反電信網絡詐騙中個人信息刪除權的實現路徑*

朱園偉

(北京大學粵港澳大灣區知識產權發展研究院，廣東 廣州 510000)

0 引言

2022年9月2日正式通過的《反電信網絡詐騙法》對近年泛濫的電信網絡詐騙行為進行專門立法，其在參考域外主要國家的先進經驗基礎上[1]，進行了針對犯罪風險防控的創新型制度配置。在反電信網絡詐騙法出臺之前，對電信網絡詐騙的規制主要體現為事后的責任追究和行為懲治，此次反電信網絡詐騙法構建的諸如身份核驗、監測預警以及信息共享等措施實現了前端防治轉型。在整體治理邏輯上，反電信網絡詐騙法強調對治理主體的廣泛性和治理資源的豐富性予以體制性整合與重塑[2]，表現為《反電信網絡詐騙法》第6條第5款中規定的電信業務經營者、銀行業金融機構、非銀行支付機構、互聯網服務提供者四類主體，被要求構建反電信網絡詐騙內部控制機制和安全責任的義務性規范，可視為授予了市場主體一定的行政管理職責。

《反電信網絡詐騙法》中一系列的防治措施在實踐中造就了以個人信息為核心的程序鏈條，即“信息實名-信息留存-風險信息識別-風險信息核驗-風險信息共享-及時限制、暫停服務”以求規避風險。這一過程，經營者首先收集包括姓名、身份證件號、生物信息等個人敏感信息進行實名認證并留存，繼而在業務經營中對用戶活動和用戶信息進行實時監測，將識別出的可能涉詐的用戶信息進行實名核驗，最后按照法定要求進行風險信息共享，最終目的在于及時停止提供渠道服務，中斷詐騙行為的發生，同時為監管機關對詐騙案件偵查提供信息來源，見圖1。顯然，個人信息的“實名+留存”是信息核驗的必要前提，風險信息的確認共享是信息核驗的行為目的，以實現對網絡詐騙行為的即時識別、精準打擊。不同于以保護性規范為本位的《個人信息保護法》，《反電信網絡詐騙法》中個人信息成為了預防財產犯罪的工具，其中相關措施不免與個人信息權利束中許多主體權能產生矛盾交互，其中最為明顯的是信息監測共享機制所勾勒出的個人敏感信息實時控制、頻繁查驗、信息留存、跨領域共享與個人信息刪除權所映射的個人信息自決和信息利用最小化理念之間潛在的抵牾。雖然其背后反映出的個人信息保護和利用的權衡是個人信息法律保護中的永恒話題，但目前個人信息刪除規則零散且廖少的狀態使得公法性質的信息利用表現得過于強勢，有待通過規則補正和優化實現緩和平衡。因此，厘清《反電信網絡詐騙法》中個人信息工具性利用機制如何與現有個人信息保護規則實現和諧共生是本文的核心主題。

圖1 反電信網絡詐騙中個人信息工具化流程

在電信網絡詐騙的研究方面，目前學界多從刑事犯罪防控和罪名罪數認定兩方面進行探討，刪除權的學術討論主要集中在權利的構建以及與歐盟被遺忘權的對比中，鮮有研究將二者關聯并關注到行政監管或者刑事防控而構建的工作機制對個人信息刪除權形成的掣肘。本文試圖通過對信息監測共享制度的特點及運行流程分析，結合目前學界已有的研究共識，梳理出個人信息刪除權與反電信網絡詐騙的信息監測共享制度之間的矛盾交互，為后續的制度運行及個人信息刪除權的協同落實提供補充認識。

1 反電信網絡詐騙中凸顯的個人信息刪除權實現問題

我國《個人信息保護法》第47條第一款列舉出五項信息處理者應當主動刪除個人信息的義務內容，并同時給予個人在信息未刪除時請求刪除的權利，意圖形成對個人信息刪除權的有效實踐閉環。此制度架構下，刪除權的多種實施場景與反電信網絡詐騙法的信息監測共享制度存在安全保障落空、權利保護懸置、信息風險不明等問題。

1.1 義務主體范疇模糊

《反電信網絡詐騙法》第6條第5款規定，承擔風險控制機制與安全責任制度的主體為電信業務經營者、銀行業金融機構、非銀行支付機構、互聯網服務提供者。在這四類主體中，我國《電信條例》(第七條、第八條)與《電信業務分類目錄》(2015版)中對電信業務的概念、經營條件和范疇進行了限定和列舉；我國《銀行業監督管理法》(第二條、第十七條至第十九條、第二十一條)中對銀行業金融機構的設立條件與經營規則進行了具體規定；非銀行支付機構的范圍、業務活動在《非銀行支付機構分類評級管理辦法》《非銀行支付機構網絡支付業務管理辦法》等規章中同樣有跡可循。但是，互聯網服務提供者的內涵和外延在我國法律法規中并未得到明確，并且其與網絡服務提供者這一主體概念的業務類型、層級關系較為模糊，處于定義不明、范疇不清的現狀。

“網絡服務提供者”的概念源于美國《數字千年版權法》中“Online Service Provider”，后出現在我國《侵權責任法》第36條用以針對性地規制網絡活動主體，屬于法律概念。在網絡服務提供者的業務類型中，2013年我國《信息網絡傳播權保護條例》中提及的網絡服務提供者的業務包括網絡自動接入、自動傳輸服務、信息存儲服務和網絡搜索、鏈接服務等。然而，在我國《工業和信息化部關于清理規范互聯網網絡接入服務市場的通知》的目標任務中，直接使用了“ISP”(Internet Service Provider，互聯網服務提供者)的表述與“互聯網接入服務”形成了等同關系。由此推斷，接入服務應當是網絡服務也是互聯網服務，且互聯網服務僅包括網絡接入服務。但是，根據公安部2005年發布的《互聯網安全保護技術措施規定》第18條規定，互聯網服務提供者是指向用戶提供互聯網接入服務、互聯網數據中心服務、互聯網信息服務和互聯網上網服務的單位。該規定認為互聯網服務提供者并不限于接入服務，而是囊括多種業務的類似于網絡服務提供者的概念。而且，另有觀點認為《反電信網絡詐騙法》中的互聯網服務提供者應當包括接入服務、平臺服務、內容及產品服務[2]?？梢?，二者的構成關系、指代的業務類型并未統一。

在概念層級上，對《美國數字千年版權法》(DMCA)解讀中提到“網絡著作權侵權責任限定法為在線服務提供商(OSP)，其中包括互聯網服務提供商(ISP)創建了安全港規則”，全國信息安全標準化技術委員會將二者認定為包含關系[3]。但是，有的學者認為互聯網服務提供者是網絡服務提供者可替換的概念，并且在我國最高人民法院2000年、2004年和2006年的著作權司法解釋中得到確認[4]。也有觀點認為根據我國《網絡安全法》第76條規定，公共電信服務提供者和互聯網服務提供者可被合稱為網絡服務提供者[5]。可見，網絡服務提供者與互聯網服務提供者的概念關系同樣難以辨析。

在對于互聯網服務提供者概念界定的觀點紛爭中，難以言明是否所有的互聯網服務提供者都有必要成為風險信息監測共享的義務主體。這是反電信網絡詐騙機制建立的同時亟待明確的基礎問題。

1.2 商業與法律目的交織

按照《個人信息保護法》第47條第1款要求，個人信息處理者處理目的已實現、無法實現或者實現處理目的不再必要時，應當對個人信息進行主動刪除。這一規定的核心在于信息處理者的信息處理目的的界定和邊界廓清，具體可歸納為當目的已達、目的不達以及目的不必要時，個人信息應當在法定期限內被刪除[6]。關于“信息處理目的”，《個人信息保護法》將其明確要求在信息處理者的告知同意內容之中，旨在表明信息處理目的應是信息主體與處理者雙方協商下的結果，從而使信息主體可對信息處理的界限和信息刪除的時機進行把控。但在《反電信網絡詐騙法》的信息監測共享機制中，電信業務經營者、銀行業金融機構、非銀行支付機構、互聯網服務提供者等主體的信息處理行為實質上表現出商業目的和法定目的的交叉與混雜。一般情形下，處理者基于個人同意而處理個人信息，一旦個人信息處理者停止提供產品或者服務，個人信息的處理目的將不復存在，信息處理者留存的信息庫中，非特定要求所必要的信息就不再具有合法基礎，應當在法定期限內刪除。但如果用戶信息被信息處理者識別為風險信息，信息處理者則可按照法定要求對用戶數據進行監測和收集并對信息主體的身份進行核驗，當認定其具有涉詐可能性時，還需將信息傳輸共享至其他機關。此時，以同意為基礎的信息處理行為則被法定目的下的信息處理收集行為所湮沒，突破了原有的告知同意范圍的處理目的。

個人信息刪除權屬于請求權范疇，其請求的對象為個人信息處理者，應當遵循民事法律體系中請求權的基本規范邏輯。當個人信息處理者以法定理由對個人信息進行必要留存或共享給第三方時，意味著此時信息成為刑事偵查機關的案件線索而脫離個人自決的空間范圍。商業社會中，基于個人信息潛在的價值性，個人信息處理者原則上都企圖對個人信息或者生成的數據集合盡可能地留存和利用，而在商業目的與法定目的交織下的個人信息處理行為有可能會成為信息處理者對個人信息繼續留存的“合理化”借口。按照《反電信網絡詐騙法》的規定，信息處理者對涉詐信息的監測、認定、核驗等義務于一身，這無疑為個人信息刪除權“法定原因”下的落空創設了更大的風險。

1.3 保存期限規定不明

根據《個人信息保護法》第47條第2款規定，個人信息保存期限屆滿時，信息處理者應當對個人信息進行主動刪除。該款項中，“保存期限屆滿”成為了個人信息刪除的法定理由。然而，各行業中對于數據信息的使用模式與存儲方式并不相同，我國宏觀層面的法律規范例如個人信息保護法或者國家標準當中，僅對個人信息留存最小化進行原則性要求。信息留存的具體期限多體現在特定行業規范或地方性法規之中。由此，我國關于信息留存時限的規則可分為三種類型，如圖1所示。第一類為最低時限型規則，包括《電子商務法》《網絡預約出租汽車經營服務管理暫行辦法》《醫療機構管理條例實施細則》《證券法》《反洗錢法》《勞動合同法》在內都僅規定了信息留存的下限，即必須要保存的時長，其目的在于確保電子存檔的可用性，使其有據可查。這些立法對于信息留存所帶來的個人信息風險并未進行場景化類析，此情形下的信息處理者幾乎可以基于特定目的或監管需要無限期對個人信息進行留存。第二類為業務區間型規則。例如《電信和互聯網用戶個人信息保護規定》第9條第4款、《信息安全技術 個人信息安全規范》6.4(3)項，將個人信息留存的合理區間設定為“提供業務/產品/服務時”，當服務停止時，信息應當刪除。該類規則在反電信網絡詐騙機制中難以發揮刪除權的期間限定效用，原因在于服務結束時，其信息可隨時被以反詐騙目的進行繼續留存。第三類為特定期限型規則，例如《關于開展App違法違規收集使用個人信息專項治理的通知》第6項中，規定刪除信息的日期不得超過用戶提出請求權的15日；《南寧市個人信用信息征集使用管理辦法》第17條規定，市信用信息系統對個人信用信息的保存期限為5年。該種類型的規定對信息留存給出了明確的期限，但在監測共享機制中其局限性與第二種相似，信息持續受監測的解釋權由信息處理者掌握，反電信詐騙機制為用戶的信息刪除請求權設筑了壁壘。

事實上，信息留存目的與信息留存期限在個人信息的合規體系中是相互獨立的部分，二者分別以目的限定和存儲限定為基本原則。在歐盟法院公布的判例(Case C-77/21)中，Digi公司以程序測試、糾偏為理由將基于履行服務合同為目的收集的用戶信息進行了持續留存和二次利用。最終歐盟法院在利用“目的兼容”原則判斷Digi公司二次利用信息的目的與履行服務合同的初始目的具有關聯性且滿足信息主體的合理期待并不違法，但歐盟法院對于信息的留存同時作出了單獨評價，認定其未滿足存儲限定原則而對Gigi公司處以罰款。以此案例為鑒，反電信詐騙為目的的信息監測預警盡管屬于法定目的下的信息處理行為，但處理者在處理流程中仍應對信息留存滿足最小期限承擔注意義務。

表1 個人信息留存規則的類型及在監測機制下的風險表征

此外，《反電信網絡詐騙法》中所要求的監測共享信息類型十分廣泛。在犯罪預防理論中，電信網絡詐騙的監測預警主要利用大數據和算法等技術，對犯罪特征進行提煉，對犯罪規律進行建模，對犯罪嫌疑人和罪犯的特征進行精準畫像，從而實現系統的自動識別[7]。其中，關鍵措施之一在于利用數據對規律和特征進行挖掘，僅針對被害人的特征研究中，就可細化為客觀特征、主觀特征、環境特征[8]、個人信息特征[9]等。該機制建立通常還需依托多方數據共享為前提，例如通過運營商數據、金融機構數據和政府數據的聯合建模，有利于擴大名單覆蓋率、提升欺詐識別精確度。這意味個人信息監測共享機制對類型廣泛的個人信息的留存利用提出了急迫需求，卻并未對各信息處理者的留存時間進行限制安排。個人信息權利的內容體現在對個人信息利用行為進行有限自主的控制和支配之上[10]，包括信息的收集、存儲、使用、公開和刪除等，而個人信息的存儲則關系著個人信息權利的最終實現。同時，反電信網絡詐騙監管機關也可通過風險信息共享機制獲取企業組織收集的信息，在多主體協同共治的政策指導下依法調取企業收集到的個人信息。這相當于確認了目前基于“預防犯罪”這一法定目的而進行幾乎無限制的個人信息留存和流轉，與保護個人信息理念與實踐充滿矛盾張力。

2 從規范價值對反電信網絡詐騙中個人信息刪除權實現的塑造

2.1 法定使用的價值優位

個人信息刪除權指在法定或雙方約定的情形下，信息主體請求信息處理者及時刪除已收集的個人信息的權利[11]。在比較法上，歐盟的《一般數據保護條例》第17條第3款(b)項中規定了基于公共利益的目的可以對數據主體的刪除權等一系列權利進行限制。我國臺灣地區《個人資料保護法》中也有相關規定，在執行職務或業務所必須或經當事人書面同意情形下，無需對個人信息刪除的請求進行處理。信息刪除權在我國《民法典》和《個人信息保護法》中都有明確體現，但現有規定中對個人請求信息刪除的例外僅限兩種情形，即法律上不能(法律、法規規定的保存期限未屆滿)和事實上不能(技術上無法實現)[12]，并未將“基于公共利益目的”利用作為請求刪除權例外的情形。對是否應當將公共利益考量納入例外情形可以基于利益平衡視角和規范體系化視角進行分析。

以利益平衡視角分析，主要解決的問題是基于公共利益的限制訴求與個人信息主體自決行為之間張力的平衡。隨著數字時代下個人信息處理行為的不斷增加，催生出一系列個人信息保護領域特有的法律問題[13]。但是對個人信息的保護并不應當絕對化，正如知識產權的制度歷程，同樣是在技術氤氳發展下逐步驗證了權利化的必要性，我國知識產權制度在價值構造上展現出一系列的利益平衡表征，例如基于公共利益考量的著作權合理使用和法定許可、基于公共衛生安全需求的專利強制許可、基于描述性或指向性為目標的商標合理使用等。事實上，由于我國《個人信息保護法》主要借鑒于歐盟《通用數據保護條例》，且我國《個人信息保護法》施行僅兩周年，對于限縮個人信息受保護權的話題并沒有得到理論和實踐充分的驗證，對多方利益的認知、識別及均衡對比都缺乏基本公式。但實踐中，隨著電子政務領域的迅速發展，個人信息在面對突發的公共危機事件或者常態化公共管理時，已經逐步實現了個人信息對于維護社會穩定、保障公共利益力量的重要作用。隨著個人信息在新生的公法治理規則中占比越來越大，以安全、秩序、穩定為內核的重大公共利益維護，和涵蓋知情同意、最小必要、目的限制等內容的基本權利保護之間的張力逐步拉大，個人信息自決的范疇應當與公共利益有著清晰的界限劃分[14]，如此才能真正實現對基于公共利益目的的個人信息保護限制規則的完善塑造。

從規范體系視角分析，個人信息自決受限理論早在我國《個人信息保護法》出臺之前，已有學者對其進行探討，雖然個人信息自決屬于對本人信息的支配，但個人信息常混雜于本人之外的隨處可見、捉摸不定的信息之中，此種支配不應歸屬于絕對權，否則個人信息自決不僅促成個人對信息的支配，還導致對他人行為的支配[15]。在民法典出臺后，有學者對其中的個人信息規則提出了“合理使用”的概念，即基于法定原因使用他人的個人信息[16]。該理論最終體現在《個人信息保護法中》第13條中，基于特定情形的信息處理可不以個人同意為前提：(1)合同或人力資源管理所必需；(2)法定職責或法定義務所必需；(3)緊急或突發情形所必需；(4)為公共利益的新聞報道。對于政府機關處理個人信息的有關規定同樣散見于例如《政府信息公開條例》(第15條)《生物安全法》(第26條)等其他法律法規中。因此，無論是從法理分析，抑從《個人信息保護法》第13條的規范分析，以防范電信網絡詐騙為目的信息處理行為可適當對抗個人信息刪除的強制性義務，不應當直接對《反電信網絡詐騙法》中信息利用行為進行根本否定。

2.2 最小損害的基本保障

必要性原則是我國公法治理中的“帝王原則”[17]，源于法國自由法治時期的必要性原則，盡管其內容僅包括手段必要和目的必要兩要素，但是實際場景應用中，必要性原則常會表現出主觀性過大的空洞性缺陷[18]，對基于目的和手段的必要限度的界定難以掂量。其后，1931年《普魯士行政法》首次提出了最小損害原則，表述為“如果有多種手段可以實現對公共安全、公共秩序危機的消弭，或能有效地抵御危險，則應當盡可能地選擇一種對相關人員與一般大眾損害最小的手段。”此時，在必要性內涵的流變中，最小損害成為了必要性的評判標準之一。二者的關系可以理解為，如果某項手段在必須的情況下造成的損害沒有最小化，那么這個手段就不是必要的。

倘若將個人信息刪除置于信息監測共享機制中去分析其最小損害原則的應用，首先呈現的規范表達是個人信息收集的目的限制。目的限制原則要求信息處理者有明確且具體的處理目的，同時開展個人信息處理行為應當與處理目的直接相關，即目的明確、合理與使用限制。其中“合理”意涵的實質是要求信息處理的目的應當以雙方約定或者法律規定為前提，不得隨意進行擴張。對于電信網絡詐騙風險防范義務的主體而言，其信息收集、實名、監測、核驗、共享主要目的在于為用戶提供完整的經營業務以及實現必要的網絡信息監管，此兩種目標分別處于同意規則和同意豁免規則項下。對于以用戶同意為基點的信息處理行為被明確限定在用戶知情同意的范疇之內，且當個人信息的處理目的、處理方式和處理的個人信息種類發生變更時，法律要求重新取得個人同意。對于同意豁免規則項下的信息處理行為的目的限定規則卻似乎被“例外情形”一詞一言以蔽之，包括《反電信網絡詐騙法》在內的涉信息處理的公法規范典型表現為忽視了以公共利益為前提的信息處理行為也應當符合目的限制原則，以明確告知用戶信息處理的緣由、方式以及限度為基礎，同時保證其處理行為都嚴格置于公共利益目的的框架之內，以在整體安全保障機制運轉下推動風險防控主體“最小特權”的實現。

必要原則的實現還要求以國家名義進行的信息處理手段對個人信息的損害最小。個人信息保護與個人信息利用之間存在固有的此消彼長關系已是信息時代的基本理念，實現個人信息最大化保護的方式之一即是保證信息處理的有限化。反電信網絡詐騙中，以往的商業主體在原來的信息處理者之上被賦予實行公共權力的身份，有利于協同治理違法犯罪的達成，但由此也為義務主體和監管部門提出更高的個人信息工具化的注意義務。另外，《反電信網絡詐騙法》對詐騙犯罪“源頭治理”的強調也映射出其對個人信息保護機制的落實要求，其內容可以理解為以信息保護為治理方向，同時又以信息利用為治理工具，但二者并非絕對的對立關系，依然存在統一的可能，前提在于相關主體對信息的利用秉持謙抑克制的態度。

2.3 協同共進的治理之綱

《個人信息保護法》為國家機關和私人機構的信息處理活動進行了“一體化調整”的模式，其中圍繞私人機構處理個人信息的行為進行全方面的規制設計[19]。以此而形成的個人信息權利束的內容非常廣泛，包括但不限于個人信息同意、更正權、刪除權、可攜帶等。信息自決權源于1971年德國《個人信息保護法草案》[15]，其目標在于將個人信息置于人格尊嚴之下，構建起以個人控制為中心的保護體系，但將個人信息作為憲法性權益進行規則制度的配置也就決定個人信息自決權的完整落實將是緩慢而謹慎的進程。目前學界對個人信息權利的研究大多基于碎片化、獨立化的思考，甚少去斟酌個人信息權利之間或個人信息權與傳統的公私權力之間是否存在潛在的矛盾，是否需要進行必要的限縮而實現最大化福利。根據法律執行后的調查分析，在《民法典》《個人信息保護法》實施以來涉個人信息的司法案例中，民法典條款的引用次數達600余次，而個人信息保護法的條款引用次數僅為13次，并且引用條款集中于對個人信息定義和過錯責任規則，并未涉及具體權利條款的引用[20]。由此可見包括信息刪除權在內的個人信息權利于司法實踐中并未得到明確適用，側面反映出其權利的細化和配套規則在實踐中并未得到有效驗證。

《反電信網絡詐騙法》中對個人信息工具性的利用機制將這種潛在的矛盾部分暴露出來，包括上述提及的義務主體模糊、處理目的混雜、留存期限不明等。其緣由既有反電信詐騙機制并未完全契合個人信息保護原則和理念，也存在個人信息保護制度本身的規定缺漏。因此本文所提出的矛盾疏解與治理方向應當由兩部法律協同進行有關規范的健全，以實現法律規范之間的融貫性，而非僅僅強調某一方的作為與不作為義務。

3 信息共享監測中個人信息刪除權的實現路徑

3.1 擴張個人信息刪除權的例外情形

我國《個人信息保護法》第47條第2款規定了個人信息刪除的例外情形，即如果出現第1款所列舉的五種情形，只有法律、行政法規明確規定的保存期限未屆滿或者信息刪除在技術上無法實現之情形，信息處理者才有權繼續對信息進行留存和采取安全保障措施。除以上情形之外，法律并未提出其他的刪除權例外情形，也未進行兜底條款的保留。質言之，即便信息處理者是處于履行法定職責或者法定義務，當沒有信息期限的明確規定時，個人信息主體可要求個人信息的刪除或被遺忘。但如此以往，信息主體或稱信息被監測主體隨時有權要求退出業務并刪除信息時，反電信網絡詐騙的目的則將必然落空。例如，涉詐人員可利用虛假身份信息注冊多個平臺賬號，并縮短每個賬戶的使用周期，在銷號的同時要求平臺方立即刪除已留存的個人信息，并未給平臺的犯罪監測模型保留足夠的分析數據，則依靠信息監測分析來預防犯罪風險的機制則會陷入效率不彰的境地。

個人信息不僅附著信息主體的個人利益，還承載著信息處理者的正當利益和社會公共利益，故刪除權的行使不能完全歸依于個人，需要將信息主體的個人利益與信息處理者的正當利益、社會公共利益進行權衡比較[21]。歐盟在GDPR第17條第3款(b)項中明確規定“控制者執行或者為了執行基于公共利益的某項任務，或者基于被授予的官方權威而履行某項任務”屬于刪除權不得適用的情形。美國《加利福尼亞州隱私權法》中也規定了“檢測安全事件，防止惡意的、欺騙的、虛假的或非法活動”和“遵守法定義務”作為了刪除權的例外情形。對比之下，我國目前《個人信息保護法》僅有刪除權兩種例外情形的規定似乎并未考量到《反電信網絡詐騙法》這類以個人信息監測、留存、利用為手段以實現公共利益保護的運行機制會對教義學詮釋下的個人信息刪除權產生的影響。在個人信息刪除權盡快落實的實踐需求下，我國應當適當借鑒域外的模式，至少從固有窠臼中對基于群體利益考量的“保障公共安全與公共利益”作為刪除權的例外情形進行正面列舉。

3.2 細化監測共享主體、范圍、標準

信息安全保障義務的主體根據《反電信網絡詐騙法》的規定，包括電信業務經營者、銀行業金融機構、非銀行支付機構、互聯網服務提供者。前三種類型的行業組織與國計民生密切關聯，在我國準入門檻較高，在系列法律法規中受到較為嚴格的監管。但互聯網服務提供者的范疇隨著互聯網技術的發展其范圍不斷擴充，表現出數量眾多、類型復雜的特點。據中國互聯網絡信息中心數據統計，僅2016年～2021年間，我國互聯網企業的上市數量就已經達到155家，涉及短視頻、游戲、直播、社交媒體等[22]。但值得思考的是，以上類型的組織業務是否全部為網絡詐騙行為所介入。此外，依據市場份額與用戶數量進行劃分，社交媒體也可以分為不同的量級，針對不同量級的社交媒體平臺應當秉持區分原則，對用戶量和日活量進行區分，對有關媒體的信息檢測共享機制和信息保護能力進行有效評估并施以不同程度和符合實踐的監管措施，實現監管效果最優化。

各行業組織的主管機關對共享監測運行機制的監管應當細化到類型化的個人信息具體業務中，企業組織在實際業務中也應對特定類型的信息進行一定程度的監測共享。由于不同行業的企業組織收集到的信息呈現交叉相異的特點，監管要求的展開應當明確到是否涉及用戶定位信息、通訊錄信息，抑或是瀏覽記錄、聊天記錄信息等具象內容的顆?；潭?。此外，從《反電信網絡詐騙法》第12條第3款規定來看，企業組織識別風險信息的標準應當是“不能排除合理懷疑”，如此才能解釋采取的處置措施是限制、暫停而不是終止，但對于排除合理懷疑標準的界定，是否需要引入專門部門進行評估也需要進行成本和風險之間的權衡?，F有信息監測共享機制給予了企業組織一定的“管理權限”，那主管機關對于權力的基準與界限勢必要進行前置性規定。

3.3 明確留存時限、方式

共享監測機制下的個人信息表現出兩種新型特點：一是即時共享性，即基于犯罪預防為目的，從企業組織的信息數據庫流入共享數據庫的信息頻率只能是即時或者較短期限，但頻繁地共享風險信息同時應當采取更為嚴格的信息校驗技術和密碼技術保證其完整性、可用性和保密性[23]。二是去標識化，根據《信息安全技術 個人信息安全規范》(GB/T 35273—2020)的規定，信息處理者在收集個人信息后，應當立即去標識化，并將可用于恢復識別個人的信息與去標識化后的信息分開存儲。但在風險管理中，去標識化使得個人信息失去個人指向特征時，其中的信息預警價值也會有所減損，去標識化下的信息是否會影響犯罪監測目的的實現仍待實踐驗證，但在保證基本目的實現的前提下，即便要求不可完全去標識，對個人信息仍應持有量級保護的理念。

現有關于信息留存期限的規定體現出了根據行業性質和信息作用進行的有效區分。不同行業之間信息留存時限不一是否會影響風險信息的完整性和防控犯罪的價值性也需要進一步探討。例如，金融機構與非銀行支付機構對于客戶身份資料、客戶交易信息、網絡支付業務操作記錄、購卡人登記信息一般應當保存5年以上，證券行業的客戶資料應當保存不低于20年。但對互聯網企業而言，其信息存量大、更新速度快，信息存儲期限的法定要求要遠遠低于金融、證券行業。另外，為實現個人信息刪除權，其要求信息的留存時限不僅應當規定下限，也應當對上限有明確規定，且上限性規定要明確可以對抗信息處理者的信息監管權力。盡管以信息監測共享為目的的信息留存屬于行業組織的新義務，應當充分考慮到犯罪預防下的信息留存時限要高于原來行業的一般要求，但仍應當以最小必要為原則進行上限的具體化規定，以此才能更優化對最小必要原則的實質解釋。

4 結論

在真實案件中，電信網絡詐騙的源頭往往是個人信息的侵權行為，二者形成了緊密的利益鏈條，因此保證個人信息的穩定與安全是《反電信網絡詐騙法》的立法目的之一。同時，《個人信息保護法》在完成對個人信息權益保障的各類強制性義務設立后，個人信息保護工作的重心也從損害救濟轉向為風險預防[24]。兩部法律表現出了以個人信息保護為核心的共同意志。但作為反電信網絡詐騙關鍵措施的信息監測共享機制，在現有法律規范體系下卻與個人信息刪除權的部分場景產生了矛盾交互。新型機制的運行對工作程序、規則的有機聯系和有效運轉中的信息審計、隱私治理和信息保護等要素應提出更加嚴格的周延保護要求。因此，疏解信息共享監測制度與個人信息刪除權利之間的矛盾張力是進行法律融貫性有效解釋的必然面向，擴張有關的刪除權例外情形、細化監測共享內容和標準、明確留存時限和具體方式，既是有效彌補法律間規則真空的有效方法，也是真正實現法律目的協同并進的實效措施。