从欧盟“被遗忘权”看网络治理规则的选择
2016-12-17曹建峰
杨 乐,曹建峰
(腾讯公司 腾讯研究院,北京 100089)
从欧盟“被遗忘权”看网络治理规则的选择
杨乐,曹建峰
(腾讯公司 腾讯研究院,北京100089)
1995年以来,欧盟不断加强对个人数据的保护力度,被遗忘权由此成为欧盟个人数据保护立法上的一个重要概念,历经三个阶段,日趋受到合理限制。在国际上,各国在被遗忘权问题上,存在一般被遗忘权和特殊被遗忘权的立法分野,前者以欧盟最为典型,后者包括美国等国家。鉴于被遗忘权在实践层面并不能产生实质性效果,反倒给互联网产业创新发展带来负担,且既有规范体系已经足够为个人数据和隐私提供充分保护,因此我国未来在制定相关立法时,没必要引入甚至扩大被遗忘权,反而应当从数据最小化、通过设计保护隐私等层面做出努力,并且应当积极参与国际网络治理规则的制定。
被遗忘权;网络治理;个人数据保护
一、引 言
在法学领域,隐私权是一个相对较新的概念,从1890年提出隐私权以来,这一权利的存在不过一百多年。一百多年后的今天,随着人类社会普遍进入互联网时代,网络隐私和个人数据保护成为了一个备受关注的问题。世界上多个国家纷纷通过个人数据保护法,规制通过电脑等自动化方式处理个人数据的行为,以便保证用户数据安全、网络隐私等权益。在欧盟,立法者不满于互联网不发达时期制定的《1995年数据保护指令》,2012年以来一直寻求彻底革新该指令,最终于2016年4月通过了严苛的《一般数据保护条例》,从而在欧盟内部市场为个人数据提供高标准的统一保护,同时营造一个公平、自由的竞争环境,促进欧盟互联网产业健康有序发展。在这样的背景下,欧盟的个人数据保护立法显示出从隐私权向被遗忘权转变的趋势,用户是否有权在网络世界中“遗忘”或者删除其个人信息这样一个被称为“被遗忘权”的概念,自然而然成为了这场立法改革的核心议题之一。
对被遗忘权的探讨,不仅仅局限于欧盟之内,这一概念甚至在美国、中国等引发了热烈讨论和反响。言论自由、隐私都是美国宪法所保护的基本权利和自由,但是尊崇言论自由的美国似乎无意将隐私权的保护范围扩大至被遗忘权,导致被遗忘权在美国并不受到欢迎。在中国,反对与赞同的声音并存,反对者认为被遗忘权太过绝对和恣意,造成法益保护的失衡;赞同者认为有必要引入被遗忘权或者删除权,以便完善我国现行的人格权体系。为了更好地理解被遗忘权,现将从被遗忘权在欧盟的发展过程、外界对其误读、世界各国的被遗忘权立法路径、被遗忘权的缺陷与不足以及对我国网络治理的建议等五个方面,展开详细分析。
二、被遗忘权在欧盟发展的三个阶段
第一阶段是《1995年数据保护指令》,其中第12条规定了数据主体的数据获取权:有权要求数据控制者更正、删除或者屏蔽不完整、不准确的个人信息。[1]可见,在1995年指令中,被遗忘权不是一项单独的权利,而是隶属于数据获取权之范畴。
第二阶段是2014年5月欧盟法院“被遗忘权”判决:当所处理的个人信息之于其处理目的,是不准确、不充分、不相关或者过分的,并且考虑到时间的流逝,个体就可以要求搜索引擎从搜索结果中删除涉及其个人信息的链接。[2]被遗忘权仅仅约束“外部”搜索引擎,及于所有相关域名,包括.com。数据主体只能请求删除“以其姓名为搜索关键词”的搜索结果中的链接,不能禁止搜索引擎以其他方式,继续索引这些网页。因此,被遗忘权仅仅是为了使特定信息变得“不容易获取”。
第三阶段是《一般数据保护条例》(GDPR)。欧盟启动个人数据保护立法改革已经四年有余,被遗忘权是议题之一。2016年4月8日,欧盟理事会一读通过4月6日公布的最新版GDPR,之后欧盟理事会一读通过的最新版GDPR被递送到欧洲议会进行投票表决;4月14日,欧洲议会二读通过最新版GDPR,这意味着欧盟个人数据立法改革阶段性完成。正式通过的GDPR将于正式法律文本在欧盟官方公报上公布20日后生效,并于生效两年后直接适用于成员国。最新版GDPR第17条规定了删除权,又称“被遗忘权”。据其规定,在下列情形下,数据主体有权要求数据控制者无不当拖延地删除其个人数据:①该数据之于其收集、处理目的不再必要;②数据主体撤回其同意,并且没有其他正当理由支持继续处理该数据;③数据主体反对处理其个人数据,并且没有其他正当理由支持继续处理该数据,或者出于直接营销目的处理个人数据,遭到数据主体反对的;④非法处理个人数据的;⑤为了遵守数据控制者在欧盟或成员国法律之下的义务,必须删除该数据;⑥为提供信息社会服务,经其监护人同意而处理儿童个人信息的。最新版GDPR同时规定了不适用删除权的五个例外:保护表达和信息自由,履行法律义务,关涉公共健康,为了档案、统计、历史和科学研究等目的,其他正当理由和抗辩。[3]可见,最新版GDPR中的被遗忘权受到较大限制,这比推崇隐私至上的欧盟法院“被遗忘权”判决,显得要合理一些。
三、人们对欧盟被遗忘权的几个误解
1.被遗忘权不只针对搜索引擎
严格来说,被遗忘权适用于数据控制者。数据控制者乃是决定个人数据处理方式和目的的主体。在欧盟法院“被遗忘权”判决中,搜索引擎被认为是数据控制者,但这却并不意味着被遗忘权只针对搜索引擎服务商。
2.被遗忘权不只针对公开信息
“被遗忘权”针对符合删除条件的个人数据,只要这些数据是数据控制者所收集、处理的,不论其公开与否。就搜索引擎而言,其所处理的信息一般是在网络上自由流通的公开信息;然而,其他类型的数据控制者未必就会公开所收集、处理的数据,但依然要受到被遗忘权之约束。
3.被遗忘权不限于删除原信息
搜索引擎虽然可能处理个人数据,但其对来源于第三方网站的数据并不能施加实际控制,因此删除的方式只限于“从搜索结果中删除”,而不是实际意义上的删除。而其他类型的数据控制者收集、处理个人数据的,在特定条件下,需要删除链接、备份、复制件等。
4.不能依据被遗忘权要求网站删除新闻报道
在欧盟法院“被遗忘权”案件判决中,只要求谷歌搜索引擎移除涉案新闻报道的链接,但并不要求删除原新闻报道,理由就是行使新闻自由和表达自由。因此,在公众知情权、新闻表达自由权和公民个人信息权之间,显然把前者权利放到了更高的优先级。只要新闻报道秉承良知和真理,未实质贬损他人人格,就没有超越表达自由之界限。
四、被遗忘权立法分野:一般保护与特殊保护
综观各国立法,自然人有权要求从网络世界中“遗忘”其个人信息,主要有两种模式:普适于自然人的一般被遗忘权和适用于特殊群体的特殊被遗忘权。
一般被遗忘权的初衷是通过加强个体对其个人数据的控制,保护个人数据背后的私生活利益,如前所述,以欧盟立法最为典型。
特殊被遗忘权的初衷是保护特殊群体,包括罪犯、未成年人等,避免因其过去的不光彩记录而遭到歧视或不公平待遇。比如,法国法律规定,罪犯在服刑之后有权要求淡出公众视野,新闻媒体不得再对其过往犯罪或服刑事实进行报道。又如,2009年一对德国兄弟因维基百科词条中提到两人曾杀害某知名演员的犯罪记录而提起诉讼,德国法院最后支持了其删除请求。此外,我国刑法规定,犯罪的时候不满十八周岁,被判处五年有期徒刑以下刑罚的,应当对相关犯罪记录予以封存;封存之后就不能对之进行报道或传播。
在未成年人保护方面,美国加利福尼亚州曾通过一项旨在保护“数字世界中未成年人隐私权”的法案,允许未成年人使用一个“网络橡皮擦”抹去其过去在互联网上发布的内容,俗称“橡皮擦法案”。据其规定,“面向”未成年人或者知道使用者是未成年人的网站、应用程序必须允许不满十八周岁的注册用户移除(或者要求网络服务提供者移除、匿名化)公开发布的内容,目的在于保护未成年人不因其早年的网络言行而受到影响,并促使他们文明上网。
此外,在征信、医疗等个别细分法律中,存在类似被遗忘权的规定。比如,我国《征信业管理条例》第16条规定,征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。美国《公平信用报告法》规定,个体可以请求删除超过7年的信用数据。
五、被遗忘权的现实处境:无效的负担
从欧盟提出“被遗忘权”以来,人们对其众说纷纭。有人高唱赞歌,认为是对个人信息的彻底保护;有人则提出“历史清除命题”,认为适用被遗忘权就是“全盘改写历史”,导致历史危机;还有人从知情权、言论自由、信息自由等视角出发,认为被遗忘权就是“言论审查和钳制”,造成新闻危机。
本文认为,被遗忘权是一种“无效的负担”。“无效”是对个体而言,“负担”是对搜索引擎等网络服务商而言;两者叠加,产生经济无效率。
1.被遗忘权对个体并无实质效果
被遗忘权旨在加强个体对其个人数据的控制能力,但“彻底被遗忘”在网络世界中本身就是一个奢侈命题。现代互联网从“中心模式”向“去中心模式”转变,个人传播、分享网络信息的能力极大增强,使得任何信息几乎可以在瞬间传遍全球每个角落。因此,互联网的存在方式决定了在网络世界中实质“遗忘”、删除特定信息其实是不可能实现的。
2.被遗忘权对搜索引擎等网络服务商已经造成巨大运营负担
自2014年5月欧盟法院做出“被遗忘权”判决以来,谷歌已经收到的移除请求超过40万个,要求移除的URL超过140万个;然而,符合条件并被移除的URL只占42.6%。截至2015年12月,微软一共收到并处理9 815个移除请求,涉及24 812个URL,但只有43%符合要求并被移除。要求移除的URL主要指向Facebook、Twitter、YouTube等社交和视频网站。如此低的移除成功率意味着,网络用户普遍在滥用这项权利,这无疑会给搜索引擎等网络服务商带来巨大运营负担,不利于互联网技术创新。
六、我国网络治理的路径选择
1.欧盟“被遗忘权”判决本身值得商榷
依判决内容,个体只能请求删除“以其姓名为搜索关键词”的搜索结果中的链接,仅仅及于相关子域名和.com域名。此外,搜索引擎所采用的搜索算法多种多样,不同的搜索关键词可以导向相同的搜索链接。这意味着,只要被索引的来源信息依然存在于网络上,人们通过其他方式或工具,依然可以获取被从特定搜索中移除的信息。因此,这种移除方式难以产生任何实质性效果,但对谷歌等网络服务商造成了实质运营负担。显然,这样的制度安排,难以给当事人带来预想的积极效果,却造成法律资源和社会经济成本的浪费,因此并不值得推崇。
2.欧盟判决的背后更多是为了制衡美国公司
美国谷歌、Facebook等硅谷科技公司的全球用户量级在10亿以上,欧盟是其核心市场。但由于受到社会观念、法律状况等因素的影响,欧洲国家在互联网领域的创新一直相对薄弱,未能出现全球性互联网公司。从征收“谷歌税”,到推行被遗忘权,再到废除“安全港”协定、反对“隐私护盾”协定,欧洲国家对美国互联网企业的抵制从未停止过。
3.被遗忘权不利于我国互联网产业创新发展
当前我国已经成为全球第二大互联网经济体,网民规模达到6.88亿,其中手机网民6.20亿。[4]近两年国家出台了一系列政策文件,鼓励、支持、促进物联网、大数据、“互联网+”、分享经济、“大众创新万众创业”、“四众平台”等的发展。所有这些都依赖于数据,是数据驱动型的经济业态。未来包括社会公共服务机构在内的所有行业,都将在数据分享使用的基础上,协同促进社会经济效率,降低社会环境成本。在这样的背景下,面对欧盟被遗忘权这样一个别有用心的判决,应当审慎对待。
4.我国既有的法律救济途径可以为个人数据提供保护
世界很多国家通过隐私权延伸保护个人数据,只有欧盟等少数国家和地区规定了一般被遗忘权。通过隐私、名誉等人格权保护个人信息符合我国的法律传统,因此没必要另行设立被遗忘权。如果个体认为网络上的公开信息侵犯其隐私、名誉等,其完全可以诉诸既有的法律救济渠道,包括通知删除、提起隐私和名誉等侵权诉讼。诉诸被遗忘权不仅造成法益保护上的失衡,而且限制、阻碍我国互联网产业的创新发展。未来可考虑通过特殊被遗忘权对特殊群体提供特殊保护。另一方面,个人数据保护的核心不在于数据“被遗忘”,而是数据安全;只有数据安全了,个人隐私才有保障。因此,需要在数据最小化、通过设计保护隐私等方面做出努力,[5]并不需要依靠“被遗忘权”,更不应该盲目引进和扩大“被遗忘权”的适用范围。
5.积极参与并主导网络治理规则
当前,我国互联网产业持续快速发展,互联网经济占GDP比重达到7%;[6]我国要想从网络大国走向网络强国,在网络治理规则制定中掌握主动权和发言权就显得十分必要。经过多年发展,我国互联网产业实践丰富程度世界领先,国际地位和影响力日益增强,在网络治理方面,更应当避免对国外法律制度和判决的盲从,而要充分考虑现有法律基础和产业现状,积极参与并主导网络治理规则。
[1] European Union. 1995 Data Protection Directive (95/46/EC) [EB/OL]. (1995) [2016-03-20]. http: //ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf.
[2] Court of Justice of the European Union. Factsheet on the “right to be forgotten” ruling (C-131/12) [EB/OL]. (2016) [2016-03-20]. http: //ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf.
[3] European Union. General data protection regulation [EB/OL]. (2016) [2016-03-22]. http: //static.ow.ly/docs/Regulation_consolidated_text_EN_47uW.pdf.
[4] 中国互联网络信息中心. 中国网民规模达6.88亿, 手机网民6.2亿 [EB/OL]. (2016-01-22) [2016-03-24]. http: //www.cankaoxiaoxi.com/science/20160122/1060188.shtml.
[5] 李汶龙. 被遗忘权的国际发展与本土化思考 [EB/OL]. (2015-06-25) [2016-03-24]. http: //www.tisi.org/Article/lists/id/4016.html.
[6] 潘福达. 2014互联网经济占GDP比重达7%, 为近年来最高 [EB/OL]. 人民网, (2015-01-24) [2016-03-25]. http: //media.people.com.cn/n/2015/0124/c14677-26443086.html.
Choice of Internet Governance Rules from EU’s “Right to Be Forgotten”
YANG Le, CAO Jian-feng
(Tencent Research Institute, Tencent Inc., Beijing 100089, China)
Since 1995, EU legislators have been enhancing the protection of personal data, and right to be forgotten has become a major concept in EU’s personal data protection legislation, which is now subjected to reasonable restrictions after three stages. In the international society, there are two different approaches to the right to be forgotten: the general approach and the special approach. EU is the model of the former approach; and the latter approach includes US and other countries. Considering that the right to be forgotten does not produce the prospective substancial effects, but incurs huge burdens to the development of Internet industry, and considering that the existing normative system has already provided sufficient protection to personal data and privacy, and therefore, it is unnecessary to import right to be forgotten or arbitrarily expands its scope. To the contrary, the effective protection of personal data and privacy should avail of institutions such as data minimization and privacy by design. Meanwhile, China should proactively participate in the formulation of international Internet governance rules.
right to be forgotten; Internet governance; protection of personal data
2016- 05 - 11
杨乐(1980—),女,山西应县人,腾讯研究院高级研究员,中国社科院法学研究生,博士后,主要研究方向为互联网相关法律政策。
D631.43;D953
A
1008-7729(2016)04- 0058- 05
