《個人信息保護法》規定的本土被遺忘權及其保護

楊立新趙 鑫

( 1．中國人民大學 法學院，北京100872;2．上海師范大學 哲學與法政學院，上海200030)

《中華人民共和國個人信息保護法》( 以下簡稱《個人信息保護法》) 的頒布實施，確立了我國處理個人信息中對個人信息權益保護的基本規則。在該法規定的個人信息權益中，究竟是否包含被遺忘權，意見不一。本文認為，該法第四十七條第一款第一項在對個人信息權益中有關刪除權的規定，就規定了被遺忘權，實現了我國個人信息權益保護的被遺忘權的本土化。本文依照《個人信息保護法》的規定，將對本土化的被遺忘權的概念及其保護問題，發表以下見解。

一、《個人信息保護法》第四十七條第一款第一項規定了我國本土的被遺忘權

( 一) 《個人信息保護法》第四十七條是否規定了被遺忘權的不同見解

《個人信息保護法》第四十七條規定: “有下列情形之一的，個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的，個人有權請求刪除:( 一) 處理目的已實現、無法實現或者為實現處理目的不再必要;( 二) 個人信息處理者停止提供產品或者服務，或者保存期限已屆滿;( 三) 個人撤回同意;( 四) 個人信息處理者違反法律、行政法規或者違反約定處理個人信息; ( 五) 法律、行政法規規定的其他情形。”“法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。”

對于我國法律是否應當規定被遺忘權的問題，學者仁者見仁、智者見智，莫衷一是。由于《個人信息保護法》剛剛頒布實施不久，尚沒有展開深入討論，沒有更多的見解發表。主張個人信息權益中的刪除權包含被遺忘權的學者認為，我國《個人信息保護法》沒有單獨規定被遺忘權，這是因為，在我國《民法典》《個人信息保護法》《網絡安全法》等法律已經足以保護個人在具有正當利益的前提下，免受網絡上負面或不良信息的不利影響，無須單獨規定被遺忘權。《個人信息保護法》第四十七條規定了在符合一定條件下，個人信息處理者主動刪除個人信息的義務或者個人要求個人信息處理者刪除個人信息的權利。從該條規定的刪除權的適用情形來看，范圍相當廣泛，足以將被遺忘權需要保護的情形涵蓋進來，故無須單獨規定被遺忘權［1］。也有學者認為，本條規定的刪除權與比較法上的被遺忘權較為相似。我國學者對被遺忘權的評價褒貶不一。在《個人信息保護法》實施后，應重視被遺忘權制度在域外的實踐經驗，認真對待審判實務中出現的新案件、新需求，審慎考慮刪除權與被遺忘權之間的異同，以求實現不同利益之間的平衡［2］。

從總體上看，這兩種觀點都持比較謹慎的態度，但是見解卻有所不同。前者認為刪除權中就包含了被遺忘權，不必另行規定;后者認為刪除權與被遺忘權有所區別，只是比較相似而已。筆者認為，前者的意見更值得肯定。

( 二) 《個人信息保護法》確認了本土化的被遺忘權

筆者認為，《個人信息保護法》第四十七條規定了個人信息權益中的刪除權，就是規定了被遺忘權，沒有另行規定被遺忘權的必要，更沒有必要審慎考慮刪除權與被遺忘權之間的異同。其理由如下。

1．被遺忘權的基本內容是對個人信息處理者處理信息刪除。刪除，是被遺忘權的基本內容，也是被遺忘權實現的基本手段。對于刪除，國內學者有諸多不同見解。如認為刪除是為了避免信息在網絡上進一步傳播［3］、刪除是為了與場景預期符合［4］、刪除是為了擦去無合法性基礎的信息［5］、刪除是為了使信息和信息主體相脫離等。這些見解不無道理，但是，更應當重視的是，刪除不僅是被遺忘權的基本內容，而且被遺忘權只有刪除這一種實現手段，《個人信息保護法》第四十七條第二款規定的“停止除存儲和采取必要的安全保護措施之外的處理”為例外。刪除權的根本目的是為了實現個人信息權利人對個人信息的自我決定，是在符合特定條件下可以刪除個人信息的權利;而被遺忘權正是在刪除權的范圍內，直接清除具有特定法定事由的個人信息。因而，刪除權與被遺忘權具有種屬的邏輯關系。

(1) 對刪除權與被遺忘權關系的不同看法。刪除權和被遺忘權一直是學界討論的重點，看法多有不同。一是等同說，認為刪除權和被遺忘權實質等同，只是名稱不同。“被遺忘權”的權利名稱過于文學化，充滿感性色彩，無法反映被遺忘權的本質，應改名為刪除權［6］。或者認為被遺忘權就是刪除權，二者在屬性與地位、權利構成和技術安排上完全等同，只是稱謂多元化而已［7］。依據GDPR( General Data Protection Regulation，歐盟《通用數據保護條例》) 的規定，“被遺忘”是目的，“刪除”是手段，二者只是站在不同角度對“擦除權”( 被遺忘權) 進行描述，并無本質差異。GDPR 將限制處理權( 第18 條) 從擦除權( 第17 條) 中移出形成獨立的條款，可見刪除權和被遺忘權沒有本質區別［8］。二是非等同說，認為刪除權和被遺忘權并不等同，彼此獨立。從客體上看，刪除權范圍過窄，僅包含《民法典》第一千一百九十五條規定的“通知—刪除”規則，即只有違法的侵權信息才能適用刪除權。被遺忘權的客體包括:超出儲存期限的信息、收集和處理目的已經失去的信息和不夠完整、隨著時間推移已經失效的信息［9］，客體范圍更加廣泛，且與刪除權之間不存在交叉關系。從權能上看，被遺忘權不僅包含主體要求刪除信息的內容，而且主體可以要求斷開任何鏈接。從體系上看，應該堅持“統一立法，分類保護”的思路，將二者置于不同的條文以示區別［10］。三是包容說，認為刪除權和被遺忘權不能等同，刪除權包含被遺忘權。在GDPR 第17 條的標題中，被遺忘權是以括號的形式位于擦除權之后。根據標點符號的用語學理論，應認為被遺忘權是擦除權的一部分。換言之，刪除權是根本，被遺忘權是補充［11］。刪除是被遺忘權的核心內容，被遺忘權的權利內涵是對業已存在的不利信息予以刪除。網絡侵權中的“通知—取下”規則沒有涵括被遺忘權的刪除，不是被遺忘權的內容［12］。我國網絡運營商的實際做法已經包含了被遺忘權［13］。

(2) 刪除權與被遺忘權的邏輯關系是包容關系。刪除權與被遺忘權既不是對立概念，也不是等同概念，包容說所揭示的刪除權與被遺忘權的關系是正確的。

首先，被遺忘權不采“廣義被遺忘權”的概念。廣義被遺忘權包括對個人信息的徹底刪除，也包括部分遺忘。在刪除之外，還可以采取匿名化、設置訪問限制、停止限制傳播、信息的語境保留等其他技術手段，以實現被遺忘的效果［14］。這種觀點的產生原因在于，有的技術人員認為從技術層面來看，法律試圖以一種“物理方式摧毀一個有體物”的方式來實現被遺忘權的效果，是不可能實現的。例如，MySQL 數據庫是依據一定的方向和一定的順序來搜索某個信息的，信息的刪除不是一個直接從數據庫消失的過程，而是依據算法將被刪除的信息移入垃圾偏移站，從而留下一個信息空位，再次搜索時算法會跳過這個空位，直到新的數據進入系統。因此，與其說“刪除”了某個信息，不如說在數據庫中“隱藏”了這個信息［15］。換個角度來說，即使法院支持了信息主體的主張，刪除了鏈接或者源文件，但是，其他網絡用戶仍然可以提前下載信息、直接跳轉訪問站點或使用外國搜索引擎來查詢到相關的內容。為了規避單一刪除手段造成的上述弊端，所以應該推行“廣義被遺忘權”的概念。這種主張要求被遺忘權脫離刪除權，應視被遺忘權為一種獨立、嶄新、綜合的技術手段。這一觀點的問題在于，割裂了刪除權和被遺忘權的關系，使得被遺忘權脫離了其賴以生存的權利體系，不能得到我國現行法律與國家標準的支持。《信息安全技術公共及商用服務信息系統個人信息保護指南》( 下簡稱《指南》) 5．1( d) 規定:“刪除指個人信息在信息系統中不再可用。”結合《指南》關于“信息系統”的概念可知，刪除是信息處理者在用以處理信息的計算機、關聯網絡和相關設備中使特定信息不再可用。在滿足特定情況下，只要能使信息在儲存媒介中消除且不再具有恢復可能的，就可定義為“刪除”。“不再恢復”的要求直接表明了《指南》與廣義被遺忘權的實現手段之間的對立，所以，廣義被遺忘權不是被遺忘權的真正含義。

其次，個人信息匿名化也不是被遺忘權的實現手段。《個人信息保護法》第七十三條第四款對匿名化的定義，是“個人信息經過處理無法識別特定自然人且不能復原的過程”。就此而言，似乎除刪除外，匿名化也能實現刪除的目標，但其實不然。網絡中的刪除，可以分為“物理刪除”和“邏輯刪除”［16］。物理刪除是將Data 區內的二進制數據全部歸零，刪除后無法恢復;邏輯刪除本質上就是一種修改操作，它不對Data 區做根本處理，在表中以刪除標識進行區別，所以信息存在恢復的可能。立法者顯然意識到兩種刪除的區別，并在不同條文中進行了區分。《個人信息保護法》第二十一條第二款規定:“委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。”這里說的是物理刪除。第四十七條規定:“有下列情形之一的，個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的，個人有權請求刪除。”此處沒有“不得保留”的表述，因此近似于邏輯刪除。這兩種刪除的靈活運用都足以打消“刪除作為一種信息保護手段過于狹窄的顧慮”。而匿名化處理的手段包括泛化、壓縮、分解和置換等，盡管與刪除類似，但卻仍然存在被“重構”和“突破”的風險，被匿名化的數據可以被逆轉［17］。隨著近幾年技術的突破，讓重標識手段( re-identification) 得到了發展，第三方在某些情況下可以重新知曉被匿名化的信息［18］，所以無法確保某個匿名化手段在什么時候會被攻破。《個人信息保護法》第四十七條規定的是刪除，而不是匿名化處理，因而不能把匿名化處理確認為被遺忘權的手段。

再次，刪除權與被遺忘權具有共同性。一是二者有共同的原則性要求。《個人信息保護法》第八條規定:“處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。”保證信息質量原則是個人信息保護的一般原則，無論是刪除權、被遺忘權還是更正、修正權等，都須遵守。該條對“不準確、不合理”的不當信息的描述，與岡薩雷斯案中歐盟法院所認定的被遺忘權的適用原則具有高度相似性［19］。這是各國立法都重點關注的問題。二是二者的適用前提存在包容關系。《個人信息保護法》第四十七條規定，當刪除事由出現時，個人信息處理者應該及時主動刪除信息，未及時刪除的，信息主體可以請求刪除。被遺忘權的行使同樣如此，二者都可以通過請求的方式行使權利。三是二者的權利起源與適用環境相通。雖然被遺忘權最原始的形態是罪犯在刑滿釋放之后可以反對公開其罪行和監禁情況的權利，但是，在《個人信息保護法》中討論的是“數字被遺忘權”，這種權利與前者最明顯的區別為是否只能在網絡環境中行使。刪除權和被遺忘權都是在網絡環境下產生的，針對的都是個人信息易被侵犯的現實問題，當事人都無法對報紙、期刊等有形載體刊登的相關信息主張被遺忘權和刪除。四是二者的主體相同、客體具有關聯性。刪除權和被遺忘權都是個人信息權的內容，二者的權利主體都是自然人，法人和非法人組織不是合法的權利主體，具體來說，是利用互聯網傳播數據的所有個人［20］。義務主體都是寬泛意義上的信息處理者，包含網絡服務提供商。

正因為被遺忘權的基本內容是刪除，與刪除權相一致，而被遺忘權的刪除的范圍小于刪除權，且在刪除權的范圍之內，因而，被遺忘權和刪除權既不是對立的，也不是完全相同的概念，而是包容和被包容的關系。

2．處理目的已達、不達或者不再必要是被遺忘權的行使要件。《個人信息保護法》第四十七條規定的刪除權的法定事由包括:一是處理目的已實現、無法實現或者為實現處理目的不再必要;二是個人信息處理者停止提供產品或者服務，或者保存期限已屆滿;三是個人撤回同意;四是個人信息處理者違反法律、行政法規或者違反約定處理個人信息;五是法律、行政法規規定的其他情形。在上述規定中，雖然沒有明文規定被遺忘權，但是，“處理目的已實現、無法實現或者為實現處理目的不再必要”的法定事由，就是被遺忘權的行使要件。

《個人信息保護法》第四十七條規定的這一刪除權的事由，可以概括為個人信息的處理目的已達、不達或者不再必要。處理目的已實現，就是目的已達;處理目的無法實現，就是目的不達; 為實現處理目的不再必要，就是不再必要。與其糾結條文是否寫有“被遺忘權”這四個字，不如將重點放在對法律條文規定進行準確的分析上。因處理個人信息的目的已達、不達或者不再必要而有權請求刪除，包含的正是被遺忘權的內容。信息處理目的是處理個人信息的正當性基礎。英屬哥倫比亞省信息和隱私專員伊麗莎白·德納姆認為:“被遺忘權的內容要求組織在按照他們的需要保存信息時只能出于公事目的，當該目的已經達成或者不具備時，對相關信息就必須刪除。”［21］目的性要素的喪失是被遺忘權得以適用的基礎。以疫情為例:一旦發現感染者，須依據《個人信息保護法》和《中華人民共和國傳染病防治法》公布個人行蹤信息。個人行蹤是個人敏感信息，公開或者泄露會對信息主體產生重大不利影響，但是由于存在目的性要素，因而搜集和公開該信息是合法的、正當的。當這一目的性要素即處理目的已達、不達或者不再必要，就不存在繼續保留該信息的必要，個人信息處理者未主動刪除的，權利人有權請求刪除該信息。

筆者曾經將被遺忘權定義為:信息主體對已被發布在網絡上的有關自身的不恰當的、過時的、繼續保留會導致其社會評價降低的信息，要求信息控制者予以刪除的權利［22］。也有學者把被遺忘權界定為“個人信息的擁有主體基于隱私自主而擁有向個人信息收集者、發布者、索引者等隨時要求刪除遺留在網絡當中的各種有關個人的數字痕跡，從而使其被其他人所忘記的權利”［23］;或者界定為“數據主體有權要求數據控制者永久刪除有關數據主體的個人數據，以使該數據被互聯網所遺忘的權利”。這些對被遺忘權定義的基本內容是相通的，雖然隨著研究的深入，對被遺忘權的定義也在發展，但是概括的基本內容是適當的。其中被遺忘權所要刪除的個人信息是不恰當的、過時的，繼續保留會導致其社會評價降低的要求，正是處理目的已達、不達或者不再必要，因而被遺忘權的法律依據就是《個人信息保護法》第四十七條第一項規定。個人信息權利人依照處理目的已達、不達或者不再必要的個人信息的規定，對被處理的不恰當的、過時的、繼續保留不當的個人信息行使被遺忘權，完全沒有障礙。反之，該條規定的其他各項刪除權的事由，如個人信息處理者停止提供產品或者服務或者保存期限已屆滿，個人撤回同意，個人信息處理者違反法律、行政法規或者違反約定處理個人信息，都與被遺忘權的內容不甚相合;而“法律、行政法規規定的其他情形”需要其他法律的規定，也不宜適用。

正因為如此，《個人信息保護法》第四十七條規定的第一項行使刪除權的事由，規定的就是被遺忘權。在刪除權與被遺忘權之間的邏輯關系上，是包容與被包容的關系，即被遺忘權包容在刪除權之中，是刪除權的內容之一。

3．刪除權的權利母體是個人信息權。刪除權和被遺忘權都不是獨立的民事權利，它們都歸屬于個人信息權益的概念之下，為個人信息權的具體內容。《中華人民共和國民法典》( 以下簡稱《民法典》)規定個人信息及其保護使用的概念是“個人信息”，《個人信息保護法》使用的概念是“個人信息權益”，具有進一步完善個人信息權利內涵和外延的重大意義。從理論上揭示個人信息權益的權利和利益構造，澄清個人對其個人信息在人格尊嚴、人格財產安全以及通信自由和通信秘密等方面的利益及其個人信息的非財產性，對于保護個人的個人信息權益具有重要意義。學者認為，個人信息權益的內部構造由“本權權益”與保護“本權權益”的權利構成。個人信息權益之本權權益主要包括人格尊嚴、人身財產安全以及通信自由和通信秘密等;保護本權權益的權利主要包括同意( 或拒絕) 的權利以及知情、查閱、復制、轉移、更正、補充、刪除、請求解釋說明等權利［24］。這些都在《民法典》第一千零三十七條和《個人信息保護法》第四章“個人在個人信息處理活動中的權利”中作出了規定。

學界對被遺忘權屬性與地位性質的主要觀點有隱私權說［25］、個人信息自決權說［26］、共同體信息合理流通說［27］，主流觀點是個人信息自決權說(1)對于被遺忘權的性質，還有公法權利說( 參見張浩《“被遺忘”能否成為一項法律權利——兼與楊立新、韓煦教授商榷》，載《廣西社會科學》2016 年第7 期) ，一般人格利益說( 參見張建文、李倩《被遺忘權的保護標準研究——以我國“被遺忘權第一案”為中心》，載《晉陽學刊》) 等觀點。。個人信息自決權說認為，被遺忘權的核心是刪除，內容是信息主體有權要求刪除或者隱去與自身相關的信息。支持共同體信息合理流通說的學者主要依據谷歌全球隱私安全顧問皮特·弗萊舍爾( Peter Fleischer) 的觀點，主張應根據信息發布的場景不同，確定被遺忘權的本質機制，明確個人信息和公共信息的邊界，從而將其認定為是一種“社會遺忘權”而非“個人遺忘權”更為適宜。隱私權說認為，不僅應在法律適用上參照隱私權的規定，而且應承認在性質上被遺忘權就是隱私權的一部分。

在討論被遺忘權的屬性和地位時，筆者曾經主張，在理論上，應當將被遺忘權作為個人信息權的內容，以為將來的人格權立法或者個人信息保護法的立法做好理論準備;在司法實務上，目前宜將被遺忘權作為隱私權的內容，可以依據現有法律，以保護隱私權的法律規定對其進行保護［28］。這個意見在今天被驗證是正確的。既然《個人信息保護法》規定了個人信息權，個人信息權的內容包含刪除權，被遺忘權又是刪除權的內容，因此，被遺忘權就是個人信息權益的權利內容，其權利本源關系是:

個人信息權→刪除權→被遺忘權

正是由于被遺忘權的實質內容是刪除，而行使刪除權的基本事由包含了處理目的已達、不達或者不再必要，因此，《個人信息保護法》第四十七條規定了刪除權，并且將處理目的已達、不達和不再必要規定為刪除權的行使要件，規定的就是被遺忘權。

二、《個人信息保護法》對我國本土被遺忘權概念的重新界定

《個人信息保護法》第四十七條規定的被遺忘權是個人信息權益的內容之一，同時也對我國本土的被遺忘權的概念及特征進行了重新界定。

( 一) 對本土化被遺忘權概念的重新定義

在《個人信息保護法》頒布實施之前，我國學界對被遺忘權概念的定義眾說紛紜。《個人信息保護法》對被遺忘權作了準確界定，學界也應當依照其規定，對被遺忘權概念進行重新定義。

1995 年《歐洲數據保護指令》規定了“公民可以在個人數據不再需要時提出刪除請求，以保護個人數據信息”，這是被遺忘權的最初形態。GDPR 于2012 年制定，經過2014 年修改后，第17 條規定了“擦除權”( 被遺忘權) ，成為研究被遺忘權制度的典型模板(2)GDPR 第17 條規定了數據主體享有“擦除權”( 被遺忘權) ，可以請求數據控制者刪除個人數據的幾種情況，分別是: 個人數據對實現數據收集或者處理的目的不再必要;處理數據是依據6．1．a 或9．2．a 而進行，且沒有處理數據的其他法律依據，主體撤回同意的;主體反對21( 1) 進行的處理，并且沒有壓倒性的正當理由可以處理，或者主體反對21( 2) 條的處理的;已經存在非法的數據處理的;為了履行歐盟或者成員國法律為控制者設定的法律責任;已經搜集了第8( 1) 條規定的和提供信息社會服務相關的個人數據。。在司法層面，歐盟法院在2014 年“岡薩雷斯訴谷歌”案的判決中，確定了被遺忘權的概念;2017 年判決的“Manni 主張刪除職業信息”案(3)有關Manni 案的具體案情介紹和裁判解讀評析之詳情請見楊立新、杜澤夏《被遺忘權的權利歸屬與保護標準——任甲玉訴百度公司被遺忘權案裁判理由評述》，《法律適用》2017 年第16 期。表明歐盟法院采取更加務實的標準和態度，在判斷被遺忘權的適用條件上，不單單依據“數據生命周期”理論，更看重信息存儲、公布之目的，即權利主體主張刪除的數據是否符合信息公布之初始目的、是否具有個人隱私之敏感性，使其成為重要的判斷因素。

美國對被遺忘權的確立和適用采取更謹慎的態度，基于美國憲法第一修正案的規定，司法界長久以來對被遺忘權的反對態度顯而易見。隨著網絡的不斷發展，因為不合時宜信息的留存所導致的惡劣案件不斷增多——例如阿曼達·托德( Amanda Todd) 的自殺［29］，使得美國不得不重新思考被遺忘權的價值。經過了數年的沉淀與討論后，加州確立的“橡皮擦法案”(4)“橡皮擦法案”，即加利福尼亞州參議院第568 號法案，該法案要求Facebook 等社交網站允許未成年人擦除自己的上網痕跡。被認為是美國被遺忘權發展歷史上的里程碑事件，并且達到網絡環境保護未成年人權益的新高度。

相對比而言，我國《個人信息保護法》第四十七條第一項規定的被遺忘權具有更扎實的社會基礎和理論、實踐依據。對這一概念的界定應當全面揭示其內涵。本文認為，被遺忘權是指自然人在個人信息處理中，對處理目的已經實現、無法實現或者對實現處理目的不再必要的自己的個人信息，未被個人信息處理者主動刪除時，所享有的請求刪除的個人信息權利的內容。

( 二) 對本土化被遺忘權基本特征的重新界定

1．被遺忘權的權利主體是個人信息處理活動中的自然人。被遺忘權的權利主體僅指自然人，是學界通說。有學者認為，法人和非法人組織享有有限的人格權，當法人、非法人組織的名譽權受到侵害時，應賦予其被遺忘權。如在“加多寶訴廣藥集團商業詆毀案”中，加多寶老板受賄潛逃。這一事實與商業品牌競爭無關，廣藥集團卻將這一信息置于廣告中宣傳，構成商業詆毀，加多寶可行使被遺忘權要求廣藥集團刪除［30］。這種看法并不正確，民事主體在經營中實施侵害其他法人、非法人組織人格權的行為，應當依據《民法典》第一千一百九十五條的規定行使通知權，要求網絡服務平臺提供者予以刪除、屏蔽或者斷開鏈接。這里的刪除雖然也是一種刪除，但屬于“通知—刪除”規則中通知權的內容，并不是《個人信息保護法》第四十七條規定的刪除權，更不是被遺忘權的內容。本案中廣藥集團的行為系在網絡上發布違法信息的行為，加多寶有權依據“通知—刪除”的通知權行使規則請求刪除，以維護自己的名譽權，根本不是個人信息權中的被遺忘權的刪除權。因此，被遺忘權的權利主體只能是個人信息處理活動中的自然人“個人”，不包括法人或者非法人組織。

2．被遺忘權的權利本源是個人信息權。被遺忘權不是一項獨立的權利，也不是一種可以凌駕于其他數字權利之上的超然權利［31］。也就是說，從制度起點來看，被遺忘權不具備絕對高于數據可攜權、數據修正權等其他權利的天然優勢。正如學者所說，如果一種“新權利”的權能已經被其他現有權利所包含，將其認定為一種獨立的權利就是一種冗余。顯然，被遺忘權的權能只不過是其他權利簇中積極權能的集合［32］。當一項民事利益需要獨立保護，且沒有上位的民事權利能將其涵蓋，立法又作出明確規定的情況下，才可以認為它是一項獨立的民事權利，被遺忘權顯然不具有這一特征［33］。在現有的具體人格權框架內，足以解決被遺忘權的理論與實際問題，也不應采用一般人格權的方法理解被遺忘權。被遺忘權是具體人格權的組成部分，這個具體人格權就是個人信息權。

3．被遺忘權的內容是刪除處理目的喪失的個人信息。個人信息處理者處理他人個人信息，須具有合法的處理目的。只有存在合法的處理目的時，個人信息處理者才具有處理他人個人信息的正當性。當個人信息處理者處理個人信息的處理目的已經喪失，其處理他人個人信息的正當性就不復存在，因此，就應當對正在處理的他人個人信息予以刪除。處理他人個人信息的目的喪失，包括處理目的已達、目的不達或者不再必要。處理個人信息的目的已經實現( 已達) ，個人信息處理者就沒有繼續處理個人信息的合法性，當然應當刪除。處理個人信息的目的不能實現( 不達) ，個人信息處理者喪失了繼續處理個人信息的合法性，也應當予以刪除。為實現處理目的不再必要，當然更不具有處理他人個人信息的必要性和正當性，更應當予以刪除。這三種個人信息處理目的的喪失，都是被遺忘權行使的條件。當個人信息處理者處理他人個人信息出現上述處理目的喪失的三種情形之一的，權利人就享有被遺忘權，有權請求個人信息處理者刪除這樣的個人信息。“岡薩雷斯訴谷歌”案中，原告請求被告刪除的個人曾經破產的信息，說到底，就是個人信息處理目的已經喪失，至于是否要具備已經過時、繼續保留對自己有不利影響等，都不是必要的條件。

4．被遺忘權行使的前提是個人信息處理者未對處理目的喪失的信息予以刪除。個人信息權利人請求行使被遺忘權，須具備其權利行使的前提要件，即個人信息處理者未對處理目的喪失的信息主動刪除。個人信息權益的權利內容，是當個人信息處理目的喪失時，個人信息處理者應當主動將其刪除，以保障權利人的權利不受侵害，《個人信息保護法》將其規定為個人信息處理者負有的保證權利人權利的法定義務。當這一義務不履行時，權利人才可以行使被遺忘權，請求義務人履行刪除的義務。

個人信息處理者既包括網絡服務運營商，也包括搜索引擎運營商。這是因為遺忘權有兩大權能，即信息的內容刪除權和索引( 鏈接) 刪除權，它主要影響的是信息存檔和信息獲取兩個方面［34］。這兩種權能在私法上對應兩大義務主體，即網絡服務運營商和搜索引擎運營商。在“岡薩雷斯訴谷歌”一案中，岡薩雷斯就請求刪除源網址的相關內容，同時要求谷歌刪除鏈接。得不到實現的權利就是一紙空文，網絡服務運營商和搜索引擎運營商是相依相伴的共同體，在當今的網絡時代無法將二者割裂看待，如果只將其中一種類別作為義務主體，不僅民法的平等原則無法得到實現，而且會令被遺忘權的相關制度成為一紙空文，無法實現遺忘權的目的。所以，這兩種網絡運營商都是被遺忘權的義務主體。

5．被遺忘權的權利屬性是人格權請求權。被遺忘權的核心當然是個人信息自決權。《個人信息保護法》第四十四條規定:“個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理。”在被遺忘權的行使過程中，信息主體有權對信息保存和刪除情況知情，有權決定是否請求刪除信息，刪除不合時宜或者內容失實的信息實際上也是保證了主體的權益在現在和未來不會進一步減少，這些都是個人信息自決權的體現。個人信息權是人格權，《民法典》就將其規定在“人格權編”。個人信息權的自決權，包括在《民法典》第一百三十條關于“民事主體按照自己的意思行使民事權利，不受干涉”的自我決定權［35］的規定中。

但是，這只是被遺忘權屬性的一個方面，被遺忘權屬性的更重要方面，是人格權請求權。這是因為，個人信息權作為人格權，一方面要確定其權利的內容，另一方面要確定權利的保護方法。《個人信息保護法》第四十七條規定的個人信息處理者對處理目的喪失的他人個人信息的刪除，是其法定義務，對應的就是個人信息權利人的權利。個人信息處理者對處理目的喪失的個人信息予以刪除，就保障了權利人的權利實現。當其不能主動刪除處理目的喪失的個人信息時，權利人有權請求個人信息處理者刪除處理目的喪失的個人信息，就不再是個人信息權的本身內容，而是保護個人信息權的人格權請求權，成為《民法典》第九百九十五條的內容。

因此，被遺忘權雖然是個人信息自決權的表達，但更是保護個人信息自決權的人格權請求權。對于被遺忘權的權利屬性，揭示它的論述還不多見。本文在后面還要對其繼續進行討論。

( 三) 被遺忘權實現的其他變通方法與抗辯

1．變通方法。《個人信息保護法》第四十七條第二款規定: “法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。”這一款規定的內容，在具備法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現，不能采取或者難以采取刪除措施的，即使應當刪除，也可以采取存儲和采取必要的安全措施，而停止這兩個方面之外的其他個人信息處理，如收集、使用、加工、傳輸、提供、公開等。

這其實是對刪除的變通規定。首先，法律、行政法規的保存期限未滿，信息的保存就具有合法事由。關于保存期限，明文列舉了法律規范的種類，并無一個“等”字，因此規章等即使具有效力，也不在此范圍內。當法定的保存期限未滿，雖然客體符合被遺忘權的要求，但是基于法律的強行性規定，信息主體也不能強制要求刪除。其次，被遺忘權要求具有技術可操作性方可行使，對于無法刪除的信息，信息處理者只能采取存儲和必要安全措施為手段。

當出現這兩種情形之一時，可以存儲和采取必要的安全措施，其他的個人信息處理方法均須停止。采取存儲和必要的安全措施須同時進行，即在存儲的基礎上，再加上必要的安全措施，是刪除權和被遺忘權無法直接實現時變通的個人信息權的保護方法。

2．抗辯事由。第一，公共利益目的。對行使被遺忘權也有合法的抗辯事由，最主要的是公共利益目的。權利人行使被遺忘權，個人信息處理者或者國家機關具有公共目的時，可以拒絕刪除。GDPR 第17 條第3 款也規定，數據的處理是為了行使表達自由和信息自由，數據控制者為了執行基于公共利益的特定任務，出于科學、統計或歷史研究目的和為了提起、行使或辯護主張時，擦除權( 被遺忘權) 不能得到適用。其中包含的道理便是，被遺忘權從來都不是一項絕對且任意的權利［36］。并不是所有的信息都能依據被遺忘權予以刪除，只有不存在免責事由且個人利益大于公共利益時，被遺忘權才有適用的空間。國內支持被遺忘權的學者一致認可，對于公眾人物和罪犯應該賦予有限的被遺忘權，對于未成年人應該適用特殊的規則加強保護的力度(5)例如《個人信息保護法》第三十一條規定:“個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則。”。這也是公共利益的抗辯。

第二，公眾知情權。滿足公眾知情權也是對行使被遺忘權的抗辯事由之一。被遺忘權和言論自由天生就帶著適用上的矛盾——要么為了保護被遺忘權而限制他人的表達自由，要么為了實現表達自由而允許個人信息被他人自由地使用與處理［37］。為了解決這一難題，國內學界對被遺忘權的適用標準進行了深入探討，主要有以下成果。一是在承認“數據生命周期理論”(6)如謝遠揚在《信息論視角下個人信息的價值——兼對隱私權保護模式的探討》一文中所描述的那樣，時間不僅能令公共利益下降，還會使個人利益下降，不過在二者同時下降的過程中，個人利益在絕大多數情況下總能在一個時間點超越公共利益。的基礎上，對個人信息的種類與使用場景進行細化，將個人信息類型化以進一步明確與完善該理論的適用條件。例如有學者提出，從信息的產生方式來看，信息可以分為被動信息和主動信息、自主發布信息和非自主發布信息;從信息的作用來看，可以分為通信信息和知識信息; 從信息的目的來看，可以分為即時信息和遠期決策的信息。不同的信息種類對被遺忘權的適用有不同的影響，換言之，雖然美國一些學者認為公共利益不會隨著時間的流逝而衰減，但是，國內學者普遍認為時間是良好的判定要素，上述兩種變量會影響信息中公共利益的衰減速度［38］。二是以信息發布的目的為切入點，已經公開的信息喪失原始目的的，應該予以刪除。無論是前文提到的Manni 案，還是2015 年被稱為我國被遺忘權第一案的任甲玉訴百度公司案，都體現了一個共同特征:即使案件的情況符合被遺忘權行使要件的要求，只要信息仍滿足公布之初的原始目的，個人信息權就應該讓位給公眾知情權，除非信息具有相當大程度的個人敏感性［39］。Manni與任甲玉的情況相同，信息都是由信息主體自主公布的，是正當、合法的職業信息( professional information) 。尤其對于任甲玉案而言，信息主體任職于教育部門，公眾對于其職業經歷更有了解的必要，這一信息公布的目的始終生效，所以法院駁回了任甲玉的訴訟請求。

三、對被遺忘權的兩種不同的保護方式

一項具有對世性的權利( 權益) 由“本權權益”與保護“本權權益”的權利兩個方面組成［40］。被遺忘權雖然不是一項完整的對世權，但是，個人信息權卻是一個對世性權利，其中具有一定相對獨立地位的被遺忘權，也具有本權權益和保護本權權益的權利。作為被遺忘權的權利保護的權利，包括請求刪除的人格權請求權和請求損害賠償的侵權請求權。

( 一) 被遺忘權的人格權請求權保護

人格權請求權是《民法典》第九百九十五條規定的保護人格權的固有請求權，與物權請求權、身份權請求權等一道，構成民事權利保護的第一種方法。它們是民事權利自己固有的保護自己的請求權。當自身權利受到他人侵害時，只要不請求以損害賠償的方式進行保護，就可以直接行使固有請求權救濟自己，使自己的母權利恢復圓滿狀態。

不過，《民法典》第九百九十五條規定人格權請求權只規定了停止侵害、排除妨礙、消除危險、消除影響、恢復名譽、賠禮道歉，并沒有規定刪除這種責任方式。應當看到的是，人格權請求權并非只有第九百九十五條規定的五種責任方式，個人信息權益的固有請求權如刪除是在《民法典》第一千零三十七條第二款關于“自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除”的規定中特別規定的人格權請求權的保護方式。因此，《個人信息保護法》第四十七條規定的刪除權的上位法依據，就是《民法典》的上述規定。

依照《個人信息保護法》第四十七條規定，個人行使被遺忘權請求刪除個人信息的前提要件是“個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除”。按照這一規定要求，個人信息處理者對于處理目的喪失的個人信息，負有主動刪除的義務。這是個人信息權的權利人實現其權利的必要措施，也是個人信息處理者必須履行的義務。個人信息處理者沒有履行這一法定義務，就侵害了權利人的個人信息權。因此，權利人就可以行使被遺忘權這一人格權請求權，請求個人信息處理者刪除處理目的已達、不達或者不再必要的個人信息，維護自己個人信息權的完滿性。

權利人可以自主選擇請求刪除處理目的喪失的個人信息的對象。依據被遺忘權的權能，當事人可以起訴搜索引擎運營商、網絡服務運營商或將二者作為共同被告。歐盟法院在“岡薩雷斯訴谷歌”案判決中僅支持了搜索引擎運營商( 谷歌) 刪除鏈接的主張，原因在于網絡服務運營商享有新聞報道自由。為了進一步明確被遺忘權權能的行使規則，有的觀點認為，信息主體應該先向出版者( 網絡服務運營商) 申請，無法實現的才可以向搜索引擎運營商提出權利主張［41］。這種意見不妥。被遺忘權是個人信息權益的固有請求權，其本質是信息自決。對于處理個人信息的法定義務人，硬性規定誰先誰后的順序，不僅不能達到良好效果，而且有損于權利人的信息自決權。如果認為信息主體首先或只能向搜索引擎請求行使被遺忘權，即使鏈接被刪除，其他用戶還有可能不經搜索引擎直接進入源網址; 反之，網絡中每個人的下載行為是無法被規制的，一則信息可能被傳播成千上萬次，只要存在搜索引擎，其他網絡用戶就可以有效搜索信息。在被遺忘權受損的情況下，將選擇權交予權利人，是最好的方法。信息主體可以根據自己的實際需要，選擇起訴搜索引擎運營商或者網絡服務運營商。

( 二) 被遺忘權的侵權請求權保護

《個人信息保護法》第六十九條規定了對個人信息權的侵權請求權保護，個人信息處理者對處理目的喪失的個人信息未履行刪除的法定義務，侵害個人信息權的，如果僅僅請求其刪除，尚不足以救濟權利人的個人信息權所受到的損害的，權利人可以既請求刪除，也可以行使侵權請求權主張個人信息處理者承擔損害賠償責任。

應當看到的是，《個人信息保護法》第六十九條規定的侵害個人信息權益的損害賠償方法，是有局限性的。一是其針對的僅是個人信息處理者，不包括其他民事主體對個人信息權利人的權利侵害; 二是損害賠償救濟的只是侵害個人信息權造成財產權益損害，不包括侵害個人信息權益的精神損害賠償。對此，個人信息權益受到個人信息處理者以外的民事主體的侵害的，應當依照《民法典》第一千一百八十二條規定和第一千一百八十三條規定，保護個人信息權益。對于個人信息處理者侵害個人信息權益造成損害的，要根據受到損害的性質不同，分別適用《個人信息保護法》和《民法典》的有關規定，確定侵權損害賠償責任。

1．個人信息處理者侵害個人信息權造成財產利益的損害賠償。《個人信息保護法》第六十九條規定了個人信息處理者侵害個人信息造成財產利益損失的損害賠償責任。該條規定: “處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。”“前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。”這一規定的要點如下。

第一，個人信息處理者侵害個人信息權益造成財產損害的損害賠償責任，不適用過錯責任，而是適用過錯推定原則。這是在法律有特別規定的場合，從損害事實的本身推定侵權人有過錯，侵權人不能證明自己對損害結果的發生并無過錯的，即為有過錯，應該承擔侵權責任。［42］

第二，侵害個人信息權的侵權損害賠償請求權的構成要件，一是違法行為，二是損害事實，三是因果關系，四是過錯。具備這四個要件，個人信息處理者就應當依照《個人信息保護法》第六十九條規定，承擔賠償責任。

第三，承擔賠償責任的方法，是“按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額”。這一規定與《民法典》第一千一百八十二條規定相比，更為簡潔、明確，按照這一規定確定侵害個人信息權造成權利人財產利益的損害，就能夠保障被侵權人的合法權益。

2．個人信息處理者侵害個人信息權造成權利人精神損害的賠償。個人信息處理者侵害個人信息權，造成權利人精神損害的，應當承擔精神損害賠償責任。對此，雖然《個人信息保護法》沒有明文規定，但是，應當適用《民法典》第一千一百八十三條第一款規定確定個人信息處理者侵害個人信息權的精神損害賠償責任。這是因為，個人信息權是人格權，人格權包含精神利益和財產利益。侵害個人信息權使權利人受到精神利益損害的，當然要承擔精神損害賠償責任。《個人信息保護法》是《民法典》的特別法，《民法典》是《個人信息保護法》的基本法。當特別法沒有規定的，依照《民法典》第十一條關于“其他法律對民事關系有特別規定的，依照其規定”的規定反推適用，當然應當適用《民法典》的規定，不能因為《個人信息保護法》第六十九條沒有規定侵害個人信息權的精神損害賠償，而對權利人的精神損害賠償請求予以拒絕。

3．非個人信息處理者侵害個人信息的損害賠償。自然人享有的個人信息權是絕對權，其義務主體不僅僅是個人信息處理者，還包括其他任何民事主體。個人信息處理者以外的其他民事主體作為個人信息權的義務主體違反對他人個人信息權的不可侵義務造成損害的，不在《個人信息保護法》的調整范圍之內，屬于《民法典》“侵權責任編”的調整范圍。所以，其他民事主體侵害個人信息權的侵權責任，應當適用《民法典》第一千一百六十五條第一款規定的過錯責任原則，依照第一千一百八十二條和第一千一百八十三條規定，承擔侵害個人信息權造成財產損害的賠償責任，以及造成精神利益嚴重損害的精神損害賠償責任。前一種損害賠償責任與《個人信息保護法》第六十九條規定的損害賠償責任的區別，在于歸責原則的不同。后一種損害賠償責任，適用《民法典》第一千一百八十三條第一款規定，沒有不同之處。

四、結語

《個人信息保護法》第四十七條第一項規定了中國本土化的被遺忘權，既與歐洲法的被遺忘權具有淵源關系，又有自己的獨自特點，獨具中國特色。其與個人信息權和刪除權的關系是“個人信息權→刪除權→被遺忘權”的種屬關系。從法律屬性上觀察，被遺忘權是個人信息權的刪除權的組成部分，既具有個人信息自決權的屬性，也具有人格權請求權的屬性。在個人信息權的保護中，被遺忘權是人格權請求權，負責保護個人信息權的完滿性，當個人信息處理者對處理目的喪失的個人信息不履行刪除的法定義務時，權利人有權請求其承擔刪除的民事責任。因其不履行刪除的法定義務造成權利人損害的，應當承擔侵權損害賠償責任對權利人予以救濟。