公民对个人信息更多的选择权与控制权,使其能够在个人信息被滥用、过时或不再需要时,将其从网络环境中自由移除。《中华人民共和国民法典》(以下简称民法典)人格权编规定了个人信息的涵盖范围、处理个人信息的基本原则、免责条款、补救措施等方面的内容,并将个人信息删除权正式纳入法律规范之中。其具体表述为:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除”。《中华人民共和国个人信息保护法》在民法典的基础之上,进一步细化了个人信息删除权的规定。根据该法规定,信息主体可以在以下几种情况下行使删除权:当个人信息的收集、存储已达到目的或不再需要时,信息主体有权要求删除信息;若个人先前已同意信息收集,但之后撤回同意,则有权要求删除;当信息处理行为违反了现有法律或合同约定,个人有权要求删除相关信息;如果信息处理者超期保存个人信息,信息主体可以要求删除。此外,《中华人民共和国网络安全法》《中华人民共和国电子商务法》等法律对个人信息的收集和处理也作出了要求。在这些法律中,个人信息删除权被赋予了较为明确的法律地位,是公民在数字信息时代维护信息自主的重要体现。尽管个人信息删除权的相关法律保障已取得阶段性的进步,但在落实过程中,仍然面临诸多困难与挑战,主要表现在以下几个方面。
一是权利的行使范围不清晰。法律条文中虽明确了个人信息删除权的适用情形,但这些规定总体上仍然原则性较强,在实际操作中,如何界定“个人信息”的范围往往并不清晰。例如,在社交平台上,用户的文字、图片、视频发布后,除了直接的个人信息,还可能通过互动、点赞、评论等形成大量衍生数据,这些数据是否属于可以删除的个人信息范围,目前尚存争议。并且,信息在网络上可能被多次转载和传播,一旦传播链条过长,信息主体要求删除时可能无法完全追踪到所有传播节点,删除操作变得复杂而困难。
二是个人信息难以“彻底删除”。即使删除请求合理且符合法律规定,信息处理者在技术上如何实现“彻底删除”也是一大难题。在现代网络信息社会中,收集个人信息越来越容易,成本也越来越低,但是删除个人信息的成本却比较高。互联网数据的存储不仅仅局限于服务器本身,云存储、备份、缓存等多种技术手段的存在,使得数据即便被删除,仍然可能残留在某些存储设备或被第三方备份系统保存。因此在现有的技术条件下,有的个人信息难以做到彻底删除,或者需要付出高昂的成本才能删除。
三是面临跨境数据流动的监管难题。当前,个人信息的跨境流动成为常态。跨境数据流动的复杂性使得个人信息删除权的行使面临更多阻力。例如,当用户向平台提出删除请求时,该请求如何在不同司法辖区内得到有效执行,成为一个亟待解决的难题。
四是面临公民权利与责任的冲突。个人信息删除权的行使可能与公民的其他权利、义务产生冲突。例如,在一些司法程序中,某些个人信息作为证据需要保留,即便信息主体要求删除也无法立即实现。
面对个人信息删除权在实践操作中的诸多难题,提出切实可行的治理之策至关重要。为保障该权利在实践中得以充分行使,应综合考虑现有立法、技术进步以及监管单位的协作等要素,形成多元协同的删除权落实机制。
细化法律规定,明确权利行使的范围和程序。为了避免个人信息删除权行使中的模糊地带,法律和相关政策应进一步细化,明确哪些类型的信息属于可以删除的范围。例如,对于衍生数据、备份数据等复杂情况,应规定特定的删除标准和程序,以确保个人信息删除权能够更加精准、有效地实现。同时,简化权利行使流程,降低权利行使成本,促成信息主体积极主动行使权利。对于信息处理者不主动删除且无正当理由拒绝删除的,信息主体可以向监管部门投诉、举报,通过监管部门的行政执法促使信息处理者删除个人信息。监管部门应进一步构建事前、事中、事后全流程监管机制,通过严格执法,监督信息处理者履行删除义务。
加强技术手段,推动实现彻底删除的效果。删除个人信息不仅是法律层面的问题,更是一项技术挑战。例如,有的互联网公司在用户删除账户时,只是将数据标记为“不可见”而非彻底删除,这意味着数据仍然留存在系统之中,这种技术处理方式无法真正消除数据泄露的隐患。为了解决这个问题,信息处理者应不断优化数据存储机制,采用更加彻底的删除技术,确保数据在所有备份中都被永久移除。此外,政府也应加强技术标准的制定和监管,确保企业在个人信息删除过程中符合法律要求。
加强跨境合作与监管,推动全球个人信息保护标准化建设。针对跨境数据流动带来的删除权行使困难,国际合作与协调尤为重要。例如,欧盟于2016年通过的《通用数据保护条例》对“被遗忘权”作出了规定,一定程度上促进了企业改善数据管理流程。我国应进一步与其他国家、地区的监管机构加强合作,在跨境数据传输和处理上达成协调互认,形成共同的个人信息删除权执行机制,确保跨境数据删除的可行性和有效性。
平衡个人信息删除权与其他利益的冲突。在保障个人信息删除权的同时,也需要平衡好其他合法权益和社会公共利益。例如,对于可能影响司法程序或公共利益的个人信息删除请求,法律可以规定例外情形,确保删除权的行使不会妨碍其他正当权益。同时,信息处理者可以通过与用户签订更加明确的用户协议,告知信息保留期限和可能的例外情况,避免权利冲突。
(来源:学习时报)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
《中国信息安全》杂志倾力推荐
“企业成长计划”
点击下图 了解详情