上海政法学院,上海
历史上著名的“冈萨雷斯案”被视为被遗忘权相关案件的第一案,该案的起因是在1998年,西班牙的一家报纸刊登了一份社会债务清单,该清单中包含了本案当事人冈萨雷斯和其妻子共有的一套房产,之后数字报刊开始兴起,这一报道被以电子化的形式固定在了网络空间之中,冈萨雷斯在一次偶然搜索自己的债务清单的时候于谷歌搜索中搜索到了这一信息,但是此时冈萨雷斯已经解决了这一债务,因此冈萨雷斯联系该报纸要求其对相关的内容进行删除,但是报社拒绝了这一要求,因为报社认为其报道基于合理合法的事实,没有删除的必要,且其无权删除谷歌的搜索词条。2010年冈萨雷斯将该报社(英国《先锋报》)以及西班牙谷歌公司、美国谷歌公司总部作为当事人起诉至AEPD(西班牙数字保护机构),经过四个月的审理,AEPD认为该报刊的内容为事实合法的报道,不可以要求删除,但是同时也判决谷歌西班牙公司和美国的谷歌总部删除词条链接,谷歌公司不服这一判决而后向欧盟法院另行提起诉讼。2014年5月,欧盟法院对这一案件再次进行了审理,最终认定谷歌属于法律规定的“信息控制者”,负有删除的义务,谷歌公司最终执行了这一判决。“冈萨雷斯案”的判决表明在司法实践中,信息主体对个人信息是享有被遗忘权的,后续欧盟颁布的GDPR也是在这一判决的基础上对“被遗忘权”的明文规定。
通常认为,法国的“忘却权”是最早的被遗忘权,这一制度规定罪犯在服刑完毕之后有权要求自己的犯罪记录不被公开,其设计的目的在于保护犯罪者的个人尊严,帮助其回归正常的生活。欧盟在保护个人信息的制度建设是比较成熟的,早在1995年的《欧洲数据保护指令》就有相关的内容,2012年《一般数据保护条例草案》第十七条也有所体现,2014年的“冈萨雷斯案”则是对被遗忘权的第一次司法实践,2018年生效实施的GDPR第十七条则明确对被遗忘权进行了表述。从被遗忘权的发展历史可以看出,被遗忘权的由来已久,其最初的体现是删除权和更正权,并且伴随着大数据时代的来临,被遗忘权则更加被重视和明确起来。
被遗忘权的名称问题一直是存在争议的,其中争议最大的就是删除权的问题,在早期的欧盟法律规定中,大部分的表述为“right to be forgotten and to erasure”,通常被翻译为“删除权”,对于应该命名为“被遗忘权”还是“删除权”在学者中是存在争议的,有学者认为这二者是等同的,(a)但是也有学者认为二者是存在区别的,个人认为这二者是存在区别的,首先删除权的前提在于信息处理者存在对信息的违法处理,而被遗忘权的行使是不需要这条件的,例如“冈萨雷斯案”,尽管信息是真实合法的,但是当事人依然有权行使被遗忘权;其次,删除权的要求是对信息进行彻底的删除和消灭,但是被遗忘权的行使方式是多样化的,不一定需要对信息进行彻底的消失化处理,可以通过解除链接、隐藏信息等方式进行;另外从权利性质的角度出发,被遗忘权属于主动性权利、防御性权利,但是删除权更偏重于被动性权利、救济性权利。所以个人认为被遗忘权与删除权还是存在一定的差异的。
对于被遗忘权的定义,我国的很多学者都有不同的观点,例如杨立新教授认为,被遗忘权是指发布在网络上的,不太恰当的、过时的、可能会导致信息主体的社会评价降低的信息,信息主体有权要求信息控制者进行删除。(b)薛丽教授则认为,被遗忘权的内涵是指对于以合法形式发布在网络空间中的,有关自身的、不充分的、不相关的、过分收集或处理的信息,除非信息的保留存在合法理由,否则信息主体有权请求信息控制者或处理者删除。个人认为,对于被遗忘权的定义,首先需要突出的就是网络空间这一特定的环境,其次就是要对何种信息进行规定,最后还要对被遗忘权的行使方式进行规定,所以,综合以上陈述,被遗忘权是被发布在网络空间中的,与自身利益相关的、可能对自身评价造成不利影响的信息,信息主体有权要求信息控制者对信息采取断开连接、隐藏信息等行为。
部分学者认为被遗忘权是隐私权的一种,例如彭支援教授认为被遗忘权是隐私权的衍生,应该属于隐私权的范畴。(c)隐私权作为一种人格权,其保护的是信息主体的私人信息,例如个人秘密、生活安宁等,隐私权的主要作用是预防信息被泄露。被遗忘权针对的则是已经被公开(可能是信息主体自己主动公开也可能是他人合法公开)的信息,该信息可能存在错误或者过时等情况而被信息主体要求删除。所以隐私权和被遗忘权还是存在差异的,虽然二者的保护对象有重合,都属于个人信息的范围之内,但是这两项权利是相互独立的两个人格权。尤其是在网络空间中,如果信息已经被发布,那么隐私权的保护范畴就无法覆盖,所以被遗忘权并不是属于隐私权的范畴,也并不能将隐私权的法律性质归类为隐私权。
个人信息权这一概念在我国的法律中没有明确的规定,但是在学理中已经出现了个人信息权的概念,个人信息权的侧重在于个人对信息的掌控,又可以称为信息自决权,在权利属性上属于支配权。从法律属性的角度讲可以将被遗忘权作为一种个人信息权,因为个人信息权的客体是个人信息,其包含的范围是比较广泛的,是可以涵盖被遗忘权的客体范围的,而且个人信息权保护的就是对个人信息的收集、处理等行为,这也是与被遗忘权相重合的。因此,被遗忘权可以作为个人信息保护制度的一部分,但是问题是目前对于个人信息权也没有明确的立法规定,这将会造成被遗忘权保护的不明确和难以实际执行的问题。
被遗忘权作为一项人格权这是完全没有争议的,但是人格权被分为一般人格权和具体人格权,这两项权利分别规定在《民法典》的第一百零九条和第一百一十条,《民法典》第一百一十一条单独对个人信息进行了规定,对于被遗忘权到底属于何种人格权目前也没有明确的共识,从具体人格权的角度来看,被遗忘权的保护范围是落在个人信息权之中的,所以没有必要将被遗忘权作为一个单独的具体人格权列出。从一般人格权的角度来看,被遗忘权是有明确的保护范围和对象,这一点与一般人格权不同,一般人格权是高度抽象和概括的,所以也不能将被遗忘权作为一个一般人格权。
综上所述,对于被遗忘权的法律性质我们可以界定为个人信息权,被遗忘权的内容和行使方式都是与个人信息保护所重合的,正确地界定被遗忘权的法律属性,有助于更好地解释被遗忘权,有助于被遗忘权制度的建设。
对于被遗忘权的主体,首先自然人是可以确定为权利的主体的,欧盟的法律规定也明确表示被遗忘权的权利主体就是自然人,但是对于自然人中的一些特殊的主体是否可以作为被遗忘权的权利主体是需要单独进行讨论的。首先对于未成年人的问题,根据欧盟和美国的立法,其是赋予未成年人被遗忘权的,尤其是美国著名的“橡皮擦法案”,其规定中甚至突破了被遗忘权要求的目的判断,无论未成年人的目的是什么,都可以要求行使被遗忘权。在我国对于未成年的被遗忘权是没有规定的,但是从行使权利的角度来看,我国民法以8岁作为分界,8岁以下的儿童作为无民事行为能力人,其被遗忘权由监护人代为行使,已满8岁的未成年人,以其认知水平为标准,可以行使自己年龄、心智水平相当的被遗忘权,超出其认知的,由监护人代为行使。其次,对于公众人物的被遗忘权,杨立新教授认为,公众人物的被遗忘权的规定是不可以等同于普通民众的被遗忘权的,因为公众人物的职业特性就决定了其高曝光度的特点。(d)所以对于公众人物的被遗忘权的行使是需要增加更多限制的,例如增加与社会公共利益无关这样的限制,这样可以更好地预防公众人物打着维护自己被遗忘权的幌子消除自己的负面信息的可能。另外,对于犯罪分子是否享有被遗忘权的问题,不同的国家有不同的规定,我国的司法实践中的做法是根据不同的信息控制者有不同的规定,如果是国家机关公布的犯罪记录,那么基于国家安全和社会利益的考量是不享有被遗忘权的,但是如果普通的主体发布的信息,那么犯罪分子是享有要求删除的权利的。
法人或者非法人组织虽然都是民事主体,但是对于这两类主体是否享有被遗忘权,我认为是不享有的,因为根据被遗忘权的法律属性,其属于一种个人信息权,既然属于个人信息权,那么根据个人信息的定义,这项权利就是个人所享有的,法人和非法人组织是不可以享有的。另外,法人和非法人组织的信息与自然人的个人信息不同,所以对于其保护也应该进行单独的规定,例如进行竞争法层面的保护等,这样的措施更有利于保护法人或者非法人组织的信息。
被遗忘权的主要针对对象就是网络空间,大部分的域外立法认为被遗忘权的义务承担者是信息控制者,我国目前对于这一问题则没有具体的规定,我认为被遗忘权的义务承担者最重要的就是网络空间中的运营主体,首先就是搜索引擎运营商,搜索引擎是互联网世界中信息的集散地,所以搜索引擎的运营商自然也符合信息控制者这一身份,所以应该承担被遗忘权的义务,例如著名的搜索引擎公司百度,就设置了“申诉制度”,个人可以向公司申诉认为个人信息被侵犯,在经过专业人士的判断之后,如果确定侵权将在24小时内删除。其次,网络平台的搭建者也是义务主体,随着现代社会的发展,网络平台已经不仅仅局限于社交平台,其还包括视频平台、商品平台等,这些网络平台提供服务的同时也大量地获取和掌握了个人信息,也属于个人信息的控制者,所以这类平台的搭建者和运营者也需要承担被遗忘权的义务。
除上述的在网络空间中有组织的、有较强信息控制能力的个人信息控制者以外,部分个人也有可能成为信息控制者,例如在社交平台上大量获取他人信息并进行总结整合的个人,这同样可以被定义为个人信息的控制者。
综合以上的情况,显然被遗忘权的义务承担者的范围并不是固定和狭窄的,反而应该是包含广泛的,具有灵活性的,也就是意味着只要是个人信息的控制者,就应该承担被遗忘权所规定的义务,这一特点也是因为互联网时代的个人信息的大范围和快速的传播,使得个人信息被掌控的可能性大大增加,这就要求我们扩大被遗忘权的义务承担者,从而更好地保护个人信息和个人尊严。
网络世界的便利使得每个个体在网络上活动都更活跃,所以个人也会不断地在网络空间中主动地发布一些自己的信息,对于这些信息,信息主体是有权要求被遗忘的,因为信息主体对自己的信息是具备自己决定的权利的。
由于互联网的高度开放性,个人信息一经发布将会脱离信息主体的掌控,近年来,更是出现了一批在互联网上收集和贩卖他人信息的不法分子,所以被遗忘权的客体范围也应该包括被转发或者其他来源的个人信息,以此来保护个人信息。
大数据时代的来临在为人类生活带来巨大的革新的同时,也带来了一定的负面影响,大数据开放性和关联性的特征使得数据安全的问题越来越严峻,个人信息的保护面临着很大的挑战,这也是为什么各国都在加强立法,尤其是“被遗忘权”的制度建设,从目的上看就是为了保护个人信息,消除大数据和互联网技术所带来的负面的影响。
由于我国的个人信息保护制度的发展是比较晚的,所以相关的制度建设也是比较薄弱的,在个人信息领域,原本的立法是分散在各项民事和刑事立法之中的,近年来我国出台了相应的《个人信息保护法》,但是还不足以适应目前的实践需求。
大部分不赞成设立被遗忘权的理由便是该权利与言论自由的冲突,言论自由的权利在全世界的范围内都是一项很基本的权利,因此对于言论自由的权利也是各国立法所着重保护的,但是被遗忘权强调个人可以删除自己的个人信息,这一要求与言论自由强调的信息表达在一定程度上是冲突的,为解决这一矛盾,需要适用比例原则,在保护言论的情况下也要尊重个人的被遗忘权。
公众既有保护个人信息安全的权利,也有知晓其他信息的权利,(e)因此被遗忘权和公众知情权在某些情况下也是存在冲突的,如上文所述,解决这一矛盾的方法已然是寻求二者之间的平衡,因为这两项权利对个人而言都是十分重要的。
知情同意原则最早是应用在医疗领域的,最早记载于《希波克拉底誓言》之中。洛克的《政府论》中对知情同意原则也有叙述。随着时间的推移,知情同意原则的适用范围开始不断地扩展,其在全球范围的个人信息保护中开始发挥作用,例如欧盟1995年的《数据保护指令》、2016年出台的《通用数据保护条令》,以及AEPC的《隐私框架》,这些法律文件中对知情同意原则的适用都有所规定。知情同意原则的理论基础,现有理论主要认为有两个,首先就是“信息自决权”理论,信息自决权是个人信息保护中的一个重要理论基础,其最早由德国的学者提出,其认为:“人们有权自由决定周遭的世界在何种程度上获知自己的所思所想以及行动。”(f)美国的卡多佐大法官也对知情同意原则做出过很经典的阐释,即“任何一个成年的、心智健全的人都有权利自主决定如何处置自己的信息;这是我的信息,只有我自己才有权决定如何处置。信息自决是自主、自由的时代表达,这种自我控制在法律上是通过同意实现的,而同意有效的前提是充分知情”。(g)著名的“人口普查案”则明确了一些信息自决权的一些核心内容。(h)信息自决权理论认为,信息主体有权控制个人信息的收集与处理,基于这样的要求,知情同意原则作为保障信息自决权的方式而产生。同意原则实际上就是法律赋予个人自主决定的权利,意味着个人对自己的个人信息的绝对的权威。其次就是“信息不对称”理论,有学者对出现信息不对称现象的原因进行了解释,其认为在现代市场经济环境中,有一个比较有意思的现象,那就是不同的市场主体掌握的信息的差异化,这也就是所谓的信息不对称的现象。在个人信息保护领域也是存在这样的现象的,信息处理者与信息主体所掌握的信息量是存在巨大差距的,信息处理者由于具备优势技术和优势地位,往往在信息处理上占据着主动地位。(i)在大数据时代,信息主体在依赖网络平台、手机App等的同时,也对个人信息的保护更加关注,但是由于其处于劣势地位,所以只能被动地接受一些不合理的信息处理行为,为解决这种信息不对称所带来的个人信息保护问题,知情同意原则被引入,其中的知情层面就要求信息处理者履行告知义务,保障信息主体对信息处理行为的知情权,这样的做法可以改善信息处理者与信息主体之间的信息不对称状况。
知情同意原则作为个人信息保护领域的一个重要原则,如上文所讲,其主要发挥的作用是保护信息主体对个人信息的控制,但是从实践中出发,我们不难发现,知情同意原则的落地实施是比较困难的,因为这一原则要求信息主体对个人信息的处理利用做出真实的意思表示,但是信息主体作为一个个人,其意愿表示的真实性很难保障,况且即使同意的意思表示是真实的,那该意思表示是否有转圜的余地呢?这里就需要引入被遗忘权进行衔接了,这也就意味着即使在信息主体做出同意的意思表示的情况下,信息主体也可以通过主张行使被遗忘权的方式,对自己的个人信息进行保护。因此,被遗忘权可以与个人信息保护的其他制度相衔接,作为保护个人信息的一种手段进行使用。
欧盟对个人信息的保护是很早就开始的,遗忘权制度也早在1995年的《个人数据保护指令》之中就有体现,目前被遗忘权的欧盟的法律法规中主要体现在《通用数据保护条例》之中,其中第五条和第十七条就是对被遗忘权的规定,欧盟通过立法的形式对被遗忘权进行确认,这使得被遗忘权的行使和保护更具有可操作性和现实意义。
美国是最早通过立法确立隐私权制度的国家,美国在个人信息保护领域最著名的便是“橡皮擦法案”了,该法案是2013年美国加利福尼亚州州长签署的一项法案,其主要侧重保护的是未成年人的个人信息,赋予了未成年人在社交网络中删除个人信息的权利,这也为后续被遗忘权制度的建设打下了一个很好的基础。
被遗忘权这一权利要得到保护,首先就要明确这一权利的正当性,从世界立法的趋势来看,被遗忘权制度已经走进大家的视野,越来越多的国家和组织开始建立被遗忘权制度从而保护个人信息,个人信息所强调的就是信息主体对信息的自主决定的权利,因此被遗忘权也是具备正当性的。
对于被遗忘权的法律属性的问题,前文已有讨论,学术界尚且存在着争议,而立法中目前也没有明确的规定,但是从被遗忘权的行使、特征等各方面去分析,我认为将其法律特征定义为个人信息权是更合适的,这样更有利于后续的制度建设和衔接。
被遗忘权是一项事后救济的权利,所以需要对侵权责任进行规定,首先就是归责原则的认定,应该采用过错原则,这样更有利于平衡信息主体和信息控制者之间的利益。其次就是侵权责任的承担,一旦信息控制者的行为可以被认定为侵权行为,其需要承担何种责任,个人认为其至少需要及时采取行动删除信息,并承担由此造成的损失,甚至应该承担可能出现的精神损害的赔偿。
被遗忘权不是一项绝对的权利,其行使也不可以完全不加限制,例如在与其他权利产生冲突时需要适用比例原则,又比如在涉及公共利益和国家安全等重大利益时被遗忘权的行使需要让步等。
综上所述,被遗忘权是一种新型的人格权,其也可以归属为一种个人信息保护权,被遗忘权的产生由来已久,随着大数据时代的来临,这一权利更受到人们的关注和重视,这一权利目前的制度建设还不是很完善,但是被遗忘权的重要性和正当性已经被实践所证明,所以对于被遗忘权的制度建设需要更好、更快地去推进,从而在大数据时代更好地保护个人信息。
(a) 郑志峰.网络社会的被遗忘权研究[J].法商研究,2015(6).
(b) 杨立新,韩煦.被遗忘权的中国本土化及法律适用[J].法律适用,2015(2).
(c) 彭支援.被遗忘权初探[J].中北大学学报(社会科学版),2014(1).
(d) 杨立新,韩煦.被遗忘权的中国本土化及其法律适用[J].法律论坛,2015(2).
(e) 宋小卫.略论我国公民的知情权[J].法律科学(西北政法学院学报),1994(5).
(f) 吕炳斌.个人信息保护的“同意”困境及其出路[J].法商研究,2021(38).
(g) 蔡培如,王锡锌.论个人信息保护中的人格保护与经济激励机制[J].比较法研究,2020(1).
(h) 李雪锋.个人信息保护中知情同意原则的困境和应对措施[J].法制博览,2022(33).
(i) 李瀚琰.儿童个人信息保护的父母知情同意原则[J].图书馆论坛,2020(8).