倒计时三天-谈谈互联网的删除和被遗忘权

前言国外法规介绍国内政策法规

 前言

    在大数据和AI时代，互联网产业迅猛发展，先进的网络技术使得数据的收集和处理变得异常容易，个人数据安全面临前所未有的威胁。部分个人数据被长期保存在网络中而脱离数据主体的控制，有些合法公开的网络数据也面临着公开不充分、不相关和超出数据使用目的困境，上述问题可能给数据主体带来负面评价，本文探讨网民的被删除权和遗忘权，进而阐述对个人安全服务缺失的担忧。

国外法规介绍

    欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR，以下简称《条例》）在2018年5月25日正式生效。为踏上数字时代新秩序的起跑线，涉及国外业务线的华为、字节跳动、传音等企业都在积极准备。合规不仅因为高昂的处罚而攸关企业生死线，更决定了如何合法地应用新技术、业务创新来获取基于个人数据的巨大价值（名人的隐私是隐私，普通人的隐私仅仅是大数据......）。GDPR增加了对于数据主体的新权力和保护，尤以删除权和被遗忘权引起了最大的争论。

1.删除权 删除权系指数据主体在数据控制者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的情况下，有要求数据控制者删除其个人信息的权利。2.被遗忘权 GDPR草案中，其将“被遗忘权”定义为公民在其个人数据信息不再有合法之需时要求将其删除或不再使用的权利，如当时使用其数据信息是基于该公民的同意，而此时他/她撤回了同意或存储期限已到，则其可以要求删除或不再使用该数据信息。3.删除权与被遗忘权的区别 简单来说，传统的删除权是一对一的，即用户个人（数据主体）对于企业（数据控制者）提出的要求，当数据主体认为数据控制者违法或违约收集、使用其个人信息的情况下，有权要求企业删除其个人数据。而目前GDPR在传统删除权上进一步扩展提出的“被遗忘权”是一对多的，不仅包含传统的删除权的权利要求，还包括要求数据控制者负责将其已经扩散出去的个人数据，采取必要的措施予以消除。可以看到，基于被遗忘权，数据主体可以基于以下理由主张删除数据信息，即数据的存在不再被需要，数据主体不再同意，或数据储存期限届满，而无须要求其具有违法或者违约的特性。这样如果JD被“拖库”，用户有权利要求其个人信息依旧可以被删除，这就引起了一些新的数据安全或者个人安全产品的需求。国内政策法规

    目前我国已经有包括《民法总则》《侵权责任法》《网络安全法》《关于加强网络信息保护的决定》《信息安全技术公共及商用服务信息系统个人信息保护指南》《电信和互联网用户个人信息保护规定》等100多部法律、行政法规、部门规章和规范性文件对个人信息保护作出规定。有人提议，要不要把罗永浩、贾跃亭这样的被失信人或者某些严重犯罪者的个人或者行为通过区块链进行记录，笔者认为是绝对不可行的。关于失信人的执行情况，法律法规也解释到：失信被执行人失信期间是有期限的，在期限届满后，被执行人的相关个人信息应该被删除。该司法解释规定背后的理念在于，法律赋予了被执行人重新开始的机会，对其过去的失信行为予以谅解。如果纳入区块链，考虑到区块链的不可删除和不可修改性，会导致执法成本的提高和被惩戒人的遵法意识的抵触。 要想被遗忘，首先要可以删除。哪怕仅仅是删除权的行使，国内现在没有任何成型的系统和应用已经实现了这些功能，舆论方面只有多方媒体、监管机构在持续关注。但是因为商业融资、决策、用户分析需要用到大量的数据和用户量做支撑，技术方面删除账户涉及的方方面面较为复杂，营业主体并没有主动推动的意愿去做这件事。简单说就是责任和义务不对等，这既是国内推出类似于GDPR法律的重要性。《网络安全法》提出个人信息保护的一般法律原则和要求，而其实施则要求具体实施条款的颁布。个人信息主体权利现阶段公众主要聚焦隐私的收集，以安全的场景反思，我国在这三个方面远远做得不够：

1.访问、修改和删除个人信息的权利（例；修改账户的注册手机号、id，儿童信息的特别保护）；

2.撤回其同意的权利（例：拒绝app的权限申请，撤销个人隐私协议）；

3.注销其账户的权利（例：众多网站注册时很简单，注销时需要手持身份证）。

    目前个人安全市场投资基本是空白，360目前只有APP隐私合规性检测服务，影响有限；腾讯在广义的个人安全市场布局较小；阿里？这家公司的安全价值观实在太low了