作者:赵精武 助理教授,博士,工业和信息化部工业和信息化法治战略与管理重点实 验室办公室主任
唐浩隆 工业和信息化部工业和信息化法治战略 与管理重点实验室助理研究员
本文来源:《重庆邮电大学学报》
《网络数据安全管理条例》,首次将个人信息删除权与账号注销进行关联,凸显了账号注销的体系性地位。账号作为用户访问手机移动应用的主要媒介,集成了大量用户在使用移动应用过程中主动提供、被动获取和自动生成的个人信息。用户常通过账号注销的方式切断与运营者之间的联系,以期保护个人信息与财产安全,但账号注销仍存在主动注销复杂、被动注销缺位以及注销后信息处理模糊等难题亟待解决。结合我国当前的立法现状以及域外被遗忘权制度的实践经验,我国账号注销管理制度的建构应当以释法取代立法作为有效的解决方案,围绕《个人信息保护法》第四章所规定的权利体系,构建以知情为引导、以删除为核心、以查阅为保障的流程化账号注销行为规范,以此解决账号注销过程可能存在的信息泄露风险。
一、“账号注销权”在个人信息保护体系中的体系定位
软件开发包技术的发展使得个人信息保护面临严峻的挑战,主流移动应用平台为了方便用户使用、提升用户黏性,皆支持第三方账号快捷登录。例如,使用微信账号可登录今日头条、WPS办公和饿了么等软件;支付宝账号也可登录包括网易云音乐、优酷和淘票票在内的各类平台。账号在当今互联网社会中具有无法忽视的地位,其使得用户能够便捷、快速地访问移动应用,移动应用可根据账号识别当前正在使用应用的主体,从而提供更多个性化、定制化的服务。但账号为用户带来极大便利的同时,也为个人信息保护带来诸多现实问题:信息处理者将从账号中抓取到的碎片化信息不断地组合与衔接,从而形成用户的数据画像,用以指导产品更新、商业宣传甚至是营利活动,不断地通过侵害用户个人信息及隐私权的方式为企业发展谋求利益。面对此种现状,用户除了以“知情同意”规则保护个人信息不被超范围、超目的收集之外,账号注销也顺势成为用户保障个人信息“私密性”的重要工具。通常意义上的账号注销被理解为代表用户数字身份的“账号”被信息处理者从其账号列表中彻底删除,包括用户公开发表的言论以及使用轨迹,但在产业实践中,信息权利主体与信息处理者对于账号注销的实际内涵却存着截然不同的理解方式。一方面,《个人信息保护法》的第四章“个人在个人信息处理活动中的权利”明确规定了用户有权要求平台删除其个人信息,但在实践层面,账号注销与个人信息删除之间的实际效果并非完全等同,注销的结果可能仅仅只是账号的不能使用,而用户在平台内部的个人信息并未被彻底删除,因为账号既然已经注销,这些账号承载的使用信息本身也实现了“去标识化”,无法再与特定自然人直接或间接关联,不属于法定的个人信息范畴。另一方面,平台往往倾向于在“用户注册协议”“平台服务协议”等平台规则中明确提及账号的所有权归属平台,用户仅享有使用权,出于日活跃数的商业需求和企业虚拟财产权保护的需要,平台往往未将账号注销与个人信息删除直接挂钩,反而将账号使用期间形成的使用信息收归至平台自身的数据存储中心,以之作为用户画像算法分析的数据资源。总结而言,虽然目前信息处理者普遍认可用户享有“账号注销权”,但这种“账号注销权”也仅仅停留于字面意义上的注销,即账号注销后,平台其他用户确实无法获知该账号的使用行为轨迹,用户在使用账号期间所形成的个人信息仍然存留于平台数据库以及与数据接口相关联的其他平台数据库。换句话说,在现有的账号注销业务体制下,账号集成数据反而因为用户的注销行为脱离了监管范畴,以更加隐秘化、便利化的方式被平台使用和分析,且对于用户而言,账号注销之后只能了解到账号的不可用,至于账号内的信息和数据是否真正从平台数据存储中心被删除则无从得知。
二、“注销权”的实践模式与制度空白
我国有关账号注销的相关规定可追溯至2013年工信部颁布的《电信和互联网个人信息保护规定》,其中第9条第4款明确规定,在用户终止使用电信服务或者互联网信息服务时,电信业务经营者、互联网信息服务提供者应当停止继续收集或使用个人信息,并且有义务根据用户请求提供注销号码或账号的服务。之后,《网络安全法》在第22条、第40条、第42条和第43条等条款中将个人信息处理的全部环节均纳入网络运营者的法定义务范畴之内;《民法典》则在第1037条中直接言明自然人有权在“违反法律、行政法规”或“双方约定”两种情形下要求信息处理者删除其个人信息;《个人信息保护法》在第47条中规定了信息处理者删除自然人个人信息的五类法定情形。此外,国家标准《信息安全技术个人信息安全规范》对于个人信息主体注销账户进行了一些细节性规定,包括账号注销的处理时间、身份核验的限制、注销账户后个人信息的处理等,进一步完善了用户账户注销的保护。
在实践中,《网络数据安全管理条例》凸显了账号注销的体系性地位,明确要求数据处理者应当提供账号注销的途径和方法,并且不得通过设置不合理的条件以限制账号注销。从体系上看,账号注销与其他的个人信息处理方式并列,作为互联网个人信息处理中的特殊问题,其地位得到了前所未有的重视;从功能上看,账号注销与个人信息的处理形成有机互动,为账号注销后个人信息的删除提供了规范支撑。但是,该条例仍未明晰账号注销的定位与建构方式。例如,账号注销与撤回同意究竟是并列关系还是包含关系或是重叠关系,仍需讨论;又或者,账号注销作为一项问题的集合,其贯穿数据的收集、处理与删除全过程,该条例简单地将账号注销与数据处理周期的最后一环——删除进行关联,而删除与账号注销之间的关系并非简单的对应关系,需要进一步明晰。因此,各大平台运营者频繁在用户协议和隐私政策中重新调整用户注销账号的权利及其行使方式,但严苛的条件、烦琐的注销流程、隐蔽的注销按钮实质上阻碍了账号注销权达成预期的个人信息保护目标。更重要的是,平台规则中的“账号注销权”并不真正等于《个人信息保护法》中的“删除权”,在一定程度上,账号的注销仅仅是“关闭”,而不是“退出”。
主动注销模式
从用户主动发起注销的角度看,账号注销的操作烦琐且条件严苛。从操作方式入手,虽然各大移动应用都设立了相应的模块以供用户注销账号,但在具体的操作过程中,用户注销账号并非易事,注销入口深藏于应用深处,基本上都位于四级菜单下,这意味着用户需要凭借敏锐的眼光和多次的点击,才能找到位于庞杂的系统选项中的账号注销入口。更有甚者,例如拼多多,则直接将账号注销的功能隐藏在了在线客服对话之中,并且在用户请求账号注销时多次弹出不相关内容以阻碍用户注销账号。即便用户通过烦琐操作成功进入账号注销模块,随之而来的是多项严苛的注销条款。除滴滴出行与支付宝外,这几款应用均在用户注销界面罗列了大量不平等的账号注销条件,明确告知用户如果不根据列出的条件进行操作,账号注销后产生的任何风险与该应用无关。最为典型的表现是,大部分应用没有在用户注销时为其提供该账号在使用期间的第三方授权列表或绑定列表,却都为用户设置了注销账号时应自行“与其他APP网站的账号解绑”“清空站外授权关系”等不合理条件,并声称因未解绑或解除授权而发生的损失,APP公司不承担责任。
被动注销模式
被动注销指非基于用户自身意愿而发起的账号强制注销。在展开调研的十款移动应用中,无一例外都规定了账号被动注销的适用条件,但大部分又都局限于用户违反法律法规或协议这两类情况,由此看来,现行互联网环境下,被动注销账号并删除相关的信息仅仅是互联网公司用来保证应用合法运营的手段之一, 并未得到重视,更没有将其视为保障用户个人信息的武器。在十款移动应用中,仅有新浪微博与高德地图从保护用户个人信息的角度设立了被动注销。新浪微博用户协议规定:“当用户90天连续不登录账号时,用户的账号将被注销”;高德地图也作出了类似的规定,并将时间延长为6个月。
在手机号码与用户账号结合日益紧密的现实环境下,通过被动注销保护用户信息安全更具意义。为方便用户使用,几乎所有的移动应用都提供手机号登录服务。根据运营商的规则,手机号码更换后经过一定时间将会被重新投入市场,如果旧号主在弃用手机号时未解绑相应的用户账号,那么,新号主即可使用该手机号登录旧号主的应用账号,从而使用、转移该账号内的财产。通过搜索引擎检索关键词,支付宝、京东和美团等都有过因手机号码未解绑弃用而造成损失的案例,数额从几千至几十万不等,媒体在报道这些事件时习惯性地将矛盾引向新旧号主之间,进而忽视了互联网公司在其中的关键地位。更换手机号时倘若不解绑账号,那么,在该手机号被运营商回收并投入市场后,该手机号所有人通过短信登录的方式即可再次唤醒沉睡的账号,从而使用或窃取该账号内的个人信息与财产。由于手机号回收与再投入需要经过一定的周期,互联网公司通过用户长时间未使用等条件来综合判断该账号是否已经被弃用从而注销账号,不失为保护个人信息的良策。但遗憾的是,在目前的互联网环境中,关于被动注销的规定还不成熟,更不必说解决手机号与账号之间的矛盾以及被动注销后信息的特殊处理了。
个人信息处理模式的模糊化
事实上,已经有学者注意到国内APP普遍存在数据清除、留存和后续使用不透明的情况,注销残留的问题广泛存在,如部分APP在隐私政策的上文承诺删除用户相关信息的同时,在其下文又指出将会保留部分信息。随着国家监管力度的加强和网络用户的呼吁,网络运营者不断尝试更新用户协议和隐私政策中有关个人信息数据处理的条款,但遗憾的是,若以实践的眼光审视相关条款,大部分账号注销条款实际上是一种规避,没有直面个人数据处理问题,用户空有利剑却无法施展。一方面,众多网络运营者在隐私政策中均表示要对个人信息进行删除,但“删除”的语义并不清晰,究竟是从数据库中以清空的方式彻底删除,还是适用目前较为流行的去标识化、匿名化手段,相关的隐私政策并没有作出具体明确的规定。部分移动应用对于信息删除的方式给予了较为直接的回应,例如,京东、淘宝和高德等公司在隐私政策中注明,相关的个人信息删除是指从前台系统中切断其他用户可检索到相关信息的途径,该种方法类似于为用户信息加盖了一层遮罩,并未对个人信息进行任何“删除”的处理,这实际上是对从数据库中彻底删除信息或匿名化处理信息的变相否认,相关的个人信息数据仍然留存在互联网公司的数据库中,并存在泄露的风险。另一方面,账号注销后,个人信息的处理缺乏反馈机制,颇有薛定谔的猫之韵味。在用户使用移动应用时,账号是移动应用识别当前使用者的唯一途径,一旦账号被注销,即关闭了用户访问移动应用的渠道,其不能自行访问应用检索相关信息是否被删除,互联网公司更无法提供相应的文件以证实数据被删除。因此,互联网公司能否真正实现其在用户协议和隐私政策中为网络用户许下的美好承诺,用户不得而知,也无从得知。
此外,以SDK技术为代表的信息技术创新更是加剧了账号注销与个人信息删除之间的目标偏离。在SDK技术的支持下,虽然主账号可以登录第三方移动应用,但访问该第三方应用的不是主账号,而是通过主账号创设的授权账号,虽然必须通过主账号才能访问授权账号,但两个账号之间的个人信息相互独立。因此,在主账号被注销后,被授权的移动应用能否同步处理用户数据,仍旧存疑,遗留了信息泄漏和被恶意利用的隐患。大部分的互联网公司在隐私政策中没有对第三方删除相关个人信息作出具体规定,而是将责任转移给第三方和用户,主张第三方是否删除相关个人信息、如何删除相关个人信息需要根据对应的隐私政策,并由用户自行通过第三方平台申请删除,以上规定导致了账号注销后的个人信息删除缺乏实践上的有效性和彻底性。由于网络运营者制定的隐私政策具有抽象性和模糊性,加之在其中参杂许多冗长繁杂的干扰内容,用户对于自身哪些个人信息被第三方机构收集、收集后如何使用等情况知之甚少,更无从对自己的信息加以控制,只能被动地等待损害的降临。同时,网络运营者并没有在注销的过程中提供该账号曾接入的第三方的名单,用户通过回忆曾使用过何种APP从而自行处理相关个人信息无异于大海捞针、事倍功半。
三、从账号注销到删除个人信息:
删除的正当性基础与注销的方式选择
账号注销后删除个人信息的正当性基础
账号注销到底是以账号本身的删除为限,还是以账号及其使用信息的删除为限,其问题的答案在于如何理解账号注销权的正当性基础,即账号注销需要删除用户个人信息的法律依据究竟是什么。在学界主流观点中,“账号注销权”的直接依据通常被认定为个人信息删除权,进一步而言,这种权利的根源来自自然人有权决定自身在网络空间数字身份及其活动轨迹的私密程度。之所以没有将学界主流观点所主张的信息自决权作为账号注销需要删除个人信息的理论基础,其原因在于商业实践中真正控制个人信息去向以及处理方式的法律主体是信息处理者,自然人所能“自我决定”的范围着实有限。与其说自然人能够决定个人信息处理方式,倒不如说自然人能够决定外界环境在何种程度了解自己的身份信息和行为轨迹。账号注销权所能实现的法律效果正是保障用户自行决定“重置”自己的网络空间数字身份的权益。如果仅删除账号这一数字身份而不删除其内的个人信息,则可识别特定自然人身份信息或行为信息的可能性并没有消除,外界对用户的数字身份认知并没有发生实质性变更,自然人也无法改变外界环境对自身数字身份的了解程度,显然与账号注销的真正目的相悖。所以,信息处理者在注销账号之后删除个人信息并不是扩大“注销”的实际含义,而是对立法目标的一致性保护。
此外,账号注销后删除个人信息即是自然人撤回同意的必然结果。网络账号运营者在用户使用的过程中能够收集用户信息数据的原因来自用户本人的知情同意。知情同意作为个人信息保护的最基本的原则被规定于2013年的《电信和互联网个人信息保护规定》”中。《网络安全法》则在此规定的基础上有了进一步的完善,从而确立了我国个人信息收集使用的重要原则:知情同意原则[7]。不论是用户主动提供的姓名、地址或身份证号,还是通过技术抓取的用户的位置、浏览记录甚至是隐私信息,都在知情同意原则的荫蔽下成为了网络账号运营者合理合法的信息数据。用户的同意包含两个方面:一方面是同意;另一方面是数据控制者有权随时撤回其同意。当用户撤回同意后,网络账号运营者收集的个人信息便失去了合法性与正当性,应当被删除。撤回同意作为数据主体行使删除权的类型之一,已经被规定在了欧盟《通用数据保护条例》中,并在欧盟的范围内得到广泛适用。并且,《个人信息保护法》确立了以“告知-同意”为核心的个人信息处理规则,如果网络账号运营者需要处理个人信息,应对用户进行充分的告知并取得其同意,且用户可以随时撤回其先前对于其个人信息处理作出的意思表示。同时,法条也完善了有关删除权的规定,撤回同意获得了立法背书,正式成为用户可以要求删除个人信息的理由之一。互联网公司的垄断地位使得个人信息收集规定几乎成为霸王条款,如果用户不同意相关的个人信息收集规则,就无法正常使用账号服务,其同意与否的选择权名存实亡,使用账号与同意个人信息收集规定实际上形成了无理的绑定。在这种情况下,网络账号运营者并没有为用户构建撤回同意的渠道。因此,当用户账号注销时,应当推定为撤回了对网络账号运营者的同意,后者应当落实删除个人信息的要求。
账号注销后个人信息删除的基本方式
1.个人信息处理手段的类型化分析
账号注销后最为关键的问题是个人信息何去何从,而目前对于个人信息的处理,主要有删除和匿名化处理两种手段。同时,冻结作为目前网络账号运营者在账号规制过程中的一种常用手段,可考虑适用于某些类型的被动注销。
删除是用户账号注销后个人信息处理的最基本、最常用的手段,最新《个人信息安全规范》对删除进行了详细的阐释。根据《规范》中的思想,当个人信息无法被其他用户检索或访问时,就达到了删除的标准。《规范》借鉴了GDPR中被遗忘权的相关做法,保障了用户的人格权益。但前文已经论述,账号注销应当将保护信息数据的安全作为目标,仅在业务系统中删除相关信息的做法无法应对数据库泄露的危险。《规范》中的具体要素也较为模糊,不可访问、不可检索的主体并不清晰,如果主体是其他用户,那账号在使用过程中收集的传感器数据、使用偏好或个人住址等本就无法在业务系统中被其他用户检索和访问,删除的规定失去了针对性。因此,在账号注销的这一特定领域,删除应当是指通过不可复原的手段将账号信息数据从互联网公司的数据库中清除,其他用户以及公司内部工作人员都无法检索、访问。
匿名化是大数据时代个人信息处理的新路径。匿名化是指通过对个人信息的技术处理, 使得个人信息主体无法被识别, 且处理后的信息不能被复原的过程。在GDPR规定中,被匿名化处理之后,数据不再被纳入个人数据的范围之中,此类数据不必再遵循GDPR中的要求,相应的数据控制者则能够较为自由地使用匿名化的数据;在《网络安全法》第42条的规定中,无法识别特定个人且不能复原的信息可以不经过用户同意便可使用,个人数据匿名化利用已具雏形;2020年新版的《个人信息安全规范》则明确将匿名化处理后的信息排除出个人信息的范围之外。基于法律法规的认可,大部分网络账号运营者都将其作为个人信息删除的最主要形式之一,其既能保护信息安全,又能提高企业数据使用效益。但在具体的操作过程中,应警惕不彻底的匿名化,匿名化应当与假名化、去标识化进行严格的区分,后二者无法真正起到保护用户信息数据安全的作用。作为等于删除的信息保护手段,匿名化处理必须达到不能被识别的标准,具体包括仅从该数据本身无法指向特定的个人和结合其他数据也无法指向特定个人。
冻结是一种基于删除与存储之间的个人信息处理手段,具体指网络账号运营者不得对已经收集的信息再进行处理。冻结实际上使得账号以及网络账号运营者的数据处理保持相对静止的状态。对于网络账号运营者而言,其收集的个人信息仍然储存在其数据库中,只是无法再被使用,除非存在需要彻底删除的情形或其他的例外;而对于账号用户而言,冻结之后的信息数据仍有被再次使用的可能,极大提高了用户再次使用APP的便利程度。
2.账号注销处理方式的区分适用
账号注销存在主动注销与被动注销两种情况,应当根据不同的情况适用不同的个人信息处理方式。
首先,当用户主动请求注销账号或基于SDK授权取消被注销时,匿名化或者彻底删除信息可作为信息处理的默认选择;当网络账号运营者认为信息能够被彻底删除时,则可以使用删除的手段。反之,在网络账号运营者保证匿名化数据的安全以及不可能被再识别的前提下,可以将信息数据进行匿名化处理,最大化地合理利用信息数据,帮助其更好地适应市场竞争、进一步改良APP并逐渐增强用户体验,使个人成为数据时代的创造者、参与者和享受者。
其次,面对上述情况,为帮助用户更好地使用产品,增加用户回归的可能性,可为用户提供冻结个人信息的处理方式,用户可选择在注销账号后将其在该账号内的个人信息冻结,并将信息数据打包存储于数据库中。借鉴可携带权的理念,用户查看相应的信息清单,当下一次重新注册账号或更换APP使用时,可从数据库中激活或转移其曾被冻结的个人信息数据,APP即可根据相应的信息更好地为其提供个性化推荐与服务。在个人信息冻结期间,账号用户应自行承担泄漏的风险,网络账号运营者在未尽安全保障义务时承担相应的责任。
最后,对于注销长时间未登录以及违反法律法规账号的情形,运营者应先行冻结账号,并在向运营商确认相应的手机号确已被回收或确认相关违法证据已被保全后,作出信息删除或匿名化的处理。
3.账号注销后个人信息删除的限制
账号中集成的个人信息类型多样,在删除时无法回避个人信息与国家机关职能或社会公共利益等的冲突。有学者主张通过比例原则来缓解矛盾,但考虑到不同信息控制者对于比例原则的理解存在差异以及比例原则的成本,该方法具有一定的局限性。并非所有的信息在注销账号后都可以被删除,有必要对账号注销后信息处理的限制作出类型化界定以帮助网络账号运营者更有效率地处理信息数据。对于信息删除,应当明确的是,不论是个人账号还是法人账号,只要与人格权益相关的信息都可以被删除,但上述信息中,以下五类应当受到限制。
第一,基于合法行使职权的限制。基于功能定位,部分国家机关有时需要在职权允许的范围内采集账号中的个人信息数据,如公安机关为了抓捕在逃的嫌疑犯,可通过账号中收集的使用偏好、出行路线等信息数据辅助锁定位置;再如,为收集相关的犯罪证据材料,公安机关通过账号后台调取聊天记录等。为保障社会的平稳运行,国家机关为实现其特定功能而需要的个人信息不能够在账号注销以后被删除。
第二,基于公共利益需要的限制。账号注销后,为实现国家安全、社会保障等公共利益而收集和处理的信息也应当被限制删除。虽然部分信息数据可能与用户自身的隐私相关,但倘若此信息数据关涉全社会的共同利益,则应当予以保留。例如,在疫情防控中,出于保障整个社会的健康的目的而公布的确诊患者的出行轨迹等信息,即使相关账号注销,确诊患者的出行轨迹等这一类有利于疫情防控的信息也不能被删除。值得注意的是,在确诊患者账号个人信息让位于公共利益时,应严格保证其不相关信息的不被泄露,防止网络舆论的二次伤害。
第三,基于言论自由与公众知情权的限制。随着网络新媒体的发展,越来越多的政府部门开通了公众号、微博号等网络账号用以发布最新的政策或观点。对于那些行使公权力的国家机关工作人员来说,由于其特殊的身份地位,他们应当更多地满足社会公众对其言论或社会活动知情的要求,保护民众的信赖利益,即使注销账号,也不可主张曾经发布过相关信息的权利。此外,公众人物对账号中的信息数据应因为公众享有言论自由、舆论监督而受到一定程度的限制,公众人物对网民的知情权应负有一定的容忍义务。因此,当公众人物主张注销账号时,应当对其账号中的信息分而治之,对于其在使用过程中主动提供或被抓取的个人信息应当删除,而对其曾经发表的言论应当在公众人物的人格利益与网络言论自由的利益之间进行合理的利益衡量后再决定是否删除。
第四,基于履行法定义务的限制。网络账号运营者为了履行法定义务而保全必要的数据行为应作为账号注销后信息删除的限制之一。例如,当网络账号运营者发现某账号可能涉嫌毒品、色情或非法医疗等黑灰产交易,网络账号运营者在注销相关账号的同时可以保全相应的数据资料,这是运营者依法应尽的义务,无理由拒绝履行。如果用户在涉及黑灰产或非法言论的情形下能够通过注销账号要求删除相应的信息数据,互联网环境的治理将会笼罩着一层阴霾。所以,基于履行法定义务而对用户账号中的信息数据进行必要的收集和保全,这种数据处理行为可以直接产生对抗被注销账号带来的数据删除的效力。同时,某些法律法规也给网络账号运营者施加了保存信息的义务。
第五,基于账号相关信息对诉讼正常推进的限制。当前网络纠纷频发,在诉讼的过程中,账号中的数据信息作为关键性的证据可能会对起诉方或应诉方产生不利的影响,如果其采用注销账号的方式删除相应的账号信息,则会严重干扰诉讼的进程。具体而言,在诉讼程序进行过程中,诉讼当事人或代理人会基于证据保全以及庭审过程中举证等需要,调取涉讼账号的用户对话或使用痕迹等资料,有时甚至还可能涉及某些隐私数据等。因此,这类限制涉讼账号的信息数据删除就具备了正当性基础,这种正当性从根本上说赋予每个网络用户在自身权益遭到损害时获得保障的权利。同时,对于涉讼账号的信息删除限制不是毫无边界的,必须存在对诉讼走向起着关键性作用的信息数据的账号才能被纳入规制。
四、“账号注销权”在个人信息权利中的体系定位与嵌入方式
为应对复杂的网络环境以及日益严峻的信息泄露风险,通过立法设立统一的账号注销权确有必要。账号注销权以删除为核心,《网络安全法》《民法典》《个人信息保护法》中规定的信息删除的权利与账号注销密切相关,但删除权不等同于账号注销权。有学者主张账号注销权不是一项单一的权利,而是集合了用户知情、查阅、更正与删除等多项权利在内的复杂性权利。账号注销权旨在为用户提供事前、事中、事后全过程的动态保护,单一的删除权无法形成对用户信息的有效保护。但新兴权利的创设需要严谨复杂的论证过程,不仅需要考察新兴权利的立法面向,也要综合考量其司法面向,创设统一的账号注销权任重而道远。由于账号注销权的需求与创设之间仍存在一道鸿沟,为回应目前迫切需要解决的注销与信息风险之间的问题,可以考虑摒弃权利创设的立法面向,尝试通过理解即将生效的《个人信息保护法》中的相关条款,在我国专门注销权缺位的情况下,构建一个相对周延的用户注销规制。如若用户发生主动注销不能,或因网络账号运营者怠于行使被动注销而导致个人信息侵权,依据二审稿增加的规定,服务商应当承担其没有过错的证明的责任。
账号注销权的功能定位
账号注销的机制应是一整套完整的信息管理方案与数据处理体系,其定位是解决信息用户面临的后续数据清除问题,保护用户信息权益及个人隐私。账号注销的核心环节在于彻底清除账号在使用过程中集成的用户信息数据,而脱胎于欧盟GDPR的被遗忘权为该环节提供了有力的法律保障,具有比较和借鉴的价值。
1995年,欧盟在《欧洲数据保护指令》中确立了被遗忘权的最初形态,相关的信息主体可以在其个人的信息数据失去使用目的时向数据控制者提出删除的要求;2012年11月,GDPR的初稿公布时,在第17条正式设置“Right to Be Forgotten and to Erasure”,该条文规定信息主体有权要求信息控制者删除与其个人有关的资料,并特别强调被遗忘权适用于不满18周岁的未成年人。2016年4月,GDPR正式通过,其第17条直接规定为“Right to Erasure”,译为“删除权”,不再强调该权利对于未成年人的保护,主张信息主体有权要求任何已知第三方删除针对上述信息的所有复制和链接。该条列举了六种用户数据删除的情况:当数据收集的目的已经不再必要或被非法处理、用户撤回同意、行使拒绝权、个人数据被非法处理、遵守法定义务以及涉及为儿童提供社会服务信息时的个人数据处理,当满足以上任一条件时,用户数据应该被立即删除,不得无故拖延,其中,用户撤回同意下的删除权与用户账号注销直接相关。
GDPR不仅仅规定了数据控制者删除个人数据的义务,还规定了通知其他数据处理人删除相关数据的义务,与信息数据有密切联系的控制者以及数据的接收者都在被通知的范围之内,通过加重删除义务从而对信息主体进行全链条的保护。在GDPR的规定中,数据控制者的通知义务是一项不可推脱的法定义务,其与数据控制者的删除义务有着同等重要的地位,二者皆是被遗忘权的重要组成内容
被遗忘权为账号注销中的法律规制建构提供了良好的范本,但若将GDPR中规定的被遗忘权的相关条文适用于账号注销规制的建构,存在一定的局限性。需要明确的是,构建账号注销规制与被遗忘权存在主体、客体、适用条件和手段等方面的相似性,但二者的目标存在一定差别。梳理被遗忘权的历史沿革以及相关的制度发展,蕴含在被遗忘权背后的功能在于赋予信息数据主体抹除已经过时或不再相关的数据,被遗忘权是用户用来淡化曾经在互联网上留下的网络痕迹的方式, 被学者称为一种“抑制和删除信息获取渠道的权利”,其目的在于使得网络用户被网络社会彻底遗忘;而账号注销则是用户希望从互联网中全身而退的手段,用户通过注销方式销毁其曾在使用APP的过程中主动提供的或者被获取的所有个人信息数据和留下的使用痕迹,其目的不仅是希望在网络上销声匿迹,而且更是希望通过此方式对其个人信息和财产安全起到保障作用。
一方面,被遗忘权与用户注销对于数据控制者处理所掌握信息的程度要求不同。上文已经提到,被遗忘权旨在使用户无法再被网络社会检索,换言之,只要通过删除链接、屏蔽搜索等浅层手段使得用户的相关信息无法被检索,就能够落实被遗忘权。例如,在著名的“冈萨雷斯诉谷歌案”中,前者要求后者删除通过其姓名能够得到的检索结果,但其无法基于被遗忘权,要求原网站删除相关的事实报道。对于账号注销而言,个人信息删除的程度应当深于被遗忘权相关规定的要求,虽然如今网络信息技术不断发展,但网络技术的风险性大于安全性,仅仅删除表层系统中的相关个人数据,使其保持不可被检索、访问的状态无法对个人信息起到有效保护,从数据库中彻底删除或者进行匿名化处理才能保障个人信息数据的安全。
另一方面,被遗忘权相关规定对数据控制者设定了过于繁重的义务,如此视域下的账号注销,不利于互联网企业的发展。GDPR将通知的对象扩大到因为个人信息公开而获得这些数据的所有第三人, 这不禁让人对其合理性和可行性产生了疑问。试问,数据控制者如何知晓何人曾经接收过相关数据?即使能够通过某些特殊方式获取相关的信息,控制者如何通过有效的手段要求该数据接收者删除其所复制或下载的相关资料?从被遗忘权的立场出发,如此严苛的通知义务也能够被理解,在信息快速传播的情况下,也许只有通过如此严格的规定,才能使数据主体被网络社会彻底遗忘。对于账号注销而言,其最终目的是保护个人的信息安全,在此前提下,是否需要适用类似于被遗忘权中的通知义务的规定存在疑问,严苛的法律环境会给互联网公司的发展带来严重的负担,甚至直接影响其正常运营。账号注销中互联网公司应当承担通知义务,但仅限于通知与其有SDK服务协议的第三方授权公司,搜索运营者、网络用户等不应在被通知的范围之内。
账号注销权的内容建构与体系定位
第一,知情同意规则适用于个人信息处理的全生命周期,这显然囊括了个人信息删除环节,故而账号注销权的行使方式等信息理应以明确易懂的方式告知用户。《个人信息保护法》第44条规定了用户对其个人信息的处理享有知情权。根据知情权的内容,网络账号运营者在收集、处理和使用个人信息前,应当征求用户的同意,否则相关的数据行为不具有合法性。该条款既是个人信息保护中“知情同意原则”的具体体现,也是账号注销和删除个人信息的基础所在。在知情同意原则中,具体可分为告知规则与同意规则,告知有着与同意同等重要的地位。基于个人信息的告知规则,网络账号运营者应该在账号注销前对账号使用过程中涉及的个人信息的收集、使用、处理等行为进行充分的告知。账号注销前的过程包含账号注册阶段与账号注销启动阶段,告知原则在其中应扮演重要的角色。在账号注册阶段,网络账号运营者应当在隐私政策与用户协议中,对在不同使用阶段能够获取的数据进行充分的释明,也应当充分告知与网络运营者基于SDK产生授权的第三方应用以及详细的数据流转或共享情况,以上说明要以用户能够知悉的方式进行传达;在账号注销启动阶段,网络账号运营者应结合用户的使用情况,主动在用户注销的界面提供方便快捷的查阅通道,使用户在注销前能够充分知晓使用过程中所有被收集的个人信息以及所有实际接入的第三方,同样,此处也应该对账号注销后个人信息处理的方式进行充分释明。
第二,账号注销权的直接结果是用户数字身份的重置与使用轨迹的重塑,唯有删除个人信息才能够保障自然人不会被信息处理者以之前相同的方式提供重复的个性化服务形式。《个人信息保护法》第47条规定了个人信息处理者应当删除个人信息的5种类型,其中就包括用户撤回同意。前文已经论述,在账号与个人信息高度统合的情况下,当用户注销账号时,可视为对于先前发出的同意服务商对其信息进行收集和处理的意思表示的撤回。服务商接收到用户注销账号的请求等同于接收到了用户撤回同意的意思表示,故应当对信息作出删除或匿名化的处理。从保护用户的角度出发,《个人信息保护法》第44条中规定的“个人信息处理者”应进行扩大解释,其不仅仅包括提供注册账号的运营者,还包括基于SDK授权而产生的第三方网络账号运营者。故当用户发起注销账号的请求时,除了网络账号运营者需要履行相应的删除信息的义务之外,由SDK授权技术而产生的第三方网络账号运营者也应承担相应的删除义务。从具体操作角度而言,网络账号运营者接收到用户发出的注销申请后,应通知授权网络账号运营者删除相应的信息数据,后者在获知请求后应当协助网络账号运营者一同履行删除义务。若因授权网络账号运营者的删除不彻底而引发信息泄露或侵权的后果,网络账号运营者也应承担一定的责任。
第三,账号注销权同时还意味着自然人“查阅权”的延伸,即自然人有权在注销账号后核验相应的个人信息是否被删除。《个人信息保护法》第45条赋予了用户查阅个人信息的权利,除法律、行政法规规定应当保密或者不需要告知的个人信息外。个人信息的查阅是账号注销后的重要保障,用户在账号注销的前后都具有查询的权利。在账号注销前,可向网络账号运营者请求查询本人账号中所有的个人信息;在账号注销后,该条实际上赋予了用户一项“核验”的权利,用户有权就已经注销的账号中的信息数据删除与否向服务商发出核验的请求,服务商接收到相关请求后,应提供相应的信息。
同时,法条中使用了“个人信息”的表述,此处应当进行扩大解释,不仅仅包括个人信息,还应包括个人信息的处理方法,毕竟查阅权的本质是为了用户更好地了解个人信息被服务商所控制、处理的范围和程度,如果用户能在此基础上获知个人信息的具体方法,则能够更好地保护其信息数据。基于上述观点,不论是在账号使用的过程中还是账号注销后,用户都可向服务商发出查询个人信息的申请,收到申请后,服务商应当向用户提供一份明确的数据处理报告。如果用户的查阅申请是在账号使用过程中发出的,则服务商有义务明确账号收集的各类信息的具体内容;如果是在账号注销后发出的,则服务商应当提供详细的报告载明账号注销后哪些信息被删除或进行了匿名化处理、哪些信息被采取何种手段加以保留以及保留信息的原因;如果涉及第三方账号,还应反馈一份对于第三方的数据处理报告。
结语
互联网技术的发展与大数据时代的到来使得账号注销的问题变得尤为尖锐。在账号注销的立法方面,尽管部分法律法规和行业标准已经显露出对账号注销这一问题的重视,但零散与细碎的法条无法满足普罗大众的期待。在账号注销的实践方面,由于严苛的主动注销条件以及被动注销适用的局限性,账号注销成为难题,与此同时,账号注销后个人信息处理的模糊性与不透明性将用户置于财产权与隐私权的双重风险之中。因此,可考虑采用法律强制性规定与合同约定的双重路径对账号注销进行规制。行业标准也应尽快加以完善,督促服务商在隐私政策中予以具体规定。最后互联网巨头们在通过账号中的信息获取利益的同时,应当主动承担社会责任,在有利于企业发展的前提下,积极完善隐私政策中与账号注销相关的条款,推动互联网社会的积极发展。此外,相关政府部门可建立隐私政策与用户协议问题反馈渠道,负责处理服务商与用户之间包括账号注销在内的各种矛盾。惟其如此,才能推动账号注销法律规制的完善,形成积极有效的闭环,以适应和满足大数据时代对于个人信息保护的需求。
《数字法治》专题由华东政法大学数字法治研究院特约供稿。专题统筹:秦前松
免责声明:本平台仅供信息发布交流之途,请谨慎判断信息真伪。如遇虚假诈骗信息,请立即举报
举报