摘要: 随着互联网技术的飞速发展,个人信息的安全问题日益凸显,个人信息的泄露、被黑客攻击、滥用等风险对个人和社会都构成潜在威胁。我国《个人信息保护法》中第47条规定了删除权,这一规定有效的保护了个人隐私与信息安全,加强了信息主体对个人信息的控制。但删除权与被遗忘权之间的关系在学术界一直存在争议,本文试图通过分析删除权与被遗忘权的发展历程,进而分辨两者之间存在的区别。
Abstract:
With the rapid development of Internet technology, the security of personal information has become increasingly prominent, and the risks of personal information leakage, hacking, and misuse pose potential threats to both individuals and society. Article 47 of China’s Personal Information Protection Law provides for the right to erasure, a provision that effectively protects personal privacy and information security and strengthens the control of personal information by the subject of the information. However, the relationship between the right to erasure and the right to be forgotten has been controversial in the academic circles, this paper attempts to analyze the development history of the right to erasure and the right to be forgotten, and then distinguish the differences between the two.
1. 引言
随着互联网技术的迅猛发展,社会悄然进入了万物互联的时代。人们的各种信息以数字化的形式储存在互联网中,通过数字代码的组合一个数字人就出现在人们的面前,这个数字人包含了现实中人的过去、现在,甚至有关于对未来生活的预测。互联网的存在打破了人们的遗忘本性,演变成一种“遗忘变成了例外,而记忆却成为了常态。” [1] 的状态,人们过去发生的一点一滴都在互联网中有迹可循。人们的信息不断被滥用、侵犯,无形中个人信息的收集与使用成为常态,个人信息的私人属性明显减弱 [2] 。为了加强对个人信息的保护,规范对个人信息的处理行为,促进对个人信息的合理利用,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)应运而生。《个人信息保护法》对个人信息的储存、加工、传输、删除等做出了全面的规定。其中《个人信息保护法》第47条对删除权进行了相应的规定,删除权作为首次出现在我国立法中的一项权利,其概念界定、适用情形等在学术界与实务界饱受争议,本文通过探讨删除权与遗忘权的关系来尝试界定删除权的涵义,进而找出我国立法选择删除权的原因。
2. 个人信息删除权与被遗忘权
2.1. 国外被遗忘权的发展历程
被遗忘权最早起源于1995年的《关于在个人数据处理中对个人的保护以及此类数据自由流动的指令》,其中第12条对此项权利有所提及,该条规定:“当数据不以指令所规定的相关方式进行处理时,数据主体有权查阅其个人数据以及修改、删除或者关闭其个人数据。” [3] 但是该条规定中并没有直接提及被遗忘权,而是通过删除、修改、关闭这三个词汇描述了数据主体的这项权利。2009年,舍恩伯格提出了被遗忘权的概念。2010年,“被遗忘权”议案在欧盟议会上的提出,推动了相关立法进程 [4] 。2012年,在欧盟《通用数据保护条例(草案)》(简称GDPR)中,第17条明确规定了“删除权和被遗忘权”,2014年,欧盟议会对该条例进行修订,将“删除权和被遗忘权”修改为“删除权” [5] 。在《通用数据保护条例》中,虽然权利的名称更改为删除权,但是被遗忘权的相关内容仍然包含在其中。2014年“冈萨雷斯案”的出现是欧盟正式确立被遗忘权的标志。冈萨雷斯案的判决使得被遗忘权的边界更加清晰。首先,并不是信息主体的所有个人信息都需要被遗忘或者删除,而是针对那些变得不准确、不相关、超越处理目的的信息。其次,还应当对信息处理时所涉及到的利益进行综合考虑,正常情况下,信息主体的权益优于普通公众的知情权,但是当涉及公众人物或者公众利益时应当进行权衡分析。最后,被遗忘权的行使并不是针对任何人,被遗忘权的义务主体有所限制,比如新闻网站基于新闻自由原则所发布的合法新闻是可以保留的。2016年,欧盟议会及其委员会正式通过《通用数据保护条例》,标志着被遗忘权正式通过立法的形式确立下来。
美国相比于欧盟系统的规定,其对于被遗忘权的相关规定比较少且较分散。2012年的《消费者隐私权利法案》、2015年的“橡皮擦法案”等,美国相关法律对被遗忘权规定较少的主要原因在于美国更加重视言论自由。在美国,除了特殊情况以外,隐私等利益不能优于言论自由,因此被遗忘权的设立在欧盟看来是数据保护的自然延伸,而在美国看来是对言论自由的威胁 [6] 。
日本在法律上没有专门条款明确规定被遗忘权,在2023年新修订的《个人信息保护法》中,第22条规定,当个人信息处理者不再需要使用个人数据时,应努力及时消除个人数据。第34条规定,如果可识别的保存的个人数据内容不实的,本人可以向个人信息处理者请求其更正、增加或者删除其保存的个人数据内容。对于个人信息的保护主要是通过信息处理者的义务和信息主体的权利两个方面来进行规定。
2.2. 我国的个人信息删除权
自2012年欧盟《通用数据保护条例(草案)》出台后,我国对于删除权(或者被遗忘权)的讨论热度居高不下。在《个人信息保护法》出台以前,虽然没有正式将删除权以法条的形式确定下来,但是我国的其他法律对于该权利均有所提及。2012年,全国人大常委会在关于加强网络信息保护的决定第八条中,规定公民发现侵害其合法权益的相关信息,有权要求网络服务提供者对此予以删除。2013年国家标准化指导性技术文件《信息安全技术公共及商用服务信息系统个人信息保护指南》开始实施,该指南规定,在存在合理理由时,个人有权要求删除相关信息。该指南的不足之处在于,他并没有规定什么是合理的理由,或者在什么条件下个人可以要求删除他们的个人信息,这将导致权利行使的不确定性。《征信业管理条例》第16条规定了征信业机构对相关信息的删除义务。2015年出现的“任甲玉诉百度案”再次将对被遗忘权的讨论推向新的高度,该案是我国第一个涉及被遗忘权的案件。2014年,任甲玉在无锡陶氏生物科技有限公司从事有关的教育工作,在解除劳动关系之后,其发现在百度网站上仍存在有关其合作的相关信息。任甲玉认为由于陶氏公司在业内的口碑不好,百度网站上存在的“无锡陶氏教育任甲玉”等称号将影响自己的工作与生活,该类信息应该被遗忘,故原告多次发邮件给被告要求删除相关内容,但是被告并没有采取相应的措施,随之原告将被告诉至法院。法院终审判决认为,我国现行有效的法律中并没有规定“被遗忘权”,同时法院认为原告在陶氏公司的工作经历属于近期的真实经历,并且原告现在仍从事教育工作,该段工作经历是客户或者学生对任甲玉的重要判断依据。任甲玉作为一个完全民事行为能力人,其与陶氏教育的合作不属于法理上对特殊群体予以照顾的范围。故法院驳回了任甲玉的诉讼请求1。2016年,《中华人民共和国网络安全法》第48条,规定了在违反特定条件下网络运营者的删除义务。2019年,《儿童个人信息网络保护规定》第20条规定了网络运营者对涉及儿童个人信息的删除义务。
2021年《中华人民共和国民法典》开始实施,其中第1073条对自然人请求信息处理者及时删除其个人信息的情形加以规定,第1195条规定了权利人请求网络服务提供者采取删除措施的情形。民法典规定的不足之处在于,自然人请求删除是在信息处理者违法法律法规的规定、双方的约定或者存在第三方侵权的前提下。也就是说只要信息处理者没有违反任何法律或协议,或者不存在第三方侵权问题,自然人就不可以请求删除。《未成年人保护法》第72条规定了信息处理者对有关未成年人相关信息的删除。
所谓的个人信息删除权,是指在满足特定的条件下,信息主体享有请求信息处理者删除其有关个人信息的权利。我国的《个人信息保护法》在起草的过程中就饱受争议,学界对是否有必要规定被遗忘权存在争议,《个人信息保护法》第47条最终以删除权的形式确定下来。学界对个人信息删除权的界定持不同看法,程啸认为删除权等同于被遗忘权,即信息主体对有关的个人信息具有决定权,在满足一定条件下有权要求信息处理者删除相关信息 [7] 。李立丰教授认为,删除权与被遗忘权不能简单等同,删除权针对的是搜索引擎通过搜索得出的链接,而删除权针对的是相对应的元信息 [8] 。王利明教授认为被遗忘权与删除权存在明显的区别,认为《个人信息保护法》第47条所规定的删除权并没有包含被遗忘权的内容 [9] 。本文认为删除权并不完全等同于被遗忘权,被遗忘权是指在满足特定条件下,信息主体的相关信息不被公众随意查询 [10] ,其不被查询不仅仅是通过删除这一手段得以实现。两者在适用条件、行使对象、产生方式等方面有着显著区别。
3. 个人信息删除权与被遗忘权的区别
3.1. 行使条件不同
根据《个人信息保护法》第47条的规定,行使删除权的情形包括信息处理者主动删除和信息主体请求信息处理者删除两种情形。在满足法律规定的情形时,信息处理者具有主动删除个人信息的义务,在信息处理者未主动删除的情形下,个人才可以请求删除。被遗忘权的行使条件与删除权存在区别,被遗忘权的行使需要同时满足两个条件,不仅要求有行使被遗忘权的法定情形出现,同时要求信息主体向信息处理者表达行使被遗忘权的意愿。只有客观条件与主观条件同时具备,信息处理者才能对有关信息进行擦除。综上所述,具备法律规定的情形信息处理者既可以主动删除信息,信息主体也可以请求删除信息,而被遗忘需要同时满足法定情形以及信息主体的请求两个条件才能实现。
3.2. 行使对象不同
我国《个人信息保护法》中规定的删除权与欧盟《通用数据保护条例》中规定的被遗忘权(或删除权)有所区别。我国《个人信息保护法》中规定的义务主体仅限于信息处理者自己,而不包括其他处理者。在我国,删除权的行使是一对一的关系 [9] ,信息主体提出删除的请求,信息处理者在接收到信息主体的请求后,经过审查满足法定情形下对相关信息予以删除。可发现对于其他途径保留的相关信息,该信息处理者没有义务通知其他信息处理者删除相关信息。而被遗忘权的行使不限于一对一的方式,可将其看做一对多的行使模式,信息主体不仅可以要求信息处理者删除相关信息,还可以要求信息处理者通知其他相关处理者删除相关信息 [11] 。即对于被遗忘权,信息处理者在自己删除相关信息的同时,还需要通知其他信息处理者对该类信息进行删除 [12] 。
3.3. 权利触发机制不同
触发被遗忘权的行使往往归结于时间的流逝 [13] 。随着时间的流逝,过去的信息在如今就变得不相关、无必要、不适当,此类信息就没有存在的必要性,需要行使被遗忘权使此类信息不被检索。而删除权的行使与时间因素没有关联,出现法律规定的行使删除权的情形,信息主体就可以行使删除权。时间的流逝既能使公共利益下降,也可以是个人利益下降。不过信息公布的时间越长,个人利益优先于公共利益的可能性越大 [14] 。由此可见,被遗忘权的行使与信息发布时间长短有重要关系,而删除权的行使与信息发布的时间长短没有关联。
3.4. 是否规定例外情形不同
在《通用数据保护条例》中,第17条规定了删除权行使的例外情形,即为了行使言论自由、公共利益、遵守相关法定义务等,信息处理者可以通过抗辩对此类信息不予删除。故信息处理者是否应该履行删除义务,主管机关或者法官应当综合信息主体的利益与其他利益权衡分析,进而作出判断 [15] 。但是,在我国的个人信息保护法中,第47条并没有规定删除权行使的例外情形,该条款仅规定了在何种情形下行使删除权,对于什么情形下不能行使删除权没有提及。由此可见,在有关删除权的案件中,个人信息保护法并没有赋予法官自由裁量的空间,法官无法根据案件的具体情形作出判断。因此,我国有关删除权的规定有待进一步完善。
4. 结语
综上所述,不能简单将删除权与被遗忘权等同,删除权与被遗忘权之间存在着显著地区别,我国《个人信息保护法》放弃被遗忘权,最终将删除权作为信息主体的权利,有其正当理由。首先是大数据时代的必然选择。在数字化时代,个人信息的非法收集、储存、传输等现象不断涌现,个人对其信息的控制能力显著降低,导致信息主体无法决定其个人信息该何去何从。《个人信息保护法》中规定的删除权有效的缓解了这一情形,信息主体能够以法定权利为依据请求信息控制者对信息予以删除,而且法律也要求信息控制者承担主动删除的义务。其次,被遗忘权违背行为预期。每个人在做出一项行为之前都应当保持理性,并能够为自己的行为负责。如果将被遗忘权规定在法律之中,每个人都可以选择删除对自己不利的信息,而造成这种不利影响的确是他们自己,那么行使该权利将会导致对权利的过度救济。最后,被遗忘权会阻碍数字社会的发展。若将被遗忘权引入法律之中,信息控制者可能面临巨大的任务。信息控制者面对大量的审查任务与严重的行政处罚,对于信息主体所提出的删除请求将导致宽泛的审查;另外被遗忘权需要考虑大量因素,信息控制者的裁量空间较大,更助长了此种现象。删除权与被遗忘权的争议在个人信息保护法立法之前就一直存在,立法者没有将被遗忘权纳入法律之中,是多因素考虑的结果。
NOTES
1北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。