被遺忘權立法的美國模式及其立法啟示
——以加州被遺忘權立法為研究背景*

劉洪華

(廣東外語外貿大學法學院、華南國際知識產權研究院，廣東 廣州 510420)

歐盟被遺忘權立法引發了一場轟動全球的大辯論，盡管曾遭遇來自歐盟內部成員國的質疑和信息科技大國美國的反對，歐盟最終在《一般數據保護條例》(General Data Protection Regulation, GDPR)中確立了該制度，其立法理念迅速在全球擴散。受歐盟立法影響，許多非歐盟國家和地區也開始通過立法或司法判例構建具有本國特色的被遺忘權制度。網絡全球化以及互聯網環境下隱私保護新需求促使美國不得不考慮這項新制度。作為美國信息產業中心的加利福尼亞州曾兩度通過立法構建被遺忘權制度。2015年1月1日生效的《數字世界中加州未成年人隱私權法》(Privacy Rights for California Minors in the Digital World)構建了未成年人的被遺忘權制度，2020年1月1日生效的《加州消費者隱私法案》(the California Consumer Privacy Act of 2018, CCPA)構建了美國首個適用于普通消費者的被遺忘權制度，2020年11月加州通過《加州隱私權法案》(The California Privacy Rights Act of 2020，CPRA)完善了CCPA的相關規定，進一步加強了對被遺忘權的保護(1)2020年11月3日，加州第24號提案頒布了《2020年加利福尼亞隱私權法案》(CPRA)，對《加利福尼亞消費者隱私法》(CCPA)的規定作了重大修訂，該法案將于2023年1月1日生效，此后CCPA將被納入CPRA。。加州是諸多全球性信息科技巨頭的集散地，其網絡隱私保護立法不僅在美國具有引領性，對全球互聯網法治也將產生重要影響。曾經在被遺忘權立法上分歧嚴重的歐洲和美國，似乎最終“殊途同歸”(2)劉洪華. 歐盟被遺忘權立法及其對我國的啟示[J]. 西部法學評論, 2018,(5).。作為對比，研究被遺忘權立法在美國的產生背景、具體內容、特色和影響，將為了解和把握被遺忘權以及個人信息保護的立法趨勢提供比較法上的視角，具有重要的理論和現實意義。

一、美國被遺忘權的立法背景

(一)大數據時代的網絡隱私保護危機

美國學者指出，自1890年布蘭代斯和沃倫首次提出隱私權概念以來，隱私權法在上個世紀至今逾125年的時間內，在普通法中進展緩慢(3)See John W. Dowdell, An American Right to Be Forgotten, 52 Tulsa Law Review 311, 311 (2017).。互聯網的出現甚至促使許多美國人認為，這項新技術已經導致了隱私的死亡(4)See A. Michael Froomkin, The Death of Privacy, 52 Stanford Law Review1461, 1465(2000).。“不論多么私密、危險、有害、敏感或隱秘的信息，只要用一臺電腦和互聯網連接，它們就被公之于眾，不再隱秘。”(5)Alex Kozinski, The Dead Past, 64 Stanford Law Review Online 117, 124(2012).人們在享受網絡時代各種資訊便捷的同時，也在付出犧牲隱私的代價。當前備受關注的“遺忘是例外，記憶是常態”的網絡信息存儲模式已給廣大網絡用戶帶來了煩擾。

即將成為教師的史黛西·施奈德(Stacy Snyder)女士因在個人主頁MySpace發布了一張假扮海盜舉杯飲酒的“喝醉的海盜”的搞怪照片，被其心儀的學校認為其形象不適合擔任教師，她想要刪除這張照片，卻發現其個人主頁已被搜索引擎編錄，照片已被網絡爬蟲程序存檔，無法刪除(6)[英]維克托·邁爾-舍恩伯格.刪除:大數據取舍之道[M]. 袁杰譯. 杭州：浙江人民出版社，2013.5.。卡索拉斯(Catsouras)先生剛剛高中畢業的女兒因交通事故死亡，事故照片被他人當作萬圣節的消遣圖片，傳到發布可怕照片的網站上，卡索拉斯先生想要刪除這些照片，卻無法得到法律的支持(7)See Toobin Jeffrey, The Solace of Oblivion. The New Yorker, (September 24, 2014),https://cacm.acm.org/news/178857-the-solace-of-oblivion/fulltext, 2020-03-21.。報復色情網站(revenge porn websites)發布大量已分手戀人的不雅照片以及純粹使性伙伴尷尬或騷擾性伙伴的色情照片，這些照片的本人卻無法要求刪除(8)一名女高中生因前男友發布其裸體照到該網站不堪騷擾而自殺身亡。See Kim Zetter, Parents of Dead Teen Sue School over Sexting Images.WIRED,(Dec. 8, 2009)http://www.wired.com/2009/12/sexting-suit, 2020-03-21.。異性交友網站(ashleymadison.com)因黑客攻擊泄露了數百萬用戶的個人信息，受害者在美國多個法院提起集體訴訟，這些原告卻無法迫使第三方網站刪除先前由黑客傳播的個人信息(9)See Mackenzie Olson, Equitable Recovery for Ashley Madison Hack Victims:The Federal Trade Commission as Executor of a Narrow Right to Be Forgotten in the United States, 12 Washington Journal of Law, Technology & Arts 61,63(2016).。

首席法官柯辛斯基(Alex Kozinski)指出：“人們以為從互聯網上刪除東西如同從游泳池除掉尿液一樣容易，這只是動聽的故事”(10)Alex Kozinski, The Dead Past, 64 Stanford Law Review Online 117, 124(2012).。在美國，基于對言論自由的保護和對網絡服務提供者責任的限制，網絡服務提供者并無刪除他人在其網站上發布的信息的法定義務，即使這些信息涉嫌誹謗或侵權(11)See The Communications Decency Act, 47 U.S.C.§230. 該法條的立法本意是保護網絡言論自由和讓互聯網在“最小限度的政府監管”下蓬勃發展，但是近些年來卻成為諸多網絡不法內容的有力庇護，引致批判和反思。See Benjamin Volpe, From Innovation to Abuse:Does the Internet Still Need Section 230 Immunity, 68 Catholic University Law Review 597, 597-623(2019).。雖然《數字千年版權法案》(DMCA)規定網絡服務提供者有義務刪除未經版權所有人授權而在其網站上發布的信息，但申請人需證明自己對這些網絡信息擁有版權，且未向發布者授權(12)See The Digital Millennium Copyright Act (DMCA), 17 U.S.C.§512.。實踐中，多數被要求刪除的信息是未經數據主體同意被他人發布于網絡，但申請刪除者并非這些內容的版權人，如前述卡索拉斯先生女兒事故照片案中，涉案照片的版權屬于拍攝照片的巡警，卡索拉斯先生的訴求未能得到法院的支持。

(二)被遺忘權立法理念的全球擴散

美國哀嘆隱私已經死亡，歐盟卻在積極探索數據保護法改革，雄心勃勃地提出要“使歐洲成為數字時代現代數據保護規則標準的制定者”(13)See Vivian Reding, The EU Data Protection Reform 2012:Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age. European Commission, (January 24, 2012),https://ec.europa.eu/commission/presscorner/detail/en/SPEECH_12_26, 2020-03-22.。賦予數據主體被遺忘權是歐盟自2012年啟動的個人數據保護法改革中強化個人數據控制權的重要制度，該制度得到民眾的廣泛支持(14)據歐委會的立法調查，75%的歐洲民眾支持被遺忘權立法。See European Commission—Press Release, Data Protection:Europeans Share Data Online, But Privacy Concerns Remain—New Survey. Brussels,(June 16,2011)http://europa.eu/rapid/press-release_IP-11-742_en.htm, 2020-03-22.。2014年5月，在“谷歌訴岡薩雷斯案”中，歐盟法院判決谷歌從其搜索列表中刪除“不充分的”“不相關的”“不再相關的”信息(15)See Google Spain SL, Google Inc. v. Agencia Espaola de Protección de Datos, Mario Costeja González, 2014 E.C.R. C-131/12.，確立了對數據主體被遺忘權的司法保護。由于谷歌公司在搜索引擎業務中的全球影響力，被遺忘權制度和理念迅速在全球擴散，自2014年5月該案判決以來至2018年4月GDPR正式生效，僅在歐洲，谷歌就收到了200多萬個要求實現被遺忘權的信息刪除請求(16)See Dawn Carla Nunziato, The Fourth Year of Forgetting:The Troubling Expansion of the Right to Be Forgotten, 39 University of Pennsylvania Journal of International Law 1011, 1014(2018).。

非歐盟國家的網民也開始提出保護被遺忘權的要求，有不少國家已在立法或司法層面認可被遺忘權。俄羅斯于2015年7月通過了一項被遺忘權立法，賦予數據主體要求搜索引擎刪除與自己有關的不準確的、不具有現實意義的或者違反俄羅斯法律的信息鏈接的權利(17)張建文.俄羅斯被遺忘權立法的意圖、架構與特點[J].求是學刊,2016,(5).。2015年,日本一家地區法院判決支持了一項要求谷歌刪除有關原告3年前犯罪被捕信息的被遺忘權訴求(18)王輝.日法院要求谷歌刪除舊聞保護“被遺忘權”[EB/OL].(2016-02-28)[2020-03-22].中國日報網,http://www.chinadaily.com.cn/interface/toutiaonew/53002523/2016-02-28/cd_23671732.html.，哥倫比亞憲法法院也在一個案件中判決支持原告要求網站刪除其過去的犯罪信息的訴求(19)See Dawn Carla Nunziato, The Fourth Year of Forgetting:The Troubling Expansion of the Right to Be Forgotten, 39 University of Pennsylvania Journal of International Law 1011, 1062(2018).。2016年，韓國官方指定的媒體監控機構表示，允許互聯網用戶請求從搜索引擎列表中刪除某些搜索結果(20)See Edward L. Carter, Argentina’s Right to Be Forgotten, 27 Emory International Law Review 23, 34 (2013).。

美國有不少學者對歐盟被遺忘權持反對意見，隱私法專家Jeffrey Rosen認為被遺忘權將在隱私保護與言論自由之間引發巨大沖突，甚至會影響互聯網的開放性(21)See Jeffrey Rosen, The Right To Be Forgotten, 64 Stanford Law Review Online 88, 88(2012).。另有專家則認為，目前已有占世界1/3的人口生活在被遺忘權制度下，被遺忘權的全球性擴張趨勢使美國面臨考慮這項權利的緊迫性(22)See Hillary C. Webb, People Don’t Forget:The Necessity of Legislative Guidance in Implementing a U.S. Right to Be Forgotten, 85 George Washington Law Review 1304, 1317 (2017).。美國民眾也對美國網絡隱私保護力度表示了不滿意，對享有被遺忘權表達了期待。2013年9月，美國皮尤基金會皮尤研究中心發布的一份報告顯示，68%的用戶認為美國保護網絡隱私的法律是不充分的，41%的用戶曾試圖刪除或編輯過去發布的網絡信息(23)Pew Research Center, Anonymity, Privacy, and Security Online. (May 5, 2009),http://www.pewinternet.org/files/old-media//Files/Reports/2013/PIP_AnonymityOnline_090513.pdf, 2021-03-15.。2014年9月，美國軟件咨詢公司(Software Advice)在一項關于被遺忘權的研究中，對500名美國成年人的調研顯示，他們中的大部分(61%)贊成賦予美國公民某種形式的被遺忘權，其中39%的人希望擁有沒有任何限制的歐洲風格(European-style)的被遺忘權，47%的人認為“無關”的搜索結果會損害個人聲譽(24)David Humphries, U.S. Attitudes Toward the “Right to be Forgotten”. Software Advice, (September 5, 2014),http://www.softwareadvice.com/security/industryview/right-to-be-forgotten-2014/, 2021-03-20.。

二、美國被遺忘權的立法現狀與具體內容

(一)聯邦層面的被遺忘權立法努力

面對信息技術新發展帶來的隱私保護危機，歐盟積極籌劃修改個人數據保護法，美國奧巴馬政府也在促進網絡隱私保護的立法完善方面展開了積極探索。2010年，美國聯邦貿易委員會在《快速變革時代消費者隱私保護：針對企業界和政策制定者的建議》中，建議賦予消費者要求企業刪除不再必要的個人信息的權利，并允許消費者獲取其本人信息和在適當情況下隱瞞和刪除其本人信息(25)Federal Trade Commission, Protecting Consumer Privacy in an Era of Rapid Change:A Proposed Framework For Businesses and Policymakers[EB/OL].(December 1, 2010) https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-bureau-consumer-protection-preliminary-ftc-staff-report-protecting-consumer/101201privacyreport.pdf, 2021-03-20.。2012年，歐盟委員會發布GDPR提案后不久，奧巴馬政府發布了一份頗具雄心的提案——《網絡世界的消費者信息隱私：一個在全球數字經濟時代保護隱私和促進創新的框架》(Consumer Data Privacy In A Networked World:A Framework For Protecting Privacy And Promoting Innovation In The Global Digital Economy)，并于2015年發布了法律草案《消費者隱私權法案》(以下簡稱《法案》)(Consumer Privacy Bill of Rights Act of 2015)。美國的《法案》與GDPR類似，旨在加強對網絡用戶的隱私保護，以在網絡環境中建立信任，刺激經濟增長和創新。該《法案》在美國具有突破性意義，它保護所有私營企業中可識別的消費者信息，打破了按行業分類保護，各自為政的格局，是自1974年《聯邦隱私權法案》頒布以來，聯邦隱私立法全面改革的第一次嘗試(26)Wendy K. Mariner & Michael E. Cannella, The Consumer Privacy Bill of Rights:Window Dressing for Data Mining, 41 Human Rights 21, 21 (2015).。《法案》第5條規定了消費者有權要求企業糾正不準確的信息和刪除信息。但是該《法案》未能在奧巴馬執政期間走完立法程序，于2017年被特朗普政府廢除。

聯邦層面的立法努力還有提出為未成年人創建“刪除按鈕”，賦予美國所有未成年人被遺忘權的“不跟蹤孩子法案”(Do Not Track Kids Act)。2011年，美國兩黨國會隱私核心小組聯合主席，眾議員馬基(Edward J. Markey)和巴頓(Joe Barton)首次提出該法案，希望通過修訂1998年制定的《兒童在線隱私保護法》(the Children’s Online Privacy Protection Act of 1998)，強化和更新有關收集、使用和披露兒童個人信息的規定，并對兒童和青少年的個人信息建立新的保護制度，其中之一即是賦予未成年人被遺忘權。法案提出，企業和網絡服務提供者應該為孩子創建“刪除按鈕”，在技術可行的情況下允許未成年用戶刪除公開發布的個人信息。馬基指出，被遺忘權是“發展權”，我們必須使未成年人“解放未來的自己”，他同時指出“這一權利應該拓展到所有在線用戶，但是從保護兒童開始是一個好的出發點”(27)See Meg Leta Ambrose and Jef Ausloos, The Right to Be Forgotten across the Pond, 3 Journal of Information Policy 1, 13 (2013).。然而，聯邦立法機關于2013年修訂《兒童網絡隱私保護法案》時并未采納“不跟蹤孩子法案”關于被遺忘權的立法建議。美國至今尚未在聯邦立法層面構建全國適用的被遺忘權制度。

(二)加利福尼亞州的未成年人被遺忘權立法

2013年9月23日，加利福尼亞州通過《數字世界中加利福尼亞州未成年人隱私權法》(參議院第568號法案)(28)Privacy Rights for California Minors in the Digital World，Senate Bill No. 568.，也稱“橡皮擦法案”，構建了首個美國未成年人被遺忘權制度。法案規定，互聯網網站、在線服務、在線應用程序或移動應用程序的運營商應允許未成年人注冊用戶刪除或請求刪除該未成年人發布在互聯網網站或應用程序上的內容或信息(content or information)，除非該內容或信息是由第三方發布，州或聯邦法律的任何其他規定要求運營商或第三方維護該內容或信息，或者運營商對該內容或信息進行了匿名處理。該法案被列入《加利福尼亞州商業和職業法典》第八篇“與互聯網相關的規定”之下，從第22580節開始至22582節，其中第22581節共六個條款具體規定了未成年人的被遺忘權制度。

第22581(a)條共四款規定了未成年人被遺忘權的義務主體及其具體義務。義務主體包括直接針對未成年人的互聯網網站、在線服務、在線應用程序或移動應用程序的運營商，或實際知道未成年人正在使用其互聯網網站、在線服務、在線應用程序，或移動應用程序的運營商(下文統稱“網絡服務運營商”)。具體義務有四個方面的內容：第一，網絡服務運營商應該允許未成年人注冊用戶刪除或經申請后刪除其本人發布于網站或應用程序上的內容或信息；第二，網絡服務運營商應告知未成年人注冊用戶他們享有刪除或請求刪除他們發布到相關網站或應用程序上的信息或內容的權利；第三，網絡服務運營商必須明確告知未成年人注冊用戶刪除信息或請求刪除信息的操作方法；第四，網絡服務運營商應告知未成年人注冊用戶，依據前述規定所進行的刪除不能確保是對有關內容或信息的完全和徹底刪除。第22581(b)條規定了被遺忘權的例外，包括5種情形。第一，聯邦或州法律的任何其他規定要求運營商或第三方保留該內容或信息。第二，該內容或信息是由未成年人注冊用戶以外的第三方存儲或發布，包括注冊用戶發布后，被第三方存儲、轉載或轉發的任何內容或信息。第三，運營商對未成年人注冊用戶發布的內容或信息進行了匿名化處理，通過該信息或內容不能單獨識別該未成年人。第四，運營商已依據第22581(a)條第(3)款的規定向其注冊用戶提供了如何刪除或如何請求刪除已發布的信息或內容的指引，而該用戶未能遵循這些指引來刪除信息或提出刪除請求。第五，未成年人因提供這些內容而獲得補償或其他對價。第22581(c)條和(d)條進一步規定了兩種例外情形，以防止被遺忘權的行使給執法機關和網絡服務經營者帶來妨礙。其中(c)條規定，本節關于刪除信息的規定不能構成對執法機構依法從經營者處獲取任何內容或信息的權限的限制。(d)條再次強調本法規定的信息刪除的范圍和效果受限制，包括：其一，網絡服務經營者僅需要刪除未成年人用戶本人發布的信息或內容，對于第三人對該原始信息的轉發、轉載或存儲，不負有刪除義務；其二，網絡服務經營者對信息的刪除只需使這些原始發布的信息或內容不能再被該服務器上的其他用戶和公眾看見即可，這些信息仍然可以以某種形式保留在該運營商的服務器上。

“橡皮擦法案”極其謹慎地邁出了構建被遺忘權制度的第一步。它并未采取直接賦權性規定，而是通過對網絡服務經營者設定刪除義務的方式保護未成年人的被遺忘權。同時，法案規定的被遺忘權適用范圍和權限受到很大限制：權利主體僅限于作為加州居民的未成年人；可以刪除的內容僅限于未成年人本人發布的原始信息，經他人轉發和轉載的信息均不在刪除之列。但是，該法案畢竟在被遺忘權立法上邁出了前述聯邦立法幾經努力卻未邁出的第一步，由于美國頂級科技公司均聚集在加利福尼亞州，該法案的推出，對美國未成年人信息隱私保護產生了重要影響。

(三)2018年《加州消費者隱私法案》的被遺忘權立法及其最新修訂

2018年6月28日，加利福尼亞州通過了《加州消費者隱私法案》(大會第375號法案，簡稱CCPA)(29)The California Consumer Privacy Act of 2018，Assembly Bill No. 375.。CCPA于2020年1月1日生效，其內容增列入《加州民法典》關于隱私的第三篇第四部分，自第1789.100節開始。2020年11月3日，加州選民投票通過第24號提案頒布了《2020年加州隱私權法案》(簡稱CPRA)，該法案對CCPA的核心制度進行了修訂和完善，CPRA將于2023年1月1日生效，在此之前CCPA仍然有效，其后將納入CPRA(30)The California Privacy Rights Act of 2020, CA Proposition 24 (2020), at Sec. 31(c).。

CCPA是美國通過的首部最廣泛、最全面的網絡隱私保護法(31)Stuart L. Pardau, The California Consumer Privacy Act:Towards a European-Style Privacy Regime in the United States, 23 Journal of Technology Law & Policy 68, 68-114 (2018).，與美國之前的網絡隱私法相比，其突出特點在于明確規定了保護消費者個人信息的一系列權利，包括對于企業收集和使用個人信息的知情權、要求企業刪除個人信息的權利(被遺忘權)以及企業出售個人信息時的選擇退出權或選擇加入權等。法案第1798.105節規定了消費者的被遺忘權，該節共四個條款，規定了消費者被遺忘權的權利內容、企業的義務和被遺忘權的例外。

第1798.105(a)條明確規定消費者享有被遺忘權，指出“消費者有權要求企業刪除從該消費者處收集的個人信息”。1798.105(b)條規定企業對于消費者被遺忘權的告知義務，即“收集消費者個人信息的企業應該以一種消費者可以合理訪問的形式告知消費者其享有刪除其個人信息的權利”。關于“消費者可以合理訪問的形式”，1798.130(a)條第(5)款規定，如果企業有在線隱私政策的，則企業應當在其隱私政策中或者任何關于加州消費者隱私權的具體描述中披露相關信息；倘若企業對其網站上的這些政策不做維護的，至少每12個月需要更新一次信息；企業在披露信息時應該對消費者的具體權利進行描述，并告知消費者一個或多個指定的提交請求的方法。1798.105(c)條規定企業的信息刪除義務，該條指出，企業在收到消費者要求刪除其個人信息的請求后，應當從其記錄中刪除相關信息，并通知所有服務提供者從其記錄中刪除該消費者的個人信息。1798.105(d)條規定了企業可以不履行被遺忘權義務的情形，明確列舉了9種情形，包括：(1)為了完成收集個人信息的交易，提供消費者要求的商品或服務，或者在企業與消費者存在持續業務關系的背景下可合理預期的信息保留，或者以其他方式履行企業與消費者之間的合同需要保留信息；(2)為檢測安全事件，防止惡意欺騙、欺詐或非法活動或為起訴對這些活動負責的人；(3)為調試以識別和修復損害現有預期功能錯誤而需要保留個人信息；(4)為行使言論自由，保障其他消費者的言論自由權或其他法定權利；(5)遵守《刑法》第 2 部分第 12 標題項下第 3.6 章(從第 1546 節開始)《加州電子通信隱私法》；(6)在消費者已知情并同意情形下，參與為了公眾利益且符合道德和所有可適用的隱私法律的、公開的或有同行評審的科學、歷史或統計研究，如果企業刪除信息可能導致研究成果難以實現或遭到嚴重損害而需要保留信息；(7)根據消費者與企業的關系，僅在企業內部使用該個人信息，并且這種使用符合消費者的合理預期；(8)遵守法定義務；(9)以與搜集該信息目的相匹配的其他合法方式在企業內部使用消費者的個人信息。

CPRA第5條對CCPA關于被遺忘權的規定作了修訂，這些修訂既包括措辭上的改進，也包括具體內容的增刪。其中比較大的修訂集中于第1798.105(c)條關于企業刪除信息的義務的規定，修訂后的法條在原法條基礎上對義務主體和義務內容作了很大的拓展。一方面，刪除信息的義務主體由原來的一個即“企業”(a business)拓展到包括“企業”“服務提供者”(service providers)、“承包商”(contractors)以及“企業向其售賣或分享了數據的所有其他第三方”(all third parties)。另一方面，具體內容拓展到包括三方面的規定。其一，收集個人信息的企業的刪除義務和通知相關主體刪除信息的義務。第1798.105(c)條第(1)款規定，消費者依據第1798.105(a)條向企業提出可驗證的刪除個人信息的請求后，企業應從其記錄中刪除該信息，同時通知它的任何服務提供商或承包商從其記錄中刪除該信息，除非能證明刪除是不可能的或者需付出明顯不成比例的努力，該企業應通知向其購買了被申請刪除的信息或分享了該信息的所有其他第三方刪除該信息。其二，對于消費者提出的“刪除請求”是否可以保存以及保存的條件作出規定。該條第(2)款規定，唯有為了防止提交了刪除信息請求的消費者的信息被出售、為了遵守法律或為了實現本標題所允許的其他目的，企業才可以保存一份刪除請求的秘密記錄。其三，規定了消費者信息處理企業的服務提供商或承包商在個人信息刪除中的義務。該條第(3)款規定，服務提供商或承包商應配合企業對可核實的消費者請求作出回應，在企業的指示下刪除或使企業能夠刪除由服務提供商或承包商收集、使用、處理或保留的該消費者的個人信息，并應通知它自己的任何服務提供商或承包商刪除這些信息。服務提供商或承包商應通知從它那里或通過它獲取了此類個人信息的任何其他服務提供商、承包商或第三人刪除消費者的個人信息，除非這種信息獲取是依據企業的指示而為，或者除非這種刪除被證明是不可能的或需付出明顯不成比例的努力。但是，服務提供商或承包商是以該企業的服務提供者或者承包人的角色收集、使用、處理，或者保留該消費者的個人信息時，無需遵守消費者直接向它提交的刪除請求。第1798.105(d)條也作了一些修改，其中比較重要的是刪除了企業和其他義務主體可以不履行被遺忘權義務的第(9)種情形，即“以與搜集該信息目的相匹配的其他合法方式在企業內部使用消費者的個人信息”的情形，限縮了不刪除信息的范圍。此外，CPRA將第1798.105節的條文名稱確定為“消費者刪除個人信息的權利”(Consumers’ Right to Delete Personal Information)。

CCPA被稱為歐盟式的(European-Style)美國最嚴厲的網絡隱私保護法，它賦予消費者一系列保護個人信息隱私的權利，對信息處理者施加以一系列保護個人信息隱私的義務，為信息社會的個人權利保護提供了制度保障。被遺忘權是信息隱私保護的核心制度之一，CCPA對其進行了系統構建，CPRA對被遺忘權的制度體系進行了更精細化的完善，進一步加強了對被遺忘權的保護。在加州立法的創設下，一個美國模式的被遺忘權已經形成。

三、美國法律體系下的被遺忘權立法特色

美國和歐盟基于各自不同的法律傳統和立法理念，形成了各具特色的個人信息保護立法模式。被遺忘權是歐盟《一般數據保護條例》(GDPR)立法創設的概念和制度，盡管美國加州的上述立法被美國學者稱之為被遺忘權，但是，恰如美國和歐盟各具特色的個人信息保護法，美國與歐盟的被遺忘權制度也各具特色。美國法中的被遺忘權在概念界定、立法形式、具體內容、規制方式以及權利救濟上均有自己的特色。

(一)概念界定上采狹義的被遺忘權概念

被遺忘權有廣義概念和狹義概念之區分。廣義的被遺忘權是指數字世界中個人對與其相關的個人信息進行完全控制的權利，該權利通過個人申請刪除與之相關的信息而得到廣泛的體現，其含義不僅包括法國、意大利等歐洲國家傳統隱私法上的“遺忘權”(droit à l’oubli)(32)“遺忘權”(法語droit à l’oubli，意大利語diritto al’ oblio，英文right to oblivion)是來源于法國隱私法上的制度，是指法律保護因某些事件而成為公眾關注焦點的個人，在該事件經過一定期間后，該個人有權從公眾關注中消失(被遺忘)，重新獲得匿名生活和個人隱私。現代信息社會的刪除權雖然是指刪除信息，但是刪除意味著這些信息最終會被遺忘。參見劉洪華.歐盟被遺忘權：源流、內涵和立法價值[J].私法研究,2020,(25):166-182.所蘊含的尊重個人對自我發展的自決權的內涵，也包含現代信息社會刪除權所蘊含的“通過刪除信息最終實現遺忘”的含義(33)持該觀點的學者認為“被遺忘權”既包含遺忘權意義上的“被遺忘”，也包含現代社會信息刪除權意義上的“遺忘”。See Napoleon Xanthoulis, The Right to Oblivion in the Information Age:A Human-Rights Based Approach, 10 US-China Law Review, 84-85 (2013).。狹義的被遺忘權是指在數據最小化原則基礎上產生的一項權利，是數據主體要求數據持有者履行數據最小化原則義務即刪除不再必要的數據的權利(34)See Paul A. Bernal, A Right to Delete?, 2 European Journal of Law and Technology 1, 1-3 (2011).。

歐盟的被遺忘權是從廣義概念上提出來的，其目的在于：在大數據和社交媒體時代，將歐洲法上保護隱私的遺忘權制度理念引入網絡空間，擴充刪除權的內涵，使數據刪除的標準從過去強調“數據客觀上是否準確、及時、完整、合法”(35)在歐盟GDPR立法前，刪除權是與數據的封存、修訂、更正、補充等數據處理手段并列規定，刪除主要作為前述數據處理方式的替代方式使用，主要針對“不準確的、不再必要的或者非法收集的數據”。例如，歐盟1995年《數據保護指令》在第12條“獲取權(right of access)”的(b)項規定刪除權，指出：“成員國應保證數據當事人有權從數據控制者處獲得：……(b)在適當情形下，更正、刪除或封存未依據本指令的規定處理的數據，尤其是不完整或不準確的數據”。，轉向同時關照數據主體主觀上是否仍希望其個人數據在網絡傳播或留存，強化個人數據控制權。美國的被遺忘權是狹義的被遺忘權，主要從數據最小化即刪除不必要的數據的意義上建構的，但是也包含一定范圍的保護個人發展權的內涵。歐盟被遺忘權是“遺忘權”(droit à l’oubli)理念與刪除權(the right to erasure)的融合(36)Meg Leta Ambrose and Jef Ausloos, The Right to Be Forgotten Across the Pond, 3 Journal of Information Policy 1, 1 (2013).，美國法上沒有類似于歐洲的“遺忘權”制度傳統，相反，受制于美國憲法第一修正案關于言論自由的規定，美國的立法和司法實踐不支持刪除已經公開的真實個人信息。因此，請求刪除陳舊的網絡新聞以及其他合法公布的網絡信息在美國無法得到被遺忘權制度支持。但是，美國法中也有關于封存個人過去的信息以保護個人發展權的制度傳統，例如，保護未成年人的“封存青少年犯罪記錄制度”，給予破產者另一次機會的“對破產信息的保存和傳播不得超過10年”的規定等，這些傳統制度在大數據和互聯網時代成為被遺忘權所規制的信息刪除的一部分。前述“橡皮擦法案”規定的被遺忘權是從保護未成年人的發展權角度構建的，這一信息刪除范圍相對較寬，只要是未成年人自己發布的信息，法律一般都支持其刪除請求。但是歐盟倡導的廣泛關照個人尊嚴、人格、名譽和身份等抽象價值保護的被遺忘權，在美國很難得到支持，因為這很容易致使被遺忘權與其他基本權利，尤其是言論自由權產生難以調和的沖突。因此，除了一些特殊領域，美國的被遺忘權主要從遵循數據最小化原則意義上建構。前述CCPA和CPRA中的被遺忘權主要遵守“不必要的數據就應當刪除原則”，立法圍繞存儲數據的“必要性”設置刪除條件，消費者基于特定目的或特定交易而向數據處理者披露自己的信息，在該目的實現后或該交易完畢后，數據處理者有義務滿足消費者的刪除申請。當然，對于“必要性”也可以作擴大解釋，例如過時的與當前情景不符的信息也是不必要的信息，但是受制于“言論自由至上”理念，美國的被遺忘權無論從立法上還是解釋上均受到很大限制。

(二)立法形式上屬美國隱私權法分散立法的一部分

歐盟法中，個人信息保護權是《歐洲聯盟基本權利憲章》中明確規定的基本權利，歐盟采用強有力的專門立法模式來保護個人信息。美國僅將個人信息視為隱私，未形成類似歐盟個人信息保護權的獨立的信息隱私權(37)盡管美國學者早已提出信息隱私權概念，但是立法與司法實踐并未認可信息隱私權，美國最高法院并不認可存在信息隱私權。See John W. Dowdell, An American Right to Be Forgotten, 52 Tulsa Law Review 311, 331-334 (2017).，也未構建獨立的信息隱私法，主要采取分散立法予以保護。

美國有很長的保護隱私權的歷史，形成了強大且覆蓋面廣的隱私權法，但是并沒有一部統一適用的隱私權法案，而是按部門、主體和行業分別立法，并采用聯邦和州兩級立法形式。在信息隱私的聯邦立法方面，鑒于對“讓互聯網在最小限度的政府監管下蓬勃發展”理念的信奉和追求，美國政府主張盡量避免使用強行法規制互聯網企業，推崇通過發布指導性行為規范和鼓勵企業自律，以塑造良好的市場自治格局。針對信息隱私保護的聯邦立法主要集中于三個方面：其一，對與個人身份信息收集與傳輸相關的部門的法律規制，例如對電話、電子郵件業務部門的專門立法；其二，針對與特定類型的個人信息保護的立法，如針對與健康信息、財務信息保護相關的醫療、銀行、證券等特定行業的立法；其三，旨在保護特定群體的個人信息的立法，如針對兒童的個人信息保護的專門立法。聯邦層面并未構建普遍適用的信息隱私法，在更廣泛的領域，美國網民的網絡隱私保護只能依賴網絡企業自律。州立法層面，由于美國憲法未明確列舉隱私權為憲法權利，隱私權在各州憲法上的地位不同。加州憲法明確規定隱私權是一項不可剝奪的權利，確立了隱私權作為加州居民的憲法權利的地位，為加州在隱私權保護方面的立法突破奠定了基礎。加州的隱私權立法比其他州更全面和嚴格，在信息隱私立法方面更是處于領先地位，被視為美國信息隱私立法的風向標(38)加州關于信息隱私的多項立法在美國均屬首創，且通常形成所謂“加州效應”。其于2002年最早通過的《數據泄露通知法》被其他各州仿效，至2018年，美國50個州均頒布了本州的《數據泄露通知法》。See Nicholas F. III Palmieri, Who Should Regulate Data:An Analysis of the California Consumer Privacy Act and Its Effects on Nationwide Data Protection Laws, 11 Hastings Science and Technology Law Journal 37, 54 (2020).。但是，州立法僅是美國分散立法體制的一部分，其效力既受適用范圍的限制也受聯邦強行法的限制(39)州立法首先受其管轄范圍的限制，其次，如果立法內容被認為限制了言論自由或者造成州際貿易壁壘，將被認為與美國《憲法第一修正案》以及第1條第8款關于商業條款的規定相抵觸而無效。See Russell Spivak, Too Big a Fish in the Digital Pond:The California Consumer Privacy Act and the Dormant Commerce Clause, 88 University of Cincinnati Law Review 475, 493-514(2020).。由于信息的流動性，網絡的互聯互通性，在缺乏聯邦統一立法情形下，各州分別立法可能進一步加劇信息隱私立法的割裂形勢。

美國分散立法體制下的被遺忘權制度在實踐中呈現出兩方面的特點。一方面，因為僅有州立法對被遺忘權有明確的規定，被遺忘權的適用范圍受到很大限制，主要是作為本州居民可以直接援引的法律。另一方面，美國分散立法所造就的企業自律的市場自治模式又可能使信息主體的被遺忘權在較大范圍內得到保障。例如，前述報復色情網站問題被披露后，谷歌反思了其之前的政策，指出這些報復色情的內容是對個人和情感的強烈傷害，只會降低受害者(主要是婦女)的地位，明確表示將尊重信息主體的要求，刪除未經他們同意而在谷歌搜索結果中共享的裸體或色情圖片(40)See Samuel W. Royston, The Right to Be Forgotten:Comparing U.S. and European Approaches, 48 St. Mary’s Law Journal, 270 (2016).。歐盟GDPR生效后，美國的微軟公司、蘋果公司以及Facebook等全球性互聯網公司紛紛修改本公司的隱私聲明，表示將在全球范圍內遵守GDPR關于個人數據保護的核心規定(41)Michael L. Rustad & Thomas H. Koenig, Towards a Global Data Privacy Standard, 71 Florida Law Review 365, 395-396(2019).，CCPA的頒布也促使業務范圍主要在美國國內的互聯網企業主動按照CCPA的標準保護消費者的個人信息權利，這實際上使得美國網民能在較大范圍內享受被遺忘權受保護的利益。

(三)具體內容上權利主體的權利受到更多限制

與歐盟的被遺忘權相比，美國的被遺忘權受更多限制，這主要是受制于美國對言論自由至高地位的極度維護和對信息經濟自由的高度追求。

首先，言論自由權在美國具有憲法賦予的至高地位，被遺忘權必須避免與言論自由相沖突。依據正當法律程序條款(憲法第十四修正案)，美國聯邦、州乃至各級政府的立法均不可與第一修正案相抵觸，因此，加州的兩項關于被遺忘權的立法都非常謹慎地避免與言論自由相沖突。“橡皮擦法案”特別強調信息刪除的范圍僅限于未成年人自己發布的原始信息，不包括被他人轉發和轉載的信息；CCPA規定的消費者被遺忘權也明確指出：“消費者有權要求企業刪除從該消費者處收集的個人信息”。可見，美國的被遺忘權制度特別強調可被刪除的信息的來源或出處，一般不支持刪除第三人發布的信息，以避免與言論自由沖突。而歐盟的被遺忘權強調信息的內容，如果信息傳遞的是關于數據主體的過時的、不相關的或不再相關的內容，則數據主體可以要求刪除，不論發布信息的主體是誰。

其次，美國更側重維護企業在信息利用方面的利益。得益于一貫的自由主義經濟法治理念，美國成為世界最大的經濟體和全球頂級科技公司盛產國。相較于更關注個人權利保護而對信息流動加以更多限制的歐洲，美國更重視信息自由流動對經濟發展的促進作用。對于會在一定程度上增加企業合規成本和限制信息利用自由的被遺忘權，美國傾向于最大程度地考慮企業利益而更多地限制信息主體的權利。因此，在前述CCPA規定的9項實現被遺忘權的例外中，有3項是關于企業利用消費者的信息方面的例外，而這其中又有2項是關于企業內部利用這些信息的例外，意味著企業僅在內部使用這些個人信息，不受消費者被遺忘權的限制(42)修訂后的CPRA刪除了例外情形中的最后一項“(9)在內部以其他合法方式使用消費者的個人信息，該方式與消費者提供其信息的場景相匹配”。。同時，CCPA第1798.145(a)條第(5)項還規定，對于已去標識化的或綜合消費者信息中的消費者信息，企業有權收集、使用、保留、出售或披露。此外，CCPA規定的被遺忘權義務僅針對大型企業，中小企業并不受法案規定的被遺忘權限制。依據第1798.140(c)條規定，加州消費者被遺忘權的義務主體限于“年度總收入超過2500萬美元，或者為了商業目的，每年單獨或組合購買、接收、出售或共享5萬人及以上的消費者、家庭或設備的個人信息，或者每年50%以上的收入來自銷售消費者的個人信息的企業”。可見，美國法制傳統下，信息主體的被遺忘權受到更多限制。

(四)規制方式上重視引導企業自主合規

個人信息保護既關涉個人權利保護，也關涉個人信息流轉。美國歷來傾向給予企業更多地利用個人信息的自由，相對忽視對個人權利的保護。加州消費者隱私保護法案借鑒歐盟個人數據保護法的“權利話語”模式(43)學者研究指出，個人在歐洲和美國的數據隱私法律制度中的地位存在很大差異。在歐洲，權利對話構成戰后歐洲創造歐洲公民身份的關鍵因素，歐盟法律創造了一種圍繞“權利對話”的隱私文化，以保護其“數據主體”；而在美國，數據隱私法關注的是在數據市場中保護消費者，形成了保護“隱私消費者”的“市場話語”體系。See Paul M. Schwartz & Karl-Nikolaus Peifer, Transatlantic Data Privacy Law, 106 Georgetown Law Journal 115, 115-117 (2017).，明確賦予消費者保護其個人信息的一系列權利。但是，加州的立法并非是一種激進式的轉向，它在企業規制方面，采取了督促企業自主合規為主，懲罰為輔的思路。

首先，CCPA關于被遺忘權的立法重視對企業行為的指引和規范，而非僅僅強調個人權利的宣示。CCPA對企業如何履行被遺忘權義務有非常明確的指示。例如，法案第1798.105(b)條詳細規定了企業對消費者被遺忘權的告知義務，包括企業應采取消費者可以合理訪問和易于訪問的告知形式，企業在告知消費者該項權利時，必須用通俗易懂的語言明確告知消費者這項權利的具體內容是什么，企業須明確指定并告知消費者至少一種提交信息刪除申請的途徑等等；修訂后的CPRA更是在第1798.105(c)條對處理消費者信息的企業、服務提供者、承包商以及獲取了消費者信息的其他第三方，在保護消費者被遺忘權方面的具體義務以及履行義務的具體要求進行了非常詳細的規定。

其次，慎用懲罰措施。對于不履行法案規定義務的企業，CCPA規定了罰款處罰，但是采取了延后處罰措施。依據法案第1798.155(b)條的規定，對于任何故意違反法案規定義務者，每次違法行為可能要承擔高達7500 美元的罰款額。但是，法案同時規定，企業在接到被指控的違法通知后30天內未能糾正被指控的違法行為時，方構成對本法案的違反(法案第1798.155(a)條)。可見，CCPA對企業的違法行為實質作了延后處罰處理，企業在被正式通知違法后，有30天的改正期，僅在改正期屆滿后，仍然未糾正違法行為的才予以處罰。

(五)權利救濟上限制私人訴權(private right of action)

在消費者隱私保護的執法方面，CCPA授予加州總檢察長負責監督法律實施和在具體案件中對違法行為進行評估、提起民事訴訟(civil action)和主張罰款的權力，修訂后的CPRA明確規定通過行政執法保護個人信息隱私，設立了專門的行政執法機構——加州隱私保護局(California Privacy Protection Agency)負責消費者隱私保護法的實施和執行(44)The California Privacy Rights Act of 2020, CA Proposition 24 (2020), at Sec. 16,17, 24.。對于企業和相關義務主體不履行法案規定的信息隱私保護義務的，主要由專門機構介入處理，對私人提起民事訴訟的權利予以限制。

依據CCPA第1798.150節和155節以及修訂后的CPRA第16條和第17條的規定，企業不履行本法案規定的消費者個人信息保護義務的，除了在數據泄露情形下，消費者享有受限制的提起民事訴訟的權利，對于企業的其他違法情形，應向專門的隱私保護機構尋求解決。法案第1798.150(a)條規定，消費者僅能在“未加密或未經授權的個人信息，因企業違反義務而未采取與這些個人信息特征相符的合理的安全程序和措施予以保護，以致這些信息遭受未經授權的訪問和泄露、盜竊或披露”，且具有下列情形之一時提起民事訴訟：“其一，為每個消費者每次事件賠償不少于100美元且不超過750美元的損害賠償金或實際損害賠償金，以數額較大者為準；其二，禁令或宣告性救濟；其三，法院認為適當的其他救濟。”(45)依據《加州消費者隱私保護法案》第1798.150(a)條的規定，這些條件包括：(A)為每個消費者每次事件賠償不少于100美元且不超過750美元的損害賠償金或實際損害賠償金，以數額較大者為準；(B)禁令或宣告救濟；(C)法院認為適當的任何其他救濟。第1798.150(b)條還規定在消費者提起訴訟前，企業有30天改正期，在改正期內違法行為得以改正，且不會再發生的，不產生法定損害賠償訴訟。概括而言，消費者僅能對特定的信息隱私泄露事件有條件地提起民事訴訟。第1798.150(b)條進一步對前述可起訴案件的具體起訴條件進行了規定，指出對于追討法定損害賠償的訴訟，消費者需在起訴前30天書面通知企業，告知所涉嫌的違法行為，若企業在30天內改正了被通知的違法行為，且不會再犯的，則消費者不可以就此提起法定損害賠償訴訟。依據修訂后的第1798.155(a)和(b)條的規定，對于違反本法規定義務的任何企業、服務提供商、承包商或其他人員，其每一次違法行為將被處以不超過2500美元的行政罰款(administrative fine)，如果是故意違法的，對每一次違法行為處以不超過7500美元的行政罰款，這些罰款將被納入依據本法設立的消費者隱私基金，用以完全抵消州法院、總檢察長和加州隱私保護局在執法過程中產生的任何費用。綜合上述規定可見，消費者的被遺忘權被侵犯的，消費者只能向專門的行政執法機關尋求救濟，不可以自行提起民事訴訟。

五、美國被遺忘權的立法發展趨勢與啟示

(一)美國被遺忘權的立法發展趨勢

加州的被遺忘權立法被認為是美國信息隱私保護法朝著正確的方向邁進了一步。CCPA在信息隱私保護的立法形式上借鑒了歐盟GDPR強化個人信息控制權的賦權式立法模式，緩解了人們在大數據時代對個人網絡信息失控的普遍焦慮，同時，又在被遺忘權的具體制度設計上維護了美國所秉承的言論自由至上和信息自由流動的基本價值理念。盡管分散立法體制下的加州被遺忘權制度只是美國被遺忘權立法的一個特例和先鋒，鑒于加州經濟在美國信息經濟中的重要地位和影響力，它將成為未來美國聯邦被遺忘權立法或其他州信息隱私保護立法的一個模型或參考例，在此基礎上，當前美國被遺忘權立法可能出現兩種方向的發展，這些發展將對國際個人信息保護立法產生影響。

第一，各州分別立法。在美國聯邦就被遺忘權進行某種形式的統一立法之前，被遺忘權制度會因“加州效應”而被其他各州作為立法的參照標準紛紛效仿，最終使被遺忘權成為事實上的美國全國性法律制度。目前這一立法動向已經開始。自2018年CCPA頒布以來至今，已有夏威夷、馬里蘭、馬薩諸塞、密西西比、內華達、北達科他州、新墨西哥州、紐約州、羅德島州和華盛頓州等逾十個州開始了類似CCPA的立法(46)Paul Monnin, A New Wave of Privacy and Consumer Laws:Should the California Consumer Privacy Act Be Implemented in North Dakota?, 95 North Dakota Law Review 345, 363 (2020).。這些州的法案在基本制度設計上參照CCPA，但是在制度的具體內容上形成各種差異。比較典型的差異如被遺忘權的實現保障，CCPA規定由州總檢察長執法而排除私人訴訟，其他州可能采取由當事人選擇私人訴訟或專門機構執法方式，例如羅德島州未引入州檢察長執法制度，馬薩諸塞州在侵權救濟上允許受害人提起私人訴訟；對違法行為的罰款和在具體的被遺忘權適用的例外方面，其他州也可能作出不同的具體規定，例如新墨西哥州對于違法者每次違法行為罰款1萬美元。因此，在分州立法模式下美國分散立法體制下的被遺忘權制度將呈現差異很大的局面，這將進一步加劇美國信息隱私立法的割據形勢，在網絡無界限和數據自由流動的環境下，容易形成企業發展以及對企業的監管方面的壁壘。但是，在美國形成一個相對高標準的被遺忘權保護制度將成為大趨勢。因為GDPR和CCPA將分別引領被遺忘權的歐洲標準和美國標準，美國的大型互聯網公司唯有達到GDPR和CCPA規定的較高的保護標準才能在國際與國內業務中不因違規而被懲罰，因此，即使美國各州在被遺忘權的具體制度和保護標準上存在差異，大型互聯網公司將會傾向于直接選擇一個高標準以追求在數據保護合規方面一步到位，而企業的高標準個人數據保護政策又將成為其市場競爭的利器，如此，總體趨勢上在美國形成一個相對較高標準的被遺忘權已不可避免。當前，修訂后的CCPA即CPRA已經進一步強化了對被遺忘權的保護。

第二，美國聯邦統一立法。美國也可能通過一部全國適用的綜合性網絡隱私保護法，其中規定被遺忘權制度。被遺忘權是歐盟GDPR中對美國沖擊最大的一個制度，盡管在歐盟提出被遺忘權立法之初，美國各界均表示反對，但是GDPR生效后擁有歐洲業務的美國網絡企業必須遵守該制度，美國的研究者也提出美國應該建立一個符合美國價值觀的被遺忘權(47)See Hillary C. Webb, People Don’t Forget:The Necessity of Legislative Guidance in Implementing a U.S. Right to Be Forgotten, 85 George Washington Law Review 1304, 1306-1308 (2017).。一方面，由于歐盟被遺忘權制度的域外效力，谷歌等美國大型互聯網公司必須遵守被認為與美國的價值觀不符的歐盟標準的被遺忘權，美國唯有構建本國的被遺忘權制度，才能對這些大型互聯網公司在實施被遺忘權方面的行為予以指導和約束，以保證美國言論自由價值理念得到真正貫徹，落實一個符合美國憲法的被遺忘權制度。另一方面，鑒于互聯網的全球性以及被遺忘權在全球各個國家和地區得到不同程度的認可和以不同方式予以實施的狀況，美國唯有構建自己的被遺忘權制度，并就如何實施這項制度發表自己的看法和傳達自己的價值觀，方可在實施被遺忘權的國際標準的形成方面發揮美國的影響力。同時，鑒于新技術的出現和人們世界觀的改變，法律革新是美國法律擺脫過時和陳舊的必由之路，在美國憲法精神保持不變的情況下，唯有革新具體的法律制度和規則才能滿足對已經發生改變的社會關系的調整需求，以保證具體制度和規則能反映美國的價值觀。當前，美國各界對于通過一部統一的聯邦網絡隱私保護法充滿著期待，不僅學者和議員呼吁，大型互聯網企業也參與積極推進(48)Emmanuel Pernot-Leplay, EU Influence on Data Privacy Laws:Is the US Approach Converging with the EU Model?, 18 Colorado Technology Law Journal 25, 45-47 (2020).。在外部遭遇來自歐盟個人數據保護法的壓力，內部面臨各州紛紛出臺本州的網絡隱私法而進一步割裂對網絡貿易的法律監管的壓力下，美國極有可能會出臺一部統一的綜合性網絡隱私法，對GDPR和CCPA中規定的核心權利保護問題包括被遺忘權作出規定。然而，美國聯邦統一立法并不一定意味著會在更大程度上提升對網絡隱私的保護力度，但是它將在各項制度上體現美國價值觀，對內統一執法標準，對外將與歐盟GDPR形成一定的抗衡。就被遺忘權而言，加州的立法為構建一個美國式的被遺忘權提供了很好的參考例，聯邦立法可能會參照其立法模式，但是在具體內容上可能會減緩對企業的嚴厲性，同時，在統一立法的基礎上，聯邦貿易委員會將作為信息隱私保護的執法機構，州一級的執法權可能會被取消或進行一定的協調；在國際上，美國統一網絡隱私立法，將在實踐中對歐盟在被遺忘權保護方面的寬泛解釋形成一定的制約，跨境數據流動和個人數據保護國際規則將逐步更新，形成新的國際規范。

(二)美國被遺忘權立法的啟示

加強個人信息保護已成為國際立法趨勢。GDPR和CCPA分別代表歐洲和美國的最新立法趨勢，這兩部法律既有趨同的一面，也存在很多差異。被遺忘權是歐洲和美國在立法理念上爭議最大的制度之一，最終歐盟通過了被遺忘權立法，美國也在采取了一些變通措施的基礎上，形成了具有本國特色的被遺忘權制度。我國《個人信息保護法》已于2021年8月20日通過，其中第47條規定了被遺忘權制度，對比歐美立法，美國的立法對我國法的理解與適用具有啟示意義。

第一，合理界定被遺忘權的概念。被遺忘權的立法價值得到學界認可，但是歐盟模式的被遺忘權遭至不少批評，爭議的主要方面是歐盟立法對被遺忘權的界定不明確，尤其是概念外延過于寬泛，這致使它在實踐中很容易與其他權利發生沖突。我國學者不無擔心地指出，被遺忘權“對互聯網領域的一般法律自由將產生直接的損害”(49)劉澤剛.過度互聯時代被遺忘權保護與自由的代價[J].當代法學,2019,(1).。美國學者在批判的基礎上指出：“一個避免挑起言論自由與隱私之間全面沖突的修訂版的被遺忘權是可以被接受的”(50)Laura Lagone, The Right to Be Forgotten:A Comparative Analysis, SSRN Electronic Journal 22, 1-24 (2012).。美國立法選擇了狹義概念的被遺忘權，將概念的適用范圍限于消費者與企業之間的信息處理，將可刪除信息的范圍限于信息主體自己發布的信息或經其同意被收集的信息。我國不宜規定一個概念界定過于寬泛的被遺忘權，應通過對適用條件的限制縮小被遺忘權概念的外延。鑒于我國既有立法實踐對個人信息刪除具有更大的制度包容性，我國的被遺忘權概念相比美國模式的被遺忘權應該有所擴張。目前，我國《個人信息保護法》第47條從刪除義務和刪除權利兩方面界定被遺忘權，強調數據處理者具有主動刪除個人信息的義務，數據主體享有要求刪除個人信息的權利，并規定了五個方面的適用條件(51)《個人信息保護法》第47條規定：有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：(一)處理目的已實現、無法實現或者為實現處理目的不再必要；(二)個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；(三)個人撤回同意；(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息；(五)法律、行政法規規定的其他情形。 法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。。從合理限制被遺忘權概念外延角度，對第47條的法律適用不可作擴大解釋，無論是個人信息主體行使刪除權要求刪除個人信息抑或信息處理者主動刪除信息均應受法律規定的五種情形的限制，個人信息主體不可主張行使個人信息自決權而擴大刪除信息的范圍。

第二，調和被遺忘權保護中的價值沖突。被遺忘權制度背后承載著多元價值取向，制度設計及踐行需合理地進行價值平衡。被遺忘權與言論自由的沖突和被遺忘權與互聯網經濟發展的沖突是其中最受關注的兩種價值沖突。美國重點從制度設計上協調這兩類價值沖突，通過限制被遺忘權的保護范圍、規定有利于企業信息利用的刪除例外等方式協調被遺忘權與言論自由和互聯網經濟發展的沖突，而歐盟則因規定了一個寬泛的被遺忘權，實踐中更多依賴個案處理。我國應主要通過制度設計協調這些價值沖突，例外情況下采個案協調方式。制度設計上，應科學設定被遺忘權的適用條件和范圍，這一點已由我國《個人信息保護法》第47條予以實現。制度適用方面，不可夸大被遺忘權制度的作用。被遺忘權并非一項可以適用于一切個人信息刪除的制度，也并非其所保護法益的唯一保護方法，我國還有其他規制個人信息刪除的制度，包括侵權法上的“通知—刪除”制度，犯罪信息、檔案信息以及醫療信息等特殊信息的刪除制度，應統籌相關制度，分別適用于具體場合。被遺忘權是個人信息保護法中規范信息處理行為的制度，應主要適用于民事主體間的日常交往和交易場合的與公共利益無涉的個人信息，涉及公法主體發布的相關數據或者新聞媒體報道內容的刪除應通過特別法的規定調整或通過司法機關或專門機關的個案裁決予以確定。

第三，構建專門的個人信息保護機構。個人信息保護的重點在于對個人信息處理過程和處理行為的規范，以事后救濟為主要保護方法的規制方式并不能很好地規范個人信息保護問題。以被遺忘權為例，其制度目標在于確保及時刪除不必要的個人信息，防止個人信息被濫用或泄露而侵犯個人權利。傳統的侵權訴訟難以保障這一制度目標的實現。因為個人信息未被及時刪除并不表示一定會在可預見范圍內或可預見期限內發生侵犯個人實體權利的后果，即使發生了侵權后果，其與信息未被刪除之間的因果關系也通常難以建立和證明。此外，違規處理個人信息的損失往往難以計算，甚至對個人而言可能是很微小的，這通常導致求助于侵權訴訟的結果可能是耗時費力卻又沒有什么成效。然而，個人信息被泄露或被濫用是可能導致危及個人基本權利和生命安全的嚴重違法犯罪行為。因此，在制定一部良好的個人信息保護法的同時，更新執法思路，完善執法機構也很重要。美國加州最終選擇了設立專門的個人信息保護執法機構—加州隱私保護局負責個人信息保護法的執行，處理個人投訴，監督企業合規處理數據。鑒于個人信息保護的特點和個人信息侵權案件的特點，我國應構建常規性的個人信息保護執法機構，接受個人投訴，督促企業合法處理個人數據，保證個人信息保護法的實施。