趙 真（山西財經(jīng)大學，山西 太原 030000）

2021年11月，《中華人民共和國個人信息保護法》（下文簡稱“個保法”）正式施行，于第47條規(guī)定了個人信息刪除權(quán)的適用情形以及權(quán)利邊界，確立了刪除權(quán)的基本法律框架，但因具體指引性不強，刪除義務的實際履行效果不佳。故當前應將刪除權(quán)的理論研究由立法論轉(zhuǎn)為解釋論，厘清規(guī)范適用，理順分歧焦點，對實踐問題予以針對性回應才是應有之義。有鑒于此，筆者梳理了個人信息權(quán)益、個人信息刪除權(quán)、個人信息刪除義務之間的內(nèi)在邏輯，對個保法中刪除權(quán)的法條構(gòu)造予以規(guī)范分析，并選取十二個具有代表性的電商平臺隱私政策文本進行實證分析，試圖找出應然層面與實然層面的沖突之處，并提出消解沖突的可能進路，進一步細化刪除義務履行規(guī)則，妥適處理信息主體的利益訴求，以期個保法規(guī)范得以準確適用。

一、個人信息刪除義務的規(guī)范目的

（一）個人信息刪除義務的根本規(guī)范目的：保障個人信息權(quán)益的“本權(quán)權(quán)益”

大數(shù)據(jù)、人工智能、云計算、區(qū)塊鏈等信息技術(shù)的廣泛應用，使得公民的身份信息、通信記錄、財產(chǎn)狀況等個人信息以數(shù)據(jù)形態(tài)呈現(xiàn)于現(xiàn)實生活中，而個人信息在大數(shù)據(jù)中如何被分析以及怎樣被應用，已遠遠超出信息主體的意圖范圍與認知能力[1]。新興技術(shù)的工具理性使得原本作為主體的人越來越像機器，逐漸喪失主體地位，成為工具的分析對象，海德格爾口中的“技術(shù)根本不是人可以控制的工具”或許會成為未來世界的理性危機[2]。個人信息權(quán)益無疑關(guān)乎人類自由，對人的生存與發(fā)展不可或缺。2021年9月頒布的《國家人權(quán)行動計劃（2021—2025年）》將個人信息權(quán)益視為我國的基本人權(quán)，與“生命權(quán)”等權(quán)利一并納入“公民權(quán)利與政治權(quán)利”一節(jié)。

就個人信息權(quán)益構(gòu)造而言，包括“本權(quán)權(quán)益”與保護“本權(quán)權(quán)益”的權(quán)利，比如“物權(quán)”與“物權(quán)請求權(quán)”的權(quán)益構(gòu)造就與之類似[3]。“本權(quán)權(quán)益”是個人信息權(quán)益的根蒂，體現(xiàn)個人主體性之人的尊嚴，正如康德所說，“人永遠是自身的目的而非他人的手段”[4]。個人信息源自人，以識別特定自然人為核心特征。法律保護個人信息，并不是保護個人信息本身，而是保護信息背后的“個人”。而刪除義務的有效履行能夠回應信息主體的刪除訴求，尊重信息主體的意志自由。由是，個人信息刪除義務以保障個人信息權(quán)益的“本權(quán)權(quán)益”為根本規(guī)范目的。

（二）個人信息刪除義務的直接規(guī)范目的：實現(xiàn)“保護本權(quán)權(quán)益的權(quán)利”

刪除權(quán)與知情決定權(quán)、查詢復制權(quán)、轉(zhuǎn)移權(quán)、補充更正權(quán)等均屬于保護“本權(quán)權(quán)益”的權(quán)利。而保護“本權(quán)權(quán)益”的權(quán)利又被稱之為個人信息權(quán)利束[5]，是公民個人規(guī)避數(shù)據(jù)權(quán)力支配甚至奴役的重要手段。其中，個保法第44條知情權(quán)與決定權(quán)是個人信息權(quán)益的核心工具性權(quán)利，相當于個人信息權(quán)利束中的概括性權(quán)利，其權(quán)利對象為“個人信息處理活動”[6]，即在對個人信息處理活動的相關(guān)事項知悉的基礎(chǔ)上，享有對個人信息處理活動予以選擇、干預、限制、拒絕的決定權(quán)，以此構(gòu)建事先防御機制，使個人信息權(quán)益在最大程度上免受侵害。

刪除權(quán)作為個人信息權(quán)利束中的工具性權(quán)利之一，就是以實現(xiàn)公民個人的決定權(quán)為功能價值?；趥€人信息本身的交互性與公共性，其在技術(shù)上不能被任何主體所支配，亦不會因多次使用而貶損價值，在現(xiàn)代信息化社會明確個人信息之上的絕對權(quán)被詬病有礙信息流通之嫌[7]。不同于強調(diào)主體處分或控制的自決權(quán)，為實現(xiàn)個人信息的權(quán)益保護與合理利用的雙向奔赴，個人行使刪除權(quán)中的個人意志指向“個人信息處理活動”的決定權(quán)。為避免數(shù)字技術(shù)對個人信息的數(shù)字化記憶打上“永恒烙印”，當個人信息處理活動中涉及某些不相關(guān)或非必要處理的個人信息時，信息主體有權(quán)拒絕信息處理行為，信息處理者應當履行信息刪除義務。

個保法第47條從權(quán)利行使與義務履行兩個方面建構(gòu)個人信息刪除權(quán)的法律框架，該法條構(gòu)造不僅包含個人信息主體的刪除權(quán)利，還包括個人信息處理者的刪除義務?；趥€人信息權(quán)益，個人信息刪除權(quán)作為保護“本權(quán)權(quán)益”的權(quán)利，其權(quán)能在于實現(xiàn)人的主體意志；基于個人信息刪除權(quán)，在個人信息處理活動中，當滿足一定條件之時，信息主體請求信息處理者刪除其個人信息，賦予信息處理者相應的刪除義務。通過刪除義務的有效履行以達到個人信息刪除權(quán)的完滿實現(xiàn)，從而保障個人信息權(quán)益之“本權(quán)權(quán)益”，彰顯人格尊嚴，回應數(shù)字時代的挑戰(zhàn)。

二、個人信息刪除義務的規(guī)范構(gòu)造

（一）個人信息刪除義務的履行主體

個人信息刪除權(quán)的義務主體為個人信息處理者。在同一個人信息存在多個信息處理者的情形下，為明確多方信息處理者是否應當履行同等刪除義務，有必要厘清主體之間的法律關(guān)系以及適用規(guī)范，具體可分為三種情形。

其一，多方主體之間為連帶責任關(guān)系。根據(jù)個保法第20條，兩個以上共同處理個人信息的信息處理者之間為連帶責任關(guān)系，且個人信息處理者內(nèi)部約定的權(quán)利義務不具有外部效力。信息主體可以向其中任何一方信息處理者主張刪除權(quán)，多方主體均承擔信息刪除義務。

其二，多方主體之間為委托法律關(guān)系。個保法第21條規(guī)定了基于委托合同處理個人信息的規(guī)則，明確了委托人對受托人信息處理活動的監(jiān)督義務。刪除作為個人信息處理活動之一，受托人若需履行個人信息刪除義務，亦理應受到委托人的監(jiān)督。

其三，多方主體之間為提供與被提供的法律關(guān)系，即個人信息處理者向其他處理者提供其所控制并處理的個人信息。個保法第23條規(guī)定，個人信息處理者經(jīng)由個人單獨同意對外提供個人信息的，僅涉及接收方變更先前處理目的及處理方式時的重新取得同意的義務。若信息主體請求原信息處理者刪除其個人信息，并不必然使得接收該信息的信息處理者履行同樣的刪除義務。

（二）個人信息刪除義務的履行前提

1.實質(zhì)前提：信息處理欠缺正當性

個人信息處理行為缺乏正當性基礎(chǔ)時，信息處理者應當履行個人信息刪除義務，包括以下三個方面。

其一，個人信息處理行為不具備個保法第13條規(guī)定的合法性基礎(chǔ)，即違法違規(guī)違約處理個人信息。因其欠缺合法性，信息主體有權(quán)行使刪除權(quán)，要求信息處理者刪除個人信息以維護個人權(quán)益。

其二，將個人同意作為個人信息處理的合法性基礎(chǔ)的，信息主體依照個保法第15條享有撤回同意權(quán)，若其“撤回同意”，即喪失意定的合法依據(jù)，信息處理者應將所涉及的個人信息予以刪除。

其三，將個保法第13條2～7項作為個人信息處理行為的合法性基礎(chǔ)的，因其須滿足“必需”“合理”的要求，所以當“處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要”“停止提供產(chǎn)品或服務”“保存期限已屆滿”時，信息主體可以請求信息處理者刪除其個人信息。可以說該規(guī)定所體現(xiàn)的比例原則是個保法的核心規(guī)范價值，并貫穿于整部法律規(guī)范中。首先在總則篇第5條確認了合法、正當、必要原則，并在第6條規(guī)定了目的限制原則，即處理個人信息目的的明確合理性，處理個人信息活動與該特定目的的直接相關(guān)性，以及處理個人信息方式與范圍的最小影響化，不得過度收集。第19條也對處理個人信息的必要最短保存期限做出了規(guī)定。因此，當個人信息處理行為欠缺必要性時，個人信息處理者亦應當履行刪除義務。

2.形式前提：具備刪除的啟動條件

信息處理者履行刪除義務存在三種啟動方式。

首先是主動履行刪除義務。如上文所述，個人信息處理行為若不具備合法性基礎(chǔ)，個人信息處理者應主動履行刪除義務。例如在委托處理個人信息中，若該委托合同存在效力瑕疵，受托人應將個人信息返還委托人或者履行刪除義務刪除該個人信息。

其次是因申請履行刪除義務。出現(xiàn)刪除權(quán)的適用情形時，信息主體可請求信息處理者予以刪除，但個人應當向事實上控制該個人信息的信息處理者主張刪除其個人信息。根據(jù)個保法第22條，因合并分立等事由，個人信息被信息處理者轉(zhuǎn)移至接收方的，此時信息主體的刪除權(quán)應當向接收方主張，接收方負有個人信息刪除義務。

最后是因起訴履行刪除義務。個人信息處理者拒絕個人刪除請求時，信息主體也可向法院起訴以行使刪除權(quán)。依據(jù)個保法第50條規(guī)定，信息主體通過訴訟的方式向法院行使刪除權(quán)時，該起訴存在前置條件，即個人信息處理者需明確拒絕個人行使刪除權(quán)的請求。

（三）個人信息刪除義務無需履行的情形

信息處理者在以下兩種情況下無需履行個人信息刪除義務。

情形一，依據(jù)相關(guān)法律、行政法規(guī)個人信息的保存期限未屆滿。如《電子簽名法》規(guī)定的個人信息保存期限為至少5年，《證券法》和《證券投資基金法》都規(guī)定不得少于20年，《精神衛(wèi)生法》規(guī)定不得少于30年等。

情形二，刪除個人信息從技術(shù)上難以實現(xiàn)。比如區(qū)塊鏈技術(shù)的不可篡改性與個人信息刪除權(quán)之間的沖突，區(qū)塊鏈技術(shù)的去中心化與個人信息刪除權(quán)的義務主體特定性之間的沖突，都是目前不可調(diào)和的技術(shù)難題[8]。在此情形下，所能進行的信息處理行為僅限于存儲，且個人信息處理者應當采取安全保護措施履行個人信息保護義務。

三、實踐偏差：個人信息刪除義務難以有效履行

綜合考慮用戶量、交易量、市場知名度等因素，本文選取了十二個具有代表性的電子商務平臺進行實證分析（見表1），發(fā)現(xiàn)現(xiàn)有的平臺隱私政策文本未對個保法的相關(guān)制度規(guī)范予以準確回應，實踐中個人信息刪除義務難以有效履行，實然層面與應然層面存在一定差距。

表1 電商平臺隱私政策的研究樣本

（一）個人信息刪除義務履行主體中第三方應否履行存疑

本文所選取的電商平臺無一例外地規(guī)定了第三方共享信息，均列明了第三方信息共享清單，并提供了共享信息范圍、使用目的、使用場景、共享方式以及第三方運營商的個人信息處理規(guī)則鏈接。但個人信息被多方共享，在個人行使刪除權(quán)時，多方信息控制者的刪除義務應否履行并不統(tǒng)一。

存在一半的電商平臺并未對從該平臺獲得個人信息的第三方運營商的刪除義務予以說明。另一半電子商務平臺雖規(guī)定了向第三方通知刪除的義務，但都以“盡可能通知，要求其刪除，除非法律法規(guī)另有規(guī)定，或其已獲得個人獨立授權(quán)”之類的形式呈現(xiàn)，原文表述模糊寬泛、語焉不詳。第三方運營商的刪除義務處于可有可無的游離狀態(tài)，主導權(quán)完全被平臺掌控，到底是否應當履行、誰來通知、如何履行、誰來監(jiān)管均不明晰。

實踐中，為實現(xiàn)產(chǎn)品/服務的核心功能或提供滿足用戶需要的服務，平臺與關(guān)聯(lián)公司或第三方運營商之間的數(shù)據(jù)共享范圍極為廣泛。不僅包含手機號碼、手機存儲（相冊、媒體、和其他文件權(quán)限）、任務列表等；在與物流供應商、報關(guān)供應商、身份校驗供應商等第三方共享信息中還包含詳細地址、身份證號碼、面部識別信息等敏感個人信息。海量個人數(shù)據(jù)被第三方運營商所控制，使得個人行使刪除權(quán)變得復雜棘手，即使平臺履行刪除義務，也無法保證刪除權(quán)之有效性。若第三方的刪除義務不予以明確，刪除權(quán)極易淪為“紙面上的權(quán)利”。

（二）個人信息刪除義務履行方式與匿名化處理變相等同

絕大部分電商平臺在規(guī)定刪除義務時，都以“或”字將“刪除”與“匿名化處理”相連接，文義解釋上“或”表并列關(guān)系或選擇關(guān)系，并無先后順序。不僅如此，在《個人信息安全規(guī)范》(GB/T35273-2020)第6.1條與第6.4條中也將個人信息控制者的刪除義務與匿名化處理等同化。但問題是“匿名化處理”是否可以作為“刪除”的替代履行？

目前對于“刪除”的界定尚未形成通說[9]，個保法也未明確規(guī)定?！缎畔踩夹g(shù)-個人信息安全規(guī)范》（GB/T35W3-2020）3.10將“刪除”定義為“使其保持不可被檢索、訪問的狀態(tài)”。就刪除對象而言，刪除可區(qū)分為邏輯刪除與物理刪除。通俗來講，邏輯刪除只是更改數(shù)據(jù)中的某個字節(jié)使系統(tǒng)無法識別，相當于把數(shù)據(jù)放置于回收站中，仍舊可以通過某種手段予以恢復。而物理刪除具有不可逆性，二進制數(shù)據(jù)全部歸零，該數(shù)據(jù)所用到的磁存儲區(qū)域會被真正抹除[10]。刪除的目的在于使得個人信息不可被他人使用，由于在線無法訪問或放在回收站可以再次輕易獲得，顯然不構(gòu)成刪除[11]?！缎畔踩夹g(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》中5.1（d）的“刪除”指“在信息系統(tǒng)中不可再用”，該款定義更符合保障個人信息權(quán)益的立法目的。

數(shù)據(jù)之所以作為再現(xiàn)現(xiàn)實世界的工具，正是因其總是描述特定對象，當數(shù)據(jù)不能指向特定對象或者不能與特定對象相聯(lián)結(jié)時，就會喪失分析價值[12]?？梢哉f個人信息的利用價值與其可識別性直接相關(guān)，匿名化處理技術(shù)除刪除或更改某些直接或間接標識符之外，為保證匿名化信息的實用性，必然會留存一些識別因子，由此便成為引發(fā)匿名化再識別風險的導火索[15]。匿名化技術(shù)并不是個人信息處理者逃避個人信息保護職責的一勞永逸之良方，其具有重識性，可以被突破，不能確保個人信息“在信息系統(tǒng)中不可再用”，反而會使得變相逃避履行刪除義務異化為常態(tài)。

（三）個人信息刪除義務得以履行后的外部監(jiān)管缺位

用戶可自行刪除的信息范圍十分有限，基本上僅涉及個人基本資料以及使用信息，與上文所述的平臺及第三方所控制并處理的個人信息規(guī)模相比相去甚遠。若用戶想就超出隱私政策所規(guī)定的刪除范圍的信息行使刪除權(quán)，途徑有二：其一，注銷賬戶；其二，通過該隱私政策所提供的平臺聯(lián)系方式提交申請、表達刪除訴求。但上述兩種途徑都存在不同程度的阻礙，平臺刪除義務的履行效果并不理想。

以注銷賬戶為例，其意味著平臺將“停止提供產(chǎn)品或服務”，應當刪除特定用戶的全部個人信息。部分平臺隱私政策中明確規(guī)定在注銷賬戶時，個人信息會在前臺系統(tǒng)中去除，使其保持不可被檢索、訪問的狀態(tài)，或?qū)ζ溥M行匿名化處理。如前所述，諸如此類的措施并不能保證刪除的徹底性，至于該平臺是否履行刪除義務以及其所刪除的個人信息范圍，仍然存在不確定性，個人無法驗證。

本文所選取的樣本大都符合大型電子商務平臺特征，具備海量數(shù)據(jù)控制力的同時兼具強大數(shù)據(jù)分析能力，其所催生的數(shù)字鴻溝使得個人與此類個人信息處理者之間存在實質(zhì)上的“非對稱權(quán)力結(jié)構(gòu)”[14]。在數(shù)據(jù)權(quán)力的壓榨下，公民私人空間及其自決權(quán)利被迫削減。為強化大型電子商務平臺的個人信息保護責任義務，根據(jù)個保法第58條，對于此類信息處理者的個人信息保護情況應當由外部成員組成的獨立機構(gòu)予以監(jiān)督，但該規(guī)范并未得到落實，存在獨立機構(gòu)缺位、外部監(jiān)督缺失的現(xiàn)實問題。

（四）個人信息刪除義務不予履行時的存儲期限模糊

依據(jù)個保法第47條第2款，超出法律、行政法規(guī)規(guī)定的保存期限后，個人信息處理者應當主動刪除個人信息。換言之,在法律、行政法規(guī)規(guī)定的保存期限內(nèi)平臺可拒絕信息主體行使刪除權(quán)，不予履行刪除義務。但就目前各大平臺隱私政策的規(guī)定來看，除“法律法規(guī)規(guī)定”外，“為實現(xiàn)本政策目的所必需”也一同成為保存期限的界定語。

這似乎已經(jīng)使得刪除義務的履行陷入一個邏輯怪圈中：由于用戶刪除范圍受限，若想要刪除其他信息，需要向平臺提交申請。但即使順利提交了刪除請求，刪除義務的履行仍受保存期限的限制，平臺仍可以“保存期限未屆滿”為由拒絕刪除。至于“為實現(xiàn)本政策目的所必需”的保存期限的界定，一無法律依據(jù)，二無用戶參與，所謂的遵循比例原則、目的限制完全由平臺掌控。

如此一來，用戶若仍舊想刪除該信息就只能注銷賬戶或動用司法資源走上訴訟道路。但注銷之后由于監(jiān)管主體的缺失，對平臺是否真正履行刪除義務也無從知曉；而在個案審理中，單個信息用戶又因信息的不對稱陷入難以舉證的困境，或維權(quán)的成本與收益比例明顯失衡而無法得到相應救濟?？梢?，信息主體處于被動狀態(tài)，利益訴求很難得到有效實現(xiàn)。

四、規(guī)范進路：個人信息刪除權(quán)如何有效實現(xiàn)

（一）區(qū)分第三方法定刪除義務

實踐中第三方運營商獲取個人信息的方式包括應用程序接口傳輸（API）或內(nèi)嵌軟件工具開發(fā)包（SDK）。筆者認為，基于不同的獲取方式應當區(qū)分不同的刪除義務。

1.通過SDK本機采集方式獲取個人信息的第三方刪除義務

軟件工具開發(fā)包（SDK）是以本機采集的方式獲取個人信息，屬于直接收集，并不在數(shù)據(jù)共享的范疇，在《京東隱私政策》的第三方SDK列表中對此也予以了說明。此類供應商、服務提供商主要提供技術(shù)基礎(chǔ)設(shè)施服務、數(shù)據(jù)分析服務、客戶服務、安全服務或進行學術(shù)研究和調(diào)查，比如微信、移動、支付寶等，其所收集的個人信息范圍直接涉及用戶的本機號碼、手機存儲信息、音頻信息甚至面部特征，API接口傳輸?shù)牟杉秶鸁o法與其同日而語，一旦發(fā)生侵權(quán)事件，SDK本機采集方式獲取個人信息的“寒蟬效應”顯然更甚。

平臺自身數(shù)據(jù)能力有限，大部分產(chǎn)品或服務無法單獨完成，為保障和優(yōu)化自身的產(chǎn)品或服務，外包成為替代解決方案，以借力于第三方機構(gòu)的數(shù)據(jù)服務。對個人信息的處理存在一個共同作用力，不僅具備主觀意思聯(lián)絡，還存在客觀行為的直接結(jié)合[15]，屬于連帶責任法律關(guān)系，適用個保法第20條。因此，基于SDK本機采集方式獲取個人信息的第三方運營商應當與原平臺負有同等的刪除義務，當用戶行使刪除權(quán)時，平臺必須向第三方通知用戶的特定刪除訴求。

2.通過API接口傳輸共享個人信息的第三方刪除義務

不同于SDK本機采集，API接口傳輸應屬于數(shù)據(jù)共享的范疇。在此基礎(chǔ)上，為準確適用法律規(guī)范，還可以細分為有委托處理協(xié)議的API接口傳輸，以及無委托處理協(xié)議的API接口傳輸。需要說明的是，雖然在個人信息委托處理關(guān)系中，還包括內(nèi)嵌SDK的獲取方式，但如上文所述，理論上此種情形的第三方運營商都應履行刪除義務，故不再做具體展開。

在有委托處理協(xié)議的API接口傳輸中，原平臺與第三方屬于委托法律關(guān)系，適用個保法第21條。這種情形主要指平臺隱私政策中所提到的廣告、分析服務類的授權(quán)合作伙伴，主要處理與廣告投放、覆蓋面和有效性相關(guān)的信息，提供廣告曝光監(jiān)測或服務決策，并且平臺明確表示不會共享識別身份的個人信息，否則會做去標識化處理。但在《拼多多隱私政策》中還存在“這類實體可能將上述信息與它們合法獲取的其他數(shù)據(jù)相結(jié)合，以執(zhí)行平臺委托的廣告服務或決策建議”一類的表述。由于我國立法對個人信息的界定采“可識別+相關(guān)聯(lián)”的標準，第三方依舊可以通過數(shù)據(jù)挖掘輕易識別出特定個人身份。匿名化技術(shù)尚且存在再識別風險，遑論去標識技術(shù)對個人信息保護程度還要次于匿名化，因此為保證刪除義務的有效履行，在委托處理協(xié)議中應明確約定“用戶行使刪除權(quán)時的受托方刪除義務”。同時，當委托處理協(xié)議出現(xiàn)效力瑕疵時，受托方因不具備處理個人信息的正當性基礎(chǔ)，應當將個人信息返還委托方，或者主動予以刪除且不得保留。

在無委托處理協(xié)議的API接口傳輸中，原平臺與第三方屬于提供與接收的法律關(guān)系，適用個保法第23條。比如，在第三方運營的網(wǎng)站或應用中使用“微信登錄”功能，屬于微信向第三方提供個人信息，具體提供的范圍以交互頁面中用戶確認為準。質(zhì)言之，平臺向其他信息處理者提供個人信息，應當取得用戶個人的單獨同意。由于存在用戶獨立授權(quán)，在此情形下當個人向原平臺提出刪除的請求時，原平臺就無需負有通知第三方刪除的義務，屬于各大平臺隱私政策中“已獲得個人獨立授權(quán)”的情形。

（二）動態(tài)規(guī)制匿名化處理措施

首先，基于匿名化處理的再識別風險，必須明確匿名化處理非不得已而為之。實際上個保法第47條的規(guī)制思路亦驗證了此點，在出現(xiàn)技術(shù)上難以刪除情形時，個人信息處理者應當采取必要的安全保護措施，此處的安全保護措施就應包含個人信息的匿名化處理。匿名化處理與去標識化技術(shù)、SSL/TLS加密技術(shù)、HTTPS協(xié)議安全瀏覽等，同屬于個保法第51條第3款的安全技術(shù)措施，與刪除本身并不相同。在各大平臺隱私政策關(guān)于履行刪除義務的相關(guān)規(guī)定中，將“刪除或匿名化處理”改為“若刪除個人信息在技術(shù)上難以實現(xiàn)的，則對個人信息進行匿名化處理”更為穩(wěn)妥。如此糾偏，一來明確了刪除與匿名化處理的先后順序，只有刪除不能才可匿名化處理，刪除仍是平臺運營商的第一要務；二來針對某些無法克服的技術(shù)難題留有余地，以防法律過于嚴苛而致使實踐目的落空。

其次，基于匿名化處理的再識別風險之必然性，我國立法應當予以正視，并應明文禁止信息控制者對匿名化信息的惡意識別。事實上由于對匿名化信息再流通利用的市場需求，并不存在絕對意義上的“無法識別且不可復原”的匿名化處理，個保法如此框定“匿名化”不免過于迂闊僵化。而不同平臺對匿名化的不同解讀極易造成互聯(lián)網(wǎng)產(chǎn)業(yè)中傳統(tǒng)經(jīng)濟學所謂的“檸檬市場”，因此相關(guān)法規(guī)也應進一步明確個人信息匿名化標準以及清晰匿名化處理規(guī)則[16]。比較法上，不同于美國《個人信息保護指引》為促進數(shù)字經(jīng)濟發(fā)展而弱化個人信息保護的寬松標準，歐盟GDPR嚴格遵循目的限制原則，并引入“動態(tài)風險管理”理念，具有一定的前瞻性意義。以風險管理為基礎(chǔ)的匿名化模式更貼合實際，對匿名化的法律標準并非為不可識別，而是再識別的風險最小化[17]。

最后，就平臺責任而言，平臺應針對已匿名化信息進行定期風險評估，對存在重識風險的信息出具風險評估報告，采取信息安全預防機制措施[18]。若該風險可能會轉(zhuǎn)化成實際損害，應立即制定緊急應對方案，及時保護信息主體合法權(quán)益。若評估后認定為不充分匿名化信息，應當根據(jù)實際情況再予以匿名化處理[19]。

（三）內(nèi)部合規(guī)與外部監(jiān)管并舉

首先，平臺企業(yè)內(nèi)部應當建立健全個人信息保護合規(guī)制度體系，包括數(shù)據(jù)安全審計、個人信息分級分類、風險評估與識別、風險應急預案、個人信息保護合規(guī)培訓等，加強自身合規(guī)建設(shè)，降低個人信息處理的各類風險。平臺可進一步拓寬用戶可自行操作刪除的個人信息范圍，擴大用戶行使刪除權(quán)的自主空間。為避免平臺企業(yè)合規(guī)成本負擔過重，也可以要求用戶支付一定的合理費用，但為保障用戶個人的知情決定權(quán)，需要在隱私政策中提前聲明，以顯著方式、清晰易懂的語言表達，向用戶進行準確完整的表述。

其次，平臺企業(yè)還應強化外部監(jiān)督。對于獨立的外部監(jiān)督機構(gòu)來說，外部監(jiān)督成員可以理解為上市公司的獨立董事，強調(diào)個人信息治理的多方參與。有學者認為，該機構(gòu)三分之二以上的成員不能是該個人信息處理者或其關(guān)聯(lián)方的內(nèi)部人員，也不能存在法律或經(jīng)濟上的利害關(guān)系，如股東、財務咨詢、法律服務等[20]。筆者對此予以認可，為確保獨立機構(gòu)的中立性以及透明度，使其依法依規(guī)履職盡責，上述觀點具有一定可行性。但為避免平臺商業(yè)秘密、知識產(chǎn)權(quán)地泄露而損害企業(yè)合法權(quán)益，該獨立機構(gòu)僅能對平臺企業(yè)的個人信息保護情況予以監(jiān)督，而不涉及個人信息處理活動。為確保個保法在實踐中得到正確、有效的貫徹實施，在個保法的基本法律框架下，應加快出臺相關(guān)政策和指南，對該獨立機構(gòu)的義務規(guī)范以及法律責任予以細化明確。

（四）明晰個人信息的存儲期限

應當承認為實現(xiàn)平臺服務所必需而處理個人信息存在一定的必要性，但大部分平臺隱私政策對何為“所必需”并未有詳細說明。事實上并不存在將所有存儲期限的情況予以羅列的蓋然性，故筆者認為，可以進一步明晰個人信息保存期限的判斷標準。目前部分平臺對判斷個人信息存儲期限標準的參考因素有所規(guī)定，具有一定的借鑒意義，未來出臺實施細則可將以下幾個方面作為參考。

第一，因取得個人同意而繼續(xù)保存?zhèn)€人信息。為保證用戶個人信息的自治性與用戶刪除權(quán)的自愿性，即使超過必要保存期限，只要用戶授權(quán)，平臺企業(yè)仍可繼續(xù)保留特定個人的個人信息，同時可以允許用戶備份相關(guān)信息。

第二，為完成相關(guān)交易目的、維護相應交易及業(yè)務記錄所必需而繼續(xù)保存?zhèn)€人信息。如《電子商務法》中就要求商品和服務信息、交易信息保存時間為自交易完成之日起不少于三年，以應對用戶可能的查詢或投訴。

第三，為實現(xiàn)該產(chǎn)品或服務的基本或核心功能所必需而繼續(xù)保存?zhèn)€人信息。此款的關(guān)鍵點在于對該平臺的“基本功能”或“核心服務”的清晰界定。比如，對于微信中的初始注冊手機號碼，為保證用戶正常使用微信服務，需要一直予以保存；再如，微博中為實現(xiàn)程序化廣告推送或幫助用戶參加營銷推廣活動的信息共享，就不屬于該平臺繼續(xù)留存用戶個人信息的事由，不可因此拒絕用戶行使刪除權(quán)。

第四，為實現(xiàn)相關(guān)訴訟的舉證責任所必需而繼續(xù)保存?zhèn)€人信息。根據(jù)個保法第69條，我國立法對個人信息處理者的侵權(quán)責任采過錯推定原則，即在相關(guān)糾紛中平臺負有舉證責任證明自身沒有過錯，以防對平臺合規(guī)過于嚴苛，因舉證需求而保留用戶個人信息的也具有一定合理性。

第五，法律法規(guī)對保存期限有所規(guī)定的從其規(guī)定。例如，按照《網(wǎng)絡安全法》規(guī)定，網(wǎng)絡運營者留存相關(guān)網(wǎng)絡日志不少于6個月的時間。

五、結(jié)語

個人信息權(quán)益作為數(shù)字人權(quán)彰顯人之尊嚴，而承載主體自決性的刪除權(quán)為個人信息權(quán)益保駕護航?！秱€人信息保護法》雖展開了個人信息刪除權(quán)的法律框架，但總體而言還是抽象寬泛的，在個人信息刪除義務的具體履行上依舊缺乏明確指引。未來還需國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)相關(guān)部門對個人信息處理者刪除義務的具體規(guī)則和實施細則予以規(guī)定。本文為此提供了應對思路：義務主體上，區(qū)分數(shù)據(jù)共享與非數(shù)據(jù)共享主體之間的法律關(guān)系，明確第三方運營商的法定刪除義務；履行方式上，準確定位匿名化處理，厘清匿名化處理的法律標準為再識別的風險最小化，并予以動態(tài)規(guī)制；監(jiān)管機制上，推動企業(yè)內(nèi)部合規(guī)建設(shè)的同時，強調(diào)健全外部監(jiān)管，建立獨立監(jiān)督機構(gòu)；最后，相關(guān)立法亦應提供個人信息存儲期限的判斷標準，合理限制個人信息刪除義務無需履行的適用范圍。