趙精武

一、 問(wèn) 題 的 提 出

為應(yīng)對(duì)網(wǎng)絡(luò)平臺(tái)超范圍收集個(gè)人信息、在后臺(tái)私自收集個(gè)人信息、擅自向第三方主體共享個(gè)人信息等問(wèn)題，《網(wǎng)絡(luò)安全法》《民法典》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律相繼明確了信息處理者在信息收集、加工、更新、存儲(chǔ)、刪除等環(huán)節(jié)的個(gè)人信息保護(hù)義務(wù)和數(shù)據(jù)安全保障義務(wù)，(1)如《網(wǎng)絡(luò)安全法》第43條規(guī)定：“個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息?！薄睹穹ǖ洹返?037條第2款規(guī)定：“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的，有權(quán)請(qǐng)求信息處理者及時(shí)刪除。”但針對(duì)數(shù)據(jù)生命周期的最后一個(gè)環(huán)節(jié)“消滅”，立法者并未提供足夠明確且直接的義務(wù)性條款。雖然現(xiàn)行立法已經(jīng)明文規(guī)定了自然人享有刪除其個(gè)人信息的權(quán)利，而有關(guān)“刪除個(gè)人信息的實(shí)際范圍”“刪除義務(wù)的履行主體是否包含業(yè)務(wù)合作第三方”“刪除個(gè)人信息應(yīng)當(dāng)滿足何種一般性要求”等具體問(wèn)題并未得到真正解決。更重要的是，“刪除個(gè)人信息”在名義上雖以權(quán)利性規(guī)范的形式得到立法者的認(rèn)可，實(shí)踐中自然人在請(qǐng)求信息處理者刪除個(gè)人信息之后，卻無(wú)從確認(rèn)信息處理者究竟是否真正徹底刪除個(gè)人信息以及刪除信息的類型和范圍，更遑論業(yè)務(wù)合作第三方主體所獲取的個(gè)人信息是否已經(jīng)被刪除，法益保護(hù)目標(biāo)的實(shí)現(xiàn)與否在很大程度上依賴于信息處理者是否真正履行相應(yīng)的給付行為。國(guó)內(nèi)外主流的APP在其隱私政策中明確了用戶行使刪除個(gè)人信息權(quán)利的適用條件和具體行使方式，但均是以自然人主動(dòng)申請(qǐng)為前提，并沒(méi)有詳細(xì)提及用戶如何自行注銷賬號(hào)或者APP運(yùn)營(yíng)者將如何為用戶刪除其個(gè)人信息。(2)有學(xué)者在統(tǒng)計(jì)國(guó)內(nèi)外20款A(yù)PP隱私政策時(shí)發(fā)現(xiàn)，國(guó)內(nèi)外APP運(yùn)營(yíng)者在隱私政策中有關(guān)個(gè)人信息刪除權(quán)的內(nèi)容較為簡(jiǎn)單，未能向用戶提供明確具體的操作指引，且常常摻雜在冗長(zhǎng)的文字表述中，難以輕易理解刪除的方式和途徑。參見徐磊： 《個(gè)人信息刪除權(quán)的實(shí)踐樣態(tài)與優(yōu)化策略——以移動(dòng)應(yīng)用程序隱私政策文本為視角》，載《情報(bào)理論與實(shí)踐》2021年第4期，第89—98頁(yè)。由此可見，至少在商業(yè)實(shí)踐層面，尚未形成個(gè)人信息刪除的行業(yè)標(biāo)準(zhǔn)和商業(yè)慣例，其原因也很好理解： 在“流量為王”的時(shí)代，網(wǎng)絡(luò)平臺(tái)活躍用戶數(shù)量已經(jīng)與企業(yè)經(jīng)營(yíng)狀況和營(yíng)利方式直接掛鉤，賬號(hào)信息和個(gè)人信息的刪除勢(shì)必會(huì)影響到信息處理者的經(jīng)濟(jì)效益，在現(xiàn)行立法尚未細(xì)化“刪除權(quán)”具體內(nèi)容的情況下，采用相對(duì)模糊的隱私聲明條款更符合自身的商業(yè)利益。在此種立法背景下，不少學(xué)者開始嘗試細(xì)化刪除權(quán)的具體規(guī)則，或是主張以比例原則和公平原則作為刪除權(quán)客體范圍的認(rèn)定標(biāo)準(zhǔn)，(3)參見余筱蘭： 《民法典編纂視角下信息刪除權(quán)建構(gòu)》，載《政治與法律》2018年第4期，第26—37頁(yè)。又或是將刪除范圍解釋為“信息處理的相關(guān)性和必要性不復(fù)存在”的個(gè)人信息，(4)參見滿洪杰： 《被遺忘權(quán)的解析與構(gòu)建： 作為網(wǎng)絡(luò)時(shí)代信息價(jià)值糾偏機(jī)制的研究》，載《法制與社會(huì)發(fā)展》2018年第2期，第199—217頁(yè)。抑或是基于刪除權(quán)與被遺忘權(quán)的比較而將刪除范圍限定為“被自動(dòng)化處理的、無(wú)意識(shí)生成的個(gè)人信息和數(shù)據(jù)”。(5)參見王琰、趙婕： 《大數(shù)據(jù)時(shí)代被遺忘權(quán)的現(xiàn)實(shí)邏輯與本土建構(gòu)》，載《南昌大學(xué)學(xué)報(bào)(人文社會(huì)科學(xué)版)》2020年第6期，第103—111頁(yè)。學(xué)理上的解釋方案似乎正在為數(shù)據(jù)生命周期的末尾環(huán)節(jié)填補(bǔ)上最后的立法空白，但問(wèn)題的核心卻在于：“刪除”真的是個(gè)人信息保護(hù)體系的最后一環(huán)嗎？或者說(shuō)，“刪除”是否真的意味著個(gè)人信息歸于消滅？

在《辭?！分校皠h”即指消除，“除”即指去掉，若將其置于個(gè)人信息保護(hù)語(yǔ)境下，“刪除”所對(duì)應(yīng)的技術(shù)措施顯然只要滿足個(gè)人信息已被去除的效果即可，而銷毀意味著數(shù)據(jù)生命的終結(jié)，二者的語(yǔ)義涵攝范圍存在差異；同時(shí)，在《個(gè)人信息保護(hù)法》中，刪除個(gè)人信息的適用情形是以信息處理者喪失合法處理個(gè)人信息的正當(dāng)性基礎(chǔ)為前提，刪除的目的是滿足“合法正當(dāng)”之原則，而非直接對(duì)應(yīng)數(shù)據(jù)生命周期的最后環(huán)節(jié)。2021年9月30日，工信部發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》，首次提出“數(shù)據(jù)銷毀”的概念，其數(shù)據(jù)生命周期也未沿用現(xiàn)行立法常見的“收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等”，而是表述為“數(shù)據(jù)收集、存儲(chǔ)、加工、傳輸、提供、公開、銷毀、跨境、承接、委托處理等”。事實(shí)上，不論信息處理者如何設(shè)計(jì)數(shù)據(jù)處理流程，都始終無(wú)法回避數(shù)據(jù)的“死亡問(wèn)題”，數(shù)據(jù)銷毀并非處于信息處理者經(jīng)營(yíng)自主權(quán)的范圍之內(nèi)，其是數(shù)據(jù)安全流程的必要環(huán)節(jié)，能夠?qū)Υ髷?shù)據(jù)時(shí)代下信息主體所面臨的權(quán)利問(wèn)題做出積極的回應(yīng)(6)參見唐林垚： 《〈個(gè)人信息保護(hù)法〉語(yǔ)境下“免受算法支配權(quán)”的實(shí)現(xiàn)路徑與內(nèi)涵辨析》，載《湖北社會(huì)科學(xué)》2021年第3期，第134—142頁(yè)。。故而前述立法表述的變化也將新的數(shù)據(jù)安全問(wèn)題置于立法者眼前： 如何建構(gòu)數(shù)據(jù)銷毀義務(wù)？一方面，數(shù)據(jù)銷毀義務(wù)的建構(gòu)問(wèn)題關(guān)系到個(gè)人信息保護(hù)義務(wù)內(nèi)容的體系化，在明確數(shù)據(jù)銷毀義務(wù)具體內(nèi)容的同時(shí)也是在劃定刪除權(quán)的行使空間和保護(hù)標(biāo)準(zhǔn)；另一方面，數(shù)據(jù)銷毀義務(wù)的建構(gòu)問(wèn)題亦是數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制的重要內(nèi)容之一，因?yàn)閷?duì)于部分暫時(shí)不使用的數(shù)據(jù)，企業(yè)可以通過(guò)數(shù)據(jù)安全評(píng)估機(jī)制來(lái)確定是否繼續(xù)保存，倘若安全風(fēng)險(xiǎn)較高且技術(shù)能力薄弱，企業(yè)則可以依照安全技術(shù)標(biāo)準(zhǔn)直接予以銷毀。因此，在回答數(shù)據(jù)銷毀義務(wù)的建構(gòu)問(wèn)題的過(guò)程中，還需要回答三個(gè)子問(wèn)題： 第一，在“刪除”與“銷毀”含義分離的前提下，數(shù)據(jù)銷毀義務(wù)的理論基礎(chǔ)應(yīng)當(dāng)如何理解？第二，數(shù)據(jù)銷毀義務(wù)的適用條件是否僅限于個(gè)人信息保護(hù)？其適用情形、銷毀方式、銷毀范圍等具體內(nèi)容又當(dāng)如何設(shè)計(jì)？第三，針對(duì)死者的個(gè)人信息、去中心化技術(shù)方案的數(shù)據(jù)處理等特殊場(chǎng)景，數(shù)據(jù)銷毀義務(wù)是否存在例外情形或特殊規(guī)則？

二、 數(shù)據(jù)銷毀義務(wù)的理論基礎(chǔ)

(一) 數(shù)據(jù)銷毀的技術(shù)方案與業(yè)務(wù)類型

在文義解釋層面，《個(gè)人信息保護(hù)法》所規(guī)定的“刪除權(quán)”通常被理解為從信息處理者的數(shù)據(jù)庫(kù)中刪除已經(jīng)“過(guò)期”或自然人不愿再留存的個(gè)人信息，即達(dá)到了數(shù)據(jù)銷毀的效果；但是在技術(shù)方案層面，“刪除”和“銷毀”并不是兩個(gè)完全等同的概念。(7)在團(tuán)體標(biāo)準(zhǔn)《個(gè)人信息處理法律合規(guī)性評(píng)估指引》的“第1部分： 概述和術(shù)語(yǔ)”中，3.4.1“個(gè)人信息處理”明確提及“個(gè)人信息處理的示例包括但不限于采集、存儲(chǔ)、修改、檢索、咨詢、披露、匿名化、假名化、傳播或以其他方式提供、刪除或銷毀”。該標(biāo)準(zhǔn)并沒(méi)有選擇將“刪除”或“銷毀”視為同一個(gè)技術(shù)操作活動(dòng)。數(shù)據(jù)銷毀與數(shù)據(jù)刪除具有典型的技術(shù)語(yǔ)境屬性，數(shù)據(jù)銷毀通常被視為數(shù)據(jù)安全業(yè)務(wù)流程的最后環(huán)節(jié)，直接目的是避免第三人通過(guò)數(shù)據(jù)復(fù)原、存儲(chǔ)介質(zhì)竊取等方式重新復(fù)原業(yè)已銷毀的數(shù)據(jù)；而數(shù)據(jù)刪除并不是數(shù)據(jù)安全業(yè)務(wù)流程的必備環(huán)節(jié)，而是數(shù)據(jù)處理者根據(jù)法定義務(wù)、業(yè)務(wù)需求等多種因素選擇不再對(duì)外公開特定數(shù)據(jù)?，F(xiàn)有的數(shù)據(jù)銷毀技術(shù)方案大致可以分為兩大類： 一類是硬銷毀，即直接對(duì)數(shù)據(jù)存儲(chǔ)介質(zhì)進(jìn)行銷毀，如直接對(duì)硬盤施加強(qiáng)磁場(chǎng)進(jìn)行消磁，促使硬盤不再具備數(shù)據(jù)記錄功能；另一類則是軟銷毀(也被稱為邏輯銷毀)，即通過(guò)數(shù)據(jù)覆蓋錄入等操作方法進(jìn)行數(shù)據(jù)銷毀或數(shù)據(jù)擦除，如為了節(jié)省存儲(chǔ)介質(zhì)的開銷，以最新的數(shù)據(jù)直接替換之前存儲(chǔ)的數(shù)據(jù)，使其不再具有恢復(fù)可能性。但是這些數(shù)據(jù)銷毀方式并不都是信息處理者的最佳選擇，考慮到技術(shù)難度、經(jīng)濟(jì)成本以及銷毀效率等因素，數(shù)據(jù)銷毀行業(yè)常用的數(shù)據(jù)銷毀方式主要包括覆寫法、消磁法、剪碎法和焚毀法，(8)參見淼一科技： 《數(shù)據(jù)銷毀的幾種方法》，載簡(jiǎn)書網(wǎng)，https：//www.jianshu.com/p/c96a4e90658a，2021年9月30日訪問(wèn)。以便能夠在短時(shí)間內(nèi)徹底銷毀留存的業(yè)務(wù)數(shù)據(jù)。需要說(shuō)明的是，信息處理者自主銷毀數(shù)據(jù)的直接動(dòng)力并不是《個(gè)人信息保護(hù)法》所要求的“刪除權(quán)”，而是出于提升數(shù)據(jù)質(zhì)量和滿足大數(shù)據(jù)應(yīng)用的需求。在數(shù)據(jù)大爆炸的時(shí)代，數(shù)據(jù)質(zhì)量的商業(yè)價(jià)值遠(yuǎn)高于數(shù)據(jù)數(shù)量，信息處理者需要在有限的存儲(chǔ)空間內(nèi)進(jìn)行數(shù)據(jù)篩選，所以銷毀的對(duì)象往往是業(yè)務(wù)活動(dòng)中產(chǎn)生的無(wú)用數(shù)據(jù)、無(wú)效數(shù)據(jù)，而非涉及業(yè)務(wù)核心的用戶個(gè)人信息。雖然我國(guó)國(guó)內(nèi)尚未形成有關(guān)數(shù)據(jù)銷毀的國(guó)家標(biāo)準(zhǔn)，但在該領(lǐng)域常以美國(guó)國(guó)防部的DOD 5220.22技術(shù)標(biāo)準(zhǔn)作為參考，(9)該標(biāo)準(zhǔn)發(fā)布于1995年1月，在1997年7月進(jìn)行修訂，在2006年又重新發(fā)布了新版的DOD 5220.22-M標(biāo)準(zhǔn)。新標(biāo)準(zhǔn)中有關(guān)數(shù)據(jù)清除與銷毀的內(nèi)容寥寥無(wú)幾，但是舊版的數(shù)據(jù)清除與數(shù)據(jù)銷毀之區(qū)分對(duì)于當(dāng)下關(guān)于數(shù)據(jù)銷毀義務(wù)的內(nèi)容理解仍具有一定參考價(jià)值。而該標(biāo)準(zhǔn)對(duì)數(shù)據(jù)清除(data clearing)和數(shù)據(jù)銷毀(data sanitization)有著不同的界定方式。數(shù)據(jù)清除是指在重復(fù)使用存儲(chǔ)介質(zhì)前，需要徹底刪除存儲(chǔ)介質(zhì)中的數(shù)據(jù)，且刪除數(shù)據(jù)之前，存儲(chǔ)介質(zhì)所處環(huán)境也應(yīng)當(dāng)滿足相當(dāng)?shù)陌踩Ｗo(hù)等級(jí)，這是為了避免通過(guò)內(nèi)存、緩沖區(qū)以及其他可重復(fù)使用內(nèi)存讀取先前存儲(chǔ)的數(shù)據(jù)；而數(shù)據(jù)銷毀則是由于存儲(chǔ)介質(zhì)所處環(huán)境無(wú)法提供相當(dāng)?shù)陌踩Ｗo(hù)等級(jí)，需要對(duì)數(shù)據(jù)以及相關(guān)程序進(jìn)行徹底銷毀，兩個(gè)概念的實(shí)質(zhì)性差異在于是否需要對(duì)數(shù)據(jù)及其環(huán)境進(jìn)行徹底的清理和銷毀。而國(guó)際數(shù)據(jù)銷毀聯(lián)盟(IDSC)則將數(shù)據(jù)銷毀定義為“永久且不可逆地刪除或銷毀存儲(chǔ)在存儲(chǔ)設(shè)備上的數(shù)據(jù)且使其不可恢復(fù)的過(guò)程”，主要包括物理銷毀、加密擦除和數(shù)據(jù)擦除三種方式(參見下表1)。(10)參見IDSC官網(wǎng)，https：//www.datasanitization.org/about-international-data-sanitization-consortium/，2021年9月25日訪問(wèn)。在比利時(shí)的數(shù)據(jù)保護(hù)機(jī)構(gòu)(L’APD)2021年3月發(fā)布的《關(guān)于數(shù)據(jù)銷毀和數(shù)據(jù)介質(zhì)銷毀技術(shù)的建議》(Recommendation on data sanitisation and data medium destruction techniques)(11)該文件僅針對(duì)整個(gè)存儲(chǔ)介質(zhì)銷毀的技術(shù)，不涉及文件、目錄或分區(qū)部分的特定擦除。Only techniques leading to “sanitisation” of the entire medium or to its destruction are discussed in this document. The specific erasure of files， directories or partitions is therefore not processed. 參見比利時(shí)L’APD官網(wǎng)，https：//www.autoriteprotectiondonnees.be/publications/recommendation-n-03-2020-of-11-december-2020.pdf。中，“數(shù)據(jù)銷毀”的技術(shù)方案與數(shù)據(jù)保密要求密切相關(guān)，按照秘密、機(jī)密和絕密的分類標(biāo)準(zhǔn)(參見下表2)，“數(shù)據(jù)銷毀”分別對(duì)應(yīng)著數(shù)據(jù)清除(clear)、數(shù)據(jù)擦除(purge)和數(shù)據(jù)銷毀(destroy)。由此可見，技術(shù)層面的“數(shù)據(jù)銷毀”概念在本質(zhì)上更關(guān)注的是這些業(yè)已清除的數(shù)據(jù)是否具備再次被獲取或復(fù)原的可能性，如比利時(shí)監(jiān)管機(jī)構(gòu)針對(duì)《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡(jiǎn)稱“GDPR”)第32條規(guī)定刪除義務(wù)，要求數(shù)據(jù)處理者應(yīng)當(dāng)評(píng)估個(gè)人數(shù)據(jù)類型以及泄露風(fēng)險(xiǎn)分級(jí)，并以此為依據(jù)，確定相應(yīng)級(jí)別的數(shù)據(jù)銷毀方式；并且，這些銷毀技術(shù)的選擇取決于個(gè)人數(shù)據(jù)的存儲(chǔ)系統(tǒng)和格式。在比利時(shí)的監(jiān)管機(jī)構(gòu)看來(lái)，匿名化并不是歐盟立法者所追求的“足夠安全且保密”的技術(shù)手段，故而需要通過(guò)數(shù)據(jù)銷毀措施填補(bǔ)匿名化技術(shù)存在的問(wèn)題。(12)美國(guó)教育部在《數(shù)據(jù)銷毀的最佳實(shí)踐》(Best Practices for Data Destruction)中將數(shù)據(jù)銷毀分為“數(shù)據(jù)清理”(clear)、“數(shù)據(jù)清除”(purge)和“數(shù)據(jù)銷毀”(destory)三類： (1) 數(shù)據(jù)清理是指清理所有用戶在可尋地址存儲(chǔ)位置中的數(shù)據(jù)，防止簡(jiǎn)單的非侵入性數(shù)據(jù)恢復(fù)技術(shù)；(2) 數(shù)據(jù)清除是指采用物理邏輯技術(shù)的清理方法，即便采用最先進(jìn)技術(shù)也無(wú)法恢復(fù)數(shù)據(jù)；(3) 數(shù)據(jù)銷毀是指刪除數(shù)據(jù)且不可恢復(fù)的方法，但同時(shí)也導(dǎo)致存儲(chǔ)介質(zhì)的不可用。

(二) 數(shù)據(jù)銷毀義務(wù)的理論基礎(chǔ)與立法現(xiàn)狀： 信息保密方式的擴(kuò)張

正如上文所述，數(shù)據(jù)銷毀的技術(shù)方式多是以數(shù)據(jù)的不可復(fù)原和徹底滅失作為直接目標(biāo)，且數(shù)據(jù)銷毀的實(shí)際范圍不僅僅是用戶的個(gè)人信息，還包括企業(yè)的業(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)銷毀義務(wù)的銷毀范圍、銷毀方式等具體內(nèi)容明顯有別于刪除權(quán)的具體內(nèi)容，(13)《民法典》第1195條“……采取刪除、屏蔽、斷開鏈接等必要措施……”的表述，從法律術(shù)語(yǔ)統(tǒng)一性解釋的角度來(lái)看，“刪除”所要求的技術(shù)效果顯然是以無(wú)法訪問(wèn)為直接目標(biāo)。這也意味著數(shù)據(jù)銷毀義務(wù)的理論基礎(chǔ)同

表1 IDSC有關(guān)數(shù)據(jù)銷毀方式的優(yōu)勢(shì)與弊端

表2 L’APD所劃分的數(shù)據(jù)銷毀技術(shù)方案

樣有別于刪除權(quán)所依托的個(gè)人信息自決權(quán)益保護(hù)理論。在個(gè)人信息保護(hù)、數(shù)據(jù)安全和網(wǎng)絡(luò)安全領(lǐng)域，相關(guān)法律法規(guī)確實(shí)尚未明文規(guī)定“數(shù)據(jù)銷毀義務(wù)”，甚至在《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》中均未存在過(guò)“銷毀”這一表述，但這并不能成為否認(rèn)數(shù)據(jù)銷毀義務(wù)事實(shí)存在的直接依據(jù)，因?yàn)閿?shù)據(jù)銷毀義務(wù)存在的直接依據(jù)并非是學(xué)界主流觀點(diǎn)所認(rèn)可的“個(gè)人信息權(quán)益保護(hù)”，而是保密義務(wù)在信息時(shí)代的內(nèi)涵延伸。事實(shí)上，早在2010年的《保守國(guó)家秘密法》中就已經(jīng)提及“銷毀義務(wù)”，(14)《中華人民共和國(guó)保守國(guó)家秘密法》第21條、第22條、第25條、第34條均有提及“國(guó)家秘密載體的銷毀”。規(guī)定企事業(yè)單位應(yīng)當(dāng)嚴(yán)格按照國(guó)家保密規(guī)定銷毀涉及國(guó)家秘密的載體，該義務(wù)的內(nèi)核實(shí)質(zhì)上仍然是保密義務(wù)，銷毀乃是國(guó)家秘密“保密生命周期”的最后一個(gè)環(huán)節(jié)。在我國(guó)個(gè)人信息保護(hù)和數(shù)據(jù)安全監(jiān)管的早期立法活動(dòng)中，囿于信息技術(shù)水平尚處于早期發(fā)展階段，立法者對(duì)于數(shù)據(jù)安全保護(hù)的認(rèn)知主要還是以國(guó)家秘密、商業(yè)秘密等信息層面的保密義務(wù)為主，義務(wù)主體也是主要以“國(guó)家機(jī)關(guān)和涉及國(guó)家秘密的單位”為限。在此之后，大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈等信息技術(shù)的重大突破對(duì)立法目標(biāo)和立法技術(shù)產(chǎn)生重大影響，以往隱藏于“隱私權(quán)”中的個(gè)人信息權(quán)益逐漸受到重視，“個(gè)人信息”開始獨(dú)立于“個(gè)人隱私”之外并成為獨(dú)立的民事客體。公法層面的保密義務(wù)僅以國(guó)家安全和社會(huì)公共利益為適用前提，(15)參見劉迎霜： 《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)再思考——以大數(shù)據(jù)產(chǎn)業(yè)發(fā)展之公共福利為視角》，載《社會(huì)科學(xué)》2019年第3期，第100頁(yè)。故而該義務(wù)無(wú)法適應(yīng)私法層面自然人對(duì)于個(gè)人信息保護(hù)的利益訴求，以“國(guó)家秘密”“商業(yè)秘密”等有限類型客體為保護(hù)對(duì)象的保密義務(wù)開始異化為數(shù)據(jù)安全保障義務(wù)和個(gè)人信息保護(hù)義務(wù)。一方面，“國(guó)家秘密”和“重要數(shù)據(jù)”兩個(gè)概念在信息社會(huì)中內(nèi)涵和外延發(fā)生偏離，傳統(tǒng)意義上的“國(guó)家秘密”僅限于“一定時(shí)間內(nèi)只限一定范圍的人員知悉的事項(xiàng)”，(16)《中華人民共和國(guó)保守國(guó)家秘密法》第2條規(guī)定：“國(guó)家秘密是關(guān)系國(guó)家安全和利益，依照法定程序確定，在一定時(shí)間內(nèi)只限一定范圍的人員知悉的事項(xiàng)。”而“重要數(shù)據(jù)”則是由國(guó)家機(jī)關(guān)制定重要數(shù)據(jù)目錄予以確定，(17)《數(shù)據(jù)安全法》第21條規(guī)定：“國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)?！钡珒烧叻ㄒ鎱s存在著重疊，即兩者均涉及國(guó)家安全和社會(huì)公共利益，這也是保密義務(wù)異化為數(shù)據(jù)安全保障義務(wù)的關(guān)鍵環(huán)節(jié)。因?yàn)椤皣?guó)家秘密”的存在形態(tài)是以特定內(nèi)容的信息為基礎(chǔ)，而“重要數(shù)據(jù)”的存在形態(tài)則是各行業(yè)各部門在業(yè)務(wù)活動(dòng)中積累形成的“數(shù)據(jù)集合”，前者的保護(hù)方式顯然無(wú)法直接沿用于后者的保護(hù)活動(dòng)中，但在實(shí)際的保護(hù)邏輯層面卻具有相似性，即“國(guó)家秘密”和“重要數(shù)據(jù)”均是以有限的傳播和特定的處理權(quán)限為保障工具，保密義務(wù)的核心在于嚴(yán)格控制能夠處理“國(guó)家秘密”的人員范圍和時(shí)間節(jié)點(diǎn)，即“數(shù)據(jù)訪問(wèn)權(quán)限受限”，而數(shù)據(jù)安全保障義務(wù)的基礎(chǔ)邏輯同樣是限定數(shù)據(jù)訪問(wèn)權(quán)限，“數(shù)據(jù)分級(jí)分類保護(hù)制度”即是最佳例證。另一方面，國(guó)家秘密相關(guān)的保密義務(wù)與個(gè)人信息保護(hù)義務(wù)在客體層面存在顯著的差異性，前者是以承載公共利益的國(guó)家秘密為限，后者則是以承載私法利益的個(gè)人信息權(quán)益為限，將基于個(gè)人信息自決權(quán)益的個(gè)人信息保護(hù)義務(wù)解釋為保密義務(wù)的異化結(jié)果似乎存在邏輯關(guān)系斷裂的問(wèn)題。然而，需要說(shuō)明的是，個(gè)人信息保護(hù)義務(wù)不單純是私法利益保護(hù)的必然結(jié)果，該義務(wù)的理論基礎(chǔ)還包括數(shù)據(jù)安全保障義務(wù)?！稊?shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》在法律效力層面相同，但在立法目標(biāo)和調(diào)整范圍層面，《數(shù)據(jù)安全法》囊括了所有類型的數(shù)據(jù)安全保護(hù)，“數(shù)據(jù)安全”指向“個(gè)人、組織的合法權(quán)益”和“國(guó)家主權(quán)、安全和發(fā)展利益”，調(diào)整范圍顯然囊括了個(gè)人信息的安全；而《個(gè)人信息保護(hù)法》則是在《數(shù)據(jù)安全法》的安全保障制度框架下建構(gòu)的個(gè)人信息保護(hù)義務(wù)，該義務(wù)同樣沿用了數(shù)據(jù)安全保障義務(wù)的保護(hù)邏輯，即自然人的個(gè)人信息應(yīng)當(dāng)以秘密的狀態(tài)予以處理，不得超出約定的范圍向第三方主體傳輸或是用于其他信息服務(wù)場(chǎng)景。更重要的是，個(gè)人信息的安全狀態(tài)不僅關(guān)涉自然人的合法權(quán)益，同樣也關(guān)涉社會(huì)公共利益和國(guó)家安全，如在跨境數(shù)據(jù)流程場(chǎng)景下，信息處理者需要經(jīng)過(guò)安全評(píng)估或個(gè)人信息保護(hù)認(rèn)證方可向境外提供數(shù)據(jù)。

綜上所述，在我國(guó)現(xiàn)有立法資源中，數(shù)據(jù)銷毀義務(wù)起始于國(guó)家秘密、國(guó)家安全信息的保密義務(wù)，在整個(gè)數(shù)據(jù)生命周期中，銷毀是信息歸于消滅的最后階段，保密義務(wù)內(nèi)含的“信息處理受限”之邏輯，要求數(shù)據(jù)銷毀的直接結(jié)果是數(shù)據(jù)的不可復(fù)原和不可再次獲取。而在信息社會(huì)中，涉及國(guó)家安全和社會(huì)公共利益的客體從“國(guó)家秘密”延伸至“重要數(shù)據(jù)”和“個(gè)人信息”，保密義務(wù)也隨之異化為“數(shù)據(jù)安全保障義務(wù)”和“個(gè)人信息保護(hù)義務(wù)”。這種異化趨勢(shì)導(dǎo)致數(shù)據(jù)銷毀義務(wù)在理論基礎(chǔ)層面發(fā)生變化： 第一，在保護(hù)理念層面，為了適應(yīng)客體范圍的變化，信息安全的保護(hù)理念也從傳統(tǒng)的“信息保密”轉(zhuǎn)向“可控式數(shù)據(jù)安全”，數(shù)據(jù)銷毀義務(wù)不再是單純地導(dǎo)致“秘密/機(jī)密/絕密信息的消滅”，而是延伸至“數(shù)據(jù)的不可再次獲取”。第二，在制度功能層面，數(shù)據(jù)銷毀義務(wù)功能從早期“保障信息處于秘密狀態(tài)”轉(zhuǎn)向現(xiàn)在的“盡可能消除可控的數(shù)據(jù)安全風(fēng)險(xiǎn)”，重要數(shù)據(jù)的銷毀是為確保僅有特定的法律主體能夠獲取這些數(shù)據(jù)，且在數(shù)據(jù)銷毀之后無(wú)法通過(guò)其他方法予以復(fù)原，個(gè)人信息的銷毀則是為了確保個(gè)人信息在廢棄過(guò)程中意外泄露的風(fēng)險(xiǎn)處于可控狀況。第三，在義務(wù)內(nèi)容層面，基于保密目標(biāo)的數(shù)據(jù)銷毀義務(wù)是指國(guó)家秘密載體應(yīng)當(dāng)按照國(guó)家保密規(guī)定予以銷毀的義務(wù)，任何組織或個(gè)人均無(wú)權(quán)私自銷毀國(guó)家秘密載體，而基于數(shù)據(jù)安全保障義務(wù)的數(shù)據(jù)銷毀義務(wù)則是指義務(wù)主體在數(shù)據(jù)生命周期最后階段應(yīng)當(dāng)采取適當(dāng)?shù)匿N毀技術(shù)將數(shù)據(jù)安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。

圖1

(一) 數(shù)據(jù)銷毀義務(wù)的功能定位

數(shù)據(jù)銷毀義務(wù)的理論基礎(chǔ)在于信息保密方式的異化，《保守國(guó)家秘密法》中的信息保密方式要求信息銷毀的方式處于保密狀態(tài)，并嚴(yán)格按照既有的銷毀流程進(jìn)行內(nèi)容和載體的徹底清除；數(shù)據(jù)安全相關(guān)立法中的數(shù)據(jù)保密方式則是維持?jǐn)?shù)據(jù)安全處于可控狀態(tài)，既包括保障僅有法律授權(quán)主體才可以持有重要數(shù)據(jù)，也包括第三方無(wú)法獲取已經(jīng)銷毀的個(gè)人信息。數(shù)據(jù)銷毀義務(wù)的功能定位是以數(shù)據(jù)安全保障制度為依托，其目的是保障數(shù)據(jù)主體的數(shù)據(jù)控制權(quán)，防止數(shù)據(jù)被濫用、誤用，(18)參見唐林垚： 《隱私計(jì)算的法律規(guī)制》，載《社會(huì)科學(xué)》2021年第12期，第118—119頁(yè)。確保數(shù)據(jù)安全風(fēng)險(xiǎn)處于可控狀況。換言之，對(duì)于義務(wù)主體而言，數(shù)據(jù)銷毀不是為了保障數(shù)據(jù)安全的強(qiáng)制性義務(wù)，而以確認(rèn)義務(wù)主體繼續(xù)持有數(shù)據(jù)無(wú)法保障數(shù)據(jù)安全為前提，倘若義務(wù)主體現(xiàn)有的技術(shù)水平、內(nèi)部管理制度能夠保障可接受的數(shù)據(jù)安全，則義務(wù)主體可以選擇繼續(xù)持有這些數(shù)據(jù)，而非只能選擇銷毀這些數(shù)據(jù)。數(shù)據(jù)銷毀義務(wù)的體系定位是與數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制直接掛鉤的，因?yàn)閿?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制的基本邏輯是基于統(tǒng)一的安全指標(biāo)和權(quán)重設(shè)置將數(shù)據(jù)安全風(fēng)險(xiǎn)可視化，數(shù)據(jù)(信息)處理者結(jié)合自身風(fēng)險(xiǎn)控制能力和安全技術(shù)水平選擇適當(dāng)?shù)臄?shù)據(jù)處理流程保障數(shù)據(jù)安全，不可復(fù)原和不可非法獲取的數(shù)據(jù)銷毀技術(shù)屬于“兜底性”的數(shù)據(jù)安全處理方案。進(jìn)一步而言，數(shù)據(jù)銷毀義務(wù)的功能定位不應(yīng)當(dāng)僅僅理解為確保信息處理者刪除個(gè)人信息的義務(wù)性規(guī)范，否則該項(xiàng)義務(wù)只不過(guò)是“刪除權(quán)”所對(duì)應(yīng)的個(gè)人信息保護(hù)義務(wù)的另一種類型而已，而是應(yīng)當(dāng)理解為全行業(yè)全領(lǐng)域在處理無(wú)用數(shù)據(jù)、超期數(shù)據(jù)、未授權(quán)數(shù)據(jù)、不安全數(shù)據(jù)時(shí)應(yīng)當(dāng)采取的技術(shù)處理方案。(19)參見張繼紅： 《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)行業(yè)自律的困境與出路》，載《財(cái)經(jīng)法學(xué)》2018年第6期，第57—60頁(yè)。具體而言，理解數(shù)據(jù)銷毀義務(wù)的功能定位有必要厘清以下三個(gè)概念之間的體系關(guān)系：

第一，數(shù)據(jù)銷毀義務(wù)與數(shù)據(jù)刪除義務(wù)的區(qū)分。其一，數(shù)據(jù)銷毀義務(wù)的履行能夠確保信息處理者無(wú)法獲得特定自然人的數(shù)字身份和行為軌跡。刪除權(quán)的功能首先是確保自然人能夠再次隱匿自己在網(wǎng)絡(luò)空間的數(shù)字身份以及降低網(wǎng)絡(luò)社會(huì)對(duì)個(gè)人信息的感知程度，而數(shù)據(jù)銷毀義務(wù)也具有類似的功能定位，即通過(guò)焚毀法、覆寫法等數(shù)據(jù)銷毀技術(shù)達(dá)成“信息處理者不再控制自然人個(gè)人數(shù)據(jù)”的法律效果。(20)參見齊愛民、張哲： 《識(shí)別與再識(shí)別： 個(gè)人信息的概念界定與立法選擇》，載《重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2018年第2期，第119—131頁(yè)。其二，數(shù)據(jù)銷毀義務(wù)的履行應(yīng)當(dāng)是有限度地銷毀部分個(gè)人數(shù)據(jù)，即應(yīng)當(dāng)是銷毀、刪除自然人姓名、電話、IP地址、職業(yè)等信息要素，而不是因?yàn)槟骋粭l或數(shù)據(jù)庫(kù)中存儲(chǔ)有特定自然人相關(guān)聯(lián)的個(gè)人數(shù)據(jù)就要銷毀、刪除整條數(shù)據(jù)或整個(gè)數(shù)據(jù)庫(kù)。(21)參見蘇宇、高文英： 《個(gè)人信息的身份識(shí)別標(biāo)準(zhǔn)： 源流、實(shí)踐與反思》，載《交大法學(xué)》2019年第4期，第64—66頁(yè)。根據(jù)第一層次的功能定位，數(shù)據(jù)銷毀義務(wù)既可以直接以技術(shù)手段實(shí)現(xiàn)個(gè)人數(shù)據(jù)從有到無(wú)的轉(zhuǎn)變，也可以間接銷毀、刪除部分信息要素達(dá)成特定自然人身份的無(wú)法關(guān)聯(lián)和無(wú)法識(shí)別，即僅清除、替換部分信息要素即可。其三，數(shù)據(jù)銷毀義務(wù)的履行應(yīng)當(dāng)在平衡企業(yè)數(shù)據(jù)銷毀成本和個(gè)人數(shù)據(jù)安全保護(hù)兩種法益基礎(chǔ)上進(jìn)行。(22)參見張新寶： 《從隱私到個(gè)人信息： 利益再衡量的理論與制度安排》，載《中國(guó)法學(xué)》2015年第3期，第52頁(yè)。數(shù)據(jù)銷毀義務(wù)的具體內(nèi)容不應(yīng)當(dāng)嚴(yán)格限定某一類或某幾種技術(shù)方案，對(duì)于不同規(guī)模企業(yè)而言，從根源上銷毀存儲(chǔ)介質(zhì)固然可以確保數(shù)據(jù)的不可再生，但對(duì)于中小企業(yè)而言，頻繁地更換存儲(chǔ)介質(zhì)無(wú)異于增加額外的經(jīng)濟(jì)成本，故而數(shù)據(jù)銷毀方式的選擇應(yīng)當(dāng)交由信息處理者自身根據(jù)實(shí)際情況予以確定。(23)強(qiáng)制履行數(shù)據(jù)銷毀義務(wù)有可能給企業(yè)施加不合理的影響，影響企業(yè)的正當(dāng)權(quán)益。參見丁曉東： 《個(gè)人信息權(quán)利的反思與重塑——論個(gè)人信息保護(hù)的適用前提與法益基礎(chǔ)》，載《中外法學(xué)》2020年第2期，第350頁(yè)。數(shù)據(jù)銷毀義務(wù)的實(shí)現(xiàn)方式也應(yīng)當(dāng)滿足數(shù)據(jù)安全保護(hù)的立法目標(biāo)，對(duì)于敏感個(gè)人數(shù)據(jù)，這類數(shù)據(jù)的銷毀應(yīng)當(dāng)采用不可再生、不可溯源的技術(shù)方案予以實(shí)現(xiàn)(如硬件焚毀等)；對(duì)于一般個(gè)人數(shù)據(jù)而言，這類數(shù)據(jù)則可以采取恢復(fù)成本高昂的技術(shù)方案予以銷毀(如加密銷毀、數(shù)據(jù)銷毀等)。

第二，因法定事由而必須銷毀數(shù)據(jù)的義務(wù)和按照安全技術(shù)標(biāo)準(zhǔn)銷毀數(shù)據(jù)的義務(wù)。數(shù)據(jù)銷毀義務(wù)的基本內(nèi)涵并不是強(qiáng)制要求信息處理者必須銷毀數(shù)據(jù)，而是指信息處理者在銷毀數(shù)據(jù)時(shí)所采取的銷毀流程和銷毀技術(shù)措施應(yīng)當(dāng)滿足數(shù)據(jù)安全的立法目標(biāo)和安全技術(shù)標(biāo)準(zhǔn)。在《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》第23條中，工業(yè)和電信數(shù)據(jù)處理者履行數(shù)據(jù)銷毀義務(wù)主要包括“建立數(shù)據(jù)銷毀策略和管理制度”“明確銷毀對(duì)象、流程和技術(shù)等要求”以及“記錄和留存銷毀活動(dòng)”三個(gè)層面的內(nèi)容。數(shù)據(jù)銷毀義務(wù)的制度目的是實(shí)現(xiàn)數(shù)據(jù)全生命周期的安全管理，滿足立法層面所要求的“持續(xù)處于有效保護(hù)狀態(tài)”和“合法利用狀態(tài)”。因此，數(shù)據(jù)銷毀義務(wù)不可簡(jiǎn)單理解為“義務(wù)主體應(yīng)當(dāng)銷毀數(shù)據(jù)”的法定義務(wù)。事實(shí)上，該義務(wù)可拆解為兩個(gè)部分： 第一個(gè)部分是義務(wù)主體在滿足何種條件時(shí)應(yīng)當(dāng)銷毀數(shù)據(jù)以及在何種條件時(shí)可以選擇銷毀數(shù)據(jù)作為數(shù)據(jù)安全保障的備選方案，即“因法定事由而必須銷毀的數(shù)據(jù)”和“因安全事由而可以銷毀的數(shù)據(jù)”。該部分的義務(wù)功能在于明確數(shù)據(jù)銷毀行為本身不是強(qiáng)制性義務(wù)，而是可以選擇的安全技術(shù)方案。如果過(guò)度強(qiáng)調(diào)數(shù)據(jù)銷毀義務(wù)的制度功能在于明確義務(wù)主體銷毀數(shù)據(jù)的法定情形，則與“刪除權(quán)”的基本內(nèi)容并無(wú)本質(zhì)差異，無(wú)法凸顯在數(shù)據(jù)全生命周期中“銷毀”和“刪除”兩類數(shù)據(jù)處理行為的功能差異。第二個(gè)部分則是數(shù)據(jù)銷毀行為的法定要求，即數(shù)據(jù)銷毀的基本流程、銷毀技術(shù)、銷毀范圍、銷毀記錄應(yīng)當(dāng)滿足法律要求和技術(shù)標(biāo)準(zhǔn)，保障數(shù)據(jù)銷毀活動(dòng)的最終結(jié)果能夠達(dá)到不可復(fù)原的狀態(tài)，且其他法律主體無(wú)法在數(shù)據(jù)銷毀之后非法采取其他技術(shù)手段重新獲得數(shù)據(jù)。數(shù)據(jù)銷毀義務(wù)的立法目的不是為了限制義務(wù)主體獲取、存儲(chǔ)、使用數(shù)據(jù)的能力，而是為了確保義務(wù)主體在數(shù)據(jù)全生命周期的各個(gè)階段都能保障數(shù)據(jù)安全以及風(fēng)險(xiǎn)可控。在業(yè)務(wù)實(shí)踐中，由于數(shù)據(jù)銷毀流程的不規(guī)范、存儲(chǔ)介質(zhì)未徹底消磁、數(shù)據(jù)覆寫不完全等原因，銷毀環(huán)節(jié)所存在的數(shù)據(jù)安全風(fēng)險(xiǎn)并不低于數(shù)據(jù)收集、存儲(chǔ)、加工、傳輸?shù)拳h(huán)節(jié)的安全風(fēng)險(xiǎn)水平。

第三，數(shù)據(jù)銷毀義務(wù)與去標(biāo)識(shí)化義務(wù)。在個(gè)人信息處理場(chǎng)景下，信息處理者通常有義務(wù)采用技術(shù)措施去除個(gè)人信息中的可識(shí)別要素，中斷這些信息直接識(shí)別或間接識(shí)別特定自然人的可能性，這與數(shù)據(jù)銷毀義務(wù)所欲達(dá)成的技術(shù)效果具有相似性，即均是以個(gè)人信息可識(shí)別功能的喪失作為“清除個(gè)人信息”的結(jié)果形式之一。兩者之間的體系邏輯表現(xiàn)為兩個(gè)層面： 第一，在義務(wù)主體安全技術(shù)能力能夠保障數(shù)據(jù)安全風(fēng)險(xiǎn)處于可接受范圍內(nèi)時(shí)，義務(wù)主體可以“二者選其一”，因?yàn)閿?shù)據(jù)處理實(shí)踐活動(dòng)的復(fù)雜性決定了以“一刀切”的方式明確限定數(shù)據(jù)銷毀范圍不具有可操作性，個(gè)人信息的存在形態(tài)并非是以每行記錄代表特定自然人個(gè)人信息的表格記錄方式，而是以零散拆分的數(shù)據(jù)要素分布式存儲(chǔ)在數(shù)據(jù)庫(kù)中，數(shù)據(jù)銷毀范圍顯然不可能銷毀“一切與自然人相關(guān)的信息”，其銷毀結(jié)果只要達(dá)成“個(gè)人信息”的實(shí)質(zhì)消除即可，即自身無(wú)法復(fù)原業(yè)已銷毀的數(shù)據(jù)和其他人也無(wú)法通過(guò)銷毀之后剩余的其他數(shù)據(jù)再次識(shí)別特定自然人。這種銷毀效果與去標(biāo)識(shí)化的技術(shù)效果均滿足“無(wú)法識(shí)別特定自然人”的要求，義務(wù)主體“二者選其一”的法律效果并無(wú)本質(zhì)差異。第二，數(shù)據(jù)銷毀與數(shù)據(jù)去標(biāo)識(shí)化在技術(shù)邏輯層面終究屬于兩種完全不同的安全技術(shù)方案，數(shù)據(jù)銷毀的直接結(jié)果是部分?jǐn)?shù)據(jù)的徹底消除，而去標(biāo)識(shí)化的技術(shù)邏輯則是“去除個(gè)人信息中能夠標(biāo)識(shí)或關(guān)聯(lián)至特定自然人的要素”，(24)《個(gè)人信息安全規(guī)范》3.15和《個(gè)人信息去標(biāo)識(shí)化指南》3.3均將“去標(biāo)識(shí)化”界定為“通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息主體的過(guò)程”。識(shí)別要素被“隱藏”而未徹底銷毀，所以前者的數(shù)據(jù)安全保障效果明顯優(yōu)于后者，一旦數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果認(rèn)定義務(wù)主體無(wú)法控制數(shù)據(jù)安全水平，則義務(wù)主體只能選擇數(shù)據(jù)銷毀這一方式來(lái)控制數(shù)據(jù)生命周期最后階段的安全性，因?yàn)楝F(xiàn)有信息技術(shù)不可能保證絕對(duì)的數(shù)據(jù)安全，保障個(gè)人信息安全最有效的方式是直接切斷所有可能獲取個(gè)人信息的渠道，以去標(biāo)識(shí)化方式繼續(xù)持有個(gè)人信息只會(huì)加劇個(gè)人信息泄露的實(shí)際風(fēng)險(xiǎn)。

總結(jié)而言，數(shù)據(jù)銷毀義務(wù)的直接功能在于避免個(gè)人數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、重要數(shù)據(jù)等在數(shù)據(jù)銷毀之后復(fù)原并造成大規(guī)模數(shù)據(jù)泄露事件。同時(shí)，需要注意的是，數(shù)據(jù)銷毀義務(wù)在整個(gè)數(shù)據(jù)安全立法體系中屬于《數(shù)據(jù)安全法》“數(shù)據(jù)安全保障制度”的階段性義務(wù)，即數(shù)據(jù)生命周期最后環(huán)節(jié)的“安全保障義務(wù)”，數(shù)據(jù)銷毀義務(wù)與個(gè)人信息刪除權(quán)之間在技術(shù)效果層面確實(shí)容易混淆，但前者的適用范圍和正當(dāng)性是以社會(huì)公共利益和國(guó)家安全層面的數(shù)據(jù)安全為基礎(chǔ)，而后者則是個(gè)人信息權(quán)益的自然延伸，亦是處理個(gè)人信息的合法事由和必要性喪失時(shí)的必然結(jié)果。在《重慶市公共數(shù)據(jù)分類分級(jí)指南(試行)》中，更是將“數(shù)據(jù)銷毀”與“數(shù)據(jù)處理”“數(shù)據(jù)開放”“數(shù)據(jù)共享”等概念并列，數(shù)據(jù)銷毀的技術(shù)功能明顯有別于其他數(shù)據(jù)處理流程，且按照該標(biāo)準(zhǔn)的四級(jí)管控要求，“刪除”僅是“銷毀”的一個(gè)步驟，數(shù)據(jù)刪除之后，還需要確保采用其他邏輯銷毀方法，保障所有其他副本均被安全地刪除。

(二) 數(shù)據(jù)銷毀義務(wù)的履行標(biāo)準(zhǔn)

數(shù)據(jù)銷毀義務(wù)的制度功能是以嵌入數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制的方式實(shí)現(xiàn)，通過(guò)評(píng)估流程和評(píng)估結(jié)果確定特定場(chǎng)景中義務(wù)主體和銷毀數(shù)據(jù)的具體范圍。在義務(wù)主體層面，數(shù)據(jù)銷毀義務(wù)制度建構(gòu)最主要的問(wèn)題在于存在業(yè)務(wù)關(guān)聯(lián)的第三方是否同樣應(yīng)當(dāng)履行數(shù)據(jù)銷毀義務(wù)，或者說(shuō)信息處理者與業(yè)務(wù)關(guān)聯(lián)第三方之間如何協(xié)商履行數(shù)據(jù)銷毀義務(wù)。數(shù)據(jù)銷毀義務(wù)的理論基礎(chǔ)是信息保密方式的異化，業(yè)務(wù)關(guān)聯(lián)第三方是否有義務(wù)銷毀相關(guān)數(shù)據(jù)的認(rèn)定關(guān)鍵仍然需要回歸至數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，如果評(píng)估結(jié)果認(rèn)定第三方所留存的數(shù)據(jù)將導(dǎo)致主要的或相當(dāng)程度的安全風(fēng)險(xiǎn)，則第三方理應(yīng)銷毀數(shù)據(jù)確保重要數(shù)據(jù)始終維系在有限范圍內(nèi)予以處理或個(gè)人信息無(wú)法被外部環(huán)境獲取，而義務(wù)主體則應(yīng)當(dāng)對(duì)第三方的數(shù)據(jù)銷毀行為承擔(dān)連帶責(zé)任。在銷毀范圍層面，數(shù)據(jù)銷毀義務(wù)面臨著與刪除權(quán)同樣的問(wèn)題： 銷毀的數(shù)據(jù)范圍是包括所有相關(guān)數(shù)據(jù)，還是僅以“涉及國(guó)家安全和社會(huì)公共利益”的數(shù)據(jù)要素為限。根據(jù)前文所討論的數(shù)據(jù)銷毀義務(wù)理論基礎(chǔ)和功能定位來(lái)看，數(shù)據(jù)銷毀義務(wù)的適用場(chǎng)景主要集中于“數(shù)據(jù)確已達(dá)到銷毀環(huán)節(jié)”和“數(shù)據(jù)需要銷毀來(lái)保障安全”兩種情形，前者主要指向商用價(jià)值喪失或合法處理基礎(chǔ)喪失的重要數(shù)據(jù)、個(gè)人信息，后者主要指向處于安全異常狀態(tài)的重要數(shù)據(jù)和個(gè)人信息，且信息處理者繼續(xù)存儲(chǔ)這些數(shù)據(jù)無(wú)法保障安全，此時(shí)則需要采用數(shù)據(jù)銷毀方式徹底消除數(shù)據(jù)。數(shù)據(jù)銷毀義務(wù)的銷毀范圍實(shí)際上與銷毀效果密切相關(guān)，義務(wù)主體所選擇的銷毀范圍能滿足數(shù)據(jù)銷毀義務(wù)的法定要求和安全技術(shù)標(biāo)準(zhǔn)，即便沒(méi)有銷毀重要數(shù)據(jù)和個(gè)人信息的全部?jī)?nèi)容或者沒(méi)有采用存儲(chǔ)介質(zhì)直接銷毀的方法，也可視為義務(wù)主體已經(jīng)履行數(shù)據(jù)銷毀義務(wù)。以用戶注銷賬戶為例，用戶可以要求信息處理者履行刪除其個(gè)人信息的法定義務(wù)，此時(shí)的“刪除”的數(shù)據(jù)范圍存在三種認(rèn)定方式： 一種方式是直接在信息處理者的數(shù)據(jù)庫(kù)中刪除用戶賬號(hào)及該賬號(hào)使用期間所形成的所有使用數(shù)據(jù)，另一種方式是直接在用戶端界面刪除賬戶相關(guān)的所有信息，其他用戶無(wú)法獲得該用戶之前的信息服務(wù)使用記錄，還有一種方式則是信息處理者僅刪除用戶姓名、賬號(hào)昵稱、賬號(hào)唯一識(shí)別碼、IP地址、電話號(hào)碼等關(guān)鍵信息要素，對(duì)用戶在使用賬號(hào)期間所形成的使用數(shù)據(jù)予以保留。仔細(xì)分析這三種銷毀方式，實(shí)質(zhì)上代表了三種不同的個(gè)人信息保護(hù)立場(chǎng)，第一種方式是以自然人在網(wǎng)絡(luò)空間的“數(shù)字身份”作為實(shí)際的銷毀對(duì)象，確保自然人有能力選擇“重新塑造”自己在網(wǎng)絡(luò)空間的社會(huì)形象；(25)參見王琰、趙婕： 《大數(shù)據(jù)時(shí)代被遺忘權(quán)的現(xiàn)實(shí)邏輯與本土建構(gòu)》，載《南昌大學(xué)學(xué)報(bào)(人文社會(huì)科學(xué)版)》2020年第6期，第104頁(yè)。第二種則是將個(gè)人信息與個(gè)人隱私置于相同的保護(hù)方式之下，以一般理性人能否識(shí)別特定自然人身份作為直接的判斷依據(jù)，確保個(gè)人信息的私密屬性；(26)參見房紹坤、曹相見： 《論個(gè)人信息人格利益的隱私本質(zhì)》，載《法制與社會(huì)發(fā)展》2019年第4期，第 109頁(yè)。第三種則是立足“個(gè)人信息”概念所要求的可識(shí)別標(biāo)準(zhǔn)，數(shù)據(jù)銷毀的真正對(duì)象不是數(shù)據(jù)本身，而是個(gè)人數(shù)據(jù)的可識(shí)別性和可關(guān)聯(lián)性，只要銷毀后的數(shù)據(jù)不再具有識(shí)別能力，則已經(jīng)滿足數(shù)據(jù)銷毀義務(wù)的法定要求。(27)參見程德理、趙麗麗： 《個(gè)人信息保護(hù)中的“識(shí)別”要素研究》，載《河北法學(xué)》2020年第9期，第48頁(yè)。從我國(guó)《個(gè)人信息保護(hù)法》第1條所規(guī)定的“規(guī)范個(gè)人信息處理活動(dòng)”和“促進(jìn)個(gè)人信息合理利用”兩項(xiàng)立法目的來(lái)看，第三種數(shù)據(jù)銷毀方式更符合我國(guó)個(gè)人信息保護(hù)的實(shí)踐需求，一方面“銷毀”了信息處理者以及第三方識(shí)別個(gè)人信息的可能性，另一方面也為信息處理者擴(kuò)大數(shù)據(jù)商業(yè)價(jià)值預(yù)留了一定空間，例如在部分用戶畫像應(yīng)用場(chǎng)合，即便結(jié)構(gòu)化數(shù)據(jù)中銷毀了自然人的姓名、年齡、電話、IP地址等關(guān)鍵信息要素，但信息處理者仍然可以將剩余不具備識(shí)別特定自然人功能的數(shù)據(jù)用于用戶群體的行為偏好分析。(28)參見丁曉東： 《用戶畫像、個(gè)性化推薦與個(gè)人信息保護(hù)》，載《環(huán)球法律評(píng)論》2019年第5期，第92頁(yè)。審視現(xiàn)有的立法制度和商業(yè)實(shí)踐，數(shù)據(jù)銷毀義務(wù)的履行方式和銷毀范圍需要考量“中斷識(shí)別”和“損害預(yù)防”兩個(gè)因素。在中斷識(shí)別層面，數(shù)據(jù)銷毀義務(wù)的履行方式包括全部數(shù)據(jù)銷毀和部分?jǐn)?shù)據(jù)銷毀。前者主要出現(xiàn)在信息處理者不再運(yùn)營(yíng)其產(chǎn)品或服務(wù)之場(chǎng)景，中斷識(shí)別的判斷標(biāo)準(zhǔn)是用戶相關(guān)的所有數(shù)據(jù)均已徹底銷毀。后者則主要出現(xiàn)在信息處理者需要留存部分?jǐn)?shù)據(jù)作為用戶群體畫像分析等業(yè)務(wù)活動(dòng)中，中斷識(shí)別的判斷標(biāo)準(zhǔn)可延伸至三個(gè)層面。一是與其他用戶采用同一體系的唯一識(shí)別信息要素均已刪除，即銷毀范圍既包括敏感個(gè)人信息，也包括唯一設(shè)備編號(hào)，但是如果信息處理者采用其他編號(hào)方式為銷毀對(duì)象的其他非個(gè)人數(shù)據(jù)進(jìn)行唯一編號(hào)，同樣滿足不具有識(shí)別特定自然人的法定要求。二是數(shù)據(jù)銷毀的范圍既包括信息處理者本身，還包括與信息處理者存在業(yè)務(wù)鏈關(guān)系的其他關(guān)聯(lián)主體，確保個(gè)人數(shù)據(jù)在這些整體性提供信息服務(wù)的信息處理者之間均已徹底銷毀。三是如果采取軟銷毀方式，數(shù)據(jù)銷毀的效果應(yīng)當(dāng)滿足現(xiàn)有信息技術(shù)不足以或需要以極其不合理的代價(jià)重新恢復(fù)原始數(shù)據(jù)或再次識(shí)別特定自然人，如果銷毀的數(shù)據(jù)范圍涉及敏感個(gè)人信息時(shí)，數(shù)據(jù)銷毀的效果應(yīng)當(dāng)僅以數(shù)據(jù)不可復(fù)原或回檔作為唯一判斷標(biāo)準(zhǔn)。(29)參見田野、張晨輝： 《論敏感個(gè)人信息的法律保護(hù)》，載《河南社會(huì)科學(xué)》2019年第7期，第48頁(yè)。除此之外，數(shù)據(jù)銷毀義務(wù)的現(xiàn)實(shí)依據(jù)還在于避免信息處理者因?yàn)椴缓弦?guī)或不恰當(dāng)?shù)臄?shù)據(jù)銷毀流程而導(dǎo)致數(shù)據(jù)意外泄露，(30)See Solon Barocas & Helen Nissenbaum， Big Data’s End Run around Anonymity and Consent， in Julia Lane et al.， eds.， Privacy， Big Data， and the Public Good： Frameworks for Engagement， Cambridge University Press， 2014， p.44-75．故而該義務(wù)履行還應(yīng)當(dāng)包括銷毀后的數(shù)據(jù)能夠有效避免數(shù)據(jù)泄露、數(shù)據(jù)非法訪問(wèn)等安全風(fēng)險(xiǎn)。(31)參見呂炳斌： 《論網(wǎng)絡(luò)用戶對(duì)“數(shù)據(jù)”的權(quán)利——兼論網(wǎng)絡(luò)法中的產(chǎn)業(yè)政策和利益衡量》，載《法律科學(xué)(西北政法大學(xué)學(xué)報(bào))》2018年第6期，第64頁(yè)。

四、 數(shù)據(jù)銷毀義務(wù)的制度建構(gòu)的幾個(gè)特殊問(wèn)題

(一) 信息處理者有義務(wù)銷毀死者個(gè)人數(shù)據(jù)嗎？

《個(gè)人信息保護(hù)法》第49條規(guī)定了自然人近親屬可以基于“自身的合法、正當(dāng)利益”主張對(duì)死者的相關(guān)個(gè)人信息行使刪除權(quán)，相較于《個(gè)人信息保護(hù)法草案(二次審議稿)》(32)二審稿第49條規(guī)定：“自然人死亡的，個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，由其近親屬行使?！钡谋硎龆?，該條規(guī)定在承認(rèn)死者近親屬可以針對(duì)死者個(gè)人信息行使相關(guān)權(quán)利的基礎(chǔ)上，還設(shè)置了行使權(quán)利的“合法性”限制條件。這種立法表述變化的原因在于死者個(gè)人信息保護(hù)的基本立場(chǎng)明顯不同于自然人在世時(shí)的個(gè)人信息保護(hù)邏輯。自然人死亡之后既不會(huì)因?yàn)閭€(gè)人信息的不當(dāng)處理而感受到精神痛苦，也無(wú)法根據(jù)自己的意愿繼續(xù)決定個(gè)人信息處理的具體方式，即信息自決權(quán)益的實(shí)現(xiàn)基礎(chǔ)早已喪失，在立法層面繼續(xù)承認(rèn)死者享有與其他自然人同樣內(nèi)容的個(gè)人信息權(quán)益有悖立法宗旨。類比傳統(tǒng)人格權(quán)保護(hù)學(xué)說(shuō)，(33)學(xué)界通說(shuō)認(rèn)為，自然人已經(jīng)死亡的，不再享有姓名權(quán)、肖像權(quán)、隱私權(quán)等人格權(quán)，但死者的姓名、肖像、名譽(yù)權(quán)、隱私等人格利益仍然受到法律保護(hù)，其理論學(xué)說(shuō)包括死者權(quán)利保護(hù)說(shuō)、死者法益保護(hù)說(shuō)、近親屬權(quán)利說(shuō)、人格利益繼承說(shuō)、延伸保護(hù)說(shuō)等學(xué)說(shuō)。參見程嘯： 《論死者個(gè)人信息的保護(hù)》，載《法學(xué)評(píng)論》2021年第5期，第13—23頁(yè)。死者不再享有個(gè)人信息權(quán)益不等于死者的個(gè)人信息不被保護(hù)，只不過(guò)是死者個(gè)人信息所承載的法益內(nèi)容從自然人信息自決權(quán)益轉(zhuǎn)變?yōu)樗勒呓H屬的合法權(quán)益。信息處理者濫用死者個(gè)人信息有可能侵害死者近親屬的人格尊嚴(yán)以及其他人格權(quán)益，故而立法者允許死者近親屬以自身合法正當(dāng)利益受到侵害為由，主張信息處理者履行死者個(gè)人信息刪除義務(wù)。然而，需要注意的是，此時(shí)的“刪除權(quán)”與自然人本身行使的“刪除權(quán)”存在內(nèi)容差異： 死者近親屬行使“刪除權(quán)”的目的是維護(hù)自身而非死者的人格權(quán)益，其主張刪除死者個(gè)人信息的場(chǎng)景多為信息處理者擅自公開死者個(gè)人信息、不當(dāng)處理死者個(gè)人信息、貶低死者社會(huì)形象而造成近親屬精神痛苦等情形，刪除死者個(gè)人信息的方式與刪除死者個(gè)人隱私的方式較為相似，均是通過(guò)刪除等操作方式將信息內(nèi)容從公開狀態(tài)重新轉(zhuǎn)變?yōu)樗矫軤顟B(tài)。而一般意義上的“刪除權(quán)”則是要求信息處理者在不具備合法處理個(gè)人信息的情形下不再持有自然人的個(gè)人信息，刪除方式多為數(shù)據(jù)庫(kù)后臺(tái)的個(gè)人信息識(shí)別要素的剔除或者個(gè)人信息相關(guān)記錄的全部刪除。簡(jiǎn)言之，死者近親屬的“刪除權(quán)”是以信息處理者不當(dāng)處理死者個(gè)人信息或非法公開死者個(gè)人信息為前提，權(quán)利的本質(zhì)是自身人格利益的保護(hù)，并未涉及信息處理者是否有義務(wù)銷毀后臺(tái)數(shù)據(jù)庫(kù)所存儲(chǔ)的死者個(gè)人數(shù)據(jù)。

既然自然人在死亡后不再享有個(gè)人信息權(quán)益，那么這是否意味著信息處理者只要滿足個(gè)人信息處理方式，在不損害死者近親屬人格利益的情況下可以無(wú)期限地存儲(chǔ)和處理死者個(gè)人信息？換言之，信息處理者是否有義務(wù)按照法律規(guī)定銷毀個(gè)人數(shù)據(jù)？不妨預(yù)先假設(shè)： 信息處理者有義務(wù)銷毀死者的個(gè)人數(shù)據(jù)，其依據(jù)顯然是為了保護(hù)死者的人格尊嚴(yán)和其他人格利益，但以二進(jìn)制數(shù)值等形式存在的個(gè)人信息在不對(duì)外公開的情況下，不涉及對(duì)《民法典》第994條提及的“對(duì)死者姓名、肖像、名譽(yù)、榮譽(yù)、隱私、遺體等人格權(quán)益的侵害”以及《個(gè)人信息保護(hù)法》第49條提及的死者近親屬的“合法權(quán)益”，這種數(shù)據(jù)銷毀義務(wù)的依據(jù)顯然無(wú)法成立。此外，數(shù)據(jù)銷毀義務(wù)的理論基礎(chǔ)意在強(qiáng)調(diào)數(shù)據(jù)的安全狀態(tài)以及恰當(dāng)?shù)臄?shù)據(jù)保護(hù)方式，倘若以信息處理者繼續(xù)存儲(chǔ)死者個(gè)人數(shù)據(jù)而無(wú)法保障這些數(shù)據(jù)安全狀態(tài)為由，要求信息處理者履行數(shù)據(jù)銷毀義務(wù)，既缺乏直接的權(quán)利主體(死者)，也缺乏足夠的強(qiáng)制銷毀事由，因?yàn)檫@種數(shù)據(jù)安全并不涉及國(guó)家安全、社會(huì)公共利益，是否予以銷毀完全屬于信息處理者經(jīng)營(yíng)自主權(quán)的決定范疇。即便死者個(gè)人數(shù)據(jù)存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，也是由死者近親屬自行選擇是否要求信息處理者刪除死者個(gè)人信息，而非在立法層面強(qiáng)制要求信息處理者必須銷毀個(gè)人數(shù)據(jù)，并且，強(qiáng)制性銷毀義務(wù)模式本身也與《數(shù)據(jù)安全法》所追求的數(shù)據(jù)合法利用目標(biāo)相悖。因此，在不侵害死者近親屬合法權(quán)益、不對(duì)外公開或傳輸死者個(gè)人數(shù)據(jù)的前提下，信息處理者并沒(méi)有需要強(qiáng)制銷毀死者的個(gè)人數(shù)據(jù)的義務(wù)。

(二) 去中心化技術(shù)方案下數(shù)據(jù)銷毀義務(wù)應(yīng)當(dāng)如何履行？

現(xiàn)階段的區(qū)塊鏈技術(shù)主要集中應(yīng)用于金融交易、產(chǎn)權(quán)登記、司法公證等領(lǐng)域，尤其是依托該技術(shù)所建構(gòu)的智能合約具有不可篡改性和自動(dòng)執(zhí)行等技術(shù)優(yōu)勢(shì)，能夠有效滿足金融、醫(yī)療、版權(quán)等行業(yè)的業(yè)務(wù)需求。區(qū)塊鏈技術(shù)本身是一種去中心化的分布式記賬系統(tǒng)，實(shí)質(zhì)上是集體維護(hù)數(shù)據(jù)庫(kù)的一個(gè)技術(shù)方案，(34)參見石冠彬、陳全真： 《論區(qū)塊鏈存證電子數(shù)據(jù)的優(yōu)勢(shì)及司法審查路徑》，載《西南民族大學(xué)學(xué)報(bào)(人文社會(huì)科學(xué)版)》2021年第1期，第69頁(yè)。其底層的技術(shù)邏輯可以表述為所有參與節(jié)點(diǎn)共同維護(hù)交易活動(dòng)以及數(shù)據(jù)庫(kù)，在系統(tǒng)中將已經(jīng)達(dá)成交易的區(qū)塊連接成一條主鏈，所有節(jié)點(diǎn)基于密碼學(xué)原理共同對(duì)區(qū)塊記載的內(nèi)容予以承認(rèn)，不需要第三方的介入，而非傳統(tǒng)的金融活動(dòng)中通常需要依靠中立第三方以維護(hù)商事秩序。(35)參見唐林垚： 《我國(guó)信息披露違規(guī)增持股份之懲戒抉擇》，載《西南民族大學(xué)學(xué)報(bào)(人文社會(huì)科學(xué)版)》2020年第4期，第93頁(yè)。恰恰是這種交易信息數(shù)據(jù)修改需要主鏈超過(guò)50%的節(jié)點(diǎn)共同認(rèn)可的不可篡改優(yōu)勢(shì)，致使數(shù)據(jù)銷毀義務(wù)的履行變得不再那么容易，在區(qū)塊鏈上刪除之前的數(shù)據(jù)遠(yuǎn)比在個(gè)人計(jì)算機(jī)上將文件拖入回收站要難得多。法律不可能強(qiáng)行要求信息處理者以高昂的銷毀成本在區(qū)塊中徹底銷毀數(shù)據(jù)，而是需要重新審視數(shù)據(jù)銷毀義務(wù)的適用場(chǎng)景和履行方式。(36)參見陳奇?zhèn)?、聶琳峰?《技術(shù)+法律： 區(qū)塊鏈時(shí)代個(gè)人信息權(quán)的法律保護(hù)》，載《江西社會(huì)科學(xué)》2020年第6期，第170頁(yè)。誠(chéng)如前文所言，數(shù)據(jù)銷毀義務(wù)的直接目的是徹底銷毀個(gè)人數(shù)據(jù)，但這種銷毀方式并不只限于一般意義上的物理銷毀，還包括加密銷毀、訪問(wèn)權(quán)限銷毀等方式，只要其實(shí)際效果能夠滿足法定“刪除個(gè)人數(shù)據(jù)”之要求，即便是在區(qū)塊鏈上銷毀數(shù)據(jù)也不一定限于在區(qū)塊上刪除數(shù)據(jù)這一種方式。區(qū)塊鏈上存儲(chǔ)信息的訪問(wèn)往往需要私鑰和公鑰的相互匹配，故而數(shù)據(jù)銷毀的方式可以采取直接對(duì)需要銷毀的數(shù)據(jù)進(jìn)行加密，之后將訪問(wèn)這些數(shù)據(jù)所需的私鑰直接銷毀，導(dǎo)致任何人在此之后均無(wú)法訪問(wèn)這些區(qū)塊上存儲(chǔ)的個(gè)人數(shù)據(jù)。但問(wèn)題在于，這種“加密銷毀”方式與數(shù)據(jù)銷毀方式最大的不同在于前者并沒(méi)有對(duì)個(gè)人數(shù)據(jù)的可識(shí)別性和關(guān)聯(lián)性進(jìn)行直接處理，而是直接以封鎖所有訪問(wèn)權(quán)限的方式切斷立法者設(shè)想的識(shí)別主體接觸這些個(gè)人數(shù)據(jù)的路徑，這種實(shí)際不可能接觸數(shù)據(jù)并識(shí)別特定自然人的技術(shù)效果與立法者所追求的數(shù)據(jù)銷毀效果仍然存在效果鴻溝。一方面，“加密銷毀”的實(shí)質(zhì)是隱藏區(qū)塊鏈上的個(gè)人信息，并不妨礙個(gè)人數(shù)據(jù)存在于特定區(qū)塊這一事實(shí)的成立，即便一般人無(wú)法破解區(qū)塊鏈上的私鑰訪問(wèn)權(quán)限限制，但這并不等于個(gè)人數(shù)據(jù)不會(huì)被再度訪問(wèn)和識(shí)別，區(qū)塊鏈技術(shù)本身并不能達(dá)到絕對(duì)安全的狀態(tài)，在付出足夠多的代價(jià)之后，第三方仍然有可能繞過(guò)私鑰的技術(shù)限制獲取隱藏的個(gè)人數(shù)據(jù)。因此，“加密銷毀”方式在此層面并沒(méi)有達(dá)到《個(gè)人信息保護(hù)法》的保護(hù)要求。另一方面，《個(gè)人信息保護(hù)法》第47條有關(guān)“刪除”的表述實(shí)質(zhì)上也是在確保信息處理者所存儲(chǔ)的個(gè)人信息具有法律依據(jù)和現(xiàn)實(shí)依據(jù)，既沒(méi)有超出收集階段與用戶約定的存儲(chǔ)期限，也沒(méi)有通過(guò)非法途徑獲取用戶個(gè)人信息。(37)參見唐林垚： 《“脫離算法自動(dòng)化決策”的虛幻承諾》，載《東方法學(xué)》2020年第6期，第25頁(yè)。而在“加密銷毀”方式中，個(gè)人數(shù)據(jù)的存在事實(shí)無(wú)法否認(rèn)，即便訪問(wèn)權(quán)限受到限制，也并不排斥個(gè)人數(shù)據(jù)存儲(chǔ)在信息處理者的區(qū)塊鏈這一事實(shí)，信息處理者存儲(chǔ)應(yīng)當(dāng)刪除的個(gè)人數(shù)據(jù)本身即與立法本意相悖。這是否意味著區(qū)塊鏈技術(shù)可以作為數(shù)據(jù)銷毀義務(wù)的例外情形？如果對(duì)此予以肯定，則會(huì)錯(cuò)誤引導(dǎo)信息處理者將個(gè)人數(shù)據(jù)全部上傳至私有區(qū)塊鏈，以此避免履行數(shù)據(jù)銷毀義務(wù)。數(shù)據(jù)銷毀義務(wù)的履行主體是信息控制者或信息處理者，這些義務(wù)主體的共同特點(diǎn)在于能夠有效控制和處理個(gè)人數(shù)據(jù)，而作為參與者的各個(gè)節(jié)點(diǎn)雖然看似缺乏中心化管理機(jī)構(gòu)的控制能力，但是這些節(jié)點(diǎn)在將個(gè)人數(shù)據(jù)上傳至區(qū)塊鏈之前存在明確的處理目的和處理方式，將其視為信息處理者是合乎邏輯的。并且，在私有區(qū)塊鏈模式下，通常存在一個(gè)法人實(shí)體作為主要運(yùn)營(yíng)商，并根據(jù)其確定的治理規(guī)則對(duì)區(qū)塊鏈實(shí)施一定范圍內(nèi)的控制。既然區(qū)塊鏈上的數(shù)據(jù)刪除難以實(shí)現(xiàn)，倒不如直接要求信息處理者在數(shù)據(jù)量較大且這些數(shù)據(jù)會(huì)定期更新的情形下直接在鏈下存儲(chǔ)個(gè)人數(shù)據(jù)，進(jìn)而將數(shù)據(jù)銷毀義務(wù)轉(zhuǎn)化為擦除數(shù)據(jù)庫(kù)。

五、 結(jié)語(yǔ)： 數(shù)據(jù)銷毀義務(wù)的制度建構(gòu)

數(shù)據(jù)銷毀義務(wù)應(yīng)用的特殊場(chǎng)景遠(yuǎn)不止前文所述，在信息處理者進(jìn)入破產(chǎn)清算階段，業(yè)務(wù)數(shù)據(jù)和個(gè)人數(shù)據(jù)并非當(dāng)然可以作為企業(yè)破產(chǎn)財(cái)產(chǎn)，現(xiàn)行立法并沒(méi)有直接規(guī)定企業(yè)數(shù)據(jù)財(cái)產(chǎn)權(quán)，并且數(shù)據(jù)財(cái)產(chǎn)權(quán)的設(shè)置顯然是以數(shù)據(jù)安全為前提，倘若根據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果，處于破產(chǎn)階段的企業(yè)已經(jīng)無(wú)法保障包含業(yè)務(wù)數(shù)據(jù)的安全，破產(chǎn)管理人應(yīng)當(dāng)以保障自然人個(gè)人信息權(quán)益和重要數(shù)據(jù)安全作為優(yōu)先事項(xiàng)，按照行業(yè)主管部門的監(jiān)管要求直接銷毀數(shù)據(jù)。數(shù)據(jù)銷毀義務(wù)的制度建構(gòu)還需要厘清數(shù)據(jù)安全和數(shù)據(jù)利用之間的法益平衡關(guān)系，即便因業(yè)務(wù)數(shù)據(jù)毫無(wú)商業(yè)價(jià)值而選擇數(shù)據(jù)銷毀，由于硬件存儲(chǔ)介質(zhì)本身也具有一定的經(jīng)濟(jì)價(jià)值，此時(shí)的數(shù)據(jù)銷毀義務(wù)履行方式顯然也不能采用焚毀法、水泡法等硬銷毀方式，但在采用軟銷毀方式時(shí)，考慮到破產(chǎn)管理人對(duì)于業(yè)務(wù)數(shù)據(jù)安全保護(hù)能力有限，具體的銷毀技術(shù)方案應(yīng)當(dāng)滿足更高標(biāo)準(zhǔn)的不可復(fù)原性，且數(shù)據(jù)刪除的范圍應(yīng)當(dāng)是以全部個(gè)人信息為主。因此，我國(guó)在建構(gòu)全生命周期個(gè)人信息保護(hù)體系的過(guò)程中，不僅需要重視數(shù)據(jù)收集階段的合目的性、必要性等具體規(guī)則的構(gòu)建，同時(shí)也需要重視數(shù)據(jù)銷毀階段的標(biāo)準(zhǔn)設(shè)置與規(guī)則建構(gòu)。首先，數(shù)據(jù)銷毀義務(wù)應(yīng)當(dāng)與個(gè)人信息刪除義務(wù)在制度層面進(jìn)行明確區(qū)分，數(shù)據(jù)銷毀義務(wù)應(yīng)當(dāng)安置于《數(shù)據(jù)安全法》的數(shù)據(jù)安全保障制度框架內(nèi)，個(gè)人信息的銷毀僅是數(shù)據(jù)銷毀義務(wù)履行的一小部分，更重要的是義務(wù)主體按照法定要求和技術(shù)標(biāo)準(zhǔn)銷毀“重要數(shù)據(jù)”。其次，應(yīng)當(dāng)在立法層面細(xì)化數(shù)據(jù)銷毀義務(wù)的履行標(biāo)準(zhǔn)，以“數(shù)據(jù)的徹底清除和不可復(fù)原”為基本原則，允許義務(wù)主體在技術(shù)能力和經(jīng)濟(jì)成本允許的范圍內(nèi)自行選擇最為恰當(dāng)?shù)臄?shù)據(jù)銷毀方式，物理介質(zhì)的徹底銷毀并非履行義務(wù)的唯一標(biāo)準(zhǔn)。最后，數(shù)據(jù)銷毀義務(wù)的適用范圍需要考慮到死者個(gè)人數(shù)據(jù)銷毀、去中心化技術(shù)方案下的數(shù)據(jù)銷毀以及破產(chǎn)清算時(shí)數(shù)據(jù)銷毀等特殊情形，細(xì)化數(shù)據(jù)銷毀義務(wù)的例外情形和特別規(guī)則。