大數據時代個人信息的被遺忘權探究

裴寧欣

2015年2月，國內第一起“被遺忘權”案引發熱議。原告任甲玉在百度的搜素網站中檢索自己的名字時，發現會出現“陶氏教育任甲玉”﹑“無錫陶氏教育任甲玉”等字樣的內容和鏈接。陶氏教育是任甲玉之前所任職的公司，在外界頗受爭議，這些信息的存在給任甲玉在就業上帶來了困難，難以取得其他公司的信任。任甲玉多次請求百度公司刪除相關信息，但后者未予回應。于是，任甲玉將百度公司起訴至北京市海淀區人民法院，主張姓名權﹑名譽權和所謂的“被遺忘權”受到侵害。大數據時代的留痕特性，使得任何上傳在網絡平臺上的信息都將永久保留。那些本以為早已隨風消逝的往事隨著數據化時代的到來，卻如同刺青一般烙印在“數字的皮膚”上，一經搜索便紛至沓來。大數據時代在便利人與人之間交往的同時也讓整個社會丟失了遺忘的能力。正是基于此，越來越多的人開始呼吁“被遺忘”的權利。

一、被遺忘權的概念和構成要件

（一）被遺忘權的概念

隨著互聯網技術的快速發展，為了更好地應對新時代下個人數據面臨的難以“被遺忘”的危機，歐盟在立法上率先采取了措施。在2012年的《一般數據保護條例》草案第17條中歐盟規定了“被遺忘權和刪除權”（right to be forgotten and erasure），并于2014年修改后最終定為“刪除權”（又稱“被遺忘權”）。盡管名稱有所改變，但前后的內容并沒有太大變化，歐盟將被遺忘權定義為“數據主體有權要求數據控制者永久刪除有關數據主體的個人數據，有權被互聯網所遺忘，除非數據的保留有合法的理由。”由此，被遺忘權的概念在法律中正式確立。

（二）被遺忘權的構成要件--基于歐盟《一般數據保護條例》的分析

1.被遺忘權的主體。①權利主體。依據條例，被遺忘權的權利主體，即數據主體，是指任何一個產生個人信息并能通過直接或間接手段被識別身份的自然人，不包括公司等法人或其他非法人組織。由于被遺忘權屬于個人信息權，具有人格權屬性，所以權利主體僅限于自然人。②義務主體 。依據條例，被遺忘權的義務主體為數據控制者，也就是有責任按照數據主體的要求刪除個人信息的人。義務主體并不像權利主體一樣僅局限于自然人，谷歌、百度等搜索引擎公司，微博、Facebook、twitter 等社交網站甚至是政府機關都可能會成為義務主體。

2.被遺忘權的客體。依據條例，被遺忘權的客體是個人數據，即與數據主體相關的任何信息。個人數據浩如煙海，按照不同的標準可以劃分為不同的類別。從數據內容看，除了個人的生活數據，還有與金融、醫療、交通等相關的信息；從數據性質看，個人數據既包括一般數據，也包括諸如身份證號碼、手機號碼、基因、指紋等敏感信息。

3.被遺忘權的適用情形。被遺忘權并非是一項絕對的權利，信息主體在行使該項權利時也會受到一定的約束，條例中詳細規定了數據主體行使被遺忘權的范圍。①可以行使被遺忘權的范圍。條例規定了權利主體有權要求數據控制者刪除數據的適用情形，主要包括以下四種：第一，當數據控制主體收集超出收集目的或相對于收集目的已經過時的個人信息；第二，當數據主體撤回對于該信息保留的同意或者雙方約定同意收集個人信息的期限屆滿；第三，當數據主體反對基于營銷而處理個人數據；第四，當數據違法收集，行為與其他的基本價值或義務相抵觸。②不能行使被遺忘權的范圍。大數據時代下并非任何信息數據主體都能主張被遺忘權，條例中規定了被遺忘權適用的例外情況。第一，出于對言論自由的保護而保留該信息；第二，出于公共利益的目的該信息不得被刪除；第三，出于歷史、統計和科學研究的目的保留該信息是必須的。

二、被遺忘權的本土化

（一）我國確立被遺忘權的基礎

1.被遺忘權在我國的法律依據。我國目前的法律體系中，并沒有明確規定被遺忘權，但在一些法律法規中可以找到與被遺忘權相似的規定。2010年生效的《侵權責任法》第36條規定網絡上的被侵權人有權通知網絡服務商采取刪除、屏蔽、斷開連接等必要措施。雖然該條僅針對侵權信息，但已明確了在網絡用戶的行為滿足侵權責任的要件時，權利主體可以主張刪除，從中可見被遺忘權的影子。2012年全國人大審議通過了《關于加強網絡信息保護的決定》，其中第8條規定，個人在網絡信息受到侵害時，有權要求網絡服務商采取刪除等其他必要措施予以制止。雖然該規定表述比較模糊，但與歐盟的被遺忘權條款具有同質性。2013年頒布的《信息安全技術、公共及商用服務信息系統個人信息保護指南》中針對個人信息保護作了更為詳細的規定，明確個人信息主體在刪除階段要求刪除其個人信息時，個人信息管理者應當及時刪除信息。情形包括具有正當理由、收集目的不再、期限屆滿、數據控制者破產。雖然只是一部技術指導規范，但可以看到這與歐盟條例中所規定的被遺忘權已經十分相似。2017年生效的《網絡安全法》第43條也針對網絡用戶的刪除權作出了規定。網絡運營者違反法律法規或違約收集、使用用戶的個人信息，信息主體有權要求網絡運營者刪除其個人信息。雖然此規定較為簡略，但明確了信息主體作為權利人，在網絡運營者違規收集個人信息的情況下，有權要求網絡運營者履行刪除義務。可以看到，雖然我國現行立法沒有明確的被遺忘權這一提法，但在諸多法律規范中已經有與歐盟條例中的被遺忘權相似的規定。

2.被遺忘權在我國的司法實踐。被遺忘權的研究在我國開始得較晚，但已有關于被遺忘權的司法實踐。最早出現的是“任甲玉訴百度”一案，即開篇所提到的中國“被遺忘權”第一案。在經過一審二審后，最終原告任甲玉敗訴。雖然其關于被遺忘權的主張并沒有得到法院的支持，但這并不意味著我國在實踐中否認了被遺忘權。在判決書中，法院闡明了對待被遺忘權的立場。由于中國現行的法律中并無被遺忘權的規定，因此法院將其歸屬于一種未被類型化但應當被保護的人格利益，前提是要滿足“權利正當性”和“保護必要性”兩個標準。但在本案中，由于涉案信息是對任甲玉曾經工作的真實反映，這些信息的保留對于相關公眾了解任甲玉的情況具有一定的必要性。因此，法院認為原告任甲玉所主張的被遺忘權不具有正當性和保護必要性。可以看到，我國法院并沒有否認被遺忘權。原告之所以敗訴是因為其訴求不屬于被遺忘權的適用范圍。被遺忘權在我國的司法實踐中是有存在的基礎的。

（二）我國確立被遺忘權的難點

1.關于被遺忘權的主體。我國目前與歐盟條例規定的被遺忘權相似的條款中，在權利主體方面，規定只能由網絡用戶中的被侵權人才能行使，過于狹窄。而在義務主體方面，大數據時代下，能夠收集和使用個人信息的主體越來越多，個人﹑企業﹑政府等都包含其中，我國的相關規定僅限于網絡服務提供者，這顯然過于片面。

2.關于被遺忘權的客體。大數據時代下，個人數據的種類豐富多樣，每種類型的個人信息所需要的社會保護也是有差異的。比如，就數據性質而言，身份證號碼、指紋等信息對于數據主體的私密性更強，相比于其他信息所需要的保護程度也更高。但我國目前并沒有針對個人信息在立法上進行分類，廣而泛之的法律難以平衡處理各種不同類型的個人信息。

3.關于被遺忘權的適用范圍。對于數據主體有權要求數據控制者刪除信息的適用條件，我國的一些規范文本作出了規定，如個人收集目的不再、期限屆滿等，這與歐盟條例中可以行使被遺忘權的適用情形具有相似性。但是，對于信息主體適用的例外情形，我國現行的各項規定中基本上都沒有涉及，不利于公共利益和個人利益之間的平衡。

（三）我國確立被遺忘權的構想

1.擴大被遺忘權的主體范圍。被遺忘權作為一項保護公民個人信息的權利，在我國目前的法律規定下主體過于狹窄。我國在確立被遺忘權時，可以擴大權利主體的范圍，任何一個產生個人信息并能通過直接或間接手段被識別身份的自然人都可以成為被遺忘權的權利主體；此外由于未成年人在心理、智力等方面尚不夠成熟，對待他們有關刪除數據的要求，應重點予以關注。另一方面，也要擴大被遺忘權的義務主體范圍，除了網絡服務商，其他任何侵犯了數據主體被遺忘權的數據控制者，包括第三人﹑企業等都應當履行相應的刪除義務。

2.建立個人信息分類制度。不同類型的個人信息在隱私程度上各有不同，需要的保護程度也不一樣。在行使被遺忘權時，對數據主體的全部信息進行刪除是不科學的。我國在確立被遺忘權的過程中可以建立個人信息分類制度，明確哪些信息必須刪除，哪些信息禁止刪除，哪些信息可以延期刪除。通過科學的劃分以有效限制大數據時代下的數字化記憶。

3.明確被遺忘權的例外情形。被遺忘權不是一項絕對的權利，我國在確立被遺忘權時應當明晰不能行使被遺忘權的情形的規定。當言論自由﹑科研歷史﹑公共安全這些因素作為“公共利益”在與個人數據保護這一“個人利益”相沖突時，具有可共享性與受益主體廣泛性等特征的公共利益相比于私益而言應當適當受到偏重保護。

三、結語

大數據時代的出現使原本的個人信息保護模式出現不足，數字化記憶成為全球難題。我國應當抓緊制定專門的《個人信息保護法》，借鑒國外的經驗并結合我國現有的法律體系，逐步制定被遺忘權的具體規則，以加強對公民的個人信息保護。

（作者單位：華僑大學）