内容提要:欧盟首先确定的被遗忘权制度引入中国以来,国内学者从必要性、可行性等角度对被遗忘权引入中国的问题作了论证,并对其中国化路径进行了分析。被遗忘权的论证及其中国化路径尚有进一步深入探讨的必要。被遗忘权未必是解决个人信息遭受侵犯的问题良方,因为国内制度及实践已经允许个人删除网上信息,以个人信息权为核心构建被遗忘权也有可能阻碍互联网发展。被遗忘权的引入应当遵循中国国情,在制度设计上以隐私为核心构建被遗忘权,在内容上进一步明确何为个人数据,在具体落实上对数据主体有所区分,在应用范围上囊括刑事法领域。
关键词:互联网 被遗忘权 立法
2014年,欧洲法院在Google Spain一案中,裁定Google公司有义务删除以信息主体姓名为关键词的搜索链接。判决一出便引起了轰动,这是被遗忘权(right to be forgotten)在司法中运用的典型案例。随即2016年欧盟通过了《一般数据保护指令》进一步确认了被遗忘权。根据该指令的界定,所谓被遗忘权,即数据主体要求数据控制者无不当延误地删除其有关数据的权利。该权利源于欧盟数据保护令的框架①,其理念可以追溯至法国法,其目的是抵御新闻媒体二次曝光个人犯罪前科带来的损害。②从权利内容来看,该项权利与欧洲多个国家关于个人信息保护规定中的删除权、反对权、更正权有着密切关系③,其核心是为了保障网民不受过去网络事件的不利影响,除非保留数据拥有合法理由,数据主体有权要求被互联网遗忘,有权要求数据控制者删除个人数据。针对国外蓬勃兴起的被遗忘权,国内学者指出该权利的兴起对于中国保护个人信息自由和权利将具有重要意义,不但有利于推动《个人信息保护法》的出台,也有助于更好地保护个人信息权利。④那么欧盟所确定的被遗忘权是否符合中国国情?被遗忘权中国化道路应当如何抉择?
一、被遗忘权中国化的几条路径
被遗忘权作为保护个人信息的武器,落地之后必然会激起连锁反应,不仅会影响互联网市场的发展和走向,而且会重塑网络中国家、企业、个人的关系。是否应当引入、应当如何引入被遗忘权成为学界讨论的重点。对此,国内学者针对被遗忘权中国化的必要性和可行性展开论证,并对未来制度设计进行了探讨。
(一)必要性论证
1.被遗忘权的确立有助于实现个人数据自决⑤
无论是公民在网络上表达的各种言论、晒出的各类照片还是转发的各类文章都属于公民言论自由的体现。从数据归属来看,凡是不构成侵权的内容均属于公民个人所有。确定被遗忘权有助于实现个人数据自决。
2.被遗忘权的确立有利于平衡个人和大型互联网企业之间的关系⑥
在大型互联网企业面前,个人的力量是弱小的,公民个人信息被泄露、被私自使用的情况时有发生。被遗忘权是公民对抗互联网企业的利器,该权利的运用可以有效地限制企业无限制地搜集整理公民个人信息。
3.被遗忘权的确立有益于个人逃离数据监控
当今社会互联网已经成为购物、出行、交友、娱乐的主要平台,为个人提供了极大的便利。与此同时,互联网企业掌握了大量个人数据,可以清晰地知道每一位网民的住址、电话、爱好、消费水平,可以迅速预判每一个人的兴趣点和爱好,从而推送相关内容。可以说,无处不在的互联网形成了所谓“数字监狱”,每一位进网的人都是该监狱中的“囚犯”,毫无自由和隐私可言。确认被遗忘权,可以帮助个体逃脱数据监控,保障公民隐私不受数据监控者侵犯。⑦
(二)可行性论证
1.蓬勃发展的互联网市场是催生被遗忘权的前提基础
根据第41次《中国互联网络发展状况统计报告》显示,中国正在从互联网大国逐步走向互联网强国。在互联网企业方面,截至2017年12月,多达102家互联网企业已赴境外上市,总市值为8.97万亿人民币。在互联网受众方面,截至2017年12月,中国已有7.72亿网民,普及率达到55.8%。在年龄结构上,10-39岁的群体占整体网民的73%,其中20-29岁网民占比最高,达到30%,10-19岁、30-39岁群体占比分别是19.6%、23.5%。在移动支付方面,移动支付不仅成为城市居民支付的第一选择,而且还逐步向乡村延伸,农村地区网民使用移动支付的比例已由2016年年底的31.7%提升至47.1%。⑧在公共服务方面,共享单车不仅成为中国出行的一部分,而且还成功走出国门,渗透到21个海外国家,成为中国创新的标志和名片。蓬勃发展的互联网市场带来了信息和数据的大爆发,据统计2017年中国移动互联网接入流量为246亿GB,约为2010年的61倍。⑨
2.网络中个人信息遭受侵犯是被遗忘权存在的现实条件
蓬勃发展的互联网市场导致信息爆发式增长,人们在享受互联网带来的各种便利的同时也遭受着互联网带来的侵害。一方面,网络服务商要求用户提供包括手机号、邮箱、微信、微博等各类信息,而且要求对其开放定位、相机等功能,并将其作为提供服务的前置条件,不同意便无法正常使用。截至2017年年底,中国拥有391万手机APP,也就是说有391万个程序可能会在取得授权同意的前提下获取各类信息,有的是个人定位信息,有的是扫描短信和电话内容,有的是扫描设备照片信息。另一方面,黑客攻击导致大量用户信息泄露,个人信息不但作为商品在市场中流通,而且有些内容滞留在网络中,成为任何人都可以查阅翻看的公开信息。根据第41次《中国互联网络发展状况统计报告》显示,2017年约有18.8%的网民遇到过账号或者密码被盗,26.6%的网民遭遇过网上诈骗,27.1%的网民表示个人信息遭到泄露,18.8%的网民设备遭受到病毒或者木马攻击。⑩与纸质媒介以及人类大脑不同,互联网存储的数据具有长期性、永久性以及稳定性。只要存储设备不出故障,信息基本在网上可以永久保存。⑪网络运营商一方面要求用户提供信息,另一方面无法绝对阻止信息泄露,导致大部分网民在网络世界中毫无隐私的状况。
3.零散但不系统的法律法规是被遗忘权存在的制度条件
事实上,中国作为互联网大国很早便开始了网络治理的规则体系建设,并以法律、行政法规、部门规章以及指导意见为基础构建起了一套个人信息保护的框架体系。在法律层面,《民法总则》赋予了个人信息自主权,并规定企业、组织和个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;《侵权责任法》对网络侵权后的信息删除作出了规定,被侵权人有权要求网络服务者提供删除服务。⑫在决策性文件方面,2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》,对删除个人信息作出了原则性规定。⑬在指导意见层面,工业和信息化部发布了《信息安全技术公共及商用服务信息系统个人信息保护指南》以及《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)。如上两部《指南》规定了信息处理者在信息主体有正当理由删除个人信息时,应当及时删除相关信息。尽管法律、决策性文件、指导意见中有被遗忘权规则的影子,却无法等同于确认被遗忘权本身。在法律层面,《侵权责任法》所规定的删除仅限于侵权信息,很多被遗忘权主张删除的信息并不一定是侵权信息,未能涵盖被遗忘权的所有主张。在决策性文件方面,有学者认为全国人大常委会的文件粗略地提及了有关个人信息删除的问题,宣示的意义更大,没有可操作性。⑭在指导意见方面,规定过于粗糙,不具备可操作性,如两部《指南》均未明确何为正当理由,同时由于《指南》属于技术指导文件,并不具备法律上的强制性,无法确保实现权利。可以说,目前关于遗忘/删除个人信息的法律法规过于零散,难以发挥真正效果。⑮
(三)本土化的路径选择
域外确立的被遗忘权如何才能实现本土化成为学界讨论的重要内容。目前针对被遗忘权落地的路径大致有三种观点,即作为个人信息权进行保护,作为隐私权予以保护,或作为人格权予以保护。被遗忘权作为个人信息权予以保护成为学界主流观点。
1.被遗忘权不应作为人格权予以保护
被遗忘权所针对的对象具有显著的人格特性,被遗忘权所涉及的信息具有明确的指向性,且大部分都是与个人名誉及人格尊严息息相关。⑯欧洲不少国家将被遗忘权界定为人格权或者人格身份权⑰,便是由于其强烈的个人指向性,而且在日本、瑞士等国家涉及网络环境下被遗忘权的案例中,判决均以侵犯人格权为案由进行审理。⑱尽管被遗忘权拥有人格权属性,但仍不能被认定为独立的新型具体人格权,而应当被认定为个人信息权。一方面因中国尚无相关的理论储备和司法经验,另一方面被遗忘权主要是实现个人信息的手段,故被遗忘权不应作为人格权予以保护。⑲
2.被遗忘权不宜作为隐私权予以保护
有的学者认为个人信息之所以值得保护,其原因在于个人信息本质上属于一种隐私。⑳美国正是通过扩充隐私权的内涵来保护个人信息。[21]若将被遗忘权认定为是隐私权的组成部分,则其内容直接受到《侵权责任法》第2条第2款的保护,在法律适用上更加便捷。但隐私权与被遗忘权仍然有本质的区别:在权利客体上,隐私权强调的是非公开的私密信息,被遗忘权强调的是网络上的公开信息;在权利内容上,隐私权强调的是防止个人生活秘密被他人知晓,而被遗忘权主要要求的是删除已经公开的个人信息;在权能上,隐私权更多的是一种防御型权利,被遗忘权则是由权利主体主动提出删除个人信息。[22]
3.被遗忘权应当作为个人信息权予以保护
所谓个人信息权是指信息主体对自己的信息享有支配权并且可以排除他人非法利用。[23]互联网的发展同时催生了个人信息权利,被遗忘权恰是个人信息权的重要范畴之一。信息主体对于个人信息拥有排他的自主权,任何组织和个人获取他人个人信息需要经过合法途径或者获得授权,信息主体既可以同意组织和个人收集、使用、加工、传输个人信息,也可以撤销授权并要求其删除个人信息。将被遗忘权纳入个人信息权的范畴,有利于制度衔接和构建。《民法总则》第111条规定了个人信息受法律保护,将其与人格权(第110条)、人身自由与人格尊严(第109条)并列,为被遗忘权的确立打下了坚实的基础。
综上,目前学界普遍认为被遗忘权是实现人格权的一种手段,而非人格权的具体表现;被遗忘权与隐私权有一定交叉但并不完全从属于隐私权;在中国现有的制度安排下,被遗忘权属于个人信息权的重要组成部分。
二、被遗忘权中国化问题的反思
国内外学者对于被遗忘权可能产生的不利影响大致总结为以下方面:其一,被遗忘权滥用可能会侵犯言论自由。公民拥有被遗忘权后,互联网公司为了避免败诉,常常主动删除一些信息。这就导致大量新闻报道和言论无法在网上公开发表,事实上在欧洲已经出现了相应的后果。例如,2014年7月初,有多家英国媒体指责谷歌过度迁就了一些人的被遗忘权诉求,有的记者发现,他们之前发布的文章都被删除。[24]其二,被遗忘权可能会威胁公共安全。对于部分刑事罪犯而言,存在再次犯罪的可能性。例如杭州“70码飙车案”驾驶人出狱后又重新飙车造成翻车。若删除多年前关于某罪犯的相关报道,则无法起到警戒作用。但对于中国而言,直接推广被遗忘权产生的问题可能不止于此,甚至被遗忘权产生的前提基础、必要性及适用范围均应当重新考察。
(一)永久记忆并不是互联网自带的天然属性
有些学者认为互联网的发展让社会丧失了遗忘的能力,取而代之的是完善的记忆。[25]而事实上,所谓完善的记忆也仅仅是停留在理论上,实践中很少有信息能够永远保存,互联网中的数据也会死亡,没有哪一个平台可以拥有永不遗忘的记忆。
1.存储设备不允许永久记忆
互联网需要存储器保存大量信息,而存储设备的更新换代会导致大量无用信息被删除。互联网出现以来,存储设备经历了翻天覆地的变化,从原有的磁带发展到软盘、光盘、机械硬盘、固态硬盘,每一次新的高效存储设备的出现,上一代的存储设备中的信息必然会逐渐遗失。例如,当前大部分人已经无法正常使用录像带及磁带,而播放这些制品的设备已经接近于淘汰,只有特别重要的信息才会进行转化和备份,其余信息基本都遗失殆尽。即便存储设备不进行换代升级,其保存时限也不尽如人意。一般而言,光盘保存5年后,就会有部分数据无法读取;移动硬盘保存10年后,就必须进行备份。
2.数据的寿命取决于互联网公司的寿命
个人数据依赖于互联网企业而存在,一旦互联网企业倒闭,企业所保留的个人数据随之便会消亡。中国互联网公司平均寿命一般在3-5年,且短寿的互联网平台有目共睹。例如,社交领域的“饭否”、搜索领域的“3721”、电商领域的“8848”都是互联网领域的失败案例。短命的互联网公司不可能支撑信息长期存在,与互联网公司一同消失的是其保留的个人信息。例如,在团购领域中兴起的烧钱混战直接导致上千家团购网站消失,而在这些网站中保存的个人注册信息、个人消费信息、个人身份信息及通信信息都一并消散。
3.信息爆炸造成信息湮灭
在信息爆炸时代,移动互联网的进步让社会热点更便捷、更快速、更广泛地传播到社会的每一个角落,同时也将公众的专注力进一步碎片化,上一个爆点新闻随时可能被下一个热点事件所掩盖,即便是轰动一时的新闻热点也会随着时间被人们所遗忘。信息的价值在于人们的关注,即便信息仍然存在于网络的某个角落,一旦失去关注其便与信息湮灭别并无二致。
综上所述,永久记忆并不是互联网的天然属性,互联网的信息也具有一定的寿命,会受到硬件设备、互联网平台、信息湮灭等因素的影响,作为被遗忘权提出的前提假设——永久记忆并不成立。
(二)被遗忘权并不能避免个人信息遭受侵害
尽管被遗忘权可以赋予公民删除网上信息的权利,但即便删除所有网上所见信息,个人信息依然会遭受到侵害,被遗忘权本身对于个人信息保护的助益似乎微乎其微。
1.个人信息受到侵害的主要原因是信息泄露
相比于网络中存在的流言蜚语及否定性评价,在中国语境下信息泄露才是个人信息遭受侵害的最主要原因。个人信息遭受侵害主要表现为收到垃圾短信骚扰、遭遇网络诈骗、账号密码被盗等而遭到财产损失等。而信息骚扰、网络诈骗、财产损失的根源在于个人信息泄露。根据《中国个人信息安全和隐私保护报告》调查显示,超过70%的受访者认为个人信息泄露问题非常严重,已经成为侵犯个人信息的主要原因。[26]对于欧盟来说,个人信息保护较为严格,母子公司之间信息共享都会遭到起诉,更不用说故意泄露用户信息。[27]故欧盟有能力在保障用户信息不受泄露的基础上赋予公民被遗忘权,以期全方位多角度保障公民个人信息。而中国应当首先集中精力解决好信息泄露问题,而不是将主要精力集中在删除网上过时的否定性评价。
2.被遗忘权并不能有效阻止信息泄露
被遗忘权所针对的信息是网上已经公开的共享类信息,任何人都可以在网络中浏览。而信息泄露所针对的主要是包括账户密码、私人照片、通话记录等隐私信息。即便赋予每个公民删除网上过时信息的权利,也无法删除平台搜集的非公开信息,更无法删除黑客通过木马和病毒窃取的个人私密信息。在中国大环境下,被遗忘权并不能解决个人信息保护的主要问题。
3.被遗忘权可能帮助信息泄露者逃避制裁
对于信息泄露者而言,除了应有的行政处罚或刑事处罚外,网络中的新闻报道成为影响他们再次进入信息收集、管理、处置行业的重大障碍。一旦被遗忘权广泛应用,则那些曾经泄露信息的企业将在删除网上负面信息的基础上,改头换面、卷土重来,此时被遗忘权可能成为信息泄露者的帮凶。
(三)现有制度及实践已经允许个人删除信息
中国作为互联网大国和互联网强国,在规范互联网运营过程中,产生了一整套行之有效的管理措施和手段。
1.主流社交网络平台允许发布者自行删除个人信息
社交网络是当前最为活跃的网络平台,具有极强的影响力和传播力。信息发布者在情绪激动或未经考虑的情况下可能会发布一些不合适的言论及不适当的照片,事后追悔莫及。为了极大地保护用户的信息自决权,所有社交网络平台均允许发布者自行删除不必要的数据,充分尊重用户的信息自决权。而且一旦数据源头信息被删除,则相关转发信息亦会消失。例如,微信公众号发布的信息,一旦作者删除信息源,所有转发均无法看到信息内容。
2.主要信息搜索平台允许涉及者申请删除个人信息
搜索引擎允许个人申请删除。搜索引擎作为整理、汇聚信息的重要平台,是了解其他信息的一个窗口,在欧盟确立的被遗忘权很大程度是为了对抗以Google为首的搜索引擎。而在中国,包括百度、360、搜狗等主要搜索平台均提供了删除服务。以百度为例,百度在服务页面囊括了“举报网站”“投诉侵权信息”“删除/更新快照”等内容,若搜索页面侵犯个人隐私或存在其他侵犯利益的情况,百度将会按照客户的要求删除相关快照。
3.其他网上平台允许个人申请删除部分信息
除了社交网络平台和搜索平台之外,其他平台也存在删除信息的渠道,即一旦平台信息涉嫌侵犯他人民事权益的,被侵权人有权通知网络服务提供者采取删除、屏蔽或断开链接等必要措施。
尽管中国没有被遗忘权这一权利,但在实践中无论是信息发布平台还是信息搜索平台,均允许用户主动删除或申请删除信息,其他网络平台针对侵权信息可以允许用户申请删除相关内容。可以说现有的制度设计与实践已经达到了部分被遗忘权的效果。
(四)被遗忘权作为个人信息权可能阻碍互联网发展
如前文所述,被遗忘权作为个人信息权的一部分,是保障个人信息自决的重要工具。但作为个人信息权的重要手段,被遗忘权可能会增加互联网企业负担、影响互联网市场运转、冲击国家互联网战略。
1.互联网企业的负担将会增加
在被遗忘权广泛应用之前,互联网权力体系中仅有企业和政府两极力量,政府制定各种规则,企业在规则的指引下开展经营活动。一旦赋予个体被遗忘权,个人作为新生力量融入互联网,会间接增加互联网企业的负担。从欧洲的情况来看,自Google Spain案生效之后,仅6个月内,谷歌就收到了49万条公民行使被遗忘权的申请,成功删除了其中41.8%的链接。[28]可以预见,被遗忘权在中国广泛应用之后,中国多数网络平台将会忙于应对各类删除信息的申请,互联网企业运营成本将会迅速攀升。
2.互联网市场将趋于保守
若被遗忘权作为隐私权的一种,则凡是不侵犯公民个人隐私、不威胁国家安全以及社会公共利益的信息,均可以随意流转。当被遗忘权作为个人信息权,互联网公司在推动数据收集、流转、整合过程中不得不考虑是否会影响到公民信息权,互联网公司除了要遵循政府的规制之外,还需要应对公民随时提出的删除要求。如此市场将会形成“不发布为原则、发布为例外”的风气,信息流转的完整性和效率将会大打折扣,互联网市场的运行逻辑也会逐步趋于保守,市场活力将会受到影响。
3.国家战略将会受到冲击
大数据、云计算已经成为国家重大战略,其基础在于数据的真实、完整与可靠。在被遗忘权广泛运用的背景下,很多新闻报道、过期事件等内容被删除,在进行大数据分析的过程中可能会偏离实际情况,得出错误结论。[29]例如,美国预测机构根据大数据分析希拉里在总统竞选中占尽优势,结果纷纷预测失误,其中重要原因在于被调查群众不愿意表达真实意愿导致数据不真实,支持特朗普的很多群众并没有被调查导致数据不完整,并最终使预测出现偏差。
三、中国需要怎样的被遗忘权
即便如前文所分析,互联网不会永远保存个人信息,网络平台已经允许个人主动删除或申请删除个人信息,被遗忘权依然有引进价值,这是因为被遗忘权是互联网时代保护公民个人隐私的重要权利。而且,在被遗忘权中国化过程中,应当兼顾中国国情,符合中国本土环境,既要推动公民个人信息保护,同时也不能成为互联网发展的障碍。
(一)在制度设计上以隐私为核心要件
在制度设计上,被遗忘权应当被认定为隐私权。不能仅从隐私权与被遗忘权之间的差异就认定其为个人信息权。事实上,对于被遗忘权的划分,欧盟和美国存在分歧。欧盟将其作为个人信息权,而美国将其作为隐私权。之所以如此划分,源自欧盟在互联网市场中尴尬的地位,欧盟各国既没有较大的互联网企业,也不是重要的数据集散中心,未来更不可能参与到互联网标准的制定。欧盟较大的互联网企业均来自美国,随着互联网企业准入门槛的攀升,欧盟已经逐步失去了竞争互联网高地的入场券。欧盟通过被遗忘权以及其他相关制度,通过改变互联网数据收集规则进而增加在互联网世界的话语权。[30]美国将被遗忘权定位为隐私权源自其强大的互联网市场,美国不希望制度成为互联网发展的掣肘,更不希望由欧盟制定的规则成为美国互联网企业的遵循,故对于被遗忘权采取了保守态度。
对于中国而言,欧盟面临的困境在中国并不存在,中国互联网市场蓬勃发展,在各个领域与美国形成良性竞争。在互联网市场中,美国有的互联网企业,中国有,美国没有的互联网公司,中国还有。作为同样需要在互联网市场持续发力、争夺话语权的国家,在制度上中国应当选择美国模式,将被遗忘权作为保护公民隐私而非个人信息权的重要工具。
(二)在内容上应当明确何为个人信息
无论是美国的橡皮擦法案,还是欧盟《一般数据保护指令》,所针对的都是个人信息。[31]因而,明确何为个人信息对于确定被遗忘权适用范围至关重要。
1.被遗忘权针对的信息是准共享信息
按照信息开放程度,可以将个人信息分为独享类数据、准共享类数据、共享类数据。所谓独享类数据即信息内容仅供个人使用,例如私密日记,个人账单,个人信件等;所谓准共享类数据即某些个人信息在一定范围内公开,由范围内群体所熟知,例如办公室电话、工作邮箱、朋友圈等,所在单位的每一个同事会通过通讯录了解工作电话和邮箱,朋友圈好友可以知晓其发布的个人信息,外单位或者非好友无则从知晓上述信息。所谓共享数据即任何人都可以看到,完全曝光在网络媒体之中,例如任何人都可以看到每一位微博用户已经公开尚未删除的照片和评论。上述三种数据可能因情形变更而发生性质转变。对于共享信息,这些内容经过数据主体的授意或授权,对外公开相关数据内容,在撤销授权之前,共享信息并不属于被遗忘权涉及的数据。对于准共享信息,由于数据主体并没有授权或者授意,故相关信息出现在信息平台中,对于数据主体造成了影响且数据存续没有相关的合法依据,故此时可以主张被遗忘权,要求平台删除相关内容。
2.被遗忘权所针对的信息是有价值的信息
个人数据为何值得保护?根本原因在于它是一种财产,即“个人对他们的个人信息拥有所有权,并且如同财产的所有人那样,有权控制对其个人信息的任何使用”[32]。根据信息是否具有价值,可以将个人信息分为有价值的信息和无价值的信息。所谓有价值的信息是指能够对个人财富、声望、地位等产生实质影响的信息。例如,如果某人被列入失信被执行人名单,成为处处受限的“老赖”,那么他的生意必然会受到影响,这样的信息就是有价值的信息。所谓无价值的信息是指,尽管信息具有个人属性,但对于其个人财富、声望、地位并不产生实质性的影响。
3.被遗忘权针对的信息是不可撤回的信息
根据数据是否可以撤回,可以将数据分为可撤销数据和不可撤销数据。所谓可撤销数据即数据主体单方面可以删除数据内容,无论是平台中还是网络中至此均没有相关内容。所谓不可撤销数据即数据发布者单方无法彻底删除数据,数据的删除需要平台的允许或配合。对于可以删除或者撤回的数据,数据主体自己便可以轻易删除,且不会留下任何痕迹,自然无须专门为此赋予权利。若数据的删除权掌握在平台或者其他搜索引擎中,此时需要一种权利帮助个人删除相关信息。
(三)在具体落实上应当对数据主体有所区分
数据主体有权要求控制者无不当延误地删除与其有关的个人数据。但在具体落实的过程中,应当进一步明确谁是“数据主体”,哪些人、企业、机构或者单位可以被称之为数据主体。
1.应当区分数据所有者和数据涉及者
所谓数据所有者即对数据享有完全的所有权,数据的产生、使用、加工、传输均需要经过数据所有者的同意。所谓数据涉及者即数据内容涉及到某人,但此对数据并不享有所有权。区分数据所有者和数据涉及者能够从另一个视角看待欧盟、美国对于被遗忘权的态度。在欧盟Google Spain一案中,西班牙公民冈萨雷斯的个人信息出现在1998年的一篇新闻报道中,原告冈萨雷斯并非数据所有者而是数据涉及者,最终欧洲法院判决谷歌败诉,支持了数据涉及者。而在美国,若要删除相关信息,数据涉及者很少有成功的案例。[33]
2.应当区分数据完全所有者和数据不完全所有者
数据完全所有者对数据的全部内容独享所有权,没有与他人共享数据;而数据不完全所有者对于数据内容并不完全掌握。例如,某人在网上公开的个人头像和自拍照,其中只涉及他的个人信息,此时他对于照片数据独享所有权;若此人在网上公开了多人合照,那么任何参与合照的人均对于照片承载的信息享有一定的所有权。区分数据完全所有者和数据不完全所有者的意义在于划定被遗忘权适用范围,保护互联网中内容的完整性。数据不完全所有者要求网络平台删除数据则可能会侵犯其他数据所有者的言论自由,此时平台不能随意删除,否则网络开放的价值将会受到严重的侵蚀。
3.应当区分数据制造者和数据加工者
所谓数据制造者是产生原初数据的主体。数据加工者是在原初数据基础上进行整合、加工、处理后得到信息的主体。区分数据制造者和数据加工者有助于划定删除范围,数据制造者是数据的源流,一旦要求删除则连带加工后的数据可能会被一并删除,而数据加工者只能要求删除加工数据,对于源流数据则无权要求删除。
(四)在适用范围上不应遗忘刑事领域
目前中国学术界所讨论的被遗忘权基本集中于民商事领域,而在刑事领域的讨论寥寥无几。事实上,被遗忘权最初主要是针对刑事领域,其目的是确保罪犯改造后被定罪和监禁的相关事实不被公开。[34]而随着互联网的兴起,被遗忘权逐步成为保护公民隐私、保障个人信息自决权的重要手段,刑事领域的应用逐步淡出人们的视野。事实上,在中国被遗忘权在刑事领域中的应用比民商事领域更为迫切。
在最高人民法院推动的司法公开活动中,裁判文书、庭审录像、开庭公告等内容逐渐从线下走到线上,全中国的公民不必亲身前往法院,只须端坐于电脑旁就可以了解全国各地法院的开庭公告情况,也可以了解庭审直播的内容,还可以浏览裁判文书。司法公开成为推动司法改革、提升司法公信、树立司法权威的重要抓手,但司法公开带来的一些负面效果也是明显的。一方面,可能不利于罪犯回归社会。在裁判文书网中,部分裁判文书公开了罪犯的姓名、年龄、户籍等身份信息,在庭审直播平台中公开了罪犯的外貌特征。上述信息长期存在于网络之中,即便罪犯完成了改造,仍然会被周边人从网络中翻出不光彩的过往,并贴上罪犯的标签,使他们很难真正回归社会。另一方面,可能不利于保护诉讼参与人。庭审直播平台全方位、多层次地展现了中国法庭的实际情况,包括当事人、法定代理人、诉讼代理人、辩护人、证人、鉴定人和翻译人员统统会展现在网络中,这些影像资料不仅可能侵犯诉讼参与人的隐私,而且可能会对其日后的生产生活产生诸多不利影响。
现有相关立法及政策所针对的均是企业、组织、个人所搭建的网络平台,而国家机关所开设的各类门户网站并不在决定、法律及指南所规定的范畴内。故无论是罪犯还是诉讼参与人都无权要求法院删除裁判文书网上公开的内容,亦无权要求法院删除庭审直播网中的影像资料。而司法公开所涉及的公民信息是全方位的,不仅包括个人身份信息,还包括外貌特征及个人住址,这远比网上信息泄露更严重。对此问题,显然需要通过进一步完善立法来予以规制。
(刘雁鹏,中国社会科学院法学研究所助理研究员,法学博士。)
注释:
①参见范为:《由Google Spain案论被遗忘权的法律适用——以欧盟数据保护指令(95/46/EC)为中心》,载《网络法律评论》2013年第2期。
②See Jeanne Hauch,“Protecting Private Facts in France:The Warren & Brandeis Tort Is Alive and Well and Flourishing in Paris”,68 Tulane Law Review,1994,p.1261.
③例如,德国、法国、英国、荷兰在上个世纪80-90年代出台的《数据保护法》中就规定了删除权、修改权、更正权等内容。参见郑志峰:《网络社会的被遗忘权研究》,载《法商研究》2015年第6期。
④参见李文曾:《“被遗忘权”:言论自由与隐私自主的博弈与衡平》,载《网络法律评论》2013年第2期。
⑤参见夏燕:《被遗忘权之争——基于欧盟个人数据保护立法改革的考察》,载《北京理工大学学报(社会科学版)》2016年第5期。
⑥参见赵锐:《被遗忘权:理性批判与法律构造》,载《北京理工大学学报(社会科学版)》2016年第5期。
⑦See B.Simon,“The Return of Panopticism:Supervision,Subjection and the New Surveillance”,3 Surveillance & Society,No.1(2005),pp.1-20.
⑧参见中国互联网络信息中心发布的第41次《中国互联网络发展状况统计报告》,2018年6月28日访问。
⑨参见工业和信息化部:《2017年通讯业统计公报》,2018年6月30日访问。
⑩参见注⑧。
⑪参见注④。
⑫《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”《侵权责任法》第36条第2款规定:“网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。”
⑬《关于加强网络信息保护的决定》第8条规定:“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”
⑭参见薛亚君:《数字时代个人信息的被遗忘权》,载《情报理论与实践》2015年第4期。
⑮参见罗浏虎:《被遗忘权:搜索引擎上过时个人信息的司法规制》,载《重庆邮电大学学报(社会科学版)》2016年第3期。
⑯参见杨立新、韩煦:《被遗忘权的中国本土化及法律适用》,载《法律适用》2015年第2期。
⑰例如,意大利学者将其归入人格身份权,瑞士则将之视为人格权的一种,参见注③。
⑱参见陶乾:《论数字时代的被遗忘权——请求享有清白历史的权利》,载《现代传播》2015年第6期。
⑲李倩:《被遗忘权在我国人格权中的定位与适用》,载《重庆邮电大学学报(社会科学版)》2016年第3期。
⑳参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期。
[21]参见梁辰曦、董天策:《试论大数据背景下被遗忘权的属性及其边界》,载《学术界》2015年第9期。
[22]参见注⑯。
[23]参见王利明:《隐私权概念的再界定》,载《法学家》2012年第1期。
[24]例如,BBC记者Robert Peston发现,其在2007年发布的关于美林证券前执行总裁因深陷次贷危机而被免职的文章被谷歌从搜索结果中删除。《卫报》也发现其六篇报道被谷歌从搜索结果中删除,其中三篇是关于英格兰足球联赛裁判在比赛中作弊的报道。参见李立娟:《英媒谴责谷歌滥用被遗忘权》,载《法制日报》,2014年7月8日。
[25][美]维克托•迈尔-舍恩伯格:《删除:大数据取舍之道》,浙江人民出版社2013年版,第10页。
[26]参见史兆琨:《逾七成受访者认为个人信息泄露问题严重》,载《检察日报》,2016年11月23日。
[27]2017年1月,WhatsApp因与Facebook分享数据在德被起诉,其中Facebook于2014年收购WhatsApp,两者是母子公司。
[28]参见万方:《终将被遗忘的权利——我国引入被遗忘权的思考》,载《法学评论》2016年第6期。
[29]参见伍艳:《论网络信息时代的被遗忘权——以欧盟个人数据保护改革为视角》,载《图书馆理论与实践》2013年第11期。
[30]参见注⑤。
[31]美国加利福尼亚州2013年通过橡皮擦法案,要求包括Facebook和Twitter在内的社交媒体允许未成年人擦除网上浏览的痕迹。参见裴洪辉:《美国推橡皮擦法案,抹掉未成年人的网络过失》,载《法律与生活》2014年第1期。根据欧盟《一般数据保护指令》(General Data Protection Regulation)的规定,数据主体可以要求控制者删除与其有关的个人数据:(1)搜集数据的目的已经消失;(2)数据主体撤回同意;(3)数据控制者反对使用数据,且数据控制者没有合法理由;(4)数据控制者非法使用数据;(5)法律规定要求删除的;(6)涉及到未成年人的社会服务信息。参见注⑤。
[32]Jerry Kang,“Information Privacy in Cyberspace Transaction”,30 Stanford Law Review(1998),pp.1193.
[33]参见注③。
[34]J.Rosen,“The Right to be Forgotten”,44 Stanford Law Review,2012,p.64.
Abstract: With the development of the Internet,the right to be forgotten recognized by the EU has gradually entered the research field of Chinese academia.Since then,domestic scholars have analyzed the necessity and feasibility and also the path possible of the right to be forgotten to be approved by Chinese government.However,the argument of the right to be forgotten and its path deserve to be further discussed.The right to be forgotten is not a solution to the violation of personal information in China beacuase our domestic systems and practices have allowed individuals to delete online information and the construction of the forgotten right with the right of personal information as the core may hinder the development of the Internet.This article suggests that the introduction of the right to be forgotten should follow China's national conditions.The right to be forgotten should be constructed with privacy as the core in the system design,and the content should further clarify personal data.We suggest that the subjects of data should be differentiated in specific implementation and the scope of application should encompass the criminal field.
(责任编辑叶传星)
关键词:互联网 被遗忘权 立法
2014年,欧洲法院在Google Spain一案中,裁定Google公司有义务删除以信息主体姓名为关键词的搜索链接。判决一出便引起了轰动,这是被遗忘权(right to be forgotten)在司法中运用的典型案例。随即2016年欧盟通过了《一般数据保护指令》进一步确认了被遗忘权。根据该指令的界定,所谓被遗忘权,即数据主体要求数据控制者无不当延误地删除其有关数据的权利。该权利源于欧盟数据保护令的框架①,其理念可以追溯至法国法,其目的是抵御新闻媒体二次曝光个人犯罪前科带来的损害。②从权利内容来看,该项权利与欧洲多个国家关于个人信息保护规定中的删除权、反对权、更正权有着密切关系③,其核心是为了保障网民不受过去网络事件的不利影响,除非保留数据拥有合法理由,数据主体有权要求被互联网遗忘,有权要求数据控制者删除个人数据。针对国外蓬勃兴起的被遗忘权,国内学者指出该权利的兴起对于中国保护个人信息自由和权利将具有重要意义,不但有利于推动《个人信息保护法》的出台,也有助于更好地保护个人信息权利。④那么欧盟所确定的被遗忘权是否符合中国国情?被遗忘权中国化道路应当如何抉择?
一、被遗忘权中国化的几条路径
被遗忘权作为保护个人信息的武器,落地之后必然会激起连锁反应,不仅会影响互联网市场的发展和走向,而且会重塑网络中国家、企业、个人的关系。是否应当引入、应当如何引入被遗忘权成为学界讨论的重点。对此,国内学者针对被遗忘权中国化的必要性和可行性展开论证,并对未来制度设计进行了探讨。
(一)必要性论证
1.被遗忘权的确立有助于实现个人数据自决⑤
无论是公民在网络上表达的各种言论、晒出的各类照片还是转发的各类文章都属于公民言论自由的体现。从数据归属来看,凡是不构成侵权的内容均属于公民个人所有。确定被遗忘权有助于实现个人数据自决。
2.被遗忘权的确立有利于平衡个人和大型互联网企业之间的关系⑥
在大型互联网企业面前,个人的力量是弱小的,公民个人信息被泄露、被私自使用的情况时有发生。被遗忘权是公民对抗互联网企业的利器,该权利的运用可以有效地限制企业无限制地搜集整理公民个人信息。
3.被遗忘权的确立有益于个人逃离数据监控
当今社会互联网已经成为购物、出行、交友、娱乐的主要平台,为个人提供了极大的便利。与此同时,互联网企业掌握了大量个人数据,可以清晰地知道每一位网民的住址、电话、爱好、消费水平,可以迅速预判每一个人的兴趣点和爱好,从而推送相关内容。可以说,无处不在的互联网形成了所谓“数字监狱”,每一位进网的人都是该监狱中的“囚犯”,毫无自由和隐私可言。确认被遗忘权,可以帮助个体逃脱数据监控,保障公民隐私不受数据监控者侵犯。⑦
(二)可行性论证
1.蓬勃发展的互联网市场是催生被遗忘权的前提基础
根据第41次《中国互联网络发展状况统计报告》显示,中国正在从互联网大国逐步走向互联网强国。在互联网企业方面,截至2017年12月,多达102家互联网企业已赴境外上市,总市值为8.97万亿人民币。在互联网受众方面,截至2017年12月,中国已有7.72亿网民,普及率达到55.8%。在年龄结构上,10-39岁的群体占整体网民的73%,其中20-29岁网民占比最高,达到30%,10-19岁、30-39岁群体占比分别是19.6%、23.5%。在移动支付方面,移动支付不仅成为城市居民支付的第一选择,而且还逐步向乡村延伸,农村地区网民使用移动支付的比例已由2016年年底的31.7%提升至47.1%。⑧在公共服务方面,共享单车不仅成为中国出行的一部分,而且还成功走出国门,渗透到21个海外国家,成为中国创新的标志和名片。蓬勃发展的互联网市场带来了信息和数据的大爆发,据统计2017年中国移动互联网接入流量为246亿GB,约为2010年的61倍。⑨
2.网络中个人信息遭受侵犯是被遗忘权存在的现实条件
蓬勃发展的互联网市场导致信息爆发式增长,人们在享受互联网带来的各种便利的同时也遭受着互联网带来的侵害。一方面,网络服务商要求用户提供包括手机号、邮箱、微信、微博等各类信息,而且要求对其开放定位、相机等功能,并将其作为提供服务的前置条件,不同意便无法正常使用。截至2017年年底,中国拥有391万手机APP,也就是说有391万个程序可能会在取得授权同意的前提下获取各类信息,有的是个人定位信息,有的是扫描短信和电话内容,有的是扫描设备照片信息。另一方面,黑客攻击导致大量用户信息泄露,个人信息不但作为商品在市场中流通,而且有些内容滞留在网络中,成为任何人都可以查阅翻看的公开信息。根据第41次《中国互联网络发展状况统计报告》显示,2017年约有18.8%的网民遇到过账号或者密码被盗,26.6%的网民遭遇过网上诈骗,27.1%的网民表示个人信息遭到泄露,18.8%的网民设备遭受到病毒或者木马攻击。⑩与纸质媒介以及人类大脑不同,互联网存储的数据具有长期性、永久性以及稳定性。只要存储设备不出故障,信息基本在网上可以永久保存。⑪网络运营商一方面要求用户提供信息,另一方面无法绝对阻止信息泄露,导致大部分网民在网络世界中毫无隐私的状况。
3.零散但不系统的法律法规是被遗忘权存在的制度条件
事实上,中国作为互联网大国很早便开始了网络治理的规则体系建设,并以法律、行政法规、部门规章以及指导意见为基础构建起了一套个人信息保护的框架体系。在法律层面,《民法总则》赋予了个人信息自主权,并规定企业、组织和个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;《侵权责任法》对网络侵权后的信息删除作出了规定,被侵权人有权要求网络服务者提供删除服务。⑫在决策性文件方面,2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》,对删除个人信息作出了原则性规定。⑬在指导意见层面,工业和信息化部发布了《信息安全技术公共及商用服务信息系统个人信息保护指南》以及《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)。如上两部《指南》规定了信息处理者在信息主体有正当理由删除个人信息时,应当及时删除相关信息。尽管法律、决策性文件、指导意见中有被遗忘权规则的影子,却无法等同于确认被遗忘权本身。在法律层面,《侵权责任法》所规定的删除仅限于侵权信息,很多被遗忘权主张删除的信息并不一定是侵权信息,未能涵盖被遗忘权的所有主张。在决策性文件方面,有学者认为全国人大常委会的文件粗略地提及了有关个人信息删除的问题,宣示的意义更大,没有可操作性。⑭在指导意见方面,规定过于粗糙,不具备可操作性,如两部《指南》均未明确何为正当理由,同时由于《指南》属于技术指导文件,并不具备法律上的强制性,无法确保实现权利。可以说,目前关于遗忘/删除个人信息的法律法规过于零散,难以发挥真正效果。⑮
(三)本土化的路径选择
域外确立的被遗忘权如何才能实现本土化成为学界讨论的重要内容。目前针对被遗忘权落地的路径大致有三种观点,即作为个人信息权进行保护,作为隐私权予以保护,或作为人格权予以保护。被遗忘权作为个人信息权予以保护成为学界主流观点。
1.被遗忘权不应作为人格权予以保护
被遗忘权所针对的对象具有显著的人格特性,被遗忘权所涉及的信息具有明确的指向性,且大部分都是与个人名誉及人格尊严息息相关。⑯欧洲不少国家将被遗忘权界定为人格权或者人格身份权⑰,便是由于其强烈的个人指向性,而且在日本、瑞士等国家涉及网络环境下被遗忘权的案例中,判决均以侵犯人格权为案由进行审理。⑱尽管被遗忘权拥有人格权属性,但仍不能被认定为独立的新型具体人格权,而应当被认定为个人信息权。一方面因中国尚无相关的理论储备和司法经验,另一方面被遗忘权主要是实现个人信息的手段,故被遗忘权不应作为人格权予以保护。⑲
2.被遗忘权不宜作为隐私权予以保护
有的学者认为个人信息之所以值得保护,其原因在于个人信息本质上属于一种隐私。⑳美国正是通过扩充隐私权的内涵来保护个人信息。[21]若将被遗忘权认定为是隐私权的组成部分,则其内容直接受到《侵权责任法》第2条第2款的保护,在法律适用上更加便捷。但隐私权与被遗忘权仍然有本质的区别:在权利客体上,隐私权强调的是非公开的私密信息,被遗忘权强调的是网络上的公开信息;在权利内容上,隐私权强调的是防止个人生活秘密被他人知晓,而被遗忘权主要要求的是删除已经公开的个人信息;在权能上,隐私权更多的是一种防御型权利,被遗忘权则是由权利主体主动提出删除个人信息。[22]
3.被遗忘权应当作为个人信息权予以保护
所谓个人信息权是指信息主体对自己的信息享有支配权并且可以排除他人非法利用。[23]互联网的发展同时催生了个人信息权利,被遗忘权恰是个人信息权的重要范畴之一。信息主体对于个人信息拥有排他的自主权,任何组织和个人获取他人个人信息需要经过合法途径或者获得授权,信息主体既可以同意组织和个人收集、使用、加工、传输个人信息,也可以撤销授权并要求其删除个人信息。将被遗忘权纳入个人信息权的范畴,有利于制度衔接和构建。《民法总则》第111条规定了个人信息受法律保护,将其与人格权(第110条)、人身自由与人格尊严(第109条)并列,为被遗忘权的确立打下了坚实的基础。
综上,目前学界普遍认为被遗忘权是实现人格权的一种手段,而非人格权的具体表现;被遗忘权与隐私权有一定交叉但并不完全从属于隐私权;在中国现有的制度安排下,被遗忘权属于个人信息权的重要组成部分。
二、被遗忘权中国化问题的反思
国内外学者对于被遗忘权可能产生的不利影响大致总结为以下方面:其一,被遗忘权滥用可能会侵犯言论自由。公民拥有被遗忘权后,互联网公司为了避免败诉,常常主动删除一些信息。这就导致大量新闻报道和言论无法在网上公开发表,事实上在欧洲已经出现了相应的后果。例如,2014年7月初,有多家英国媒体指责谷歌过度迁就了一些人的被遗忘权诉求,有的记者发现,他们之前发布的文章都被删除。[24]其二,被遗忘权可能会威胁公共安全。对于部分刑事罪犯而言,存在再次犯罪的可能性。例如杭州“70码飙车案”驾驶人出狱后又重新飙车造成翻车。若删除多年前关于某罪犯的相关报道,则无法起到警戒作用。但对于中国而言,直接推广被遗忘权产生的问题可能不止于此,甚至被遗忘权产生的前提基础、必要性及适用范围均应当重新考察。
(一)永久记忆并不是互联网自带的天然属性
有些学者认为互联网的发展让社会丧失了遗忘的能力,取而代之的是完善的记忆。[25]而事实上,所谓完善的记忆也仅仅是停留在理论上,实践中很少有信息能够永远保存,互联网中的数据也会死亡,没有哪一个平台可以拥有永不遗忘的记忆。
1.存储设备不允许永久记忆
互联网需要存储器保存大量信息,而存储设备的更新换代会导致大量无用信息被删除。互联网出现以来,存储设备经历了翻天覆地的变化,从原有的磁带发展到软盘、光盘、机械硬盘、固态硬盘,每一次新的高效存储设备的出现,上一代的存储设备中的信息必然会逐渐遗失。例如,当前大部分人已经无法正常使用录像带及磁带,而播放这些制品的设备已经接近于淘汰,只有特别重要的信息才会进行转化和备份,其余信息基本都遗失殆尽。即便存储设备不进行换代升级,其保存时限也不尽如人意。一般而言,光盘保存5年后,就会有部分数据无法读取;移动硬盘保存10年后,就必须进行备份。
2.数据的寿命取决于互联网公司的寿命
个人数据依赖于互联网企业而存在,一旦互联网企业倒闭,企业所保留的个人数据随之便会消亡。中国互联网公司平均寿命一般在3-5年,且短寿的互联网平台有目共睹。例如,社交领域的“饭否”、搜索领域的“3721”、电商领域的“8848”都是互联网领域的失败案例。短命的互联网公司不可能支撑信息长期存在,与互联网公司一同消失的是其保留的个人信息。例如,在团购领域中兴起的烧钱混战直接导致上千家团购网站消失,而在这些网站中保存的个人注册信息、个人消费信息、个人身份信息及通信信息都一并消散。
3.信息爆炸造成信息湮灭
在信息爆炸时代,移动互联网的进步让社会热点更便捷、更快速、更广泛地传播到社会的每一个角落,同时也将公众的专注力进一步碎片化,上一个爆点新闻随时可能被下一个热点事件所掩盖,即便是轰动一时的新闻热点也会随着时间被人们所遗忘。信息的价值在于人们的关注,即便信息仍然存在于网络的某个角落,一旦失去关注其便与信息湮灭别并无二致。
综上所述,永久记忆并不是互联网的天然属性,互联网的信息也具有一定的寿命,会受到硬件设备、互联网平台、信息湮灭等因素的影响,作为被遗忘权提出的前提假设——永久记忆并不成立。
(二)被遗忘权并不能避免个人信息遭受侵害
尽管被遗忘权可以赋予公民删除网上信息的权利,但即便删除所有网上所见信息,个人信息依然会遭受到侵害,被遗忘权本身对于个人信息保护的助益似乎微乎其微。
1.个人信息受到侵害的主要原因是信息泄露
相比于网络中存在的流言蜚语及否定性评价,在中国语境下信息泄露才是个人信息遭受侵害的最主要原因。个人信息遭受侵害主要表现为收到垃圾短信骚扰、遭遇网络诈骗、账号密码被盗等而遭到财产损失等。而信息骚扰、网络诈骗、财产损失的根源在于个人信息泄露。根据《中国个人信息安全和隐私保护报告》调查显示,超过70%的受访者认为个人信息泄露问题非常严重,已经成为侵犯个人信息的主要原因。[26]对于欧盟来说,个人信息保护较为严格,母子公司之间信息共享都会遭到起诉,更不用说故意泄露用户信息。[27]故欧盟有能力在保障用户信息不受泄露的基础上赋予公民被遗忘权,以期全方位多角度保障公民个人信息。而中国应当首先集中精力解决好信息泄露问题,而不是将主要精力集中在删除网上过时的否定性评价。
2.被遗忘权并不能有效阻止信息泄露
被遗忘权所针对的信息是网上已经公开的共享类信息,任何人都可以在网络中浏览。而信息泄露所针对的主要是包括账户密码、私人照片、通话记录等隐私信息。即便赋予每个公民删除网上过时信息的权利,也无法删除平台搜集的非公开信息,更无法删除黑客通过木马和病毒窃取的个人私密信息。在中国大环境下,被遗忘权并不能解决个人信息保护的主要问题。
3.被遗忘权可能帮助信息泄露者逃避制裁
对于信息泄露者而言,除了应有的行政处罚或刑事处罚外,网络中的新闻报道成为影响他们再次进入信息收集、管理、处置行业的重大障碍。一旦被遗忘权广泛应用,则那些曾经泄露信息的企业将在删除网上负面信息的基础上,改头换面、卷土重来,此时被遗忘权可能成为信息泄露者的帮凶。
(三)现有制度及实践已经允许个人删除信息
中国作为互联网大国和互联网强国,在规范互联网运营过程中,产生了一整套行之有效的管理措施和手段。
1.主流社交网络平台允许发布者自行删除个人信息
社交网络是当前最为活跃的网络平台,具有极强的影响力和传播力。信息发布者在情绪激动或未经考虑的情况下可能会发布一些不合适的言论及不适当的照片,事后追悔莫及。为了极大地保护用户的信息自决权,所有社交网络平台均允许发布者自行删除不必要的数据,充分尊重用户的信息自决权。而且一旦数据源头信息被删除,则相关转发信息亦会消失。例如,微信公众号发布的信息,一旦作者删除信息源,所有转发均无法看到信息内容。
2.主要信息搜索平台允许涉及者申请删除个人信息
搜索引擎允许个人申请删除。搜索引擎作为整理、汇聚信息的重要平台,是了解其他信息的一个窗口,在欧盟确立的被遗忘权很大程度是为了对抗以Google为首的搜索引擎。而在中国,包括百度、360、搜狗等主要搜索平台均提供了删除服务。以百度为例,百度在服务页面囊括了“举报网站”“投诉侵权信息”“删除/更新快照”等内容,若搜索页面侵犯个人隐私或存在其他侵犯利益的情况,百度将会按照客户的要求删除相关快照。
3.其他网上平台允许个人申请删除部分信息
除了社交网络平台和搜索平台之外,其他平台也存在删除信息的渠道,即一旦平台信息涉嫌侵犯他人民事权益的,被侵权人有权通知网络服务提供者采取删除、屏蔽或断开链接等必要措施。
尽管中国没有被遗忘权这一权利,但在实践中无论是信息发布平台还是信息搜索平台,均允许用户主动删除或申请删除信息,其他网络平台针对侵权信息可以允许用户申请删除相关内容。可以说现有的制度设计与实践已经达到了部分被遗忘权的效果。
(四)被遗忘权作为个人信息权可能阻碍互联网发展
如前文所述,被遗忘权作为个人信息权的一部分,是保障个人信息自决的重要工具。但作为个人信息权的重要手段,被遗忘权可能会增加互联网企业负担、影响互联网市场运转、冲击国家互联网战略。
1.互联网企业的负担将会增加
在被遗忘权广泛应用之前,互联网权力体系中仅有企业和政府两极力量,政府制定各种规则,企业在规则的指引下开展经营活动。一旦赋予个体被遗忘权,个人作为新生力量融入互联网,会间接增加互联网企业的负担。从欧洲的情况来看,自Google Spain案生效之后,仅6个月内,谷歌就收到了49万条公民行使被遗忘权的申请,成功删除了其中41.8%的链接。[28]可以预见,被遗忘权在中国广泛应用之后,中国多数网络平台将会忙于应对各类删除信息的申请,互联网企业运营成本将会迅速攀升。
2.互联网市场将趋于保守
若被遗忘权作为隐私权的一种,则凡是不侵犯公民个人隐私、不威胁国家安全以及社会公共利益的信息,均可以随意流转。当被遗忘权作为个人信息权,互联网公司在推动数据收集、流转、整合过程中不得不考虑是否会影响到公民信息权,互联网公司除了要遵循政府的规制之外,还需要应对公民随时提出的删除要求。如此市场将会形成“不发布为原则、发布为例外”的风气,信息流转的完整性和效率将会大打折扣,互联网市场的运行逻辑也会逐步趋于保守,市场活力将会受到影响。
3.国家战略将会受到冲击
大数据、云计算已经成为国家重大战略,其基础在于数据的真实、完整与可靠。在被遗忘权广泛运用的背景下,很多新闻报道、过期事件等内容被删除,在进行大数据分析的过程中可能会偏离实际情况,得出错误结论。[29]例如,美国预测机构根据大数据分析希拉里在总统竞选中占尽优势,结果纷纷预测失误,其中重要原因在于被调查群众不愿意表达真实意愿导致数据不真实,支持特朗普的很多群众并没有被调查导致数据不完整,并最终使预测出现偏差。
三、中国需要怎样的被遗忘权
即便如前文所分析,互联网不会永远保存个人信息,网络平台已经允许个人主动删除或申请删除个人信息,被遗忘权依然有引进价值,这是因为被遗忘权是互联网时代保护公民个人隐私的重要权利。而且,在被遗忘权中国化过程中,应当兼顾中国国情,符合中国本土环境,既要推动公民个人信息保护,同时也不能成为互联网发展的障碍。
(一)在制度设计上以隐私为核心要件
在制度设计上,被遗忘权应当被认定为隐私权。不能仅从隐私权与被遗忘权之间的差异就认定其为个人信息权。事实上,对于被遗忘权的划分,欧盟和美国存在分歧。欧盟将其作为个人信息权,而美国将其作为隐私权。之所以如此划分,源自欧盟在互联网市场中尴尬的地位,欧盟各国既没有较大的互联网企业,也不是重要的数据集散中心,未来更不可能参与到互联网标准的制定。欧盟较大的互联网企业均来自美国,随着互联网企业准入门槛的攀升,欧盟已经逐步失去了竞争互联网高地的入场券。欧盟通过被遗忘权以及其他相关制度,通过改变互联网数据收集规则进而增加在互联网世界的话语权。[30]美国将被遗忘权定位为隐私权源自其强大的互联网市场,美国不希望制度成为互联网发展的掣肘,更不希望由欧盟制定的规则成为美国互联网企业的遵循,故对于被遗忘权采取了保守态度。
对于中国而言,欧盟面临的困境在中国并不存在,中国互联网市场蓬勃发展,在各个领域与美国形成良性竞争。在互联网市场中,美国有的互联网企业,中国有,美国没有的互联网公司,中国还有。作为同样需要在互联网市场持续发力、争夺话语权的国家,在制度上中国应当选择美国模式,将被遗忘权作为保护公民隐私而非个人信息权的重要工具。
(二)在内容上应当明确何为个人信息
无论是美国的橡皮擦法案,还是欧盟《一般数据保护指令》,所针对的都是个人信息。[31]因而,明确何为个人信息对于确定被遗忘权适用范围至关重要。
1.被遗忘权针对的信息是准共享信息
按照信息开放程度,可以将个人信息分为独享类数据、准共享类数据、共享类数据。所谓独享类数据即信息内容仅供个人使用,例如私密日记,个人账单,个人信件等;所谓准共享类数据即某些个人信息在一定范围内公开,由范围内群体所熟知,例如办公室电话、工作邮箱、朋友圈等,所在单位的每一个同事会通过通讯录了解工作电话和邮箱,朋友圈好友可以知晓其发布的个人信息,外单位或者非好友无则从知晓上述信息。所谓共享数据即任何人都可以看到,完全曝光在网络媒体之中,例如任何人都可以看到每一位微博用户已经公开尚未删除的照片和评论。上述三种数据可能因情形变更而发生性质转变。对于共享信息,这些内容经过数据主体的授意或授权,对外公开相关数据内容,在撤销授权之前,共享信息并不属于被遗忘权涉及的数据。对于准共享信息,由于数据主体并没有授权或者授意,故相关信息出现在信息平台中,对于数据主体造成了影响且数据存续没有相关的合法依据,故此时可以主张被遗忘权,要求平台删除相关内容。
2.被遗忘权所针对的信息是有价值的信息
个人数据为何值得保护?根本原因在于它是一种财产,即“个人对他们的个人信息拥有所有权,并且如同财产的所有人那样,有权控制对其个人信息的任何使用”[32]。根据信息是否具有价值,可以将个人信息分为有价值的信息和无价值的信息。所谓有价值的信息是指能够对个人财富、声望、地位等产生实质影响的信息。例如,如果某人被列入失信被执行人名单,成为处处受限的“老赖”,那么他的生意必然会受到影响,这样的信息就是有价值的信息。所谓无价值的信息是指,尽管信息具有个人属性,但对于其个人财富、声望、地位并不产生实质性的影响。
3.被遗忘权针对的信息是不可撤回的信息
根据数据是否可以撤回,可以将数据分为可撤销数据和不可撤销数据。所谓可撤销数据即数据主体单方面可以删除数据内容,无论是平台中还是网络中至此均没有相关内容。所谓不可撤销数据即数据发布者单方无法彻底删除数据,数据的删除需要平台的允许或配合。对于可以删除或者撤回的数据,数据主体自己便可以轻易删除,且不会留下任何痕迹,自然无须专门为此赋予权利。若数据的删除权掌握在平台或者其他搜索引擎中,此时需要一种权利帮助个人删除相关信息。
(三)在具体落实上应当对数据主体有所区分
数据主体有权要求控制者无不当延误地删除与其有关的个人数据。但在具体落实的过程中,应当进一步明确谁是“数据主体”,哪些人、企业、机构或者单位可以被称之为数据主体。
1.应当区分数据所有者和数据涉及者
所谓数据所有者即对数据享有完全的所有权,数据的产生、使用、加工、传输均需要经过数据所有者的同意。所谓数据涉及者即数据内容涉及到某人,但此对数据并不享有所有权。区分数据所有者和数据涉及者能够从另一个视角看待欧盟、美国对于被遗忘权的态度。在欧盟Google Spain一案中,西班牙公民冈萨雷斯的个人信息出现在1998年的一篇新闻报道中,原告冈萨雷斯并非数据所有者而是数据涉及者,最终欧洲法院判决谷歌败诉,支持了数据涉及者。而在美国,若要删除相关信息,数据涉及者很少有成功的案例。[33]
2.应当区分数据完全所有者和数据不完全所有者
数据完全所有者对数据的全部内容独享所有权,没有与他人共享数据;而数据不完全所有者对于数据内容并不完全掌握。例如,某人在网上公开的个人头像和自拍照,其中只涉及他的个人信息,此时他对于照片数据独享所有权;若此人在网上公开了多人合照,那么任何参与合照的人均对于照片承载的信息享有一定的所有权。区分数据完全所有者和数据不完全所有者的意义在于划定被遗忘权适用范围,保护互联网中内容的完整性。数据不完全所有者要求网络平台删除数据则可能会侵犯其他数据所有者的言论自由,此时平台不能随意删除,否则网络开放的价值将会受到严重的侵蚀。
3.应当区分数据制造者和数据加工者
所谓数据制造者是产生原初数据的主体。数据加工者是在原初数据基础上进行整合、加工、处理后得到信息的主体。区分数据制造者和数据加工者有助于划定删除范围,数据制造者是数据的源流,一旦要求删除则连带加工后的数据可能会被一并删除,而数据加工者只能要求删除加工数据,对于源流数据则无权要求删除。
(四)在适用范围上不应遗忘刑事领域
目前中国学术界所讨论的被遗忘权基本集中于民商事领域,而在刑事领域的讨论寥寥无几。事实上,被遗忘权最初主要是针对刑事领域,其目的是确保罪犯改造后被定罪和监禁的相关事实不被公开。[34]而随着互联网的兴起,被遗忘权逐步成为保护公民隐私、保障个人信息自决权的重要手段,刑事领域的应用逐步淡出人们的视野。事实上,在中国被遗忘权在刑事领域中的应用比民商事领域更为迫切。
在最高人民法院推动的司法公开活动中,裁判文书、庭审录像、开庭公告等内容逐渐从线下走到线上,全中国的公民不必亲身前往法院,只须端坐于电脑旁就可以了解全国各地法院的开庭公告情况,也可以了解庭审直播的内容,还可以浏览裁判文书。司法公开成为推动司法改革、提升司法公信、树立司法权威的重要抓手,但司法公开带来的一些负面效果也是明显的。一方面,可能不利于罪犯回归社会。在裁判文书网中,部分裁判文书公开了罪犯的姓名、年龄、户籍等身份信息,在庭审直播平台中公开了罪犯的外貌特征。上述信息长期存在于网络之中,即便罪犯完成了改造,仍然会被周边人从网络中翻出不光彩的过往,并贴上罪犯的标签,使他们很难真正回归社会。另一方面,可能不利于保护诉讼参与人。庭审直播平台全方位、多层次地展现了中国法庭的实际情况,包括当事人、法定代理人、诉讼代理人、辩护人、证人、鉴定人和翻译人员统统会展现在网络中,这些影像资料不仅可能侵犯诉讼参与人的隐私,而且可能会对其日后的生产生活产生诸多不利影响。
现有相关立法及政策所针对的均是企业、组织、个人所搭建的网络平台,而国家机关所开设的各类门户网站并不在决定、法律及指南所规定的范畴内。故无论是罪犯还是诉讼参与人都无权要求法院删除裁判文书网上公开的内容,亦无权要求法院删除庭审直播网中的影像资料。而司法公开所涉及的公民信息是全方位的,不仅包括个人身份信息,还包括外貌特征及个人住址,这远比网上信息泄露更严重。对此问题,显然需要通过进一步完善立法来予以规制。
(刘雁鹏,中国社会科学院法学研究所助理研究员,法学博士。)
注释:
①参见范为:《由Google Spain案论被遗忘权的法律适用——以欧盟数据保护指令(95/46/EC)为中心》,载《网络法律评论》2013年第2期。
②See Jeanne Hauch,“Protecting Private Facts in France:The Warren & Brandeis Tort Is Alive and Well and Flourishing in Paris”,68 Tulane Law Review,1994,p.1261.
③例如,德国、法国、英国、荷兰在上个世纪80-90年代出台的《数据保护法》中就规定了删除权、修改权、更正权等内容。参见郑志峰:《网络社会的被遗忘权研究》,载《法商研究》2015年第6期。
④参见李文曾:《“被遗忘权”:言论自由与隐私自主的博弈与衡平》,载《网络法律评论》2013年第2期。
⑤参见夏燕:《被遗忘权之争——基于欧盟个人数据保护立法改革的考察》,载《北京理工大学学报(社会科学版)》2016年第5期。
⑥参见赵锐:《被遗忘权:理性批判与法律构造》,载《北京理工大学学报(社会科学版)》2016年第5期。
⑦See B.Simon,“The Return of Panopticism:Supervision,Subjection and the New Surveillance”,3 Surveillance & Society,No.1(2005),pp.1-20.
⑧参见中国互联网络信息中心发布的第41次《中国互联网络发展状况统计报告》,2018年6月28日访问。
⑨参见工业和信息化部:《2017年通讯业统计公报》,2018年6月30日访问。
⑩参见注⑧。
⑪参见注④。
⑫《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”《侵权责任法》第36条第2款规定:“网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。”
⑬《关于加强网络信息保护的决定》第8条规定:“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”
⑭参见薛亚君:《数字时代个人信息的被遗忘权》,载《情报理论与实践》2015年第4期。
⑮参见罗浏虎:《被遗忘权:搜索引擎上过时个人信息的司法规制》,载《重庆邮电大学学报(社会科学版)》2016年第3期。
⑯参见杨立新、韩煦:《被遗忘权的中国本土化及法律适用》,载《法律适用》2015年第2期。
⑰例如,意大利学者将其归入人格身份权,瑞士则将之视为人格权的一种,参见注③。
⑱参见陶乾:《论数字时代的被遗忘权——请求享有清白历史的权利》,载《现代传播》2015年第6期。
⑲李倩:《被遗忘权在我国人格权中的定位与适用》,载《重庆邮电大学学报(社会科学版)》2016年第3期。
⑳参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期。
[21]参见梁辰曦、董天策:《试论大数据背景下被遗忘权的属性及其边界》,载《学术界》2015年第9期。
[22]参见注⑯。
[23]参见王利明:《隐私权概念的再界定》,载《法学家》2012年第1期。
[24]例如,BBC记者Robert Peston发现,其在2007年发布的关于美林证券前执行总裁因深陷次贷危机而被免职的文章被谷歌从搜索结果中删除。《卫报》也发现其六篇报道被谷歌从搜索结果中删除,其中三篇是关于英格兰足球联赛裁判在比赛中作弊的报道。参见李立娟:《英媒谴责谷歌滥用被遗忘权》,载《法制日报》,2014年7月8日。
[25][美]维克托•迈尔-舍恩伯格:《删除:大数据取舍之道》,浙江人民出版社2013年版,第10页。
[26]参见史兆琨:《逾七成受访者认为个人信息泄露问题严重》,载《检察日报》,2016年11月23日。
[27]2017年1月,WhatsApp因与Facebook分享数据在德被起诉,其中Facebook于2014年收购WhatsApp,两者是母子公司。
[28]参见万方:《终将被遗忘的权利——我国引入被遗忘权的思考》,载《法学评论》2016年第6期。
[29]参见伍艳:《论网络信息时代的被遗忘权——以欧盟个人数据保护改革为视角》,载《图书馆理论与实践》2013年第11期。
[30]参见注⑤。
[31]美国加利福尼亚州2013年通过橡皮擦法案,要求包括Facebook和Twitter在内的社交媒体允许未成年人擦除网上浏览的痕迹。参见裴洪辉:《美国推橡皮擦法案,抹掉未成年人的网络过失》,载《法律与生活》2014年第1期。根据欧盟《一般数据保护指令》(General Data Protection Regulation)的规定,数据主体可以要求控制者删除与其有关的个人数据:(1)搜集数据的目的已经消失;(2)数据主体撤回同意;(3)数据控制者反对使用数据,且数据控制者没有合法理由;(4)数据控制者非法使用数据;(5)法律规定要求删除的;(6)涉及到未成年人的社会服务信息。参见注⑤。
[32]Jerry Kang,“Information Privacy in Cyberspace Transaction”,30 Stanford Law Review(1998),pp.1193.
[33]参见注③。
[34]J.Rosen,“The Right to be Forgotten”,44 Stanford Law Review,2012,p.64.
Abstract: With the development of the Internet,the right to be forgotten recognized by the EU has gradually entered the research field of Chinese academia.Since then,domestic scholars have analyzed the necessity and feasibility and also the path possible of the right to be forgotten to be approved by Chinese government.However,the argument of the right to be forgotten and its path deserve to be further discussed.The right to be forgotten is not a solution to the violation of personal information in China beacuase our domestic systems and practices have allowed individuals to delete online information and the construction of the forgotten right with the right of personal information as the core may hinder the development of the Internet.This article suggests that the introduction of the right to be forgotten should follow China's national conditions.The right to be forgotten should be constructed with privacy as the core in the system design,and the content should further clarify personal data.We suggest that the subjects of data should be differentiated in specific implementation and the scope of application should encompass the criminal field.
(责任编辑叶传星)
.jpg)
京公网安备 11010102003980号