数据交易场景中删除权的法治路径
作者：杨大可、姚贝林     时间：2025-08-06

随着数字时代的发展，数据交易市场在数据经纪商的推动下日益繁荣，但个人信息的流转与分散化处理为其保护带来新的挑战，应通过厘清数据交易链条的复杂性，完善删除权的系统性实现路径。

我国信息主体的删除权主要源于个人信息保护法第47条和民法典第1037条的赋权，它是信息主体对自身个人信息的最终控制手段，用以保障个人信息权益。但是这一权利在数据交易场景中却面临行权困境，信息主体或将因此失去对其个人信息的控制与保护。数据交易场景中除数据提供方、数据使用方和交易平台三方之外，还有涉及数据加工、评估、定价、存储等的相关主体。上海数据交易所将其统称为“数据服务商”，北京国际大数据交易所将其概括为“数字经济中介产业体系”。上述主体共同构成了数据价值链，个人数据则在其中流转。数据经纪商是其中的关键角色，它通过“收集并向第三方出售与其没有直接关联的消费者个人信息”来推动整个数据交易进行，本文聚焦于数据经纪商这一主体。

删除权的行权困境

在数据交易场景中，信息主体行使删除权遇到的问题之一是难以知晓其权益受损，再因无相应的权利行使保障而不知向何主体行权、如何行权。

个人信息权益受损具有隐秘性。删除权具有权利行使的被动性特征，其行权前置条件为信息主体知晓自身权益受到损害。但是在数据交易场景中，作为交易核心引擎的数据经纪商可以通过隐蔽手段获取信息，导致信息主体并不知晓个人数据被收集或转售。再有，通过算法关联，来源于不同数据提供方的匿名化数据具有间接识别可能性。此外，尽管法律允许匿名化处理后的个人数据可以用于交易，但匿名化技术的可靠性缺乏统一认证标准和相应的第三方审查机制，仍有个人信息泄露的风险。

当前立法框架以C2B（消费者与企业，Customer to Business，C2B）场景为主要制度构想，但数据经纪活动中信息主体与数据经纪商之间的互动更为复杂。数据交易模式灵活多变，主要包括数据商直接向信息主体获取授权收集个人数据的C2B分销模式，数据商与另一数据商交易合作的B2B（企业与企业，Business to Business，B2B）集中销售模式，以及同时开展前两项业务的B2B2C（企业与企业与消费者，Business to Business to Customer，B2B2C）分销集销混合模式。现有的立法框架以C2B模式为主要预设场景，个人信息保护法因缓和消费者与大型网络平台紧张关系的立法背景，其法条呈现出大量的C2B模式结构，例如，该法第23条规定个人信息的流转需将无直接关联数据商通过同意授权转为直接关联数据商。现有立法专注于信息主体与直接关联数据商的权利义务关系，将个人信息的流出与信息主体的同意授权绑定。但在商业实践中，因B2B模式和B2B2C模式涉及的数据价值链环节更多，创造的价值总量更大，二者是数据交易中的主流模式。因此，信息主体与数据经纪商之间的关系不仅更为常见，也更需进一步的重视。

缺乏信息主体对数据经纪商的直接行权渠道。数据经纪商与信息主体不具有直接关联。而以C2B模式为主要数据获取范式的立法驱动下，现有的删除权行使与“通知-同意”机制绑定，各数据商的删除渠道相互独立且无统一标准，信息主体对与其无直接关联、无同意授权的数据商没有适宜的行权渠道。尽管个人信息保护法第47条第4款给信息主体向以数据经纪商为代表的第三方数据商行权留下了解释空间，但是在实践中信息主体的行权渠道较窄，迫使信息主体依赖于司法救济。但是损害的隐秘性加重了举证难度，增加了信息主体的行权成本。在交易节奏快速的数据交易市场中，现有损害可能会被扩大。

删除权的价值定位

保障删除权的权利行使需在现实问题解决层面、个人信息权益保护层面、行业监管与发展层面实现其应有之义。

在现实问题解决层面，构建信息主体向数据经纪商行权的可行渠道，降低数据场景中的个人信息泄露等风险。数据交易场景放大了删除权的实现障碍，在分布式存储架构下，个人信息经清洗、建模形成多节点数据副本，以C2B模式为基础范式的传统删除机制较难穿透层层嵌套的数据价值链。集成式的删除权行权通道能在一定程度上克服C2B模式的形式限制。

在个人信息权益保护层面，维护信息主体的自主决定权，保障其个人信息权益完整。法律旨在保护个人对其个人信息享有一种平等的、自主决定、自主支配的权利。“通知-同意”机制可能会在疲劳同意、暗黑模式、捆绑授权等情况之下变为“机械化范式”，使“同意”不为个人自由意志的真实呈现，而数字经纪活动有时甚至无需主体的授权即可开展。保障主体的删除权行使标志着数据交易场景中个人信息保护转向动态控制，权利有效阻断了数据控制者的永久支配。

在行业监管与发展层面，发挥数据经纪商这一主体在数据交易中的积极作用，促进数据经纪行业的创新可持续发展，加速推进我国数据要素市场化建设。鉴于数据经纪关系在数据价值链中不可替代的重要作用，落实个人信息删除权的行权保障无法绕开对信息主体与数据经纪商的关系调和。通过规范数据交易场景中的数据经纪活动，给合法使用个人数据的行为划定边界，使数据经纪商的业务透明化、规范化。这也有利于数据经纪行业的创新性发掘和持续发展，优化数据交易市场中的资源配置。如果不想影响数据经纪业务的开展，删除义务的压力将倒推数据经纪商去研究和使用更优质、更标准的包括匿名技术在内的数据处理技术，也要求数据经纪商更为规范地获取信息主体的个人数据，促使“通知-同意”机制进一步灵活化、实质化。

删除权的实现路径

在数据交易场景中保障删除权的行使，首先，应明确数据经纪的市场准入条件；其次，构建由监管部门主导的、依托区块链技术建立一站式行权平台；最后，在个人信息保护法框架下确立数据经纪商“穿透式删除”义务。

确定行权指向，明确数据经纪行业的准入条件。数据经纪活动是数据价值链的重要环节，并通过数据交易支撑了其他行业的发展，应当重视数据经纪商在“数据商”或“数据中介”之中的特殊地位，对其实行专门化监管。应当明确数据经纪商的定义，使其与其他类型的“数据商”或“数据中介”区分开来，并形成较为统一的准入条件，设置相应的注册管理制度，将数据经纪商的注册信息进行公示，强化数据经纪行业透明度。

打通行权渠道，以各个数据交易所为节点搭建一站式删除平台。我国已经具备一站式删除平台的基础设施条件，以各个数据交易所为节点、依托区块链技术建立一站式行权平台，实现用户删除指令向全链条节点的智能合约同步。同时，应考虑减轻建设和运营成本的需要，以及行政力量介入的应有限度。

回应权利请求，确立并细化数据经纪商的删除义务。我国在试图明确数据经纪商的删除义务时应对合格请求的标准、响应请求的时长、拒绝请求的理由、不履行义务的后果作出统一规定，后允许各个数据交易所在一定范围内细化具体规则。鉴于传统删除方式可能实现数据交易中的实质性擦除，宜要求数据经纪商其建立动态数据图谱管理系统，向数据流出对手转送删除请求，并承担对实质性擦除及结果验证责任，未履行义务时适用举证责任倒置规则。

（杨大可系同济大学法学院副教授，博士生导师；姚贝林系同济大学法学院博士研究生；本文系2024年度上海市哲学社会科学规划课题一般课题【编号：2024BFX006】的阶段性成果）