彭支援

(内蒙古财经大学法学院，内蒙古呼和浩特010070)

“棱镜门”揭示了美国政府为了监视、监听民众的通话和网络活动而借助电信公司和互联网公司收集、获取、存储和使用个人数据，并进行数据挖掘的计划。事件发生后，虽然美国政府以保障国家安全为由进行申辩，但显然它的“棱镜”计划已经侵犯了公民的隐私权等基本权利。美国的“棱镜”计划之所以能够实施下去，其中一个重要方面在于数字化、网络技术和存储技术的发展，使大量高度私密化的信息可以轻易被保存于数字存储器中，形成数字化记忆，为情报部门、执法部门等公共机构获取这些信息提供了便捷条件。许多私营机构，如金融保险公司、教育医疗机构、电信公司、互联网公司等基于营利和管理的需要，也在大量收集、存储和利用个人信息，而且公共机构往往通过私营机构来获取个人信息，以完善对所有人的数字化记忆。由于网络时代个人信息易于获取、存储和应用，故增加了个人信息被滥用的风险，也给个人信息的保护带来巨大挑战。在此背景下，如何保护我们的权利及如何使个人信息被遗忘就成为网络时代亟需解决的重要问题。为此，2012年韩国在修订后的《信息通信网络的促进利用与信息保护法》中增加了信息主体的“被遗忘权”;欧盟委员会在2012年1月发布的关于个人信息保护的改革方案中，提出增加一项新的权利即“被遗忘权”，以保护网络用户的个人信息不受侵犯。鉴于我国个人信息保护立法尚处于起步阶段，为提升我国个人信息保护水平，有必要在了解其他国家或地区对“被遗忘权”进行立法保护的基础上，深入认识、探讨“被遗忘权”，为我国个人信息保护立法提供借鉴和帮助。

1 被遗忘权的基本要素

被遗忘权，又称为删除权，是指信息主体对信息控制者收集、存储和利用的个人信息，在出现法定或约定的理由时，请求信息控制者删除个人信息并停止传播的权利。被遗忘权的提出是为了应对网络时代个人信息收集、存储和应用过程中涉及的隐私保护问题。虽然是一项新颖的权利，但被遗忘权其实是隐私权的延伸。早在20世纪90年代，一些国家或地区，如欧盟、德国、英国以及我国台湾地区，就在个人信息(资料)保护立法中规定了信息主体在一定条件下有权要求信息控制者删除其个人信息，这可以看作是“被遗忘权”的雏形。早期这些法律规范虽然规定信息主体有权要求信息控制者删除其个人信息，但在删除的范围、行使条件及其它限制方面都规定得比较宽泛，而且多是强调只有在数据不完整或不准确时才能够要求信息控制者删除信息。随着社会经济和科学的飞速发展，准确的、完整的个人信息如果被网络服务商或其他社会组织收集并长时间存储也会给信息主体带来损害，而且逐渐成为致害的主要途径。如果不对此进行规制，“喝醉的海盗”①史黛西·施耐德想成为一名教师，但是因为她在其个人网页上上传了一张她头戴海盗帽，举着杯子轻轻啜饮的照片，并取名为“喝醉的海盗”，而被取消了当教师的资格。因为这张照片被校方发现，校方认为其行为与教师职业不相称。、“致幻剂阴影”②费尔德玛因为在一篇文章中提到他在20世纪60年代曾服用过致幻剂LSD，结果在2006年的一天他打算穿过美国与加拿大的边境时，边境士兵用互联网搜索引擎查询到了这一信息，他因此被扣留并采了指纹，而且不准再进入美国境内。等类似情况［1］5－9随时都可能发生在我们身上。

虽然信息社会对隐私权的保护越来越强调个人对其信息的控制和管理，即个人有权决定怎样使用个人信息，如决定哪些可以公开，在什么范围内公开，哪些不能公开，即使公开以后也可以按照自己的意愿对信息进行核对、修正和删除。然而，隐私权并不能完全涵盖被遗忘权，隐私侵权行为认定要求个人确定信息控制者和恰当的诉讼对象，并能够证明信息控制者处理信息的行为对原告造成了损害，而且损害是确定的。可是在互联网环境下，个人往往极难确定信息泄露源和恰当的诉讼对象，致使在现实中出现隐私被侵犯而难以获得救济的情况。从这个意义上来说，隐私侵权法律规范在保护个人信息方面存在着缺陷。这也是“被遗忘权”被提出并作为一项独立的权利来看待的原因之一。对于尚处于发展完善过程中的被遗忘权来说，明确其主体、客体和内容，就成为立法保护被遗忘权亟需解决的问题。

1.1 被遗忘权的主体

被遗忘权的主体仅限于自然人，法人和其他组织都被排除在外。这里的自然人包括已被识别的或通过组合信息，如身份证号码、地址、社会保障号码、照片、职业、收入等可被识别的自然人。被遗忘权的主体之所以不包括法人和其他社会组织，是因为被遗忘权保护的是自然人的人格独立、人格尊严和人身自由。只有自然人才涉及人格发展和人身自由等问题，法人和其他组织并不涉及。

1.2 被遗忘权的客体

被遗忘权的客体是指被存储的与个人相关的一切信息。网络时代个人信息被收集、存储以后，信息主体基本上就失去了对其信息的控制权，致使在以后对信息的使用中被侵犯人格权和限制人身自由的几率增大。创设被遗忘权，其实质就在于让信息主体有取回自己个人信息或者说行使退出权的机会，从而保障个人信息自决。如果信息没有被存储，也就无所谓取回个人信息，也无需被遗忘或删除。“个人信息本人的人格利益主要表现为决定是否以及如何对其个人信息处理、对主体处理信息的情况进行查询以及请求维护信息的完整与正确状态等。在个人信息未被存储的情况下，上述要求很难得到满足，从而本人人格利益赖以维系的基础甚微。”［2］如果个人信息没有被收集和存储而出现有关个人信息纠纷时，可以通过侵权法加以处理。

此外，有学者认为将与个人相关的一切信息作为被遗忘权的客体过于宽泛，“有可能导致司法实践的不确定性，尤其是可能导致对言论自由的压制。”［3］有学者甚至为了处理被遗忘权与言论自由的关系，提出应将表达性内容的信息从被遗忘权的客体中分离出来，那样才能够更好地保护言论自由。然而，在网络时代，被网络公司等信息处理主体收集、存储的个人信息不再局限于姓名、肖像、职业、住址、电话等传统的结构性数据，而是转向以信息主体在网络上发表的文字、上传的照片、音频、视频等非结构性数据为主，而且这些数据多是表达性信息。这些信息同样可以直接或间接地识别出本人身份，都是个人信息的体现。因此，将表达性信息排除出去将无法充分保护个人信息。至于被遗忘权和表达自由的关系，则可以通过设定被遗忘权行使的条件与例外规定来加以平衡。

1.3 被遗忘权的内容

被遗忘权的内容主要包括以下方面:①信息主体决定是否分享以及如何分享个人信息。个人拥有对其信息的控制权，可以自己或许可他人收集、存储和使用其个人信息。如果决定与他人分享信息，信息主体有权选择信息处理主体，并就信息处理的目的、范围、条件和方式等作出约定。如无法律规定的事由，信息主体之外的私营、公共机构或其他个体想要收集、存储和利用其个人信息时，需要告知本人并获得明示或默示许可，否则信息主体有权要求信息处理主体删除其个人信息。②信息主体可随时查询个人信息的处理理由、用途、范围、方式、期限等事项，一旦发现违法或违反约定情况，可随时请求更正或注销、删除个人信息。③要求信息处理主体承担的义务。对于信息主体一定期间未使用个人信息的，除法律明确规定的情形外，信息控制者应完全删除其所收集的个人信息。

2 被遗忘权的义务主体

被遗忘权作为隐私权的延伸，保护的是自然人的人格尊严、人身自由和自我发展，是一种绝对权。它的义务主体是信息控制者，是除信息主体以外的处理个人信息的一切人，包括其他自然人、法人、政府以及其他机构、组织。按照利用个人信息的目的，可以将义务主体分为三类:①以追求商业利益为目的的法人或其他组织;②以公共管理为目的的政府或其他机构、组织;③出于其它目的收集、存储、使用个人信息的自然人等其他义务主体。其中前两类义务主体是收集、存储和使用个人信息的主要义务主体，当然也是潜在的侵犯个人信息的主要主体。

告知原则是隐私保护法律规范的基本原则，目的在于保障信息主体能够控制其信息。强调信息控制者如要收集和处理个人信息，必须告知信息主体收集了哪些数据及其用途，并在收集之前征得信息主体地同意。然而，网络时代经常出现的情况是，网络服务商违背告知原则，在没有告知的情况下已经采集了个人信息数据，并掌握了信息主体的相关信息。或者网络服务商以发布隐私保护合约的方式来履行告知义务，由于网络服务商与网络用户的地位不对等，这种告知方式往往形同虚设，因为不同意该合约就不能够享用服务商提供的服务。此外，现在商业机构和公共机构出于经营和管理的需要而对信息进行二次利用时，往往会超出信息收集时所告知的目的范围。具体来说，信息控制者侵犯被遗忘权的行为大体可以分为“作为侵权”和“不作为侵权”两大类，前者是“不当为而为之”，后者是“当为之而不为”。“作为侵权”包括不当公开、传播个人信息，及不当的个人信息收集、存储、使用等形态;“不作为侵权”包括保留不准确的个人信息，及收集、存储、使用个人信息未履行告知义务和信息存储期限义务等内容。

无论是“作为侵权”还是“不作为侵权”，都需要明晰侵犯被遗忘权承担的法律责任问题。首先，需要确立归责原则，因为归责原则是确定责任成立和归属的核心。对于被遗忘权的侵权行为，宜适用过错推定原则，即由信息控制者来证明自己没有过错。因为政府和网络服务商等信息控制者拥有权力、资金和技术上的优势，处于事实上的强势地位，故在处理个人信息时应自觉尽到相应的注意义务，否则应推定主观上有过错。相反，如果让信息主体来举证证明信息控制者主观上存在过错，将导致权利救济非常困难，几乎没有成功的可能。这也是侵犯隐私权采取一般过错责任原镇的局限性所在。如果对侵犯被遗忘权行为采用无过错原则，则不符合网络空间的特点和网络政策的需要，会抑制网络产业的发展和信息化社会的建设。

其次，需要认定侵权行为。在对侵犯被遗忘权行为进行认定时，一个复杂的问题是如果某信息控制者将个人信息经由网络不当公开、传播后，信息又被其他组织传播，该行为是多个信息控制者的单独侵权行为，还是共同侵权行为?从损害后果来看，此类行为应被认定为共同侵权行为，因为他们的侵权行为使信息主体无法控制其信息传播，损害了人格自由。在责任分担上，如果能够确定最初信息泄露源的，由该信息控制者承担伤害责任，其他行为人不用承担，否则会遏制表达渍由，因为他们不确定网络上的信息何时予以传播才是合法的。但信息主体友权要求信息控制者删除个人信息，如果遭受拒绝，则后者应承担相应的法律责任。如果无法确定最初信息泄露源的，应由公开、传播个人信息的所有信息控制者承担连带责任。此外，如果个人信息有共同控制者，则在处理个人信息过程中如果发生侵犯被遗忘权行为，那么共同控制者将作为共同侵权来承担连带责任。如果信息控制者将其控制的信息未经信息主体许可，授权他人使用并造成损害时，亦应承担连带责任。

如果过于加重信息控制者的法律责任，会抑制技术进步、企业创新和社会管理创新，因此在立法保护个人信息的同时，也需要规定信息控制者的免责条件。欧盟委员会的改革方案指出，信息控制者可以拒绝承担删除个人信息的责任的情况如下:①对个人信息的处理纯粹为了言论自由;②对个人信息的处理在保证信息主体基本权利的同时涉及与健康安全有关的情况;③对个人信息的处理为历史性、数据性、科学性研究所必需。［3］此外，出于核实个人信息的准确性、将信息作为证据保全、信息主体不允许删除信息但要求对其处理进行限制以及信息本人行使了“信息可携权”的情况下，信息控制者也可以拒绝承担删除个人信息的责任。

3 被遗忘权的行使与限制

赋予个人对其信息享有被遗忘权就必须限制他人对信息的收集、存储、处理和散布，而这可能导致被遗忘权与他人言论自由、基本经济自由等权利冲突，因为行为人认为自己收集、存储和处理信息的活动没有受到这些基本权利的保护。要缓解这种紧张关系，需要信息主体明确被遗忘权的行使理由、条件、方式及其例外规定。

在被遗忘权的行使理由上，一般包括以下几种情形:①信息收集与处理的目的已经实现或者没有可能实现［4］，亦或是信息主体通过声明或行动表示不再允许其信息被收集、使用［3］，网络服务提供商或其他社会组织就没有必要和理由再继续保有该个人信息。②信息存储期限届满。如果法律规定了个人信息存储期限或网络服务提供商以及其他组织在收集信息之前已经与信息主体约定了信息存储期限，那么期限届满时，信息主体有权要求他们删除个人信息。如果没有明确约定，应当按照行业惯例、行业自律规定来确定合理的收集、存储和使用的期限。“用户在一定期间未使用信息与通信服务的，服务提供商应完全删除其所使用的个人信息。”［5］③信息的收集、处理与利用违反了法律的规定或当事人的约定，如所收集的信息超出了原定的目的或范围，或未经信息本人同意即对其信息进行收集，以及没有按照原定的目的对信息进行利用等。［4］

欧盟委员会的改革方案对被遗忘权的行使理由和条件规定得比较详细，除了强调信息收集和处理目的方面的必要性及存储期限条件外，还规定“权利主体根据自身情况在任何时候都可以反对其个人信息的收集和处理，除非对于该信息的处理对维护信息主体的基本权利至关重要，或是为了维持公共利益项目的正常运作所必需的，或属于信息控制者既定的官方权利范围之内，或信息收集者对于该个人信息的处理有着超越保护个人信息自由的无可抗拒的立场;对于权利主体个人信息的处理违反个人信息保护的改革方案”。［3］

欧盟委员会的改革方案还规定了被遗忘权行使的例外条件，指出为了言论自由、科学研究和在保证信息主体基本权利的同时涉及到健康安全等情况下，信息控制者可以拒绝承担删除个人信息的责任。欧盟改革方案的上述规定在对个人信息进行保护的同时，兼顾了网络服务提供商、政府以及其他社会主体的经营、管理、科研的需要，值得我国被遗忘权立法借鉴。

信息主体行使被遗忘权应以书面形式向信息控制者提出，并提供相应证据。因为，被遗忘权一旦被行使，将可能导致存储的个人信息被彻底销毁或清除。如果行使被遗忘权的信息主体是错误的，则可能对真正的信息主体带来不利影响。因此，信息主体需要行使被遗忘权的时候，需要提供相应的身份证明并说明行使被遗忘权的理由。信息控制者核实无误后，应立即停止处理相关信息并予以删除。如果信息控制者认为信息主体行使被遗忘权的理由不成立而予以拒绝，也应以书面形式及时告知对方。信息主体如果认为信息控制者的拒绝理由不成立，可以通过协商、调解或申诉等方式来维护其权益。

4 我国被遗忘权的立法设想

2012年12月28日，全国人大常委会通过了《关于加强网络信息保护的决定》，在此之前，我国对个人信息的保护散见于近40部法律、30多部法规以及近200部规章之中。《关于加强网络信息保护的决定》(以下简称《决定》)的通过标志着我国在个人信息保护立法领域的重大突破。《决定》宽泛地界定了公民个人的电子信息，即能够识别公民个人身份和涉及公民个人隐私的电子信息;明确了个人信息保护的义务主体及其收集、使用公民个人电子信息时应遵循的合法、正当、必要、告知和公开等原则;明确了义务主体存储信息应尽的保密、安全义务。此外，《决定》明确了公民在个人电子信息保护方面享有诉权、举报控告权，并在第八条提出了公民享有被遗忘权的主张，即“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”该条款只是粗略地提出被遗忘权，并没有完整地表达出被遗忘权的内涵、行使条件、对其他权利的影响以及被侵权后的民事赔偿范围和标准确定问题。这与《决定》的性质相关，因为《决定》是一部非常原则性的法律文件，对个人信息保护的法律宣示意义更大，决定了该法律文件对“被遗忘权”的行使也只是作出原则性的规定。

虽然2013年6月28日工业和信息化部公布的《电信和互联网用户个人信息保护规定》在《决定》的基础上细化了电信业务经营者和互联网信息服务提供者收集、使用、保存个人信息的义务，但对被遗忘权几乎未作规定，只是在第九条第四款提出“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。”

对于被遗忘权的法律保护，理想的方式应是在适用《决定》及相应行政法规、规章的基础上，制定一部《个人信息保护法》。在该法中明确界定被遗忘权的内涵;明确被遗忘权的行使条件;明确被遗忘权与知情权、新闻自由和表达自由权的关系，并妥善考虑该项权利的限制性规则。然而，从我国立法实践和现实情况来看，短时间内恐怕难以制定出《个人信息保护法》。较为切实的做法是以《决定》的相关内容为根据，制定保护个人信息的行政法规或规章，在其中细化被遗忘权的相关内容。或是加强法律解释，特别是司法解释，以解决被遗忘权的保障和实施问题，作为规范网络社会对个人信息收集、存储和使用的一条重要路径。

［1］［英］维克托·迈尔－舍恩伯格.删除:大数据取舍之道［M］.杭州:浙江人民出版社，2013.

［2］齐爱民，李仪.论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间［J］.法学评论，2011(3):37－44.

［3］邵国松.“被遗忘的权利”:个人信息保护的新问题及对策［J］.南京社会科学，2013(2):104－109.

［4］蓝蓝.论网络隐私权内容之构建［J］.科技与法律，2009(5):27－30.

［5］王融，石月.国际个人信息保护立法的新趋势与启示［EB/OL］.http://www.legaldaily.com.cn/Frontier of law/content/2013－06/07/content4540185.htm?node=34808.