被遺忘權的概念分析

鄭遠民，李志春

(湖南師范大學法學院，湖南長沙410006)

2014年6月26日，谷歌開始根據歐盟法院的裁定而在搜索結果中刪除一些特定內容，以符合“被遺忘權”新規:個人有權請求刪除指向“不適當、無關或不再相關的”個人數據的搜索結果，即便信息是被合法公布的。從此，在谷歌上搜索一個名字時，結果頁面會包含以下聲明:“根據歐洲數據保護法，一些結果可能已被刪除”。這是法律上第一次對隱私和尊嚴與版權等其它方面一視同仁。[1]在歐洲，每天有2.5億人使用互聯網，但75%的用戶希望刪除個人信息，24%的用戶認為當其停止使用網站時應該刪除個人信息。顯然，歐洲大多數網民都主張擁有被遺忘權。[2]截至2014年10月，谷歌已經收到144907條要求被遺忘的申請，要求評估近5億條鏈接;谷歌已經刪除了其中41.8%的信息。[3]那么到底何為被遺忘權?其適用的范圍為何?本文擬就此問題進行探討。

一、西方學者的定義

在歐洲，被遺忘權最早源于法國法中的“le droit à l’oubli”，但英文也有不同的表述，如“right to forget”“right to be forgotten”“right to forget/be forgotten”“right to delete”“right to oblivion”。意大利稱為“dirito a l＇oblio”[4]。Flaherty在1989年首次提到數字世界中與隱私數據有關的被遺忘權，被認為是有關被遺忘權的最早學術文獻記載。但第一次提到何謂被遺忘權是在有關釋囚權利的案件中，一般是指在某種情形下刪除其過去犯罪記錄的權利或者在某種特定條件下要求第三方不公開其過去不幸事件細節的權利。[5]

關于遺忘權/被遺忘權，有學者不作網上(數字)與網下(非數字)、傳統和現代的區分，認為其是指對過往生活中不再發生的事件保持沉默的權利。[6]遺忘權指有過犯罪記錄的人在其刑期執行完畢之后，有權利要求他人不公開自己的犯罪記錄，讓自己的名譽免于犯罪記錄公開的損害。[7]它有可能在下列三種情形之一下展開:(1)“我有權刪除在公共領域共享的任何內容。”(2)“我有權要求轉發我共享信息的人刪除它。”(3)“如果任何人未經我允許共享與我有關的任何內容，我有權刪除它。”

但大多數學者認為其應該是數字被遺忘權，而且可分為一元說、兩層含義說和三層含義說。一元說主張被遺忘權即數字刪除權。如Werro等認為，被遺忘權是個人享有的控制和刪除個人自己留在網上信息的權利。[8]兩層含義說認為，被遺忘權一是指歷史上的遺忘權(droit a l’oubli)，即有過犯罪記錄的人在其刑期執行完畢之后，有權利要求他人不公開自己的犯罪記錄;二是指刪除權，即數據主體享有的刪除自己被動泄漏的信息的權利。[9]但Koops認為數字被遺忘權包括三層含義:最主要的含義是指一種要求他人及時刪除關涉自己信息的權利;其二，是指一種向社會主張“清白歷史(clean slate)”的請求，即過時的負面信息不應該被用來針對請求人;其三，是指一種不受限制地表達而不用擔心后果的個人權益。這三種含義之間并非相互排斥。[10]229，236，254

也有學者將遺忘權和被遺忘權區分開來加以定義。如日本的K.Murata和Y.Orito認為遺忘權是指個人有免受被迫記憶那些他/她決不愿記起之事的權利;被遺忘權是指個人享有免受任何利用他/她的信息，給他/她造成有害影響的權利。當然，遺忘權/被遺忘權不應該是一種絕對權;決不能接受遺忘的濫用;其有時還可能與網絡言論自由權和公眾知情權相沖突。就這一點而言，該權利的定義必須謹慎，不至于給社會造成傷害。[11]192而Koops認為，遺忘權似乎是站在個人或用戶的角度考慮，認為某人不得不面對自身的過去，而這對其至關重要。在這種情形下，為保護其這一利益，就有必要引入:(1)允許個人“控制過去”的權利。例如，對其不希望想起的某些過去之事予以刪除(積極的遺忘權);(2)第三方有義務不使用/提醒個人希望忘記之事或信息(消極的遺忘權)。另一方面，被遺忘權似乎站在第三方的立場，要求其采取措施，從而能遺忘或不涉及個人過去的某些方面。這是一項消極的權利或者說是“一項不要記住個人過去的義務”[10]229。

可見，遺忘作為一個傘狀概念，能夠涵蓋“遺忘/被遺忘權”的內容，以至于Xanthoulis認為“被忘卻(Oblivion)”似乎是一個更為合適的概念，而主張“忘卻權(right to oblivion)”。其理由是:從歷史淵源看，其可代表20世紀70年代底法國的“le droit à l’oublie”概念;它可囊括前述遺忘權和被遺忘權的概念;它沒有從一開始就限定概念的范圍，因此可以與其未來的潛在發展相適應。[12]87但西方也有學者反對將遺忘/被遺忘權利化的觀點，主張其本質上不過是一種行為美德[13]235、政策目標或利益[10]231。例如，Mayes認為，“我們不可能真正遺忘。將遺忘上升為權利是權利的退化。被遺忘權僅是我們頭腦中的臆造之物。被遺忘權意味著對社會的徹底退出，在其糟糕的偽裝下，可能是反社會的、虛無主義的行為。其如果被實施，將意味著我們在這世界上行為權利的被閹割。”[14]

二、中國學者的定義

在中國，關于被遺忘權的討論，基本上圍繞歐盟2012年的《一般數據保護條例》(以下簡稱GDPR)展開。因此，大多數學者有關被遺忘權的定義基本與 GDPR 的規定相同。如伍艷[15]4、邵國松[16]104、彭支援[17]36－40、何治樂及黃道麗[18]172等都認為，被遺忘權又稱刪除權，指數據主體有權要求數據控制者永久刪除有關數據主體的個人數據，除非數據的保留有合法的理由。其權利主體就是數據主體，包括一切在互聯網上存儲數據的個人;義務主體是控制者，指獲得個人信息并且對之進行收集與使用的企業或機構等;其客體就是與數據主體有關的任何信息;但其不能踐踏言論自由和損害公共利益等。

有的學者則認為被遺忘權僅僅是“數字遺忘權”，簡言之，它是一個人應該擁有的被網絡和數字媒介遺忘的權利。具體來說，即個人可以依法要求從網絡上刪除有關本人的某些行為和言論記錄，而不應該事無巨細地被永遠“網”住。[19]1其為較現代但也較為狹義的被遺忘權。

有的學者往往將被遺忘權與隱私聯系，認為其是隱私權在網絡信息時代的新發展。如王東賓認為，“被遺忘權”賦予個人要求社會組織恰當使用或刪除個人數據的權利，體現的是個人(信息主體)對于個人信息和隱私的主導權和控制權。[20]“被遺忘權”是“隱私自主權”或“個人信息自主權”的分支，大致的含義是個人信息的擁有主體基于隱私自主而擁有向個人信息收集者、發布者、索引者等隨時要求刪除遺留在信息網絡當中的各種有關個人的數字痕跡，從而使其被其他人“忘記”的權利。[21]可見其范圍更窄。

但也有學者認為應將數字遺忘權作廣義與狹義之分。狹義的數字遺忘權僅指數字或互聯網時代的遺忘權，是數據主體享有的要求數據控制者刪除關涉自己的個人信息，以防止其進一步傳播的權利。狹義的數字遺忘權等同于刪除權，是為了應對計算機與信息技術發展所帶來的互聯網記住了所有人的所有數字信息，遺忘變得不可能，從而可能會損害個人信息、隱私與尊嚴的后果而產生的一種權利。廣義的數字遺忘權則包括傳統的遺忘權和狹義的數字遺忘權。[22]58

綜上可知，中國學者從廣義—狹義—最狹義三個層次來對被遺忘權進行定義。最狹義的被遺忘權是指與自然人的隱私有關的個人數據的被遺忘的權利;狹義的被遺忘權則指與自然人有關的一切數據，不管是否關涉隱私，都有被遺忘的權利;而廣義的被遺忘權包括傳統和狹義的數字遺忘權。其共同點是都將被遺忘權理解為刪除權。但通過分析中外學者的論述可知，“被遺忘權”或者“遺忘權”或“刪除權”這些術語，即同名而異義，易引起歧義;但其也構成同名同義，因為許多作者交替使用上述術語。這些術語似乎都涉及遺忘或被遺忘的概念;即使是“刪除權”這一術語，也限定為對數據的刪除，暗指信息刪除，而這些信息最終會被遺忘。[12]86－87

三、立法上的被遺忘權

在立法上，GDPR第17條出臺前，被遺忘權就獲得了承認。為此，萊斯格還提出了對被遺忘權進行規范的四種因素:規范、市場、編碼和法律。[23]就法律言，《歐盟1995年數據保護指令》在一定程度上已能滿足其被遺忘權的需要;其規定盡管不是很詳細，但通過適當原則和數據主體權利兩個機制可以產生相似的效果。指令第6條(e)規定，除基于歷史的、統計或科學使用目的外，各成員國應規定個人數據應以某種形式被存儲，該存儲形式所允許的數據主體身份鑒定時間不得長于為實現數據收集或進一步處理數據之目的所必需的時間;而指令第6條(d)規定，“考慮到收集或者隨后處理個人數據的目的，必須采取一切合理的措施以確保那些不準確或不完整的數據被刪除或者予以更正。”學者認為其實際上創設了一個消極的被遺忘權，即數據控制者對數據的保留如果不再備有正當理由，那么數據主體就有權要求其刪除這些數據。但這種消極的被遺忘權的重要性不應被過高估計，其實際上也很少被執行，因為個人數據的控制者可以游走于正當和非正當的邊緣。例如，社交網站認為其無限期保留用戶數據是為了網絡活動的正當需要，具有正當理由。在《歐盟1995年數據保護指令》第12條規定的數據主體的數據獲取權利體系中，數據主體有從數據控制者處獲得對數據作出適當的修改、刪除或者限制的權利，特別是當數據的不完整或不準確導致該數據的處理不符合指令的規定時。但這一理論的規定在現實中不大可能，特別是在數據主體同意某一目的的數據處理時，因為數據控制者可以以數據仍準確、與同意的目的相關或在保留的合理范圍內為理由進行辯護。在這種情形下，數據主體不可能依靠指令規定的刪除權獲得救濟。[24]10

對被遺忘權作出明確規定的是2012年1月25日歐盟委員會在布魯塞爾公布的GDPR第17條[25]。該條共9款，使用的是“被遺忘和刪除權(Right to be forgotten and to erasure)”的概念;具體規定了被遺忘和刪除權的適用條件、具體例外情形、用限制數據處理替代數據刪除的事由以及如何具體執行等問題。根據第17條第1款規定，所謂被遺忘和刪除權，是指數據主體從控制者處獲得的刪除與其有關的個人數據和避免這些個人數據進一步傳播的權利，特別是當數據主體是兒童時。有如下理由之一，數據主體即可行使該權利:(1)就數據收集或者其它處理目的而言，該數據不再必要;(2)數據主體根據第6條1款第1項規定，撤銷數據處理的同意，或者當同意的存儲期限屆滿時，數據處理又沒有其它合法依據;(3)根據第19條規定，數據主體反對處理其個人數據;(4)數據處理未遵守GDPR的其他情形。第17條第2款規定，已經公開了該個人數據的數據控制者應采取一切合理的措施，包括技術性的手段，通知正在處理這些數據的第三方，數據主體要求其刪除關于這些數據的任何鏈接、副本或復制。如果第三方當初公開個人數據是得到數據控制者授權的話，則控制者需對該數據的公開負責。同時，數據控制者應確立和執行時限機制，以確保及時刪除個人數據和/或定期審查數據存儲的必要性。如果數據被刪除，則數據控制者對該個人數據不得再進行處理。

但GDPR第17條第3款規定，基于表達(言論)自由、公共健康領域公共利益、歷史的、統計的和科學研究的目的，遵守控制者應服從的歐盟或成員國法律規定的個人數據保留的法定義務及第4款所提及的情形，數據控制者可保留個人數據。這明確了被遺忘和刪除權行使的例外。第17條第4款規定了數據控制者可用限制個人數據處理替代刪除的情形:數據主體對數據的準確性有異議，需要一定期限供數據控制者證明數據的準確性;數據控制者不再需要個人數據以完成特定任務，但作為證據必須予以保留;數據處理不合法，但數據主體反對刪除，要求以限制數據使用作為替代。第18條第2款規定，數據主體要求將個人數據傳遞給另一個自動處理系統;第4款涉及的個人數據，除存儲外，僅能出于證據目的或經數據主體的同意，或出于保護另一自然人或法人的權利，或出于公共利益的目的進行處理;并且，數據控制者在解除對個人數據處理的限制之前，應通知數據主體。第17條第9款明確規定，歐盟委員會可授權各成員國通過立法明確被遺忘和刪除權行使的具體部門、具體情形、條件以及個人數據替代性處理的具體限制標準、條件。第79條第5款則規定了侵犯被遺忘權所應承擔的行政責任，即監管機構可對數據控制者課以最高50萬歐元的處罰;如果數據控制者是企業，則可處以其全球年營業額1%的罰款。[25]79

四、被遺忘權涵義的理解

其實，被遺忘權與droitàl’oubli這一權利并不完全一致。從根本上說，前者屬于《歐盟基本權利憲章》第7條規定的個人基本隱私權的一部分;后者則屬于《歐盟基本權利憲章》第8條規定的個人數據保護的一個方面，是對歐盟憲章第8條第2款關于“人人均有權了解其個人信息，并有權要求銷毀其個人信息”規定的具體化。被遺忘權從根本上涉及通過個人數據的適當控制機制，建立和維持信息隱私的合理水平。其次，二者的側重點不同:droitàl’oubli傾向于防止報紙、新聞廣播、廣播劇等主流媒體對進入公眾視線的個人私生活的過度侵犯，但被遺忘權沒有這樣的傳統和內涵。即使缺乏主流媒體的針對性安排和關注，個人輕率或不適當地將圖像、視頻或陳述發布于公網上，也可能會遭致長時間的受害。潛在的被遺忘權似乎更適合于對這類及其他問題的處理。就其本身而論，被遺忘權是寬泛意義上的歐盟數據保護法律框架的一部分，具體目的是便于國民對其個人數據的有用性和使用實施更高程度的控制。[24]5

同時，在GDPR中，被遺忘權和刪除權也是兩個不同的概念。盡管GDPR沒有提供一個清楚或描述性的被遺忘權的定義[5]15，但歐盟有關書信中提到在線環境下的被遺忘權，是指個人撤銷同意并沒有保留數據的法律依據時有權要求刪除其數據。如采納這種解釋，那么被遺忘權與刪除權則為同義反復，構成亞里士多德所說的同名同義。從語法上來說，被遺忘和刪除既然同義反復，則只保留一個即可。而GDPR第54條認為，被遺忘權僅是刪除權的延伸。其實際的規定是:“為加強在線環境中的被遺忘權，刪除權也應以這種方式擴展，已公開個人數據的控制者有義務告知第三方……”然而，如果我們閱讀GDPR的備忘錄，歐盟所說的刪除權的延伸似乎僅是第17條中被遺忘權的適用條件之一。“第17條……規定，被遺忘權的適用條件包括已公開個人數據的數據控制者通知第三方要求其刪除關于這些數據的任何鏈接、副本或復制的義務。”毫無疑問，如果我們采信這一觀點來思考刪除權條款的其他規定，那就可以合理回答“被遺忘權適用的其他條件是哪些?其應該在第17條的規定中嗎”等問題其實真正創設被遺忘權的是第17條第1款第2項的規定，即數據主體撤銷了數據處理的同意，或者原同意的存儲期限已過又沒有其它合法依據這兩種情形，才是被遺忘權行使的條件。[24]13因為在現實中，基于同意的數據處理經常未給數據主體提供真正的選擇，甚至對數據主體加以控制。所以GDPR降低了同意的重要性，明確了允許數據主體撤回其同意的情形，便于數據主體行使被遺忘權。

GDPR第17條第2款更進一步規定，當數據控制者將個人數據予以公開(例如在網上發布)，或者公開被授權給第三方時，可以實施被遺忘權。在第一種情形下，原數據控制者僅需要采取一切合理步驟告知第三方，數據主體要求其刪除數據;而在第二種情形下，原數據控制者不管怎樣都要擔責。其對經第三方鏈接、復制和副本的刪除問題雖有涉及，但規定較為簡單模糊。實踐中這種情況比較普遍，如甲在自己的網易微博上傳了自身的照片，而其他微博用戶將甲的照片轉發到了自己的微博上，現在甲是否有權要求網易刪除和網易是否有權直接刪除在其他微博用戶上轉發的甲的照片?如果第三方公開是經數據控制者授權的，則無論如何控制者都應負責，這里的負責到底是一種義務還是一種責任并不明確。因此，首先應明確當數據主體要求刪除經第三方鏈接、復制和副本時，數據控制者有兩項具體義務:一是及時通知第三方數據主體要求其刪除數據;二是通過技術手段刪除由第三方直接控制的數據。其次，明確數據控制者承擔通知和/或刪除義務的限制條件，即明確以數據控制者履行的技術可行和成本合理為限。

五、結論及對中國的啟示

在大數據時代，被遺忘權對不可預見的隱私問題具有安全閥的作用，我們要記得遺忘的美德，不管學者將其分為早期(傳統)與現代(數字)、廣義和狹義還是主動(積極)和被動(消極)的被遺忘權。GDPR盡管將被遺忘權和刪除權規定在同一法條下，但二者的適用范圍和條件還是有所區別的。對被遺忘權的例外條款，歐盟各國將如何適用，目前還不十分清楚。但歐盟法院對西班牙公民以被遺忘權起訴谷歌，要求刪除與其有關信息的判決，就被遺忘權范圍的確定言，極具指導意義。

中國目前有近40部法律、30余部法規以及近200部規章涉及個人信息保護，但基本都未涉及被遺忘權。2013年的《信息安全技術、公共及商用服務信息系統個人信息保護指南》明確了信息主體的禁止權，與歐盟被遺忘權最為接近，但其法律效力值得考量。中國《個人信息保護法示范法草案(學者建議稿)》對個人數據的刪除問題作了規定，但較為簡單。我們可參照GDPR關于被遺忘和刪除權的規定，以明確行使數據刪除權的條件、例外，以及經第三方鏈接、復制和副本的刪除、舉證責任和處罰等問題;更要通過完善立法，明確數據保護與言論自由、經濟發展、科研歷史、公共安全等之間的價值沖突。另外，被遺忘權的數據主體是否可以參照奧地利、意大利、盧森堡等國將其由自然人擴展到法人，也值得我們進一步研究。

[1]羅伯特·庫克森理查德德·沃特斯.谷歌開始執行“被遺忘權”新規[N].英國金融時報2014－06－27(2).

[2]Attitudes on Data Protection and Electronic Identity in the European Union[EB/OL].(2011－06－16)[2014－10－15].http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[3]Lance Whitney .Google hit by more than 144，000‘right to be forgotten’requests[EB/OL].(2014－10－10)[2014－10－20].http://www.cnet.com/news/google－hit－by－more－than－144000－right－to－be－forgotten－request.

[4]Conley C.The Right to Delete[C]∥Staddon.AAAI Spring Symposium:Intelligent Information Privacy Management，2010.

[5]Xanthoulis N.Conceptualising a Right to Oblivion in the Digital World:A Human Rights－ Based Approach[J].Available at SSRN 2064503，2012.

[6]Bernal，P.A.A Right to Delete?[J].European Journal of Law and Technology，2011(2).

[7]Robert Kirk Walker.The Right to Be Forgotten[J].Hastings Law Journal，2012(64):7.

[8]Franz Werro.The right to inform v.the right to be forgotten:A transatlantic clash[EB/OL].(2009－05－10)[2014－10－20].http://ssrn.com/abstract=1401357.

[9]Ambrose M，Ausloos J.The right to be forgotten across the pond[J].Journal of Information Policy，2013(3):1－23.

[10]Koops B J.Forgetting footprints，shunning shadows:A critical analysis of the‘right to be forgotten’in big data practice[J].SCRIPTed，2011(3).

[11]Murata K，Orito Y.The right to forget/be forgotten[J].CEPE:Crossing Boundaries，2011.

[12]Xanthoulis N.The Right to Oblivion in the Information Age:A Human－Rights Based Approach[J].US－China Law Review，2013(1):84.

[13]維克托·邁耶－肖恩伯格.刪除——數字時代里遺忘的美德[M].袁杰，譯.杭州:浙江人民出版社，2013:235.

[14]Mayes T.We have no right to be forgotten online[J].The Guardian，2011(18).

[15]伍艷.論網絡信息時代的“被遺忘權”——以歐盟個人數據保護改革為視角[J].圖書館理論與實踐，2013(11).

[16]邵國松.“被遺忘的權利”:個人信息保護的新問題及對策[J].南京社會科學，2013(2).

[17]彭支援.被遺忘權初探[J].中北大學學報:社會科學版，2014(1):36－40.

[18]何治樂，黃道麗.大數據環境下我國被遺忘權之立法構建——歐盟《一般數據保護條例》被遺忘權之借鑒[J].網絡安全技術與應用，2014(5).

[19]廖先旺.網絡時代應有“遺忘權”[J].新聞世界，2009(12).

[20]王東賓.信息社會，個人隱私保護任重道遠[J].社會觀察，2013(2).

[21]陳昶屹.“被遺忘權”背后的法律博弈[N].北京日報，2014－5－21(14).

[22]鄭文明.互聯網時代的“數字遺忘權”[J].新聞界，2014(3).

[23]勞倫斯·萊斯格著.代碼2.0:網絡空間中的法律[M].李旭，沈偉偉，譯.北京:清華大學出版社，2009.

[24]Graux H，Ausloos J，Valcke P.The Right to Be Forgotten in the Internet Era[J].ICRI Working Paper，2012(11).

[25]General Data Protection Regulation，COM(2012)11 final[EB/OL].(2012－01－25)[2014－10－20].http://ec.europa.eu/justice/data－protection/document/review2012/com_2012_11_en.pdf.