數據交易場景中刪除權的法治路徑

隨著數字時代的發展，數據交易市場在數據經紀商的推動下日益繁榮，但個人信息的流轉與分散化處理為其保護帶來新的挑戰，應通過厘清數據交易鏈條的復雜性，完善刪除權的系統性實現路徑。

我國信息主體的刪除權主要源于個人信息保護法第47條和民法典第1037條的賦權，它是信息主體對自身個人信息的最終控制手段，用以保障個人信息權益。但是這一權利在數據交易場景中卻面臨行權困境，信息主體或將因此失去對其個人信息的控制與保護。數據交易場景中除數據提供方、數據使用方和交易平臺三方之外，還有涉及數據加工、評估、定價、存儲等的相關主體。上海數據交易所將其統稱為“數據服務商”，北京國際大數據交易所將其概括為“數字經濟中介產業體系”。上述主體共同構成了數據價值鏈，個人數據則在其中流轉。數據經紀商是其中的關鍵角色，它通過“收集并向第三方出售與其沒有直接關聯的消費者個人信息”來推動整個數據交易進行，本文聚焦于數據經紀商這一主體。

刪除權的行權困境

在數據交易場景中，信息主體行使刪除權遇到的問題之一是難以知曉其權益受損，再因無相應的權利行使保障而不知向何主體行權、如何行權。

個人信息權益受損具有隱秘性。刪除權具有權利行使的被動性特征，其行權前置條件為信息主體知曉自身權益受到損害。但是在數據交易場景中，作為交易核心引擎的數據經紀商可以通過隱蔽手段獲取信息，導致信息主體并不知曉個人數據被收集或轉售。再有，通過算法關聯，來源于不同數據提供方的匿名化數據具有間接識別可能性。此外，盡管法律允許匿名化處理后的個人數據可以用于交易，但匿名化技術的可靠性缺乏統一認證標準和相應的第三方審查機制，仍有個人信息泄露的風險。

當前立法框架以C2B（消費者與企業，Customer to Business，C2B）場景為主要制度構想，但數據經紀活動中信息主體與數據經紀商之間的互動更為復雜。數據交易模式靈活多變，主要包括數據商直接向信息主體獲取授權收集個人數據的C2B分銷模式，數據商與另一數據商交易合作的B2B（企業與企業，Business to Business，B2B）集中銷售模式，以及同時開展前兩項業務的B2B2C（企業與企業與消費者，Business to Business to Customer，B2B2C）分銷集銷混合模式。現有的立法框架以C2B模式為主要預設場景，個人信息保護法因緩和消費者與大型網絡平臺緊張關系的立法背景，其法條呈現出大量的C2B模式結構，例如，該法第23條規定個人信息的流轉需將無直接關聯數據商通過同意授權轉為直接關聯數據商。現有立法專注于信息主體與直接關聯數據商的權利義務關系，將個人信息的流出與信息主體的同意授權綁定。但在商業實踐中，因B2B模式和B2B2C模式涉及的數據價值鏈環節更多，創造的價值總量更大，二者是數據交易中的主流模式。因此，信息主體與數據經紀商之間的關系不僅更為常見，也更需進一步的重視。

缺乏信息主體對數據經紀商的直接行權渠道。數據經紀商與信息主體不具有直接關聯。而以C2B模式為主要數據獲取范式的立法驅動下，現有的刪除權行使與“通知-同意”機制綁定，各數據商的刪除渠道相互獨立且無統一標準，信息主體對與其無直接關聯、無同意授權的數據商沒有適宜的行權渠道。盡管個人信息保護法第47條第4款給信息主體向以數據經紀商為代表的第三方數據商行權留下了解釋空間，但是在實踐中信息主體的行權渠道較窄，迫使信息主體依賴于司法救濟。但是損害的隱秘性加重了舉證難度，增加了信息主體的行權成本。在交易節奏快速的數據交易市場中，現有損害可能會被擴大。

刪除權的價值定位

保障刪除權的權利行使需在現實問題解決層面、個人信息權益保護層面、行業監管與發展層面實現其應有之義。

在現實問題解決層面，構建信息主體向數據經紀商行權的可行渠道，降低數據場景中的個人信息泄露等風險。數據交易場景放大了刪除權的實現障礙，在分布式存儲架構下，個人信息經清洗、建模形成多節點數據副本，以C2B模式為基礎范式的傳統刪除機制較難穿透層層嵌套的數據價值鏈。集成式的刪除權行權通道能在一定程度上克服C2B模式的形式限制。

在個人信息權益保護層面，維護信息主體的自主決定權，保障其個人信息權益完整。法律旨在保護個人對其個人信息享有一種平等的、自主決定、自主支配的權利。“通知-同意”機制可能會在疲勞同意、暗黑模式、捆綁授權等情況之下變為“機械化范式”，使“同意”不為個人自由意志的真實呈現，而數字經紀活動有時甚至無需主體的授權即可開展。保障主體的刪除權行使標志著數據交易場景中個人信息保護轉向動態控制，權利有效阻斷了數據控制者的永久支配。

在行業監管與發展層面，發揮數據經紀商這一主體在數據交易中的積極作用，促進數據經紀行業的創新可持續發展，加速推進我國數據要素市場化建設。鑒于數據經紀關系在數據價值鏈中不可替代的重要作用，落實個人信息刪除權的行權保障無法繞開對信息主體與數據經紀商的關系調和。通過規范數據交易場景中的數據經紀活動，給合法使用個人數據的行為劃定邊界，使數據經紀商的業務透明化、規范化。這也有利于數據經紀行業的創新性發掘和持續發展，優化數據交易市場中的資源配置。如果不想影響數據經紀業務的開展，刪除義務的壓力將倒推數據經紀商去研究和使用更優質、更標準的包括匿名技術在內的數據處理技術，也要求數據經紀商更為規范地獲取信息主體的個人數據，促使“通知-同意”機制進一步靈活化、實質化。

刪除權的實現路徑

在數據交易場景中保障刪除權的行使，首先，應明確數據經紀的市場準入條件；其次，構建由監管部門主導的、依托區塊鏈技術建立一站式行權平臺；最后，在個人信息保護法框架下確立數據經紀商“穿透式刪除”義務。

確定行權指向，明確數據經紀行業的準入條件。數據經紀活動是數據價值鏈的重要環節，并通過數據交易支撐了其他行業的發展，應當重視數據經紀商在“數據商”或“數據中介”之中的特殊地位，對其實行專門化監管。應當明確數據經紀商的定義，使其與其他類型的“數據商”或“數據中介”區分開來，并形成較為統一的準入條件，設置相應的注冊管理制度，將數據經紀商的注冊信息進行公示，強化數據經紀行業透明度。

打通行權渠道，以各個數據交易所為節點搭建一站式刪除平臺。我國已經具備一站式刪除平臺的基礎設施條件，以各個數據交易所為節點、依托區塊鏈技術建立一站式行權平臺，實現用戶刪除指令向全鏈條節點的智能合約同步。同時，應考慮減輕建設和運營成本的需要，以及行政力量介入的應有限度。

回應權利請求，確立并細化數據經紀商的刪除義務。我國在試圖明確數據經紀商的刪除義務時應對合格請求的標準、響應請求的時長、拒絕請求的理由、不履行義務的后果作出統一規定，后允許各個數據交易所在一定范圍內細化具體規則。鑒于傳統刪除方式可能實現數據交易中的實質性擦除，宜要求數據經紀商其建立動態數據圖譜管理系統，向數據流出對手轉送刪除請求，并承擔對實質性擦除及結果驗證責任，未履行義務時適用舉證責任倒置規則。

（楊大可系同濟大學法學院副教授，博士生導師；姚貝林系同濟大學法學院博士研究生；本文系2024年度上海市哲學社會科學規劃課題一般課題【編號：2024BFX006】的階段性成果）

編輯：張宏羽" " zhanghongyuchn@hotmail.com