從保密到安全： 數(shù)據(jù)銷毀義務的理論邏輯與制度建構

趙精武

一、 問 題 的 提 出

為應對網絡平臺超范圍收集個人信息、在后臺私自收集個人信息、擅自向第三方主體共享個人信息等問題，《網絡安全法》《民法典》《數(shù)據(jù)安全法》《個人信息保護法》等法律相繼明確了信息處理者在信息收集、加工、更新、存儲、刪除等環(huán)節(jié)的個人信息保護義務和數(shù)據(jù)安全保障義務，(1)如《網絡安全法》第43條規(guī)定：“個人發(fā)現(xiàn)網絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息?！薄睹穹ǖ洹返?037條第2款規(guī)定：“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除?！钡槍?shù)據(jù)生命周期的最后一個環(huán)節(jié)“消滅”，立法者并未提供足夠明確且直接的義務性條款。雖然現(xiàn)行立法已經明文規(guī)定了自然人享有刪除其個人信息的權利，而有關“刪除個人信息的實際范圍”“刪除義務的履行主體是否包含業(yè)務合作第三方”“刪除個人信息應當滿足何種一般性要求”等具體問題并未得到真正解決。更重要的是，“刪除個人信息”在名義上雖以權利性規(guī)范的形式得到立法者的認可，實踐中自然人在請求信息處理者刪除個人信息之后，卻無從確認信息處理者究竟是否真正徹底刪除個人信息以及刪除信息的類型和范圍，更遑論業(yè)務合作第三方主體所獲取的個人信息是否已經被刪除，法益保護目標的實現(xiàn)與否在很大程度上依賴于信息處理者是否真正履行相應的給付行為。國內外主流的APP在其隱私政策中明確了用戶行使刪除個人信息權利的適用條件和具體行使方式，但均是以自然人主動申請為前提，并沒有詳細提及用戶如何自行注銷賬號或者APP運營者將如何為用戶刪除其個人信息。(2)有學者在統(tǒng)計國內外20款APP隱私政策時發(fā)現(xiàn)，國內外APP運營者在隱私政策中有關個人信息刪除權的內容較為簡單，未能向用戶提供明確具體的操作指引，且常常摻雜在冗長的文字表述中，難以輕易理解刪除的方式和途徑。參見徐磊： 《個人信息刪除權的實踐樣態(tài)與優(yōu)化策略——以移動應用程序隱私政策文本為視角》，載《情報理論與實踐》2021年第4期，第89—98頁。由此可見，至少在商業(yè)實踐層面，尚未形成個人信息刪除的行業(yè)標準和商業(yè)慣例，其原因也很好理解： 在“流量為王”的時代，網絡平臺活躍用戶數(shù)量已經與企業(yè)經營狀況和營利方式直接掛鉤，賬號信息和個人信息的刪除勢必會影響到信息處理者的經濟效益，在現(xiàn)行立法尚未細化“刪除權”具體內容的情況下，采用相對模糊的隱私聲明條款更符合自身的商業(yè)利益。在此種立法背景下，不少學者開始嘗試細化刪除權的具體規(guī)則，或是主張以比例原則和公平原則作為刪除權客體范圍的認定標準，(3)參見余筱蘭： 《民法典編纂視角下信息刪除權建構》，載《政治與法律》2018年第4期，第26—37頁。又或是將刪除范圍解釋為“信息處理的相關性和必要性不復存在”的個人信息，(4)參見滿洪杰： 《被遺忘權的解析與構建： 作為網絡時代信息價值糾偏機制的研究》，載《法制與社會發(fā)展》2018年第2期，第199—217頁。抑或是基于刪除權與被遺忘權的比較而將刪除范圍限定為“被自動化處理的、無意識生成的個人信息和數(shù)據(jù)”。(5)參見王琰、趙婕： 《大數(shù)據(jù)時代被遺忘權的現(xiàn)實邏輯與本土建構》，載《南昌大學學報(人文社會科學版)》2020年第6期，第103—111頁。學理上的解釋方案似乎正在為數(shù)據(jù)生命周期的末尾環(huán)節(jié)填補上最后的立法空白，但問題的核心卻在于：“刪除”真的是個人信息保護體系的最后一環(huán)嗎？或者說，“刪除”是否真的意味著個人信息歸于消滅？

在《辭?！分校皠h”即指消除，“除”即指去掉，若將其置于個人信息保護語境下，“刪除”所對應的技術措施顯然只要滿足個人信息已被去除的效果即可，而銷毀意味著數(shù)據(jù)生命的終結，二者的語義涵攝范圍存在差異；同時，在《個人信息保護法》中，刪除個人信息的適用情形是以信息處理者喪失合法處理個人信息的正當性基礎為前提，刪除的目的是滿足“合法正當”之原則，而非直接對應數(shù)據(jù)生命周期的最后環(huán)節(jié)。2021年9月30日，工信部發(fā)布了《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》，首次提出“數(shù)據(jù)銷毀”的概念，其數(shù)據(jù)生命周期也未沿用現(xiàn)行立法常見的“收集、存儲、使用、加工、傳輸、提供、公開、刪除等”，而是表述為“數(shù)據(jù)收集、存儲、加工、傳輸、提供、公開、銷毀、跨境、承接、委托處理等”。事實上，不論信息處理者如何設計數(shù)據(jù)處理流程，都始終無法回避數(shù)據(jù)的“死亡問題”，數(shù)據(jù)銷毀并非處于信息處理者經營自主權的范圍之內，其是數(shù)據(jù)安全流程的必要環(huán)節(jié)，能夠對大數(shù)據(jù)時代下信息主體所面臨的權利問題做出積極的回應(6)參見唐林垚： 《〈個人信息保護法〉語境下“免受算法支配權”的實現(xiàn)路徑與內涵辨析》，載《湖北社會科學》2021年第3期，第134—142頁。。故而前述立法表述的變化也將新的數(shù)據(jù)安全問題置于立法者眼前： 如何建構數(shù)據(jù)銷毀義務？一方面，數(shù)據(jù)銷毀義務的建構問題關系到個人信息保護義務內容的體系化，在明確數(shù)據(jù)銷毀義務具體內容的同時也是在劃定刪除權的行使空間和保護標準；另一方面，數(shù)據(jù)銷毀義務的建構問題亦是數(shù)據(jù)安全風險評估機制的重要內容之一，因為對于部分暫時不使用的數(shù)據(jù)，企業(yè)可以通過數(shù)據(jù)安全評估機制來確定是否繼續(xù)保存，倘若安全風險較高且技術能力薄弱，企業(yè)則可以依照安全技術標準直接予以銷毀。因此，在回答數(shù)據(jù)銷毀義務的建構問題的過程中，還需要回答三個子問題： 第一，在“刪除”與“銷毀”含義分離的前提下，數(shù)據(jù)銷毀義務的理論基礎應當如何理解？第二，數(shù)據(jù)銷毀義務的適用條件是否僅限于個人信息保護？其適用情形、銷毀方式、銷毀范圍等具體內容又當如何設計？第三，針對死者的個人信息、去中心化技術方案的數(shù)據(jù)處理等特殊場景，數(shù)據(jù)銷毀義務是否存在例外情形或特殊規(guī)則？

二、 數(shù)據(jù)銷毀義務的理論基礎

(一) 數(shù)據(jù)銷毀的技術方案與業(yè)務類型

在文義解釋層面，《個人信息保護法》所規(guī)定的“刪除權”通常被理解為從信息處理者的數(shù)據(jù)庫中刪除已經“過期”或自然人不愿再留存的個人信息，即達到了數(shù)據(jù)銷毀的效果；但是在技術方案層面，“刪除”和“銷毀”并不是兩個完全等同的概念。(7)在團體標準《個人信息處理法律合規(guī)性評估指引》的“第1部分： 概述和術語”中，3.4.1“個人信息處理”明確提及“個人信息處理的示例包括但不限于采集、存儲、修改、檢索、咨詢、披露、匿名化、假名化、傳播或以其他方式提供、刪除或銷毀”。該標準并沒有選擇將“刪除”或“銷毀”視為同一個技術操作活動。數(shù)據(jù)銷毀與數(shù)據(jù)刪除具有典型的技術語境屬性，數(shù)據(jù)銷毀通常被視為數(shù)據(jù)安全業(yè)務流程的最后環(huán)節(jié)，直接目的是避免第三人通過數(shù)據(jù)復原、存儲介質竊取等方式重新復原業(yè)已銷毀的數(shù)據(jù)；而數(shù)據(jù)刪除并不是數(shù)據(jù)安全業(yè)務流程的必備環(huán)節(jié)，而是數(shù)據(jù)處理者根據(jù)法定義務、業(yè)務需求等多種因素選擇不再對外公開特定數(shù)據(jù)?，F(xiàn)有的數(shù)據(jù)銷毀技術方案大致可以分為兩大類： 一類是硬銷毀，即直接對數(shù)據(jù)存儲介質進行銷毀，如直接對硬盤施加強磁場進行消磁，促使硬盤不再具備數(shù)據(jù)記錄功能；另一類則是軟銷毀(也被稱為邏輯銷毀)，即通過數(shù)據(jù)覆蓋錄入等操作方法進行數(shù)據(jù)銷毀或數(shù)據(jù)擦除，如為了節(jié)省存儲介質的開銷，以最新的數(shù)據(jù)直接替換之前存儲的數(shù)據(jù)，使其不再具有恢復可能性。但是這些數(shù)據(jù)銷毀方式并不都是信息處理者的最佳選擇，考慮到技術難度、經濟成本以及銷毀效率等因素，數(shù)據(jù)銷毀行業(yè)常用的數(shù)據(jù)銷毀方式主要包括覆寫法、消磁法、剪碎法和焚毀法，(8)參見淼一科技： 《數(shù)據(jù)銷毀的幾種方法》，載簡書網，https：//www.jianshu.com/p/c96a4e90658a，2021年9月30日訪問。以便能夠在短時間內徹底銷毀留存的業(yè)務數(shù)據(jù)。需要說明的是，信息處理者自主銷毀數(shù)據(jù)的直接動力并不是《個人信息保護法》所要求的“刪除權”，而是出于提升數(shù)據(jù)質量和滿足大數(shù)據(jù)應用的需求。在數(shù)據(jù)大爆炸的時代，數(shù)據(jù)質量的商業(yè)價值遠高于數(shù)據(jù)數(shù)量，信息處理者需要在有限的存儲空間內進行數(shù)據(jù)篩選，所以銷毀的對象往往是業(yè)務活動中產生的無用數(shù)據(jù)、無效數(shù)據(jù)，而非涉及業(yè)務核心的用戶個人信息。雖然我國國內尚未形成有關數(shù)據(jù)銷毀的國家標準，但在該領域常以美國國防部的DOD 5220.22技術標準作為參考，(9)該標準發(fā)布于1995年1月，在1997年7月進行修訂，在2006年又重新發(fā)布了新版的DOD 5220.22-M標準。新標準中有關數(shù)據(jù)清除與銷毀的內容寥寥無幾，但是舊版的數(shù)據(jù)清除與數(shù)據(jù)銷毀之區(qū)分對于當下關于數(shù)據(jù)銷毀義務的內容理解仍具有一定參考價值。而該標準對數(shù)據(jù)清除(data clearing)和數(shù)據(jù)銷毀(data sanitization)有著不同的界定方式。數(shù)據(jù)清除是指在重復使用存儲介質前，需要徹底刪除存儲介質中的數(shù)據(jù)，且刪除數(shù)據(jù)之前，存儲介質所處環(huán)境也應當滿足相當?shù)陌踩Ｗo等級，這是為了避免通過內存、緩沖區(qū)以及其他可重復使用內存讀取先前存儲的數(shù)據(jù)；而數(shù)據(jù)銷毀則是由于存儲介質所處環(huán)境無法提供相當?shù)陌踩Ｗo等級，需要對數(shù)據(jù)以及相關程序進行徹底銷毀，兩個概念的實質性差異在于是否需要對數(shù)據(jù)及其環(huán)境進行徹底的清理和銷毀。而國際數(shù)據(jù)銷毀聯(lián)盟(IDSC)則將數(shù)據(jù)銷毀定義為“永久且不可逆地刪除或銷毀存儲在存儲設備上的數(shù)據(jù)且使其不可恢復的過程”，主要包括物理銷毀、加密擦除和數(shù)據(jù)擦除三種方式(參見下表1)。(10)參見IDSC官網，https：//www.datasanitization.org/about-international-data-sanitization-consortium/，2021年9月25日訪問。在比利時的數(shù)據(jù)保護機構(L’APD)2021年3月發(fā)布的《關于數(shù)據(jù)銷毀和數(shù)據(jù)介質銷毀技術的建議》(Recommendation on data sanitisation and data medium destruction techniques)(11)該文件僅針對整個存儲介質銷毀的技術，不涉及文件、目錄或分區(qū)部分的特定擦除。Only techniques leading to “sanitisation” of the entire medium or to its destruction are discussed in this document. The specific erasure of files， directories or partitions is therefore not processed. 參見比利時L’APD官網，https：//www.autoriteprotectiondonnees.be/publications/recommendation-n-03-2020-of-11-december-2020.pdf。中，“數(shù)據(jù)銷毀”的技術方案與數(shù)據(jù)保密要求密切相關，按照秘密、機密和絕密的分類標準(參見下表2)，“數(shù)據(jù)銷毀”分別對應著數(shù)據(jù)清除(clear)、數(shù)據(jù)擦除(purge)和數(shù)據(jù)銷毀(destroy)。由此可見，技術層面的“數(shù)據(jù)銷毀”概念在本質上更關注的是這些業(yè)已清除的數(shù)據(jù)是否具備再次被獲取或復原的可能性，如比利時監(jiān)管機構針對《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱“GDPR”)第32條規(guī)定刪除義務，要求數(shù)據(jù)處理者應當評估個人數(shù)據(jù)類型以及泄露風險分級，并以此為依據(jù)，確定相應級別的數(shù)據(jù)銷毀方式；并且，這些銷毀技術的選擇取決于個人數(shù)據(jù)的存儲系統(tǒng)和格式。在比利時的監(jiān)管機構看來，匿名化并不是歐盟立法者所追求的“足夠安全且保密”的技術手段，故而需要通過數(shù)據(jù)銷毀措施填補匿名化技術存在的問題。(12)美國教育部在《數(shù)據(jù)銷毀的最佳實踐》(Best Practices for Data Destruction)中將數(shù)據(jù)銷毀分為“數(shù)據(jù)清理”(clear)、“數(shù)據(jù)清除”(purge)和“數(shù)據(jù)銷毀”(destory)三類： (1) 數(shù)據(jù)清理是指清理所有用戶在可尋地址存儲位置中的數(shù)據(jù)，防止簡單的非侵入性數(shù)據(jù)恢復技術；(2) 數(shù)據(jù)清除是指采用物理邏輯技術的清理方法，即便采用最先進技術也無法恢復數(shù)據(jù)；(3) 數(shù)據(jù)銷毀是指刪除數(shù)據(jù)且不可恢復的方法，但同時也導致存儲介質的不可用。

(二) 數(shù)據(jù)銷毀義務的理論基礎與立法現(xiàn)狀： 信息保密方式的擴張

正如上文所述，數(shù)據(jù)銷毀的技術方式多是以數(shù)據(jù)的不可復原和徹底滅失作為直接目標，且數(shù)據(jù)銷毀的實際范圍不僅僅是用戶的個人信息，還包括企業(yè)的業(yè)務數(shù)據(jù)，數(shù)據(jù)銷毀義務的銷毀范圍、銷毀方式等具體內容明顯有別于刪除權的具體內容，(13)《民法典》第1195條“……采取刪除、屏蔽、斷開鏈接等必要措施……”的表述，從法律術語統(tǒng)一性解釋的角度來看，“刪除”所要求的技術效果顯然是以無法訪問為直接目標。這也意味著數(shù)據(jù)銷毀義務的理論基礎同

表1 IDSC有關數(shù)據(jù)銷毀方式的優(yōu)勢與弊端

表2 L’APD所劃分的數(shù)據(jù)銷毀技術方案

樣有別于刪除權所依托的個人信息自決權益保護理論。在個人信息保護、數(shù)據(jù)安全和網絡安全領域，相關法律法規(guī)確實尚未明文規(guī)定“數(shù)據(jù)銷毀義務”，甚至在《網絡安全法》《個人信息保護法》《數(shù)據(jù)安全法》中均未存在過“銷毀”這一表述，但這并不能成為否認數(shù)據(jù)銷毀義務事實存在的直接依據(jù)，因為數(shù)據(jù)銷毀義務存在的直接依據(jù)并非是學界主流觀點所認可的“個人信息權益保護”，而是保密義務在信息時代的內涵延伸。事實上，早在2010年的《保守國家秘密法》中就已經提及“銷毀義務”，(14)《中華人民共和國保守國家秘密法》第21條、第22條、第25條、第34條均有提及“國家秘密載體的銷毀”。規(guī)定企事業(yè)單位應當嚴格按照國家保密規(guī)定銷毀涉及國家秘密的載體，該義務的內核實質上仍然是保密義務，銷毀乃是國家秘密“保密生命周期”的最后一個環(huán)節(jié)。在我國個人信息保護和數(shù)據(jù)安全監(jiān)管的早期立法活動中，囿于信息技術水平尚處于早期發(fā)展階段，立法者對于數(shù)據(jù)安全保護的認知主要還是以國家秘密、商業(yè)秘密等信息層面的保密義務為主，義務主體也是主要以“國家機關和涉及國家秘密的單位”為限。在此之后，大數(shù)據(jù)、云計算、區(qū)塊鏈等信息技術的重大突破對立法目標和立法技術產生重大影響，以往隱藏于“隱私權”中的個人信息權益逐漸受到重視，“個人信息”開始獨立于“個人隱私”之外并成為獨立的民事客體。公法層面的保密義務僅以國家安全和社會公共利益為適用前提，(15)參見劉迎霜： 《大數(shù)據(jù)時代個人信息保護再思考——以大數(shù)據(jù)產業(yè)發(fā)展之公共福利為視角》，載《社會科學》2019年第3期，第100頁。故而該義務無法適應私法層面自然人對于個人信息保護的利益訴求，以“國家秘密”“商業(yè)秘密”等有限類型客體為保護對象的保密義務開始異化為數(shù)據(jù)安全保障義務和個人信息保護義務。一方面，“國家秘密”和“重要數(shù)據(jù)”兩個概念在信息社會中內涵和外延發(fā)生偏離，傳統(tǒng)意義上的“國家秘密”僅限于“一定時間內只限一定范圍的人員知悉的事項”，(16)《中華人民共和國保守國家秘密法》第2條規(guī)定：“國家秘密是關系國家安全和利益，依照法定程序確定，在一定時間內只限一定范圍的人員知悉的事項?！倍爸匾獢?shù)據(jù)”則是由國家機關制定重要數(shù)據(jù)目錄予以確定，(17)《數(shù)據(jù)安全法》第21條規(guī)定：“國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。”但兩者法益卻存在著重疊，即兩者均涉及國家安全和社會公共利益，這也是保密義務異化為數(shù)據(jù)安全保障義務的關鍵環(huán)節(jié)。因為“國家秘密”的存在形態(tài)是以特定內容的信息為基礎，而“重要數(shù)據(jù)”的存在形態(tài)則是各行業(yè)各部門在業(yè)務活動中積累形成的“數(shù)據(jù)集合”，前者的保護方式顯然無法直接沿用于后者的保護活動中，但在實際的保護邏輯層面卻具有相似性，即“國家秘密”和“重要數(shù)據(jù)”均是以有限的傳播和特定的處理權限為保障工具，保密義務的核心在于嚴格控制能夠處理“國家秘密”的人員范圍和時間節(jié)點，即“數(shù)據(jù)訪問權限受限”，而數(shù)據(jù)安全保障義務的基礎邏輯同樣是限定數(shù)據(jù)訪問權限，“數(shù)據(jù)分級分類保護制度”即是最佳例證。另一方面，國家秘密相關的保密義務與個人信息保護義務在客體層面存在顯著的差異性，前者是以承載公共利益的國家秘密為限，后者則是以承載私法利益的個人信息權益為限，將基于個人信息自決權益的個人信息保護義務解釋為保密義務的異化結果似乎存在邏輯關系斷裂的問題。然而，需要說明的是，個人信息保護義務不單純是私法利益保護的必然結果，該義務的理論基礎還包括數(shù)據(jù)安全保障義務。《數(shù)據(jù)安全法》和《個人信息保護法》在法律效力層面相同，但在立法目標和調整范圍層面，《數(shù)據(jù)安全法》囊括了所有類型的數(shù)據(jù)安全保護，“數(shù)據(jù)安全”指向“個人、組織的合法權益”和“國家主權、安全和發(fā)展利益”，調整范圍顯然囊括了個人信息的安全；而《個人信息保護法》則是在《數(shù)據(jù)安全法》的安全保障制度框架下建構的個人信息保護義務，該義務同樣沿用了數(shù)據(jù)安全保障義務的保護邏輯，即自然人的個人信息應當以秘密的狀態(tài)予以處理，不得超出約定的范圍向第三方主體傳輸或是用于其他信息服務場景。更重要的是，個人信息的安全狀態(tài)不僅關涉自然人的合法權益，同樣也關涉社會公共利益和國家安全，如在跨境數(shù)據(jù)流程場景下，信息處理者需要經過安全評估或個人信息保護認證方可向境外提供數(shù)據(jù)。

綜上所述，在我國現(xiàn)有立法資源中，數(shù)據(jù)銷毀義務起始于國家秘密、國家安全信息的保密義務，在整個數(shù)據(jù)生命周期中，銷毀是信息歸于消滅的最后階段，保密義務內含的“信息處理受限”之邏輯，要求數(shù)據(jù)銷毀的直接結果是數(shù)據(jù)的不可復原和不可再次獲取。而在信息社會中，涉及國家安全和社會公共利益的客體從“國家秘密”延伸至“重要數(shù)據(jù)”和“個人信息”，保密義務也隨之異化為“數(shù)據(jù)安全保障義務”和“個人信息保護義務”。這種異化趨勢導致數(shù)據(jù)銷毀義務在理論基礎層面發(fā)生變化： 第一，在保護理念層面，為了適應客體范圍的變化，信息安全的保護理念也從傳統(tǒng)的“信息保密”轉向“可控式數(shù)據(jù)安全”，數(shù)據(jù)銷毀義務不再是單純地導致“秘密/機密/絕密信息的消滅”，而是延伸至“數(shù)據(jù)的不可再次獲取”。第二，在制度功能層面，數(shù)據(jù)銷毀義務功能從早期“保障信息處于秘密狀態(tài)”轉向現(xiàn)在的“盡可能消除可控的數(shù)據(jù)安全風險”，重要數(shù)據(jù)的銷毀是為確保僅有特定的法律主體能夠獲取這些數(shù)據(jù)，且在數(shù)據(jù)銷毀之后無法通過其他方法予以復原，個人信息的銷毀則是為了確保個人信息在廢棄過程中意外泄露的風險處于可控狀況。第三，在義務內容層面，基于保密目標的數(shù)據(jù)銷毀義務是指國家秘密載體應當按照國家保密規(guī)定予以銷毀的義務，任何組織或個人均無權私自銷毀國家秘密載體，而基于數(shù)據(jù)安全保障義務的數(shù)據(jù)銷毀義務則是指義務主體在數(shù)據(jù)生命周期最后階段應當采取適當?shù)匿N毀技術將數(shù)據(jù)安全風險控制在可接受的范圍內。

圖1

(一) 數(shù)據(jù)銷毀義務的功能定位

數(shù)據(jù)銷毀義務的理論基礎在于信息保密方式的異化，《保守國家秘密法》中的信息保密方式要求信息銷毀的方式處于保密狀態(tài)，并嚴格按照既有的銷毀流程進行內容和載體的徹底清除；數(shù)據(jù)安全相關立法中的數(shù)據(jù)保密方式則是維持數(shù)據(jù)安全處于可控狀態(tài)，既包括保障僅有法律授權主體才可以持有重要數(shù)據(jù)，也包括第三方無法獲取已經銷毀的個人信息。數(shù)據(jù)銷毀義務的功能定位是以數(shù)據(jù)安全保障制度為依托，其目的是保障數(shù)據(jù)主體的數(shù)據(jù)控制權，防止數(shù)據(jù)被濫用、誤用，(18)參見唐林垚： 《隱私計算的法律規(guī)制》，載《社會科學》2021年第12期，第118—119頁。確保數(shù)據(jù)安全風險處于可控狀況。換言之，對于義務主體而言，數(shù)據(jù)銷毀不是為了保障數(shù)據(jù)安全的強制性義務，而以確認義務主體繼續(xù)持有數(shù)據(jù)無法保障數(shù)據(jù)安全為前提，倘若義務主體現(xiàn)有的技術水平、內部管理制度能夠保障可接受的數(shù)據(jù)安全，則義務主體可以選擇繼續(xù)持有這些數(shù)據(jù)，而非只能選擇銷毀這些數(shù)據(jù)。數(shù)據(jù)銷毀義務的體系定位是與數(shù)據(jù)安全風險評估機制直接掛鉤的，因為數(shù)據(jù)安全風險評估機制的基本邏輯是基于統(tǒng)一的安全指標和權重設置將數(shù)據(jù)安全風險可視化，數(shù)據(jù)(信息)處理者結合自身風險控制能力和安全技術水平選擇適當?shù)臄?shù)據(jù)處理流程保障數(shù)據(jù)安全，不可復原和不可非法獲取的數(shù)據(jù)銷毀技術屬于“兜底性”的數(shù)據(jù)安全處理方案。進一步而言，數(shù)據(jù)銷毀義務的功能定位不應當僅僅理解為確保信息處理者刪除個人信息的義務性規(guī)范，否則該項義務只不過是“刪除權”所對應的個人信息保護義務的另一種類型而已，而是應當理解為全行業(yè)全領域在處理無用數(shù)據(jù)、超期數(shù)據(jù)、未授權數(shù)據(jù)、不安全數(shù)據(jù)時應當采取的技術處理方案。(19)參見張繼紅： 《大數(shù)據(jù)時代個人信息保護行業(yè)自律的困境與出路》，載《財經法學》2018年第6期，第57—60頁。具體而言，理解數(shù)據(jù)銷毀義務的功能定位有必要厘清以下三個概念之間的體系關系：

第一，數(shù)據(jù)銷毀義務與數(shù)據(jù)刪除義務的區(qū)分。其一，數(shù)據(jù)銷毀義務的履行能夠確保信息處理者無法獲得特定自然人的數(shù)字身份和行為軌跡。刪除權的功能首先是確保自然人能夠再次隱匿自己在網絡空間的數(shù)字身份以及降低網絡社會對個人信息的感知程度，而數(shù)據(jù)銷毀義務也具有類似的功能定位，即通過焚毀法、覆寫法等數(shù)據(jù)銷毀技術達成“信息處理者不再控制自然人個人數(shù)據(jù)”的法律效果。(20)參見齊愛民、張哲： 《識別與再識別： 個人信息的概念界定與立法選擇》，載《重慶大學學報(社會科學版)》2018年第2期，第119—131頁。其二，數(shù)據(jù)銷毀義務的履行應當是有限度地銷毀部分個人數(shù)據(jù)，即應當是銷毀、刪除自然人姓名、電話、IP地址、職業(yè)等信息要素，而不是因為某一條或數(shù)據(jù)庫中存儲有特定自然人相關聯(lián)的個人數(shù)據(jù)就要銷毀、刪除整條數(shù)據(jù)或整個數(shù)據(jù)庫。(21)參見蘇宇、高文英： 《個人信息的身份識別標準： 源流、實踐與反思》，載《交大法學》2019年第4期，第64—66頁。根據(jù)第一層次的功能定位，數(shù)據(jù)銷毀義務既可以直接以技術手段實現(xiàn)個人數(shù)據(jù)從有到無的轉變，也可以間接銷毀、刪除部分信息要素達成特定自然人身份的無法關聯(lián)和無法識別，即僅清除、替換部分信息要素即可。其三，數(shù)據(jù)銷毀義務的履行應當在平衡企業(yè)數(shù)據(jù)銷毀成本和個人數(shù)據(jù)安全保護兩種法益基礎上進行。(22)參見張新寶： 《從隱私到個人信息： 利益再衡量的理論與制度安排》，載《中國法學》2015年第3期，第52頁。數(shù)據(jù)銷毀義務的具體內容不應當嚴格限定某一類或某幾種技術方案，對于不同規(guī)模企業(yè)而言，從根源上銷毀存儲介質固然可以確保數(shù)據(jù)的不可再生，但對于中小企業(yè)而言，頻繁地更換存儲介質無異于增加額外的經濟成本，故而數(shù)據(jù)銷毀方式的選擇應當交由信息處理者自身根據(jù)實際情況予以確定。(23)強制履行數(shù)據(jù)銷毀義務有可能給企業(yè)施加不合理的影響，影響企業(yè)的正當權益。參見丁曉東： 《個人信息權利的反思與重塑——論個人信息保護的適用前提與法益基礎》，載《中外法學》2020年第2期，第350頁。數(shù)據(jù)銷毀義務的實現(xiàn)方式也應當滿足數(shù)據(jù)安全保護的立法目標，對于敏感個人數(shù)據(jù)，這類數(shù)據(jù)的銷毀應當采用不可再生、不可溯源的技術方案予以實現(xiàn)(如硬件焚毀等)；對于一般個人數(shù)據(jù)而言，這類數(shù)據(jù)則可以采取恢復成本高昂的技術方案予以銷毀(如加密銷毀、數(shù)據(jù)銷毀等)。

第二，因法定事由而必須銷毀數(shù)據(jù)的義務和按照安全技術標準銷毀數(shù)據(jù)的義務。數(shù)據(jù)銷毀義務的基本內涵并不是強制要求信息處理者必須銷毀數(shù)據(jù)，而是指信息處理者在銷毀數(shù)據(jù)時所采取的銷毀流程和銷毀技術措施應當滿足數(shù)據(jù)安全的立法目標和安全技術標準。在《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》第23條中，工業(yè)和電信數(shù)據(jù)處理者履行數(shù)據(jù)銷毀義務主要包括“建立數(shù)據(jù)銷毀策略和管理制度”“明確銷毀對象、流程和技術等要求”以及“記錄和留存銷毀活動”三個層面的內容。數(shù)據(jù)銷毀義務的制度目的是實現(xiàn)數(shù)據(jù)全生命周期的安全管理，滿足立法層面所要求的“持續(xù)處于有效保護狀態(tài)”和“合法利用狀態(tài)”。因此，數(shù)據(jù)銷毀義務不可簡單理解為“義務主體應當銷毀數(shù)據(jù)”的法定義務。事實上，該義務可拆解為兩個部分： 第一個部分是義務主體在滿足何種條件時應當銷毀數(shù)據(jù)以及在何種條件時可以選擇銷毀數(shù)據(jù)作為數(shù)據(jù)安全保障的備選方案，即“因法定事由而必須銷毀的數(shù)據(jù)”和“因安全事由而可以銷毀的數(shù)據(jù)”。該部分的義務功能在于明確數(shù)據(jù)銷毀行為本身不是強制性義務，而是可以選擇的安全技術方案。如果過度強調數(shù)據(jù)銷毀義務的制度功能在于明確義務主體銷毀數(shù)據(jù)的法定情形，則與“刪除權”的基本內容并無本質差異，無法凸顯在數(shù)據(jù)全生命周期中“銷毀”和“刪除”兩類數(shù)據(jù)處理行為的功能差異。第二個部分則是數(shù)據(jù)銷毀行為的法定要求，即數(shù)據(jù)銷毀的基本流程、銷毀技術、銷毀范圍、銷毀記錄應當滿足法律要求和技術標準，保障數(shù)據(jù)銷毀活動的最終結果能夠達到不可復原的狀態(tài)，且其他法律主體無法在數(shù)據(jù)銷毀之后非法采取其他技術手段重新獲得數(shù)據(jù)。數(shù)據(jù)銷毀義務的立法目的不是為了限制義務主體獲取、存儲、使用數(shù)據(jù)的能力，而是為了確保義務主體在數(shù)據(jù)全生命周期的各個階段都能保障數(shù)據(jù)安全以及風險可控。在業(yè)務實踐中，由于數(shù)據(jù)銷毀流程的不規(guī)范、存儲介質未徹底消磁、數(shù)據(jù)覆寫不完全等原因，銷毀環(huán)節(jié)所存在的數(shù)據(jù)安全風險并不低于數(shù)據(jù)收集、存儲、加工、傳輸?shù)拳h(huán)節(jié)的安全風險水平。

第三，數(shù)據(jù)銷毀義務與去標識化義務。在個人信息處理場景下，信息處理者通常有義務采用技術措施去除個人信息中的可識別要素，中斷這些信息直接識別或間接識別特定自然人的可能性，這與數(shù)據(jù)銷毀義務所欲達成的技術效果具有相似性，即均是以個人信息可識別功能的喪失作為“清除個人信息”的結果形式之一。兩者之間的體系邏輯表現(xiàn)為兩個層面： 第一，在義務主體安全技術能力能夠保障數(shù)據(jù)安全風險處于可接受范圍內時，義務主體可以“二者選其一”，因為數(shù)據(jù)處理實踐活動的復雜性決定了以“一刀切”的方式明確限定數(shù)據(jù)銷毀范圍不具有可操作性，個人信息的存在形態(tài)并非是以每行記錄代表特定自然人個人信息的表格記錄方式，而是以零散拆分的數(shù)據(jù)要素分布式存儲在數(shù)據(jù)庫中，數(shù)據(jù)銷毀范圍顯然不可能銷毀“一切與自然人相關的信息”，其銷毀結果只要達成“個人信息”的實質消除即可，即自身無法復原業(yè)已銷毀的數(shù)據(jù)和其他人也無法通過銷毀之后剩余的其他數(shù)據(jù)再次識別特定自然人。這種銷毀效果與去標識化的技術效果均滿足“無法識別特定自然人”的要求，義務主體“二者選其一”的法律效果并無本質差異。第二，數(shù)據(jù)銷毀與數(shù)據(jù)去標識化在技術邏輯層面終究屬于兩種完全不同的安全技術方案，數(shù)據(jù)銷毀的直接結果是部分數(shù)據(jù)的徹底消除，而去標識化的技術邏輯則是“去除個人信息中能夠標識或關聯(lián)至特定自然人的要素”，(24)《個人信息安全規(guī)范》3.15和《個人信息去標識化指南》3.3均將“去標識化”界定為“通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程”。識別要素被“隱藏”而未徹底銷毀，所以前者的數(shù)據(jù)安全保障效果明顯優(yōu)于后者，一旦數(shù)據(jù)安全風險評估結果認定義務主體無法控制數(shù)據(jù)安全水平，則義務主體只能選擇數(shù)據(jù)銷毀這一方式來控制數(shù)據(jù)生命周期最后階段的安全性，因為現(xiàn)有信息技術不可能保證絕對的數(shù)據(jù)安全，保障個人信息安全最有效的方式是直接切斷所有可能獲取個人信息的渠道，以去標識化方式繼續(xù)持有個人信息只會加劇個人信息泄露的實際風險。

總結而言，數(shù)據(jù)銷毀義務的直接功能在于避免個人數(shù)據(jù)、業(yè)務數(shù)據(jù)、重要數(shù)據(jù)等在數(shù)據(jù)銷毀之后復原并造成大規(guī)模數(shù)據(jù)泄露事件。同時，需要注意的是，數(shù)據(jù)銷毀義務在整個數(shù)據(jù)安全立法體系中屬于《數(shù)據(jù)安全法》“數(shù)據(jù)安全保障制度”的階段性義務，即數(shù)據(jù)生命周期最后環(huán)節(jié)的“安全保障義務”，數(shù)據(jù)銷毀義務與個人信息刪除權之間在技術效果層面確實容易混淆，但前者的適用范圍和正當性是以社會公共利益和國家安全層面的數(shù)據(jù)安全為基礎，而后者則是個人信息權益的自然延伸，亦是處理個人信息的合法事由和必要性喪失時的必然結果。在《重慶市公共數(shù)據(jù)分類分級指南(試行)》中，更是將“數(shù)據(jù)銷毀”與“數(shù)據(jù)處理”“數(shù)據(jù)開放”“數(shù)據(jù)共享”等概念并列，數(shù)據(jù)銷毀的技術功能明顯有別于其他數(shù)據(jù)處理流程，且按照該標準的四級管控要求，“刪除”僅是“銷毀”的一個步驟，數(shù)據(jù)刪除之后，還需要確保采用其他邏輯銷毀方法，保障所有其他副本均被安全地刪除。

(二) 數(shù)據(jù)銷毀義務的履行標準

數(shù)據(jù)銷毀義務的制度功能是以嵌入數(shù)據(jù)安全風險評估機制的方式實現(xiàn)，通過評估流程和評估結果確定特定場景中義務主體和銷毀數(shù)據(jù)的具體范圍。在義務主體層面，數(shù)據(jù)銷毀義務制度建構最主要的問題在于存在業(yè)務關聯(lián)的第三方是否同樣應當履行數(shù)據(jù)銷毀義務，或者說信息處理者與業(yè)務關聯(lián)第三方之間如何協(xié)商履行數(shù)據(jù)銷毀義務。數(shù)據(jù)銷毀義務的理論基礎是信息保密方式的異化，業(yè)務關聯(lián)第三方是否有義務銷毀相關數(shù)據(jù)的認定關鍵仍然需要回歸至數(shù)據(jù)安全風險評估機制，如果評估結果認定第三方所留存的數(shù)據(jù)將導致主要的或相當程度的安全風險，則第三方理應銷毀數(shù)據(jù)確保重要數(shù)據(jù)始終維系在有限范圍內予以處理或個人信息無法被外部環(huán)境獲取，而義務主體則應當對第三方的數(shù)據(jù)銷毀行為承擔連帶責任。在銷毀范圍層面，數(shù)據(jù)銷毀義務面臨著與刪除權同樣的問題： 銷毀的數(shù)據(jù)范圍是包括所有相關數(shù)據(jù)，還是僅以“涉及國家安全和社會公共利益”的數(shù)據(jù)要素為限。根據(jù)前文所討論的數(shù)據(jù)銷毀義務理論基礎和功能定位來看，數(shù)據(jù)銷毀義務的適用場景主要集中于“數(shù)據(jù)確已達到銷毀環(huán)節(jié)”和“數(shù)據(jù)需要銷毀來保障安全”兩種情形，前者主要指向商用價值喪失或合法處理基礎喪失的重要數(shù)據(jù)、個人信息，后者主要指向處于安全異常狀態(tài)的重要數(shù)據(jù)和個人信息，且信息處理者繼續(xù)存儲這些數(shù)據(jù)無法保障安全，此時則需要采用數(shù)據(jù)銷毀方式徹底消除數(shù)據(jù)。數(shù)據(jù)銷毀義務的銷毀范圍實際上與銷毀效果密切相關，義務主體所選擇的銷毀范圍能滿足數(shù)據(jù)銷毀義務的法定要求和安全技術標準，即便沒有銷毀重要數(shù)據(jù)和個人信息的全部內容或者沒有采用存儲介質直接銷毀的方法，也可視為義務主體已經履行數(shù)據(jù)銷毀義務。以用戶注銷賬戶為例，用戶可以要求信息處理者履行刪除其個人信息的法定義務，此時的“刪除”的數(shù)據(jù)范圍存在三種認定方式： 一種方式是直接在信息處理者的數(shù)據(jù)庫中刪除用戶賬號及該賬號使用期間所形成的所有使用數(shù)據(jù)，另一種方式是直接在用戶端界面刪除賬戶相關的所有信息，其他用戶無法獲得該用戶之前的信息服務使用記錄，還有一種方式則是信息處理者僅刪除用戶姓名、賬號昵稱、賬號唯一識別碼、IP地址、電話號碼等關鍵信息要素，對用戶在使用賬號期間所形成的使用數(shù)據(jù)予以保留。仔細分析這三種銷毀方式，實質上代表了三種不同的個人信息保護立場，第一種方式是以自然人在網絡空間的“數(shù)字身份”作為實際的銷毀對象，確保自然人有能力選擇“重新塑造”自己在網絡空間的社會形象；(25)參見王琰、趙婕： 《大數(shù)據(jù)時代被遺忘權的現(xiàn)實邏輯與本土建構》，載《南昌大學學報(人文社會科學版)》2020年第6期，第104頁。第二種則是將個人信息與個人隱私置于相同的保護方式之下，以一般理性人能否識別特定自然人身份作為直接的判斷依據(jù)，確保個人信息的私密屬性；(26)參見房紹坤、曹相見： 《論個人信息人格利益的隱私本質》，載《法制與社會發(fā)展》2019年第4期，第 109頁。第三種則是立足“個人信息”概念所要求的可識別標準，數(shù)據(jù)銷毀的真正對象不是數(shù)據(jù)本身，而是個人數(shù)據(jù)的可識別性和可關聯(lián)性，只要銷毀后的數(shù)據(jù)不再具有識別能力，則已經滿足數(shù)據(jù)銷毀義務的法定要求。(27)參見程德理、趙麗麗： 《個人信息保護中的“識別”要素研究》，載《河北法學》2020年第9期，第48頁。從我國《個人信息保護法》第1條所規(guī)定的“規(guī)范個人信息處理活動”和“促進個人信息合理利用”兩項立法目的來看，第三種數(shù)據(jù)銷毀方式更符合我國個人信息保護的實踐需求，一方面“銷毀”了信息處理者以及第三方識別個人信息的可能性，另一方面也為信息處理者擴大數(shù)據(jù)商業(yè)價值預留了一定空間，例如在部分用戶畫像應用場合，即便結構化數(shù)據(jù)中銷毀了自然人的姓名、年齡、電話、IP地址等關鍵信息要素，但信息處理者仍然可以將剩余不具備識別特定自然人功能的數(shù)據(jù)用于用戶群體的行為偏好分析。(28)參見丁曉東： 《用戶畫像、個性化推薦與個人信息保護》，載《環(huán)球法律評論》2019年第5期，第92頁。審視現(xiàn)有的立法制度和商業(yè)實踐，數(shù)據(jù)銷毀義務的履行方式和銷毀范圍需要考量“中斷識別”和“損害預防”兩個因素。在中斷識別層面，數(shù)據(jù)銷毀義務的履行方式包括全部數(shù)據(jù)銷毀和部分數(shù)據(jù)銷毀。前者主要出現(xiàn)在信息處理者不再運營其產品或服務之場景，中斷識別的判斷標準是用戶相關的所有數(shù)據(jù)均已徹底銷毀。后者則主要出現(xiàn)在信息處理者需要留存部分數(shù)據(jù)作為用戶群體畫像分析等業(yè)務活動中，中斷識別的判斷標準可延伸至三個層面。一是與其他用戶采用同一體系的唯一識別信息要素均已刪除，即銷毀范圍既包括敏感個人信息，也包括唯一設備編號，但是如果信息處理者采用其他編號方式為銷毀對象的其他非個人數(shù)據(jù)進行唯一編號，同樣滿足不具有識別特定自然人的法定要求。二是數(shù)據(jù)銷毀的范圍既包括信息處理者本身，還包括與信息處理者存在業(yè)務鏈關系的其他關聯(lián)主體，確保個人數(shù)據(jù)在這些整體性提供信息服務的信息處理者之間均已徹底銷毀。三是如果采取軟銷毀方式，數(shù)據(jù)銷毀的效果應當滿足現(xiàn)有信息技術不足以或需要以極其不合理的代價重新恢復原始數(shù)據(jù)或再次識別特定自然人，如果銷毀的數(shù)據(jù)范圍涉及敏感個人信息時，數(shù)據(jù)銷毀的效果應當僅以數(shù)據(jù)不可復原或回檔作為唯一判斷標準。(29)參見田野、張晨輝： 《論敏感個人信息的法律保護》，載《河南社會科學》2019年第7期，第48頁。除此之外，數(shù)據(jù)銷毀義務的現(xiàn)實依據(jù)還在于避免信息處理者因為不合規(guī)或不恰當?shù)臄?shù)據(jù)銷毀流程而導致數(shù)據(jù)意外泄露，(30)See Solon Barocas & Helen Nissenbaum， Big Data’s End Run around Anonymity and Consent， in Julia Lane et al.， eds.， Privacy， Big Data， and the Public Good： Frameworks for Engagement， Cambridge University Press， 2014， p.44-75．故而該義務履行還應當包括銷毀后的數(shù)據(jù)能夠有效避免數(shù)據(jù)泄露、數(shù)據(jù)非法訪問等安全風險。(31)參見呂炳斌： 《論網絡用戶對“數(shù)據(jù)”的權利——兼論網絡法中的產業(yè)政策和利益衡量》，載《法律科學(西北政法大學學報)》2018年第6期，第64頁。

四、 數(shù)據(jù)銷毀義務的制度建構的幾個特殊問題

(一) 信息處理者有義務銷毀死者個人數(shù)據(jù)嗎？

《個人信息保護法》第49條規(guī)定了自然人近親屬可以基于“自身的合法、正當利益”主張對死者的相關個人信息行使刪除權，相較于《個人信息保護法草案(二次審議稿)》(32)二審稿第49條規(guī)定：“自然人死亡的，個人在個人信息處理活動中的權利，由其近親屬行使?！钡谋硎龆?，該條規(guī)定在承認死者近親屬可以針對死者個人信息行使相關權利的基礎上，還設置了行使權利的“合法性”限制條件。這種立法表述變化的原因在于死者個人信息保護的基本立場明顯不同于自然人在世時的個人信息保護邏輯。自然人死亡之后既不會因為個人信息的不當處理而感受到精神痛苦，也無法根據(jù)自己的意愿繼續(xù)決定個人信息處理的具體方式，即信息自決權益的實現(xiàn)基礎早已喪失，在立法層面繼續(xù)承認死者享有與其他自然人同樣內容的個人信息權益有悖立法宗旨。類比傳統(tǒng)人格權保護學說，(33)學界通說認為，自然人已經死亡的，不再享有姓名權、肖像權、隱私權等人格權，但死者的姓名、肖像、名譽權、隱私等人格利益仍然受到法律保護，其理論學說包括死者權利保護說、死者法益保護說、近親屬權利說、人格利益繼承說、延伸保護說等學說。參見程嘯： 《論死者個人信息的保護》，載《法學評論》2021年第5期，第13—23頁。死者不再享有個人信息權益不等于死者的個人信息不被保護，只不過是死者個人信息所承載的法益內容從自然人信息自決權益轉變?yōu)樗勒呓H屬的合法權益。信息處理者濫用死者個人信息有可能侵害死者近親屬的人格尊嚴以及其他人格權益，故而立法者允許死者近親屬以自身合法正當利益受到侵害為由，主張信息處理者履行死者個人信息刪除義務。然而，需要注意的是，此時的“刪除權”與自然人本身行使的“刪除權”存在內容差異： 死者近親屬行使“刪除權”的目的是維護自身而非死者的人格權益，其主張刪除死者個人信息的場景多為信息處理者擅自公開死者個人信息、不當處理死者個人信息、貶低死者社會形象而造成近親屬精神痛苦等情形，刪除死者個人信息的方式與刪除死者個人隱私的方式較為相似，均是通過刪除等操作方式將信息內容從公開狀態(tài)重新轉變?yōu)樗矫軤顟B(tài)。而一般意義上的“刪除權”則是要求信息處理者在不具備合法處理個人信息的情形下不再持有自然人的個人信息，刪除方式多為數(shù)據(jù)庫后臺的個人信息識別要素的剔除或者個人信息相關記錄的全部刪除。簡言之，死者近親屬的“刪除權”是以信息處理者不當處理死者個人信息或非法公開死者個人信息為前提，權利的本質是自身人格利益的保護，并未涉及信息處理者是否有義務銷毀后臺數(shù)據(jù)庫所存儲的死者個人數(shù)據(jù)。

既然自然人在死亡后不再享有個人信息權益，那么這是否意味著信息處理者只要滿足個人信息處理方式，在不損害死者近親屬人格利益的情況下可以無期限地存儲和處理死者個人信息？換言之，信息處理者是否有義務按照法律規(guī)定銷毀個人數(shù)據(jù)？不妨預先假設： 信息處理者有義務銷毀死者的個人數(shù)據(jù)，其依據(jù)顯然是為了保護死者的人格尊嚴和其他人格利益，但以二進制數(shù)值等形式存在的個人信息在不對外公開的情況下，不涉及對《民法典》第994條提及的“對死者姓名、肖像、名譽、榮譽、隱私、遺體等人格權益的侵害”以及《個人信息保護法》第49條提及的死者近親屬的“合法權益”，這種數(shù)據(jù)銷毀義務的依據(jù)顯然無法成立。此外，數(shù)據(jù)銷毀義務的理論基礎意在強調數(shù)據(jù)的安全狀態(tài)以及恰當?shù)臄?shù)據(jù)保護方式，倘若以信息處理者繼續(xù)存儲死者個人數(shù)據(jù)而無法保障這些數(shù)據(jù)安全狀態(tài)為由，要求信息處理者履行數(shù)據(jù)銷毀義務，既缺乏直接的權利主體(死者)，也缺乏足夠的強制銷毀事由，因為這種數(shù)據(jù)安全并不涉及國家安全、社會公共利益，是否予以銷毀完全屬于信息處理者經營自主權的決定范疇。即便死者個人數(shù)據(jù)存在數(shù)據(jù)泄露風險，也是由死者近親屬自行選擇是否要求信息處理者刪除死者個人信息，而非在立法層面強制要求信息處理者必須銷毀個人數(shù)據(jù)，并且，強制性銷毀義務模式本身也與《數(shù)據(jù)安全法》所追求的數(shù)據(jù)合法利用目標相悖。因此，在不侵害死者近親屬合法權益、不對外公開或傳輸死者個人數(shù)據(jù)的前提下，信息處理者并沒有需要強制銷毀死者的個人數(shù)據(jù)的義務。

(二) 去中心化技術方案下數(shù)據(jù)銷毀義務應當如何履行？

現(xiàn)階段的區(qū)塊鏈技術主要集中應用于金融交易、產權登記、司法公證等領域，尤其是依托該技術所建構的智能合約具有不可篡改性和自動執(zhí)行等技術優(yōu)勢，能夠有效滿足金融、醫(yī)療、版權等行業(yè)的業(yè)務需求。區(qū)塊鏈技術本身是一種去中心化的分布式記賬系統(tǒng)，實質上是集體維護數(shù)據(jù)庫的一個技術方案，(34)參見石冠彬、陳全真： 《論區(qū)塊鏈存證電子數(shù)據(jù)的優(yōu)勢及司法審查路徑》，載《西南民族大學學報(人文社會科學版)》2021年第1期，第69頁。其底層的技術邏輯可以表述為所有參與節(jié)點共同維護交易活動以及數(shù)據(jù)庫，在系統(tǒng)中將已經達成交易的區(qū)塊連接成一條主鏈，所有節(jié)點基于密碼學原理共同對區(qū)塊記載的內容予以承認，不需要第三方的介入，而非傳統(tǒng)的金融活動中通常需要依靠中立第三方以維護商事秩序。(35)參見唐林垚： 《我國信息披露違規(guī)增持股份之懲戒抉擇》，載《西南民族大學學報(人文社會科學版)》2020年第4期，第93頁。恰恰是這種交易信息數(shù)據(jù)修改需要主鏈超過50%的節(jié)點共同認可的不可篡改優(yōu)勢，致使數(shù)據(jù)銷毀義務的履行變得不再那么容易，在區(qū)塊鏈上刪除之前的數(shù)據(jù)遠比在個人計算機上將文件拖入回收站要難得多。法律不可能強行要求信息處理者以高昂的銷毀成本在區(qū)塊中徹底銷毀數(shù)據(jù)，而是需要重新審視數(shù)據(jù)銷毀義務的適用場景和履行方式。(36)參見陳奇?zhèn)ァ⒙櫫辗澹?《技術+法律： 區(qū)塊鏈時代個人信息權的法律保護》，載《江西社會科學》2020年第6期，第170頁。誠如前文所言，數(shù)據(jù)銷毀義務的直接目的是徹底銷毀個人數(shù)據(jù)，但這種銷毀方式并不只限于一般意義上的物理銷毀，還包括加密銷毀、訪問權限銷毀等方式，只要其實際效果能夠滿足法定“刪除個人數(shù)據(jù)”之要求，即便是在區(qū)塊鏈上銷毀數(shù)據(jù)也不一定限于在區(qū)塊上刪除數(shù)據(jù)這一種方式。區(qū)塊鏈上存儲信息的訪問往往需要私鑰和公鑰的相互匹配，故而數(shù)據(jù)銷毀的方式可以采取直接對需要銷毀的數(shù)據(jù)進行加密，之后將訪問這些數(shù)據(jù)所需的私鑰直接銷毀，導致任何人在此之后均無法訪問這些區(qū)塊上存儲的個人數(shù)據(jù)。但問題在于，這種“加密銷毀”方式與數(shù)據(jù)銷毀方式最大的不同在于前者并沒有對個人數(shù)據(jù)的可識別性和關聯(lián)性進行直接處理，而是直接以封鎖所有訪問權限的方式切斷立法者設想的識別主體接觸這些個人數(shù)據(jù)的路徑，這種實際不可能接觸數(shù)據(jù)并識別特定自然人的技術效果與立法者所追求的數(shù)據(jù)銷毀效果仍然存在效果鴻溝。一方面，“加密銷毀”的實質是隱藏區(qū)塊鏈上的個人信息，并不妨礙個人數(shù)據(jù)存在于特定區(qū)塊這一事實的成立，即便一般人無法破解區(qū)塊鏈上的私鑰訪問權限限制，但這并不等于個人數(shù)據(jù)不會被再度訪問和識別，區(qū)塊鏈技術本身并不能達到絕對安全的狀態(tài)，在付出足夠多的代價之后，第三方仍然有可能繞過私鑰的技術限制獲取隱藏的個人數(shù)據(jù)。因此，“加密銷毀”方式在此層面并沒有達到《個人信息保護法》的保護要求。另一方面，《個人信息保護法》第47條有關“刪除”的表述實質上也是在確保信息處理者所存儲的個人信息具有法律依據(jù)和現(xiàn)實依據(jù)，既沒有超出收集階段與用戶約定的存儲期限，也沒有通過非法途徑獲取用戶個人信息。(37)參見唐林垚： 《“脫離算法自動化決策”的虛幻承諾》，載《東方法學》2020年第6期，第25頁。而在“加密銷毀”方式中，個人數(shù)據(jù)的存在事實無法否認，即便訪問權限受到限制，也并不排斥個人數(shù)據(jù)存儲在信息處理者的區(qū)塊鏈這一事實，信息處理者存儲應當刪除的個人數(shù)據(jù)本身即與立法本意相悖。這是否意味著區(qū)塊鏈技術可以作為數(shù)據(jù)銷毀義務的例外情形？如果對此予以肯定，則會錯誤引導信息處理者將個人數(shù)據(jù)全部上傳至私有區(qū)塊鏈，以此避免履行數(shù)據(jù)銷毀義務。數(shù)據(jù)銷毀義務的履行主體是信息控制者或信息處理者，這些義務主體的共同特點在于能夠有效控制和處理個人數(shù)據(jù)，而作為參與者的各個節(jié)點雖然看似缺乏中心化管理機構的控制能力，但是這些節(jié)點在將個人數(shù)據(jù)上傳至區(qū)塊鏈之前存在明確的處理目的和處理方式，將其視為信息處理者是合乎邏輯的。并且，在私有區(qū)塊鏈模式下，通常存在一個法人實體作為主要運營商，并根據(jù)其確定的治理規(guī)則對區(qū)塊鏈實施一定范圍內的控制。既然區(qū)塊鏈上的數(shù)據(jù)刪除難以實現(xiàn)，倒不如直接要求信息處理者在數(shù)據(jù)量較大且這些數(shù)據(jù)會定期更新的情形下直接在鏈下存儲個人數(shù)據(jù)，進而將數(shù)據(jù)銷毀義務轉化為擦除數(shù)據(jù)庫。

五、 結語： 數(shù)據(jù)銷毀義務的制度建構

數(shù)據(jù)銷毀義務應用的特殊場景遠不止前文所述，在信息處理者進入破產清算階段，業(yè)務數(shù)據(jù)和個人數(shù)據(jù)并非當然可以作為企業(yè)破產財產，現(xiàn)行立法并沒有直接規(guī)定企業(yè)數(shù)據(jù)財產權，并且數(shù)據(jù)財產權的設置顯然是以數(shù)據(jù)安全為前提，倘若根據(jù)數(shù)據(jù)安全風險評估結果，處于破產階段的企業(yè)已經無法保障包含業(yè)務數(shù)據(jù)的安全，破產管理人應當以保障自然人個人信息權益和重要數(shù)據(jù)安全作為優(yōu)先事項，按照行業(yè)主管部門的監(jiān)管要求直接銷毀數(shù)據(jù)。數(shù)據(jù)銷毀義務的制度建構還需要厘清數(shù)據(jù)安全和數(shù)據(jù)利用之間的法益平衡關系，即便因業(yè)務數(shù)據(jù)毫無商業(yè)價值而選擇數(shù)據(jù)銷毀，由于硬件存儲介質本身也具有一定的經濟價值，此時的數(shù)據(jù)銷毀義務履行方式顯然也不能采用焚毀法、水泡法等硬銷毀方式，但在采用軟銷毀方式時，考慮到破產管理人對于業(yè)務數(shù)據(jù)安全保護能力有限，具體的銷毀技術方案應當滿足更高標準的不可復原性，且數(shù)據(jù)刪除的范圍應當是以全部個人信息為主。因此，我國在建構全生命周期個人信息保護體系的過程中，不僅需要重視數(shù)據(jù)收集階段的合目的性、必要性等具體規(guī)則的構建，同時也需要重視數(shù)據(jù)銷毀階段的標準設置與規(guī)則建構。首先，數(shù)據(jù)銷毀義務應當與個人信息刪除義務在制度層面進行明確區(qū)分，數(shù)據(jù)銷毀義務應當安置于《數(shù)據(jù)安全法》的數(shù)據(jù)安全保障制度框架內，個人信息的銷毀僅是數(shù)據(jù)銷毀義務履行的一小部分，更重要的是義務主體按照法定要求和技術標準銷毀“重要數(shù)據(jù)”。其次，應當在立法層面細化數(shù)據(jù)銷毀義務的履行標準，以“數(shù)據(jù)的徹底清除和不可復原”為基本原則，允許義務主體在技術能力和經濟成本允許的范圍內自行選擇最為恰當?shù)臄?shù)據(jù)銷毀方式，物理介質的徹底銷毀并非履行義務的唯一標準。最后，數(shù)據(jù)銷毀義務的適用范圍需要考慮到死者個人數(shù)據(jù)銷毀、去中心化技術方案下的數(shù)據(jù)銷毀以及破產清算時數(shù)據(jù)銷毀等特殊情形，細化數(shù)據(jù)銷毀義務的例外情形和特別規(guī)則。