被遗忘权:大数据时代下未被遗忘的权利
发布时间:2019-04-15
浙江苕溪律师事务所 倪卫星 陈虹
【内容摘要】在互联网飞速发展的大数据时代下,个人信息的保护变得尤为重要,完善个人信息保护立法也迫在眉睫,“被遗忘权”就是伴随着互联网的飞速发展,在大数据时代背景下产生的一种新型的民事权利。本文通过界定“被遗忘权”的概念及其法律属性,分析“被遗忘权”在实施过程中的现实困境,试图将“被遗忘权”上升为一种法律上的权利,并进一步作出立法上的规制,以期保护公民日益增长的个人信息保护权利需求,促进社会的文明与进步。
【关键词】被遗忘权 个人信息保护 互联网 大数据
2018年1月中国互联网络信息中心(CNNIC)发布第41次《中国互联网络发展状况统计报告》。报告显示,截至2017年12月,我国网民规模达7.72亿,互联网普及率为55.8%。在互联网飞速发展的大数据时代下,个人信息的保护变得尤为重要,完善个人信息保护立法也迫在眉睫,“被遗忘权”就是伴随着互联网的飞速发展,在大数据时代背景下产生的一种新型的民事权利。
1995年,欧洲议会和欧盟理事会通过了《欧盟数据保护指令》(以下简称《指令》),对个人信息的更正和修改作出了相应的规定。 2012年1月,欧盟委员会公布了《通用数据保护条例》草案( GDPR 草案),在GDPR 草案中提出了“被遗忘权”。2014年5月,欧洲法院依据《指令》对谷歌诉西班牙数据保护局及冈萨雷斯案作出裁定,在司法上确认了数据主体享有“被遗忘权”。2016年4月,欧洲议会和欧洲理事会正式通过《通用数据保护条例》(简称“GDPR”)并宣布试行,由此《指令》所承担的数据保护的任务由其替代。2018年5月28日,GDPR正式全面施行。经过这些年欧盟在立法及司法上的不断推进,最早在法国法中出现的“被遗忘权”已经广为人知,并引起了国际社会的广泛关注和热烈讨论。尽管中外学者对GDPR中“被遗忘权”仍存在不少争议,但不可否认, GDPR在立法上确认了“被遗忘权”,是对个人信息保护迈出的重要一步。
一、“被遗忘权”的概念
对于“被遗忘权”的概念,各国学者的观点不尽相同,我国目前虽尚未明确定义“被遗忘权”,但国内学者比较统一地参考了“GDPR”第17条第1款的内容来定义“被遗忘权”,认为被遗忘权又称为“删除权”,是指经信息主体要求,信息控制者需要删除与其有关的个人信息,使该个人信息无法被他人搜索和使用,除非保留该信息存在合法的事由。
“被遗忘权”作为大数据时代下的新兴权利,其属于人格权已经不存在争议,但其应该归入何处,国内学者对此尚有争议,莫衷一是。笔者查阅众多学者的文献资料后,认为将 “被遗忘权”纳入个人信息权较为恰当。个人信息权是指信息主体依法享有的对其个人信息进行支配并排除他人非法利用的权利。其权利内容中包括了信息删除权,而上述对于“被遗忘权”概念的界定就是“删除权”。从二者的范围来看,个人信息权的保护范围较“被遗忘权”要广泛。在权利行使上个人信息权也可涵盖“被遗忘权”。综上,个人信息权与“被遗忘权”这两者都是大数据时代下人们需要自主控制信息的渴求,笔者认为可以将“被遗忘权”纳入个人信息权。
二、“被遗忘权”的法律属性
为了充分厘清“被遗忘权”的内含与外延,界定其法律属性,发挥“被遗忘权”的作用,必须明确“被遗忘权”的主体、客体和权利内容。
(一)“被遗忘权”的权利主体
“被遗忘权”的权利主体是数据主体,即指可以由发布或存储于互联网上的信息或数据而识别的自然人。首先,数据主体仅限于自然人,法人与非法人组织并非“被遗忘权”的权利主体。其次,信息所指向的自然人身份必须可以准确识别。再次,公众人物因其社会地位的特殊性需要于普通公民区别对待。公众人物通过公开信息来提高知名度,并借此带来一些经济利益或其他特殊利益。考虑到利益平衡,他们的“被遗忘权”相较于普通人应受到一定的限制。笔者认为,只有当与公众人物相关的该信息是纯粹属于其私人的且不涉及社会公共利益的才能给予“被遗忘权”的保护。此外,当下因某个事件一夜成名变成公众人物的普通公民比比皆是。对于该等普通公民,如完全参照公众人物来处理其个人信息并不公平,因此,其除了不能享有该事件信息的“被遗忘权”,其他的个人信息保护应与普通公民相同。最后,对于未成年人保护应当与普通公民加以区别,我国在立法上都较注重对未成年人的特殊保护,在“被遗忘权”上也应加强对未成年人的保护,以消弭对其的不利影响。
(二)“被遗忘权”的义务主体
根据欧盟GDPR的规定,相关信息的控制者是“被遗忘权”的义务主体。上述信息控制者是能够对请求的信息进行处理的自然人、法人或其他组织,并且其有审查该请求是否符合“被遗忘权”适用范围的义务,对符合要求的个人信息其应当予以删除。搜索引擎运营商等能够直接接触到个人数据信息的主体均为被遗忘权的义务主体。 此外有学者建议区别对待国家机关和非国家机关两类主体,对此笔者认为值得注意。这两类主体在收集信息的目的和范围上都会有所不同,所承担的更正、删除义务也应存在差异,区分两类主体能够更有针对性地限制信息控制者的信息处理行为,从而保护权利主体的利益。
(三)“被遗忘权”的客体
在“被遗忘权”法律属性论述中,笔者认为将“被遗忘权”归入个人信息权中予以保护。这两者在客体上存在着一定差异。个人信息权之客体是个人数据,所谓个人数据是指“够识别自然人身份的信息”。其外延明确,何为个人数据一般人也能根据生活经验清晰地识别。再看“被遗忘权”的客体,首先其也是个人数据,但是此个人数据还需要满足以下几个条件:第一,该数据需要是已在网络上发布并能为一般人可见的。对于无人知晓的个人信息并不必被他人遗忘,故也不需要行使“被遗忘权”来保护。第二,该信息需要是“不恰当的”、“不相关的”“过时的”、“继续保留会导致权利人社会评价降低的”。前述的这些定语的内涵和外延比较模糊,明确其内涵和外延才能更好的确定“被遗忘权”的客体。笔者认为:在语言表述上不科学、不准确,会使人产生歧义的或混淆的即为“不恰当的”。不能对权利主体目前的情况进行准确描述即为“不相关的”。不再具有收集或者处理当时的价值即为“过时的”。事实上,“不恰当的”、“不相关的”、“过时的”之间并非泾渭分明,多数情况下会同时共同认定该信息是否适用“被遗忘权”。此外,笔者认为“继续保留会导致权利人社会评价降低的”这是“被遗忘权”客体都需要具备的。如果不具备该条件的信息,则对权利主体不会产生危害,没有予以特别保护的必要。因此,在实践中判断是否为合格的“被遗忘权”客体,需要将三者结合进行审查,准确鉴别出哪些信息真正需要被遗忘。
(四)“被遗忘权”的内容
被遗忘权的内容包括两个方面:权利主体(信息主体)享有的权利和义务主体(信息控制者)承担的义务。权利主体具体享有哪些信息的删除权,可以参考欧盟“GDPR”第17条的规定。权利主体预行使删除权,首先应当将该信息的链接、需要删除该信息的理由以及个人的联络方式等以书面方式告知信息控制者;与此同时,信息控制者作为义务主体,在收到该书面告知后,应先对该信息进行必要的审查,以防信息主体滥用“被遗忘权”。经审查后认为符合条件的信息应当尽快进行处理,以免损害扩大。
三、“被遗忘权”实施的现实困境
(一)“被遗忘权”与言论自由、新闻自由之间的冲突
言论自由和新闻自由无疑是实施“被遗忘权”最显著的障碍,这涉及权利的冲突、价值的判断与权利优先保护的问题。在重视言论自由和新闻自由的美国,“被遗忘权”就遭受到了众多学者的反对。此外,大数据时代下新闻自由有赖于信息自由流动,“被遗忘权”则恰恰是一种限制信息流动的权利。故欧盟在推行“被遗忘权”的同时,在《通用数据保护规则》第17条也对“被遗忘权”作了限制:为了行使表达自由和信息自由,可以排除“被遗忘权”的使用。笔者认为在此处可运用比例原则来权衡利弊。比例原则原本是行政法的重要原则,现在已经越来越多的开始运用于民法领域。欲判断行使言论自由或新闻自由发表的具体信息是否符合比例原则,先看行使言论自由或新闻自由时,其手段是否适用于目的地达成;如手段与目的相适应,则再看行使言论自由或新闻自由,对“被遗忘权”的侵害是否为最小;最后言论自由或新闻自由所保护的利益与“被遗忘权”牺牲的代价必须相称,二者在实现效果上必须成比例。对于不符合比例原则的言论自由或新闻自由,该信息主体就可以行使“被遗忘权”以保护自己的权益。
(二)“被遗忘权”与公众知情权之间的冲突
在美国,知情权是一个家喻户晓的概念。知情权是现代法律发达过程中出现的一个新概念,又称“知的权利”、“知悉权”或“了解权”,它作为一种权利主张的法学概念,是由美国的一位编辑肯特•库珀(Kent Copper)在1945年的一次讲演中首先提出来的。二战以后,美国最高法院通过判例逐渐确认了知情权,国会于1966年制定了《情报自由法》,规定公民有得到其应该知道的信息资料的权利。
公众知情权赋予人们知悉和获取信息的自由和权利,而“被遗忘权”则正好相反,赋予了权利主体删除个人信息的权利,显而易见两者之间是存在冲突的。“被遗忘权”的提出无疑会使信息大量减少,信息的减少无疑会减损公民的知情权,对于如今大数据时代公民对信息的依赖和需求而言,的确是相悖的。
如何协调这两者之间的冲突?笔者认为解决权利冲突的途径有二个:一种是立法,即以成文法的规则形式将“被遗忘权”和“知情权”规定下来,明确各自权利的要件及边界。成文法的抽象性、滞后性、不周延性决定了权利的疆界往往是不固定的,冲突的解决很难通过权利的初始配置来实现。这说明了权利范围的界定很难依赖成文法,只能诉诸于法官依据法理和情理来实现个案公正。因此另一种解决方法就显得尤为迫切——司法。当“独处的利益”与“关注和知晓的利益”发生冲突时,根据个案分析比较这两种法益:当前者利益较大时,优先保护个人信息权;当后者利益较大时,合理承认公众的知情权。从此种意义上来说,司法在解决权利冲突过程中发挥更为重要的作用。
从另外一个角度来看,现在互联网上的信息鱼龙混杂,有些无效信息也会鱼目混珠,而“被遗忘权”的过滤作用,使互联网上信息更加准确,公众知情权也可以更完美地实现。
(三)“被遗忘权”与历史数据记忆之间的冲突
历史的存在让我们可以总结过去,充实未来,以史为鉴,我们可以从中汲取经验教训,寻找灵感。有学者认为“被遗忘权”是在否定历史。现在我们谁都无从判断哪些信息将在未来发挥作用,如果任人随意删除信息,那人类社会就有可能失去重要的资产。对此笔者认为,“被遗忘权”删除信息的作用,只是使不必要的信息无法传播。俗话说“人非圣贤,孰能无过”,而在这样的大数据时代下,这些错误将被永久记忆,轻易的将努力重塑的形象摧毁,如此也不利于社会的安定。我们需要展望未来,但更应该活在当下,“被遗忘权”给予了获得宽恕和原谅的渠道,就让那些不必要的数据,消失在我们的视线中吧。
(四)“被遗忘权”实施的技术挑战
互联网系统是一个开放的信息系统,信息一旦上网,任何人都可以复制转载,将信息存储于电脑终端,想要完全删除所有的副本是根本不可能实现的任务。有心之人仍然可以通过后台数据或其他设备存储的数据来获取信息,典型的如香港“艳照门事件”的发酵与传播。如此,“被遗忘权”的实施存在以下几个方面的挑战:首先,在现有技术上无法做到彻底地被遗忘,故在实践中并无实效;其次,“被遗忘权”的实施还加重了谷歌等搜索引擎公司的义务和应承担的责任。作为一种上升到法律层面的权利,立法者应该考虑到义务主体在实施“被遗忘权”时投入的技术成本和人力资金成本。两相权衡,为一个“被遗忘权”是否真的值得投入巨大的社会成本;再次,义务主体为了降低执行成本,可能盲目地、随意地对信息进行删除,如此,对言论自由又是一种挑战。笔者认为信息不能做到被彻底删除等技术局限并不能成为否定“被遗忘权”的理由,也不能成为降低个人信息保护的借口。我们完全可以通过科学的立法严格界定“被遗忘权”的适用条件,通过借助司法解释的阐释,解决执行层面的问题。
四、“被遗忘权”的立法规制及启示
20世纪70年代美国公布的《公平信用报告法》和德国黑森邦1970年的资料保护法分别拉开了美、欧个人信息保护立法的序幕, 随后有二十多个国家相继完成了有关个人信息保护的立法。在1980年OECD通过《关于隐私保护和个人资料跨国流通指针》后, 欧洲议会、欧盟以及联合国等国际组织和地区组织先后出台了个人信息保护的公约、指令和指南, 这些国际文件将个人信息保护立法迅速推向了全球。
纵观我国目前的立法,并无“被遗忘权”的法律规定,与个人信息保护相关的法律规定也散见于不同的法律文本,司法实践较难掌握。但当今中国对个人信息保护已愈发重视,在学理研究和具体法律条文中,已可以发现“被遗忘权”的踪影。
早在2005年6月,齐爱民教授即在《河北法学》第23卷第6期中发表了《中华人民共和国个人信息保护法示范法草案学者建议稿》(以下简称《建议稿》)。《建议稿》第19条第2款规定了应当删除个人信息的情形,第3、4款规定了应当封锁个人信息的情形。该条在个人信息保护上具有前瞻性,值得学习。但该《建议稿》毕竟只是学者建议,虽具有参考价值,但却无法律效力,不具有实务操作性。
2009年12月26日通过的《中华人民共和国侵权责任法》第36条网络侵权责任的规定,明确网络用户、网络服务提供者利用网络侵权的,被侵权人可以要求删除信息。2014年10月10日起实施的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号),针对《侵权责任法》第36条的适用从司法实践层面作了规定。尽管此处的“删除权”只能针对侵权的信息,权利主体也被限于被侵权人,但该条的规定已经可以看到“被遗忘权”的痕迹了。
2012年12月28日第十一届全国人大常委会第三十次会议通过了《关于加强网络信息保护的决定》(以下简称《决定》),《决定》第八条对公民的删除权作出了概括性的规定。
国家质量监督检验检疫总局、国家标准化管理委员会2012年11月5日批准发布 ,2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)是我国首个个人信息保护国家标准,个人信息删除权在《指南》中已经有了比较系统、全面的规定。
2017年6月1日起正式施行《中华人民共和国网络安全法》第41条规定了网络运营者收集、使用个人信息需要征得被收集者同意,并且该条还规定了限制收集和使用个人信息的情形。第43条则明确赋予了公民删除权和更正权,等相关法律都对删除信息作出了规定虽然该条规定还是不够全面,但这已然是个人信息删除权在法律层级的明确规定。
由此可见,我国现有法律对个人信息删除权已经有了明确的规制,但是上述规定还不是很全面,尚未形成完整的法律体系,将个人信息删除权像隐私权那样上升为民事基本权利——被遗忘权还为时尚早,还需在学理上作进一步研究,在实践中继续探索。
笔者认为:从个人信息权利主体的角度而言,如发现存在以下情形的个人信息的,利害关系人有权要求网络运营者删除:1.网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的;2.收集、存储的其个人信息有错误的;3.网络用户、网络服务提供者利用网络侵害其合法权益的;4.受到商业性电子信息侵扰的;5.个人信息主体有正当理由要求删除其个人信息的;6.个人信息义务主体已达到收集信息使用目的的;7.已超出个人信息收集留存期限的。
从网络运营者的角度而言,下列信息应当主动予以删除:1.侵害他人合法权益的;2.侵害社会公共利益,有违公序良俗的;3.应执法部门的要求,必须予以删除的;4.个人信息权利主体要求删除,且根据个人性质该信息不是不宜删除的,但删除该信息将导致侵害言论自由、新闻自由、公众知情权的除外;5.个人信息义务主体已完成工作职责,无继续储存该个人信息的必要的。除此之外,尚有一些信息应当予以删除但又不宜删除的,可以采用封锁的手段予以处理:1.信息主体对个人信息的正确性有争议,且无法确认其正确与否的;2.删除个人信息可能会影响执法机构调查取证的;3.其他个人信息义务主体认为不宜删除的。
个人信息保护立法之要旨,关乎自然人人格利益的保护,关乎社会的文明进步,但更深层次的价值在于个人信息作为信息社会的一种重要的经济资源,对国内国际贸易来说具有重要的战略意义。因此,个人信息保护立法的另一要旨是规范个人信息的商业利用, 尤其是国际贸易中个人信息的跨国流通。在高速发展的互联网及大数据时代,网络虚拟空间中将会留存大量的个人信息,故建立网络个人信息的退出机制已经变得日益重要。“被遗忘权”的确立就是该退出机制的根本所在,可以让人类的记忆模式回归遗忘的常态。上述的这些规范可以成为我国确立“被遗忘权”的依据和参考。
“被遗忘权”作为一项新型的权利,其理论和立法都还不够成熟。但我们可以借鉴“被遗忘权”,逐步完善符合我国法律体系的相关立法,为个人信息提供更全面的保护。