程 嘯
所謂刪除權(quán)(right to erasure),是指在符合規(guī)定條件時,作為信息主體的個人所享有的請求個人信息處理者刪除所處理的其個人信息的權(quán)利。從比較法來看,不少國家或地區(qū)的個人信息保護法或個人數(shù)據(jù)保護法都明確規(guī)定了個人享有刪除權(quán)。在《個人信息保護法》頒布之前,我國法律上也已規(guī)定了信息主體即個人針對處理者的刪除權(quán)?!毒W(wǎng)絡安全法》第43條中第1句規(guī)定:“個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的,有權(quán)要求網(wǎng)絡運營者刪除其個人信息。”《民法典》第1037條第2款規(guī)定:“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的,有權(quán)請求信息處理者及時刪除?!薄段闯赡耆吮Wo法》第72條第2款規(guī)定:“未成年人、父母或者其他監(jiān)護人要求信息處理者更正、刪除未成年人個人信息的,信息處理者應當及時采取措施予以更正、刪除,但法律、行政法規(guī)另有規(guī)定的除外?!辈粌H如此,一些法規(guī)和規(guī)章還規(guī)定了處理者主動刪除個人信息的義務。例如,國務院頒布的《征信業(yè)管理條例》第16條第1款規(guī)定,征信機構(gòu)對個人不良信息的保存期限,自不良行為或者事件終止之日起為5年;超過5年的,應當予以刪除。國家網(wǎng)信辦頒布的《兒童個人信息網(wǎng)絡保護規(guī)定》第20條規(guī)定:“兒童或者其監(jiān)護人要求網(wǎng)絡運營者刪除其收集、存儲、使用、披露的兒童個人信息的,網(wǎng)絡運營者應當及時采取措施予以刪除,包括但不限于以下情形:(一)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息的;(二)超出目的范圍或者必要期限收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息的;(三)兒童監(jiān)護人撤回同意的;(四)兒童或者其監(jiān)護人通過注銷等方式終止使用產(chǎn)品或者服務的?!痹诳偨Y(jié)上述法律法規(guī)的規(guī)定并借鑒比較法立法經(jīng)驗的基礎上,為充分滿足我國個人信息權(quán)益保護的需要,《個人信息保護法》第47條對信息主體的刪除權(quán)作出規(guī)定,該條共分兩款,其中第1款規(guī)定:“有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權(quán)請求刪除:(一)處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要;(二)個人信息處理者停止提供產(chǎn)品或者服務,或者保存期限已屆滿;(三)個人撤回同意;(四)個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息;(五)法律、行政法規(guī)規(guī)定的其他情形?!钡?款規(guī)定:“法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個人信息從技術(shù)上難以實現(xiàn)的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理?!?/p>
我國《個人信息保護法》在規(guī)定個人享有刪除權(quán)的同時施加給個人信息處理者以刪除義務,這具有重要的意義:一方面,刪除權(quán)更好地保障了個人對其個人信息處理活動享有的決定權(quán);另一方面,刪除權(quán)也是對個人信息處理活動的兩項基本原則即合法原則與目的限制原則的貫徹落實。為了理論界與實務界更好地理解并正確適用《個人信息保護法》關(guān)于刪除權(quán)的規(guī)定,本文將圍繞《個人信息保護法》第47條并結(jié)合在該條起草過程中的爭論,對于刪除權(quán)進行較為全面系統(tǒng)的研究,主要研究的問題包括:刪除權(quán)與被遺忘權(quán)的關(guān)系;刪除權(quán)與同意的撤回及網(wǎng)絡侵權(quán)責任中的通知刪除規(guī)則的區(qū)別;刪除權(quán)適用的情形與要件;如何實現(xiàn)刪除的效果;刪除權(quán)被侵害的法律責任等。
被遺忘權(quán)(right to be forgotten)的概念最早是由2014年歐盟法院在針對西班牙的“岡薩雷斯訴谷歌案”(Google-González)所作出的判決中提出的。在該判決中,歐盟法院認為,作為數(shù)據(jù)控制者的谷歌公司對于其處理的第三方發(fā)布的帶有個人數(shù)據(jù)的網(wǎng)頁信息負有責任,有義務將其刪除。如果數(shù)據(jù)的使用超出收集或處理數(shù)據(jù)的目的,或者數(shù)據(jù)不完全、不正確、不相關(guān),或者超出儲存時間,或者存在強制性合法理由時,數(shù)據(jù)主體就享有“被遺忘權(quán)”,這種權(quán)利的享有不要求數(shù)據(jù)對數(shù)據(jù)主體造成傷害。該判決由此確立了歐盟法上的“被遺忘權(quán)”概念。2018年的歐盟《一般數(shù)據(jù)保護條例》第17條明確規(guī)定了被遺忘權(quán)。依據(jù)該條第2款規(guī)定,如果控制者將符合該條第1款條件的個人數(shù)據(jù)進行了公開傳播,則其應采取所有合理的方式予以刪除(包括采取可用的技術(shù)手段和投入合理成本),控制者有責任通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者刪除關(guān)于數(shù)據(jù)主體所主張的個人數(shù)據(jù)鏈接和復制件。這就是說,控制者并非僅僅是刪除自己所控制的數(shù)據(jù),還要對其公開傳播的數(shù)據(jù)負有通知其他第三方停止利用、刪除的義務。
2015年,在我國發(fā)生了第一起被遺忘權(quán)糾紛案件,即北京市第一中級人民法院終審的“任甲玉與北京百度網(wǎng)訊科技有限公司名譽權(quán)糾紛案”,該案引發(fā)了我國理論界與實務界對被遺忘權(quán)的關(guān)注和討論。在該案中,原告曾經(jīng)與無錫陶氏生物科技有限公司有過合作,網(wǎng)上存在不少關(guān)于該合作關(guān)系的信息。原告認為,其與陶氏公司的合作已經(jīng)結(jié)束,且因該公司在業(yè)界口碑不好,經(jīng)常有學生退錢,故如果有學生及合作伙伴搜索其名字,從百度頁面看到搜索結(jié)果會誤以為其與該公司還有合作,該不良搜索結(jié)果會影響其就業(yè)、工作交流及日常生活,這樣的搜索信息應當“被遺忘”,所以原告要求百度公司刪除這些信息。法院終審判決認為,我國現(xiàn)行法中并無法定稱謂為“被遺忘權(quán)”的權(quán)利類型,同時,由于“涉訴工作經(jīng)歷信息是任甲玉最近發(fā)生的情況,其目前仍在企業(yè)管理教育行業(yè)工作,該信息正是其行業(yè)經(jīng)歷的組成部分,與其目前的個人行業(yè)資信具有直接的相關(guān)性及時效性;任甲玉希望通過自己良好的業(yè)界聲譽在今后吸引客戶或招收學生,但是包括任甲玉工作經(jīng)歷在內(nèi)的個人資歷信息正是客戶或?qū)W生藉以判斷的重要信息依據(jù),也是作為教師誠實信用的體現(xiàn),這些信息的保留對于包括任甲玉所謂潛在客戶或?qū)W生在內(nèi)的公眾知悉任甲玉的相關(guān)情況具有客觀的必要性。任甲玉在與陶氏相關(guān)企業(yè)從事教育業(yè)務合作時并非未成年人或限制行為能力人、無行為能力人,其并不存在法律上對特殊人群予以特殊保護的法理基礎”①北京市第一中級人民法院(2015)一中民終字第09558號民事判決書。。故此,任甲玉在本案中主張的應“被遺忘”(刪除)信息的利益也不具有正當性和受法律保護的必要性,不應成為侵權(quán)保護的正當法益,其主張該利益受到一般人格權(quán)中所謂“被遺忘權(quán)”保護的訴訟主張,法院不予支持?!?〕
在我國《個人信息保護法》的起草過程中,學界就是否需要規(guī)定被遺忘權(quán)存在不同的看法。一種觀點認為,被遺忘權(quán)是現(xiàn)代信息社會中個人要求清除其負面歷史信息并消除因此對自身聲譽的不利影響的必然需求,有利于保障人格尊嚴。〔2〕在數(shù)字化與信息化時代,合理的遺忘機制已經(jīng)被打破,“記憶已經(jīng)成了常態(tài),而遺忘反而成了例外”〔3〕,“完整的數(shù)字化記憶代表了一種更為嚴酷的數(shù)字圓形監(jiān)獄。由于我們所說與所做的許多事情都被儲存在數(shù)字化記憶中,并且可以通過存儲器進行訪問,因此,我們的言行可能不僅會被我們同時代的人們所評判,而且還會受到所有未來人的評判”〔4〕?!吧系蹖捤『屯浳覀兊腻e誤,但互聯(lián)網(wǎng)從來不會,這就是為什么被遺忘權(quán)對于我們?nèi)绱酥匾?。隨著越來越多的私人數(shù)據(jù)在網(wǎng)絡上浮動,尤其是在社交網(wǎng)絡上,人們應當擁有將他們的數(shù)據(jù)完全加以刪除的權(quán)利?!薄?〕所以,應當通過確立被遺忘權(quán)而確立數(shù)字時代中新的遺忘機制,避免個人受困于歷史記憶,從而對抗信息與數(shù)字技術(shù)給個人打上的“永恒烙印”〔6〕?!秱€人信息保護法》所保護的不僅是信息隱私和信息主體的可識別性,同時表明越來越有必要關(guān)注個人信息作為評斷信息主體的功能,被遺忘權(quán)有助于信息主體更新其數(shù)字人格。遺忘過去是諒解個體的陳年劣跡的重要因素,有助于社會和解和個人自省,也可以撫慰逝者親屬的內(nèi)心?!?〕
反對被遺忘權(quán)的學者認為,被遺忘權(quán)希望實現(xiàn)的目標是刪除個人遺留在信息網(wǎng)絡當中的各種有關(guān)個人的數(shù)字痕跡,從而使其被其他人“忘記”,但這些數(shù)字痕跡往往是個人在之前產(chǎn)生的不光彩或不愿意讓別人“知曉”的信息?!?〕如果承認被遺忘權(quán),就意味著個人可以不斷重寫歷史、改頭換面,將虛假的個人歷史信息呈現(xiàn)于世人面前,這種做法構(gòu)成了對公眾的欺騙,損害了公眾的知情權(quán)與公共利益,不利于輿論監(jiān)督?!?〕網(wǎng)絡上涉及的個人信息并不一定僅是個人的信息,還會涉及其他人,因此承認被遺忘權(quán)會嚴重損害言論自由與信息的自由流動,同時也無端增加了企業(yè)的負擔。至于網(wǎng)絡與信息時代的數(shù)字化記憶可能會對個人產(chǎn)生的負面影響,應當通過社會規(guī)范與社會聲譽機制來調(diào)整,而非簡單的賦予個體以被遺忘權(quán)?!?0〕此外,被國內(nèi)學者熱議的歐盟《一般數(shù)據(jù)保護條例》所規(guī)定的被遺忘權(quán),其核心仍然是傳統(tǒng)的刪除權(quán),無非是在該權(quán)利的基礎上進行了擴展,即要求數(shù)據(jù)控制者在已進行傳播的情形下,應當告知第三方予以刪除。不少學者混淆了刪除權(quán)與被遺忘權(quán)的內(nèi)涵,將我國尚未建立的刪除權(quán)也打上被遺忘權(quán)的標簽,對我國個人信息保護立法而言,更為迫切的需求是建立包括刪除權(quán)在內(nèi)的最基本制度?!?1〕
筆者認為,所謂被遺忘權(quán)的實質(zhì)就是刪除權(quán),即賦予個人對于其個人信息處理的決定權(quán),有權(quán)在一定情形下要求個人信息處理者刪除所處理的其個人信息,我國《個人信息保護法》第47條已經(jīng)對刪除權(quán)作出了明確規(guī)定,且在《民法典》對網(wǎng)絡侵權(quán)責任中的通知刪除規(guī)則也作了詳細規(guī)定的情形下,已經(jīng)足以滿足網(wǎng)絡信息社會中個人刪除其負面歷史信息及消除對人格尊嚴和人格自由的不利影響的正當要求。具體闡述如下:首先,誠如學者所指出的,被遺忘權(quán)的實質(zhì)就是刪除權(quán),被遺忘權(quán)的重點不在于遺忘,而在于刪除,刪除權(quán)更貼合權(quán)利實質(zhì)?!?2〕無論是被遺忘權(quán)還是刪除權(quán),都是要實現(xiàn)個人對其個人信息在某種程度上的控制,即對其個人信息處理活動的決定權(quán),對此我國法律一直采取的是肯定態(tài)度,故此,從《網(wǎng)絡安全法》到《民法典》,再到《個人信息保護法》,都在不斷豐富和完善個人的刪除權(quán)等在內(nèi)的個人信息權(quán)益的內(nèi)容或權(quán)能。我國《個人信息保護法》第47條規(guī)定了在五種情形下,個人信息處理者應當承擔主動刪除個人信息的義務或者個人享有要求個人信息處理者刪除個人信息的權(quán)利。該條規(guī)定的刪除權(quán)的適用情形相當廣泛,足以將被遺忘權(quán)需要保護的情形涵蓋進去。此時,再規(guī)定所謂的被遺忘權(quán),顯然是疊床架屋。從歐盟《一般數(shù)據(jù)保護條例》第17條的規(guī)定來看,重點也是在第1款對于刪除或被遺忘的情形的具體規(guī)定,這些規(guī)定和我國《個人信息保護法》第47條的規(guī)定基本相同。
其次,如果網(wǎng)絡上發(fā)布的信息侵害了自然人的名譽權(quán)、隱私權(quán)等人格權(quán)益時,自然人基于名譽權(quán)、隱私權(quán)等人格權(quán)當然有權(quán)針對侵權(quán)人行使停止侵害、排除妨礙等人格權(quán)請求權(quán),要求發(fā)布相關(guān)信息的網(wǎng)絡用戶刪除該等信息。對此,《民法典》第995條有明確規(guī)定:“人格權(quán)受到侵害的,受害人有權(quán)依照本法和其他法律的規(guī)定請求行為人承擔民事責任。受害人的停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉請求權(quán),不適用訴訟時效的規(guī)定?!比绻W(wǎng)絡用戶利用網(wǎng)絡服務實施侵害自然人人格權(quán)的侵權(quán)行為,除了該網(wǎng)絡用戶應當承擔侵權(quán)責任外,依據(jù)《民法典》第1195條規(guī)定,被侵權(quán)人還有權(quán)要求網(wǎng)絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施,網(wǎng)絡服務提供者接到通知后,應當及時將該通知轉(zhuǎn)送相關(guān)網(wǎng)絡用戶,并根據(jù)構(gòu)成侵權(quán)的初步證據(jù)和服務類型采取必要措施;未及時采取必要措施的,對損害的擴大部分與該網(wǎng)絡用戶承擔連帶責任。該規(guī)定就足以保證那些侵害人格權(quán)的信息從網(wǎng)絡上被刪除。
再次,如果網(wǎng)絡上的信息是完全合法公開的個人信息,即便如西班牙谷歌案那樣,將搜索引擎服務提供者提供的搜索服務也視為個人信息的處理活動,那么依據(jù)《個人信息保護法》第27條以及《民法典》第1036條,個人信息處理者也可以在合理的范圍內(nèi)處理這些合法公開的個人信息,除非個人明確拒絕。個人信息處理者處理公開的個人信息,對于個人權(quán)益有重大影響的,應當依照《個人信息保護法》的規(guī)定征得個人同意。從此角度來說,如果有人可以證明其已經(jīng)合法公開的個人信息若被搜索引擎服務提供者搜索出來也會對其個人權(quán)益產(chǎn)生重大影響,則可以依據(jù)《個人信息保護法》第27條以及《民法典》第1036條的規(guī)定,并結(jié)合《個人信息保護法》第47條第4項的規(guī)定,向個人信息處理者行使刪除權(quán)。換言之,這種處理合法公開的個人信息對個人權(quán)益有重大影響,因其并未取得個人的同意,同時也沒有《個人信息保護法》第13條第1款第2—7項規(guī)定的其他合法根據(jù),故此,包括搜索引擎服務提供者在內(nèi)的個人信息處理者屬于違反法律處理個人信息,個人有權(quán)請求其刪除(對搜索引擎服務而言即斷開鏈接)。
應當說,除上述情形之外,自然人已無正當?shù)睦嬉笫咕W(wǎng)絡服務提供者或個人信息處理者刪除相關(guān)個人信息。凡是不符合前述情形而需要被刪除的個人信息,無論是以何種方式在網(wǎng)絡上呈現(xiàn)或流動,都是合法的,個人無權(quán)要求刪除。倘若在自然人沒有任何正當性理由的情況下可以通過被遺忘權(quán)去刪除個人信息,勢必損害言論自由和公眾的知情權(quán),不利于維護公共利益。①以我國發(fā)生的“任甲玉案”為例可知,網(wǎng)絡服務提供者通過搜索引擎所收錄的是已經(jīng)合法公開的、客觀真實的個人信息,這些信息通過網(wǎng)絡服務提供者以搜索引擎的方式被再次呈現(xiàn),既沒有侵害原告的隱私權(quán)、名譽權(quán)等人格權(quán)益,也沒有對原告的其他民事權(quán)益造成侵害,更未損害其人格尊嚴或妨害人格自由,故此,原告無權(quán)請求被告刪除相關(guān)鏈接。但是,西班牙的“岡薩雷斯訴谷歌”案的情形,則有所不同。該案中通過谷歌搜索岡薩雷斯全名可與其財產(chǎn)被強制拍賣的信息相連,在岡薩雷斯生活的區(qū)域內(nèi)對其個人的生活造成了一定的困擾,涉及對其人格尊嚴和職業(yè)發(fā)展這些重大利益的侵害,故此,法院認為岡薩雷斯有權(quán)要求谷歌斷開相關(guān)個人信息的鏈接是妥當?shù)摹Hf方教授對“任甲玉案”與“岡薩雷斯案”的不同之處有深入詳細的分析,具體參見萬方:《終將被遺忘的權(quán)利——我國引入被遺忘權(quán)的思考》,《法學評論》2016年第6期。誠如學者所言,由于歐盟法院在西班牙谷歌案中沒有認識到網(wǎng)絡搜索引擎是如何承載了讓如今的民主公眾輿論形成事實上的交往空間的功能,故此,該案判決已經(jīng)產(chǎn)生了巨大的負面作用,嚴重損害了言論自由,制造了新時代的網(wǎng)絡審查制度?!?3〕據(jù)統(tǒng)計,自2014年6月以來,西班牙谷歌案已經(jīng)促使谷歌處理了至少703910件請求,這些請求要求谷歌從搜索引擎中刪除1948737個鏈接(URL),谷歌也在以姓名為關(guān)鍵詞的搜索結(jié)果中刪除了這些鏈接中的至少43.2%。在過去數(shù)年中,被遺忘權(quán)曾被一名鄉(xiāng)村牧師所主張,他曾在村民指控他裸身站在住宅窗邊咒罵孩童后辭職;被一名醫(yī)生所主張,他曾試圖在他懷孕情婦的飲料中下藥致使兒子流產(chǎn)而被定罪;被一名屠夫所主張,他曾威脅要將與他不和的妻子參與集體性愛行為的錄像寄給他富有的岳父母進行敲詐勒索而被定罪。甚至有人主張被遺忘權(quán)來對抗關(guān)于被遺忘權(quán)的文章。〔14〕正因如此,歐盟《一般數(shù)據(jù)保護條例》第17條第2款雖然規(guī)定了被遺忘權(quán),但是在第3款對被遺忘權(quán)的適用進行了嚴格限制,即在以下情形之一時,不能行使刪除權(quán),也不能行使被遺忘權(quán):(1)行使表達和信息自由的權(quán)利;①這一例外情形不僅可以由新聞媒體所引用,而且可以為任何主體所引用,用來排除被遺忘權(quán)。Paul Voigt&Axel von demBussche,The EU General Data Protection Regulation(GDPR):A Practical Guide,Switzerland:Springer International Publishing AG,2017,p.159.(2)為了公共健康領域的公共利益;(3)根據(jù)控制者所應遵守的歐盟或成員國法律規(guī)定的處理的法定義務,或為執(zhí)行符合公共利益的任務,或在行使控制者被授予的官方任務時;(4)為了公共衛(wèi)生領域的公共利益;(5)為了公共利益、科學、歷史研究或數(shù)據(jù)統(tǒng)計目的,如果刪除個人信息則導致該目的不可能實現(xiàn)或嚴重損害該目標的實現(xiàn);(6)為法定請求權(quán)的確立、行使和抗辯。
依據(jù)《個人信息保護法》第15條,當處理者是基于個人同意而處理個人信息時,個人有權(quán)撤回同意。而一旦個人撤回了同意,那么個人信息處理者就喪失了處理個人信息的合法性根據(jù),除非依據(jù)法律、行政法規(guī)的規(guī)定可以繼續(xù)處理個人信息,否則應當停止處理個人信息。此時就涉及撤回同意與刪除權(quán)的關(guān)系問題。一方面,從兩者的適用關(guān)系來看,撤回同意可能會導致處理者必須刪除個人信息,但并非必然如此。因為在個人撤回同意后,如果處理者符合法律、行政法規(guī)規(guī)定的處理個人信息的情形,如《個人信息保護法》第13條第1款第2—7項規(guī)定的不需要取得個人同意即可處理個人信息的情形,那么即便個人撤回同意,也并不必定導致個人信息處理者要刪除所處理的個人信息。此外,個人只有針對那些基于個人同意而處理個人信息的情形才能撤回同意,如果本身就不是基于個人同意而處理個人信息的,個人無法撤回。此時,如果存在處理目的已經(jīng)實現(xiàn)、無法實現(xiàn)等法律規(guī)定的應當刪除的情形,則個人只要行使刪除權(quán)即可,無法也沒有必要撤回個人同意。而且,在處理者完全就是非法處理個人信息時,如通過竊取、非法買賣等方式取得個人信息的,處理者處理個人信息完全就是非法的,個人顯然不需要通過撤回同意來阻止處理者處理個人信息,而只需要通過行使刪除權(quán)要求個人信息處理者予以刪除。另一方面,從兩者的法律效果來看,在個人信息處理者非法處理個人信息而侵害個人信息權(quán)益并造成損害時,自然人不僅有權(quán)要求處理者刪除其違法處理的個人信息,還有權(quán)要求處理者承擔賠償損失等侵權(quán)責任。但是,在撤回同意的情形下,個人撤回同意這一行為本身并不影響撤回前基于個人同意已進行的個人信息處理活動的效力,故此,個人不可能在撤回同意后,要求處理者就此前的處理行為承擔民事責任。
我國《民法典》侵權(quán)責任編對網(wǎng)絡侵權(quán)責任作出了詳細的規(guī)定,其中一項重要的規(guī)則就是“通知刪除規(guī)則”。依據(jù)《民法典》第1195、1196條規(guī)定,當權(quán)利人發(fā)現(xiàn)網(wǎng)絡用戶利用網(wǎng)絡服務提供者提供的網(wǎng)絡服務對其實施侵權(quán)行為時,有權(quán)通知網(wǎng)絡服務提供者采取刪除等措施,網(wǎng)絡服務提供者在接到權(quán)利人的有效通知后應當及時采取該等措施,否則需就擴大的損害與實施侵權(quán)行為的網(wǎng)絡用戶一起向權(quán)利人承擔連帶責任。由此可見,在網(wǎng)絡侵權(quán)糾紛中,網(wǎng)絡服務提供者在特定條件下也負有刪除義務。雖然都用了“刪除”一詞,但是這兩類刪除是不同的,它們存在以下區(qū)別:首先,適用的范圍不同?!秱€人信息保護法》規(guī)定的刪除權(quán)適用于個人信息處理活動中,是個人針對個人信息處理者所主張的權(quán)利,無論處理者是否為國家機關(guān),也無論處理個人信息是否通過網(wǎng)絡,均可以適用。但是,《個人信息保護法》中的刪除權(quán)不適用于自然人因個人或者家庭事務處理個人信息的情形?!睹穹ǖ洹逢P(guān)于網(wǎng)絡侵權(quán)責任中規(guī)定的刪除屬于法律施加給網(wǎng)絡服務提供者預防和制止網(wǎng)絡侵權(quán)行為的一項義務,其僅適用于網(wǎng)絡服務提供者,而不適用于其他主體,至于該網(wǎng)絡服務提供者是否屬于個人信息處理者,在所不問。也就是說,無論網(wǎng)絡侵權(quán)行為侵害的是否屬于個人信息權(quán)益,都可以適用《民法典》網(wǎng)絡侵權(quán)責任中規(guī)定的刪除。
其次,適用條件不同?!秱€人信息保護法》所規(guī)定的刪除,既包括個人信息處理者主動刪除,也包括個人請求處理者加以刪除。但是,《民法典》網(wǎng)絡侵權(quán)責任中網(wǎng)絡服務提供者采取刪除這一措施的情形有兩種:一是,網(wǎng)絡服務提供者不知道并且不應當知道網(wǎng)絡用戶利用其網(wǎng)絡服務侵害他人民事權(quán)益,此時需要權(quán)利人發(fā)出符合法律要求的通知,網(wǎng)絡服務提供者收到該通知后有義務刪除;二是,網(wǎng)絡服務提供者知道或者應當知道有人利用其網(wǎng)絡服務實施侵權(quán)行為的,那么無論網(wǎng)絡用戶是否通知,網(wǎng)絡服務提供者都必須采取刪除等措施。
再次,法律后果不同。個人信息處理者侵害個人刪除權(quán)時,個人有權(quán)提起訴訟,請求法院判決處理者履行刪除義務。在網(wǎng)絡侵權(quán)責任中,如果網(wǎng)絡服務提供者在接到權(quán)利人的通知后沒有及時采取刪除等必要措施,或者該提供者知道或者應當知道網(wǎng)絡用戶利用其網(wǎng)絡服務侵害他人民事權(quán)益而未采取刪除等必要措施,則網(wǎng)絡服務提供者與侵權(quán)人承擔連帶責任。
所謂刪除的適用范圍,是指在何種情形下,個人信息處理者應當刪除其處理的個人信息,且個人有權(quán)請求處理者予以刪除。從立法上來看,一般都是既規(guī)定能夠適用刪除權(quán)的情形,也規(guī)定不能適用刪除權(quán)的情形。例如,歐盟《一般數(shù)據(jù)保護條例》第17條第1款規(guī)定的是能夠適用刪除權(quán)即被遺忘權(quán)的具體情形,而第3款則規(guī)定了不能要求刪除的情形。我國《個人信息保護法》第47條也采取了這一模式,具體闡述如下。
依據(jù)《個人信息保護法》第47條第1款,以下五種情形中,個人信息處理者應當刪除其處理的個人信息,若未刪除的,個人有權(quán)請求刪除:
1.處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要。這一刪除的情形與目的限制原則密切相關(guān)。目的限制原則要求處理者處理個人信息應當具有明確、合理的目的,并且應當與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式(《個人信息保護法》第6條)。目的限制原則構(gòu)成了刪除權(quán)適用的最核心場景,這也就意味著只有處理目的是明確、具體的,才可能出現(xiàn)處理者目的已實現(xiàn)、無法實現(xiàn)或為實現(xiàn)處理目的而不再必要的可能?!?5〕例如,A公司有三個空缺崗位對外進行招聘,收到了100名應聘者投遞的簡歷,經(jīng)過刪選,最終有10名應聘者進入面試環(huán)節(jié)。這種情形下,沒有進入面試環(huán)節(jié)的90名應聘者的個人信息對于處理者A公司實現(xiàn)其處理目的(招聘新員工)而言,就不再必要了,應當刪除。一旦10名面試者中最終錄取了3人,此次招聘完成,則剩余7人的個人信息也應當刪除,因為A公司的處理目的已經(jīng)實現(xiàn)了。如果處理者有多個個人信息的處理目的,僅僅其中部分處理目的實現(xiàn)了,個人信息對于實現(xiàn)剩下的處理目的而言仍然是必要的,則處理者可以不刪除個人信息。
2.個人信息處理者停止提供產(chǎn)品或者服務。在很多情形中,處理者之所以處理個人信息,是為了履行其與個人之間訂立的合同,向個人提供產(chǎn)品或者服務,對某些個人信息的處理對于提供產(chǎn)品或者服務來說是必需的。故此,處理者可以基于個人的同意或者在履行個人作為一方當事人的合同所必需的情況下無需取得個人的同意而處理個人信息。然而,一旦個人信息處理者停止提供產(chǎn)品或者服務,則個人信息的處理目的就不存在了,處理的正當性也消失了,處理者應當主動刪除個人信息。所謂個人信息處理者停止提供產(chǎn)品或者服務的情形包括:個人信息處理者已經(jīng)履行完畢與個人之間訂立的合同或者雙方的合同已因解除等其他原因而終止;個人信息處理者因為解散、破產(chǎn)等原因已經(jīng)無法提供產(chǎn)品或者服務。
3.個人信息的保存期限已屆滿。這個保存期限首先是指法律、行政法規(guī)規(guī)定的保存期限。當法律、行政法規(guī)規(guī)定了保存期限時,處理者與個人約定的保存期限不得少于法律、行政法規(guī)規(guī)定的保存期限。只有在法律、行政法規(guī)沒有規(guī)定保存期限時,處理者與個人才能進行約定,當然,該保存期限的約定也應當遵循目的限制原則,即保存期限應當為實現(xiàn)處理目的所必要的最短時間(《個人信息保護法》第19條)。無論是法定的保存期限還是約定的保存期限屆滿的,個人信息處理者均應主動刪除個人信息。
4.個人撤回同意。在基于個人同意而進行的個人信息處理中,個人同意是個人信息處理活動的合法性基礎,而個人有權(quán)隨時撤回同意,雖然撤回同意不影響撤回前基于個人同意已經(jīng)進行的個人信息處理活動的效力(《個人信息保護法》第15條第2款),但是,在個人撤回同意后,個人信息處理活動除非具有其他合法根據(jù),否則處理者再進行處理活動就是非法的。在這種情形下,個人信息處理者也沒有必要繼續(xù)儲存?zhèn)€人信息了,應當主動刪除。個人在撤回同意的同時可以要求處理者刪除其個人信息。當然,個人也可以僅僅撤回同意,但不要求處理者刪除其個人信息。此時,個人信息處理者只能存儲個人信息和采取必要的安全保護措施,但必須停止其他的個人信息處理活動。
5.個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息。上文提到的刪除情形都是個人信息處理者合法地處理個人信息的情形,而一旦處理者違反法律、行政法規(guī)或者約定處理個人信息的,那么這種處理活動即是非法的,個人信息處理者應當立即停止非法處理活動,即刪除個人信息,而個人也有權(quán)請求其刪除。個人信息處理者刪除個人信息并不能免除其因非法處理活動而需要承擔的法律責任。由于個人信息處理者違反法律、行政法規(guī)或約定而處理個人信息的情形各不相同,因此刪除義務的主體或刪除權(quán)所指向的對象也不同。如果處理者未取得個人同意而收集個人信息的,該處理者應當刪除非法收集的個人信息;如果處理者未取得個人的單獨同意而公開其處理的個人信息的,應當刪除該個人信息,同時還應當通知其他處理該信息的處理者加以刪除;如果處理者未取得個人的單獨同意將個人信息提供給其他處理者的,接受者應當主動刪除,而提供者也負有通知接受者刪除該個人信息的義務。
6.法律、行政法規(guī)規(guī)定的其他情形。這是兜底性規(guī)定,例如,《征信業(yè)管理條例》第16條第1款規(guī)定:“征信機構(gòu)對個人不良信息的保存期限,自不良行為或者事件終止之日起為5年;超過5年的,應當予以刪除?!?/p>
關(guān)于不得刪除個人信息的情形,比較法上的規(guī)定有所不同。歐盟《一般數(shù)據(jù)保護條例》第17條第3款規(guī)定了五種不得刪除的情形,如行使言論和信息自由的權(quán)利、為了公共衛(wèi)生領域的公共利益等,對此上文已經(jīng)有介紹。再如,德國《聯(lián)邦數(shù)據(jù)保護法》第35條第1款規(guī)定:“如果在非自動化數(shù)據(jù)處理的情形中,刪除是不可能的或者因特定的儲存方式刪除需要付出不合理的努力并且數(shù)據(jù)主體對刪除只具有最低的利益,則數(shù)據(jù)主體無權(quán)要求刪除并且控制者也沒有義務依據(jù)歐盟第2016/679號條例第17條第1款刪除個人數(shù)據(jù),除非符合該條例第17條第3款規(guī)定的例外情形。前述情形中,應當適用歐盟第2016/679號條例第18條的限制處理來取代刪除。如果個人數(shù)據(jù)的處理是非法的,第1句和第2句的規(guī)定不適用。”我國臺灣地區(qū)“個人資料保護法”第11條第3項規(guī)定:“個人資料搜集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執(zhí)行職務或業(yè)務所必須或經(jīng)當事人書面同意者,不在此限?!蔽覈_灣地區(qū)的“個人資料保護法實施細則”第21條將該項中“因執(zhí)行職務或業(yè)務所必須”細化為三種情形:“一、有法令規(guī)定或契約約定之保存期限。二、有理由足認刪除將侵害當事人值得保護之利益。三、其他不能刪除之正當事由?!?/p>
我國《個人信息保護法》第47條第2款規(guī)定了兩種不能刪除的情形。在這兩種情形中,由于刪除個人信息存在法律上的不能(法律、行政法規(guī)規(guī)定的保存期限未屆滿)和客觀上的不能(刪除個人信息在技術(shù)上難以實現(xiàn)),所以,第47條第2款規(guī)定了個人信息處理者應當停止除存儲和采取必要安全保護措施之外的處理,即個人信息處理者可以繼續(xù)存儲個人信息并采取必要的安全保護措施,至于其他的處理活動應當全部予以停止。
1.法律、行政法規(guī)規(guī)定的保存期限未屆滿。這是指雖然已經(jīng)符合第47條第1款第1—3項的情形,個人信息處理者應當主動刪除個人信息,但是由于法律、行政法規(guī)規(guī)定了保存期限,而該期限并未屆滿,如果個人信息處理者主動刪除個人信息或者個人有權(quán)請求刪除個人信息,就勢必出現(xiàn)違反法律、行政法規(guī)的規(guī)定。例如,《證券法》第137條規(guī)定:“證券公司應當建立客戶信息查詢制度,確保客戶能夠查詢其賬戶信息、委托記錄、交易記錄以及其他與接受服務或者購買產(chǎn)品有關(guān)的重要信息。證券公司應當妥善保存客戶開戶資料、委托記錄、交易記錄和與內(nèi)部管理、業(yè)務經(jīng)營有關(guān)的各項信息,任何人不得隱匿、偽造、篡改或者毀損。上述信息的保存期限不得少于二十年?!薄峨娮雍灻ā返?4條規(guī)定:“電子認證服務提供者應當妥善保存與認證相關(guān)的信息,信息保存期限至少為電子簽名認證證書失效后五年?!薄毒裥l(wèi)生法》第47條規(guī)定:“醫(yī)療機構(gòu)及其醫(yī)務人員應當在病歷資料中如實記錄精神障礙患者的病情、治療措施、用藥情況、實施約束、隔離措施等內(nèi)容,并如實告知患者或者其監(jiān)護人?;颊呒捌浔O(jiān)護人可以查閱、復制病歷資料;但是,患者查閱、復制病歷資料可能對其治療產(chǎn)生不利影響的除外。病歷資料保存期限不得少于三十年?!痹谇笆龇梢?guī)定的保存期限內(nèi),無論是處理目的已經(jīng)實現(xiàn)或者為實現(xiàn)處理目的不再必要,抑或個人信息處理者停止提供產(chǎn)品或者服務,個人撤回同意的,都不能刪除個人信息。此時,個人信息處理者必須停止除了存儲之外的處理活動。此外,由于處理者依然存儲個人信息,故此,依據(jù)《個人信息保護法》第51條、《民法典》第1038條第2款以及《網(wǎng)絡安全法》第42條第2款的規(guī)定,處理者應當采取必要的安全保護措施。由于采取必要的安全保護措施也涉及對個人信息的一些處理,如加密、去標識化等,所以《個人信息保護法》第47條第2款統(tǒng)稱為“個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理”。
2.刪除個人信息從技術(shù)上難以實現(xiàn)。在現(xiàn)代網(wǎng)絡信息社會中,收集個人信息越來越容易,成本也越來越低,但是刪除個人信息的成本卻比較高?!艾F(xiàn)實中,大多數(shù)數(shù)據(jù)庫都隨著時間的推移拼在一起,并未考慮今后要如何刪除數(shù)據(jù);如果一個數(shù)據(jù)庫非常復雜,那么一個程序員要耗費幾十個小時(或更多)從新數(shù)據(jù)中整理出舊數(shù)據(jù)并準確地刪除不再需要的部分。雇用一個可以嫻熟地處理如此復雜的數(shù)據(jù)庫的程序員,一不小心就要花費100多美元(每小時),而且價格只會越來越高?!薄?6〕個人信息越是被安全地刪除,所需要的成本就越高。然而,不能簡單地將刪除個人信息的成本高看作是技術(shù)上難以實現(xiàn)。《個人信息保護法》第47條第2款所稱的“刪除個人信息從技術(shù)上難以實現(xiàn)”,應當理解為:現(xiàn)有的技術(shù)根本無法刪除個人信息或者在現(xiàn)有的技術(shù)條件下需要付出不合理成本才能刪除。例如,當個人信息是采取云存儲的方式時,“相同的數(shù)據(jù)庫或數(shù)據(jù)庫表會存儲不同用戶的數(shù)據(jù),所以這并不是單純的物理存儲,而是能在不同用戶間共享的邏輯存儲,仍需要軟件進行分離”,“用戶通過軟件實現(xiàn)案件,以確保其他用戶無法故意或意外地獲取其數(shù)據(jù)”〔17〕。在云存儲的情形下,除非全部清空用戶的數(shù)據(jù),否則無法刪除個人信息,故此,這種情形就屬于刪除個人信息從技術(shù)上難以實現(xiàn)。此時,可以采取停止除存儲和采取必要的安全保護措施之外的處理,以實現(xiàn)刪除個人信息旨在達到的目標。
依據(jù)《個人信息保護法》第47條,當存在需要刪除個人信息的情形時,首先應當由個人信息處理者主動刪除個人信息。所謂個人信息處理者,即自主決定處理目的、處理方式的組織、個人。如果處理者是共同處理者,即兩個以上的個人信息處理者共同決定個人信息處理目的與處理方式的,那么任何一個共同處理者都負有主動刪除個人信息的義務,至于他們內(nèi)部的約定(如約定僅由某個處理者負責刪除或收到個人提出刪除其個人信息的請求后予以刪除的),對于個人行使刪除權(quán)不產(chǎn)生影響(《個人信息保護法》第20條第1款)。如果個人信息處理者因為合并、分立等原則導致個人信息發(fā)生轉(zhuǎn)移的,則接收方負有主動刪除的義務。如果處理者向他人提供其處理的個人信息或者向境外提供個人信息的,提供方和接收方都負有刪除的義務,個人也可以請求其刪除。
當負有主動刪除個人信息義務的處理者沒有進行刪除的,個人作為刪除權(quán)的主體有權(quán)請求其刪除。個人信息的刪除權(quán)可以由信息主體本人親自行使,也可以委托其他人代為行使。當信息主體是未成年人時,應當由其父母或者其他監(jiān)護人行使更正補充權(quán)。對此,《未成年人保護法》第72條第2款規(guī)定:“未成年人、父母或者其他監(jiān)護人要求信息處理者更正、刪除未成年人個人信息的,信息處理者應當及時采取措施予以更正、刪除,但法律、行政法規(guī)另有規(guī)定的除外?!贝送猓勒叩慕H屬也可以針對死者的相關(guān)個人信息行使刪除權(quán)(《個人信息保護法》第49條)。
個人信息處理者在收到個人提出的刪除個人信息的請求后,負有驗證提出請求的個人是否屬于適合主體的義務,否則就可能錯誤刪除其他人的個人信息。《個人信息保護法》第51條已經(jīng)明確要求個人信息處理者應當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等,采取措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失,這些措施包括了制定內(nèi)部管理制度和操作規(guī)程;對個人信息實行分類管理;采取相應的加密、去標識化等安全技術(shù)措施;合理確定個人信息處理的操作權(quán)限,并定期對從業(yè)人員進行安全教育和培訓;制定并組織實施個人信息安全事件應急預案;法律、行政法規(guī)規(guī)定的其他措施等。
無論是個人信息處理者主動刪除,還是個人行使刪除權(quán),最終目的是要做到刪除個人信息。問題是何為“刪除”。換言之,做到何種程度才被認為是《個人信息保護法》要求的“刪除”。《個人信息保護法》并未對“刪除”進行界定?!缎畔踩夹g(shù)個人信息安全》(GB/T 35273-2020)第3.10條將刪除界定為“在實現(xiàn)日常業(yè)務功能所涉及的系統(tǒng)中去除個人信息的行為,使其保持不可被檢索、訪問的狀態(tài)”。歐盟第29條工作組認為,個人數(shù)據(jù)的刪除意味著:無論個人數(shù)據(jù)是存儲在硬盤還是其他存儲介質(zhì)上都應當被刪除,由于個人數(shù)據(jù)可以在不同位置的不同服務器上都有備份,故此必須確保所有數(shù)據(jù)實例被不可恢復地刪除(之前版本、臨時文檔,甚至文檔碎片也都要刪除)。①Article 29 Data Protection Working Party,Opinion 05/2012 on Cloud Computing,WP 196,Adopted July 1st 2012,p.12.我國臺灣地區(qū)“個人資料保護法施行細則”第6條第1款規(guī)定:“本法第二條第四款所稱刪除,指使已儲存之個人資料自個人資料檔案中消失。”筆者認為,由于刪除個人信息的根本目的就是要使得個人信息不可用,即處理者或者其他人不可能取得、讀取與使用個人信息,故此只要通過某種措施使得個人信息無法或者除非花費巨額的成本否則不可能再被處理者或其他人取得、讀取與使用即可。具體的方式可以是物理上毀掉存儲個人信息的硬盤,也可以是其他的技術(shù)手段。如果僅僅是無法在線訪問或者刪掉回收站,顯然不構(gòu)成刪除,因為處理者可以很輕易地再次取得和使用該個人信息。
當存在《個人信息保護法》第47條第1款規(guī)定的情形之一,處理者主動刪除個人信息的,應當將其刪除個人信息這一情況告知個人。《兒童個人信息網(wǎng)絡保護規(guī)定》第23條規(guī)定:“網(wǎng)絡運營者停止運營產(chǎn)品或者服務的,應當立即停止收集兒童個人信息的活動,刪除其持有的兒童個人信息,并將停止運營的通知及時告知兒童監(jiān)護人。”從這一規(guī)定來看,似乎停止運營的通知就相當于刪除個人信息的告知義務。
個人信息處理者應當主動刪除個人信息的時間,就是指從個人信息處理者發(fā)現(xiàn)存在法律規(guī)定應當主動刪除的個人信息時起,毫不遲延地刪除個人信息所需要的時間。如果個人請求處理者刪除的,則應當自處理者接到刪除的請求時起毫不遲延地刪除個人信息?!秱€人信息保護法》沒有規(guī)定具體的時限,有一些規(guī)章和文件作了相關(guān)規(guī)定。例如,《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》第9條第1款第2項規(guī)定,汽車數(shù)據(jù)處理者處理敏感個人信息,個人要求刪除的,汽車數(shù)據(jù)處理者應當在10個工作日內(nèi)刪除。再如,《App違法違規(guī)收集使用個人信息行為認定方法》第6條規(guī)定,15個工作日是刪除的最高時限,App運營者主動承諾的時限可以低于15個工作日,但不能超過。如果沒有承諾時限的,不得長于15個工作日。
如果存在應當刪除個人信息的情形,但是個人信息處理者未依法主動刪除的,依據(jù)《個人信息保護法》第47條,個人有權(quán)請求刪除。所謂請求刪除,是指個人向個人信息處理者提出請求,要求個人信息處理者予以刪除。如果個人信息處理者拒絕個人行使刪除權(quán)的請求,依據(jù)《個人信息保護法》第50條第2款規(guī)定,個人可以依法向人民法院提起訴訟。在《個人信息保護法》的起草過程中,曾有一些人認為,個人在個人信息處理活動中的權(quán)利如查詢復制權(quán)、更正補充權(quán)、刪除權(quán)等如果未能得到實現(xiàn),即處理者拒絕的,應當由履行個人信息保護職責的部門采取相應的處罰措施,而不應當允許個人提起訴訟,理由在于:首先,如果允許起訴,就會被人惡意利用來增加個人信息處理者的負擔;其次,會給法院造成很大的麻煩,導致訴訟“爆炸”,案件量激增。另一種觀點認為,沒有救濟就沒有權(quán)利,如果個人在個人信息處理活動中的權(quán)利遭受侵害后,不能向法院起訴,則等于沒有規(guī)定這些權(quán)利,無法實現(xiàn)保護個人信息權(quán)益的立法目的。
在審議《個人信息保護法》時,有全國人大常委會委員提出,應當要求個人信息處理者提供便捷的途徑,并明確個人向人民法院起訴尋求救濟的權(quán)利,以更好保障個人行使個人信息查詢、復制等權(quán)利,憲法和法律委員會經(jīng)研究后接受了該意見〔18〕,最終,《個人信息保護法》第50條第2款明確規(guī)定:“個人信息處理者拒絕個人行使權(quán)利的請求的,個人可以依法向人民法院提起訴訟?!惫P者認為,這一規(guī)定是正確的。首先,如果規(guī)定了個人在個人信息處理活動中的權(quán)利,卻不允許權(quán)利人在權(quán)利無法得到實現(xiàn)時尋求法院的救濟,那么該權(quán)利就沒有意義了。沒有救濟,就沒有權(quán)利。其次,任何權(quán)利都可能被濫用,對此自有法律加以規(guī)范,《民法典》第132條已經(jīng)明確規(guī)定:“民事主體不得濫用民事權(quán)利損害國家利益、社會公共利益或者他人合法權(quán)益。”故此,以權(quán)利可能被濫用來否定權(quán)利的可訴性,屬于本末倒置。再次,至于所謂的訴訟“爆炸”,也沒有證據(jù)加以支持。況且,通過合理的程序設計也可以防止這種可能性。
刪除權(quán)屬于個人在個人信息處理活動中的權(quán)利,性質(zhì)上是個人信息權(quán)益的權(quán)利內(nèi)容,即手段性權(quán)利,我國《個人信息保護法》規(guī)定刪除權(quán)的目的也是為了保護個人信息權(quán)益,故此,刪除權(quán)是個人信息權(quán)益的權(quán)能,不是獨立的人格權(quán),同時刪除權(quán)指向的是個人信息處理者,屬于請求權(quán),而非絕對權(quán)。個人信息處理者不依法履行刪除義務且在個人請求其刪除時拒絕刪除的,其行為構(gòu)成對刪除權(quán)的侵害。依據(jù)《個人信息保護法》第50條第2款,個人可以依法向人民法院提起訴訟,該訴訟屬于給付之訴,即由法院判決處理者履行刪除義務并在其不履行時通過國家強制力予以實現(xiàn)。侵害刪除權(quán)本身不會產(chǎn)生侵權(quán)賠償責任,只有在侵害刪除權(quán)給個人造成財產(chǎn)損失或精神損害時,個人信息處理者才應當承擔損害賠償?shù)惹謾?quán)責任(《個人信息保護法》第69條)。
綜上,刪除權(quán)作為個人信息權(quán)益的重要內(nèi)容,對于實現(xiàn)個人對其個人信息處理的決定權(quán)具有至關(guān)重要的作用。雖然我國《民法典》和《個人信息保護法》都對刪除權(quán)作出了規(guī)定,但是,這些法律規(guī)定總體上仍然是比較原則且抽象的,故此,需要未來有相應的法規(guī)規(guī)章以及標準等加以細化,從而使之具有可操作性。此外,隨著《個人信息保護法》的施行,司法實踐中必將出現(xiàn)刪除權(quán)的相關(guān)糾紛,通過這些糾紛也能暴露出更具體的問題并累積司法經(jīng)驗,這樣也可以為刪除權(quán)的行使提供更好的司法保障。