1. 引言
被遗忘权(Right to be forgotten)是指个人可以要求搜索引擎从其搜索结果中删除特定信息。该权利最早是经过欧洲司法解释而产生的,欧盟法律将其视为数据隐私中的一部分。因此,该权利通常在欧盟法律和司法实践中讨论和应用。
2006年,西班牙一名受害者要求从一家报纸的存档中移除涉及他的某些信息。2009年,欧盟法院支持了这一要求,表示个人有权力要求从搜索引擎的搜索结果中删除某些信息1。被遗忘权背后的理念是,个人应该拥有对其在互联网上的出现的信息进行控制的自由。对于不存在公共利益或新闻价值的信息,个人权利更应该得到保护。如果这些信息对个人的生活和尊严构成了不必要的侵害,则个人可以行使自己的被遗忘权来保护自己的权益。
尽管被遗忘权本质上是为了保护隐私权利,但它也会涉及到多个方面的利益冲突。例如,搜索引擎可能需要屈服于其他利益,如言论自由和新闻价值,而不是仅仅保护个人隐私。任何法律规定被遗忘权的具体范围和实际应用都需要在平衡各种利益方面进行权衡。
2. 被遗忘权的概念和法律属性
2.1. 被遗忘权的概念
本文认为被遗忘权是指信息主体有权自主或要求信息控制者采取删除、断开链接、隐匿等手段,以使相关信息不再公开获取,从而实现被公众遗忘的目的。具体来说,信息主体指特定自然人与网上相关信息产生可识别性联系的个人。信息控制者不仅限于自然人,还包括法人和非法人机构,其能够单独或与他方合作来决定信息处理的目的和方式。这种个人信息处理涵盖了个人信息流通的各个环节,即对个人信息进行的任何操作。但个人信息由他人发布,针对因“他为”而陷入风险的情形,信息主体行使被遗忘权应有更少地限制 [1] 。
被遗忘权的保护对象包括互联网上存在与个人有可识别性联系的个人信息,无论这些信息是否已经公开。为实现被遗忘权的权利义务内容,可以采取删除、隐匿链接等有效消除个人信息的方式,使个人信息退出公众视野,进而被公众遗忘。
2.2. 被遗忘权的法律属性
被遗忘权应被视为具体人格权。有学者认为,个人信息这一人格权客体具有经济利益内涵,但具有经济利益内涵与被遗忘权属于人格权并不冲突。本文认为被遗忘权属于人格权,并主张其作为具体人格权存在。一般人格权包括人格平等、人格自由和人格尊严等概念。如果将被遗忘权归入一般人格权的范畴中,与抽象的价值概念并列,将给对被遗忘权的司法保护带来难题,导致难以做出明确的判决,并产生预期之外的执行结果。此外,一般人格权的范围过于笼统和抽象,没有明确定义的界限,虽然在填补具体人格权的漏洞方面起到了一定作用,但不能体现不同人格利益之间的差异。而被遗忘权主要涉及个人信息的保护,例如出行记录、家庭住址和姓名等个人信息,主要体现了隐私和姓名利益等具体利益。因此,为了更加具体有效地保护被遗忘权,需要采用特定的侵权救济路径和保障机制,将其纳入法律保护范畴。将被遗忘权归类为具体人格权更加合适,而将其纳入一般人格利益的法律保护范畴则与未来人格权体系的完善和发展趋势相悖。
3. 域外被遗忘权保护的立法与实践
3.1. 美国被遗忘权保护的立法与实践
在美国,与欧洲相比,被遗忘权的保护立法和实践较为有限。目前,美国没有像欧盟通用数据保护条例(GDPR)那样推出全面而明确的被遗忘权立法。然而,美国在一些特定领域对个人隐私和信息删除的保护做出了努力。以下是美国在被遗忘权保护方面的一些相关立法和实践:
消费者隐私权利法案:2012年,《消费者隐私权利法案》引入了一些措施,赋予个人请求更正和删除不准确信息的权利。这项法案为消费者提供了一定程度上的控制个人信息的能力。
加州“橡皮擦法案”:2013年,加利福尼亚州通过了参议院第568号法案,也被称为“橡皮擦法案”。该法案要求社交媒体平台允许未成年人删除他们发布的内容和信息。这为未成年人保留被遗忘的权利提供了法律支持。
网络服务提供商自愿性删除:一些大型互联网公司,如Facebook和Google,已经采取了一些措施,允许用户删除他们在平台上发布的内容和个人信息。这些公司提供了一定程度上的自愿性删除机制,以使用户能够对自己的数据行使一定的控制权。
尽管有以上的立法和实践,美国在被遗忘权保护方面仍然存在一些挑战和限制。目前还没有全国范围内明确的法律框架来确保个人的被遗忘权。此外,公众和政府之间对于平衡信息自由和隐私保护的观点也存在较大分歧。因此,可以说美国在被遗忘权保护的立法和实践方面相对滞后,但一些地方性的法案和互联网公司的自愿性措施为个人提供了一定程度上的保护和控制权利。未来,随着对个人隐私越来越关注,可能会出现更多的立法和实践来加强被遗忘权的保护 [2] 。
3.2. 欧盟被遗忘权保护的立法与实践
在欧盟,被遗忘权的保护立法和实践相对较为全面和具体。以下是欧盟在被遗忘权保护方面的一些相关立法和实践:
《个人数据保护指令》和《通用数据保护条例》(GDPR):欧盟于1995年通过了《个人数据保护指令》,并于2018年实施了更加严格和具体的《通用数据保护条例》。GDPR第17条明确确立了“被遗忘和删除权利”,规定信息主体有权要求控制者删除与其相关的个人信息。该条例还规定了个人数据处理的条件、限制和违规处罚等。数据保护机构的监管和执法:各个欧盟成员国设立了数据保护机构,负责监督和执法个人数据保护的法律规定。这些机构负责处理与被遗忘权相关的投诉和纠纷,并对违反GDPR的行为进行调查和处罚。谷歌的实施措施:作为欧洲最具影响力的搜索引擎之一,谷歌采取了一系列措施来支持被遗忘权的实践。谷歌设立了专门的顾问委员会,审查删除请求,并在透明度报告中公布移除请求的来源分类、内容分类和移除率等信息。司法实践和案例:自从GDPR生效以来,欧洲各国的法院处理了大量关于被遗忘权的案件。法院根据GDPR的规定,并结合个案情况,裁定是否应该删除特定的个人数据或搜索结果,平衡了信息自由和个人隐私之间的权衡。
总体而言,欧盟在被遗忘权保护方面采取了较为全面和具体的立法和实践措施。GDPR的实施确立了被遗忘权,并规定了其行使的条件和限制。数据保护机构、司法实践和互联网公司的配合也为被遗忘权的实施提供了支持。这些措施有助于平衡信息自由和个人隐私的权益。
3.3. 域外被遗忘权制度对我国的影响
在新时代,随着大数据产业的蓬勃发展,各种新技术和新应用层出不穷。个人信息的长期存储、广泛传播和大规模利用已经成为不可逆转的趋势。在这个背景下,被遗忘权的概念应运而生。被遗忘权保护个人信息的本质契合了信息数字化的趋势,并在保护个人信息方面具有独特的优势,同时也可以满足个人维护自身社会声誉的需求。在我国,对被遗忘权进行法律保护同样是大势所趋 [3] 。通过对不同地区关于被遗忘权制度的差异化分析,我们可以发现,被遗忘权与历史背景、对个人隐私和言论自由的偏好以及对信息经济的追求密切相关。被遗忘权的确立反映了国家的历史文化和产业规划。因此,在我国对被遗忘权进行法律保护时,应该理性看待,合理评估利弊,既要顺应时代的潮流,也要考虑我国的社会实际情况,并结合当前产业发展情况进行综合考虑,不能完全照搬国外的制度。
4. 我国被遗忘权的制度构建
4.1. 我国被遗忘权的保护现状
尽管我国现行的立法中没有明确界定“被遗忘权”的法律术语,但类似于被遗忘权保护的法律规范并非完全空白。在2017年6月开始实施的《网络安全法》、2021年1月开始实施的《民法典》以及2021年11月开始实施的《个人信息保护法》中,都含有与信息删除相关的法律规定。其中,《个人信息保护法》的第47条是否规定了我国独特的被遗忘权,仍存在争议。法律是根据时代发展需求不断更新的,这些法律实践都符合网络时代的发展趋势。
4.2. 我国被遗忘权保护的不足
当涉及到保护个人的人格尊严和自由等权益与其他利益之间产生冲突时,我们需要明确权利的边界,并对各方的利益进行合理审视。在涉及公共利益、言论自由、公众知情权、法律义务、公共存档以及科学历史研究等情况下,可能需要排除适用被遗忘权,以实现法律下的利益平衡,并对不同情况给予合理考虑。为了实现法律的公平正义,我们需要采用一种标准和方法来寻找合适的平衡点。在基于事实判断的基础上,结合价值判断,综合考虑多种因素,以得出更能被社会所接受的正确结论。
被遗忘权的适用范围包括但不限于以下情况:个人信息已经不再相关或不再必要,不再符合数据处理目的。个人信息处理违反了适用的法律规定。个人信息处理违反了个人的意愿或者对个人造成了不当的影响。个人信息处理违反了隐私权或人格权等个人权益的保护原则。
被遗忘权的行使对象是指存储在网络上、可以被公众查看的个人数据信息。然而,并非所有信息都符合被遗忘权的行使对象,这个概念有一些具体的要求和限制。为了防止滥用被遗忘权,对被遗忘权的客体施加了一定的条件限制,以确保互联网保留其搜索和传播信息的功能。此外,还需要关注特殊信息的处理问题,这些问题在我国加快建设个人信息保护法律体系方面至关重要。
4.3. 我国被遗忘权制度的具体构建
4.3.1. 权利主体
被遗忘权的权利主体是个人,无论是成年人还是未成年人。个人作为自己个人信息的主体,享有被遗忘权的行使。这意味着个人有权要求控制者删除与其相关的个人信息或者限制该信息的处理和传播。法人和非法人组织的信息数据并不具备人格属性,不应该行使带有人格权性质的权利,如果其数据信息权益遭到侵犯,应该通过反不正当竞争法、知识产权法来请求保护。无论是在线上还是线下获取的个人信息,只要满足被遗忘权的适用条件,个人都可以主张被遗忘权。这包括通过互联网、社交媒体、电话调查、问卷调查等方式收集到的个人信息 [4] 。
需要注意的是,被遗忘权并非绝对权利,可能会受到其他权益的平衡和限制。法律和监管机构会在具体案件中综合考虑个人权益、公共利益、信息自由等多方面因素,维护各项权益之间的平衡。被遗忘权由于其涉及个人隐私和人格权,因此自然人是最自然的信息主体。自然人包括成年人和未成年人。对于成年人来说,被遗忘权的保护并没有特别之处。然而,在当今的大数据时代,尤其是自媒体的迅速发展,许多未成年人的生活轶事、成长片段等都被记录在网络世界中。同时,由于未成年人过早接触网络世界,使得未成年人在网络中的群体逐渐庞大,对未成年人的个人信息进行专门保护势在必行。因此,为了避免未成年人承担过重的信息负担,对未成年人适用被遗忘权非常必要。
然而,未成年人在身体和心理发育上都尚未成熟,其维权意识和能力相对较弱。同时,我们的教育理念和传统告诉我们,相对于成年人,他们的过去可能更需要被宽容和原谅。因此,在为他们提供被遗忘权保护的同时,也应给予他们优先或特殊的关注,帮助他们正当地行使被遗忘权,并给予他们更多的机会。
4.3.2. 权利客体
在信息化时代,互联网能够永久保存大量数据信息,因此人们提出了所谓的被遗忘权问题,该权利仅限于存在于互联网上的个人数据信息。2018年欧盟《通用数据保护条例》(GDPR)第17条列出了几种情况下允许要求删除信息数据的情形,包括:1) 信息数据的收集不再必要;2) 信息主体撤回先前对信息处理的同意;3) 信息主体拒绝数据处理;4) 个人信息数据的收集是非法的;5) 根据欧盟或成员国法律规定需要删除的信息数据;6) 重复收集个人信息数据。
考虑到网络中信息的复杂性,并根据立法和司法实践的总结,被要求删除的信息应该具备以下几个特征:首先,该信息数据应具有可识别性,即通过信息内容可以“识别”特定主体,例如完整姓名、具体家庭住址、身份证号码、照片等;其次,该个人信息数据是非法收集的,即未经授权或许可或超出授权范围发布的信息数据。一旦发生非法收集信息数据的情况,该数据就失去了继续存留的必要性,因此可以视为被遗忘权行使对象;第三,该个人信息数据已经失去时效性,即信息内容在一开始是准确的,但随着时间流逝,情况发生变化,该信息不再准确,目前在网络上存在也不会给任何主体带来利益;第四,继续在网络上保留信息数据会对权利主体产生不利影响,如大幅降低社会评价。互联网储存信息的能力巨大,网络上存在大量数据信息,如果将与个人有关的数据全部删除,将需要巨大的时间成本和人力成本,并增加网络运营商的运营成本,不利于互联网经济的发展。
值得注意的是,并非所有符合上述范围的数据信息都应该被删除,还存在一定的条件限制。例如考虑到公共利益、言论自由权保障的限制,以及科学研究或存档等需要的限制等,这是在司法实践中需要进行的价值权衡问题。
4.3.3. 利益平衡
被遗忘权的权利冲突主要是指在特定情况下,信息数据的控制者可以不必履行其作为义务主体所需履行的义务。这些例外情况包括:言论自由是一项基本人权,是指各国人民在不同的语言环境下,通过不同的方式表达自己思想与发表观点的自由权利。为了言论自由或信息自由的目的,控制者可以不需要获得信息数据所有者的同意。法律义务:为了履行法律规定的义务,控制者可以不需要获得信息数据所有者的同意。公共利益或公共职权:为了维护公共利益或履行公共职权,控制者可以不需要获得信息数据所有者的同意。合法请求:针对其他合法的请求,控制者可以不需要获得信息数据所有者的同意。
在权益平衡的过程中,不能简单地说个人信息自由优先还是公众知情权更重要。最终的结果应当综合考虑多种因素,包括信息主体的权益、信息的性质和涉及的公共利益的重要程度等 [5] 。尽管在当前高速发展的数字网络环境中,信息主体可能面临更大的风险,因此对个人信息的保护日益突出,对尊重人格利益也备受推崇,我们应当充分重视对被遗忘权的保护。
5. 结语
在互联网时代,被遗忘权在个人信息保护方面具有重要作用。自2018年欧盟正式确立该权利后,许多国家和地区纷纷效仿,在本国或地区的法律体系中建立了相应制度。然而,目前我国在这个问题上存在争议。持反对态度的学者认为,目前被遗忘权的权利结构尚不明确,可能会与其他权利产生利益冲突,并且认为该权利并非我国当务之急。他们指出我国现有的个人信息保护法规较少,贸然引入被遗忘权制度可能导致与现行法律不协调,因此应审慎考虑引入该制度。然而,全球范围内确立被遗忘权已成为立法趋势,符合个人信息保护的内在要求。尽管被遗忘权可能与其他权利产生冲突,但可以运用比例原则进行利益衡量。同时,外部的立法和司法实践为我国确立该制度提供了积极的参考和借鉴。
致谢
衷心感谢导师的指导和悉心教诲。感谢亲朋好友的支持和鼓励。感谢学校图书馆和实验室的资源支持。感谢参与调查的被试者们的配合。本论文得以顺利完成离不开你们的帮助和支持,谢谢!
NOTES
1Google Spain SL and Google Inc. v. Agencia Esoan ola de Protección de Datos (AEPD) and Mario Costeja González (May 13, 2014).