註銷賬戶的權利與刪除個人信息的權利的最大區別在於,賬戶註銷制度的目的是保護可以決定在網絡空間重置其數字身份的用戶的權益。賬號註銷的必然結果就是個人信息的刪除。因此,賬戶註銷是個人信息生命周期中的最後壹個環節,其法律效力是徹底清除用戶的數字身份和個人信息。
隨著軟件開發包技術(SDK技術)在商業實踐中的廣泛普及,大部分網絡平臺都支持第三方賬號的快速登錄。簡單來說,微信用戶可以通過微信賬號快速登錄餓了麽、WPS Office等軟件,支付寶個人賬號也可以登錄淘寶電影、優酷等平臺軟件。這種便捷的商業模式確實提升了用戶服務體驗,但也帶來了相關的信息安全風險。信息處理器可以直接捕捉用戶賬號的使用行為,借助大數據等信息技術形成越來越精準的用戶畫像,發現和定位特定個體的生活習慣、購物傾向、行動軌跡、消費能力等私人生活內容。比如用戶在購物平臺剛買了壹件家電後,可以發現短視頻app精準推送與用戶之前購買的家電相似或相關的家電廣告視頻。
為解決網絡平臺過度收集和處理個人信息的問題,我國先後頒布了《數據安全法》和《個人信息保護法》,明確規定網絡平臺收集和處理個人信息應當遵循“合法、正當、必要”的基本原則,同時列舉了用戶對其個人信息的訪問、復制、查詢和刪除等權利。誠然,這些法律規定確實為公民個人提供了充分的權利救濟渠道,但每當公民決定不使用平臺賬號並註銷時,留在賬號中的個人信息是否真的被網絡平臺完全銷毀,並不確定。比如用戶註銷微信賬號後,微信確實會清空所有留在賬號內的個人信息,第三方無法再次訪問和查詢微信賬號。而賬戶內部數據和登錄其他平臺的界面數據,因為履行了刪除網絡平臺的義務,不在監管範圍內。微信等在線平臺可能會以更隱秘和私人的方式處理和分析個人信息。
因此,個人信息保護立法還有壹個“最後壹公裏”的問題需要解決:公民註銷賬號後,是針對賬號的不可撤銷性,還是針對賬號及其相關用戶個人信息的完全刪除?
銷戶權的立法現狀及商業實踐
銷戶權的法律地位
雖然我國現行立法已提及用戶有權註銷賬戶,但對賬戶註銷方式、註銷效果、賬戶註銷與刪除賬戶中個人信息的關系等內容並未細化,導致各大網絡平臺在其用戶協議或隱私政策中設定的用戶賬戶註銷方式各不相同,各種苛刻的前置條件、免責條款和隱性註銷功能正在制約用戶有效行使賬戶註銷權。
賬戶註銷權的相關規定主要包括三類:壹是在電信領域,承認用戶有權註銷電話號碼。例如,工業和信息化部2013頒布的《電信和互聯網個人信息保護規定》第九條第四款明確規定,用戶停止使用電信業務或者互聯網信息服務時,電信業務經營者、互聯網信息服務提供者應當停止收集或者使用個人信息,並有義務應用戶要求提供註銷號碼或者賬戶的服務。第二,在個人信息刪除條款中增加“賬戶註銷”的相關內容。在最近公布的《網絡數據安全管理條例(征求意見稿)》中,第二十條第三項規定,網絡平臺個人信息處理規則應當包括“個人查閱、復制、更正、刪除、限制、轉讓個人信息以及註銷賬戶、撤回同意處理個人信息的方式和方法”。《民法典》第1037條直接規定,自然人在“違反法律、行政法規或者“雙方約定”的情況下,有權要求信息處理者刪除其個人信息,包括刪除非法收集的部分個人信息和整個賬戶中的全部個人信息。再次,在技術標準層面詳細說明了銷戶的具體流程。例如,國家標準《信息安全技術個人信息安全規範(GB/T 35273-2020)》對個人信息主體的賬戶註銷做了壹些詳細的規定,包括賬戶註銷的處理時間、身份驗證的限制、賬戶註銷後個人信息的處理等,進壹步提高了對用戶賬戶註銷的保護。
常見的註銷模式:主動註銷和被動註銷。
由於現行立法未明確賬戶註銷權的具體內容,在用戶協議、隱私政策等平臺規則中設定了不同的賬戶註銷流程和方式,大致可分為主動註銷模式和被動註銷模式。
主動註銷模式是指網絡平臺的用戶按照平臺的規則操作註銷賬號的模式,是最長的賬號註銷模式。在實際操作中,用戶想註銷賬戶時會遇到壹些諸如手續復雜、功能隱藏等實際問題。比如微信、JD.COM、Tik Tok、美團外賣、拼多多等平臺通常要求用戶在滿足4-7類註銷條件時主動註銷,註銷的具體操作步驟至少包括四個環節。其中,拼多多最典型的銷戶流程最為復雜,用戶需要從在線客服對話中找到銷戶功能模塊。
被動註銷模式是指非基於用戶本人意願發起的強制註銷賬戶,多發生在用戶違反法律法規或用戶約定的情況下,因此這種賬戶註銷模式在業務實踐中並不常見。比如新浪微博、高德地圖從保護用戶個人信息的角度出發,設置了被動註銷。新浪微博用戶協議規定:“用戶連續90天不登錄時,用戶賬號將被註銷”;高德地圖也做了類似規定,將時間延長至6個月。
賬戶註銷後個人信息殘留的風險
個人信息刪除權的設立並不能完全解決破壞個人信息保護的問題。壹些應用在其隱私政策中承諾刪除用戶相關信息,但在隱私政策的其他部分中有壹些信息將被保留的規定。國內app普遍存在數據移除、保留和後續使用不透明的問題,尤其是註銷殘留的問題。
第壹,壹些網絡平臺變相否認刪除個人信息就是徹底刪除數據庫中的這些信息。例如,JD.COM、淘寶和高德等公司在其隱私政策中指出,刪除相關個人信息是指切斷其他用戶從前臺系統檢索相關信息的途徑。這種方法類似於給用戶信息戴上壹個面具,沒有任何“刪除”個人信息的行為,實際上是對完全從數據庫中刪除信息或匿名化信息的壹種變相否認。相關個人信息數據仍留存在互聯網公司的數據庫中,存在泄露風險。
第二,模糊個人信息刪除在壹些網絡平臺上的直接作用。微信、Tik Tok、微博、拼多多、滴滴出行等網絡平臺不會在其平臺規則中註明賬號註銷後是否從數據庫中刪除個人信息。
第三,第三方處理的個人信息是否納入銷戶範疇,大多是用戶自己處理。在日常生活中,市民在訪問豆瓣、優酷等軟件時,基本可以選擇用QQ或微信賬號登錄。雖然個人可以以主賬號的身份登錄第三方移動應用,但實際訪問的是依托主賬號創建的授權賬號,所以這些第三方移動應用也會要求用戶使用主賬號登錄後綁定手機號碼。主賬號和授權賬號的個人信息是相互獨立的,但註銷後,授權移動參考能否同步處理用戶數據尚不明確。微信、Tik Tok、微博、美團外賣、滴滴出行等平臺都在平臺協議中要求用戶自行處理與第三方相關的個人信息處理活動。
銷戶權的基本內容和例外
註銷賬戶的權利與刪除個人信息的權利的最大區別在於,賬戶註銷制度的目的是保護可以決定在網絡空間重置其數字身份的用戶的權益。賬號註銷的必然結果就是個人信息的刪除。因此,賬戶註銷是個人信息生命周期中的最後壹個環節,其法律效力是徹底清除用戶的數字身份和個人信息。
公民決定註銷賬戶後,對賬戶內部個人信息的處理方式有兩種:刪除和匿名。
所謂“刪除”,是指通過不可逆的手段將賬戶信息數據從互聯網公司的數據庫中刪除,其他用戶和公司內部人員無法檢索和訪問。個人用戶註銷賬號後,公眾無法通過搜索用戶名再次查詢該用戶,平臺機構內部工作人員也無法通過內部數據庫查詢或恢復該用戶賬號及其內部個人信息。
所謂“匿名處理”,是指通過對個人信息的技術處理,無法識別個人信息的主體,無法恢復處理後的信息的過程。鑒於我國《網絡安全法》第42條已經承認了匿名處理個人數據的合法性,大部分網絡平臺選擇匿名作為刪除個人信息的最佳方式,可以保證個人信息的安全,提高企業數據使用效率。然而,如何防範不完全匿名是監管者急需關註的監管問題。
總結壹下,賬號註銷權的實現主要包括三個步驟:第壹,當用戶主動請求註銷賬號或者基於SDK授權取消註銷時,可以將信息匿名化或者完全刪除作為信息處理的默認選擇;第二,當網絡賬號運營者認為可以完全刪除信息時,可以使用刪除的手段;再次,網絡賬號運營者在保證匿名數據安全性和不可重復識別的前提下,可以對信息數據進行匿名化處理,充分利用信息數據,幫助其更好地適應市場競爭,進壹步完善APP,逐步提升用戶體驗,讓個人成為數據時代的創造者、參與者和享受者。
但是權利的行使從來都不是沒有任何限制的,賬戶註銷權的行使也有很多例外,因為客觀上並不是所有的信息都可以在賬戶註銷後刪除,例外主要包括四類:
第壹,基於對合法行使職權的限制。比如,公安機關為了收集相關犯罪證據材料,通過賬號後臺調取聊天記錄;為了抓捕在逃嫌疑人,公安機關可以通過賬戶中采集的使用偏好、出行路線等信息數據,幫助鎖定位置。
第二,基於公共利益需要的限制。比如在疫情防控中,以保護全社會健康為目的發布的確診患者的旅行軌跡等信息,即使註銷相關賬號,確診患者的旅行軌跡有利於疫情防控,也不能刪除。
第三,基於履行法定義務的限制。比如,當網絡賬號經營者發現某個賬號可能涉嫌毒品、色情、非法醫療等行為時,網絡賬號經營者可以註銷相關賬號並保存相應資料,這是經營者依法應當履行的義務,沒有理由拒絕履行。
第四,基於賬戶信息對訴訟正常進行的限制。比如平臺內自媒體賬號侵犯第三方著作權,為保證被侵權人能夠明確識別被告身份信息並提取相關證據材料,網絡平臺可以選擇在用戶註銷賬號後保留與訴訟相關的重要賬號信息。
建立我國的個人信息保護制度
"帳戶取消權"
賬號註銷權的創設,並不是在刪除權之外重新創設新的個人信息權,而是對個人信息生命周期最後壹環中國公民的保護模式和監管重點進行梳理。
在今後修訂《網絡數據安全管理制度規定(征求意見稿)》的過程中,可以考慮細化賬號註銷的具體內容:壹是第三方信息處理者在用戶註銷賬號後也需要刪除個人信息,避免網絡平臺利用SDK技術漏洞留存部分個人信息;二是應明確用戶註銷後可查詢核實個人信息是否已被刪除,網絡平臺在收到用戶核實申請後有義務提供人工或自動生成的數據處理報告,保障用戶知情權;第三,網絡平臺應當在用戶協議或者政策中以簡單明了的語句充分說明賬戶註銷的基本流程和直接後果,賬戶註銷的具體內容應當與賬戶註冊壹致。
此外,政府相關部門可以建立隱私政策和用戶協議的反饋渠道,負責處理服務商和用戶之間的各種矛盾,包括賬號註銷。只有這樣,才能完善銷戶的法律規制,形成積極有效的閉環,滿足大數據時代個人信息保護的需求。
(作者單位:北航法學院)