【摘要】 2018年5月生效的欧盟《一般数据保护条例》将被遗忘权和删除权视作同一民事权利规定在同一法律规范中。实际上,被遗忘权是与狭义删除权存在本质区别的新型权利。被遗忘权是合法发布或正当处理的数据,脱离数据主体控制时权利人可以主张删除的权利。中外法院的被遗忘权纠纷案件判决结果表明,两者对于该权利的态度截然不同。究其原因在于中外被遗忘权的历史变迁路径不同。被遗忘权的本土化路径需要考量数据生命时效,平衡公众表达权,调和网络产业发展及考虑法律适用的可操作性。被遗忘权的制度理念在我国公司董事、监事、高管聘用规定、网络侵权纠纷案件受害人救济规定、失信被执行人失信期限规定等法律法规中有所体现。我国应当在未来制定《民法分则人格权编》或者《个人信息保护法》时确立被遗忘权制度,实现其从应然权利到实然权利的立法突破。当下《人格权编》草案第47条和48条存在较大问题,应予以修改完善。统一的数据保护机构应该设立,并采取“四位一体”的监管模式才能保证被遗忘权的落地执行。
【中文关键词】 被遗忘权;数据删除权;立法障碍;构建基础;保护路径
在大数据和AI时代,互联网产业迅猛发展,先进的网络技术使得数据[1]的收集和处理变得异常容易,个人数据安全面临前所未有的威胁。部分个人数据被长期保存在网络中而脱离数据主体的控制,有些合法公开的网络数据也面临着公开不充分、不相关和超出数据使用目的困境,上述问题可能给数据主体带来负面评价。在此背景下,欧盟《一般数据保护条例》(“General Data Protection Regulation”简称GDPR)于2018年5月25日正式生效。GDPR不仅规定欧盟境内用户有权利拒绝互联网公司收集用户数据的请求,而且规定了欧盟用户对其个人数据的删除权及“被遗忘权”。被遗忘权是什么?其和删除权是否存在不同?如果存在区别,二者之间的关系是什么?被遗忘权法律构建的理论基础和现实障碍有哪些?被遗忘权在中国能否被确立以及可能的实现路径?以上诸问题属于本文讨论范围。
一、案例引发的思考
2014年欧盟被遗忘权第一案——冈萨雷斯诉谷歌案,欧洲法院认定通过谷歌搜索的冈萨雷斯的十几年前被拍卖房产的信息,属于有关自身“不充分、不相关(或不再相关)、过分的(超出其最初处理目的)”(inadequate, irrelevant or no longer relevant, or excessive)的信息,判决谷歌应当删除,冈萨雷斯胜诉。2015年我国被遗忘权第一案——任甲玉诉百度案,同样要求百度删除其已不在某教育机构工作的信息,没有获得法院支持,原因是该删除请求不具有法益的正当性和保护的必要性。“冈萨雷斯诉谷歌案”和“任甲玉诉百度案”作为有关被遗忘权纠纷的典型案例,案情高度雷同,但两案的判决结果却截然相反,两者形成鲜明的对比,因此有必要对两案进行深入的比较分析。
在诉讼主体方面,两案中的原告同为自然人,被告同为大型搜索引擎运营商,诉讼主体地位相似。
在诉讼标的方面,“冈萨雷斯诉谷歌案”和“任甲玉诉百度案”,诉讼标的均指向被遗忘权法律关系。“冈萨雷斯诉谷歌案”中,对于有关自身“不充分、不相关(不再相关)、过分的(超出最初处理目的)”的信息,尤其是历史久远的信息,即冈萨雷斯十几年前欠缴社保而被强制拍卖住房的个人信息,冈萨雷斯向互联网搜索引擎公司提出删除链接请求。而“任甲玉诉百度案”中则向百度公司提出请求删除其原在陶氏教育集团供职的信息。但两案中个人信息在上传和公布时都是通过合法的形式与途径,只因时过境迁,这些信息的存在变得不合时宜,给信息主体带来不利于自身的负面评价。
在诉讼请求方面,在“冈萨雷斯诉谷歌案”中,冈萨雷斯只是要求谷歌公司删除相关链接。在“任甲玉诉百度案”中,任甲玉不仅请求百度公司断开或删除相关链接,还要求赔礼道歉、赔偿经济损失。尽管任甲玉所主张的利益诉求比冈萨雷斯的诉求有所增加,但根本上任甲玉最希望的还是删除那些过时的信息,以免那些信息持续存在对自身带来负面影响,对其就业和日常生活形成阻碍。因此,两案的诉讼请求基本一致。
综上所述,欧盟“冈萨雷斯诉谷歌案”与我国“任甲玉诉百度案”在诉讼主体、诉讼标的以及诉求方面具有高度一致性。但在诉讼结果上,却出现了“同案不同判”,厘清这个问题,需要对被遗忘权追踪溯源。
二、被遗忘权溯源
(一)被遗忘权在欧盟的演变与实现
被遗忘权的立法雏形最早出现在欧盟。1995年10月24日,欧盟制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令(Directive 95/46/EC)》。该法第12条规定,欧盟各国应当保证数据主体有权要求数据控制者作出适当修改、删除或更正不准确、不完整的个人数据。这一规定被学界普遍认为是“删除权”以立法形式出现在欧盟法律体系中。
2012年欧盟制订了《一般数据保护条例》草案(简称GDPR草案)[2]。草案第17条规定了“被遗忘和删除的权利”[3](right to be forgotten and to erasure),其中具体规定了四种可以要求删除个人数据的情形。该条由9款16项构成,对数据主体享有的被遗忘权的定义、内容、实施和适用及例外规定等做了较为详尽的规定。2014年欧洲议会议员领导的GDPR草案修订组,又对其进一步修订,最直接的修改将第17条的名称变成了“Right to erasure”,仅命名为删除权,去掉了被遗忘权,删除个人数据的情形还是四种,只是更加明晰化和更具落地性。
2014年“冈萨雷斯诉谷歌案”终审判决支持了冈萨雷斯保护其被遗忘权的诉讼请求。判决指出,关于“不充分、不相关(或不再相关)、过分的(超出其最初处理目的)”的数据,数据主体享有请求网络服务运营商删除链接的权利。
2018年5月25日,欧盟GDPR法案生效。与先前草案相比,GDPR法案中第17条最终变成了删除权(“被遗忘权”)即right to erasure(‘ right to be forgotten’),与2012年GDPR草案版的“被遗忘和删除权”和2014年GDPR草案修订版“删除权”名称都不同。数据主体依据个人数据控制权要求删除数据的情形增加至6种,但第5种情形“个人数据根据数据控制人应遵守的欧盟或者其成员国的法律义务应当删除”,其实是对2014年GDPR草案修订版第四种情形的完善,真正增加的是第6种情形即“该个人数据基于第8条第1项规定的为社会服务所提供,经其监护人同意而处理儿童个人数据的”。删除权(“被遗忘权”)在欧洲立法上正式确立。
(二)被遗忘权与删除权的关系
根据欧盟对被遗忘权立法的演变进程中该权利名称和内容上的变化,笔者认为GDPR强调删除权是根本,被遗忘权是补充,被遗忘权实现的手段是删除,企图弱化被遗忘权与删除权的不同,但却混淆了被遗忘权与删除权的区别。理由如下:首先,根据标点符号的语用学理论,括号中的内容是对括号前的内容注释和补充说明,根据生效版GDPR第17条最终被命名为删除权(“被遗忘权”),可以得出删除权为主被遗忘权为补充的结论。其次,因被遗忘权权利历史悠久,应在传承上有所体现。欧盟最早是借鉴了19世纪法国法中“遗忘权”(droit a l'oubli,即准许罪犯享有被定罪和监禁事实不被公开的权利)的概念而命名为“被遗忘权”的。但被遗忘权这种称谓饱受争议,以Napoleon Xanthoulis教授为代表的很多学者认为“被遗忘权”这一称谓只是提出的更早、更时尚,在新闻报道和欠严谨的法学文献中较多出现,吸引眼球而已[4]。重要的是根据普通人理解,是不可能通过法律规定强迫“他人遗忘”数据主体的某些数据。而且“他人”似乎指除了数据主体之外的所有人,实际上删除数据的义务主体只是数据处理者和数据控制者,这极易引起误解。最后,GDPR混淆了被遗忘权与删除权适用上的区别。根据GDPR第17条第1款规定的适用该条款的六种情形,第一种情形“该个人信息根据其被收集和处理的目的已经不再有必要”,信息主体可以基于“目的性限制原则”要求信息处理者删除个人信息。其本质上与“谷歌案”判决中对被遗忘权做出的判定法理是一致的,即收集和处理信息的目的随着时间的流逝存在已经没有必要,但信息处理者在收集和处理个人信息时是合法的或信息主体是明知的。只是履行第17条的义务主体不再局限于“谷歌案”中的搜索引擎,而是扩大到了信息处理者和信息控制者。因为“谷歌案”的司法判决是欧洲法院作出的,应当具有先例拘束力,故GDPR的生效意味着对信息主体的保护更加宽范围和强有力了,这应该引起我们的注意。但是第17条第1款规定的其他适用该条款的五种情形[5],此类删除是在信息主体撤回同意、同意过期或者法律基础不存在的前提下要求删除信息,笔者把此种删除称之为狭义删除权,即如果个人信息在被处理时就违反法律规定或当事人的约定,是侵权行为或违约行为,属于狭义删除权的适用范围。虽然我国法律没有明确规定删除权,但实质上赋予了信息主体狭义删除权。如我国《网络安全法》第43条规定信息主体可以在网络运营者违法或违反双方约定收集、使用其个人信息,可以要求网络运营者删除其个人信息。《侵权责任法》第36条也规定了网络运营者违法收集使用个人信息应承担责任。删除信息其实等同于是承担侵权责任的七种方式之一“恢复原状”。而违反双方约定收集、利用其个人信息应承担违约责任,违约责任的承担方式有支付违约金、损害赔偿、继续履行和其他补救措施,删除应该属于“其他补救措施”中的一种方式。
而被遗忘权与狭义删除权有本质区别。满洪杰教授认为GDPR第17条规定是删除权与被遗忘权的混合,两种权利在权能、适用范围、受克减性等方面有重大差异。[6]笔者深以为然。被遗忘权最重要的一个特征就是个人信息在被收集和利用时具有正当性,即信息主体是明示同意或默许同意,[7]属于合法行为。其后要求删除个人信息是基于信息的不再相关、过时性或者与收集处理信息目的没有必要,防止信息可能致其负面评价,其目的是维护人格尊严、自由和公平。但如果从救济视角下审视被遗忘权和狭义删除权,删除权是被遗忘权获得救济的手段,这个删除权如果理解为广义删除权,就能涵盖被遗忘权。本文以狭义删除权来比较研究被遗忘权,以凸显被遗忘权是一种新型权利。
综上所述,笔者认为被遗忘权是指信息主体对已通过合法形式发布在网络上(不论是自己发布还是他人发布),有关自身的不充分、不相关(或不再相关)、过分的信息或者收集处理的目的已失去的信息,请求信息控制者或信息处理者予以删除的权利,除非信息的保留有合法的理由。
三、我国被遗忘权法律构建的障碍
(一)被遗忘权与时间:数据生命周期对被遗忘权的影响
所谓“数据生命周期”(data lifecycles),是指数据从生成到最终被删除不断变化的区间。[8]与人一样,数据也存在着“生老病死”的现象和规律。数据在这个动态过程中会随着时间的持续,生命不断变化。通常来说,数据的准确性和有效性会随着时间和传播领域的扩展而衰减。到了某个时间节点,数据保存的必要性就开始实质性降低。个人信息的存储时间越长,个人利益就越可能超越公共利益。所以十几年前因欠社保而被强制拍卖房屋的网络信息失真的可能性很大,无法客观真实反映冈萨雷斯当前状况,该数据到了应“被遗忘”的时刻。而任甲玉离开陶氏教育集团不再供职的信息仅仅不到一年,公众有对其近期工作经历的知情权,此时渴望被遗忘不太光彩经历的个人利益不能超越公共利益。
(二)被遗忘权与表达权:两种价值取向的冲突
被遗忘权的价值取向在于数据主体有权要求删除相关数据,取得被公众遗忘的权利。而表达权恰好相反,作为一种基本人权,其价值取向在于保护权利人的表达自由,其核心在于保障公众的言论自由。被遗忘权人希望被公众遗忘相关信息,公众则可能凭借言论自由对被遗忘权人的信息评头论足。两种不同的权利出现了正面冲突。二者的冲突使立法者与裁判者面临尴尬境地:为保护被遗忘权而限制他人的表达自由,或者为实现表达自由而允许个人信息被他人自由地使用与处理,[9]而不得要求删除或屏蔽。被遗忘权与表达权的价值冲突历来难以衡平,法律界上从未出现统一的二者位阶高低划分。对于被遗忘权与表达权冲突的解决策略,其调和之策往往具有浓厚的本土化色彩。自欧陆大革命以来,欧洲国家素有注重个人利益保护的法治传统,法律实践中在很多情形下强调公共利益让位于个人的人格尊严,故被遗忘权发端于欧洲有其法律宿源。被遗忘权的发展在美国则受到了挑战,其缘由在于美国人更注重言论自由,认为被遗忘权与表达权冲突,被遗忘权会给社会带来寒蝉效应,故美国仅出于保护未成年人的目的制定了特别被遗忘权法案,并没有设立一般被遗忘权制度。
中国也有自己的历史传统和特殊国情。国家高度重视诚信社会建设,加强信用体系建设,健全信用监管,加大信息公开力度。目前,信用监督的方式,主要通过国家征信制度等方式,公开个人信息,以社会监督强化信用建设。无疑,信用监督有利于实现公众的知情权和公众践行表达权,但个人信息的公开程度扩大化,无疑背离了被遗忘权的精神旨趣。因此,在我国立法理念注重公共利益优先个人利益的情况下,在社会诚信建设也有待进步的现阶段中,被遗忘权在当下我国的落地生根存在一定水土不服。
(三)被遗忘权与经济进步:权利保护与网络产业发展的矛盾
大数据时代,网络产业发展迅猛,个人信息数据在网络中受到侵犯的危险程度提高,被遗忘权受到侵犯的可能性也更高。依法保护被遗忘权,也意味着网络产业运营商的运营成本提高。自2014年5月欧洲法院做出“冈萨雷斯诉谷歌案”判决以来,谷歌公司内部专门成立了专家顾问团,对用户申请进行审查,对于因侵犯第三人被遗忘权的信息进行移除。超过40万个移除请求和超过140万个被要求移除的URL中,符合条件并被移除的URL只占42.6%。截至2015年12月,微软共收到并处理9000多个移除要求,关联到24000多个URL,但符合要求并被移除的比例和谷歌相仿。要求移除的URL主要指向Twitter、 Facebook、You Tube等社交和视频网站。较低的移除成功率意味着,网络用户有滥用这项权利的嫌疑,这无疑增加了搜索引擎等网络服务商运营成本。[10]现在我国大力发展大数据资源,形成对经济的驱动力,网络产业因此得以蓬勃发展,对GDP增长做出重大贡献。设立被遗忘权制度,会增加网络服务运营商的法律责任,加大其运营成本,一定程度上限制了网络产业的发展空间。当然,也有学者认为,欧盟之所以设立被遗忘权制度,在于用法律手段实现维护本地区信息主权的目的。谷歌作为注册地在美国的网络公司,但其在欧盟国家的搜索服务业务份额占据了欧盟地区该业务的半数以上。该行为已经构成了欧盟国家信息主权的重大威胁,欧盟国家用被遗忘权制度达到限制谷歌发展和维护自我信息主权的目的。[11]
(四)被遗忘权与自由心证:被遗忘权保护标准尚待完善
前文已经述及“任甲玉诉百度案”中,法院提出的“被遗忘权”的保护思路。张建文教授认可法院作出的被遗忘权保护路径选择,但认为在被遗忘权保护问题的操作方法上,应当运用比例原则构建具有内在逻辑一致性的“利益正当性”与“保护必要性”标准[12]。笔者认为比例原则起源并适用于公法领域,在私法领域的适用及展开需要研究。甚至有观点认为比例原则纯粹是“一纸空文”,因为它并不提供“具有客观性和规范性的判断标准”。即使郑晓剑副教授认为比例原则具备担纲一项民法基本原则的地位和资格,也承认该原则毕竟不同于具体的法律规范,在具体的判断和操作上,容有法官进行利益衡量与价值判断的余地,因而也潜藏着被滥用的可能性。[13]在我国被遗忘权的保护标准作为争议问题,尚须确定具体操作标准,被遗忘权的类型化立法落地问题,由于缺乏对相关权利义务和法律责任的整体立法设计,并非只争朝夕即可完成的任务。2014年10月10日施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《最高院规定》)第12条规定“网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项[14]规定的个人信息,或者公开该信息侵害权利人值得保护的重大利益,权利人请求网络用户或者网络服务提供者承担侵权责任的,人民法院应予支持。”笔者认为该条款完全可以视为“被遗忘权的中国版”。实际上“任甲玉诉百度案”中搜索引擎百度作为网络服务提供者,就是通过提供链接公开了任甲玉曾经供职陶氏教育集团的信息,“任甲玉诉百度案”的判决是在《最高院规定》施行之后,但其诉求并未获得法院支持,究其原因可能是何为“权利人值得保护的重大利益”,是一个法官自由裁量的问题,也是一个有待继续明确的问题。但两审法院在判决时都没有参考引用《最高院规定》,而是以原告主张被遗忘权试图向后续客户隐瞒其工作经历,不具有正当性,从而驳回了诉讼请求,原因何在应该引起我们关注。“任甲玉诉百度案”的一审法官陈昶屹在2014年5月21日的《北京日报》第14版发表一篇题为《“被遗忘权”背后的法律博弈》的文章,陈法官认为“美国通过网络产业占据国际贸易霸主地位,法律方面的技术操作通过《通讯正当行为法案》等美其名曰保护言论自由的法案,限制或免除中间服务商的责任,对网络及网络产业松绑,增大网络产业发展的经济空间和减少法律风险的桎梏效应,扶持网络产业这一具有未来产业导向的新兴产业”,而且在文末的延伸阅读中表明:我国应该主动抢占网络技术发展和市场份额的先机,在产业政策与法律上推动网络产业这一支柱产业快速稳健发展,否则会成为发达国家信息经济的产业附庸与技术跟班者。[15]
四、我国被遗忘权证成的理论基础
(一)我国被遗忘权法律构建的正当性
首先,被遗忘权能够减免当事人负面的社会评价。被遗忘权法律关系的对象是权利人的个人信息。根据个人信息对当事人社会评价的影响可以分为三种:一是不影响当事人社会评价的个人信息;二是可能提升当事人社会评价的个人信息;三是可能降低当事人社会评价的个人信息。被遗忘权所保护的权利对象是可能降低当事人社会评价的个人信息。虽然从法理上来说,一个完全民事行为能力人要对自己的行为负责,对自己的历史负责。[16]然而,“人谁无过,过而能改,善莫大焉”[17]。我们的社会应该是一个宽容的人性的社会,应该给予改正错误的人重新开始的机会,应当允许对其某些过去和过往被遗忘。被遗忘权可以满足信息主体如此的需求。信息主体通过行使被遗忘权,可以避免自身的相关信息在网络上进一步传播和有关自身的消极影响进一步扩大,从而获得社会的谅解,提升社会评价。一个自然人的社会评价,越来越多的依据互联网社会的评价。由于互联网信息传播速度快、范围广之特性,互联网上出现了一条关于信息主体的“不利的负面评价”链接,就会有众多网站进行转载和发布,就有可能导致信息主体的整体社会评价显著降低。如果事后发现这条“不利的负面评价”其实是错误的,尽管信息主体可以要求删帖、断开链接、屏蔽页面等,但义务主体往往怠于执行,因为往往这些“负面评价”会更加吸引公众眼球,为其吸粉获得更多人气,人气量某种程度来说就是财富和利润。更重要的是不履行义务的成本很低。事实上,为了帮助信息主体维护自身在互联网社会中的形象,在现阶段甚至出现了暗含“被遗忘权”性质的服务机构与个人,这些机构与个人以明码标价的方式,通过删帖、断开链接、屏蔽页面甚至雇用网络“水军”来“帮助”信息主体摆脱“不利的负面评价”,然而这些业务的开展毕竟有违法违规之嫌,而且增加信息主体的负担,如果引入“被遗忘权”就能很好解决这一问题,因为“被遗忘权”能够帮助信息主体重置个人社会坐标,获得在现实社会中更多前行机会。
其次,被遗忘权有利于维护人格尊严。被遗忘权首先出现在欧洲并非偶然,而是欧洲国家特别是大陆法系国家自罗马法以来对以荣誉和尊严为核心的人格利益保护的必然结果。自《十二表法》以来,罗马法逐渐发展出以保护非物质性的精神利益为目的的侵辱之诉(actio iniuriarum)[18],以保护人应当享有的社会尊重。近代以来,特别是二战后,随着人权理念的传播,形成了以每个人普遍、平等享有人格尊严为核心的人格权体系。作为欧洲个人数据保护立法源流的欧洲委员会的《108公约》即是定位于保护个人尊严,保护基本人权和基本自由(尤其是为了保护隐私),还强调必须与其他人权和基本自由(包括表达自由)相协调。在保护基本人权与自由的共同理念下,就会形成共同普遍的个人数据保护原则并被各国所接受进而内化为各国的国内立法[19]。因此,我们必须在人权保护意义上理解被遗忘权的立法目的和宗旨。而在我国,对人格尊严的保护并不完善,且常常让位于公共利益。随着社会文明的进步,我国公民对这方面的保护需求会日益增加。被遗忘权作为有利于维护个人人格尊严的一种新型民事权利,会越来越得到我国的重视。
再次,被遗忘权与言论自由实质上契合互补相互制衡。上文谈到被遗忘权保护,有与表达权言论自由此消彼长的一面,但我们不应只看到他们之间的矛盾冲突。言论自由不只赋予“说的权利”,也保障“不说的权利”,两者同为言论自由互补之要素。[20]被遗忘权重在保护“信息主体”的言论自由,侧重“不说”的权利;而言论自由重在保护“信息处理者”的言论自由,侧重“说”的权利。因此,信息主体要求移除其不欲继续公开之信息以实现不说的权利,是否抵触美国宪法第1修正案恐怕尚有疑义。[21]而且笔者甚至认为在某些情况下,被遗忘权有高于言论自由尤其是新闻自由的方面,理由有二:其一,权益完全性不同。渴望被遗忘的权益完全属于个人,相较对众人无关痛痒的言论保护来说,对不堪往事的提心吊胆对个人心理健康踏实生活影响更大;其二,与被遗忘权不同,言论自由更有可能侵害个人。在被遗忘权保护与言论表达和新闻出版自由的法律保护背后,存在着绝然不同的力量对比:不仅有单个的个人,而且有整个大众传媒行业为言论表达和新闻出版自由而斗争,并有可能利用它为其谋利,但只有公民个人为保护自己的被遗忘权作斗争。尽管宪法和法律表面上将言论、表述、新闻、出版自由平等赋予了社会全体成员,但是在某些情况下,它更有利于或者服务于一部分社会成员。尽管被遗忘权与言论自由单单用比例原则解决之间的关系有些抽象和不易操作,但在“冈萨雷斯诉谷歌案”判决后,谷歌公布了富有指导意义且极具操作性的“谷歌独立专家报告”。在该报告中谷歌被遗忘权咨询小组提供了“评估被遗忘权行使之四要件”:信息主体在公众领域扮演的角色;系争信息之本质;信息来源和时间的考量。而且欧盟第29号信息保护工作组发布了《谷歌案(C-131/12)判决的适用指南》[22],提出了信息删除的若干参考标准,旨在为相关机构应对此类删除请求时提供衡量根据。文件中明确列举了13项信息删除的参照标准,并详细解释了每一条标准。同时,工作组指出每一条标准的运用,都必须建立在欧洲法院确立的原则基础上,并应保证公众对信息的知悉权。所以我国在确立被遗忘权时有很多参考和借鉴。保护被遗忘权并不一定对表达自由有想象中那么大的影响,甚至对言论自由是一种制衡,或者说对表达自由的影响主要取决于被遗忘权保护标准的设定,应注重维护信息保护与表达自由之间的动态平衡。
最后,被遗忘权的确立合乎个人信息保护的世界法律实践潮流。在大数据时代,个人信息保护问题是个世界难题,被遗忘权恰好适当地表达了法律对当事人个人信息保护的关切态度。因此,被遗忘权从被提出之日起便得到了蓬勃生动的实践。欧盟确立被遗忘权制度后,一些欧洲外国家也开始不断支持被遗忘权。美国加州在2013年通过了涉及未成年人的特殊被遗忘权保护法案,即“橡皮擦法案”。该法案赋予加州境内的未成年人有权要求社交网站擦除自己曾经的上网痕迹和自己发布的信息[23]。澳大利亚的“被删除权”(Right to be deleted)[24]与被遗忘权的理念极为相似,即虽然数据的收集利用是合法的,但数据主体可以要求删除或不能识别,只是该数据限于数据主体自己上传的。日本地方法院也支持了某日本本国人要求日本谷歌公司删除若干链接的案件,因为这些信息暗示该日本人与某犯罪组织存在联络[25]。俄罗斯更是总统签署了被称之为“被遗忘权法”的第264号联邦法律,该法案已于2016年1月1日正式生效,如此,俄罗斯实体法上存在着民法典意义和信息法意义上的被遗忘权,程序法上存在着民事诉讼法典意义上的被遗忘权,三者明确分工,配合恰当,共同保障信息主体被遗忘权的实现。[26]可见,对被遗忘权的保护不仅在欧盟国家,还在其他很多国家得到认可,被遗忘权的法律实践趋势不断强化。
(二)我国被遗忘权立法的本土化资源
目前,我国立法上并未确立被遗忘权制度,但我国现行法律法规中存在大量有关个人信息保护方面的规定,这为被遗忘权本土化实践提供了有力的法律支持。统计表明,目前我国已经有包括《民法总则》《侵权责任法》《网络安全法》《关于加强网络信息保护的决定》《信息安全技术公共及商用服务信息系统个人信息保护指南》《电信和互联网用户个人信息保护规定》等100多部法律、行政法规、部门规章和规范性文件对个人信息保护作出规定。另外,司法解释中也有相关规定,如上文讨论的《最高院规定》中就有专门条款规定个人信息保护问题。
我国现行法律渊源中存在一些契合被遗忘权价值理念的法律规定。最高人民法院《关于公布失信被执行人名单信息的若干规定》《最高人民法院关于修改?最高人民法院关于公布失信被执行人名单信息的若干规定?的决定》规定了失信被执行人名单与失信期限制度。根据规定,失信被执行人被录入名单库后其相关个人信息会通过包括网络等各种方式公布于众。个人信息被公布后,失信被执行人社会评价会降低,其在生活和工作等各方面受到限制。但失信被执行人失信期限有限制,期间届满后,被执行人的相关失信信息应该被删除。根据上述司法解释规定,司法机关向社会公布失信被执行人个人信息的行为存在法律依据,其向网络传输失信被执行人信息属于合法上传。但失信被执行人失信期间是有期限的,在期限届满后,被执行人的相关个人信息应该被删除。该司法解释规定背后的理念在于,法律赋予了被执行人重新开始的机会,对其过去的失信行为予以谅解。《公司法》规定,不得担任的董事、监事、高级管理人员[27],在被判处刑罚、执行期满超过五年或破产清算完结之日起超过三年或者被吊销营业执照之日起超过三年后,重新具备担任公司董监高的资格。《公司法》该规定的理念在于,法律选择遗忘这部分董事、监事、高级管理人员的不堪往事,赋予其再次轻装上阵叱咤职场的权利。上述法律规定的内在理念恰好契合被遗忘权的精神要义。
被遗忘权本土化立法的实现,端之大义在于其能否契合我国立法实际,无缝衔接我国现行法律体系。综前所述,目前我国存在诸多有关个人信息保护的本土化法律规定,现行法律体系中有些法律制度设计的要义也与被遗忘权精神旨意相映成趣。因此,我国被遗忘权本土化立法可以说法治资源雄厚,已经具备良好的在地化法律基础。
五、我国被遗忘权确立的具体路径
被遗忘权作为一种新型的新兴民事权利,虽然是个人信息权的一部分,可以视为个人信息权的子权利,但其仍是一个具有相对独立内容的权利。
(一)民法保护路径
被遗忘权作为一种具体人格权,其本土化的立法进程受制于我国个人信息保护的法制进步程度。目前可行的做法:因《民法总则》已经施行,司法实践中可以对《民法总则》第111条有关个人信息保护的规定进行扩张解释,将被遗忘权所保护的利益纳入其中。当下我国的《民法分则人格权编》草案正在征求意见,其中第47条[28]实质上是规定了删除权和被遗忘权,第48条[29]是不得行使的例外情况,但没有区分且没有命名两个权利,都统一规定在了第六章“隐私权和个人信息权”之下,似乎是个人信息权的一个权能。笔者认为,被遗忘权的保护可以依赖于未来《个人信息保护法》和《民法分则人格权编》的出台。不论哪一部法律出台,都应当明确规定个人信息权,在其下以两个独立条款的方式分别规定删除权和被遗忘权。删除权条款分成两款规定,第一款是规定信息权利主体的知情权,第二款规定可以行使删除的情形和信息持有人如不及时删除应承担民事责任;紧跟其后的被遗忘权条款中,也分成两款,第一款是可以行使被遗忘权的情形,第二款是不得行使的例外情况,从而弥补欧盟立法混乱不清的弊端。
笔者设计的狭义删除权和被遗忘权条款是对《民法分则人格权编》草案第47和48条的修改,参考了我国的《信息安全技术公共及商用服务信息系统个人信息保护指南》《网络安全法》《个人信息法的立法建议稿》《最高院规定》以及欧盟GDPR的相关条款等。修改如下:第四十七条自然人可以向信息持有人依法或依照约定查阅、抄录或者复制其个人信息;发现信息有错误的,有权提出异议并要求及时采取更正等必要措施。
信息持有人有下列情形之一的,自然人有权要求其及时采取删除等必要措施,如其未及时采取必要措施,应承担相应的民事责任:
(一)存在非法收集、使用、提供、买卖信息的行为;
(二)持有侵害自然人合法权益的信息;
(三)自然人在有充分理由条件下,撤回了原本对于信息收集、处理的同意;
(四)自然人信息被直接用于营销目的;
(五)依据法律规定,某些个人信息的删除是信息持有人的法定义务;
(六)持有信息的储存期限依法或依照约定已经届满;
(七)信息持有人破产或解散时,无法继续完成承诺的自然人信息处理目的;
(八)为信息社会服务所提供的信息,如网购信息等;
(九)其他没有正当理由继续持有信息的情形。
第四十八条有下列情形之一的,自然人有权要求信息持有人及时采取断开链接、删除、限制、隐藏等必要措施:
(一)根据收集或者使用的特定目的,信息持有人持有信息已经没有必要;
(二)有关自然人不充分、不相关(或不再相关)、超出处理目的的信息。
但有下列情形之一的,自然人不得向信息持有人提出删除等请求:
(一)在自然人同意的范围内实施的行为;
(二)个人信息属于自然人自行公开的或者其他已合法公开的信息,但使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用的除外;
(三)为言论自由权和信息自由权的需要;
(四)信息持有人为履行国家法定义务,或为行使被赋予的公权力的;
(五)为了公共利益的存档目的、科学或历史研究目的或统计目的,在合理范围内合法实施的行为;
(六)为保障公共卫生目的而实施的必要行为;
(七)为了诉讼请求的提出、实施和防御而实施的必要行为;
(八)为维护公序良俗而实施的必要行为;
(九)法律、行政法规规定的其他适当情形。
此外,法律应当加强未成年人被遗忘权的特别保护。我国的未成年人网络保护法律法规都尚未出台,对未成年人的网络保护是不足不利的,正好借“人格权编”制订之机一并规定,未成年人被遗忘权立法问题亟待解决。
(二)行政法保护路径
《民法分则人格权编》《个人信息保护法》固然需要出台,但立法是个较漫长的过程,反而用行政保护的手段可以见效更快,并且为立法积累经验。而我国目前没有统一的个人信息保护机构,对个人信息的管控主体没有明确的公私机构的权限、职责划分,只能通过事后的救济环节去弥补信息的不当收集、处理、使用带来的损害。甚至可以预见配套设施的不完善,即便有法定化的删除权和被遗忘权,具体的执行情况依然堪忧,法律可能成为一纸空文。所以统一的数据保护机构的设立势在必行。数据保护机构在大数据时代,应采用新型监管模式——“四位一体”的共治监管模式,即大型网络服务提供平台(即数据控制者和处理者,如百度、淘宝网、微信、丁香网、携程网、今日头条等)、数据行业协会和社会监督协同数据保护机构对数据业进行监管。数据保护机构主要是制定法律法规、政策和标准,授权给大型网络服务提供平台,由其直接监管入驻平台的中小数据服务提供商的行为,构筑以信用监管为核心的新型行业监管,起到像欧盟那样良好的信息审查和监督机制的作用;大型网络服务提供平台与中小数据服务提供商相互选择和相互制约,对中小数据服务提供商通过网规网约实现直接的“软法之治”;数据行业协会通过代表大多数中小数据服务提供商利益,以行规行律对大型网络服务提供平台监督约束,但又助力其发展;社会监督可以大大降低数据行业治理成本,在互联网时代作用凸显。[30]信息主体除个人敏感信息隐蔽之外,在知悉个人信息的动态进程前提下,尽量能够同意其它个人信息的收集、处理和利用,从而促进数据服务产业的发展。
结语
“任甲玉诉百度案”是具有里程碑意义的我国被遗忘权第一案,对被遗忘权在我国的发展具有历史性影响。伴随着我国法治进程的不断向前推进,相信个人权益与公共利益的冲突会得到更加妥适地平衡,被遗忘权本土化的立法困境也会逐步得到缓解甚至克服。被遗忘权的一些新问题的研究也要提到日程上。譬如当信息主体发布在网络的信息被他人合法创作,创作者如果成为了删除数据的义务者,被遗忘权与表达自由凸显的冲突该如何平衡;还有当数据科学取得突破进展,数据与时间关系的研究能够得出可操作性规则时,对被遗忘权的规制又会生出什么新规则;当下研究都是关注网络中的个人信息的被遗忘权,而对于报纸、公告甚至档案等纸质媒介中的个人信息保护未能涉及,这也有待今后进一步关注和研究。被遗忘权要实现本土化,既可以规定在《民法分则人格权编》中,也可以依赖于《个人信息保护法》的制订实施。但需谨记的是被遗忘权制订和适用中应当保证的底线是尊重最基本的人格尊严与自由。
【注释】 基金项目:本文系作者主持的中国法学会自选课题《比较法视野下的数据删除权研究》(CLS?2017? D82)、山东省法学会自选课题《被遗忘权研究》(SLS?2017? C30)和2018年黑龙江大学研究生创新科研项目《大数据时代数据删除权研究》(YJSCX2018-005HLJU)的研究成果。
作者简介:薛丽(1974-),女,山东青岛人,黑龙江大学法学院博士研究生,临沂大学法学院副教授,研究方向:民商法、信息法。
[1]本文中数据没有特别说明与信息通用,数据主体也即信息主体。
[2]参见Commission Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Pro- cessing of Personal Data and on the Free Movement of Such Data (General Data Protection Regulation),COM(2012)11final (Jan.25,2012).(2012-01-26)[2018-01-15].http://ec.europa.euljustice/dataprotection/document/review20l2/com_2012_11_en.pdf.
[3]笔者认为“right to be forgotten and to erasure”英文翻译应该是“被遗忘和删除的权利”,而不是很多学者翻译的“被遗忘权和删除权”,因为前者意味着这是一个权利,而后者意指是两个并列的权利。
[4]参见Napoleon Xanthoulis. Conceptualising a Right to Oblivion in the Digital World: A Human Rights-Based Approach. Social Science Electronic Publishing, 2012.
[5]GDPR第17条第1款规定的其它五种情形分别是:(2)“信息主体撤回其同意,且该处理无其他法律基础”;(3)“当信息主体根据第21条第1项反对处理,且处理无优势性的法律基础,或者信息主体根据第21条第2项反对处理”;(4)“个人信息被非法处理”;(5)“个人信息根据信息控制人应遵守的欧盟或者其成员国的法律义务应当删除”;以及(6)“该个人信息基于第8条第1项规定的为社会服务所提供,经其监护人同意而处理儿童个人信息的”。
[6]参见满洪杰:《被遗忘权的解析与构建:作为网络时代信息价值纠偏机制的研究》,载《法制与社会发展》2018年第2期。
[7]默许同意意指信息主体明知其个人信息被收集利用而没有作出反对意思表示。正如高富平教授在其著作《个人数据保护和利用国际规则:源流与趋势》中阐述,不论是2012年修订版的《108公约》,还是OECD《指南》和GDPR,原则上,不侵犯个人隐私权的个人数据处理均是合法的。这些法律更强调个人数据处理的透明,强调控制者各种义务的履行,确保个人可以知晓其数据被处理的情形并在必要时拒绝处理。
[8]参见P. Korenhof et.al.,Timing the Right to Be Forgotten: A Study into “Time” as a Factor in Deciding about Retention or Erasure of Data, CP- DP 2014.
[9]参见齐爱民、李仪:《论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间》,载《法学论坛》2011年第3期。
[10]参见杨乐、曹建峰:《从欧盟“被遗忘权”看网络治理规则的选择》,载《北京邮电大学学报(社会科学版)》2016年第8期。
[11]参见黄晓宇:《全国首例“被遗忘权”案被驳》.http://www.xinhuanet.com/local/2016-05/05/c_128957843.htm.
[12]参见张建文、李倩:《被遗忘权的保护标准研究——以我国“被遗忘权第一案”为中心》,载《晋阳学刊》2016年第6期。
[13]参见郑晓剑:《比例原则在民法上的适用及展开》,载《中国法学》2016年第2期。
[14]第四项:自然人自行在网络上公开的信息或者其他已合法公开的个人信息;第五项:以合法渠道获取的个人信息。
[15]参见陈昶屹:《“被遗忘权”背后的法律博弈》,载《北京日报》2014年5月21日。
[16]尤晓岚:《“被遗忘权”能否进入民法典》.http://www.mzyfz.com/cms/benwangzhuanfang/xinwenzhongxin/zuixinbaodao/html/1040/2016-09-14/content-1220917.html.
[17]《左传宣公二年》。
[18]See Reinhard Zimmermann. The Law of Obligations: Roman Foundations of the Civilian Tradition London: Oxford University Press, 1996, p1050.
[19]参见高富平:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016年版,第2页。
[20]参见Robert Kirk Walker, The Right to be Forgotten, 64 Hastings L. J.2012, p257, p262.
[21]翟相娟:《论被遗忘权与言论自由之兼容与平衡》,载《华侨大学学报(哲学社会科学版)》2018年第3期。
[22]参见Article 29 Data Protection Working Party.(2014). Guidelines on the Implementation of the Court of Justice of the European Union Judg- ment on “Google Spain and Inc.v. Agencia Espa ola de Protectión de Datos(AEPD ) and Mario Costeja González” C-131/12,November26,2014,http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf.
[23]该法案目的是避免未成年人因年少无知或者缺乏网络防范意识,而在今后不得不面对留存在社交网站的上网痕迹所带给他们的困扰。
[24]参见A New Privacy Principle for Deletion of Personal Information, ALRC.http://www.alrc.gov.au/publications/15 new regulatory mechanisms/new privacy principle deletion personal, 2018年1月15日最后访问。
[25]参见Y. Kageyama, Japan Court Orders Google to Remove Search Results, Yahoo News.http://news.yahoo.com/Japan court orders google re- move search results 100248499 finance, 2018年3月15日最后访问。
[26]参见张建文:《俄罗斯被遗忘权立法的意图、架构与特点》,载《求是学刊》2016年第5期。
[27]一是因贪污、贿赂、侵占财产、挪用财产或者破坏社会主义市场经济秩序,被判处刑罚,执行期满未逾五年,或者因犯罪被剥夺政治权利,执行期满未逾五年;二是担任破产清算的公司、企业的董事或者厂长、经理,对该公司、企业的破产负有个人责任的,自该公司、企业 破产清算完结之日起未逾三年;三是担任因违法被吊销营业执照、责令关闭的公司、企业的法定代表人,并负有个人责任的,自该公司、企业被吊销营业执照之日起未逾三年。
[28]第47条:自然人可以向信息持有人依法查阅、抄录或者复制其个人信息;发现信息有错误的,有权提出异议并要求及时采取更正等必要措施。信息持有人有下列情形之一的,自然人有权要求其及时采取删除等必要措施:(一)存在非法收集、使用信息的行为;(二)持有侵害自然人合法权益的信息;(三)持有的信息储存期限依法已经届满;(四)根据收集或者使用的特定目的,信息持有人持有信息已经没有必要;(五)其他没有正当理由继续持有信息的情形。
[29]第48条:实施收集、使用、加工、传输、买卖、提供或者公开自然人个人信息等行为,有下列情形之一的,行为人不承担民事责任:(一)在自然人同意的范围内实施的行为;(二)个人信息属于自然人自行公开的或者其他已合法公开的信息,但使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用的除外;(三)学校、科研机构等为学术研究或者统计目的在合理范围内合法实施的行为;(四)为维护公序良俗而实施的必要行为;(五)法律、行政法规规定的其他适当情形。
[30]参见薛丽:《“互联网+旅游”背景下旅游业新型监管模式研究》,载《中国行政管理》2018年第3期。
【期刊名称】《法学论坛》【期刊年份】 2019年 【期号】2