從注銷到刪除：“賬號注銷權”的體系定位與制度建構

趙精武　唐浩隆

摘 要：《網絡數據安全管理條例（征求意見稿）》，首次將個人信息刪除權與賬號注銷進行關聯，凸顯了賬號注銷的體系性地位。賬號作為用戶訪問手機移動應用的主要媒介，集成了大量用戶在使用移動應用過程中主動提供、被動獲取和自動生成的個人信息。用戶常通過賬號注銷的方式切斷與運營者之間的聯系，以期保護個人信息與財產安全，但賬號注銷仍存在主動注銷復雜、被動注銷缺位以及注銷后信息處理模糊等難題亟待解決。結合我國當前的立法現狀以及域外被遺忘權制度的實踐經驗，我國賬號注銷管理制度的建構應當以釋法取代立法作為有效的解決方案，圍繞《個人信息保護法》第四章所規定的權利體系，構建以知情為引導、以刪除為核心、以查閱為保障的流程化賬號注銷行為規范，以此解決賬號注銷過程可能存在的信息泄露風險。

關鍵詞：賬號注銷;刪除權;主動注銷;被動注銷

中圖分類號：D923 文獻標識碼：A

文章編號：1673-8268（2021）06-0070-12

一、問題的提出：“賬號注銷權”在個人信息保護體系中的體系定位

軟件開發包技術（Software Development Kit技術，以下簡稱“SDK技術”）的發展使得個人信息保護面臨嚴峻的挑戰，主流移動應用平臺為了方便用戶使用、提升用戶黏性，皆支持第三方賬號快捷登錄。例如，使用微信賬號可登錄今日頭條、WPS辦公和餓了么等軟件;支付寶賬號也可登錄包括網易云音樂、優酷和淘票票在內的各類平臺。賬號在當今互聯網社會中具有無法忽視的地位，其使得用戶能夠便捷、快速地訪問移動應用，移動應用可根據賬號識別當前正在使用應用的主體，從而提供更多個性化、定制化的服務。但賬號為用戶帶來極大便利的同時，也為個人信息保護帶來諸多現實問題：信息處理者將從賬號中抓取到的碎片化信息不斷地組合與銜接，從而形成用戶的數據畫像，用以指導產品更新、商業宣傳甚至是營利活動，不斷地通過侵害用戶個人信息及隱私權的方式為企業發展謀求利益。面對此種現狀，用戶除了以“知情同意”規則保護個人信息不被超范圍、超目的收集之外，賬號注銷也順勢成為用戶保障個人信息“私密性”的重要工具。通常意義上的賬號注銷被理解為代表用戶數字身份的“賬號”被信息處理者從其賬號列表中徹底刪除，包括用戶公開發表的言論以及使用軌跡，但在產業實踐中，信息權利主體與信息處理者對于賬號注銷的實際內涵卻存著截然不同的理解方式。一方面，《個人信息保護法》的第四章“個人在個人信息處理活動中的權利”明確規定了用戶有權要求平臺刪除其個人信息，但在實踐層面，賬號注銷與個人信息刪除之間的實際效果并非完全等同，注銷的結果可能僅僅只是賬號的不能使用，而用戶在平臺內部的個人信息并未被徹底刪除，因為賬號既然已經注銷，這些賬號承載的使用信息本身也實現了“去標識化”，無法再與特定自然人直接或間接關聯，不屬于法定的個人信息范疇。另一方面，平臺往往傾向于在“用戶注冊協議”“平臺服務協議”等平臺規則中明確提及賬號的所有權歸屬平臺，用戶僅享有使用權，出于日活躍數的商業需求和企業虛擬財產權保護的需要，平臺往往未將賬號注銷與個人信息刪除直接掛鉤，反而將賬號使用期間形成的使用信息收歸至平臺自身的數據存儲中心，以之作為用戶畫像算法分析的數據資源。總結而言，雖然目前信息處理者普遍認可用戶享有“賬號注銷權”，但這種“賬號注銷權”也僅僅停留于字面意義上的注銷，即賬號注銷后，平臺其他用戶確實無法獲知該賬號的使用行為軌跡，用戶在使用賬號期間所形成的個人信息仍然存留于平臺數據庫以及與數據接口相關聯的其他平臺數據庫。換句話說，在現有的賬號注銷業務體制下，賬號集成數據反而因為用戶的注銷行為脫離了監管范疇，以更加隱秘化、便利化的方式被平臺使用和分析，且對于用戶而言，賬號注銷之后只能了解到賬號的不可用，至于賬號內的信息和數據是否真正從平臺數據存儲中心被刪除則無從得知。

二、“賬號注銷權”的實踐模式與制度空白

我國有關賬號注銷的相關規定可追溯至2013年工信部頒布的《電信和互聯網個人信息保護規定》，其中第9條第4款明確規定，在用戶終止使用電信服務或者互聯網信息服務時，電信業務經營者、互聯網信息服務提供者應當停止繼續收集或使用個人信息，并且有義務根據用戶請求提供注銷號碼或賬號的服務。之后，《網絡安全法》在第22條、第40條、第42條和第43條等條款中將個人信息處理的全部環節均納入網絡運營者的法定義務范疇之內;《民法典》則在第1037條中直接言明自然人有權在“違反法律、行政法規”或“雙方約定”兩種情形下要求信息處理者刪除其個人信息;《個人信息保護法》在第47條中規定了信息處理者刪除自然人個人信息的五類法定情形。此外，國家標準《信息安全技術 個人信息安全規范（GB/T 352732020）》對于個人信息主體注銷賬戶進行了一些細節性規定，包括賬號注銷的處理時間、身份核驗的限制、注銷賬戶后個人信息的處理等，進一步完善了用戶賬戶注銷的保護。在實踐中，《網絡數據安全管理條例（征求意見稿）》凸顯了賬號注銷的體系性地位，明確要求數據處理者應當提供賬號注銷的途徑和方法，并且不得通過設置不合理的條件以限制賬號注銷。從體系上看，賬號注銷與其他的個人信息處理方式并列，作為互聯網個人信息處理中的特殊問題，其地位得到了前所未有的重視;從功能上看，賬號注銷與個人信息的處理形成有機互動，為賬號注銷后個人信息的刪除提供了規范支撐。但是，該條例仍未明晰賬號注銷的定位與建構方式。例如，賬號注銷與撤回同意究竟是并列關系還是包含關系或是重疊關系，仍需討論;又或者，賬號注銷作為一項問題的集合，其貫穿數據的收集、處理與刪除全過程，該條例簡單地將賬號注銷與數據處理周期的最后一環——刪除進行關聯，而刪除與賬號注銷之間的關系并非簡單的對應關系，需要進一步明晰。

因此，各大平臺運營者頻繁在用戶協議和隱私政策中重新調整用戶注銷賬號的權利及其行使方式，但嚴苛的條件、煩瑣的注銷流程、隱蔽的注銷按鈕實質上阻礙了賬號注銷權達成預期的個人信息保護目標例如，在“智聯招聘”的隱私政策中，承認求職者用戶有權刪除個人信息，并在4.2.2中規定，在智聯招聘產品上，如您是求職者用戶，并希望刪除您的簡歷信息，您可以在智聯招聘網頁端“我的簡歷”或智聯招聘APP、智聯卓聘APP端“我的簡歷”功能選項中通過“刪除簡歷”功能對您的簡歷進行刪除。為了防止錯誤操作導致信息丟失，當您刪除的是您最后一份簡歷時，您需要通過本政策第9條所述的方式聯系客服進行處理。這意味著用戶在刪除自己的最后一份簡歷時，需要通過“意見反饋”、撥打電話、郵寄信件等方式聯系“智聯招聘”APP才能真正徹底刪除自己的簡歷信息。（參見https：//rd6.zhaopin.com/aboutus/legal/privacy？fromClient=CH5）。更重要的是，平臺規則中的“賬號注銷權”并不真正等于《個人信息保護法》中的“刪除權”，在一定程度上，賬號的注銷僅僅是“關閉”，而不是“退出”。

（一）主動注銷模式

從用戶主動發起注銷的角度看，賬號注銷的操作煩瑣且條件嚴苛（見表1）。從操作方式入手，雖然各大移動應用都設立了相應的模塊以供用戶注銷賬號，但在具體的操作過程中，用戶注銷賬號并非易事，注銷入口深藏于應用深處，基本上都位于四級菜單下，這意味著用戶需要憑借敏銳的眼光和多次的點擊，才能找到位于龐雜的系統選項中的賬號注銷入口。更有甚者，例如拼多多，則直接將賬號注銷的功能隱藏在了在線客服對話之中，并且在用戶請求賬號注銷時多次彈出不相關內容以阻礙用戶注銷賬號。即便用戶通過煩瑣操作成功進入賬號注銷模塊，隨之而來的是多項嚴苛的注銷條款。除滴滴出行與支付寶外，這幾款應用均在用戶注銷界面羅列了大量不平等的賬號注銷條件，明確告知用戶如果不根據列出的條件進行操作，賬號注銷后產生的任何風險與該應用無關。最為典型的表現是，大部分應用沒有在用戶注銷時為其提供該賬號在使用期間的第三方授權列表或綁定列表，卻都為用戶設置了注銷賬號時應自行“與其他APP網站的賬號解綁”“清空站外授權關系”等不合理條件，并聲稱因未解綁或解除授權而發生的損失，APP公司不承擔責任。

（二）被動注銷模式

被動注銷指非基于用戶自身意愿而發起的賬號強制注銷。在展開調研的十款移動應用中，無一例外都規定了賬號被動注銷的適用條件，但大部分又都局限于用戶違反法律法規或協議這兩類情況，由此看來，現行互聯網環境下，被動注銷賬號并刪除相關的信息僅僅是互聯網公司用來保證應用合法運營的手段之一，并未得到重視，更沒有將其視為保障用戶個人信息的武器。在十款移動應用中（見表2），僅有新浪微博與高德地圖從保護用戶個人信息的角度設立了被動注銷。新浪微博用戶協議規定：“當用戶90天連續不登錄賬號時，用戶的賬號將被注銷”;高德地圖也作出了類似的規定，并將時間延長為6個月。

在手機號碼與用戶賬號結合日益緊密的現實環境下，通過被動注銷保護用戶信息安全更具意義。為方便用戶使用，幾乎所有的移動應用都提供手機號登錄服務。根據運營商的規則，手機號碼更換后經過一定時間將會被重新投入市場，如果舊號主在棄用手機號時未解綁相應的用戶賬號，那么，新號主即可使用該手機號登錄舊號主的應用賬號，從而使用、轉移該賬號內的財產。通過搜索引擎檢索關鍵詞，支付寶[1]、京東[2]和美團參見河南省洛陽市老城區人民法院（2017）豫0302刑初167號刑事判決書。等都有過因手機號碼未解綁棄用而造成損失的案例，數額從幾千至幾十萬不等，媒體在報道這些事件時習慣性地將矛盾引向新舊號主之間，進而忽視了互聯網公司在其中的關鍵地位。更換手機號時倘若不解綁賬號，那么，在該手機號被運營商回收并投入市場后，該手機號所有人通過短信登錄的方式即可再次喚醒沉睡的賬號，從而使用或竊取該賬號內的個人信息與財產。由于手機號回收與再投入需要經過一定的周期，互聯網公司通過用戶長時間未使用等條件來綜合判斷該賬號是否已經被棄用從而注銷賬號，不失為保護個人信息的良策。但遺憾的是，在目前的互聯網環境中，關于被動注銷的規定還不成熟，更不必說解決手機號與賬號之間的矛盾以及被動注銷后信息的特殊處理了。

（三）主動注銷與被動注銷的共同問題：個人信息處理方式的模糊化

事實上，已經有學者注意到國內APP普遍存在數據清除、留存和后續使用不透明的情況，注銷殘留的問題廣泛存在，如部分APP在隱私政策的上文承諾刪除用戶相關信息的同時，在其下文又指出將會保留部分信息[3]。隨著國家監管力度的加強和網絡用戶的呼吁，網絡運營者不斷嘗試更新用戶協議和隱私政策中有關個人信息數據處理的條款，但遺憾的是，若以實踐的眼光審視相關條款，大部分賬號注銷條款實際上是一種規避，沒有直面個人數據處理問題，用戶空有利劍卻無法施展。一方面，眾多網絡運營者在隱私政策中均表示要對個人信息進行刪除，但“刪除”的語義并不清晰，究竟是從數據庫中以清空的方式徹底刪除，還是適用目前較為流行的去標識化、匿名化手段，相關的隱私政策并沒有作出具體明確的規定。部分移動應用對于信息刪除的方式給予了較為直接的回應，例如，京東、淘寶和高德等公司在隱私政策中注明，相關的個人信息刪除是指從前臺系統中切斷其他用戶可檢索到相關信息的途徑，該種方法類似于為用戶信息加蓋了一層遮罩，并未對個人信息進行任何“刪除”的處理，這實際上是對從數據庫中徹底刪除信息或匿名化處理信息的變相否認，相關的個人信息數據仍然留存在互聯網公司的數據庫中，并存在泄露的風險。另一方面，賬號注銷后，個人信息的處理缺乏反饋機制，頗有薛定諤的貓之韻味。在用戶使用移動應用時，賬號是移動應用識別當前使用者的唯一途徑，一旦賬號被注銷，即關閉了用戶訪問移動應用的渠道，其不能自行訪問應用檢索相關信息是否被刪除，互聯網公司更無法提供相應的文件以證實數據被刪除。因此，互聯網公司能否真正實現其在用戶協議和隱私政策中為網絡用戶許下的美好承諾，用戶不得而知，也無從得知。

此外，以SDK技術為代表的信息技術創新更是加劇了賬號注銷與個人信息刪除之間的目標偏離SDK是一個代碼集成包，通過SDK技術，用戶可使用同一個賬號訪問不同的第三方移動應用，從而實現登錄、支付、分享等功能。騰訊、阿里等各大主流平臺為了方便用戶使用，皆在其網站中發布了SDK開發包以支持第三方賬號快捷登錄，例如，使用微信賬號可登錄今日頭條、WPS辦公和餓了么等常用軟件;支付寶賬號也可登錄包括網易云音樂、優酷、淘票票在內的各類平臺。。在SDK技術的支持下，雖然主賬號可以登錄第三方移動應用，但訪問該第三方應用的不是主賬號，而是通過主賬號創設的授權賬號，雖然必須通過主賬號才能訪問授權賬號，但兩個賬號之間的個人信息相互獨立。因此，在主賬號被注銷后，被授權的移動應用能否同步處理用戶數據，仍舊存疑，遺留了信息泄漏和被惡意利用的隱患。大部分的互聯網公司在隱私政策中沒有對第三方刪除相關個人信息作出具體規定（見表3），而是將責任轉移給第三方和用戶，主張第三方是否刪除相關個人信息、如何刪除相關個人信息需要根據對應的隱私政策，并由用戶自行通過第三方平臺申請刪除，以上規定導致了賬號注銷后的個人信息刪除缺乏實踐上的有效性和徹底性[4]。由于網絡運營者制定的隱私政策具有抽象性和模糊性，加之在其中參雜許多冗長繁雜的干擾內容，用戶對于自身哪些個人信息被第三方機構收集、收集后如何使用等情況知之甚少，更無從對自己的信息加以控制，只能被動地等待損害的降臨[5]。同時，網絡運營者并沒有在注銷的過程中提供該賬號曾接入的第三方的名單，用戶通過回憶曾使用過何種APP從而自行處理相關個人信息無異于大海撈針、事倍功半。

三、從賬號注銷到刪除個人信息：刪除的正當性基礎與注銷的方式選擇

（一）賬號注銷后刪除個人信息的正當性基礎

賬號注銷到底是以賬號本身的刪除為限，還是以賬號及其使用信息的刪除為限，其問題的答案在于如何理解賬號注銷權的正當性基礎，即賬號注銷需要刪除用戶個人信息的法律依據究竟是什么。在學界主流觀點中，“賬號注銷權”的直接依據通常被認定為個人信息刪除權，進一步而言，這種權利的根源來自自然人有權決定自身在網絡空間數字身份及其活動軌跡的私密程度。之所以沒有將學界主流觀點所主張的信息自決權作為賬號注銷需要刪除個人信息的理論基礎，其原因在于商業實踐中真正控制個人信息去向以及處理方式的法律主體是信息處理者，自然人所能“自我決定”的范圍著實有限。與其說自然人能夠決定個人信息處理方式，倒不如說自然人能夠決定外界環境在何種程度了解自己的身份信息和行為軌跡。賬號注銷權所能實現的法律效果正是保障用戶自行決定“重置”自己的網絡空間數字身份的權益。如果僅刪除賬號這一數字身份而不刪除其內的個人信息，則可識別特定自然人身份信息或行為信息的可能性并沒有消除，外界對用戶的數字身份認知并沒有發生實質性變更，自然人也無法改變外界環境對自身數字身份的了解程度，顯然與賬號注銷的真正目的相悖。所以，信息處理者在注銷賬號之后刪除個人信息并不是擴大“注銷”的實際含義，而是對立法目標的一致性保護。

此外，賬號注銷后刪除個人信息即是自然人撤回同意的必然結果。網絡賬號運營者在用戶使用的過程中能夠收集用戶信息數據的原因來自用戶本人的知情同意。知情同意作為個人信息保護的最基本的原則[6]被規定于2013年的《電信和互聯網個人信息保護規定》《電信和互聯網用戶個人信息保護規定》第9條第1款規定：“未經用戶同意，電信業務經營者、互聯網信息服務提供者不得收集、使用用戶個人信息。”中。《網絡安全法》則在此規定的基礎上有了進一步的完善《網絡安全法》第41條規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。”，從而確立了我國個人信息收集使用的重要原則：知情同意原則[7]。不論是用戶主動提供的姓名、地址或身份證號，還是通過技術抓取的用戶的位置、瀏覽記錄甚至是隱私信息，都在知情同意原則的蔭蔽下成為了網絡賬號運營者合理合法的信息數據。用戶的同意包含兩個方面：一方面是同意;另一方面是數據控制者有權隨時撤回其同意。當用戶撤回同意后，網絡賬號運營者收集的個人信息便失去了合法性與正當性，應當被刪除。撤回同意作為數據主體行使刪除權的類型之一[8]，已經被規定在了歐盟《通用數據保護條例》（以下簡稱“GDPR”）中，并在歐盟的范圍內得到廣泛適用。并且，《個人信息保護法》確立了以“告知同意”為核心的個人信息處理規則，如果網絡賬號運營者需要處理個人信息，應對用戶進行充分的告知并取得其同意，且用戶可以隨時撤回其先前對于其個人信息處理作出的意思表示。同時，法條也完善了有關刪除權的規定，撤回同意獲得了立法背書，正式成為用戶可以要求刪除個人信息的理由之一。互聯網公司的壟斷地位使得個人信息收集規定幾乎成為霸王條款，如果用戶不同意相關的個人信息收集規則，就無法正常使用賬號服務，其同意與否的選擇權名存實亡，使用賬號與同意個人信息收集規定實際上形成了無理的綁定。在這種情況下，網絡賬號運營者并沒有為用戶構建撤回同意的渠道。因此，當用戶賬號注銷時，應當推定為撤回了對網絡賬號運營者的同意，后者應當落實刪除個人信息的要求。

（二）賬號注銷后個人信息刪除的基本方式

1.個人信息處理手段的類型化分析

賬號注銷后最為關鍵的問題是個人信息何去何從，而目前對于個人信息的處理，主要有刪除和匿名化處理兩種手段。同時，凍結作為目前網絡賬號運營者在賬號規制過程中的一種常用手段，可考慮適用于某些類型的被動注銷。

刪除是用戶賬號注銷后個人信息處理的最基本、最常用的手段，最新《個人信息安全規范》（以下簡稱《規范》）對刪除進行了詳細的闡釋《信息安全技術 個人信息安全規范》規定：刪除是指在實現日常業務功能所涉及的系統中去除個人信息的行為，使其保持不可被檢索、訪問的狀態。。根據《規范》中的思想，當個人信息無法被其他用戶檢索或訪問時，就達到了刪除的標準。《規范》借鑒了GDPR中被遺忘權的相關做法，保障了用戶的人格權益。但前文已經論述，賬號注銷應當將保護信息數據的安全作為目標，僅在業務系統中刪除相關信息的做法無法應對數據庫泄露的危險。《規范》中的具體要素也較為模糊，不可訪問、不可檢索的主體并不清晰，如果主體是其他用戶，那賬號在使用過程中收集的傳感器數據、使用偏好或個人住址等本就無法在業務系統中被其他用戶檢索和訪問，刪除的規定失去了針對性。因此，在賬號注銷的這一特定領域，刪除應當是指通過不可復原的手段將賬號信息數據從互聯網公司的數據庫中清除，其他用戶以及公司內部工作人員都無法檢索、訪問。

匿名化是大數據時代個人信息處理的新路徑。匿名化是指通過對個人信息的技術處理，使得個人信息主體無法被識別，且處理后的信息不能被復原的過程[7]。在GDPR規定中，被匿名化處理之后，數據不再被納入個人數據的范圍之中，此類數據不必再遵循GDPR中的要求，相應的數據控制者則能夠較為自由地使用匿名化的數據[9];在《網絡安全法》第42條的規定中，無法識別特定個人且不能復原的信息可以不經過用戶同意便可使用，個人數據匿名化利用已具雛形;2020年新版的《個人信息安全規范》則明確將匿名化處理后的信息排除出個人信息的范圍之外。基于法律法規的認可，大部分網絡賬號運營者都將其作為個人信息刪除的最主要形式之一，其既能保護信息安全，又能提高企業數據使用效益。但在具體的操作過程中，應警惕不徹底的匿名化，匿名化應當與假名化、去標識化進行嚴格的區分，后二者無法真正起到保護用戶信息數據安全的作用。作為等于刪除的信息保護手段，匿名化處理必須達到不能被識別的標準，具體包括僅從該數據本身無法指向特定的個人和結合其他數據也無法指向特定個人。

凍結是一種基于刪除與存儲之間的個人信息處理手段，具體指網絡賬號運營者不得對已經收集的信息再進行處理[10]。凍結實際上使得賬號以及網絡賬號運營者的數據處理保持相對靜止的狀態。對于網絡賬號運營者而言，其收集的個人信息仍然儲存在其數據庫中，只是無法再被使用，除非存在需要徹底刪除的情形或其他的例外;而對于賬號用戶而言，凍結之后的信息數據仍有被再次使用的可能，極大提高了用戶再次使用APP的便利程度。

2.賬號注銷處理方式的區分適用

賬號注銷存在主動注銷與被動注銷兩種情況，應當根據不同的情況適用不同的個人信息處理方式。

首先，當用戶主動請求注銷賬號或基于SDK授權取消被注銷時，匿名化或者徹底刪除信息可作為信息處理的默認選擇;當網絡賬號運營者認為信息能夠被徹底刪除時，則可以使用刪除的手段。反之，在網絡賬號運營者保證匿名化數據的安全以及不可能被再識別的前提下，可以將信息數據進行匿名化處理，最大化地合理利用信息數據，幫助其更好地適應市場競爭、進一步改良APP并逐漸增強用戶體驗，使個人成為數據時代的創造者、參與者和享受者[11]。

其次，面對上述情況，為幫助用戶更好地使用產品，增加用戶回歸的可能性，可為用戶提供凍結個人信息的處理方式，用戶可選擇在注銷賬號后將其在該賬號內的個人信息凍結，并將信息數據打包存儲于數據庫中。借鑒可攜帶權的理念，用戶查看相應的信息清單，當下一次重新注冊賬號或更換APP使用時，可從數據庫中激活或轉移其曾被凍結的個人信息數據，APP即可根據相應的信息更好地為其提供個性化推薦與服務。在個人信息凍結期間，賬號用戶應自行承擔泄漏的風險，網絡賬號運營者在未盡安全保障義務時承擔相應的責任。

最后，對于注銷長時間未登錄以及違反法律法規賬號的情形，運營者應先行凍結賬號，并在向運營商確認相應的手機號確已被回收或確認相關違法證據已被保全后，作出信息刪除或匿名化的處理。

3.賬號注銷后個人信息刪除的限制

賬號中集成的個人信息類型多樣，在刪除時無法回避個人信息與國家機關職能或社會公共利益等的沖突。有學者主張通過比例原則來緩解矛盾[12]，但考慮到不同信息控制者對于比例原則的理解存在差異以及比例原則的成本，該方法具有一定的局限性。并非所有的信息在注銷賬號后都可以被刪除，有必要對賬號注銷后信息處理的限制作出類型化界定以幫助網絡賬號運營者更有效率地處理信息數據。對于信息刪除，應當明確的是，不論是個人賬號還是法人賬號，只要與人格權益相關的信息都可以被刪除，但上述信息中，以下五類應當受到限制。

第一，基于合法行使職權的限制。基于功能定位，部分國家機關有時需要在職權允許的范圍內采集賬號中的個人信息數據，如公安機關為了抓捕在逃的嫌疑犯，可通過賬號中收集的使用偏好、出行路線等信息數據輔助鎖定位置;再如，為收集相關的犯罪證據材料，公安機關通過賬號后臺調取聊天記錄等。為保障社會的平穩運行，國家機關為實現其特定功能而需要的個人信息不能夠在賬號注銷以后被刪除。

第二，基于公共利益需要的限制。賬號注銷后，為實現國家安全、社會保障等公共利益而收集和處理的信息也應當被限制刪除。雖然部分信息數據可能與用戶自身的隱私相關，但倘若此信息數據關涉全社會的共同利益，則應當予以保留[13]。例如，在疫情防控中，出于保障整個社會的健康的目的而公布的確診患者的出行軌跡等信息，即使相關賬號注銷，確診患者的出行軌跡等這一類有利于疫情防控的信息也不能被刪除。值得注意的是，在確診患者賬號個人信息讓位于公共利益時，應嚴格保證其不相關信息的不被泄露，防止網絡輿論的二次傷害[14]。

第三，基于言論自由與公眾知情權的限制。隨著網絡新媒體的發展，越來越多的政府部門開通了公眾號、微博號等網絡賬號用以發布最新的政策或觀點。對于那些行使公權力的國家機關工作人員來說，由于其特殊的身份地位，他們應當更多地滿足社會公眾對其言論或社會活動知情的要求，保護民眾的信賴利益，即使注銷賬號，也不可主張曾經發布過相關信息的權利。此外，公眾人物對賬號中的信息數據應因為公眾享有言論自由、輿論監督而受到一定程度的限制[15]，公眾人物對網民的知情權應負有一定的容忍義務。因此，當公眾人物主張注銷賬號時，應當對其賬號中的信息分而治之，對于其在使用過程中主動提供或被抓取的個人信息應當刪除，而對其曾經發表的言論應當在公眾人物的人格利益與網絡言論自由的利益之間進行合理的利益衡量后再決定是否刪除。

第四，基于履行法定義務的限制。網絡賬號運營者為了履行法定義務而保全必要的數據行為應作為賬號注銷后信息刪除的限制之一。例如，當網絡賬號運營者發現某賬號可能涉嫌毒品、色情或非法醫療等黑灰產交易，網絡賬號運營者在注銷相關賬號的同時可以保全相應的數據資料，這是運營者依法應盡的義務，無理由拒絕履行。如果用戶在涉及黑灰產或非法言論的情形下能夠通過注銷賬號要求刪除相應的信息數據，互聯網環境的治理將會籠罩著一層陰霾[16]。所以，基于履行法定義務而對用戶賬號中的信息數據進行必要的收集和保全，這種數據處理行為可以直接產生對抗被注銷賬號帶來的數據刪除的效力。同時，某些法律法規也給網絡賬號運營者施加了保存信息的義務《電子商務法》第31條規定：“電子商務平臺經營者應當記錄、保存平臺上發布的商品和服務信息、交易信息，并確保信息的完整性、保密性、可用性。商品和服務信息、交易信息保存時間自交易完成之日起不少于三年;法律、行政法規另有規定的，依照其規定。”。

第五，基于賬號相關信息對訴訟正常推進的限制。當前網絡糾紛頻發，在訴訟的過程中，賬號中的數據信息作為關鍵性的證據可能會對起訴方或應訴方產生不利的影響，如果其采用注銷賬號的方式刪除相應的賬號信息，則會嚴重干擾訴訟的進程。具體而言，在訴訟程序進行過程中，訴訟當事人或代理人會基于證據保全以及庭審過程中舉證等需要，調取涉訟賬號的用戶對話或使用痕跡等資料，有時甚至還可能涉及某些隱私數據等。因此，這類限制涉訟賬號的信息數據刪除就具備了正當性基礎，這種正當性從根本上說賦予每個網絡用戶在自身權益遭到損害時獲得保障的權利。同時，對于涉訟賬號的信息刪除限制不是毫無邊界的，必須存在對訴訟走向起著關鍵性作用的信息數據的賬號才能被納入規制。

四、“賬號注銷權”在個人信息權利中的體系定位與嵌入方式

為應對復雜的網絡環境以及日益嚴峻的信息泄露風險，通過立法設立統一的賬號注銷權確有必要。賬號注銷權以刪除為核心，《網絡安全法》《民法典》《個人信息保護法》中規定的信息刪除的權利與賬號注銷密切相關，但刪除權不等同于賬號注銷權。有學者主張賬號注銷權不是一項單一的權利，而是集合了用戶知情、查閱、更正與刪除等多項權利在內的復雜性權利[17]。賬號注銷權旨在為用戶提供事前、事中、事后全過程的動態保護，單一的刪除權無法形成對用戶信息的有效保護。但新興權利的創設需要嚴謹復雜的論證過程，不僅需要考察新興權利的立法面向，也要綜合考量其司法面向[18]，創設統一的賬號注銷權任重而道遠。由于賬號注銷權的需求與創設之間仍存在一道鴻溝，為回應目前迫切需要解決的注銷與信息風險之間的問題，可以考慮摒棄權利創設的立法面向，嘗試通過理解即將生效的《個人信息保護法》中的相關條款，在我國專門注銷權缺位的情況下，構建一個相對周延的用戶注銷規制。如若用戶發生主動注銷不能，或因網絡賬號運營者怠于行使被動注銷而導致個人信息侵權，依據二審稿增加的規定，服務商應當承擔其沒有過錯的證明的責任。

（一）賬號注銷權的功能定位：以GDPR被遺忘權為對比范本

賬號注銷的機制應是一整套完整的信息管理方案與數據處理體系，其定位是解決信息用戶面臨的后續數據清除問題，保護用戶信息權益及個人隱私[3]。賬號注銷的核心環節在于徹底清除賬號在使用過程中集成的用戶信息數據，而脫胎于歐盟GDPR的被遺忘權為該環節提供了有力的法律保障，具有比較和借鑒的價值。

1995年，歐盟在《歐洲數據保護指令》中確立了被遺忘權的最初形態[19]，相關的信息主體可以在其個人的信息數據失去使用目的時向數據控制者提出刪除的要求;2012年11月，GDPR的初稿公布時，在第17條正式設置“Right to Be Forgotten and to Erasure”（一般將其翻譯為“被遺忘和被刪除的權利”），該條文規定信息主體有權要求信息控制者刪除與其個人有關的資料，并特別強調被遺忘權適用于不滿18周歲的未成年人。2016年4月，GDPR正式通過，其第17條直接規定為“Right to Erasure（Right to Be Forgotten）”，譯為“刪除權（被遺忘權）”，不再強調該權利對于未成年人的保護，主張信息主體有權要求任何已知第三方刪除針對上述信息的所有復制和鏈接。該條列舉了六種用戶數據刪除的情況：當數據收集的目的已經不再必要或被非法處理、用戶撤回同意、行使拒絕權、個人數據被非法處理、遵守法定義務以及涉及為兒童提供社會服務信息時的個人數據處理，當滿足以上任一條件時，用戶數據應該被立即刪除，不得無故拖延，其中，用戶撤回同意下的刪除權與用戶賬號注銷直接相關。

GDPR不僅僅規定了數據控制者刪除個人數據的義務，還規定了通知其他數據處理人刪除相關數據的義務GDPR第17條第2款規定：“當控制者已經公開個人數據，并且負有第1段所規定的刪除個人數據的責任，控制者應當考慮可行技術與執行成本，采取包括技術措施在內的合理措施告知正在處理個人數據的控制者們，數據主體已經要求他們擦除那些和個人數據相關的鏈接、備份或復制。”，與信息數據有密切聯系的控制者以及數據的接收者都在被通知的范圍之內，通過加重刪除義務從而對信息主體進行全鏈條的保護。在GDPR的規定中，數據控制者的通知義務是一項不可推脫的法定義務，其與數據控制者的刪除義務有著同等重要的地位，二者皆是被遺忘權的重要組成內容[20]。

被遺忘權為賬號注銷中的法律規制建構提供了良好的范本，但若將GDPR中規定的被遺忘權的相關條文適用于賬號注銷規制的建構，存在一定的局限性。需要明確的是，構建賬號注銷規制與被遺忘權存在主體、客體、適用條件和手段等方面的相似性，但二者的目標存在一定差別。梳理被遺忘權的歷史沿革以及相關的制度發展，蘊含在被遺忘權背后的功能在于賦予信息數據主體抹除已經過時或不再相關的數據，被遺忘權是用戶用來淡化曾經在互聯網上留下的網絡痕跡的方式，被學者稱為一種“抑制和刪除信息獲取渠道的權利”[21]，其目的在于使得網絡用戶被網絡社會徹底遺忘;而賬號注銷則是用戶希望從互聯網中全身而退的手段，用戶通過注銷方式銷毀其曾在使用APP的過程中主動提供的或者被獲取的所有個人信息數據和留下的使用痕跡，其目的不僅是希望在網絡上銷聲匿跡，而且更是希望通過此方式對其個人信息和財產安全起到保障作用。

一方面，被遺忘權與用戶注銷對于數據控制者處理所掌握信息的程度要求不同。上文已經提到，被遺忘權旨在使用戶無法再被網絡社會檢索，換言之，只要通過刪除鏈接、屏蔽搜索等淺層手段使得用戶的相關信息無法被檢索，就能夠落實被遺忘權。例如，在著名的“岡薩雷斯訴谷歌案”中，前者要求后者刪除通過其姓名能夠得到的檢索結果，但其無法基于被遺忘權，要求原網站刪除相關的事實報道。對于賬號注銷而言，個人信息刪除的程度應當深于被遺忘權相關規定的要求，雖然如今網絡信息技術不斷發展，但網絡技術的風險性大于安全性，僅僅刪除表層系統中的相關個人數據，使其保持不可被檢索、訪問的狀態無法對個人信息起到有效保護，從數據庫中徹底刪除或者進行匿名化處理才能保障個人信息數據的安全。

另一方面，被遺忘權相關規定對數據控制者設定了過于繁重的義務，如此視域下的賬號注銷，不利于互聯網企業的發展。GDPR將通知的對象擴大到因為個人信息公開而獲得這些數據的所有第三人，這不禁讓人對其合理性和可行性產生了疑問。試問，數據控制者如何知曉何人曾經接收過相關數據？即使能夠通過某些特殊方式獲取相關的信息，控制者如何通過有效的手段要求該數據接收者刪除其所復制或下載的相關資料？從被遺忘權的立場出發，如此嚴苛的通知義務也能夠被理解，在信息快速傳播的情況下，也許只有通過如此嚴格的規定，才能使數據主體被網絡社會徹底遺忘。對于賬號注銷而言，其最終目的是保護個人的信息安全，在此前提下，是否需要適用類似于被遺忘權中的通知義務的規定存在疑問，嚴苛的法律環境會給互聯網公司的發展帶來嚴重的負擔，甚至直接影響其正常運營[22]。賬號注銷中互聯網公司應當承擔通知義務，但僅限于通知與其有SDK服務協議的第三方授權公司，搜索運營者、網絡用戶等不應在被通知的范圍之內。

（二）賬號注銷權的內容建構與體系定位

第一，知情同意規則適用于個人信息處理的全生命周期，這顯然囊括了個人信息刪除環節，故而賬號注銷權的行使方式等信息理應以明確易懂的方式告知用戶。《個人信息保護法》第44條規定了用戶對其個人信息的處理享有知情權《個人信息保護法》第44條規定：“個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。”。根據知情權的內容，網絡賬號運營者在收集、處理和使用個人信息前，應當征求用戶的同意，否則相關的數據行為不具有合法性。該條款既是個人信息保護中“知情同意原則”的具體體現，也是賬號注銷和刪除個人信息的基礎所在。在知情同意原則中，具體可分為告知規則與同意規則，告知有著與同意同等重要的地位[23]。基于個人信息的告知規則，網絡賬號運營者應該在賬號注銷前對賬號使用過程中涉及的個人信息的收集、使用、處理等行為進行充分的告知。賬號注銷前的過程包含賬號注冊階段與賬號注銷啟動階段，告知原則在其中應扮演重要的角色。在賬號注冊階段，網絡賬號運營者應當在隱私政策與用戶協議中，對在不同使用階段能夠獲取的數據進行充分的釋明（包括類型、范圍、使用目的及賬號注銷后的個人信息處理的方式），也應當充分告知與網絡運營者基于SDK產生授權的第三方應用以及詳細的數據流轉或共享情況，以上說明要以用戶能夠知悉的方式進行傳達;在賬號注銷啟動階段，網絡賬號運營者應結合用戶的使用情況，主動在用戶注銷的界面提供方便快捷的查閱通道，使用戶在注銷前能夠充分知曉使用過程中所有被收集的個人信息以及所有實際接入的第三方，同樣，此處也應該對賬號注銷后個人信息處理的方式進行充分釋明。

第二，賬號注銷權的直接結果是用戶數字身份的重置與使用軌跡的重塑，唯有刪除個人信息才能夠保障自然人不會被信息處理者以之前相同的方式提供重復的個性化服務形式。《個人信息保護法》第47條規定了個人信息處理者應當刪除個人信息的5種類型《個人信息保護法》第47條第1款規定：“有下列情形之一的，個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的，個人有權請求刪除：（一）處理目的已實現、無法實現或者為實現處理目的不再必要;（二）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿;（三）個人撤回同意;（四）個人信息處理者違反法律、行政法規或者違反約定處理個人信息;（五）法律、行政法規規定的其他情形。”，其中就包括用戶撤回同意。前文已經論述，在賬號與個人信息高度統合的情況下，當用戶注銷賬號時，可視為對于先前發出的同意服務商對其信息進行收集和處理的意思表示的撤回。服務商接收到用戶注銷賬號的請求等同于接收到了用戶撤回同意的意思表示，故應當對信息作出刪除或匿名化的處理。從保護用戶的角度出發，《個人信息保護法》第44條中規定的“個人信息處理者”應進行擴大解釋，其不僅僅包括提供注冊賬號的運營者，還包括基于SDK授權而產生的第三方網絡賬號運營者。故當用戶發起注銷賬號的請求時，除了網絡賬號運營者需要履行相應的刪除信息的義務之外，由SDK授權技術而產生的第三方網絡賬號運營者也應承擔相應的刪除義務。從具體操作角度而言，網絡賬號運營者接收到用戶發出的注銷申請后，應通知授權網絡賬號運營者刪除相應的信息數據，后者在獲知請求后應當協助網絡賬號運營者一同履行刪除義務。若因授權網絡賬號運營者的刪除不徹底而引發信息泄露或侵權的后果，網絡賬號運營者也應承擔一定的責任。

第三，賬號注銷權同時還意味著自然人“查閱權”的延伸，即自然人有權在注銷賬號后核驗相應的個人信息是否被刪除。《個人信息保護法》第45條賦予了用戶查閱個人信息的權利，除法律、行政法規規定應當保密或者不需要告知的個人信息外《個人信息保護法》第45條第1款規定：“個人有權向個人信息處理者查閱、復制其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。”。個人信息的查閱是賬號注銷后的重要保障，用戶在賬號注銷的前后都具有查詢的權利。在賬號注銷前，可向網絡賬號運營者請求查詢本人賬號中所有的個人信息;在賬號注銷后，該條實際上賦予了用戶一項“核驗”的權利，用戶有權就已經注銷的賬號中的信息數據刪除與否向服務商發出核驗的請求，服務商接收到相關請求后，應提供相應的信息。

同時，法條中使用了“個人信息”的表述，此處應當進行擴大解釋，不僅僅包括個人信息，還應包括個人信息的處理方法，畢竟查閱權的本質是為了用戶更好地了解個人信息被服務商所控制、處理的范圍和程度，如果用戶能在此基礎上獲知個人信息的具體方法，則能夠更好地保護其信息數據。基于上述觀點，不論是在賬號使用的過程中還是賬號注銷后，用戶都可向服務商發出查詢個人信息的申請，收到申請后，服務商應當向用戶提供一份明確的數據處理報告[24]。如果用戶的查閱申請是在賬號使用過程中發出的，則服務商有義務明確賬號收集的各類信息的具體內容;如果是在賬號注銷后發出的，則服務商應當提供詳細的報告載明賬號注銷后哪些信息被刪除或進行了匿名化處理、哪些信息被采取何種手段加以保留以及保留信息的原因;如果涉及第三方賬號，還應反饋一份對于第三方的數據處理報告。

五、結 語

互聯網技術的發展與大數據時代的到來使得賬號注銷的問題變得尤為尖銳。在賬號注銷的立法方面，盡管部分法律法規和行業標準已經顯露出對賬號注銷這一問題的重視，但零散與細碎的法條無法滿足普羅大眾的期待。在賬號注銷的實踐方面，由于嚴苛的主動注銷條件以及被動注銷適用的局限性，賬號注銷成為難題，與此同時，賬號注銷后個人信息處理的模糊性與不透明性將用戶置于財產權與隱私權的雙重風險之中。因此，可考慮采用法律強制性規定與合同約定的雙重路徑對賬號注銷進行規制。行業標準也應盡快加以完善，督促服務商在隱私政策中予以具體規定。最后互聯網巨頭們在通過賬號中的信息獲取利益的同時，應當主動承擔社會責任，在有利于企業發展的前提下，積極完善隱私政策中與賬號注銷相關的條款，推動互聯網社會的積極發展。此外，相關政府部門可建立隱私政策與用戶協議問題反饋渠道，負責處理服務商與用戶之間包括賬號注銷在內的各種矛盾。惟其如此，才能推動賬號注銷法律規制的完善，形成積極有效的閉環，以適應和滿足大數據時代對于個人信息保護的需求。

參考文獻：

[1]河南省高級人民法院.手機換號未解綁支付寶被盜財26萬，手機換號這些一定要注意！[EB/OL].（2018-07-13）[2021-05-14].https：//m.thepaper.cn/newsDetail_forward_2263002.

[2]以案說法：注銷手機號未解綁網購賬戶埋隱患 京東白條被盜刷后能追回實屬幸運[EB/OL].（2019-03-07）[2021-05-14].http：//www.yidianzixun.com/article/0LRWPNDP/amp.

[3]吳任力，吳淑倩.移動互聯網環境下用戶賬號注銷機制研究[J].圖書情報工作，2019（23）：52-64.

[4]徐磊.個人信息刪除權的實踐樣態與優化策略——以移動應用程序隱私政策文本為視角[J].情報理論與實踐，2020（12）：1-15.

[5]阮神裕.民法典視角下個人信息的侵權法保護——以事實不確定性及其解決為中心[J].法學家，2020（4）：29-39，192.

[6]王利明.數據共享與個人信息保護[N].北京日報，2019-04-29（14）.

[7]萬方.隱私政策中的告知同意原則及其異化[J].法律科學（西北政法大學學報），2019（2）：61-68.

[8]張里安，韓旭至.“被遺忘權”：大數據時代下的新問題[J].河北法學，2017（3）：35-51.

[9]張建文，高悅.我國個人信息匿名化的法律標準與規則重塑[J].河北法學，2020（1）：43-56.

[10]萬方.個人信息處理中的“同意”與“同意撤回”[J].中國法學，2021（1）：167-188.

[11]崔淑潔.數據挖掘的正當性論述及法律規制路徑[J].重慶郵電大學學報（社會科學版），2021（4）：43-52.

[12]余筱蘭.民法典編纂視角下信息刪除權建構[J].政治與法律，2018（4）：26-37.

[13]寧園.健康碼運用中的個人信息保護規制[J].法學評論，2020（6）：111-121.

[14]李曉秋，李雪倩.重大公共衛生事件聯防聯控中個人數據的利用[J].重慶郵電大學學報（社會科學版），2021（5）：69-78.

[15]喻軍.論政府官員隱私權及其規制——以絕對隱私、相對隱私為切入點[J].政治與法律，2013（5）：79-87.

[16]吉冠浩.指導案例視角下網絡黑灰產犯罪罪量的司法證明[J].國家檢察官學院學報，2021（1）：55-71.

[17]朱巍.賬號注銷權是網絡用戶基本權利[N].檢察日報，2020-06-17（7）.

[18]侯學賓，鄭智航.新興權利研究的理論提升與未來關注[J].求是學刊，2018（3）：89-99.

[19]楊立新，韓煦.被遺忘權的中國本土化及法律適用[J].法律適用，2015（2）：24-34.

[20]于向花.被遺忘權研究[D].長春：吉林大學，2018.

[21]鄭志峰.網絡社會的被遺忘權研究[J].網絡信息法學研究，2018（1）：218-244，314-315.

[22]萬方.終將被遺忘的權利——我國引入被遺忘權的思考[J].法學評論，2016（6）：155-162.

[23]程嘯.我國《民法典》個人信息保護制度的創新與發展[J].財經法學，2020（4）：32-53.

[24]肖冬梅，譚禮格.歐盟數據保護影響評估制度及其啟示[J].中國圖書館學報，2018（5）：76-86.

From Cancellation to Deletion： System Positioning and System Construction of “Account Cancellation Right”

ZHAO Jingwu， TANG Haolong

（School of Law， Beijing University of Aeronautics and Astronautics， Beijing 100191， China）

Abstract：

As the main medium for users to access mobile applications， account integrates a large number of personal information actively provided， passively obtained and automatically generated by users in the process of using mobile applications. Users often cut off the contact with operators through account cancellation in order to protect personal information and property security. However， there are still some problems to be solved， such as the complexity of active cancellation， the absence of passive cancellation and the fuzzy information processing after cancellation. Combined with China’s current legislative situation and the system practice experience of the right to be forgotten， the construction of China’s account cancellation management system should take the interpretation of the law instead of legislation as an effective solution， and build a procedural account cancellation code of conduct guided by information， centered on deletion and guaranteed by access around the right system stipulated in Chapter IV of the Act on the? of Personal Information Protection Law in order to solve the possible information disclosure risk in the account cancellation process.

Keywords：account cancellation; right of deletion; active cancellation; passive cancellation

（編輯：劉仲秋）

收稿日期：2021-10-13

基金項目：國家社會科學基金重大項目：信息法基礎（16ZDA075）;國家廣播電視總局部級社會科學研究項目：廣電行業法治和治理體系建設研究（GDT2120）

作者簡介：趙精武（1992-），男，河北黃驊人，助理教授，博士，工業和信息化部工業和信息化法治戰略與管理重點實驗室辦公室主任，主要從事民商法、網絡法研究;唐浩隆（1999-），男，福建福州人，工業和信息化部工業和信息化法治戰略與管理重點實驗室助理研究員，主要從事民商法、網絡法研究。

3692500589291