体面的退出：从小程序涉及的数据“删除权”说起

(一) 小程序是什么？

小程序基于应用程序开放接口实现，用户不需要下载安装，可以被便捷地获取、传播和使用体验。与广为人知的“APP”（即Application，传统的移动互联网应用程序）相比，小程序在接口调用、权限获取和管理、信息获取与消息推送等方面受限于其所依附的应用程序平台，但小程序也有其自身的优势——面对用户端，小程序操作更易上手且不占手机存储；面对开发者，小程序开发成本低，且在大的平台应用框架内更易触达潜在客户，例如微信小程序，根据腾讯财报披露的数据，2022年其小程序日活跃用户已经突破6亿。

(二) 并不“小”的小程序

腾讯在2023业绩会上披露，今年第三季度，小程序交易额达1.5万亿元，主要包含餐饮零售、交通出行、民生缴费等多个场景的线上线下服务。^[注1]大量的日活用户及巨大的交易金额带来的是海量的个人信息的收集与沉淀。

APP及其搭载的小程序在用户开启使用时便开始了信息的收集，小程序可能获取昵称和头像，用于展示用户信息或头像识别；小程序还通过移动设备的传感器收集如位置、音频、视频、高度、速度、用户互动等信息；它们还能访问存储在移动设备上的信息，通常包括联系方式、照片、电子邮件和互联网浏览历史记录等。与台式电脑和笔记本电脑相比，手机等移动设备不太可能被多个用户共享，使得APP及小程序上的数据更具私密性，可以更详细地了解用户生活的方方面面，例如通过位置数据推断敏感信息，如一个人的工作单位、家庭地址乃至就诊信息等等。

根据《中华人民共和国个人信息保护法》（以下简称《个保法》）第四条第一款“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，如果通过小程序收集的信息可与特定设备及其机主关联，则可被认定为“个人信息”，从而需适用《个保法》等相关法律法规的监管要求。

(三) 一视同仁的规管

从监管层面来讲，鉴于小程序涉及的数据安全问题并不亚于传统应用程序，近几年出台的相关规范性文件在个人信息保护层面基本将“小程序”与“APP”一视同仁：

从监管部门对小程序运营的问题反馈看，若小程序拥有App的类似功能并实际处理了用户个人信息时，监管部门会依据其处理情况认定其是否落实了足以保护个人信息的相应标准，早在2020年第3批工业和信息化部开展的APP侵害用户权益专项整治工作的通报中，就有小程序被列为存在问题的应用软件。^[注2]

(一) 信息主体的“删除权”

轻量级的开发需求与一视同仁的监管标准，使不少小程序更容易因处理数据处理不当而受到行政处罚或引发用户不满，特别是小程序恭敬地请求用户“授权”他们进入微信的个人资料库，得以调取甚至使用部分个人信息，但当用户想要退出或是撤回这份“授权”时，部分小程序却表现出“暧昧”的态度：或是默认长期保持登录状态，或是没有提供一个显眼的“退出”按钮，更有甚者根本没有设置“退出”按钮。这些做法实际可能会侵犯信息主体的“删除权”。

“删除权”是指在符合规定条件时，信息主体所享有的请求个人信息处理者删除所处理的其个人信息的权利，该权利旨在保障信息主体对其个人信息的自主决定。^[注3]《中华人民国民法典》人格权编“隐私权和个人信息保护”一章中，规定了个人信息权利主体的删除权；《个保法》第47条更进一步细化了删除权适用的情境：

有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

《电信和互联网用户个人信息保护规定》第9条也要求互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务；《App违法违规收集使用个人信息行为认定方法》将“未提供有效的删除个人信息及注销用户账号功能”规定为六种违规行为之一。依据上述规定，小程序运营者应尽可能保障用户删除个人信息、以及注销账号的权利。

(二) 被处罚案例

实践中，不乏因为删除个人信息不当、注销账户困难而被处罚的案例。2020年工业和信息化部通报的侵害用户权益的某花钱小程序就存在“账号注销难”的问题；2021年天津网信、海南网信通报小程序账号注销难的情况，^[注4]认为其未提供有效的注销账号功能，且在隐私政策和相关界面上没有设置注销指引，因此给用户注销小程序造成困难。

此外，部分小程序并未设立自己的账号系统，而是获得用户授权后使用平台账号登录，因而并不涉及注销“小程序账号”的问题，对此类小程序，我们建议运营者充分保障用户撤销授权的权利，并在撤销后及时删除或匿名化其个人信息。

(三) 司法实践

1. “人脸识别第一案”

在司法实践中已经出现关于个人信息“删除权”的案例，最著名的就是有“人脸识别第一案”之称的郭某诉杭州某公司服务合同纠纷案（（2019）浙0111民初6971号）。该案依据《个保法》第47条第1款，在一审、二审中均支持了原告要求被告杭州关于删除人脸信息、指纹识别信息的请求，并从收集信息的正当性、是否获得了信息主体的有效同意、履行合同的需求等方面，论述处理个人信息是否合法、合规、合约，具体而言：

【裁判要旨】

• 收集的人脸识别信息超出了签订的采用指纹识别方式入园服务合同的必要原则，超出事前信息收集的目的、扩大了信息处理范围，不具有正当性；

• 未告知拍照是对人脸信息的收集及其收集目的，原告的行为不视为对收集人脸识别信息的同意；

• 虽然被告收集、使用原告的指纹识别信息系在原告知情同意下进行，但鉴于被告停止使用指纹识别闸机，指纹信息已不再属于履行合同的方式，通过指纹信息进入动物园再无必要性，故支持原告删除指纹信息的请求。

2. 强制收集信息的案例

另外，江某、滨州某大药房有限公司滨城泰山名郡店个人信息保护纠纷案（（2022）鲁16民终1457号）显示，如果收集个人信息是根据政府市场监督管理部门等行政机关的部署要求，例如基于疫情防控的特别需要，通过防控药品追溯系统收集并保存个人身份信息及购买药物信息，法院可能认可该等信息收集措施的正当性；即便个人要求删除该等信息，但囿于政府部门对信息收集系统权限设定，信息处理者无法删除其收集的个人信息，信息处理者的行为不一定构成侵权。

在实操中，信息处理者需要结合监管规定、部门法相关要求及具体业务特点，制定相应的个人信息保护政策、合约条款，并落地执行。下文就基于《个保法》的规定，探讨“删除权”的几个典型的实操问题。

(一) 信息处理时限

《个保法》并未明确处理删除信息请求的时限，但网信办等联合发布的《App违法违规收集使用个人信息行为认定方法（2019）》规定未在15个工作日内受理或处理完成信息删除请求的，可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。

根据《个保法》的规定，即便个人不主动请求删除信息，信息处理者亦应删除保存期限已届满的信息，但具体信息的保存时限并未在《个保法》中予以明确，而散见于各门类的法律法规中：

根据对20个应用软件隐私政策中关于删除个人信息规定的调研，^[注5]APP隐私政策少有涉及合理的删除期限、依据何种标准确定期限以及在特殊情况下是否可以紧急处理等问题。我们认为，面对用户隐私权益和行政监管的要求，小程序运营者应在收集个人信息时清楚告知各部门规定的保存期限，并获得用户的明确同意；一旦信息处理目的达成，但法律、行政法规规定的保存期限未届满，应按照《个保法》第四十七条最后一款的要求，主动限制对个人信息的使用，仅进行存储和必要的安全保护。

(二) 删除信息申请的提出与处理

根据《个保法》第五十条的规定，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制；《App违法违规收集使用个人信息行为认定方法（2019）》要求建立并公布个人信息安全投诉、举报渠道。但是何为有效的渠道，及个人应如何申请信息删除、该等申请又如何受理，并未有明文规定。

在杭州互联网法院公布的一个判例中，^[注6]法院明确了个人提交删除申请的部分要求：

基于以上的认定规则，法院认为原告王某未向被告提交有效的删除申请，原因在于：

该网站有建立便捷的个人行使权利的申请受理和处理机制：

• 被告在案涉网站分别建立了“在线客服和人工客服电话”两种申请受理渠道，且均处于网站显著位置，不难查找发现；且

• 经检测，两种方式均可有效受理用户提出的删除权申请。

然而，原告未按申请受理方式提交申请

• 原告向被告公司的销售电子邮箱发送删除申请；

• 因原告未按被告提供的便捷方式提交申请，考虑到信息处理者销售经营业务繁重、内容机构专业分工明确等因素，由此产生的申请被迟疑、忽视、未及时回复等不良后果，不应由已尽到法定义务的信息处理者被告公司承担，而应由存在疏忽的原告自负。

如同上述案例所显示的一样，在删除权的实行过程中，需要在保护个人信息与有效地利用数据资源之间保持平衡，这既要求个人信息处理者遵守法律、提高合规性、诚信地维护个人的隐私权，也要求个人在行使这些权利时应保持诚实，避免不必要地增加数据处理者的负担。

(三) 法律上的删除标准

在技术层面，目前的删除操作有两种模式：一是逻辑删除，即通过标记“个人信息”使用状态符，使标记后的个人信息无法在系统前端检索，但后端数据没有被真正删除；二是物理删除，即擦除或清零文件存储所用到的磁存储区域，以删除承载个人信息的数据。^[注7]但即便物理删除也非最终状态，如日常在计算机上执行“清空回收站”命令后，仍可恢复一定比例的原电子信息，要达到彻底删除的效果，最有效的方式是重复多次的文件覆盖，但这种方式的成本也是最高的。

在法律层面，《网络安全法》《民法典》《个保法》并未明确“删除”的定义或要求，参考标准和指南的规定，《信息安全技术 公共及商用服务信息系统个人信息保护指南》认为“删除是指个人信息在信息系统中不再可用”，国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》3.10对“删除”的定义：“在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。”均从最终效果来界定“删除”的操作，基于此，逻辑删除因为仍可以通过一定操作恢复，其是否可以满足指南和规范对“删除”的要求，还需要运营者在实操中着意把握。不过立法者也无意强求信息处理者不计成本地选择多次文件覆盖式的物理删除。

从目前的法规来看，就删除方式的选择而言，立法者应希望在保护信息主体的删除权时，也平衡信息处理者的利益，以免机械苛以删除义务而在技术上或经济效益上带来“不可能的任务”。《个保法》包含了停止处理个人信息另一选择，即“删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”。另外，如果通过匿名化处理和去标识化处理使个人信息不可关联到个人，使该等信息“去个人信息化”，间接也就达到了使个人信息不再“存在”的删除效果，使得企业在不违反个人信息保护要求的前提下为业务的运作、研发留住收集的信息。

(四) 如何证明个人信息已删除

要证明信息已被删除也是落实删除权的难点环节。在“人脸识别第一案”中，杭州公司主张目前已删除原告的指纹和照片信息，但法院认为其未能举证证实，对此不予采信；而在江某、滨州某大药房有限公司滨城泰山名郡店个人信息保护纠纷中，因登录药店系统后已不再显示个人的药物销售，法院未支持个人要求删除信息的主张。因此，目前司法实践中并未就信息的删除确立统一、清晰的证明规则。

不过，最高人民检察院于2023年3月30日发布的《个人信息保护检察公益诉讼典型案例》中，^[注8]公布一项信息删除工作的流程，案例中，G公司被要求删除其存储的人脸信息数据：

• G公司委托H公司通过远程操作，将景区违规收集储存的人脸信息数据进行删除。

• 为确保删除工作符合规范，浙江省检察院组织技术力量会同办案人员赴现场开展技术勘验，湖州市检察院邀请人大代表、人民监督员进行现场见证。

• 在相关人员的监督下，G公司前期采集、储存游客人脸信息共计120万余条完全删除。

我们理解大部分的数据删除不可能按照上述典型案例的流程进行见证，但建议企业在删除用户信息后，应及时告知用户处理进度，这虽不足以完全证明删除行为，却有助于用户了解信息处理终止，并为企业保护用户信息权益提供佐证记录。

(五) 如何构建个人信息删除机制

综合以上分析，为有效实施个人信息的删除，建议企业采取以下步骤：

1. 数据分类

从技术上来讲，^[注9]首先应清晰界定个人信息处理流程，对收集存储的个人信息进行分类，以便准确地识别和删除用户的数据。

2. 删除渠道

提供一个简单易用的个人信息删除渠道，避免为申请删除个人信息设置不必要的障碍。

3. 充分删除

在接到用户的删除请求后，应规范执行物理删除或其他可行且满足要求的删除，并确保被删除的个人信息不可访问和使用；若遇到法律要求或技术限制，企业也应当通过权限控制、数据加密等方式进行安全存储，且不得再将个人信息用于日常业务中。

4. 删除结果

删除完成后，应通知用户详细的删除信息，包括请求和实际删除的日期。

5. 主动删除

主动删除违法或违规的个人信息，建立全面的管理制度和技术措施。

总体而言，企业应构建一个涵盖个人信息删除全流程的管理体系，并通过审计和网络监控等技术手段进行常规检查，以快速识别和解决问题，减少合规风险。

【 特别声明：本篇文章所阐述和说明的观点仅代表作者本人意见，仅供参考和交流，不代表本所或其律师出具的任何形式之法律意见或建议。】