个人信息保护:中国与欧盟删除权异同论
■周冲
【本文提要】本刊2016年12期发表李兵、展江《美国欧盟对网络空间“被遗忘权”的不同态度》,结尾提到:“我国《网络安全法》所确定的‘删除权’的内涵与欧美各自对‘被遗忘权’的理解和实施存在怎样的同异,则是另一个比较法研究的话题。”本文力图回答这个话题。文章从中欧网络删除权比较研究入手,指出《网络安全法》规定的“删除权”绝非对欧盟《一般数据保护条例》中“删除权”的“引入”,而是基于中国实际国情和“秩序观”视野下的制度创新,两者只是“貌合”,却存在价值观念上的“神离”。并探寻造成这种差异背后的根本原因,就“删除权”在我国个人信息保护领域的实施、发展和保障提出设想与建议。
【关键词】被遗忘权 删除权 信息 隐私 比较研究
【中图分类号】G210
一、从“被遗忘权”到“删除权”
网络空间个人信息的“删除权”原称“被遗忘权(Right to be forgotten)”,是西方法律界确立的一个概念,简而言之,就是个人可以要求信息控制者删除与其有关的信息或者信息链接。最初形成于个人信息保护传统悠久的欧洲。1995年欧洲通过的《数据保护指令》(又称“95指令”)中有关于“公民可以在其个人数据不再需要时提出删除要求,以保护个人数据信息”的规定。2009年英国学者维克托首次提出“被遗忘权”概念。2012年欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)草案正式规定“被遗忘和删除的权利”(Right to be forgotten and to erasure),“被遗忘权”概念的内涵与外延逐渐清晰,并在2014年欧洲法院关于“冈萨雷斯诉谷歌公司案” ①的终审判决中得到司法层面的适用与确立。直到2016年4月,几经沉浮的《一般数据保护条例》最终在欧盟执委会获得通过,但将第17条“被遗忘和删除的权利”精简为“删除权”。
我国学界关于个人信息保护的研究已开展多年,并产生了一些学术成果。如2004年齐爱民教授编写的《中华人民共和国个人信息保护法示范法草案(学者建议稿)》,对个人信息的概念以及相关主体、保护对象、限制措施等进行了较完整的论述,并将“删除”表述为一项权利,即“消除已储存的个人信息,使其不能重现”。②2003年周汉华教授受国务院信息办委托,也组织课题组于2004年底完成了《中华人民共和国个人信息保护法》(专家建议稿),③其中虽未出现“删除”概念,但整部文稿也突出强调赋予信息主体在适度范围内的信息控制权,包括获取、更正和停止使用个人信息的权利,可以认为蕴含了“删除”的意思。这些成果具有一定的前瞻性,虽然没有法律效力,《个人信息保护法》至今也未制定,但是为我国个人信息保护立法提供了重要参考。
目前我国学术界还在争议我国是否应该引入“删除权”概念,以及是否已经在《网络安全法》等法律中引入了欧洲的“删除权”等问题。这里先说客观存在的事实是,我国已经有多部法律、行政法规、部门规章和规范性文件涉及个人信息保护的内容,其中有的条文明明白白规定了个人有要求网络服务者删除泄露其身份和隐私的信息的权利。
在法律层面,最早可以追溯到2009年12月出台的《侵权责任法》,其中第36条第2款明确规定“被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施”。学界认为这是借鉴了美国《数字千年版权法》(Digital Millennium Copyright Act,DMCA)的“通知–取下”程序(notice-take down procedure)并推广适用于所有侵权行为。从当时的立法背景和立法目的来看,这只是从一般意义上规定了侵权救济方式,可以认为其中包括了披露隐私信息之类的侵害隐私权行为,并没有涉及个人信息权利自决的高度。至2012年《全国人大常委会关于加强网络信息保护的决定》第8条则明确规定:“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,……有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”
全国人大常委会决定在位阶上相当于法律,以此为依据,接下来若干行政法规、规章也陆续出现了类似“删除权”的条款。2013年2月实施的《信息安全技术、公共及商用服务信息系统个人信息保护指南》,其第5.1部分将个人信息的处理过程分为收集、加工、转移和删除四个环节,并将“删除”认定为“使个人信息在信息系统中不再可用”。2013年9月实施的《电信和互联网用户个人信息保护规定》,则规定“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务”。2014年3月实施的《征信业管理条例》第16条规定“征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除”。
2016年11月全国人大常委会通过了《网络安全法》。该法明确提出要加强对个人信息的保护,其第四章对网络运营者收集、使用用户信息进行了严格限制,并在第43条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”这被许多学者认为是我国在一定程度上确立了“被遗忘权”,权利主体依据该规定有权要求非法收集、使用个人信息的网络运营者删除或者更正。而即将于2017年10月1日生效的《民法总则》则明确规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
总体来说,目前我国虽然还没有专门制定《个人信息保护法》,但是就个人信息的保护,已经初步形成了由多部法律、行政法规、规章及规范性文件等共同构成的分散立法体系,从法律部门来看涉及民法、行政法、经济法、刑法等领域。其中,在法律层面,明确设立“删除权”的主要依据在于2012年颁布的《全国人大常委会关于加强网络信息保护的决定》和刚刚正式施行的《网络安全法》。当然,这里的“删除权”究竟是对欧洲“被遗忘权”的引入,还是结合我国具体国情的制度创新,在得出结论之前,首先就要针对个人信息保护语境下的中欧网络删除权进行一番比较研究。
二、貌合神离的中欧“删除权”
尽管欧盟的《一般数据保护条例》与我国的《网络安全法》都先后设立了“删除权”,但此“删除权”非彼“删除权”,两者虽“貌合”却“神离”,具体体现在主体、客体、性质、范围和实施等多个方面。
1.主体
在权利主体上,两种“删除权”大体一致,即作为信息主体的自然人。2012年欧盟出台的《一般数据保护条例(草案)》中曾经规定:“信息主体有权要求信息控制者删除与其个人相关的资料信息,特别是当信息主体是不满18周岁的未成年人时,”但2014年再次修订时对于“未成年人”的强调也被删除,这也意味着欧洲“删除权”权利主体范围扩张到了所有自然人范畴。我国《网络安全法》同样将“主体”界定为“个人”,并没有其他限制,这一点在《民法总则》中也得到了回应,其第111条规定“自然人的个人信息受法律保护”。
两者较大的区别在于公众人物。尽管欧盟允许公众人物在涉及个人健康、家庭成员等私人信息时,也可以行使删除权。“但最为一般的规则是,如果申请者是公共人物,他们申请删除的信息通常不被视为私人信息,除非有强烈的证据证明这些信息是私人的。” ④而我国法律并没有公众人物的概念,也没有就公众人物在个人信息保护尤其是网络环境下行使“删除权”的特殊限制性规定。
在义务主体上,我国《网络安全法》概括为“网络运营者”,具体包括电信业务经营者、网络服务提供者(ISP)和网络内容提供者(ICP)。而欧洲法院关于“谷歌诉冈萨雷斯一案”的判决,仅明确了以谷歌公司为代表的搜索引擎为义务主体,西班牙《先锋报》等内容提供者却并不在列。这就引发了两个问题,一是搜索引擎公司是否应该成为责任主体;二是欧洲被遗忘权的责任主体是否仅限于搜索引擎公司?
对于前者,美国一直认为谷歌不应当承担道德法官的角色,被遗忘权只会带来寒蝉效应。即使在欧洲存在较大争议,但是从欧盟相关判例和立法情况来看,搜索引擎公司应当尊重“被遗忘权”的现状不可避免。至于后者根据欧盟给出的“指导意见”,“《先锋报》言论自由的保护,而非否定其适用被遗忘权的可能,也就是说当条件满足时,各类型的网络服务商也应成为被遗忘权的义务主体”。⑤这样看来,中欧“删除权”在网络运营商上的界定范围大体一致。只不过欧洲的做法在客观上做了层次区分,将搜索引擎公司与一般网络内容提供商区别开来,因为搜索引擎公司仅需要删除链接而不是数据本身。
2.客体
两种“删除权”都强调保护的是“数据”(data,或翻译作“资料”)或者“信息”(information)。其中欧洲《一般数据保护条例》中更多强调的是“数据”主体的权利,而我国《网络安全法》及《民法总则》中用的则是“信息”。目前无论是学术研究还是各国立法,对于两者的称谓还是内涵都存在较大的分歧,同时又经常被混用,甚至一些国家和国际组织的正式文件中也出现过将两种概念通用现象。一般来说,数据强调附着于载体上的客观记录,而信息具有一定的主观价值意义。齐爱民认为,“从确定性上讲,个人资料这一概念的确定性比个人信息要好。个人信息往往因收集者的主观目的不同而有差别”。但是这并不代表两种概念有绝对的对错之分,伴随个人信息保护法的发展,“个人信息比其个人资料来说是一个更具有人文关怀的概念。立法的目的在于保护个人资料所反映的个人信息,而不停留于个人资料本身”。⑥
从客体范畴来看,我国《网络安全法》中保护的对象较之于欧洲的“删除权”范围更广。一般来说,欧洲《一般数据保护条例》仅允许主体删除那些“不好的、不相关的、过分的”数据或者数据链接,并且在各个版本都详细规定了例外情形,包括:①单纯新闻工作、文学、艺术作品表达目的的个人数据,应考虑个人数据保护权和言论自由而有所豁免;②公共卫生领域中公共利益的理由(以预防或职业医学、医疗诊断、提供护理或治疗或公共保健服务的管理为目的,这些数据由服从专业保密义务的专业卫生人员进行处理,或由同样服从成员国家法律或国家主管机构所指定的等效保密义务人员进行处理,属于公共医疗或公共利益的范畴);③为历史、统计和科学研究的目的。此后,最后通过的《一般数据保护条例》又增加了“完成保护公共利益的任务”“执行政府机构授权的工作”以及“基于法律诉讼的提起、辩护等其他程序的需要”三项新的例外规定。当然,欧盟成员国有其他例外规定的,也需要对删除权的行使予以限制。
而我国《网络安全法》则以“包括但不限于……”的方式,强调只要网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,个人就有权要求网络运营者删除。
3.性质
在欧洲,从“被遗忘权”到“删除权”,都是被作为基本人权而提出,并与个人信息自决权理论的发展密切关联。从性质上讲,其强调“删除”而非“遗忘”,属于信息权而非隐私权范畴,是一项具有积极性的独立民事基本权利。当然,“删除权”的发展脉络传承于隐私权理论,但它与隐私权实际上是一种相互交叉而却不互相包容的关系,两者保护对象不同,并且前者强调权利主体对个人信息的天然性控制,尤其是删除,而后者更多的是指信息不被非法披露,具有区别于隐私权、名誉权的独立必要。
至于我国的“删除权”,其性质究竟如何,目前争议较大。尤其是受美国法的影响,我国很多学者将“被遗忘权”作为互联网语境下的一种新型隐私权利来研究,认为被遗忘权是隐私权的延伸。当然也有学者以德国法为参考,主张将“个人信息”作为独立的人格利益来看。比如王利明教授就认为不应将个人信息权附属在隐私权下。而在《民法总则》中,隐私权作为一项独立民事权利在第110条中列出,而第111条又明确规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这似乎也印证了将信息权独立出来的观点。但目前来看,关于我国“删除权”性质的争议尚在继续。
当然,信息权本身就是传统隐私理论针对现代技术发展和个人信息保护需求的一次主动调整和适应,也符合隐私本身从“空间”到“信息”的发展方向。
早期人们对隐私概念的描述往往表现为一种“空间”性的诉求。这与隐私意识源于古希腊时代的公私领域二分法有关,因为当时侵犯个人隐私的主要方式,就是对个人住宅等私密空间的入侵。“隐私权接近于秘密权,亦即私生活所不欲人知之事实由不被他人得知的权利。” ⑦伴随二战后各国对私人领域监管程度的加强以及媒介技术的快速进步,一方面,传统公、私领域被打破,个人生活被信息化,公权力和商业机构已经不再需要“物理性”靠近来获取隐私,同时获取个人信息的能力和途径却大大提高,原来本不成问题的私人信息也不断被各种媒介技术所发现、记录甚至传播,而信息也逐渐代替空间成为研究和保护的焦点。
4.范围
欧盟《一般数据保护条例》中的“删除权”,与个人信息自决理论密切相关,体现了个人对自我信息的积极控制,其牵涉利益范围较广,与公共利益、表达自由等相关联,宪法色彩突出。而我国《网络安全法》中的“删除权”,保护的仅是较为有限的人格利益,与其说是一种并列于隐私权、名誉权的人格权,不如说是一种带有制衡和救济功能的权能。
权利是一种合法性资质,而权能是权利内在的具体效能。比如我们说物权是一种民事权利,其具有占有、使用、处分、收益等权能。具体到我国的“删除权”,其保护的人格利益明显偏窄,“不具有相对的独立性,不能成为一个具体的、具有类型化的人格利益,而只是某一种具有独立性的人格利益的组成部分”。⑧其实这也是很正常的现象,首先,《网络安全法》是一部强调网络安全与管理的综合性法律,涉及宪法、行政法、经济法、民商法等多个领域,其中对民事权利的创设和限制都非其所应承担的主要职能(这种职能似由未来可能出台的《个人信息保护法》承担更为合适)。其次,从《网络安全法》的出台过程和主要内容来看,主要强调的是一种网络主权而非网络私权。具体到第43条中提到的“删除权”,它与之后提出的“更正权”等一起,更多的是对《全国人大常委会关于加强网络信息保护的决定》中“有权要网络服务提供者删除有关信息”这一规定的一种功能性细化,是一种应对措施。而“决定”在2012年底颁布时最受人瞩目的规定是确立了用户入网、上网实名制,⑨不难理解其中对个人信息的保护是作为对网络服务者掌握用户信息后的一种制衡措施提出来的。这也表明我国设立删除权就是根据中国国情需要而自行设计的,而并非引进被遗忘权。
当然,很多学者也把这种“删除权”解读为“一般人格权”的一种,实际上这种“兜底性”做法在我国并不鲜见。比如2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,就将“网络服务提供商未依法删除用户发布信息”视为“侵犯用户一般人格权益的行为”。但是即使这样,作为一项法律概念,与欧洲广义上的“被遗忘权”或者“删除权”相比,《网络安全法》中的“删除权”在适用范围上显然也无法达到隐私权、名誉权等具体人格权的程度。
5.实施
欧洲《一般数据保护条例》较为务实,突出对个人信息权利的保障与实施,这从“被遗忘权”到“删除权”的概念转变就可以看出,不再过分强调是否能实现“被遗忘”的效果,更重视了对权利的救济和责任的追究。新法赋予数据主体要求数据控制者删除相关数据、链接、副本及承担赔偿责任等权利,自2012年始几经辩论与修改,逐渐加重作为义务主体的数据控制者的“删除”义务:一是扩大范围,无论服务器是否在欧盟,只要向欧盟公民提供网络服务,就适用《一般数据保护条例》的规定;二是将行使“删除权”的举证责任由“权利主体”转移到“义务主体”,即数据控制者本身。而“冈萨雷斯诉谷歌公司案”则从司法上落实了这些措施。
从实施效果来看,自2014年5月以后,公民向网络数据控制者尤其是搜索引擎主张“删除权”的情况激增,仅谷歌公司一年收到的申请书就达到数十万条。谷歌公司为此专门设计了一种在线表格,便于欧盟公民在线填写并行使“删除权”,当然这也引起了司法部门的重视。欧洲法院也强调对于“删除权”的审判要个案处理,不能将其视为一种超越其他基本权利的超然权利,而是要在具体的案件中进行价值判断,以平衡不同权利之间的冲突。
在我国,由于《网络安全法》刚刚生效,实施效果如何还不得而知。尽管之前《全国人大常委会关于加强网络信息保护的决定》也原则性确认了删除权,但缺乏可操作性规定,这也导致其与具体司法审判的衔接,并不像欧盟那样顺畅。以2015年北京市发生的“任甲玉诉百度请求删除搜索词及相关链接案” ⑩为例,该案也被媒体称为“中国被遗忘权第一案”。同样是公民起诉搜索引擎公司并主张删除相关信息与链接,针对原告主张的“被遗忘权”,我国法院审理认为,我国现行法律中并无“被遗忘权”这一权利类型,通过一般人格权保护“被遗忘权”,必须证明“被遗忘权”中存在正当、具有保护必要性的人格利益。就本案而言,虽然相关链接中涉及任甲玉曾经在陶氏教育的工作经历,但该利益却不具有正当性和保护必要性,最终判决驳回原告全部诉讼请求。
总体来看,由于缺乏在司法层面上的突破,较之于欧盟,我国的“删除权”还没有在现实层面实施开来。究其原因,除了立法时间尚短较少为人所知外,还与我国“删除权”制度设计的初始定位有关:相较于与欧盟的“删除权”作为一项基本权利被高度重视和不断完善,我国的“删除权”是作为国家网络信息安全中的一个组成部分而设立的,而整体制度设计的重点在于保障网络信息传播秩序的稳定,这一过程涉及行政监管部门、网络运营商及社会公众等多元主体的博弈与平衡,需要综合考量政治、经济和公民权益等多重因素,尤其是在瞬息万变的网络世界中,效率更高的行政监管无疑起到了主导作用。同时无论是《网络安全法》还是《全国人大常委会关于加强网络信息保护的决定》,都是强调网络安全与管理的综合性法律,对一项新的民事权利不可能有太多篇幅予以关注,这就为“删除权”在司法保障上的“先天不足”埋下伏笔,即与真正成为一项可以得到司法救济的独立民事权利还存在较大距离。
现实来看,我国的“删除权”尽管已经得到立法确认,但理论论证的系统性不够,比如其究竟属于隐私权还是信息权,目前就有很大争议,这与司法诉讼中的诉由密切相关。同时也缺乏可操作性强的配套制度,比如关于“删除权”的具体保护标准,以及如何推动网络运营商像谷歌那样不断推出和完善删除信息自律性规则,我国法律上并没有细化规定或者引导性条款。仅仅依靠《全国人大常委会关于加强网络信息保护的决定》等原则性的规定,很难得到司法层面上的执行,这也导致实践中人们更倾向于通过隐私、名誉等名义寻求司法救济,或者依靠行政手段实现整体维权。任甲玉案,无论是维权的原告还是法院,都毫不理会“决定”第8条,仿佛根本不存在似的,这是令人感觉意味深长的。
尽管如此,随着《民法总则》的颁布和实施,“删除权”在中国有望发展为一项独立的民事权利。在司法层面,笔者认为需要着重解决以下几个问题:一是删除权的权利属性如何,是属于隐私权,还是单独的信息权,或者所谓人格利益,这首先需要在理论上予以厘清,以便为以后的司法救济提供基础。二是要尽快推出具有可操作性的配套性制度,为公民行使“删除权”提供依据。删除权并不意味着有权删除他人控制的一切本人信息,需要制定细化的保护标准,并督促网络运营商或者其他社会组织推出删除信息的实体和程序规则。最后,尽管删除权是一项民事权利,但其与表达自由、通信安全等宪法原则密切相关,尤其是在数据驱动型的互联网业态发展大潮中,如何在制度设计上协调好诸多因素的关系,也是一个值得关注的领域。
三、原因分析:文化基因与现实考量
中欧两种“删除权”均源于不同法域下的价值选择,本身没有对错之分。删除权自提出伊始,各国关于其制度引入和具体构建就争议不断,这其中既涉及不同的传统隐私保护模式和文化传统等因素,也与各国社会经济现状尤其是互联网发展情况的现实考量有关。例如欧美两大西方代表性法域,对待删除权的态度就明显不同。在欧洲,作为一项基本权利,删除权率先在“冈萨雷斯与谷歌公司纠纷案”等司法判决中得到确立,并被标志为“宪法性时刻”。而败诉方谷歌公司所在的美国,删除权的发展可以说举步维艰,仅有加利福尼亚州的“橡皮擦法案”[11]等个别立法成果的出现,且适用范围和条件较之于欧洲限制明显。
李兵、展江认为欧美这种差异的原因,“概括来说,欧陆国家具有对隐私和个人信息进行充分保护的传统。而美国虽然是隐私权法起源国,但是由于自由、言论、信息接近等个人权利具有的根深蒂固的传统,以及近些年来互联网产业的繁荣及由此带来的开放共享精神的深入人心,‘被遗忘权’,甚至隐私权在面对这些价值时往往不得不退后”。[12]从文化基因和法律传统角度考量,美国法律以自由为核心,其对个人信息的保护更多的是通过对隐私权的扩大解释来实现,防止政府对公民私人领域的入侵;在欧洲,公民个人尊严神圣的价值观念更强,对于隐私的保护,其长久以来主要针对的对象是媒体而非政府。而相较于欧洲的“尊严观”或者美国的“自由观”,我国《网络安全法》在价值取向上更倾向于一种“秩序观”,这在其第一条“立法目的”中就可见一斑:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”这表明我国立法上的“删除权”实际上是网络安全整体制度设计中的一部分,是赋予网络服务者对用户管理义务时设置的制衡机制,旨在避免个人信息泄露导致网络秩序不稳定,是从网络公共安全视角下看待个人信息保护的。
在法律传统上,我国在传统隐私权领域的文化基础本身较弱。隐私权最早的价值形成基础来源于人们对于明确区分公、私领域的认知和在此形成的严格保护私有财产相关制度框架,而受熟人社会传统文化和“重刑轻民”法制理念的影响,中国社会的公、私领域之间的界限一直都不甚清晰。社会主义中国成立后,公有制大背景下的集体主义文化氛围,使得包括隐私在内的个人利益必须在关键时刻向公共利益妥协,这就更对公众隐私观念的淡薄产生了深刻影响。仅就传统意义上的隐私权保护,相较于欧美国家的文化氛围和立法体系,我国对隐私保护的基础一向是比较薄弱的。而当个人隐私、个人信息的保护需求与薄弱的隐私法律体系发生冲突时,就决定了《网络安全法》中的“删除权”,更多的是从实际国情角度入手,以解决现实问题为要,与欧洲的“删除权”存在差异,也就是再正常不过的事情了。
此外,对现实社会发展尤其是互联网信息保护与产业发展的综合考量,同样是决定不同国家的“删除权”存在差异的重要原因。在“冈萨雷斯与谷歌公司纠纷案”最终判决出来后,就有一种阴谋论观点,认为欧洲判决谷歌公司而非西班牙《先锋报》,就是利用法律手段遏制美国互联网公司在欧洲的强势,以期能够掌握数据时代对用户信息与数据的主动权,甚至将这种法律限制推广到欧盟范围之外的网络服务商。
当然,这种国家安全和经济因素是否被运用于相关判决或立法中,在现实中难以得到佐证,但至少这种影响力不能够被排除。前述任甲玉一案,就引发了网民和百度、腾讯等商业网站之间的广泛讨论。而在我国《网络安全法》制定过程中,以腾讯为代表的互联网行业就明确反对引入“被遗忘权”,认为其“反倒给互联网产业创新发展带来负担,且既有规范体系已经足够为个人数据和隐私提供充分保护,因此我国未来在制定相关立法时,没必要引入甚至扩大被遗忘权,反而应当从数据最小化、通过设计保护隐私等层面做出努力,并且应当积极参与国际网络治理规则的制定”。[13]结语
“删除权”概念的提出,来源于隐私及隐私权理论的发展与调整,而其内涵的充实与外延的拓展,本身也应是一个变化的过程,并蕴含于整个隐私权理论发展大潮流之中。至于“被遗忘权”或删除权,事实上并不只有“欧洲模式”或“美国模式”,我国《网络安全法》中“删除权”涉及的主体、客体、性质和适用范围等情况,实际上都有其存在的客观原因。
这在某种程度上可以解释当下我国对于“删除权”的立法现状,决策者并没有贸然地选择植入“欧洲模式”或者“美国模式”,而是基于自身需求和法律传统的平衡考虑后进行了一些尝试。这种做法在巴西、阿根廷等南美国家也有体现,比如巴西,2016年11月,其高等法院(STJ)就认为:“被遗忘权”不能强加于谷歌或其他搜索引擎。李汶龙等将其归结为对待“被遗忘权”的第三种态度。“它们意识到了数据保护问题的重要性,但是对欧盟所提出的被遗忘权不置可否,并不会贸然移植,而是在做一些本土化的尝试。” [14]由此可见,在大数据时代,由于文化因素和现实国情等原因,不同地区、国家对待“删除权”的态度不尽相同。但是有一条主线是明确的,即大家都意识到个人信息保护的重要性,同时都在不同程度地进行有益尝试。在这过程中,商业机构、政治团体、国家组织等对于信息权力的掌控与博弈,起到了关键性作用。■
①西班牙《先锋报》曾于1998年发表过一则关于举行强制拍卖财产活动的公告,其中名为冈萨雷斯的西班牙公民也有一件财物在拍卖行列之中。2010年,冈萨雷斯认为相关拍卖活动已结束多年,数据也已经失效,但是在谷歌搜索引擎上仍能找到《先锋报》发布公告的内容,已经对其名誉造成持续侵害,遂先后与《先锋报》和谷歌公司联系,希望删除上述与其相关的信息。2010年,在几次沟通无果后,冈萨雷斯向西班牙数据保护局(AEPD)投诉,要求《先锋报》、谷歌公司删除相关信息或者链接。同年西班牙数据保护局驳回了他针对报纸提交的诉求,但支持他对谷歌公司的诉求,并要求谷歌公司删除链接并保证通过搜索引擎无法打开该信息。之后谷歌公司在西班牙法院提出单独诉讼,并最终提交到欧盟法院。2014年5月,欧盟法院依据《欧洲数据保护指令》,对该案做出了最终裁判。法院认为谷歌作为搜索引擎运营商,应被视为《欧洲数据保护指令》适用范围内的数据控制者,对其处理的第三方发布的带有个人数据的网页信息负有责任,并有义务将其消除。而该案中冈萨雷斯作为“被遗忘权”的主体,有权要求将涉及其“不好的、不相关的、过分的”(inadequateirrelevant, excessive)信息在搜索引擎中删除。此案最终以谷歌败诉终结,并首次在司法层面上确立了“被遗忘权”概念,并且使之成为信息主体的一项民事权利。随后,谷歌出台了在线申请程序,正式接受欧盟用户的被遗忘权申请。
②齐爱民:《中华人民共和国个人信息保护法示范法草案(学者建议稿)》,载《河北法学》2005年第6期
③周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版
④郑志峰:《网络社会的被遗忘权研究》,载《法商研究》2015年第6期
⑤李涵:《网络环境下个人信息“被遗忘权”研究》,载《当代传播》2016年第3期
⑥齐爱民:《拯救信息社会中的人格》第79-80页,北京大学出版社2009年版
⑦洪海林:《个人信息的民法保护研究》第33页,法律出版社2010年版
⑧杨立新、韩煦:《被遗忘权的中国本土化及法律适用》,载《法律适用》2015年第2期
⑨当时许多报纸、网站在报道这个“决定”时都将实行“实名制”放在消息的最前部,并且以“我国规定用户上网须提供真实身份”之类语句作为报道的标题。
⑩2015年2月,任甲玉通过百度搜索到了关于“陶氏教育任甲玉”“无锡陶氏教育任甲玉”等字样的内容和链接,由于陶氏教育在外界颇受争议,任甲玉曾向百度公司提出要求删除相关信息,未果后遂向北京市海淀区人民法院提起诉讼,以侵犯其姓名权、名誉权和“被遗忘权”,请求删除相关信息和链接,并赔礼道歉,赔偿经济损失。对于任甲玉主张的“被遗忘权”,海淀区人民法院经审理认为,我国现行法律中并无“被遗忘权”这一权利类型,通过一般人格权保护“被遗忘权”,必须证明“被遗忘权”中存在正当、具有保护必要性的人格利益。就本案而言,虽然“陶氏教育任甲玉”“无锡陶氏教育任甲玉”等相关检索词所指向的链接中涉及任甲玉曾经在陶氏教育的工作经历,涉及任甲玉的个人信息,会对其在业界的声誉产生不良影响,进而会影响其招生、就业等,与其具有直接的利益相关性,但该利益却不具有正当性和保护必要性。原因在于,涉案信息是对任甲玉的工作经历的真实反映,与其目前所属行业的个人资信具有直接相关性,这些信息的保留对于相关公众知悉任甲玉的相关情况具有客观的必要性。因此,任甲玉所主张的“被遗忘权”不具有正当性和保护必要性。此案经两审判决,最终原告的诉讼请求被驳回。详情见(2015)一中民终字第09558号民事判决书,(2015)海民初字第17417号民事判决书。
[11]2015年1月,加利福尼亚州第568号法案正式生效。该法案要求Facebook、Twitter在内的社交网站应允许未成年人擦除自己的上网痕迹,以避免因年少无知缺乏网络防范意识而不得不在今后面临遗留的网络痕迹带来的诸多困扰,被称为“橡皮擦法案”。
[12]李兵、展江:《美国和欧盟对网络空间“被遗忘权”的不同态度》,载《新闻记者》2016年第12期
[13]杨乐,曹建峰:《从欧盟“被遗忘权”看网络治理规则的选择》,载《北京邮电大学学报(社会科学版)》2016年第8期
[14]李汶龙:《大数据时代的隐私保护与被遗忘权》,载《研究生法学》2015年第2期
周冲中央人民广播电台编辑、法律顾问,中国人民大学新闻学院博士研究生。本文为国家社科基金项目“新媒体时代个人信息保护问题研究”(14BXW036)的阶段性研究成果。
