■ 薛前强

(吉林大学 法学院，吉林 长春 130012)

论大数据时代未成年人被遗忘权的法律构建
——兼评美国加州第568号法案

■ 薛前强

(吉林大学 法学院，吉林 长春 130012)

“被遗忘权”是域外隐私保护的最新立法，“未成年人被遗忘权”是“被遗忘权”的一种特殊类型。欧洲规定了被遗忘权，而美国加州规定了限缩了的“未成年人被遗忘权”。基于大数据时代儿童在隐私保护方面处于理性的弱者地位、保护的弱者地位以及救济的弱者地位的现实因素，建立具有中国特色的“未成年人被遗忘权”制度刻不容缓，也可为丰富隐私的保护机制提供借鉴。建议参照“橡皮擦法案”制定专门适用于未成年人的《未成年人信息保护法》，或在现有模式下制定统一的《个人信息保护法》，也可以先试点，再根据其社会效果决定是否推广。

大数据时代 未成年人被遗忘权 美国加州第568号法案

一、作为新兴权利的未成年人被遗忘权之厘定

学界对于被遗忘权的讨论始于近几年。广义的被遗忘权是指信息主体对信息控制者收集、存储和利用的个人信息在出现法定或约定的理由时，请求信息控制者删除个人信息并停止传播的权利[1]。而狭义的被遗忘权分为两种：一是在与宪法特别是言论自由相协调的情况下主体得以请求并删除个人信息的权利[2]；二是特殊主体得以请求义务者删除自己信息的权利。无论是广义的还是狭义的被遗忘权，在目前众多的研究中，鲜有提到未成年人被遗忘权的，而在实务立法中未成年人被遗忘权并没有被立法者所忽略，在欧盟和美国的立法中都可以见到其影子。

1．欧盟《2012年个人信息改革方案》立法理由的初试

欧盟关于被遗忘权的规定具体表现在《2012年个人信息改革方案》。在该方案中，欧盟规定了广义上的被遗忘权，但在对该方案立法理由的表述中，欧盟委员会信息社会和媒体事务委员维维安·雷丁(Viviane Reding)曾提到“被遗忘权可以修改孩子们由于幼稚、临时的愚蠢以及年轻阶段的行为不端而留下的记录”。可见，此方案已经注意到对未成年人设立被遗忘权的必要性，初见未成年人被遗忘权的端倪。

2．美国立法从“被遗忘按钮”(eraser buttons)到“被遗忘权利”(eraser right)的转变

为应对大数据时代儿童隐私的保护问题，美国联邦贸易委员会于2011年对1998年《儿童在线隐私保护法》进行修订并制订了《2011年儿童防追踪法案》(DoNotTrackKidsActof2011)，而且在立法理由中陈述了建立“未成年人被遗忘权”的巨大群众基础，即在美国，94%的家长与94%的成年人都认为其应当享有“被遗忘权”。该法案在其第7章规定建立“eraser buttons”，并规定“网站经营者，网络服务提供者以及应用经营者允许上述三者的用户以一种可执行的技术方式来消除或者不消除上述三者所保留或者陈列的由公众可获得的儿童或未成年人的个人信息”，但该法只是象征性地提到了“eraser buttons”，并无实质性的权利方面的内容。

与《2011年儿童防追踪法案》中的象征性规定不同，2013年通过的加州第568号法案明确规定了未成年人被遗忘权的规则体系，是美国州立法中对未成年人个人信息保护的一次大胆尝试。

二、未成年人被遗忘权的最新立法考察：美国加州参议院第568号决议

“孩子们在自我反思之前往往就已先自我展现，这些错误可能伴随一生，不管走到哪儿，其网络痕迹都会如影随形。”第568号决议的推动者詹姆斯·斯泰尔(James Steyer)如是说，为此，美国加州参议院制订了旨在保护未成年人网络隐私的第568号法案，俗称“橡皮擦法案”，该法案于2013年9月23日通过并于2015年1月1日生效，共分为第22 580节与22 581节两部分，前者主要讲的是法案中的义务主体对于市场营销与推送广告的限制，而未成年人被遗忘权则主要见于后者。

(一)第568号决议项下被遗忘权之义务群

根据“橡皮擦法案”第22 581节(a)条之规定，未成年人被遗忘权为一个义务群，非单一的删除义务，笔者将其总结为下述四项义务：(1)信息删除义务。如果一个未成年人经注册成为相关网站的用户(directed to minors)、在线服务的使用者、在线服务的享有者、或者是移动服务的享有者的话，那么这个未成年人就有权要求上述四个主体遵守该未成年人的要求移除陈列在相关网站、在线服务、在线应用以及移动应用上的使用者信息。(2)权利享有的提示义务。如果一个未成年人经注册成为相关网站的用户、在线服务的使用者、在线服务的享有者、或者是移动服务的享有者的话，那么上述的相关网站运营者、在线服务提供者、在线应用提供者以及移动服务的提供者有义务提示该未成年人有权要求上述四个主体遵守该未成年人的要求移除陈列在相关网站、在线服务、在线应用以及移动应用上的使用者信息。(3)权利行使的说明义务。如果一个未成年人经注册成为相关网站的用户、在线服务的使用者、在线服务的享有者、或者是移动服务的享有者的话，那么上述的相关网站运营者、在线服务提供者、在线应用提供者以及移动服务的提供者有义务清楚地说明该未成年人如何要求上述四个主体遵守该未成年人的要求，移除陈列在相关网站、在线服务、在线应用以及移动应用上的使用者信息。(4)非确保全面及彻底删除的提示义务。如果一个未成年人经注册成为相关网站的用户、在线服务的使用者、在线服务的享有者、或者是移动服务的享有者的话，那么上述的相关网站运营者、在线服务提供者、在线应用提供者以及移动服务的提供者有义务提示该未成年人在上述第一款的项下所进行的相关数据删除并不保证为完全性的删除和不可逆转。对于该项义务，加州参议院的马克·海德伦德(Mark Hedlund )参议员做出了详尽的说明：相关的网站并没有被要求完全删除相关的数据，而只是让这些申请人申请的信息从公众视野中消失。

(二)未成年人被遗忘权的行使界碑

有权利必有边界，根据“橡皮擦法案”第22 581节(b)条项下的五款规定，在下面五种情况下，上述义务主体及第三方没有义务删除相关信息：(1)联邦法案或者州法案中任何相关条款要求运营者或者第三方来保管相关文本与信息的；(2)如果网站管理者、在线服务提供者、在线应用提供者以及移动应用提供者所存储的或者显示的相关文本或者信息是由第三方而非该未成年人提供的，且对于任何由其他注册用户所提供的以及由第三方所转载、转发的未成年人的信息，其不具有删除义务；(3)运营商通过对未成年注册者提供的文本以及信息进行了匿名化处理，使得通过该种文本及信息无法定位(识别)到该未成年人的；(4)如果该未成年人没有按照第22 581节(a)条第3款中网站服务商、在线应用提供者、在线服务提供者以及移动应用提供者所说明的注册用户如何要求以及获得删除相关信息而行使删除权利的；(5)如果该未成年人已经为提供信息得到相应的补偿或者对价的*对价在这里指网站等相关义务主体为获得未成年人的个人信息而给予未成年人一定的好处，如未成年人为享受网站的VIP待遇，可以享有某些服务特权。参见Senate Bill No.568 section 1.22581.(b).(1)、(2)、(3)、(4)、(5) .。

与2000年生效的《儿童在线隐私保护法》(COPPA)相比，可发现关于未成年人隐私保护的理念不断加强，COPPA中规定在以下四种情况下，网络运营者或在线服务运营者可以收集、使用、传播相应文本及信息。(1)为保护网站的安全与完整性；(2)为预防责任而采取相应的措施；(3)为应对司法程序的要求；(4)在其他法律限度的允许下，把信息提供给执法部门或者公共安全问题的调查活动。COPPA中的例外情形具有明显的亲义务主体色彩，而“橡皮擦法案”中的限制情形则在最大限度的保护隐私的前提下保持中立。

(三)未成年人被遗忘权行使原则

对照被遗忘权行使的限制条款,被遗忘权的行使应当遵循五个原则：(1)合法原则。未成年人在行使被遗忘权(信息网络删除权)的时候不应当与法律规定相冲突，不应当与效力位阶高的法律相抵触，要在合法的范畴内行使。(2)自己信息原则。未成年人在行使该权利的时候只能要求删除由自己所发布或者上传的文本或者信息，对于第三人所转发的、上传的信息不能要求删除。(3)可识别原则(信息定位原则)。即行使删除权的主体应当为适格的主体，如果通过被删除的信息无法定位到请求主体，则不需强制性地删除信息。(4)合约原则。按照先后发生的顺序来讲，此项原则以提示义务与说明义务的履行为存在要件。该原则的前提是义务主体首先行使了权利享有的提示义务，这与《儿童在线保护法案》(COPA)中要求的在首页以及所有向儿童收集个人信息的地方张贴隐私声明的链接的义务不谋而合，但该合约的内容必须是清晰、明确、易于理解、完整的。(5)对价原则。如果上述的四种义务主体已经为未成年人的信息提前做出了相应的补偿或者让其分享了相应的利益，并且该未成年人欣然接受的话，那么他们就丧失了对于相关信息的删除权。

三、建立未成年人被遗忘权的现实动因：基于主体自身特性之考量

根据中国少先队事业发展中心最新发布的《第七次中国未成年人互联网运用状况调查报告2013》(以下简称《报告》)，中国未成年网民数量呈递增态势，初次接触网络的年龄呈递减态势，这一增一减的现实趋势成为构建未成年人被遗忘权制度的现实动因。

(一)未成年人处于理性弱者地位

首先，“网络失真”干扰理性意志。未成年人在经验、阅历、认知水平等诸多方面都处于不成熟的阶段，网络信息的失真性加剧了未成年人对信息的判断难度，网络行为的隐匿性给未成年人建造了一个行为与责任相分离的错误假象，网络的时空倒错性使未成年人更易进入想象的“社会情境”之中，使现实与虚拟边界模糊。其次，“失语情节”诱发行为失范。在中国，未成年人的成长中存在着严重的“差序格局”，教育在很大程度上为灌输式，一方面二者未能给予未成年人平等的交互待遇，在现实生活中出现失语情况；另一方面也忽视了未成年人的主体意识。这样一来，互联网的虚拟性使得未成年人得以摆脱现实生活的束缚，更易宣泄自己被压抑的情感，现实生活中的父权主义，以及“顺应主义教育”产生“失语情节”创造了“行为失范”的动因。最后，“数字卷宗”暴露个人信息。据隐私专家丹尼尔·索洛夫(Daniel Solove)的研究表明，“未成年人在网络中进行博客或者日记写作时，很难把潜在的读者具象化。这种感觉与对着大庭广众说话不同，他们往往很自然地就把越来越多的个人信息放到网上，形成自己的数字卷宗”[3]。未成年人在网上公布的信息中多为关键信息，更容易成为“网暴一族”。

(二)未成年人处于保护的弱者地位

首先，学生身份容易成为个人信息侵害的对象。近年来贩卖高考或中考考生信息的新闻屡见不鲜，由于未成年人与成年人相比辨别是非的能力较弱，恶意网络商家较易挖掘未成年人信息，然后采取诱骗欺诈手段进行定向诈骗的犯罪活动[4]。其次，网站实名制注册造成侵权的发现成本较高。据统计，未成年人的上网多集中于社交网游、视频等，相关网站采取的都是注册制、会员制，“实名制增加了公民信息外泄的概率，这在侵犯公民隐私权的同时增加了公民人身与财产的安全风险，从而侵犯公民的安全权”[5]。这大大增加了其被侵权的可能性。最后，隐私条款存在缺憾，契约救济途径难以周全。据《报告》统计，我国未成年人经常使用的网站为百度、腾讯、4399小游戏、360安全导航、hao123、新浪、土豆、淘宝、搜狐、优酷，通过对以上网站隐私协议的对比研究，笔者发现其存在三大缺憾：(1)缺乏针对性条款，或规定简略，且其内容大多雷同；(2)缺乏可执行性措施，或程序复杂，采用单方允诺式的规定多为象征性条款，商家多为显示其注重保护未成年人的社会责任、维护自身形象而非切实注重隐私保护；(3)充斥弹性规定，创设免责可能，以上网站都规定了详尽的免责条款，在信息使用与披露方面相关条款弹性过大。此外，目前的隐私条款在未成年人保护方面还存在着未经监护人同意，网站仍可以向未成年人收集个人信息、面向未成年人的网站无显著的隐私声明链接[6]、以及隐私声明存在中英文歧视等情况。

(三)未成年人处于救济的弱者地位

首先，事后消极救济机制难以弥补损害。我国现行法律对于未成年人隐私权的保护，大体分为宪法保护、民法类保护、刑法类保护和特别法类保护。但这些法律都比较抽象概括，缺乏可操作性；主体针对性弱，认知度不高；就特别法来讲，效力级别低。其次，权利救济上的伦理困境阻碍救济。未成年人个人信息隐私保护救济程序复杂,救济成本高，以百度网《权利声明》为例，要想让其采取措施移除相关内容或者屏蔽链接，一来要已经产生侵权行为，二来要对百度进行权利通知，且权利通知形式为书面并邮寄到北京百度法务部。网络侵权速度快、传播范围广、影响深，上述方式的程序复杂性、救济的滞后性还有结果的不确定性都会阻碍隐私权的保护，不符合隐私权救济的迫切性要求。未成年人自身具有信赖信息自我沉淀、过度乐观主义特点。据一项研究表明，85%的网络信息在一年内从公众视野中消失，而59%的网络信息在一周内消失，与先前的研究对比发现，信息的存在周期明显缩短[7],这种对信息自我消失的机会主义心态也会阻碍着救济的发生。最后，未成年人保护立法“抢位”与“缺位”。中国目前关于未成年人保护重立法轻执法、重应然轻实然、重体系化轻具体化。笔者的一项统计发现保护机制上大多雷同，即：学校保护、家庭保护、社会保护、国家机关保护，而鲜有自我保护。不得不说，这是立法者“管理者思维”作怪；在保护内容上提到隐私权保护的更少。在保护机制上的“抢位”、保护内容上的“缺位”动态的矛盾下，未成年人的隐私保护反倒成了“被遗忘”的状态。

四、被遗忘权主体评介与我国的可能路径

(一)第568号法案主体模糊，规定备受诟病

1.权利主体确定的双重标准

“橡皮擦法案”中只简单规定了权利享有主体为未成年人,但是对于何为未成年人存在歧义。(1)以权利主张者行使时的以年龄为限，笔者将其归结为主观标准：认为如果主体主张权利时为未成年人，那么其当然享有被遗忘权。该种观点被视为最自然的与最合乎立法者本意的权利主体确定标准，但是此种标准暗藏着一个含义就是，如果权利主张者已经为成年人，那么该成年人不能对其未成年阶段发布的信息行使被遗忘权。对此，圣塔克拉拉大学法学院动埃森克·戈德曼(Eric Goldman)教授认为，此时要求未成年人如成年人一样来决定今后保存或删除何种信息，无疑是对未成年人的信息判断能力进行了苛责。(2)以信息行为发生时权利主张者年龄为限，笔者将其归结为客观标准：如果要求删除的信息是主张者在未成年阶段所发布的，那么即使该发布人已经成年，也能要求删除未成年时发布的信息。此种解说貌似对法案中的词语进行了扩大解释，一方面使得“橡皮擦法案”中的未成年人被遗忘权与欧盟立法中的被遗忘权二者无异，另一方面有对未成年人过度保护之嫌。立法者并未对法案中的未成年人进行过多的解读与说明,只是确定了首先应为自然人，其次为在加州居住的自然人，再次该自然人年龄低于18岁，看似确定实际上模糊的标准为司法实践的能动解释提供了可能，也把这个难题抛给了法院。

2.义务主体的不断限缩存在缺憾

按照第22 580(e)款对义务主体进行分析，可发现其存在三方面缺憾：(1)从整个法案的语境来看，其主体是商业主体，即未成年人被遗忘权的义务人首先被限制在了以营利为目的的商事主体范畴之内，而作为有机会保存未成年人信息的非商事主体法案中并未提及。(2)在上述四种义务主体的前提下加以限制条件：运营的服务须针对未成年人，或者其部分服务主要针对未成年人而非成年人。那么在判断怎样为针对(directed)或者所谓部分服务中的“部分”如何确定就存在争议。(3)义务主体的排除情形：根据(e)款中的例外规定，如果上述四主体仅仅是引用了或者提供了针对未成年人的网站、在线服务以及应用程序的内容或者链接，抑或是“移动应用服务”通过使用信息定位工具(包括目录、索引、引用、指示或者超文本链接)而指向未成年人的话，不为法案中的义务主体。此项规定即排除了搜索引擎作为义务主体的情形，有趣的是Google公司的总部就设在加州，而加州立法排除诸如Google搜索引擎的义务不得不说是多重利益的考量。

(二)类似法上权利义务主体的规定

在美国关于未成年人网络隐私保护的问题，代表性的法律有三个：(1)《儿童在线保护法案》(COPA 1998)，权利主体是17周岁以下的未成年人，义务主体是为商业目的而使用网络者；(2)《儿童在线隐私保护法》(COPPA 2000)，权利主体是13周岁以下的自然人，义务主体是网站运营者，网络服务提供者，为二者进行商业服务的第三方，针对儿童的网站，在线服务，不包括非营利组织以及通过使用信息定位工具,包括目录、索引、引用、指针,或超文本链接而指向第三方网站或在线服务的网站与在线服务；(3)《儿童互联网保护法》(CIPA 2001)，权利主体是17周岁以下的自然人，该法多次解释了未成年人的含义，但皆为17周岁以下的自然人，义务主体是12年义务教育学校(公立学校)与公立图书馆。

泛观美国模式下的义务主体，没有超出商事活动主体的范畴，美国联邦贸易委员会于2012年12月19日修改了COPPA中的义务主体，将其扩大到相关网站的外部服务，如插件、网络广告，以及与儿童针对型网站有合作关系的第三方服务，还有把儿童作为非主要客户的网站与网络服务商也要承担COPPA项下的义务,但是可惜的是，义务主体的范围并没有扩大到Google play 以及App store这种应用提供平台,没有超出私人主体范畴，此种立法模式契合了美国在隐私权保护上的分区式立法的理念，即把公主体与私主体分别作为规制对象来立法，但这一方面会影响法律保护的全面性，另一方面采取分区模式降低了法律的认知度并且加大了司法成本。而《1995年欧盟个人数据保护指令》中的第1章第2节(d)条以及《2012年个人信息改革方案》中把义务承担者统称为“controller”,泛指自然人、法人、公共机构、代办处以及任何保管个人信息的组织机构，可见，欧盟立法中的义务主体既包括私人主体，又包括公法主体，并且私人主体并不以经营商事活动为条件。

(三)技术时代的主体特性：不确定中的确定

随着技术的不断革新，“隐私已死的悲叹”在不断被重复，这就要求隐私法律随着技术变革作出相应变化。正如美国联邦贸易委员会前主席乔恩·莱布维茨(Jon Leibowitz)所说的那样，基于网络技术与儿童上网途径如移动设备与社交网络等方面的变化而对COPPA的义务主体进行了修复。日新月异的数字化时代，新的平台与媒介总会以较短的速度产生代替原先的平台与媒介。欧盟议会副主席维维安·雷丁(Viviane Reding)也认为，应对以后新的网络技术被遗忘权应该采取宽泛模式。

(四)我国构建未成年人被遗忘权的可能路径

我国关于未成年人被遗忘权尚无明确立法，《关于加强网络信息保护的决定》中只是粗略地提出了被遗忘权，对被遗忘权的行使条件、内容及限制都未具体表述，规定过于原则性，缺乏可操作性，而《电信和互联网用户个人信息保护规定》虽提及强化了个人信息的保护，但未提及被遗忘权。与立法者时有时无的态度相比，专家学者对于被遗忘权的主张则相对明确，齐爱民教授编著的《中华人民共和国个人信息保护法示范法草案(学者建议稿)》第19条对个人信息的删除做了具体说明，对此关于未成年人被遗忘权的立法，笔者认为可参照“橡皮擦法案”制定专门适用于未成年人的《未成年人信息保护法》，或者在现有的模式之下，制定统一的《个人信息保护法》。为防范适用未成年人被遗忘权而产生的风险，也可以在某省的未成年人保护条例中试行该项制度，根据其社会效果决定是否推广。

由于未成年被遗忘权之新兴性尚未得到普遍的关注，法律结构的内生合理性与外部协调性要比单纯机械的植入制度更有意义。“如果一套法律制度将被缩减、剥离成一堆法条的集合，法律制度将沦为一种纯粹的技术，其结果是，法律变革将异化为技术努力而不是政治或社会的变革。”[8]故而在进行“唯美主义”的法律移植时需警惕制度的异化问题。美国加州第568号法案已于2015年1月1日实施，法律效果也有待观察。

[1]彭支援：《被遗忘权初探》，载《中北大学学报(社会科学版)》，2014年第1期。

[2]Robert Kirt Walker. The Right to Be Forgotten， Hasting Law Journal，2012，(12)。

[3]陈 赛：《数字卷宗与信息失控》，载《现代计算机(普及版)》，2008年第4期。

[4]蒋 洁：《大数据轮动的隐私风险与规则措施》，载《情报科学》，2014年第6期。

[5]周永坤：《网络实名制立法评析》，载《暨南学报(哲学社会科学版)》，2013年第2期。

[6]陈 箐：《我国未成年人网络隐私权保护》,载《西藏民族学院学报(哲学社会科学版)》，2013年第4期。

[7]Meg Leta Ambrose. It’s about Time:Privacy,Information Life Circles,and the Right to Be Forgotten . Stanford Technology Law Review, 2012，(2)。

[8]柯提斯·J.米尔霍普 卡塔琳娜·皮斯托：《法律与资本主义》,罗培新译，北京：北京大学出版社2010年版，第4页。

(责任编辑：王俊华)

2015-06-05

薛前强，吉林大学法学院硕士研究生，主要研究个人信息法、公司法。