从保密到安全：数据销毁义务的理论逻辑与制度建构.docx

《从保密到安全：数据销毁义务的理论逻辑与制度建构.docx》由会员分享，可在线阅读，更多相关《从保密到安全：数据销毁义务的理论逻辑与制度建构.docx（37页珍藏版）》请在第一文库网上搜索。

1、从保密到安全：数据销毁义务的理论逻辑与制度建构赵精武（北京航空航天大学法学院助理教授、法学博士）一、问题的提出为应对网络平台超范围收集个人信息、在后台私自收集个人信息、擅自向第三方主体共享个人信息等问题，网络安全法民法典数据安全法个人信息保护法等法律相继明确了信息处理者在信息收集、加工、更新、存储、删除等环节的个人信息保护义务和数据安全保障义务，但针对数据生命周期的最后一个环节“消灭”，立法者并未提供足够明确且直接的义务性条款。虽然现行立法已经明文规定了自然人享有删除其个人信息的权利，而有关”删除个人信息的实际范围”“删除义务的履行主体是否包含业务合作第三方”“删除个人信息应当满足何种一般性要

2、求”等具体问题并未得到真正解决。更重要的是，“删除个人信息”在名义上虽以权利性规范的形式得到立法者的认可，实践中自然人在请求信息处理者删除个人信息之后，却无从确认信息处理者究竟是否真正彻底删除个人信息以及删除信息的类型和范围，更遑论业务合作第三方主体所获取的个人信息是否已经被删除，法益保护目标的实现与否在很大程度上依赖于信息处理者是否真正履行相应的给付行为。国内外主流的APP在其隐私政策中明确了用户行使删除个人信息权利的适用条件和具体行使方式，但均是以自然人主动申请为前提，并没有详细提及用户如何自行注销账号或者APP运营者将如何为用户删除其个人信息。由此可见，至少在商业实践层面，尚未形成个人信

3、息删除的行业标准和商业惯例，其原因也很好理解：在“流量为王”的时代，网络平台活跃用户数量已经与企业经营状况和营利方式直接挂钩，账号信息和个人信息的删除势必会影响到信息处理者的经济效益，在现行立法尚未细化“删除权”具体内容的情况下，采用相对模糊的隐私声明条款更符合自身的商业利益。在此种立法背景下，不少学者开始尝试细化删除权的具体规贝I,或是主张以比例原则和公平原则作为删除权客体范围的认定标准，又或是将删除范围解释为“信息处理的相关性和必要性不复存在”的个人信息，抑或是基于删除权与被遗忘权的比较而将删除范围限定为“被自动化处理的、无意识生成的个人信息和数据”。学理上的解释方案似乎正在为数据生命周期

4、的末尾环节填补上最后的立法空白，但问题的核心却在于：“删除”真的是个人信息保护体系的最后一环吗？或者说，“删除”是否真的意味着个人信息归于消灭？在辞海中，“删”即指消除，“除”即指去掉，若将其置于个人信息保护语境下，“删除”所对应的技术措施显然只要满足个人信息已被去除的效果即可，而销毁意味着数据生命的终结，二者的语义涵摄范围存在差异；同时，在个人信息保护法中，删除个人信息的适用情形是以信息处理者丧失合法处理个人信息的正当性基础为前提，删除的目的是满足“合法正当”之原则，而非直接对应数据生命周期的最后环节。2021年9月30日，工信部发布了工业和信息化领域数据安全管理办法（试行），首次提出“数据

5、销毁”的概念，其数据生命周期也未沿用现行立法常见的“收集、存储、使用、加工、传输、提供、公开、删除等”，而是表述为“数据收集、存储、加工、传输、提供、公开、销毁、跨境、承接、委托处理等”。事实上，不论信息处理者如何设计数据处理流程，都始终无法回避数据的“死亡问题”，数据销毁并非处于信息处理者经营自主权的范围之内，其是数据安全流程的必要环节，能够对大数据时代下信息主体所面临的权利问题做出积极的回应。故而前述立法表述的变化也将新的数据安全问题置于立法者眼前：如何建构数据销毁义务？ 一方面，数据销毁义务的建构问题关系到个人信息保护义务内容的体系化，在明确数据销毁义务具体内容的同时也是在划定删除权的行

6、使空间和保护标准；另一方面，数据销毁义务的建构问题亦是数据安全风险评估机制的重要内容之一，因为对于部分暂时不使用的数据，企业可以通过数据安全评估机制来确定是否继续保存，倘若安全风险较高且技术能力薄弱，企业则可以依照安全技术标准直接予以销毁。因此,在回答数据销毁义务的建构问题的过程中，还需要回答三个子问题：第一，在“删除”与“销毁”含义分离的前提下，数据销毁义务的理论基础应当如何理解？第二，数据销毁义务的适用条件是否仅限于个人信息保护？其适用情形、销毁方式、销毁范围等具体内容又当如何设计？第三，针对死者的个人信息、去中心化技术方案的数据处理等特殊场景，数据销毁义务是否存在例外情形或特殊规则？二、

7、数据销毁义务的理论基础（一）数据销毁的技术方案与业务类型在文义解释层面，个人信息保护法所规定的“删除权”通常被理解为从信息处理者的数据库中删除已经“过期”或自然人不愿再留存的个人信息，即达到了数据销毁的效果;但是在技术方案层“删除”和“销毁”并不是两个完全等同的概念。数据销毁与数据删除具有典型的技术语境属性,数据销毁通常被视为数据安全业务流程的最后环节，直接目的是避免第三人通过数据复原、存储介质窃取等方式重新复原业已销毁的数据；而数据删除并不是数据安全业务流程的必备环节，而是数据处理者根据法定义务、业务需求等多种因素选择不再对外公开特定数据。现有的数据销毁技术方案大致可以分为两大类：一类是硬销

8、毁，即直接对数据存储介质进行销毁，如直接对硬盘施加强磁场进行消磁,促使硬盘不再具备数据记录功能；另一类则是软销毁（也被称为逻辑销毁），即通过数据覆盖录入等操作方法进行数据销毁或数据擦除，如为了节省存储介质的开销，以最新的数据直接替换之前存储的数据，使其不再具有恢复可能性。但是这些数据销毁方式并不都是信息处理者的最佳选择，考虑到技术难度、经济成本以及销毁效率等因素，数据销毁行业常用的数据销毁方式主要包括覆写法、消磁法、剪碎法和焚毁法，以便能够在短时间内彻底销毁留存的业务数据。需要说明的是，信息处理者自主销毁数据的直接动力并不是个人信息保护法所要求的“删除权”，而是出于提升数据质的时代，数据质量的

9、商业价值远高于数据数量，信息处理者需要在有限的存储空间内进行数据筛选，所以销毁的对象往往是业务活动中产生的无用数据、无效数据，而非涉及业务核心的用户个人信息。虽然我国国内尚未形成有关数据销毁的国家标准，但在该领域常以美国国防部的DOD 5220. 22技术标准作为参考，而该标准对数据清除（data量和满足大数据应用的需求。在数据大爆炸clearing）和数据销毁（data sanitization ）有着不同的界定方式。数据清除是指在重复使用存储介质前，需要彻底删除存储介质中的数据，且删除数据之前，存储介质所处环境也应当满足相当的安全保护等级，这是为了避免通过内存、缓冲区以及其他可重复使用内存

10、读取先前存储的数据；而数据销毁则是由于存储介质所处环境无法提供相当的安全保护等级，需要对数据以及相关程序进行彻底销毁，两个概念的实质性差异在于是否需要对数据及其环境进行彻底的清理和销毁。而国际数据销毁联盟（IDSC）则将数据销毁定义为“永久且不可逆地删除或销毁存储在存储设备上的数据且使其不可恢复的过程”，主要包括物理销毁、加密擦除和数据擦除三种方式（参见下表1）。在比利时的数据保护机构（LAPD） 2021年3月发布的关于数据销毁和数据介质销毁技术的建议(Recommendation on data sanitisationand data medium destruct ion techni

11、ques ）中，“数据销毁”的技术方案与数据保密要求密切相关，按照秘密、机密和绝密的分类标准（参见下表2）, “数据销毁”分别对应着数据清除（clear）、数据擦除（purge）和数据销毁（destroy）。由此可见，技术层面的“数据销毁”概念在本质上更关注的是这些业已清除的数据是否具备再次被获取或复原的可能性，如比利时监管机构针对通用数据保护条例（General Data ProtectionRegulation,以下简称“ GDPR”）第32条规定删除义务，要求数据处理者应当评估个人数据类型以及泄露风险分级，并以此为依据，确定相应级别的数据销毁方式；并且，这些销毁技术的选择取决于个人数据的

12、存储系统和格式。在比利时的监管机构看来，匿名化并不是欧盟立法者所追求的“足够安全且保密”的技术手段，故而需要通过数据销毁措施填补匿名化技术存在的问题。表1 IDSC有关数据销毁方式的优势与弊端数据销毁方式优势弊端物理销毁数据无法恢复破坏存储介质（企业资产），无法再次利用或转售加密擦除快速有效仍然允许数据保留在存储设备上,并且通常无法达到数据安全的合规性要求数据擦除（例如验证覆盖、生成防篡改证书、块擦除等）数据销毁中最安全的保护形式，保留存储介质原有价值需要企业为所有数据存储设备事前制定详细的擦除流程（二）数据销毁义务的理论基础与立法现状：信息保密方式的扩张正如上文所述，数据销毁的技术方式多是以

13、数据的不可复原和彻底灭失作为直接目标，且数据销毁的实际范围不仅仅是用户的个人信息，还包括企业的业务数据，数据销毁义务的销毁范围、销毁方式等具体内容明显有别于删除权的具体内容，这也意味着数据销毁义务的理论基础同样有别于删除权所依托的个人信息自决权益保护理论。在个人信息保护、数据安全和网络安全领域，相关法律法规确实尚未明文规定“数据销毁义务”,甚至在网络安全法个人信息保护法数据安全法中均未存在过“销毁”这一表述，但这并不能成为否认数据销毁义务事实存在的直接依据，因为数据销毁义务存在的直接依据并非是学界主流观点所认可的“个人信息权益保护”，而是保密义务在信息时代的内涵延伸。事实上，早在2010年的保

14、守国家秘密法中就已经提及“销毁义务”，规定企事业单位应当严格按照国家保密规定销毁涉及国家秘密的载体，该义务的内核实质上仍然是保密义务，销毁乃是国家秘密“保密生命周期”的最后一个环节。在我国个人信息保护和数据安全监管的早期立法活动中，囿于信息技术水平尚处于早期发展阶段，立法者对于数据安全保护的认知主保密义务为主，义务主体也是主要以“国家机关和涉及国家秘密的单位”为限。在此之后，大数据、云计算、区块链等信息技术的重大突破对立法目标和立法技术产生重大影响，以往隐藏于“隐私权”中的个人信息权要还是以国家秘密、商业秘密等信息层益逐渐受到重视，“个人信息”开始独立于“个人隐私”之外并成为独立的民事客体。公法层面的保密义务仅以国家安全和社会公共利益为适用前提，故而该义务无法适应私法层面自然人对于个人信息保护的利益诉求,以“国家秘密” “商业秘密”等有限类型客体为保护对象的保密义务开始异化为数据安全保障义务和个人信息保护义务。一方面，“国家秘密”和“重要数据”两个概念在信息社会中内涵和外延发生偏离，传统意义上的“国家秘密”仅限于“一定时间内只限一定范围的人员知悉的事项”，而“重要数据，则是由国家机关制定重要数据目录予以确定,但两者法益却存在着重叠,即两者均涉及国家安全和社会公共利益，这也是保密义务异化为数据安