恶意通知人可否请求电商平台删除投诉记录？

作者 | 方梓楠 广东环球经纬律师事务所

编辑 | 墨客

01

问题的提出

“通知-删除”规则可以说是对互联网生态影响最深的制度设计之一，然而，现实中不乏有通知人滥用该规则，以获取不正当竞争优势，甚至是借此敲诈勒索的情形。按照《电子商务法》第四十二条第三款、《最高人民法院关于审理涉电子商务平台知识产权民事案件的指导意见》第六条等相关规定的表述，我们将此类通知人称之为“恶意通知人”。

实践中，部分电商平台会根据过往的投诉处理记录（当然，只是因素之一），对通知人本身是否存有恶意进行判断。而基于这种判断结果，对其后续投诉提高举证要求，或是降低处理优先度，更是业界常见做法。

（如某知名电商平台即对进入诚信投诉名单的通知人予以投诉便利，同时依据投诉记录判断通知人是否得享相关权益）

有基于此，部分恶意通知人，或者说曾有过恶意投诉行为的通知人，即具备了要求平台对此前投诉记录进行删除的动机，以便其能够继续以相对便利的条件进行侵权通知。那么，恶意通知人能否得依《个人信息保护法》第四十七条之规定，要求平台删除相关信息？

02

删除权成立的前提：投诉记录属于个人信息

在对恶意通知人能否就投诉记录行使删除权进行讨论前，需要知道的是，《个人信息保护法》只针对处理个人信息的活动进行规制。因此，通知人有权要求平台删除的前提是，相关投诉记录构成个人信息。对这一问题，我们从信息类型跟主体类型两个角度展开讨论。

（一）投诉记录所涉的信息类型能否构成个人信息？

在这一步判断中，我们且不考虑主体性质给个人信息定性带来的影响，假定一个范围较小的讨论前提：当通知人为自然人，且自行向平台投诉。在此前提下，我们判断其投诉记录能否构成个人信息。

投诉记录应被理解为是多类信息的集合，基于电商投诉场景的需要，一个完整的投诉记录应当包含至少以下信息：

（注意：上表仅是基于处理投诉的需要所涉及的最低限度信息，并不代表平台实际收集的信息类型。实践中，国内主流平台还会针对IP地址、cookies记录进行收集）

对某项信息进行孤立的判断是毫无助益的（如：处理结果是否属于通知人的个人信息），我们需要借助场景的核心需求，厘清可能的关联信息链条，在此基础上进行判断。而在“恶意通知人请求删除投诉记录”这一场景中，投诉记录的删除本身是为了避免平台基于对此前投诉情况的评估，而对恶意通知人的后续投诉造成障碍。反向可知，“规制恶意投诉行为”是平台留存相关信息的作用之一（有必要强调的是，评估历史投诉记录绝非平台判定当次投诉是否属于恶意投诉的唯一标准，规制恶意投诉行为也绝非是平台留存投诉记录的唯一目的）。

为实现这一作用，平台需要对上表中的数个信息细项进行关联：

其中，将通知主体信息全部细项与处理结果相关联，所形成的信息链条属通知人的个人信息无疑，而后几种信息链条则明显被排除在外。那么，如平台只选取某些相对“不敏感”的细项留存并关联（如“账号/设备号-处理结果”），这一信息链条又能否构成通知人的个人信息呢？

我们认为答案是肯定的。通常认为，在对某项信息是否属于个人信息进行判断时，应分别从“识别”和“关联”两个角度出发进行考量。前者的标准是能否从信息识别到个人，后者则是指已经明确的个人主体关联的信息。而在“通知-删除”机制中，通知人向平台进行投诉时，势必会提供其较为详细的个人信息，此时通知人的身份主体是明确的，即使平台仅以设备号信息作为关联字段，在与后续投诉内容结合后，仍能从后续投诉行为关联到此前记录的设备号信息，因此相关信息链条亦能构成个人信息（部分观点认为单论设备号信息已属于个人信息，但在没有其他信息辅助，或是明确主体关联的情况下，仅凭设备号信息很难直接识别或是关联到个人主体，因此亦存在认为设备号信息单独不构成个人信息的观点）。

（二）通知人非自然人，其信息能否构成个人信息？

在前述讨论中，我们有意回避了主体类型的问题，单就自然人投诉的场景展开讨论。那么，在相关信息具备可识别性或关联性的基础上，非自然人的通知人，其投诉记录能否构成个人信息？

这一问题乍看似乎没有讨论价值——《个人信息保护法》第三条第一款明确规定：“在中华人民共和国境内处理自然人个人信息的活动，适用本法。”既然非自然人，那又何来个人信息一说？但落地到电商投诉场景中，这一问题的答案却没有那么想当然，下面我们分情形讨论：

1.自行通过企业通道投诉

部分平台为非自然人投诉设置了专门的投诉通道（或区分化的注册方式），该种情形中，相关主体投诉所产生的处理记录一般不视为个人信息。但需要注意的是，相关主体在投诉过程中可能向平台提供其对接人的个人信息（如姓名、联系方式等），对该部分信息的处理，仍受《个人信息保护法》规制。

（某平台即区分了个人与企业用户，以企业身份注册不需提供手机号码信息）

2.非自然人委托外部主体代为投诉

该情形中，根据外部主体类型的不同，相关信息的定性亦有所不同：

1）外部主体为知识产权代理公司的情形。此情形同前述的自行处理情形，大抵并无不同；

2）外部主体为律师事务所的情形。此种情形一般伴随对律师个人信息的披露，但相较于其他类型主体的对接人信息，律师的部分信息（如姓名、照片、执业证号、执业机构等）带有个人自行公开或其他合法公开的性质。这类信息当然也在个人信息之属，但对其进行处理的合法性基础以及要求删除的请求权基础都存在不同；

3）外部主体为自然人的情形。此种情形中，投诉记录中无疑包括个人信息，但这种个人信息的范畴应作何种认定呢？是仅限于具备可识别性的信息，即可由相关信息识别到自然人主体的信息（包括受托人姓名、联系方式、照片、地址等）？抑或也包括具备关联性的信息，即包括由特定自然人主体代为投诉所形成的相关记录等？我们认为，应以可识别性为限较为适宜。《民法典》第一百六十二条规定：“代理人在代理权限内，以被代理人名义实施的民事法律行为，对被代理人发生效力。”作为受托主体，自然人所从事的投诉行为对非自然人发生效力，相应的行为记录只要不具备对受托主体进行识别的作用，就不应视为自然人的个人信息。

3.自然人委托非自然人主体代为投诉

如前所述，在委托投诉情形中，投诉行为对委托人发生效力，因而此种情形下，具备关联性的信息亦应纳入个人信息之属。但这又会产生一个问题：这些投诉记录除了与委托人（自然人）具备关联性外，实质也与代理投诉的非自然人主体具备关联性，如对投诉记录中涉及个人部分的信息进行处理，仅将非自然人主体与处理结果关联，相关信息链条是否属于个人信息？

（这一问题并非空穴来风，此前某平台就曾基于对代理机构投诉结果的统计，启动调查并确认相关主体为恶意通知人）

首先需要明确的是，在原投诉记录构成个人信息的基础上，仅当相关处理构成《个人信息保护法》第四条所指的“匿名化处理”时，相关信息才能脱离个人信息的定性。如仅就当中某一部分的信息进行剔除，至多构成去标识化处理，相关信息仍在个人信息的范畴内。

4.冒用自然人身份投诉

实践中，存在一批专以投诉为业敲诈勒索的黑灰产人员，该群体为逃避追责，常利用非法获得的个人信息注册账户进行投诉，这就导致平台有时在排查恶意通知行为时发现，部分ip地址上同时存在数十乃至上百台设备，而单一设备上亦存在大量不同账号。在这种情形中，易知相关投诉行为幕后并非自然人，相关的投诉记录是否仍构成个人信息？尽管这种情形存在信息冒用问题，但冒用本身并不会改变相关信息的可识别性及关联性，因此相关投诉记录仍可构成个人信息。但有所不同的是，此种情形中，“躲在”账号之后的通知人并非信息主体，其无权对此类账号及账号行为信息主张权利。

03

行使删除权的基础：处理投诉记录的合法性来源

《个人信息保护法》第四十七条规定了个人有权请求删除其信息的五种情形，但除了兜底的“法律、行政法规规定的其他情形”外，个人行使删除权的请求权基础，可以归结为个人信息处理者的行为已不再具备合法性来源。因此，在讨论恶意通知人有无权利请求平台删除投诉记录之前，需要先对平台处理相关信息的合法性来源进行讨论。

（一）基于用户同意的处理

在电商投诉场景中，平台对通知人个人信息的收集处理存在两种情形：

在第一种收集方式中，平台可以通过在隐私政策中明示后续可能的利用行为，从而取得利用投诉记录中个人信息对通知人“恶意”进行评估的合法性基础（我们认为，这种利用方式也是符合正当必要原则的）。而在第二种收集方式中，尽管通知人系基于其自身主动行为将个人信息提供给平台，可以认为是同意的一种方式，但因通知人并未与平台就信息处理的方式、范围及时限等问题达成一致，因而只能从通知人提供信息的目的出发，在“通知-删除”流程的框架内处理相关信息。

（二）基于合同必需的处理

这是一种与用户同意完全不同的合法性来源，基于合同必需的处理并不需要获得合同相对方的同意（当然，两种合法性来源本身存在并存的可能性，处理者完全可以在合同中同步征求相对方的同意）。但需注意的是，如对信息的某种处理并非基于订立或履行合同的必要，而是基于用户的同意，那么，即使这种同意是以合同义务的方式固定的，其合法性来源亦只是“同意”而非“履行合同之必要”。在此基础上，如信息主体撤回同意，则处理者无法以合同尚在履行状态为由继续处理相关信息。 那么，如何评估某种处理行为是否在“履行合同之必要”的范围内呢？可以参考EDPB于2019年10月8日发布的《关于在向数据主体提供在线服务的背景下根据GDPR第6条第1款(b)项下处理个人数据的指南》(Guidelines 2/2019 on the processing of personal data underArticle 6(1)(b) GDPR in the context of the provision of online services to data subjects)，该机构在该指南中提出了认定这种必要性的判断准则：在符合合法性、透明性、目的限制及数据最小化等原则的大前提下，应考量在不采用该种处理方式的情况中，合同目的是否无法实现，以及是否有无侵扰性更低的替代性处理方式。值得一提的是，该指南第50条明确了基于“防欺诈”目的的数据处理行为不能通过“履行合同之必要”取得合法性来源（当然，在GDPR中，处理者可以通过“正当利益所需”取得合法性来源）。

具体到本文探讨的电商投诉场景，如参考该指南意见，通知人本身意图实现的只是产品/链接的下架/屏蔽/删除，对其投诉记录处理与否都不影响通知人目的的实现。即使将这种处理包装为保障投诉安全性、可追溯性的“防欺诈”义务，亦不能以“履行合同之必需”为由取得合法性来源。

（三）基于履行法定职责或义务必需的处理

1.检举犯罪行为的义务 “恶意通知”行为在一定条件下可能构成犯罪，《刑事诉讼法》第一百零八条规定：“任何单位和个人发现有犯罪事实或者犯罪嫌疑人，有权利也有义务向公安机关、人民检察院或者人民法院报案或者举报。”那么，检举义务能否构成《个人信息保护法》第十三条规定的“为履行法定职责或者法定义务所必需”这一信息处理的合法性来源呢？

（恶意通知视情况存在构成刑事犯罪的可能性） 这一问题需要分情况讨论。《刑事诉讼法》第一百零八条规定的仅是基于已知犯罪事实及主体的检举义务，而非对未知或潜在犯罪事实的调查及搜证义务，因此该规定无法作为平台处理不特定通知人投诉记录的合法性来源。但针对事先已有一定证据证明特定主体涉嫌利用电商投诉机制违法犯罪的，我们认为可以此作为其处理的合法性来源。

2.“通知-删除”规则确立的义务1）在明：公布投诉处理记录的义务 《电子商务法》第四十四条规定：“电子商务平台经营者应当及时公示收到的本法第四十二条、第四十三条规定的通知、声明及处理结果。”据此，平台负有公示电商投诉处理流程记录的义务，而保存是信息公示的前提，平台也得依此取得保存相关信息的合法性来源。但需注意的是，该规定所涉的信息类型仅包括通知、声明、处理结果三项，且处理行为仅限于公示及因公示而必然存在的保存行为。针对更为细节，或是不宜公示的信息，如通知人的主体证件、联络方式、设备码、账号、IP等，严格来讲，平台不能以该规定作为对其进行处理的合法性来源。

2）在暗：自证已尽“通知-删除”义务的需要 除《电子商务法》第四十四条规定外，实际上，“通知-删除”规则的确立本身已对投诉记录的留存提出要求。在司法实践中，一旦权利人将平台及商家诉至法院，在权利人举证其已进行投诉的前提下，平台需对其已进行处理及做出相应处理的合理性进行举证，否则即需承担责任。基于此种现状，对投诉记录进行留存，即使不言，亦自有其意。 可惜的是，无论在明在暗，“通知-删除”规则并没有给平台设置分析过往投诉记录并进行区分处置的合法性来源——显而易见，无论通知人或其代理人此前的投诉行为是否诚信，至少在法律层面上，均不影响其下一次进行投诉的效力。相反，平台依据通知人过往投诉记录，对当前投诉有意延迟，甚至拒绝处理的行为还存在一定的法律风险。

04

恶意通知人请求删除投诉记录的场景化讨论

在廓清“投诉记录是否属于个人信息”、“平台处理投诉记录的合法性基础”这两个问题的基础上，我们开始针对本文的核心问题进行回应：恶意通知人可否请求电商平台删除投诉记录？

（一）通知人要求删除投诉记录的请求权基础 除前述我们认为基本不构成个人信息的场景外，平台处理投诉记录的合法性来源主要是“同意”及“法定义务之必需”，与通知人删除权的请求权基础存在一定对应关系。

除上表中第1种场景外，其他场景的删除权基础都是“处理目的已实现、无法实现或者为实现处理目的不再必要”，而与其对应的法定义务比较即可知，这种处理目的的实现，是以相关争议/犯罪事实在司法层面的完全解决为前提的。但对于恶意通知人而言，其进行投诉的目的只是为了寻求不正当竞争利益或用以敲诈勒索，不存在寻求司法手段介入的动机，这种删除权基础对恶意通知人来说可以说是基本不适用的。

由此可知，尽管恶意通知人具备“个人撤回同意”这一删除权基础，但在平台基于其法定义务必需仍对相关信息具备合法性来源的情况下，平台依然能够继续依照其法定义务需求处理相关信息。 （二）通知人要求删除后，平台对投诉记录的处理界限 除事先已掌握一定犯罪线索或事实，基于检举义务之必需所进行的信息加工分析外，电商投诉场景中，对通知人投诉记录的加工分析仅以其同意作为合法性来源。如恶意通知人请求删除，尽管平台依据法定义务之必需，仍可留存其投诉记录，但亦无法再就相关信息进行分析处理，这与平台的需求相悖——在无法对投诉记录信息进行分析处理的情况下，平台就失去了对恶意通知的判断能力。 为避免这一问题，部分电商平台在其隐私政策中引入了国家推荐性标准《个人信息安全规范》（GB/T 35273-2020）第8.7条“响应个人信息主体的需求”的相关表述，明确：在“与公共安全、公共卫生、重大公共利益直接相关的”“个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的”“响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的”等情形下，平台存在拒绝响应删除权等请求的可能性。

（以上为某电商平台投诉界面隐私政策内容）

需要特别注意的是，该标准确实是执法机构时常引用的重要文件，然而，在其之后出台生效的《个人信息保护法》并未参考该标准中相关表述，为平台对删除权的响应设置例外豁口。因此，如严格按照《个人信息保护法》规定，在通知人已提出删除要求的基础上，即使平台在隐私政策中预设定相关内容，亦难以构成其继续分析投诉记录信息行为的合法/免责依据。

05

余    论

我国《个人信息保护法》的设计带有强个人信息保护的特征，为此牺牲了一定信息处理的灵活度。这种立法倾向本身没有问题，正如程啸教授在其著作《个人信息保护法理解与适用》中提及的一种观点“我国当前的主要问题不是个人信息没有被合理使用的问题，而是个人信息权益没有得到有效的保护”。但需要承认的是，对个人信息的强保护不可避免地将与一定的公共利益及商业利益产生些许冲突，本文所讨论的问题就是这类冲突的体现之一。囿于现有法律规定，在通知人要求删除的情况下，平台难以找到一种完全合规的方式，以使其能继续发挥治理功能，识别恶意通知人。或许只能留待《个人信息保护法》推行至一定阶段，有关部门重新平衡各方利益，出台更为具体的规范性文件，以为实践提供指引。

（图片来源 | 网络）