互联网时代公民被遗忘权及其法制保障
2017-09-08姜瑛
姜瑛
摘要:在互联网时代,公民个人信息安全屡屡遭致侵犯,頻发个人信息泄露现象,公民信息自主权受到了挑战。被遗忘权本质上是个人信息的自主权,是对个人生活与未来的塑造权利。为此欧盟和美国在立法和司法两个方面都具备了一定的经验,基本建立起来了完善的保护个人信息的法律体系。我国应加快个人信息保护立法,将被遗忘权法定化;规定被遗忘权的权利义务主体、客体;规范行使被遗忘权的条件与例外;完善政府与市场合作的互联网数据监管,对公民行使被遗忘权时受阻做出法律救济。
关键词:互联网;信息安全;被遗忘权
中图分类号: D90 文献标志码: A 文章编号:1672-0539(2017)04-0027-05
在互联网时代背景下,个人信息安全问题被提升到了一个更高的层面。欧盟早在1995年就建立了个人网络数据安全保护制度,在2012年欧盟历史上第一次提出了个人信息被遗忘权的概念,进一步完善了欧盟个人信息保护法律体系。目前,中国的网民数量在快速增加,互联网的普及率也已经超出了世界的平均水平,由此导致了公民个人信息泄露现象频频发生。由于维权缺乏法律依据,也使得侵权行为更加肆无忌惮[1]。所以,我国应该尽快建立一部完善的《个人信息保护法》,以此来保障我国公民的个人信息安全,让公民在维权时能够有法可依。法学界也都在呼吁我国能尽快建立个人信息保护法律,充分维护公民的个人信息权。被遗忘权诞生于西方,欧盟和美国也出现过被遗忘权的司法判例,无论如何我国要充分借鉴这样一个新兴的权利,洞察被遗忘权背后的法哲学意蕴。如何实现在互联网时代对公民信息的充分法律保护,这是摆在我国立法界和司法界面前亟待解决的一个问题。
一、被遗忘权概念的提出及其时代意义
(一)被遗忘权的概念
在20世纪70年代末,法国就提出了“le droit à loubli”一词来表达“被遗忘权”,这是被遗忘权最早问世的记载。“被遗忘权”(right to be forgotten)是一种权利,与以往我们理解的主动性的(positive)权利理解不同的是,被遗忘权是一种消极性(negative)的权利表达形式。20世纪末法国个人数据滥用就引起了立法机关的重视。法国人认为,我们的个人信息不只在现实生活中得到法律的规范和保护,在虚拟的网络世界同样受到法律的保护和规范,在使用别人的个人数据之前要有法律依据和合理目的,且在法律规定的范围之内才可以使用。在互联网时代下遗忘权的思考开始于2009年,伴随着也出现了被遗忘权的法律依据。在欧盟委员会制定的《数据保护一般规则》中定义了数字遗忘权,即私人数据应该有使用期限,当提供者认为这些数据不再有任何用处时或者不再需要这些数据时,数据的提供者有权要求相关机构立刻删除有关数据主体的个人数据,并采取有效手段阻止数据的传播。这一权利的设立把责任转交给数据控制者,以增强对私人数据的保护。此外,欧盟委员会认为,为了使新技术的发展需求得到很好的满足,司法机关要善于按照利益平衡原则,针对不同案件进行个别处理。
(二)被遗忘权的法哲学意蕴
1.实践个人的信息自主控制权
有学者从隐私权及个人资料自主控制出发,认为如果我们的私生活能够被数不清的数据拼凑出来,则被视为个人基本权利的隐私权将被掏空,若欠缺控制自己数据的能力,则个人将容易被外力所左右,进而影响我们的思考、行为与自由成长。被遗忘权就是旨在维护个人的自主性与自由,让个人免于外界压迫。因此,为避免资料世界对个人带来的伤害,应当赋予个人删除数据的权利(the right to delete)[2]。由此出发,资料删除权性质上为积极性的权利(affirmative right),而且其目的为事前的(ex ante)预防损害,与隐私权不同,无须等到损害发生或有损害之虞才得请求救济,也不仅限于禁止揭露隐私事务,而是将数据删除。通过行使被遗忘权,个人更有能力控制因特网上涉及自己的信息,实现了个人对信息的自主控制权;另一方面也可维护个人的隐私和名誉等人格权。
2.对隐私权和名誉权保护的深化
被遗忘权重在“隐秘信息不被他人记忆(to be remembered)”,即指删除互联网中涉及公民隐秘信息的权利;而隐私权是重在保护“隐秘信息不被他人知晓(to be known)”,是权利主体享有的要求他人不妨碍公民隐秘信息的权利。换言之,隐私权的权利内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等。而被遗忘权是希望通过实现让他人“遗忘”或自己不面对自己的犯罪记录和不良记录的目标,达到保障自己的私生活不受干扰的目的。也就是说被遗忘权既包含了隐私权的内容,也包含了名誉权的内容。在互联网时代背景下,被遗忘权的内容是丰富的,突破了单一权利研究的思路。特别是在人格权商品化的时代下,公民信息也具有了一定的财产价值,被遗忘权包含了公民对人格权商品化后财产的处分权,这样一来被遗忘权的价值早已经超越了隐私权和名誉权,不仅强调公民对信息(财产)的自决,而且强调的是对公民不被“污名化”权利的尊重。
3.尊重公民重塑自己人生的权利
被遗忘权属于个人对信息的自决权,属于隐私权,在过去隐私权是“免于他人窥探的权利”[3],赋予个人第二次机会出发,让个人在犯错之后能有全新的开始,强调个人的未来不应该被过去的负面信息影响。从人性上而言,个人始终会吸取教训,若犯错者能改过向善,对整体社会来说是好事一件,因此社会应该以包容的态度,鼓励个人重新塑造自己的人生[4]。从这个角度出发,被遗忘权重点不在于赋予个人更大的数据控制能力或删除数据的权利,而是在于管制个人负面信息该如何被利用。就此而论,被遗忘权仅为事后(ex post)救济的、消极的权利,即当个人过去的信息被他人不合法地使用并造成个人损害后,才得请求救济。
二、欧盟和美国被遗忘权的立法与司法保障endprint
(一)欧盟立法和司法经验
在欧盟,互联网技术的突飞猛进,个人信息泄露事件比比皆是。针对这类事件,欧盟委员会公布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第2012/72、73号草案》(以下简称《2012年欧盟草案》)。在该草案中,欧盟委员会第一次提出了数据主体享有被遗忘权,其含义是指数据主体可以要求数据的控制者对拥有数据主体的数据进行永久删除,数据主体的个人数据有权被遗忘,所以被遗忘权又叫做删除权(the right to delete),但是作为例外,某些合法的数据可以被保留。在《2012年欧盟草案》中,针对被遗忘权的构成进行了比较明确的规定。数据主体不仅有权利要求数据控制者彻底删除所接受的数据主体的个人数据,还可以要求阻止第三方的传播及删除经别人复制或转载的数据。其中还规定了,已经在网上传播的个人数据信息,数据的控制者应该采取各种合理的手段通知第三方删除这些数据,包括各种连接或副本。如果这些被公开的数据曾经是得到了控制者的授权,那么数据控制者要承担责任,并且对这些数据的公开负责。与此同时,数据控制者仍应该通过各种手段删除私人数据,通过建立各种保护措施,确定时间期限,定期检查是否会再出现或者是否有必要继续保留。
欧盟的司法实践也为被遗忘权的发展提供了契机。2014年5月欧洲法院对谷歌公布最终判决——允许欧洲公民享有“被遗忘权”,允许公民通过向互联网搜索巨头谷歌(Google)提交申请的方式,要求谷歌公司主动删除一些不恰当、错误、落伍的个人信息[5]。Google Spain SL and Google Inc. v Agencia Espanola de Protección de Datos(AEPD)成为了欧盟历史上第一个被遗忘权的案件。该案件缘起于一个西班牙公民马里奥·格斯蒂亚·冈萨雷斯,他起诉谷歌要求删除1998年《先锋报》挂在网站上的一则报道,因为这篇报道提及了他因断供而被迫拍卖物业。原告认为这是对其隐私权的侵犯,将报社及谷歌均告上法院,要求报社删除该篇报道,同时也要求谷歌公司删除这篇报道的搜索链接[6]。欧洲法院判决报社和谷歌公司败诉。从2014年5月29日开始,谷歌宣布同意欧洲法院的判决,尊重欧洲居民享有的被遗忘的权利。这样一来在司法上承认了公民享有被遗忘权,公民可以申请谷歌删除“不适当、不相关或不再相关以及随着时间流逝过度相关的数据”。
(二)美国立法和司法实践
美国有着发达的隐私权法律保护传统,认为凡属信息“一旦公开,就不再属于隐私”。首先,删除资料无可避免地会与宪法第一条修正案冲突,在特别保护表意自由的传统下,要求他人删除数据,无异是禁止他人发表言论。其次,删除数据,可能会妨碍他人使用因特网搜集数据,进而妨碍新闻采访或搜集资料之自由。若承认个人须删除网络上之信息,无异使新闻媒体与一般人无法在网络上搜集其所需要的信息,二者便存在利益冲突。最后,他人在因特网上公开资料,不一定成立侵害隐私权之侵权行为,若数据或信息具有新闻价值,行为人公开揭露符合正当程序,那么数据可以自由传播。因此,我们可以料想到,在现行美国法制下,被遗忘权的生存空间是极其有限的[7]。
但在州立法層面,加利福尼亚州无疑走在了历史前列。2013年9月23日,加州州长签署《加州商业与职业法(Business and Professions Code)》增加了规范互联网服务业者的条文,其中规定,网络服务业者应赋予未成年人请求各种网络服务提供者删除其自愿发布于各种网络服务中之内容或信息之权利,被称为加州版的“删除按钮(eraser button)”。根据新条文之规定,直接针对未成年人之因特网网页、在线服务、在线应用程序或行动应用程序从业者,或者明知未成年人正在使用其服务之上述各种业务者,必须允许未成年人用户可移除或可要求移除(如果用户愿意的话)其所发布于这类网络服务上之内容与信息,除非有联邦或州法律规定应予保存者或业已为匿名化处理等情形。其次,明文规定删除之客体不及于由第三人于网络上发布之内容或数据,以避免与他人表意自由发生冲突。另外,这类网络服务业者亦应提供告知未成年用户可请求移除之通知机制。由此可知,加州立法机关一方面摆脱传统上自愿公开之束缚,另一方面确保此删除权不会与他人之表意自由相冲突,尝试兼顾各方利益,有值得参考之处。
此外,美国法院也存在被遗忘权的司法实践。在Briscoe v. Readers Digest Association一案的审理中,原告Briscoe与同伙曾在1956年抢夺一辆卡车而入狱,出狱后改过自新重新做人,并成功地过着模范、善良且正直的生活,在社会上也享有受人尊敬的地位。被告却在抢劫事件发生11年后,出版了一篇描述抢夺卡车犯罪的文章,其中一段文字提到原告:“这是典型的生手,Briscoe与其他共犯窃取了一辆看起来相当值钱的卡车,并与当地警察发生枪战……”。在这篇文章出版之后,原告11岁的女儿和原告的朋友才知晓了这段历史。原告因此起诉,认为这篇提及他姓名的文章不具备新闻价值,而被告揭露他的过去,使他遭受鄙视与奚落,侵害其隐私权。最终法院认为,报导过去的犯罪事件,让社会大众知道犯罪的手法以及法律的执行,是具有公共利益的。然而,公开报道年代久远的犯罪行为人的身份,通常所具有的公共利益较小,一旦法律程序终止,报导行为人身份所带来的利益就会变小,除非行为人的其他独立事件再次吸引大众的目光。本案原告的犯罪行为发生在11年前,现在他早已回归社会,因此对过去犯罪事件的报导和提及行为人姓名,不再具有新闻价值。
三、我国建立和完善被遗忘权的法制构建
(一)制定个人信息保护法,将被遗忘权法定化
近年来我国出现了许多网络公民隐私泄露事件,呼吁个人信息保护立法的呼声日益高涨。值得一提的是,2012年12月28日,全国人民代表大会常务委员会通过《关于加强网络信息保护的决定》(以下简称《决定》),这可谓我国保护个人信息立法历程上的一个里程碑。《决定》规定了个人信息保护的主体以及它的收集者,要本着正当合法和公开告知的态度使用公民的个人电子信息,并且还规定了存储信息的主体要尽到保密的义务,绝不轻易泄露公民的个人电子信息。除此之外,《决定》中明确提出了公民对个人的电子信息享有举报控告的权利,其中第八条明确提出公民有选择被遗忘的主张,当发现自己的个人电子信息被泄露后,或者是泄露信息后受到了商业电子信息侵扰,有权要求提供相关信息的网络服务者删除相关的信息或者使用必要的措施制止。然而,此条款只是笼统地提出了被遗忘权,对于被遗忘权的行使条件和内涵,包括对于其他权利的影响还有如果侵权后民事赔偿的标准等等一系列的问题都没有很完整地提出。因此,要对作为一项新兴权利的被遗忘权进行规范,笔者建议在条件成熟的时候,吸收有关部门《决定》的经验,制定出一部《个人信息保护法》,作为保护公民被遗忘权的权威的法律依据,在此法中一定要明确界定被遗忘权的内涵和行使条件,对知情权还有自由表达权也应该进行完善的思考,并应该得到一定的限制。endprint
(二)规定被遗忘权的权利义务主体和客体
考虑到我国民法中规定了自然人、法人和其他组织的权利主体,实际上也只有自然人才能享有被遗忘权,法人和其他组织团体是没有这项权利的。因为被遗忘权是与人格权密切联系的一项权利,关系到了人格能否自由发展的问题[8]。被遗忘权的义务主体就是信息的控制者,他是除了信息主体之外的可以掌握个人信息的权力者,他可以是自然人、法人、其他组织机构。法人和其他组织机构为了其他事情可以收集信息、存储信息以及使用信息,但凡事都有两面性,这样做也潜藏着很大的危险,那就是他们很容易侵犯个人的信息。从目前美国和欧盟的做法来看,类似谷歌和雅虎的网络服务商要严格依据法律的规定,不仅在行业自律的范围内尊重互联网被遗忘权,而且要向网络监管部门报告接受公民申请删除隐私信息的行为。
被遗忘权的客体是指哪些信息是应当被删除的。考虑到公民被遗忘权的客体纷繁复杂,基本上要遵循下列原则进行:第一,区别对待原则。对违法犯罪记录不适用被遗忘权;对于非违法犯罪记录也只有在经过一段时间后,才可以让公民删除自己的非违法犯罪记录[9]。第二,区分涉己记录和涉他记录。既然被遗忘权是一种信息自我抉择权,毋庸置疑的就是信息主体当然地享有删除自己上传互联网上的任何信息的权力。可是,依据我国互联网发展及其监管的现状来看,我国互联网论坛、贴吧的管理权限是不开放的。当信息主体在互联网论坛、贴吧中发布信息后,在一些网站中是没有删除权限的,只有网站的管理者享有删除权限。这时候涉己信息的删除就成为困难,有人也提出了如果開放网站的管理权限,就很有可能让一部分公民利用身份、地位、权势,删除涉及自己“扒粪”信息。例如反腐败过程中,我们发现许多贪官急于删除腐败信息与新闻报道,这在根本上而言是不利于公民知情权的保护,也不利于我国新闻媒体对腐败现象的监督。第三,考虑到了未成年人上网的数量,对于未成年人上传的记录和成年人上传的记录要区别对待。未成年人心智并不是很健全,不能对其上传的信息做出正确的判断,出于保护未成年人的权益的需要,在征得未成年人监护人的同意的前提下,赋予网站管理者代行未成年人被遗忘权的权利。
(三)行使被遗忘权的条件与例外
总而言之,我国对于数据删除权的示范文本还是过于简单且并不完善。在我国《个人信息保护法(学者建议稿)》中的第19条第1款规定,当信息是非法储存的或信息处理的主体在行使职能的时候已经没有必要获知个人的信息,数据是要被删除的。此项规定虽然说明了公民可以行使删除权,但是范围和条件还是过于狭小。然而,个人信息在互联网时代中传播的方式多种多样,现在有关非法存储的界定还是不够宽泛。当然在这方面,由于欧盟在规制互联网电子商务方面具有的丰富经验,因此可将《2012年欧盟草案》作为我国未来立法中值得借鉴的一个范本。此草案对于行使删除权的范围和条件的规定都是很仔细的,例如信息主体所同意的保存期限已经到期,并且没有合法的依据继续处理数据信息,那就应该删除数据。
针对被遗忘权行使的例外情况,如果删除个人的信息数据会影响到相关执法部门的调查,那就有必要采取恰当的措施对数据信息进行存储和屏蔽。《建议稿》中对这种情形的规定就比较详细了,其中第19条第3款中明确指出在以下三种情况中就应该封锁个人的信息,分别是:(1)在法律法规和合同规定的保管期限内个人信息是不可以删除的;(2)如果删除数据信息会危及信息主体合法权益,就不可以被删除。如果存储的方式是比较特殊的,删除信息需要大量费用,那也可以不删除;(3)如果信息主体没有办法对个人信息做出正确的判断,或信息的正确性存有异议,那就不能封锁信息。
(四)形成政府监管与市场自律的监管局面
建立专门的数据监管机构,明确监管机构的职能和权限,而且监管机构在行使权利时应该遵循法律的规定。我们有必要借鉴美国和欧盟的经验和做法,美国网络化数据监管权力下放给了网络服务商如谷歌、雅虎等,在法律健全的同时,美国网络服务商有着强大的自律机制,保证了有效地实施对网络化数据的删除的监管。欧盟也是如此,虽然有欧盟委员会的指引,但是互联网商会会自发地配合政府的被遗忘权的实施。对我国而言,以政府监管为主导,辅之以互联网服务商的配合,鼓励社会力量的积极参与,以形成一个政府与市场(企业)协同共治的局面。此外,在保障公民被遗忘权的权利被侵犯的救济方面,互联网数据监管机构也要承担起应有的监督作用,如果互联网公司未能遵守删除协议和保护数据隐私,用户可以要求金钱赔偿;当互联网公司拒绝民事赔偿的时候,监管机构接收公民的申诉并进行调查,启动调查程序后,应在合理的时间内将调查进程和结果通知该公民,如果需要进一步的调查和取证的话,也有告知公民的义务。如果监管部门认为公民申请可以被允许的话,就会要求网络服务商在一定时间内删除公民申请中涉及的个人信息。
参考文献:
[1]陈庆辉.我想忘却你牢记 搜索引擎好霸道[N].广州日报,2014-05-15(02).
[2]Daniel J. Solove, The Future of Reputation: Gossip, Rumor, and Privacy on the Internet, Yale University Press, October 2007,page 121.
[3]郑文明,李丹林,朱巍来.被遗忘权是一种网络时代的新型人格权[N].中国社会科学报,2014-12-03(A 02).
[4]Eugene Volokh.Freedom of Speech and Information Privacy: The Troubling Implications of a Right to Stop People From Speaking About You[J].52 Stan. L. Rev. 1049, 1050-51 (2000).endprint
[5]石静霞, 张舵.从欧洲法院承认“被遗忘权”的判决看个人信息保护[J].中国信息安全,2014,(10):111-115.
[6]Google Spain SL and Google Inc. v Agencia Espanola de Protección de Datos (AEPD) and Mario Costeja González" (C-131/12).
[7]Eugene Volokh, Freedom of Speech and Information Privacy: The Troubling Implications of a Right to Stop People From Speaking About You, 52 Stan. L. Rev. 1049, 1050-51 (2000).
[8]蔡達智.开放空间中的隐私权保障[J].月旦法学杂志,2007,(145):127-146.
[9]于志刚.构建犯罪记录查询制度之思考[J].人民论坛,2010,(23):86-87.
Abstract:In the Internet era, citizens personal information has been repeatedly violated duo to disclosure of personal information, citizens information is in urgent of legal protection. Right to be forgotten is the essence of the autonomy of personal information, the right to shape personal life and future. The EU and the U.S.A legislative and judicial have some experience, set up of a sound legal system to protect personal information. China should accelerate the personal information protection legislation for right to be forgotten, and its rights, obligation and object, regulating of conditions and exception of the right to be forgotten, and perfecting internet data supervision on cooperation between government and market.
Key words: Internet; Information Security; right to be forgotten
编辑:黄航endprint