数安条例百问41、42、关于“删除”

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第二十二条 有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理：

（一）已实现个人信息处理目的或者实现处理目的不再必要；
（二）达到与用户约定或者个人信息处理规则明确的存储期限；
（三）终止服务或者个人注销账号；
（四）因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
删除个人信息从技术上难以实现，或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要的安全保护措施之外的处理，并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。

解读
“删除权”是个人的一项基本权利。正因为如此，《个人信息保护法》在第四章“个人在个人信息处理活动中的权利”中，通过第四十七条确认了个人信息的“删除权”：
  
第四十七条 有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：
（一）处理目的已实现、无法实现或者为实现处理目的不再必要；
（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；
（三）个人撤回同意；
（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；
（五）法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
  
《个人信息保护法》第四十七条的规定已经比较清楚，但实践中有三类问题还没有解决。
  
一是删除的时限。虽然法律明确了“删除权”，但个人信息处理者什么时候删除才是适宜的？如果花费个三年五载才删除，算不算？
  
二是账号作为个人信息的一种，其删除过程较为复杂，传统的删除个人信息要求未必适用。
  
三是除了《个人信息保护法》第四十七条规定的条件外，也可能还有需要删除个人信息的情形。典型如行车记录仪，其无法避免采集到路人的信息，这种情况怎么办？
  
为此，《条例》第二十二条对“删除”作了细化，其对删除或匿名化个人信息的条件并没有过多创设（当然，也有人认为重复《个人信息保护法》没有意义，这可以另行讨论），而是重点明确了删除个人信息的时限（十五个工作日），增加了删除账号的要求，并规定了使用自动化采集技术时对个人信息的处理要求。
  
有的人提出，为什么一定是“十五个”工作日？当个人信息处理者需要删除个人信息时，难道不是应当立即删除吗？
  
从当事人的良好意愿出发，当然是越快删除越好，特别是当个人信息处理者“违反法律、行政法规或者违反约定处理个人信息”时。但在实际操作时，往往会面临两类问题，一删了之可能有困难。
  
一是某账号还关联了很多行为，例如有贷款。那么在删除该账号时，还要确认其绑定的所有关联关系均已解除，这个过程较为耗时。
  
二是某账号可能是犯罪嫌疑人用来实施诈骗的，在完成犯罪行为后，其一般会主动提出删除，如立刻响应，恐对日后公安机关办案带来困难。有的人提出，这属于“法律法规另有规定”或“司法执法活动所需”的情况，本来就应该作为证据留存。实则不然，当某账号还没有被公安机关列为犯罪嫌疑人线索时，不能因果倒置来要求该账号以司法原因必须长期保留。
  
为此，《条例》从实际出发，提出了十五个工作日内删除或匿名化个人信息的要求，这是综合了保护个人权利需求（时间不能太长）与各种特殊情况（时间无法太短）的结果。
  
但考虑到即使延长到十五日，确实也还存在难以删除的情况。故《条例》进一步规定，删除个人信息从技术上难以实现，或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要的安全保护措施之外的处理，并应当向个人作出合理解释。

对应条款
第二十二条 有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理：

（一）已实现个人信息处理目的或者实现处理目的不再必要；
（二）达到与用户约定或者个人信息处理规则明确的存储期限；
（三）终止服务或者个人注销账号；
（四）因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
……

解读
“无法避免采集到非必要个人信息或者未经个人同意的个人信息”，这是《个人信息保护法》没有涉及的一种新场景。之所以增加这种场景，主要是考虑到了自动化采集技术应用越来越普遍的情况。
  
最典型的是行车记录仪，其在记录车况、路况时必然会拍摄到不相干的路人，这种情况不可避免，也不可能征得个人同意。事实上，这种场景的提出十分必要，毕竟个人信息保护的核心要求是征得“同意”，但除去例外情况（见《个人信息保护法》第十三条）外，仍有还一些场景是无法征得个人同意的。为此，有必要对这种场景下的个人信息保护作出规定。
  
《条例》第二十二条提出的主体要求是，在十五个工作日内删除此类个人信息或者进行匿名化处理。但事实上，很难对前述行车记录仪采集的个人信息作这样的处理。《条例》为此还进一步作了例外规定：如从技术上难以实现，或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难，不得开展除存储和采取必要的安全保护措施之外的处理。这意味着，行程记录仪采集的信息正常存储即可，但不宜公开。如必须公开，应当对无关人员的个人信息进行处理，例如打马赛克。

【下期预告】
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？

  总编辑|小贝