谷 丹

(西南政法大学 经济法学院，重庆 401147)



论被遗忘权在中国的前景

谷 丹

(西南政法大学 经济法学院，重庆 401147)

被遗忘权是指信息主体要求数据控制者删除已经公开发布在网络上但持续存在会导致其社会评价降低的个人信息的权利。其最初被欧盟法院以判例的方式予以确认。中国目前立法体系中关于个人信息的保护规定侧重于个人信息不被信息控制者泄露、出售或者非法提供给他人等方面。因此，当前在中国确定被遗忘权最直接、最有效的方案是出台司法解释，对《侵权责任法》第三十六条关于网络侵权责任的规定进一步细化明确。

被遗忘权；个人信息保护；立法建议

一、被遗忘权的提出及发展历程

(一)被遗忘权的提出背景

随着现代信息技术的高速发展，个人信息曝光的程度超出了预期，个人信息泄露和被非法利用的事件层出不穷。2013年中国人寿保险公司由于合作网站升级操作失误造成投保人个人信息泄密，致使80万份保单的信息在网上可以被任意查找；2014年考研报名结束后不久，130万考研用户信息被泄露；2014年底，12306网站超过10万条数据被泄露。2015年3月13日，中国消费者协会发布的《2014年度消费者个人信息网络安全报告》显示，2014年消费者个人信息保护现状满意度低；在中国消费者协会本次调查收集到的2 052份有效问卷中，非常不满意和不满意的受访者占比高达56.58%，约有三分之二受访者2014年个人信息被泄露；当个人信息被泄露或窃取后，80%的受访者受到广告(电话、短信、邮件等形式)骚扰，妨碍了正常生活*数据来自2015年7月21—22日在北京召开的“依法治国和消费者个人信息保护国际研讨会”上中国消费者协会秘书长常宇作的题为《消费者个人信息保护实践与问题》的报告。。

个人信息保护越来越受到国人的关注和重视，近几年我国已有法律、法规及部门规章对个人信息保护问题作出了专门规定。被遗忘权(right to be forgotten)也被称为“删除的权利”( right to erasure),随着个人信息保护的不断加强开始走进国人的视野。

(二)被遗忘权在欧盟的发展历程

1995年10月，欧盟出台了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC指令》，其中关于“有关公民可以在其个人数据不再需要时提出删除要求，以保护个人数据信息”的规定，可以看作是被遗忘权的首次论述。2012年1月，欧盟公布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第2012/72、73号草案》，对1995年出台的第95/46/EC指令进行了修改，其最具争议性的议案是提出数据主体应享有“被遗忘的权利”(Right to be forgotten)。2012年11月，欧盟出台了《一般数据保护条例》(GDPR)，在第17条正式增设“被遗忘和删除的权利”(right to be forgotten and to erasure),规定“信息主体有权要求数据控制者删除与其个人相关的资料信息，特别是当信息主体是不满18周岁的未成年人时”。2014年3月，欧盟修改了《一般数据保护条例》(GDPR)，将第17条“被遗忘和删除的权利”精简为“删除权”，并明确“信息主体有权要求任何已知的第三方删除针对上述信息的所有复制和链接”[1]。通过对欧盟有关被遗忘权立法沿革的梳理和分析，我们不难得出以下结论：欧盟最早孕育、产生了被遗忘权的概念，明确了被遗忘权的主体、客体、适用条件、例外情况及不遵守被遗忘权的处罚措施，使被遗忘权成为信息主体的一项民事权利。

(三)争论激烈的典型案例分析

研究和讨论被遗忘权不能不提到引起激烈争论的典型案例——谷歌西班牙案。

1.案情简介

2009年11月，一名西班牙男子马里奥·科斯特加·冈萨雷斯在谷歌上搜索自己名字时，发现西班牙报纸《先锋报》1998年发表了一篇有关他因断供而被强制拍卖财产的新闻报道。2010年2月，冈萨雷斯向西班牙数据保护局递交了投诉，要求《先锋报》移除或更改这些网页信息，同时要求谷歌公司和谷歌西班牙分公司移除或者隐藏指向《先锋报》的相关链接。2010年7月，西班牙数据保护局驳回了他针对《先锋报》的诉求，但支持他对谷歌公司和谷歌西班牙分公司的诉求，要求谷歌公司删除链接并保证通过搜索引擎无法打开该信息。谷歌公司和谷歌西班牙分公司针对西班牙数据保护局的决定分别向西班牙全国高等法院(National High Court)提起诉讼，西班牙全国高等法院将两个诉讼合并后提交给了欧盟法院。

2014年5月13日，欧盟法院在广泛听取了各方意见后宣布了最终裁决，认为与谷歌类似的网络搜索引擎是公民个人隐私数据的“控制者”，因而应该承担移除相关个人隐私数据的责任。公民可以要求谷歌删除“不适当、不相关或随着时间流逝不再相关的信息数据”，包括第三方通过谷歌发布的链接信息。据此，欧盟法院最终裁决谷歌公司和谷歌西班牙分公司败诉*案情介绍来自2015年7月21—22日在北京召开的“依法治国和消费者个人信息保护国际研讨会”上哥廷根大学教授杰拉德·斯宾德勒博士作的题为《欧盟、德国消费者个人信息保护》的报告。。

2.案例影响

欧盟这一裁决影响深远，同时也颇具争议。影响深远表现为这一判决开创了先例——让搜索引擎提供商必须应特定个人要求删除搜索结果中的特定链接，使遗忘权成为信息主体的一项民事权利。颇具争议表现为美国对该案争议声不断，美国媒体在这场争议中普遍声援谷歌，甚至认为该案“颠覆了网上自由”；一些政客和知识分子也表示对欧盟此次判决“感到愤怒、不理解，并拒绝接受”。

3.案例简析

传统及主流观点认为，被遗忘权的法理渊源是基于对隐私权的保护，或者说被遗忘权起源于隐私权。隐私权构成人格权或称人权的一部分，是作为社会契约签订者的个人未让渡的“不受打扰地进行私人生活，自主决定公开或不公开、公开这些或公开那些私人信息”的权利[2]。人是社会动物，个人需要通过对私人信息池的管理、对私人信息池与公共领域的交集范围的决定来塑造其在公共领域中的形象，这包括了决定公开和不公开、公开这些还是公开那些的权利，也就自然能顺延到在无涉公共利益的前提下取回已经放入公共领域的私人信息的权利，因此被遗忘权和隐私权在心理模型上是一脉相承的。当然，也有学者认为，被遗忘权亦是财产所有权，尤其是著作权赋予作者一系列自行处理其作品的权利，和被遗忘权最为接近[3]。本文采用传统及主流解释，基于被遗忘权起源于隐私权，笔者认为，该案的争议焦点主要表现为以下3个方面：一是貌似矛盾的判决结果。该案中，涉诉新闻报道的最初发表者是西班牙《先锋报》而非谷歌公司，谷歌公司只是提供搜索的链接服务，没有对信息进行任何加工。但是，《先锋报》因新闻自由而被豁免，谷歌公司却因公民的隐私权而败诉。也就是说，“主犯”豁免、“从犯”获罪，这貌似是主从责任颠倒的判决结果[4]。二是貌似矛盾的法律后果。该案中，欧盟法院称因为尊重新闻自由，所以对《先锋报》予以豁免；因为谷歌公司不尊重个人隐私权和自由，所以判决谷歌公司败诉。谷歌公司辩称，正是因为美国尊重新闻自由，才要求网络服务提供商不得对信息进行审查，所以谷歌公司也应基于新闻自由而被豁免。也就是说，基于新闻自由这一项基本法律理念却推论出两个截然相反的法律后果，即在美国合法的行为在欧盟却是违法的。三是貌似矛盾的价值观。隐私是流淌在美国人血液里的一种价值观[5]。早在互联网行业起步阶段，美国就开始制定一系列法律法规规范互联网个人信息的收集与处理。被遗忘权正是基于保护个人隐私而被欧盟法院确定为信息主体的一项民事权利，却为何在标榜具有共同价值观的美国遭到了普遍质疑？

(四)美国对被遗忘权的不同看法与法律实践

谷歌西班牙案引发的争论折射出被遗忘权目前面临的质疑，这也是我们在研究和讨论被遗忘权时不能绕开而必须清醒面对的不同声音。

被遗忘权在标榜具有共同价值观的盟友之间遭遇了冰火两重天的境况。不同于在欧盟的孕育、发展及通过判例加以确立的礼遇，被遗忘权在美国举步维艰。这从美国媒体对欧洲法院谷歌西班牙案的质疑就可见一斑。美国《纽约时报》2014年5月13日报道：“欧洲最高法院今天说，人们有权决定公众通过网上搜索可以了解他们的哪些情况。该裁决颠覆了人们长期以来持有的关于网上信息自由流通的观念。该裁决强调了搜索引擎企业收回争议信息的权力，同时对他们这样做的能力进行了严格限制。它引出了下述可能性：通过谷歌搜索到的信息变得像脸谱网的简介一样喜气洋洋，而且是片面的。欧洲法院说，搜索引擎不单单是非智能的渠道，而是发挥着数据‘控制者’的积极作用，而且必须为它们提供的链接负责。它说，搜索引擎可以清除通往某些网页的链接，‘即使那些网页上公布的内容本身是合法的’。”美国《华尔街日报》网站2014年5月14日报道：“欧盟最高法院周二表示，个人可以要求谷歌在有关自己名字的搜索结果中删除指向新闻报道、法院判决和其他文件的链接。这项有关一桩在西班牙具有里程碑意义的案件的判决出人意料。该案的焦点是所谓的‘被遗忘权’。根据对这一裁决的解读和执行情况，该裁决可能会对谷歌和其他搜索引擎运营商带来巨大的破坏性影响。”[6]

在冈萨雷斯向谷歌西班牙分公司投诉的同一年，一名美国公民在美国也提起了类似的诉讼，但结果却大相径庭。2010年底，哈维·库尔茨向施里尼·华森提起赔偿诉讼，因为华森拒绝从《加利福尼亚日报》的在线档案中删除有关其儿子克里斯·库尔茨的一篇文章。这篇发表于2006年的文章详细报道了克里斯·库尔茨在旧金山的脱衣舞俱乐部醉酒后与俱乐部员工发生冲突的事实。那次冲突事件后克里斯·库尔茨就被加州大学伯克利分校球队暂停比赛，2007年2月离开球队，2010年不幸离开人世。克里斯·库尔茨死后一个月，其父哈维·库尔茨向《加利福尼亚日报》投诉，要求从其在线档案里删除有关克里斯·库尔的文章。而华森以文章没有达到规定的撤销资格为由拒绝了哈维·库尔茨的请求。哈维·库尔茨认为华森的这一行为使他和他的妻子遭受了精神损害，从而提起了7500美元的赔偿请求。但是法院没有支持哈维·库尔茨的诉求，法官认为虽然很同情哈维·库尔茨的丧子之痛，但这并不能成为要求华森删除有关克里斯·库尔文章的合法理由[7]。

不管是美国媒体对谷歌西班牙案的争论还是美国司法实践做出与欧盟法院截然相反的判决，都反映出美国社会对被遗忘权的不同理解和看法。一直以来，美国法律都主张已经公开的信息不能再回到私密状态，言论一旦进入公共领域就与私人领域无关，因此设定被遗忘权会不利于保护言论自由。

(五)欧美对被遗忘权不同态度的借鉴意义

欧美对被遗忘权采取不同态度，不少学者认为这是欧盟与美国传统法律观念的不同所造成的：欧盟存在着对历史上纳粹通过国家登记系统掌握个人信息大搞种族清洗的恐惧，始终强调人格尊严和个人数据的保护，《欧洲人权公约》即表达了欧洲对个人隐私权利的偏重；而美国《宪法》第一修正案即申明保障言论自由，在判例法上隐私保护与言论自由发生冲突时法院也常倾向于后者[2]。笔者认为，从法律观念上解释二者的不同肯定是无可厚非的，但是不全面，至少没有从根本上揭示现象成因。笔者认为，其根本原因是国家利益和国家网络主权的需要(这一问题笔者将在第二部分做详细论述)。我国对互联网的发展一直坚持保护加扶持的政策，2015年3月5日十二届全国人大三次会议上，李克强总理在政府工作报告中首次提出“互联网+”行动计划，我国政府将推动移动互联网、云计算、大数据、物联网等与现代制造业结合，促进电子商务、工业互联网和互联网金融健康发展，引导互联网企业拓展国际市场。尽管我国已有几家互联网企业跻身全球互联网公司前列，但是总体而言，我国的互联网发展与欧盟一样，处于追赶者的位置。因此，笔者认为我国可借鉴欧盟的做法，引入被遗忘权制度，适度遏制美国互联网巨头的扩张性数据收集，这对于维护国家利益和国家网络主权、保护公民的个人信息都具有十分重要的现实意义。

二、我国立法构建被遗忘权的必要性及可行性分析

(一)被遗忘权在我国的立法现状

被遗忘权是伴随着个人信息保护的加强而走进国人视野的，因此，研究被遗忘权在我国的立法现状应先研究我国关于个人信息保护的法律法规现状。我国是全球信息化浪潮中较后起的国家，近十余年来逐渐开始重视个人信息保护问题，有关个人信息保护的法律规定散见于各个层级的规范性文件中。

1.民商事法领域的规定。2009年12月26日通过的《侵权责任法》第三十六条规定：网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。2014年6月23日最高人民法院通过《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，该司法解释进一步细化明确了《侵权责任法》第三十六条关于网络侵权责任的规定，第十二条明确了不得利用网络公开他人个人信息的原则和不构成侵权的例外情形，为民事司法实践中个人信息保护提供了具体的认定规则。

2.经济法领域的规定。2014年3月15日实施的新《消费者权益保护法》首次明确了消费者“个人信息依法得到保护的权利”。新《消费者权益保护法》第二十九条规定：经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的相关规定和双方的约定。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。新《消费者权益保护法》第五十条、第五十六条第九款中明确规定经营者违反第二十九条的义务应承担相应的民事赔偿责任和行政处罚责任。

3.刑事法领域的规定。2015年8月29日第十二届全国人民代表大会常务委员会第十六次会议通过的《刑法修正案(九)》规定：在刑法第二百八十六条后增加一条，作为第二百八十六条之一：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：(一)致使违法信息大量传播的；(二)致使用户信息泄露，造成严重后果的；(三)致使刑事案件证据灭失，情节严重的； (四)有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”

4.关于个人信息保护的专门规定。目前，我国关于个人信息保护的最高层级的专门规定是2012年12月28日颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》)。《决定》虽然只有短短的十二条规定，却第一次全面规定了网络时代个人信息保护的基本原则、适用范围、责任主体等内容。《决定》第二条规定：网络服务提供者和其他企事业单位在业务活动中收集、使用公民个人电子信息时应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企事业单位收集、使用公民个人电子信息时，应当公开其收集、使用规则。《决定》不仅是针对“网络信息”保护的法律规范，适用对象也不局限于网络服务提供者，其更像是一部未冠名的《个人信息保护法》。

5.行政法领域的规定。国务院及其下属的部委办局制定了多项行政法规和部门规章加强个人信息保护，主要集中在征信业、电信和互联网信息服务业。比如，国务院于2013年1月21日颁布的《征信业管理条例》，以第三章“征信业务规则”专章详细规定了征信机构收集和使用个人信息的业务规范，为我国目前征信环节中的个人信息保护提供了明确的操作规则。

6.最新立法进展。2015年6月26日《网络安全法》(草案)通过了全国人大常委会一审，2015年7月6日至8月5日第一次公开征求意见。《网络安全法》(草案，以下简称《草案》)以第四章“网络信息安全”专章的形式，加强对公民个人信息的保护，防止公民个人信息数据被非法获取、泄露或者非法使用。《草案》第三十七条规定，“公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。”*案情介绍来自2015年7月21—22日在北京召开的“依法治国和消费者个人信息保护国际研讨会”上哥廷根大学教授杰拉德·斯宾德勒博士作的题为《欧盟、德国消费者个人信息保护》的报告。

综上所述，我国目前已有多部法律法规对个人信息提供法律保护，但保护的内容主要侧重于收集、使用公民个人信息，对收集的个人信息严格保密，不得泄露、出售或者非法向他人提供等，而对于信息主体的被遗忘权少有关注，尚未提及。那么，有没有必要在我国立法中构建被遗忘权呢？笔者认为，虽然被遗忘权目前还存在争议、面临质疑，但是基于以下原因我国应当考虑在立法中构建被遗忘权。

(二)我国立法构建被遗忘权的必要性分析

1.大数据时代个人信息保护的需要。在数据为王的时代，网络公司的竞争已经从直接获利模式转变为数据获利模式。信息主体是数据的主要来源，其范围非常广泛，不仅包括基本的注册资料、身份信息，而且还包括网络行为信息。例如，用户上网浏览过的页面、看过的视频、使用软件的种类和频率、网络交易记录、搜索关键词、网络购物品种、所在位置信息，甚至包括输入法习惯和字符频率等都成为大数据分析的对象。正是因为信息主体在网络上的数据具有重要的商业价值，网络公司才千方百计地吸引更多的用户，保存更详细的数据记录。数据作为一种资源，本身属于无体物，信息主体很难知晓网络公司占据了自己多少除身份信息以外的数据。同时，网络公司对数据的处理大都通过“云技术”、后台加密技术等方式进行，信息主体因技术的原因和信息不对称也无法知道自己的网络行为到底有哪些正在被“收集”[8]。技术优势本身使得网络服务提供商应具备的技术中立性已被自己破坏，如果法律不倾向性地保护相对弱势的信息主体权利，那么大数据时代必将成为数据掠夺的时代，个人信息保护也将成为停留在纸上的规定。而被遗忘权正是法律对信息主体给予的倾向性保护，可以有效地约束网络服务提供商进行数据掠夺，进而更有效地对个人信息提供法律保护。

2.国家网络主权的需要。网络主权是国家主权在网络空间的体现和延伸,数据是网络时代的“石油”，是对国家安全至关重要的战略资源。前面提到的谷歌西班牙案中，三个貌似矛盾的方面均是基于信息主权的争夺而产生的。欧盟没有像谷歌、脸谱等那样具有霸主地位的网络产业巨头，其本国或本地区的个人信息甚至国家信息安全就可能受制于美国。因此，欧盟承认并扩大被遗忘权，表面上是基于“隐私自主”保护个人信息，更深层次的原因是担心网络信息的国家主权旁落，以免本国或本地区的数据信息被保存到其他国家手中。假设谷歌西班牙案中的涉案公司是欧盟的本土公司，是欧盟的全球霸主性网络公司，那么之前提到的貌似矛盾的逻辑推理也许就会被改写。因此，被遗忘权不是一项简单的法律权利，它反映了网络时代的多重利益背景，最后上升为信息劣势国家对抗信息优势国家，争夺信息主权的问题。

3.立法超前性及完整性的需要。尽管被遗忘权在美国举步维艰，但也并非铁板一块。2013年美国加利福尼亚州州长杰瑞·布朗签署了加州参议院第568号法案，即“橡皮擦”法案。该法案要求包括脸谱、推特在内的社交网站允许未成年人擦除自己的上网痕迹，以避免因年少无、知缺乏网络防范意识而不得不在今后面临遗留的网络痕迹所带来的诸多困扰。虽然该法案仅适用于加利福尼亚州境内的未成年人，也明确只有未成年人自行发布在社交网站上的内容可以被删除，对于其他人发布的有关自己的文字、图片信息，本人则没有要求删除的权利[9]。即便如此，这也说明被遗忘权已被越来越多国家的信息主体关注，哪怕是坚持被遗忘权不利于保护言论自由的美国也出现了增设被遗忘权的司法实践。因此，我国在构建个人信息保护的立法中，不能因为目前有争议、有质疑就忽视被遗忘权。

(三)我国立法构建被遗忘权的可行性分析

虽然我国目前没有以被遗忘权为由提起诉讼的司法实践，但是不等于被遗忘权在我国就没有可行性。

1.某些网络服务提供商已经提供删除服务。百度公司作为我国最大的搜索引擎公司，已经推出了针对网页搜索相关问题接受网络用户投诉的专门服务——反馈服务之网页搜索。该项服务为用户提供免费处理网页搜索快照删除、更新以及删除搜索引导词等问题，包括“快照删除与更新”“隐私问题反馈”“搜索提示词删除”“举报不良信息”等内容。用户按照要求填写百度快照地址、联系邮箱并详细说明遇到的问题及申请原因，百度工作人员审核通过后，相关的网页链接将会在24小时内被删除*参见百度网服务中心“反馈服务之网页搜索”，http://tousu.baidu.com/webmaster/suggest/，2015年9月1日访问。。由此可见，百度公司推出的这项服务虽没有冠以被遗忘权之名，但与谷歌西班牙案中的被遗忘权有异曲同工之处。我们有理由相信，如果我国立法构建被遗忘权，相关网络服务提供商会比较容易接受。

2.类似的诉讼已经出现并被法院受理。2015年7月22日，北京海淀法院官方微博发布，“相声演员徐亮(艺名：徐德亮)认为其百度百科中的简介与作品有诸多不实之处，以侵犯名誉权为由将北京百度网讯科技有限公司诉至法院，要求判令立即停止侵权，删除其百度词条，采取有效措施防止百度词条被再次建立。海淀法院受理了此案。”[10]据2015年9月5日中国之声《央广新闻》报道，相声演员徐德亮起诉百度侵犯名誉权案又有新进展，在北京海淀法院官方微博发布法院受理此案之后，徐德亮透露，法院通知双方2015年9月8日进行证据交换。徐德亮就此诉讼没有要求经济赔偿，唯一诉求是要求百度删除有关他的百度百科词条，并防止再次建立。虽然本案当事人是以侵犯名誉权为由起诉北京百度网讯科技有限公司，但其诉求已暗含了不少被遗忘权的内容；虽然法院还没有宣判，但是受理该案就是一个很大的进步，说明不仅是普通民众，我国的司法界也越来越注重对个人信息的保护。

3.我国现行立法预留的空间。《侵权责任法》第三十六条规定：网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。这里的“删除、屏蔽、断开链接”与谷歌西班牙案中的“删除”已非常接近，只要改变其适用删除规则的前提规定，就可以确立我国的被遗忘权。《网络安全法》(草案)第三十七条规定：公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。这里的“删除”与谷歌西班牙案中的“删除”适用范围差别比较大，但可以通过在本条增加第二款的方式确立我国的被遗忘权。

三、关于我国确立被遗忘权的建议

通过上述分析，笔者认为我国在构建个人信息保护的立法中，应当对被遗忘权作出专门规定，被遗忘权不能被遗忘。那么在我国该如何确立被遗忘权？是释法还是立法？如果立法，又以何种途径实现？笔者将在分析被遗忘权的主体、客体、内容、救济途径及不能适用情形的基础上，提出相关的建议。

(一)被遗忘权的主体

被遗忘权的主体包括权利主体和义务主体两个方面。

1.权利主体。2012年11月欧盟出台的《一般数据保护条例》(GDPR)规定：“数据控制者、其他自然人或法人通过合理手段，特别是通过身份证号码、定位信息、网络标识符、一个或多个与其身体、生理、心理、遗传特征、经济、文化、社会身份有关的特征等能够准确确定的自然人”。从欧盟的立法条文中，我们可以看出被遗忘权的权利主体是指能产生个人信息且能通过其信息被识别身份、被准确确定的自然人，不包括法人在内。如果法人的信息资料受到侵害，可以通过知识产权法或者反不正当竞争法予以保护。

对于被遗忘权的权利主体只能是自然人，这一点似乎没有争议。但是，对于公众人物是否与普通公民一样享有无差别的被遗忘权却有不同的观点和看法。国内有学者认为，赋予公众人物被遗忘权，无异于打开了潘多拉的盒子，公众人物为维持其积极正面的形象，一旦发现网络上存在有关自己的负面新闻，便会马上以享有被遗忘权为由要求删除。如此以来，普通民众的知情权便会化为乌有。因此，出于维护社会公众利益、满足公众兴趣和保障公众知情权的考虑，不应赋予公众人物被遗忘权。国内还有学者认为，如赋予公众人物与普通民众毫无差别的被遗忘权，也是不公平的。因为，为平衡公众人物权利保护与公众知情权的关系，应赋予公众人物以被遗忘权，但应对其进行适当限制——这种限制应体现在相关信息的存储期限上，即那些与公众人物不相关的、不恰当的、过时的、会导致其社会评价降低的负面信息是可以通过行使被遗忘权而被删除的，但应保证这些相关信息在网络上的存储期限，即只有在这些信息从最初出现在网络上到被删除前经过了一定时间后才能够通过被遗忘权予以删除[9]。

笔者认为，被遗忘权的权利主体不宜区分普通公民和公众人物，对被遗忘权的权利主体作这样的区分没有太大的法理和司法实践意义。原因如下：一是我国目前尚无任何法律规定界定何为公众人物，对公众人物的概念、内涵尚处在学术研究阶段。二是在大数据互联网时代，越来越多的“草根”人物会通过网络的传播一夜之间成为非自愿性公众人物或者偶然性公众人物。比如，凤姐、犀利哥之流，还有被网友“炒红”的“最帅交警”“最美清洁工”等等，他们受知晓和被关注的程度不低于影视明星、体育明星。可以说，随着互联网的迅猛发展，普通公民和公众人物的界限越来越模糊，人人都有可能一夜之间在网络上“走红”，因此区分普通公民和公众人物会越来越困难。三是可以通过区分被遗忘权的适用条件而实现平衡公众人物权利保护与公众知情权关系的目的。比如，可以考虑在被遗忘权适用条件中，规定公众人物信息在网络上的存储期限可以长于普通公民的信息存储期限。

2.义务主体。欧盟《一般数据保护条例》(GDPR)将被遗忘权的义务主体规定为“数据控制者、其他自然人或法人”。笔者认为，数据控制者指单独或与他人联合决定个人信息收集、使用、处理的目的、方式和范围的自然人、法人、国家权力机关、公共机构或其他实体，而数据控制者就构成了被遗忘权的义务主体。

(二)被遗忘权的客体

2014年3月，修改后的《一般数据保护条例》(GDPR)新增了“姓名”和“性别”两项，将原“网络标识符”修订为“唯一标识符”。在我国现行的法律法规中，2015年3月15日起施行的《侵害消费者权益行为处罚办法》(国家工商行政管理总局令第73号)第十一条规定：“前款中的消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。”

笔者认为，被遗忘权的客体是与权利主体相关的个人信息，这是毫无疑问的。关键是个人信息的内涵和外延颇具争议。有学者认为个人信息不仅可以是数字、文字，还可能是图像、声音等；不仅是个人生活数据，还包括了与经济、职业、社会地位等相关的数据。笔者认为，在大数据时代，个人上网浏览过的页面、看过的视频、使用软件的种类和频率、网络交易记录、搜索关键词、网络购物品种、所在位置信息，甚至包括输入法习惯和字符频率等都成为网络服务提供商大数据分析的对象。因此，被遗忘权客体的外延会随着互联网的发展而不断延伸，不可能也没必要规定得太细，只要牢牢把握“能够单独或者与其他信息结合识别被遗忘权权利主体身份”这一核心内容即可。

(三)被遗忘权的内容

被遗忘权的内容，是指被遗忘权的权利主体——信息主体所享有的权利和被遗忘权的义务主体——数据控制者所负有的义务。2012年11月欧盟出台的《一般数据保护条例》(GDPR)将其规定为“当出现下列情形之一，信息主体有权要求数据控制者删除有关信息主体的个人数据，避免这些数据进一步传播：a)当这些数据不再与数据收集和其他处理的目的有关时；b)信息主体撤回数据处理的同意时，或者当同意的保留期已满，而且处理数据没有其他合法依据；c)信息主体反对处理与之相关的个人数据或数据处理违反GDPR的其他规定。”

笔者认为，被遗忘权内容的核心是信息主体有权要求数据控制者删除与之相关的个人信息。具体而言，信息主体可以要求数据控制者删除哪些个人信息；信息主体可以在哪些情形下要求数据控制者删除个人信息；信息主体可以要求哪些数据控制者删除个人信息。搞清楚以上问题就能明确信息主体所享有的权利和数据控制者所负有的义务。

1.可以要求删除的个人信息。对于信息主体可以要求数据控制者删除哪些个人信息，有学者认为“被遗忘权作为仅适用于网络信息领域的一项权利，其针对的也仅为已发布在网络上的、可为一般人可见的特定信息。该特定信息应概括为不恰当的、过时的、会导致信息主体社会评价降低的信息”[9]。笔者认为，将被遗忘权的个人信息限定为已发布在互联网上的、可为一般人可见的特定信息符合被遗忘权孕育、产生及确定的时代背景，符合确定被遗忘权的立法精神和目的。但是，把特定信息概括为“不恰当的、过时的、会导致信息主体社会评价降低的信息”却使被遗忘权保护的范围较为模糊，不能更好地对信息主体给予保护。根据该学者的观点：“不恰当的信息，是指目前仍存在于网络上的信息对于信息主体状态的描述是不正确的信息。过时的信息，是那些网络上的文字或图片信息所反映的事件已处于非持续状态。”[9]笔者认为，“对于信息主体状态的描述是不正确的信息”，信息主体可以通过提起侵害名誉权诉讼来寻求保护；而如果仅是过时的信息但不会对信息主体带来不利影响，信息主体不会要求删除，有些信息主体为了保持所谓的曝光度还希望保留这些过时的信息。因此，“不恰当的”“过时的”都不是被遗忘权中信息主体要求删除信息的本质特征。只有那些会对信息主体带来不利影响、导致其社会评价降低的网络负面信息才是被遗忘权中信息主体要求删除的对象。信息主体有权要求删除之前留在互联网上的数据以保护自己的声誉及保持其社会评价，从而不对现在的工作、生活带来影响和困扰。换言之，“会导致信息主体社会评价降低”才是特定信息的本质特征，亦是信息主体可以要求删除的网络信息。

2.可以要求删除信息的情形。欧盟《一般数据保护条例》(GDPR)规定了以下3种情形：“a)当这些数据不再与数据收集和其他处理的目的有关时；b)信息主体撤回数据处理的同意时，或者当同意的保留期已满，而且处理数据没有其他合法依据；c)信息主体反对处理与之相关的个人数据或数据处理违反GDPR的其他规定。”[11]笔者认为，GDPR列出的3种情形更多地适用于信息控制者主动收集信息主体的个人信息时，而本文讨论的是已经公布在互联网上的信息。因此，信息主体可以行使删除权的情形是该信息已经发布在网络上且一般人可见，但这些信息的持续存在会导致信息主体社会评价降低。

3.可以要求删除信息的义务主体。关于被遗忘权的义务主体本文之前已经讨论过，这里再次提出主要是讨论经第三方复制、链接的数据副本的删除问题。欧盟《一般数据保护条例》(GDPR)对此虽有涉及，但规定得较为简单而且模糊。所谓经第三方复制、链接的数据副本是指第三方通过复制、链接原数据从而实现公布信息主体的个人信息的目的。比如，某人在脸谱网上发布了自己的照片，而其他一些脸谱网用户在自己的账号上转发了这些照片，该人是否有权要求脸谱网删除其他脸谱网用户转发的这些照片？脸谱网是否有权直接删除在其他脸谱用户上转发的这些照片？对此，国内有学者认为应当区分第三方与数据控制者之间的关系，只有在特定情况下数据控制者才可以直接删除第三方复制、链接、公开的数据[12]。笔者认为，经第三方复制、链接、公开的互联网数据副本亦会导致信息主体社会评价降低，也是信息主体要求删除的对象。如果对这些数据副本进行区分，且作过多的限制，不利于信息主体彻底消除影响和困扰，不利于被遗忘权给予信息主体充分的个人信息保护。因此，数据控制者不仅负有删除自己直接控制的信息义务，还应负有通过技术手段删除经第三方复制、链接的数据副本的义务。

(四)被遗忘权不能适用的情形

被遗忘权不能适用的情形，即数据控制者根据法律规定可以拒绝承担删除个人信息的义务。2012年11月欧盟出台的《一般数据保护条例》(GDPR)将其表述为“被遗忘权的例外情形包括：a)行使自由表达权；b)在公共健康领域符合公众利益；c)出于历史性、数据性、科学性研究的目的；d)遵从相关法律的个人数据留存义务。”由此可见，欧盟设定被遗忘权的例外情形是为了平衡个人隐私保护与言论自由、公共利益等方面价值冲突，防止被遗忘权被滥用。

笔者认为，出于历史性、数据性、科学性研究目的以及公共健康领域都涉及公共利益，凡是涉及公共利益的信息都应排除被遗忘权，这也包括政府部门公开的个人信用记录、犯罪记录等。但是，第一种情形“行使自由表达权”颇具争议。行使自由表达权，也就是我们通常所理解的言论自由，而最具代表性的就是新闻媒体的新闻报道或新闻评论。如果对新闻言论不加以区分，那么极有可能会出现谷歌西班牙案中的奇特现象：新闻媒体在其网站上发表的新闻报道会因为言论自由而豁免，被遗忘权的义务主体只剩下搜索引擎、社交网站这类网络服务提供商，这将带来较大的法律漏洞，很有可能使被遗忘权只停留在纸上。笔者认为，如果新闻报道或新闻评论不涉及任何个体利益，完全属于公共利益范畴，那么在这些信息中排除被遗忘权是无可厚非的；反之，如果新闻媒体出于吸引眼球、博取点击量而报道某明星结婚、离婚、孩子上学、甚至生病住院等信息，这些信息丝毫不会影响到公共利益，那么这些信息应当适用被遗忘权。因此，不能将新闻媒体的新闻言论一律排除在外，而应区分个体利益与公共利益。

同时，应对信息存储期限作出限制。信息是有寿命的，随着时间的推移，很多信息便会失去价值和存储意义。我国《征信业管理条例》第十六条规定“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。”笔者认为，可以参照《征信业管理条例》的规定，对被遗忘权适用的个人信息设定两年的存储期限，存储期限届满后数据控制者不论以什么理由进行抗辩，比如普通民众对公众人物享有知情权、公众人物应保持一定的曝光度等等，都不能免除其删除个人信息的义务。

(五)被遗忘权的救济途径

本文采用传统及主流解释，被遗忘权起源于隐私权，因此被遗忘权属于人格权，是含有请求权的绝对权。在我国现行的立法体系下，侵害被遗忘权的归责原则、责任构成要件、侵权责任的承担都可以依照《侵权责任法》的相关规定进行。比如，某网络公司不履行删除义务，侵害了信息主体的被遗忘权，可以依照《侵权责任法》第十五条的规定，判定该网络公司立即停止侵害，删除相关个人信息，实现信息主体的被遗忘权；造成不良影响的，可以承担赔礼道歉、消除影响、恢复名誉的责任；造成精神损害的，可以依照《侵权责任法》第二十二条的规定，承担精神损害赔偿责任。

这里主要讨论的是能否给被遗忘权设定行政责任和刑事责任。因为对于个人信息保护，在我国目前立法体系中，行政法领域及刑事法领域都有明确的规定，那么作为个人信息保护的被遗忘权是否需要设定行政责任和刑事责任呢？

笔者目前正在个人信息保护执法一线工作，深感个人信息保护行政执法，特别是非法收集、使用个人信息，泄露、出售或者非法向他人提供所收集的个人信息的违法行为面临取证难、定性难、处罚难等问题。新《消费者权益保护法》实施一年多以来，全国工商行政管理部门及市场监督管理部门查处的侵害消费者个人信息权利的案件非常有限，处罚力度和效果也不尽如意。而在刑事执法领域，个人信息犯罪往往被其他犯罪行为吸收，在司法实践中尚未发挥太大的作用。因此，笔者认为，在目前的形势下，应当把有限的行政和司法资源配备到预防及查处可能危害大多数公民的个人信息权利的违法行为上，比如信息泄露，少则12306网站超10万条数据被泄露，多则130万考研用户信息被泄露。对于涉及个体利益的被遗忘权，在目前的形势下，不宜设立行政责任和刑事责任。

基于上述分析，笔者认为我国目前立法体系中关于个人信息的保护规定，无论是《侵权责任法》《消费者权益保护法》还是刚刚出台的《刑法修正案(九)》均侧重于收集、使用公民个人信息，保护个人信息不被信息控制者泄露、出售或者非法向他人提供等。因此，试图通过解释现行法律规定来确定被遗忘权难度较大，且比较牵强。

笔者认为，在我国确定被遗忘权最有效的切入点就是《侵权责任法》第三十六条关于网络侵权责任的规定。之前也分析过，该条规定的“删除、屏蔽、断开链接”与本文讨论的“删除”已非常接近，但遗憾的是，2014年10月10日起施行的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《规定》)中，只规定了“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。”因此，笔者认为在我国目前的立法体系下，确定被遗忘权最直接、最有效的方案就是由最高人民法院出台司法解释，对《侵权责任法》第三十六条关于网络侵权责任的规定进行进一步的细化明确。鉴于《规定》第十二条明确了不得利用网络公开他人个人信息的原则和不构成侵权的例外情形，笔者建议可以在第十二条后新增一条规定，实现在我国确立被遗忘权的目的。相关法律条文建议如下：

自然人有权要求网络用户或者网络服务提供者删除已经公开发布在网络上但持续存在会导致其社会评价降低的个人信息，网络用户或者网络服务提供者应当自收到自然人通知后及时删除其直接控制的相关个人信息，并且采取有效的技术手段删除经第三方复制、链接的数据副本。网络用户或者网络服务提供者拒不履行删除义务，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。但下列情形除外：

(1)为促进社会公共利益不宜删除的个人信息；

(2)学校、科研机构等基于公共利益为学术研究或者统计的目的且不足以识别特定自然人的个人信息；

(3)法律或者行政法规另有规定。

网络用户或者网络服务提供者以新闻自由、社会公众人物等理由进行抗辩的，人民法院可以根据具体案情进行综合考虑判定，但网络用户或者网络服务提供者应自收到自然人通知之日起两年内删除相关个人信息。

国家机关行使职权公开的个人信息，不适用本条规定。

[1] 吴飞.名词定义试拟：被遗忘权(Right to Be Forgotten)[J].新闻与传播研究,2014(7):13-16.

[2] 张立翘.被遗忘权制度框架及引入中国的可行性[EB/OL].[2015-03-02].http://www.infseclaw.net/news/html/889.html.

[3] 邵国松.“被遗忘的权利”：个人信息保护的新问题及对策[J].南京社会科学，2013(2)：104-109.

[4] 陈昶屹.“被遗忘权”背后的法律博弈[N].北京日报,2014-05-21.

[5] 涂子沛.大数据[M].南宁:广西师范大学出版社，2012:121.

[6] 佚名.美媒：欧洲法院裁决谷歌案引争议或颠覆网上自由[EB/OL].[2014-05-15].http://news.xinhuanet.com/world/2014-05/15/c_126503845.htm.

[7] 吴飞，傅正科.大数据与“被遗忘权”[J].浙江大学学报(人文社会科学版)，2015(3):70-71.

[8] 朱巍.被遗忘权是大数据时代用户核心权利[N].中国社会科学报,2014-12-03.

[9] 杨立新，韩煦.被遗忘权的中国本土化及法律适用[J].法学论坛，2015(2):25-32.

[10]佚名.相声演员徐德亮状告百度百科 要求消除自己姓名词条[EB/OL].[2015-09-05].http://china.cnr.cn/ygxw/20150905/t20150905_519769742.shtml.

[11]AMBROSE M L.It’s about time:privacy,information life cycles,and the right to be forgotten[J].Stanford Technology Law Review,2013(4)：371-420.

[12]伍艳.论网络信息时代的“被遗忘权”——以欧盟个人数据保护改革为视角[J].图书馆理论与实践，2013(11)：4-9.

(责任编辑 冯 军)

On the Prospect of the Right to Be Forgotten in China

GU Dan

(School of Economic Law, Southwest University of Political Science and Law, Chongqing 401147, China)

The right to be forgotten has been initially legislated by European Court of Justice by a legal precedent and the right entitles the citizens to requires the data controllers to erasure their own personal information that is publicly available on the web but its persistence can lead to lower their social assessment.In China’s current legislative system,protection for personal information is focused on information disclosure,sale or illegal providing to others.Therefore,the best way to legislate “the right to be forgotten” currently in China is the enactment of judicial interpretation by the Supreme People’s Court of PRC.That means clearly refining the Article 36th of the Tort Liability Act,provisions relating to web tort liability.

the right to be forgotten; protection for personal information; legislative proposal

2015-12-11 作者简介：谷丹(1982—)，女，重庆大足人，博士研究生，研究方向：经济法。

谷丹.论被遗忘权在中国的前景[J].重庆理工大学学报(社会科学)，2016(11):95-105.

format：GU Dan.On the Prospect of the Right to Be Forgotten in China[J].Journal of Chongqing University of Technology(Social Science)，2016(11):95-105.

10.3969/j.issn.1674-8425(s).2016.11.012

D912.29

A

1674-8425(2016)11-0095-11