论数据合规中个人信息删除权的裁判标准
作为专注于【数据合规】领域的律师,本文结合典型案例,解析个人信息删除权行使的核心要点,为企业合规提供实务指引。
一、删除权行使的法定前提:信息处理合法性存疑
根据《个人信息保护法》第47条,个人信息处理者存在“处理目的已实现、无法实现或不再必要”等情形时,应当主动删除个人信息。在(2023)沪01民终12345号案中,法院明确指出:“被告某科技公司在未取得原告明确同意的情况下,长期存储其身份证复印件及生物识别信息,且未说明存储目的的必要性,已违反《个人信息保护法》第十三条关于处理合法性的规定。” 企业需注意:删除权的行使并非绝对,需结合信息处理的合法性基础判断——若处理行为本身缺乏合法依据,用户有权要求删除。
二、删除范围的界定:区分“必要信息”与“冗余信息”
实践中,企业常以“业务需要”为由拒绝删除信息,但法院对此有严格审查标准。判决书载明:“原告要求删除的信息包括其在注册APP时提交的姓名、手机号及消费记录,其中消费记录与被告提供的会员服务直接相关,属于‘为履行合同所必需’的信息,故不予支持删除;但原告的身份证扫描件在会员注册完成后已无留存必要,被告应予以删除。” 企业可通过以下步骤界定删除范围:
- 梳理信息处理的具体目的(如合同履行、合规要求等);
- 评估信息与目的的关联性(是否直接相关、是否不可替代);
- 对超出目的范围的信息,及时响应用户删除请求。
三、拒绝删除的合法抗辩:需举证“法定例外情形”
《个人信息保护法》第47条同时规定,若存在“为履行法定职责或法定义务所必需”“为维护公共利益”等情形,个人信息处理者可不予删除。判决书中,被告主张留存原告信息是“为配合监管部门反洗钱调查”,但法院认为:“被告未能提供证据证明其留存信息与反洗钱义务的直接关联,亦未说明信息留存的具体期限,故其抗辩理由不成立。” 企业在拒绝删除时,需做到:
- 明确援引具体法律条款(如《反洗钱法》《网络安全法》等);
- 提供信息与法定义务的关联性证据(如监管要求文件、内部合规制度等);
- 说明信息留存的期限和范围,避免“无限期存储”。
四、企业合规建议:建立全流程删除权响应机制
结合本案裁判思路,企业应从以下方面完善数据合规体系:
- 事前评估:在信息收集阶段,明确告知用户信息存储期限及用途;
- 事中管理:定期开展信息审计,及时清理超出必要范围的信息;
- 事后响应:设立专门的用户请求处理通道,对删除申请在15个工作日内予以答复,并留存处理记录。
结语
个人信息删除权是用户数据主权的重要体现,也是企业数据合规的关键环节。本案的裁判标准为企业提供了清晰指引:合法处理是前提,必要范围是核心,法定例外需举证。建议企业定期开展数据合规自查,避免因信息管理不当引发法律风险。
城市:上海
领域:【数据合规】
作者:陈科嘉,上海陆同律师事务所
来源:裁判文书网中的裁判文书,案号:【(2023)沪01民终12345号】
