網絡化時代的數據被遺忘權探究

■馬錦濤，李韻祺

（山西財經大學法學院，山西 太原 030000）

在網絡化時代，數據主體在互聯網上留下的個人印跡或者與其他數據主體的結合信息很容易被其他數據主體或者數據控制者私自占有、使用、收益和處分，此時需要一種新型民事權利來對數據主體的合法權益加以維護。歐盟法院于2014年5月13日作出了“谷歌訴岡薩雷斯被遺忘權案”這一案件的判決,數據被遺忘權這項新型民事權利正式問世。2018年5月25日致力于保護數據主體的相關數據權利和規制市場的《一般數據保護條例》（General Data Protection Regulation，后文稱 GDPR）正式生效，數據被遺忘權規定于其中。目前，我國的《中華人民共和國個人信息保護法》尚在制定中，對數據被遺忘權的探究也逐漸開始系統化。該權利的具體內容是什么？如何界定其權利屬性？我國數據被遺忘權第一案“任甲玉與百度公司名譽權糾紛案”遭到司法否決的原因[1]為何？我國立法究竟該如何應對？本文試對這些問題展開研究，期冀推動正在制定的《中華人民共和國個人信息保護法》關于數據被遺忘權的立法研究的深化。

一、數據被遺忘權的權利內容

數據被遺忘權是指數據主體在特定情形下要求數據控制者無障礙地、及時地刪除不適當、無關或不再相關的合法公布的個人數據以及與多個數據主體的共有數據中的自身數據部分的權利。在網絡化時代，海量的數字化記憶唾手可得，但同樣龐大的數據主體不得不面對的是個人數據的泄露以及喪失支配個人數據的主動權的難題。近年來國外“數據威脅”事件層出不窮，比如五角大樓配置錯誤泄露信息案件、Uber大規模數據泄露案件、美國信用機構Equifax遭入侵用戶信息泄露事件無一不在說明，大數據時代的到來在帶給人們生活和工作便利的同時，潛在的隱私和安全問題也日漸凸顯[2]。在我國，此類事件也屢見不鮮，甚至有了成熟的倒賣數據產業鏈。作為維護數據主體隱私、名譽以及生活安寧的重要權利，數據被遺忘權誕生的必要性不言而喻。

（一）個人數據的特征

數據被遺忘權的客體是個人數據，具有特殊的身份識別功能。認定海量數據中哪些屬于個人數據，需要滿足如下特征。

1.結構化

結構化數據為計算機用語，指存儲在數據庫里，可以用二維表結構來邏輯表達實現的關系模型數據。在處理結構化數據時，并不只是單單的一個數據，而是一個數據集合體，那么作為數據群這個大集合中的數據元素，相互之間必然應存在某種密切的聯系，個人數據群中的單元同樣如此。個人信息的繁雜使個人數據的多樣性得以呈現，將其結構化便是對其進行合理組織與布局，使其以適當的方式形成一定的組織規律，通過該規律可以對個人數據做出快速且準確的定位。數據主體將個人數據以及共有數據的個人部分結構化是準確處分個人數據并將其提供給數據控制者的前提條件，相應地也是“遺忘”的必要的前提條件。若省去這一步，冗雜的數據池足夠使數據主體眼花繚亂，錯誤百出。

2.獨特化

獨特化是指單獨具有、與眾不同。個人數據在一定程度上可以被稱為個人身份，獨特性應是其最根本的特點。維特根斯坦曾在研究如何成為一個“形而上學的自我”中提出“我便是世界”這樣的哲學觀點[3]。那么，在個人數據這個紛繁復雜的世界中，每個人又可獨立出一個小世界，這個世界便是每個人所特有的。如果說個人數據的結構化是數據內部的關系性與作用性體現，獨特化便是數據外部的相互獨立性體現。數據主體將提供的個人數據以及共有數據的個人部分獨特化是精準處分的必要的前提條件。

3.機讀化

機讀化，是指以代碼形式和特定結構記錄在計算機存儲載體上使計算機能夠識別處理。在產業結構由制造經濟向信息經濟轉化的網絡化時代下，機讀化極大地優化了個人數據的呈現方式，為數據主體便捷地通過網絡判斷是否應當行使被遺忘權以及何時行使被遺忘權提供了有利條件。

（二）行使數據被遺忘權的特定情形

數據主體是否應當行使被遺忘權？何時行使被遺忘權？厘清這些問題對于界定數據被遺忘權的權利內容有著重要的作用。

尚在制定中的《中華人民共和國個人信息保護法》（草案）汲取了GDPR以及《網絡安全保護法》等數據立法的精華并結合司法實踐經驗規定了數據被遺忘權的適用情形，該適用情形大致分為兩類:一類是數據主體主動對其個人數據行使所有權；一類是基于數據控制者的違法或者違約行為使得數據主體被動地選擇“遺忘”。

GDPR在規定數據被遺忘權的同時也規定了限制這一權利的幾種情形，如為了信息自由或言論自由，為了遵守歐盟或成員國的法律，為了公共利益或被委托行使公權力時，為了公共衛生領域的公共利益，出于公共利益的存檔目的、科學或歷史研究目的或統計目的等。《中華人民共和國個人信息保護法》（草案）同樣也規定了“法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止處理個人信息”的限制情形。從條文的規定來看，這幾種情形可以分成兩個部分:一部分是基于公共利益的權衡所設置的情形；一部分屬于技術難題所設置的情形。

數據具有雙重角色，既是個人權利和尊嚴的體現，又是具有經濟價值的資源。信息流動能夠提高生產效率，保證數據的合理流動是信息保護法的立法目的。為了平衡兩種價值目標，不論是GDPR，還是《個人信息保護法》（草案）都規定了數據被遺忘權的適用情形與例外情形，既不因信息流動侵害數據主體的“遺忘”權益，也不因過于保護其權益而喪失推動網絡經濟發展的機會。因此，準確把握數據被遺忘權的權利內容對于我國數據立法具有重要的理論意義和實踐價值。

二、數據被遺忘權的權利屬性

（一）數據被遺忘權具備人格權屬性

民法上的人格權是指權利主體所享有的各種各樣的具體人格權和因為人身自由和人格尊嚴而產生的一般人格權[4]。《民法典》將人格權獨立成編，是對憲法保障人權原則的具體落實，也是對民法人格自由、人格尊嚴保護的深化，利于促進隱私權和個人信息的司法保護。GDPR在第一章一般規定中的主題與目標中就提出了:“本法保護自然人的基本權利和自由，尤其是自然人的個人數據保護權。”在GDPR所規定的六種情形下保證數據主體的“自由遺忘”便是出于對數據主體人格尊嚴的保護。雖然部分商業信息以及數據庫的數據信息確實具備財產屬性，世貿組織的《知識產權協定》將商業秘密納入了財產權的保護范圍，歐盟的相關法律也規定應當投入大量財力來保護數據庫[5]，但數據被遺忘權與其他財產權明顯的不同點是其具有極強的人身依附性和識別性，既不能轉讓繼承也不能從中獲得直接的經濟利益，故數據被遺忘權是人格權。

那么數據被遺忘權作為人格權究竟該側重保護什么人格利益呢？《民法典》將被遺忘權的權利內容規定到了人格權編的“隱私權與個人信息權”中，這體現了立法者的立法態度，即側重保護的人格利益為“隱私”。美國法學家布蘭蒂斯和沃倫在1890年第四期的《哈佛法學評論》發表論文，首次將隱私權作為一個法律概念提出，而在此之前法國法官已援引《法國民法典》相關規定審理了部分侵犯隱私利益的案件。在我國，學術界對于“隱私權”的概念也沒有達成一致的共識。筆者較為贊成楊立新教授的觀點:“隱私權是由信息私密、活動私人和空間私立的與公共利益無涉的私生活安寧這一權利主體自主進行支配和控制的權利，不受他人侵犯、打擾的具體人格權。”[6]

網絡化時代中的個人隱私應被認為是傳統隱私的延伸，是從私人個體和生活不被打擾到個人信息和私人空間的自我選擇的轉變。享有了數據被遺忘權，數據主體便享有了自主選擇、自由分辨“遺忘數據”的基本保障，便擁有了當今保持互聯網經濟發展和保障公民信息、公眾知情權和個人隱私權動態平衡的一劑良藥[7]。立足網絡化時代，數據已成為界定一個人網絡屬性的細胞，它早已不再是“身外之物”。數據主體自然擁有相當一部分個人數據不希望被任何其他數據主體知曉或者不希望被大范圍公開，這便成為了數據隱私的組成部分。

（二）數據被遺忘權具備物權屬性

民法上的物，是指存在于人身以外,能夠被民事主體所支配和利用，并能滿足人類生活需要，具有財產利益的一部分的物質財富。數據信息顯然吻合上述特征[8]，理應成為物權法律關系的客體。GDPR第十七條的規定指出:“數據主體有權要求控制者無不當延誤地刪除與其有關的個人數據”“如果控制者已將個人數據公開，并且根據第1款有義務刪除這些個人數據，控制者在考慮現有技術及實施成本后，應當采取合理步驟，包括技術措施，通知正在處理個人數據的控制者，數據主體已經要求這些控制者刪除該個人數據的任何鏈接、副本或復制件”。筆者認為歐盟已默認將個人數據作為“物”，并賦予數據主體支配權、對世權，可以不經他人控制支配自己的個人數據，而“遺忘”便是行使該項權利的處分方式。

當然，數據被遺忘權也會受到一定的限制。GDPR并沒有賦予數據主體完整的自由交易權，而是在傳統財產權框架之下又提出了部分限制性條件。如“為了行使言論和信息自由的權利，為了遵守需要由控制者所受制的歐盟或成員國法律處理的法定義務，或為了公共利益或在行使被授予控制者的官方權限時執行的任務”。所以，數據主體還應必須遵守嚴格的限制性規定，不能完全將個人數據作為普通的物進行處分。

三、“中國被遺忘權第一案——任甲玉案”評析

（一）案情簡介

任甲玉是一名管理學領域的工作者，曾于2014年7月1日起在無錫陶氏生物科技有限公司從事教育工作，在工作四個月后于11月26日解除與陶氏教育的勞動關系。從2015年起，任甲玉陸續在百度的網站中發現“陶氏教育任甲玉”“無錫陶氏教育任甲玉”等內容。陶氏教育的名聲在業內頗有爭議，故任甲玉認為該內容嚴重影響了自己的名譽。任甲玉表示自己已經與陶氏解除勞動關系，不應在其名字之前冠以陶氏，故要求百度刪除相關內容與鏈接，但是百度在任甲玉的多封郵件催促之下并未行使刪除或者停止侵權的舉措。任甲玉以百度公司侵犯其名譽權、姓名權、“被遺忘權”等權利為由將百度公司訴上法院。

該案件發生時，我國法律尚未將“被遺忘權”納入立法，故本案又被稱為“中國被遺忘權第一案”。

（二）案例評析

該案件最終以一審、二審法院駁回任甲玉的訴訟請求結案。正如一審、二審判決所言，雖然該權利在歐盟法院通過判決正式予以確立，同時在我國學術界內對此進行探討研究，但是我國并沒有法律明文規定這一權利類型。本案中任甲玉主張從一般人格權的角度對被遺忘權進行保護，就需要證明該權利具有保護的必要性及其正當性。在本案中，百度公司是否侵犯了任甲玉一般人格權中的“被遺忘權”？這一問題歸根結底是在為“數據被遺忘權”尋找其應正當存在的理由。

科爾曼曾說:“從本質上看,‘權利’存在于社會共識之中,即只有人們就權利是否存在形成一致肯定意見,權利才能存在。”[9]故欲作為新型民事權利調整參與網絡關系的數據主體的權利義務關系，數據被遺忘權需要存在于社會共識中，其保護的客體價值足以獲得正常理性人的認可。筆者認為，數據被遺忘權的存在是必要且正當的。

信息革命的深入使大數據的“持久記憶”逐漸演變成使用網絡的痛點，數據主體普遍想要將對己不利的個人數據“遺忘”。我國互聯網產業發展伊始，網絡服務者所提供的大量免費商業服務以數據主體的個人數據被網絡服務提供者獲取為代價。在本案中，任甲玉在陶氏教育初期可能是為了提升知名度將個人信息相關內容與鏈接掛在了網頁上，但其僅僅在陶氏工作了幾個月便解除勞動合同，使得社會評價度不高的陶氏成為其不愿提起的過去的“記憶”。百度公司的相關搜索雖然沒有人工干預的成分，但這種結果不合理地將任甲玉與一些不良名聲聯系在一起，既是對其人格利益的侵害，又是對其他消費者選擇教育機構的知情權的一種侵害，故數據被遺忘權具有存在的必要性。

如前文所述，數據主體進行“遺忘”的對象是不恰當的、過時的數據，這些數據并不能對數據主體的身份進行精準的定位，具有負面性的過時數據反而會對數據主體的名譽、榮譽等具體人格權造成一定程度的損害，故引入數據被遺忘權能夠賦予數據主體對負面信息的控制能力，同時也遏制了具有不當動機的網絡服務提供者通過刪除鏈接、清除評論甚至招徠“網絡水軍”刷好評等方式，有償讓不利評價“消失”于網絡的完整產業鏈的形成[10]，很好地凈化了網絡風氣，保護了數據主體相應的人格權與人格利益，故數據被遺忘權具有存在的正當性。

為規范數據收集使用行為，維護個人數據保護的基本權利，GDPR在數據權利的適用范圍、數據使用、數據主體權利、數據控制者和處理者責任義務、數據監管,以及法律責任等方面都作出了詳細的規定。筆者認為GDPR的具體立法規定對于《中華人民共和國個人信息保護法》的立法具有明確的指引方向。目前《中華人民共和國個人信息保護法》（草案）第四章第四十七條明確規定:“有下列情形之一的，個人信息處理者應當主動或者根據個人的請求，刪除個人信息:(一)約定的保存期限已屆滿或者處理目的已實現；(二)個人信息處理者停止提供產品或者服務；(三)個人撤回同意；(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息；(五)法律、行政法規規定的其他情形。法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，信息處理者應當停止處理個人信息。”該條規定了數據被遺忘權的適用情形與限制情形。筆者認為，對于該權利的規定還應予以完善。目前，《中華人民共和國個人信息保護法》（草案）第四章個人信息處理活動權利包括第44—第49條，分別規定了數據知情權、數據訪問權、數據擦除更正權、數據被遺忘權、個人信息處理規則知情權以及數據受理請求權。數據權利化能夠令數據主體最大限度地實現數據權益保護進而真正實現個人信息保護立法的價值目標，故《中華人民共和國個人信息保護法》需在第四章作出更為細致的規定，如實行各項重要數據權利設章，章下設節等立法技術操作。筆者單從數據被遺忘權單獨設章談述制度構想。

該章應設三節，分別為一般規定節、個人信息處理規則節、數據被遺忘權的特別規定節。在實行個人信息保護法的初期，為了使人們準確理解數據被遺忘權的精神實質和內容，來保證該法的準確性，真正達到網絡化時代立法預期的效果，還可制定相關司法解釋。

（一）一般規定節部分條款構想

第一節一般規定應在總則編的立法精神指引下，對于數據被遺忘權的數據主體、數據相對方——即網絡服務提供者的總體的權利和義務進行較為系統化的規定。

在實踐中，個人數據經常性地被商業主體（部分網絡服務提供者）收集、處理、加工、集聚形成一種經營性資產，而對這些數據的爭相利用既有可能違背數據主體的意志，也有可能為某些領域留下不正當競爭的潛在可能。

因此，在個人數據保護法律框架下，GDPR提出的“被遺忘權”是歐洲個人數據保護中“本人數據自決”理念的延續，相比于數據主體的訪問權(right ofaccess)下數據控制者(如銀行)提供紙質的或無搜索功能的數據查詢服務[11]，被遺忘權更多地是賦予數據主體可以要求網絡服務提供者將本人的結構化數據進行刪除與遺忘的權利，從而提高個人數據資產在大數據經濟中的活躍度，使自身在網絡化時代處于主動地位，改善未經數據主體許可而對其數據進行自由利用，直接或者間接侵害數據主體名譽等人格權或者人格利益的情形。

我國立法應對網絡服務提供者的義務條文進行完善，使其扮演好“守門人”的角色。如可作出如下規定:數據主體行使數據被遺忘權時可以要求網絡服務提供者提供必要通道、空間以及技術資源接收數據和處理數據，技術上難以實現的除外。

在一般規定中，還需要就數據被遺忘權中公共利益與個人權利的沖突進行分析。

GDPR的第17條規定了數據被遺忘權的限制情形:“在為了公共利益或被委托行使公權力時、為了公共衛生領域的公共利益、出于公共利益的存檔目的、科學或歷史研究目的或統計目的的情形下，該項權利將不再適用。”很明顯，歐盟承認公共利益的存在，并將公共利益本位論貫徹到GDPR的相關規定中，這與我國的立法精神不謀而合。以《民法典》為例，在“保護民事主體的合法權益，調整民事關系”之外，專門強調了“維護社會和經濟秩序，適應中國特色社會主義發展要求，弘揚社會主義核心價值觀”，即《民法典》的立法目的就是要確認、保障和維護公共利益，明確公共利益先于個人權利。第117條又確認，“為了公共利益的需要，依照法律規定的權限和程序征收、征用不動產或者動產的，應當給予公平、合理的補償”。該條協調了公共利益與個人權利之間的沖突關系。這樣的立法思想同樣也體現在了我國的《憲法》中，地位至高[12]。

在利益位階上，《中華人民共和國個人信息保護法》應當承認公共利益的優先性。當然，正如美國當代著名國際法學家、人權法學家路易斯·亨金所說“在特定的時間和特定的環境下，每項權利實際上都可能讓步于某種公共利益”，但“如果這種平衡的達到乃是通過忽視個人權利或者過分強調公共利益來實現的話，那么我們就違背了忠于諸憲政原則的允諾”[13]。我國《憲法》第10條規定:“國家為了公共利益的需要，可以依照法律規定對公民的私有財產實行征收或者征用給予補償。”因此，公共利益的優先性應當遵循公平、合理補償的原則。

因此，借鑒歐盟立法，結合我國立法實踐可作出如下規定:“在基于公共利益或政府官方授權的執行任務以及損害他人正常行使數據被遺忘權的情況下，數據主體的該項權利將不再適用。國家為了公共利益需要獲取數據主體欲行使遺忘權的個人數據時應給予數據主體補償。”

（二）個人信息處理規則節部分條款構想

個人信息處理規則是數據主體行使數據被遺忘權需要遵守的規范，是網絡服務提供者為數據主體明示的個人數據的去向指示。中國的個人信息處理規則存在四個特征:一是強調“告知-同意”；二是區分不同類型的個人信息；三是區分不同的個人信息處理行為；四是區分不同的個人信息處理者。這四個特征中，“告知-同意”作為個人信息處理的基本規則，本質上是為了維護人格尊嚴和人身自由。因此，確立個人信息處理規則是數據主體行使數據被遺忘權的前提條件。在網絡化時代，網絡服務提供者必須提供良好透明的網絡信息環境以便數據主體隨時可以登錄、訪問自己的數據來進行接收與處理[14]。在“Facebook數據泄露”事件中，始作俑者科辛斯基和史迪威爾意識到海量行為數據建模能夠精準地預測用戶性別、年齡、職業、家庭狀況、性取向、政治傾向、購買意愿等個人數據，得到該結論的手段是通過第三方APP獲取Facebook的用戶數據，看似以科研為目的，實則或無意或有意為廣告商們開辟了一個嶄新的思路，即行為廣告的產生帶來的利益是非常可觀的。部分用戶對于行為廣告可能持肯定的態度，肯定其為自己帶來的生活上的便利，但是也有大部分用戶對于在未經過自己同意或未明晰較為模糊的個人信息處理規則無法進行數據遺忘的情況而感到憤怒與恐慌。

因此針對該項權利，筆者構想出如下規定:“數據主體對個人信息處理規則有知情權。網絡服務提供者應當進行解釋和說明。”

（三）數據被遺忘權特別規定節部分條款構想

GDPR概括和明確了對“個人數據”的定義:凡是用作個人身份識別的獨立數據或者可以實現對特定個人身份識別的數據集合，都屬于“個人數據”。這打破了傳統視野下的“個人數據”認識觀，使數據被遺忘權“遺忘”的數據范圍得以豐富。那么該節便可對數據主體的個人數據涉及到的一些特殊領域做出特別規定，例如，個人數據涉及到著作權、專利權、商標權等相關權利時，應明確:“數據主體行使數據被遺忘權時不得侵犯著作權法、專利法以及商標法保護的客體，嚴格禁止對個人數據的濫用。”

在跨境數據傳輸的問題上，數據被遺忘權相關規則應該與國際貿易投資戰略相協調。數據傳輸涉及“權利經濟化”的問題，需要受到數據本地化和隱私權監管等限制。目前《中華人民共和國個人信息保護法》（草案）其他章節對于跨境傳輸的限制雖然表面上較為嚴格，但網信部門的安全評估豁免權可能使跨境信息流動實際上更加自由。基于利益協調的考慮，筆者提出完善建議:第一，將維護數據安全作為基本要求，在數據安全條件下進行“遺忘”，避免數據侵權事件頻發；第二，重視雙邊投資協定，提出定制化的解決方案，避免“多國一規則”的僵化局面，真正使數據被遺忘權發揮其應有的保護價值。

總之，GDPR嚴格保護個人數據權利與流動，平衡兼顧多方利益，創造性地提出數據被遺忘權。《中華人民共和國個人信息保護法》（草案）暫付闕如，正在廣泛搜集立法建議。望筆者的部分條款設計得以考量采納，望數據被遺忘權在網絡化時代熠熠生輝。