個人金融數據保護“被遺忘權”的適用

張 婧

西安培華學院，陜西 西安 710065

一、個人金融數據“被遺忘權”基本概念

2016年4月歐盟通過《一般數據保護條例》(以下簡稱《條例》)，首次立法確立被遺忘權。第17條規定：“數據主體有權要求控制者無不當延誤地刪除有關其的個人數據，并且在下列理由之一的情況下，控制者有義務無不當延誤地刪除個人數據：(a)就收集或以其他方式處理個人數據的目的而言，該個人數據已經是不必要的；(b)數據主體根據第6條第1款(a)項或第9條第2款(a)項撤回同意，并且在沒有其他有關(數據)處理的法律依據的情況下；(c)數據主體根據第21條第1款反對處理，并且沒有有關(數據)處理的首要合法依據，或者數據主體根據第21條第2款反對處理；(d)個人數據被非法處理；(e)為遵守控制者所受制的聯盟或成員國法律規定的法定義務，個人數據必須被刪除；(f)個人數據是根據第8條第1款所提及的信息社會服務的提供而收集的。”個人金融數據是金融機構在開展業務時，獲取、處理、存儲的個人身份信息、財產信息、交易信息、信用信息等(本文關于“數據”與“信息”的表述不作實質區分)。隨著互聯網、云計算、區塊鏈等數據技術深入應用于金融行業，大數據征信應運而生。大數據技術使得征信對象范圍更為廣泛，數據采集和處理的效率、準確度提高，分析結果能更為客觀地反應個人信用狀況，為互聯網金融發展提供了重要保障。但同時，基于運營成本、工作效率、技術難度等因素的影響，征信機構在數據收集處理過程中，難以區別處理個人一般數據與隱私數據，且基于其處理數據的“合法利益”，不接受數據主體提出的同意權、更正權、刪除權等請求。因此，當個人信息自決與大數據征信發生沖突時，法律操作應當是在大數據征信需求與征信給當事人造成的影響間加以權衡。

二、我國個人金融數據被遺忘權適用實踐

(一)立法實踐

《民法總則》第111條首次確立“個人信息權”，雖然被遺忘權不同于個人信息權，二者相互獨立，但民事基本法首次確立個人信息權益保護，為被遺忘權的引入提供了可能。《侵權責任法》第36條第2項確立了避風港制度，初步規定了網絡運營者的信息刪除義務。《網絡安全法》第43條規定首次明確規定“網絡運營者刪除權”。本條規定前半段指網絡運營者違法或違約而承擔數據刪除義務。此即為違反數據處理“合法性”原則。規定后半段則是數據更正權的適用條件。可見，該規定并不完全符合被遺忘權的適用條件。《征信業管理條例》第16條規定了針對個人不良信息保存的期限及刪除。但其中“不良信息”的認定標準并不明確，不良信息既可以指負面的，減低個人信用程度的信息(如：逾期未還貸款、違約信息等)，也包括那些非直接負面的但會對主體造成影響的信息(如：已完成的貸款記錄、已完成的分期交易記錄等)，后一種是被遺忘權的適用范圍。目前，我國許多法律文件都基本確立了個人信息處理的目的限制原則，為引入被遺忘權奠定了基礎。

(二)司法實踐

國外有關被遺忘權適用的典型案件為“谷歌訴西班牙數據局”案。案件爭議的焦點之一：當數據主體認為該信息對自身利益有影響，甚至僅僅想他人遺忘該信息，主體能否行使刪除權，請求已知的第三方消滅該數據。歐盟法院的終審判決認為：①搜索引擎運營商履行的刪除義務是獨立的，與有關網頁所載信息是否合法、真實無關，也不以該網頁事前或者同時刪除有關資料為條件；②當信息準確但已超過信息處理的原始目的或信息保存已不再必要時，除非公共利益需要，該信息及其鏈接就應當被刪除掉。這一觀點即為“被遺忘權”的核心內涵。國內被遺忘權第一案是“任某玉訴某度案”。案件中，法院認為：由于信息發生的時間間隔較短且信息內容與當事人目前職業密切相關，任甲玉無權要求刪除該信息，遂駁回原告訴訟請求。由此可見，國內司法實踐不僅未武斷地否定被遺忘權存在，且采用了“被遺忘權”適用的論證邏輯，為引入被遺忘權保留了司法實踐空間。

三、個人金融數據被遺忘權解釋適用的路徑

(一)權利義務的主體

權利主體是金融數據的主體，即自然人，包括兒童(未成年人)。可參考《條例》第17條規定，依據民事法律中監護制度，由監護人輔助兒童行使權利。義務主體是金融數據控制者，包括采集、處理、使用個人數據的一切主體。依據“谷歌”案中歐盟法院判決思路，數據控制者可進一步分為兩類：一是數據源控制者(即直接與數據主體相關聯的第一次采集數據的主體)；二是已知第三方(通過共享、交易等多種方式獲得數據的主體)。其中，已知第三方當然是被遺忘權的義務主體，承擔獨立的刪除義務。而數據源控制者承擔義務情況可分為兩種情況：情況一：數據源控制者是傳統媒體，如“谷歌”案中首次報道信息的主體是當地報紙。此時，由于傳統媒體影響力有限，查閱困難，對主體影響力較弱。因此，此類數據源控制者可以不作為義務主體；情況二：數據源控制者是互聯網媒體。此時互聯網傳播力大查閱容易，應結合公眾知情權、輿論監督權、公共利益保護等需求，綜合判斷該主體是否為義務主體。

(二)權利適用范圍

劃定個人金融數據被遺忘權保護的范圍應當綜合考量以下要素：

1.目的限制要素。“目的限制”原則是被遺忘權的基礎。目的的實質條件包括了：數據與行為目的的關聯度、數據與主體“人格特性”的關聯度、數據對主體的影響程度等。如個人借貸信息包括：未完成貸款信息、逾期未還款信息、已完成貸款信息。對征信機構而言，這三類數據的目的限制判斷各不相同。征信機構收集個人借貸信息的核心目的在于評價該用戶信用狀況，防止欺詐，提高放貸質量。未完成貸款信息直接反映借貸人的還款能力，與征信機構行為目的關聯度較高；逾期未還款信息(即違約信息)嚴重影響借貸人信用水平，與征信機構行為目的密切相關；已完成貸款信息(即借貸人已按期如約履行還款義務)，該信息并不能反映或者影響個人信用狀況，與征信機構行為目的關聯度較低。且該信息可能影響數據主體“人格特性”的塑造，對其生活造成傷害。因此，諸如已還清貸款信息、已完成分期交易記錄、以履行終結的法院判決、破產免責或債務重組的破產信息等都應綜合考慮目的的實質內涵具體判定。

2.時間要素。利益平衡不是靜態的平衡，而是一種動態的分析過程。數據信息價值、主體利益會隨時間推移此消彼長，不斷變化。如“任甲玉訴百度案”中，法院認為：信息反映的事件剛發生不久、間隔時間短且信息內容與當事人目前職業聯系緊密。因此，該信息不屬于被遺忘權保護范圍。那么，十年前完成的金融產品交易信息，對現在征信機構、一般公眾有多大意義和作用呢？數據價值判斷應當放在縱向時間軸中間動態判定，該結果才具有實際意義。

(三)例外

1.公共利益。公共利益可以成為被遺忘權適用例外，但在法律解釋上應從嚴把握公共利益的界定，針對具體案情，確定公共利益實際范圍，避免其成為數據侵權的借口。

2.學術或統計研究。學術或統計研究是數據的重要價值之一。因此，援引《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》，在個人書面同意，信息脫敏處理后，可以被適當處理。

(四)權利行使方式

《條例》第17條規定：數據主體通知控制者刪除數據，即可達到消滅數據的目的。而，被遺忘權與刪除權不同，被遺忘權只是暫時的將數據與當事人“脫離”，仍保留了恢復數據的可能性，并非徹底消滅數據。因此，被遺忘權的行使方式不能是簡單地刪除，而應采用“封存、斷開鏈接”等較緩和、間接的手段。