被遗忘权的明晰及本土化探究*
2018-07-13杨杰
杨 杰
(上海师范大学 哲学与法政学院,上海 200030)
“时代是思想之母,实践是理论之源。”随着“互联网+”时代的到来,人类社会逐渐步入一个信息爆炸的时代。利之所在弊之所存,互联网在解放人类生产的同时,亦带来一些负面影响。举例示之,随着数字化以及数据库的发展,信息的搜集、加工、处理变得更加容易,信息的市场价值也愈发凸显,在便利人与人交往的同时,也为网络服务提供者滥用技术优势侵害个人信息隐私权利留下制度缝隙[1]。“如何实现信息利用与信息保护的平衡,是当代法学理论研究的重大课题。”[2]就个人有无权利删除那些不充分、不相关或过时不再相关的数字信息,自欧盟法院对“谷歌西班牙案”作出最终裁决以来,关涉自然人有无被遗忘权、其法权构造如何的讨论,日益成为网络信息法讨论的焦点。似乎在这个数字化记忆时代,“记忆成为常态,遗忘成为例外”[3]。互联网系21世纪重要的时代特征,在民法典编纂之际,对个人信息的充分保护值得我们审慎对待。正如德国诗人诺瓦里斯所言,“一切认识、知识均可溯源于比较”[4]。本文拟通过对比较法资料进行研析,结合国内“被遗忘权第一案”引出的网络信息保护现状,尝试厘清被遗忘权的一些重要理论并构建契合我国司法实践需要的被遗忘权。
一、被遗忘权的权源内涵
只有当我们头脑中对所运用的概念清晰、明确,以之为基础而展开,思维活动才有可能是正确的[5]。由于被遗忘权乃一新兴权利,故笔者拟以空间维度为标准,将被遗忘权的权源与概念类分为西方的权源与概念和中国的权源与概念,并渐次呈现其清晰轮廓。
(一)欧陆、美国、日本、英国的被遗忘权权源与概念
欧洲大陆被遗忘权的概念肇始于1974年法国的“忘却权”,遗忘的权利、被遗忘的权利、删除的权利、忘却的权利等则为英文中的表述[6]。但这些称谓都不构成现代意义上的被遗忘权,最早提出现代意义上的被遗忘权内涵的是牛津大学的迈尔-舍恩伯格。他长期从事互联网教学并敏锐地注意到现代网络技术的发展会造成个人信息被永久保存,所以综合教学理论研究与实践,他提出了现代意义上的被遗忘权[7]。但什么是被遗忘权这一中心概念,则是在关于释放一些犯罪者的刑事案件中得以明确。根据其原始定义:被遗忘权是指权利人在一定情形下有把其过去犯罪记录删除的权利,或者在满足一定条件下要求个人隐私信息控制方不公开其过去所经历不幸案件细节的权利。通过对个人不良信息的遗忘,这样更有利于当事人重新融入社会。然而,美国与欧盟删除犯罪记录的观点大相径庭,同样作为以崇尚个人权利为中心的法域,美国以减少犯罪和言论自由权受限而在一定程度上抑制了被遗忘权的兴起,欧陆则以强调保护个人利益至上为由鼓励被遗忘权的研究。究其根源,与美国原为殖民地通过独立战争获得自由,从而其社会价值观是对自由的一种至上追求有关。
目前欧陆、美国通说认为,遗忘权应该是指网络大数据背景下的数字化被遗忘权,美国法学界主张被遗忘权在于个人数据所体现的隐私,欧陆法学界主张被遗忘权上升到人身权。且根据不同维度被遗忘权内涵有所相异,具体可细分为多种观点。通过对众多被遗忘权资料的分析,第一种观点包含三部分含义:首先,是指权利人有权要求信息控制者及时地、迅速地删除有关自己的不利的信息;其次,是指权利人享有一种自由的表达权利而不用担心后果;最后,指权利人可以有一项被赋予“清白历史(clean slate)”的权利。第二种观点认为,通常意义上被遗忘权主要分为过往遗忘权和删除权两个方面。前者即有案底的人在其刑期执行完毕之后,有要求犯罪记录保存机构不公开自己犯罪记录的权利;后者为个人数据所有人有权主张信息控制方删除自己被他人泄漏的数据。还有一种观点主张被遗忘权是一项比较单一的权利即以网络数字删除权为主要内容。这三种观点在欧洲被遗忘权理论界都有市场,通过对三种观点的对比,个人认为第一种观点比较适合被遗忘权是一种私权利的基本价值,权利之间的重叠并不可怕,是合乎保障公民权利的价值追求的。在以后法律适用方面也可以有多重选择,但若对被遗忘权之概念限定过窄,则易出现权利漏洞,无法保障该权利设立的初衷。
日本法学界学者将与遗忘权相关的权利一分为二。他们将遗忘权定义为个体有权免受迫于外界压力记忆不堪回首之事; 而被遗忘权指国民拥有免于一切利用自己的信息给自身造成不利损害的豁免[8]。在民法上,权利根据其相对人的多寡,可以被分为绝对权与相对权。根据此标准,个人认为被遗忘权不应该是一种绝对权即不能以享有被遗忘权为借口而对抗某些合法的使用;被遗忘权不能被滥用; 被遗忘权的效力有可能与相关公众的知情权与网络言论自由权相冲突。从此维度来看,被遗忘权的含义必须精准,以更好地符合保护个人权利的初衷而不至于与相关权利发生较大冲突,造成社会利益失衡。在此背景下,为合理保护其权益,引入:(1)赋予个人“修改历史”的权利。比如,删除对其难以启齿之事(积极作为);(2)他人具有不故意使数据主体回忆起和引用数据主体自己希望遗忘的事或信息(消极不作为)的义务。从另一角度观察,以第三方的立场,采取相关行为以达到能遗忘或不涉及个人过去的不愿回忆或提起的事件。从此意义上说,这是一项典型消极的权利或是“遗忘个人不利往事的义务”[9]。日本学者的分类将遗忘权更多地倾向于外在因素作用,而被遗忘权更多地倾向于内在原因影响。此种分类方法与欧美的被遗忘权理念之间孰优孰劣还有待进一步研究。
英国政府在对被遗忘权的态度上独树一帜,英国国内众多政府机构对被遗忘权持反对态度,其法律委员会表示网络搜索服务提供者对于是否删除的链接不可以享有决定权,实行被遗忘权后,搜索引擎服务商可以按照法律的规定去删除相关链接是不可行和错误的,会扼杀互联网技术对于信息数据传播所做出的贡献。其还强调:只要搜索引擎中对于个人信息数据的呈现是合法的、及时的、客观的、中立的,那么信息主体即无权利向搜索引擎服务商提出删除要求[10]。究竟什么原因导致英国对待被遗忘权的态度与西方主要国家截然相反?究其根本原因主要是英国保守的文化传统,这与英国自17世纪资产阶级革命胜利后,成立君主立宪制国家所培育出来的社会价值文化密切相关。但英国存在有关个人信息数据保护方面的立法,相信在不久的将来英国与其他欧盟国家在被遗忘权的问题上会相互妥协。
(二)我国的被遗忘权权源与概念
“被遗忘权”这一概念属于舶来品,但在我国本土语境下有“被遗忘权”的思想吗?以下将从两个方面加以论述。首先,内发型思想根源于遗忘是人的自然本性。圣人在古代就提倡遗忘过错面向未来,如浪子回头金不换;人非圣贤,孰能无过;知错能改,善莫大焉等,皆可看作我国被遗忘权内源性思想。《周礼》的《地官·调人》《秋官·朝士》记载了周朝法律施行移乡避仇制度,利用国家的力量把因过失犯罪而产生的仇家在地理空间上隔开,这种方式的施行道理在于空间上的隔离会使仇家之间不相见,以达到遗忘仇恨的目的。《周礼》的这一规定对后世影响深远,汉代的律令有和难之条,荀悦主张:“使父仇避诸异州千里,兄弟之仇避诸异郡五百里”;《唐律疏议·贼盗律》卷十八规定:“杀人应死,会赦免罪,而死家有期以上亲者,移乡千里外为户,其有特敕免死者,亦依会赦例移乡。”申言之,因杀人被处以死罪的囚犯如果与被害人属于同一籍贯,即便囚犯逢赦令免于死罪,若原籍还有被杀人近亲属居住的,则不能返回原籍,只能安置在千里以外的地方。这些措施无不例外地是利用隔离措施,以达到遗忘之目的。这与当下我们所主张的被遗忘权具有异曲同工之妙,都是选择一种强制遗忘方式。古人受历史因素所限,只能选择利用地理空间来遗忘。在当今世界,空间距离已经不是问题,利用地理隔离已经不现实,所以我们要主张在时间上、技术上隔离,以达到遗忘之目的。
其次,外延型法源主要是受西方影响的学说。国内一些专家在西方理论基础上提出了自己的观点,主要有三种主张。一部分学者如陶乾等主张比较全面的被遗忘权概念,其在《论数字时代的被遗忘权》一文中提出了被遗忘权的广义概念。广义的被遗忘权主要体现在删除信息对象的范围较广,不仅仅是不当数据记录[11]。但其在权利主体方面限制为自然人,理论源于欧盟从人权等自然人权利角度论证该权利。国内有关被遗忘权的研究,多以欧盟颁布的《一般数据保护条例》的草案和正式文本为基础。鉴于此,陶乾等国内大多数学者给出的被遗忘权的定义与欧盟条例基本相同,大家都比较一致地认为,被遗忘权又可以被称之为删除权,是指在网络大数据背景下数据主体享有要求网络数据控制者删除对权利主体自身不利信息的权利。特定条件下为公共利益的需要数据的保留有适当合法理由的可以例外。享有权利的主体就是数据的所有者即隐私信息或不利信息的主体,是一切在网络中存储数据信息的个人使用者,其权利相对应的义务主体是对互联网上数据信息进行控制的人,具体指凭借为个人提供服务从而获得私人数据的企业、机构,其权利客体就是与个人数据信息相关的任何数据信息记录。
一部分学者主张狭义的被遗忘权。具体指网络、媒介应给予个人处理其个人数据信息的选择,公民个人因知识结构、社会坏境等的改变从而影响其世界观、人生观、价值观,进而想抹去以往幼稚的言论,或者因个人数据、信息被违法侵害,都应给予权利人删除权,即过时的、不恰当的、降低信息主体名誉的信息不应成为其永久的伤疤[12]。此定义所针对的数据信息仅仅是不当信息。
还有一部分学者比较倾向于将被遗忘权与个人隐私结合起来,主张被遗忘权是隐私权在大数据背景下的延伸。“被遗忘权”赋予信息主体对于个人数据的绝对支配地位,其有权要求企业、社会机构等合理合法使用或删除个人数据,以免因滥用个人信息对其造成不利影响。被遗忘权体现了个人对个人隐私和个人信息的自主,其主要含义是信息的主体有权行使被遗忘权,利用物理删除手段达到被他人遗忘的权利。此举虽然不能真正达到使所有人遗忘的目的,但可以有效地控制信息影响范围。其权利的主要行使方式是向个人信息控制者随时要求删除个人遗留在信息网络当中的各种关于本人的信息记录[13]。
通过对上述被遗忘权概念的讨论可知,最狭义的被遗忘权就是指“遗忘”与信息主体的个人隐私相关的不利个人数据;狭义的被遗忘权“遗忘”对象包括与信息主体有关的所有不利个人数据,无论是否涉及到个人的私密之事,都有被“抹去”的权利;广义的被遗忘权对象是所有信息,无论有利或不利,只要信息主体向信息控制者申请即可。三种观点都有把被遗忘权解释成删除权的含义。通过综合外国与我国学者给出的定义可见,针对被遗忘权概念最大的分歧在于对权利客体即网络信息范围的界定,共识是均主张在网络大数据背景下,信息主体应该享有被遗忘权,信息主体限于自然人。
二、被遗忘权的法权结构
(一)被遗忘权的自身效力范围
信息主体行使被遗忘权可予以删除的信息的范围,在上述中已有多种观点,现讨论其主要适用领域,其主要针对计算机网络信息领域的个人信息数据,其权利客体多为已发布在网络上的,为普通公众所知悉或为某一领域普通专业人士所了解的特指数据。被不当公布的特定数据应符合使信息主体名誉降低、违背信息主体意志、陈旧不适当等特点。至于会不会使信息主体的名誉降低主要存在两种标准:一是主观标准,即以信息主体的主观感受为评价标准;二是客观标准,即以社会一般人的立场来判断信息主体名誉是否受损。使信息主体名誉有损的信息,是指网络上对信息主体不利的负面信息,此不利信息既包括他人的不实之词、诽谤,也包括信息主体的客观事实,但后者须满足不妨碍公众知情与言论自由之条件。笔者认为,对于积极的、至少不降低信息主体现有评价的信息,也可以适用于被遗忘权。违背信息主体意志的信息具体指一切有违数据主体意志,无论是不实之词还是虚假之词,不管是对信息主体进行积极评价还是消极评价,只要信息主体行使被遗忘权不妨碍言论自由和公众知情权等他人合法权利即可。陈旧的信息和过时的信息,是指网络上的现存信息,对于所指向的对象,可能在某一历史时期是正确的,但随着社会经济的发展和客观条件的变化,该信息与该事物已极不对称,已从现在进行时变为过去完成时,给该信息有关的各方带来极大不便。如一位西班牙公民因不能按期还贷款而被法院强制执行的报道,在十年之后仍可见之于网络,这就是陈旧信息*为确保案例准确无误,本文对维基百科中的该案例进行了翻译。(参见https://en.wikipedia.org/wiki/Google_Spain_v_AEPD_and_Mario_Costeja_González)。不恰当的信息是指网络上的信息对主体状态的描述是不符合实际的。不恰当,既可以存在于信息公布之时,也可存在于公布之前或者公布之后。
(二)被遗忘权的外在协调
网络信息多如牛毛,并非任何信息都是被遗忘权删除的对象。适用被遗忘权的例外情形随着研究的深入会不断明确,综合目前的观点主要有:第一,为维护言论自由权,网络是一个公共场所,个人有权独立自由地发表言论;第二,为了社会公共利益的需要和公序良俗,该信息具有利用价值;第三,出于横向和纵向统计以及学术研究的需要,对该网络信息进行保留;第四,该信息关乎其他第三人,且第三人利益等于或大于该信息主体。关于相关人员的犯罪记录是否可行使被遗忘权以达到删除的目的,是不可避免地需要讨论的重点问题,究竟是否可以行使被遗忘权予以删除争议不断。从比较法视角看,美国和英国分别颁布了《梅根法案》和《萨拉法案》将性犯罪者资讯予以公开,但是却颁布“橡皮擦”法案对未成人相关信息予以保护[14]。所以,我们可以根据案件性质、案件发生的时间、相关人员的犯罪记录、犯罪年龄等综合考虑是否行使被遗忘权,将其犯罪记录予以删除。如一个普通案件已过去多年且其行为人不是累犯,那么行使被遗忘权删除其记录是有必要和积极意义的。若是一个刚发生的有重大影响的杀人案件且其行为人是累犯,那么是否允许其行为人行使被遗忘权删除是值得考量的。
三、国外被遗忘权的法律分析
近几年,有关个人申请将自己在网络上的数据信息予以删除或阻止的事件已多见报端,被遗忘权在法律和司法实践中已逐渐凸显,其中欧美发达国家有关被遗忘权的法律和司法实践发展迅速[15]。2016年,欧盟通过了《一般数据保护条例》,其中第十七条明确规定了被遗忘权(删除权)。2015年,在美国加利福尼亚州正式实施“橡皮擦”法案,该法案规定未满18周岁的公民有权删除其在网络上的数据信息。2014年,澳大利亚法律改革委员会提出了“被删除权”。2005年,日本颁布《个人信息保护法》以保护国民个人信息[16]。其他国家如韩国、墨西哥等国亦有相关规定。
(一)欧盟制定的相关法案
欧盟是个人信息保护立法的领头羊,关于数据保护的法律很多,主要介绍以下几部法案。1970年,德国黑森州颁布了世界上第一部信息保护法《黑森州数据保护法》,拉开了信息数据法律规制的帷幕。1980年,欧盟经济合作与发展组织颁布了《关于保护隐私与个人数据跨国界流动的准则:理事会建议》,以推进与个人数据有关的一些隐私和个人自由的最低标准,减少欧盟成员国间的差异。其后于1995年,颁布了《关于涉及数据处理的个人保护以及此类数据自由流通的指令》,提供了删除或阻止的权利,但此项权利在后续实施中形同虚设,不能很好地运用于司法实践和保护个人的数据信息。因此,欧盟于2012年在布鲁塞尔颁布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第2012/72、73号草案》,规定了被遗忘权和删除权,并规定了权利行使的条件、期限,使个人信息数据保护具体可实施[17]。其主要目的在于以此法案保护个人数据,利用法律手段规范互联网公司的行为。此外,该草案第十七条规定了权利行使的例外情况:以历史研究、数学统计、科学研究、言论自由、健康安全为目的,以及当法律有例外规定时,信息控制者有权拒绝承担删除个人信息的责任[18]。“2016年4月14 日,欧洲议会在二读立法程序中决议通过了被称为‘史上最严格的个人数据保护条例’(GDPR),其正式文本于5月4日被公布在欧盟官方公报上,从而结束了欧盟自2012 年提出立法草案以来长达四年之久的数据保护改革。”[19]其中正式文本第十七条规定,当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据*参见欧盟《一般数据保护条例》第十七条。,这是欧盟对被遗忘权的最新定义版本。
(二)美国制定的相关法案
美国加利福尼亚州保护未满18周岁公民个人数据的“橡皮擦”法案,是美国有关删除个人数据的代表法案之一。2013年,加州州长签署第568号法案,被称为“数字世界里加利福尼亚州未成年人的隐私权利(Privacy Rights for California Minor in the Digital World)”也被称为 “橡皮擦”法案,此法案的宗旨在于保护住址位于加州且未满18岁的公民的网络数据。加州的“橡皮擦”法案与欧盟的《一般数据保护条例》在法律技术上大同小异,但加州的“橡皮擦”法案适用对象比较狭隘,主体上仅适用于未成年人,客体对象是个人发布的个人信息,方式上仅采取删除或阻止。虽然该法案适用对象狭隘,但已给网络服务提供者造成巨大的成本压力,而法律则免除网络服务提供者对于第三方的请求而造成的后果。但在现实中,第三方所造成的危害比个人网站的危害更大,所以此法案的社会功能还有待司法实践的进一步检验。
(三)澳大利亚、日本关于被遗忘权的立法规定
澳大利亚法律改革委员会 (ALRC)在2014 年3月提出的一项议案中规定了“被删除权”(right to be deleted),此权利是源于本国法律实践,未移植他国法律。澳大利亚的被删除权也规定个人有权删除网络上的个人数据信息,但此信息数据作扩大解释到合法收集的信息。根据数据隐私的保护理念,其删除对象仅为自己上传的数据而非第三人上传的数据。在日本,对于网络隐私的保护始于20世纪80年代。1982年9月,日本颁布了《个人数据信息处理中隐私保护对策》,确立了个人隐私保护遵循的原则;2005年,颁布了《个人信息保护法》,根据此法,日本行政机构还制定了许多具体实施细则,以满足司法实践的需要。
(四)俄国关于被遗忘权的法律规定
2015年5月,俄国立法人员提出了被称之为《被遗忘权法》的草案*4位国家杜马议员联名按照俄罗斯联邦宪法向俄罗斯联邦议会下院国家杜马提出了第804132-6号名为“关于修改《关于信息、信息技术和信息保护》的联邦法律和某些俄罗斯联邦立法文件”的联邦法律草案。,并在不到两个月的时间内获得通过,彰显了大数据时代个人信息数据保护的迫切要求。俄国法上的被遗忘权具有双重属性,分别从实体法层面和程序法层面对被遗忘权进行了规定。在实体法层面又一分为二,在基本法(民法典)上对被遗忘权进行了概括规定,在专门法(信息法)上对被遗忘权作出了具体规定,并确立了在搜索系统领域中保护被遗忘权的案件类型,用判例的形式指导被遗忘权的具体实施。在程序法层面规定了民事诉讼法典意义上的被遗忘权以及被遗忘权诉讼的特殊管辖权规则和被遗忘权的域外效力。三部法律权限清晰、相互配合,共同保障公民被遗忘权的实现,维护了个人数据信息的安全。
(五)国外与被遗忘权有关的司法实践
2014年,欧洲法院的判决确立了关于个人信息保护的判例*谷歌(西班牙)公司和谷歌公司诉西班牙数据保护局和冈萨雷斯案(Google Spain SL, Google Inc. v AEPD and Mario Costeja González)。(参见https://en.wikipedia.org/wiki/Google_Spain_v_AEPD_and_Mario_Costeja_González)。该判决表明,当信息主体申请网络服务提供者删除与其个人有关的“不恰当、不完整、不相关”信息时,网络服务提供者必须删除与个人有关的数据信息。此判决一出引起了公众的广泛讨论,争议的焦点在于以个人信息数据保护为代表的私权与以表达、传播自由等为代表的公权之间的价值冲突与协调。个人信息保护权无疑是自然人民事权利的一项基础性权利。言论自由、公众知情权虽然也是一项重要的权利,但它的行使首先应以不侵害他人权利,其次不得损害安全、秩序等公共利益为前提。在上述判例中,欧盟法院认为个人信息保护权在一定情况下比公众知情权更为重要,所以,要求数据搜索服务商从搜索结果中断开有关链接,限制其继续传播。但与此同时,欧盟法院同样也尊重新闻媒体的言论自由,驳回了冈萨雷斯要求网络新闻出版商删除有关信息的诉请。此后,欧盟数据保护主管机关提出了具体实施细则用以规范大众取得被遗忘权,供欧盟各国依个案判断是否受理数据主体所提出诉讼*具体标准:(1)网络服务提供者所提供的链接是否直接关乎个人信息,即包含数据主体的常用姓名、外号等;(2)数据主体是否是具有重大影响的社会公众人物,相关公众是否有权取得数据主体的隐私信息;(3)数据主体的个人数据信息是否鲜见;(4)网上个人数据信息是否合乎事实;(5)数据信息是否与该人物具有相关性且并无不当;(6)该数据是否具有敏感性信息如个人健康状况、性向或宗教信仰;(7)该个人信息数据是否过时,已不符合主体的现实状况;(8)该个人数据信息是否对主体具有偏见,并且对其个人的社会评价降低;(9)信息是否造成数据主体处于危险之中;(10)信息主体是否自愿公开其信息内容并且知道或应当知道该信息会被公众所获得;(11)原有信息的发布是否具有新闻目的;(12)是否具有法律依据或义务;(13)是否有关刑事犯罪信息。。
日本关于被遗忘权的责任规定也发展迅速,国内搜索引擎雅虎针对被遗忘权相关的搜索结果召开了分析会议,会议主要目的是讨论在言论自由、公众知情与个人隐私之间如何平衡。在日本国内的司法实践中,对于被遗忘权是存在分歧的,如京都地方法院判决一名男子在删除犯罪记录的申请中败诉,而东京地方法院对于一男子删除未成年时期的犯罪记录则予以支持。 导致不同判决结果的根源在于不同法院对个人隐私权与公众知情权的利益衡量标准不同,所以被遗忘权的司法实践还需像欧盟一样制定具体明了的标准。
四、被遗忘权本土化
近年来,由于受欧盟关于被遗忘权的立法和司法中相关案例的影响,我国一些当事人在诉讼请求中也以享有被遗忘权为由主张权利保护,如2015年的任甲玉与北京百度网讯科技有限公司人格权纠纷一案(“中国被遗忘权第一案”)[20]。被遗忘权作为一种新型权利,世界各主要国家和地区的立法与司法实践都有所涉及。总的来说,欧盟的被遗忘权立法与司法经过近几年的发展是相对完善的,值得借鉴。但在一些国家的发展却是比较失衡的,比如在日本,其实践走在了立法的前列,而在澳大利亚,其立法走在了司法的前列,在澳大利亚的司法实践中,鲜见关于被遗忘权的相关案例,日本与澳大利亚被遗忘权的发展现状都是不完善的。所以,为了更好地推进我国被遗忘权的确立,笔者结合上述观点,对被遗忘权的概念、法律性质、权利主体、义务主体和权利行使的方式、保护模式等做了一些探讨,希冀对被遗忘权本土化的保护有所贡献。
(一)以“被遗忘权第一案”为例的讨论
本案的主要内容之一是任甲玉以享有“被遗忘权”为由,主张其与陶氏教育之间的信息记录应被删除,而百度公司在其搜索引擎上提供了相关信息且不及时删除,致使原告任甲玉名誉受损,所以原告要求百度公司赔偿,此案被法学界认为是“中国被遗忘权第一案”。当事人第一次提出“被遗忘权”这一概念。通过对两审判决书的研习可以看出,两级法院均认为,对于“被遗忘权”我国法律无明文规定,不能单独成为一项具体人格权,继而把“被遗忘权”归入一般人格利益*参见北京市海淀区人民法院(2015)海民初字第17417号民事判决书;北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。,这种观点代表了目前我国法院对此类案件的基本认识。其实仔细研读“中国被遗忘权第一案”,可以得出此第一案乃“形式第一案”,本质仍为对人格权(人格利益)的保护诉求,其侵权行为显著特点表现为通过搜索引擎上不当信息引起信息主体利益受到损害。这类案件近年来在国内屡有发生。所以,为了更好地实现“被遗忘权”本土化,笔者以“中国被遗忘权第一案”之相关案情和法院对此类案件的相关定性,于北大法宝查询了近年来由于搜索引擎上不当信息所引起的相关案例数量,详见表1所示*因涉及案例较多,故不再一一引注,表1中所选案例均以搜索引擎商为被告或共同被告。(参见http://202.121.166.131:9155/Case/)。
表1 近年来以搜索引擎上不当信息侵权为案由的案件数量
从表1可以看出,近年来我国此类案件虽然并不少见,但是根据笔者对众多具体案例的研读可知,法院在涉及人格利益保护方面比较保守,绝大多数情况下仅支持法律明确规定的权利类型,如隐私权、名誉权等。对于法律无明确规定的人格利益,一般不予支持。如在“中国被遗忘权第一案”中,两级法院均不支持原告诉求,而且法院给出的理由是对于非类型化人格利益只有具备“利益正当性”和“保护必要性”时*参见北京市海淀区人民法院(2015)海民初字第17417号民事判决书;北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。,才予以支持。在笔者看来,法院在论证措辞方面容易引起误解。法院在判决中把人格利益分为了两类,一类是已类型化,另一类是未类型化。前一类当然受法律的保护,后一类受到法律保护需要满足3个条件:(1)不能与既有权利重合,(2)利益的正当性,(3)保护的必要性。在判决书中,法院已经确认“被遗忘权”为未被类型化的一般人格利益*“本案中,任甲玉希望‘被遗忘’(删除)的对象是百度公司‘相关搜索’推荐关键词链接中涉及到的其曾经在‘陶氏教育’工作经历的特定个人信息,这部分个人信息的确涉及任甲玉,而且该个人信息所涉及的人格利益是对其个人良好业界声誉的不良影响,进而还会随之影响其招生、就业等经济利益,与任甲玉具有直接的利益相关性,其对这部分网络上个人信息的利益指向的确也并不能归入我国现有类型化的人格权保护范畴,因此,该利益能否成为应受保护的民事法益,关键就在于该利益的正当性与受法律保护的必要性。”(参见任甲玉与北京百度网讯科技有限公司人格权纠纷一审民事判决书,http://wenshu.court.gov.cn/content/content?DocID=43d8366c-c47f-41be-ba77-69f1ce688973&KeyWord)。未被类型化的人格利益也是人格利益,都应置于法律保护之下。既然已经属于人格利益,那么,本案对原告的诉求予以支持某种程度上也是具有正当性和必要性的,而且适用的法律标准应该与已类型化人格利益相一致。但法院论证中却同时附加了未类型化人格利益获得法律支持的三个条件。笔者认为,对于条件(1),放在未被类型化的人格利益中讨论的权利当然是无法律明确类型化的人格利益,这是属于基础的概念判断问题。对于条件(2)和(3),根据《民法总则》第一百一十条规定*《民法总则》第一百一十条规定:自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。,公民人格利益受法律保护,这是其正当性和必要性的来源。法院真正的重点应该是在确认“被遗忘权”属于人格利益以后,首先明确原告主张的“被遗忘权”本身所蕴含的人格利益合法且具有正当性、必要性。但是权利本身的合法性、正当性和必要性并不意味着它必然受到法律保护,因原告的私权和法律所保护的他人合法商业信誉以及公众知情权相冲突,后者法益明显大于前者,所以,原告在本案中主张的应“被遗忘”(删除)信息的利益不具有正当性和受法律保护的必要性,不应成为侵权保护的正当法益。
虽然法院在论证中存在些许瑕疵,但若从司法实践角度审视,判决中所采用的人格权保护模式为我国涉及“被遗忘权”的诉讼提供了一种可行性方法。法官在论证中回避了被遗忘权的学理争议点,避免陷入隐私权与个人信息权的概念纠葛,主张适用《侵权责任法》第二条的人格利益,从而保障了此类型权利的合法性。此番论证超脱于被遗忘权的理论研究,采用隐私权和个人信息权的上位概念,仅从人格利益进行讨论,在我国被遗忘权理论和制度发展初期,是司法实践中一种可行的模式。但从判例研究视角审视,此种规避学理争议点的判决恐怕不利于在“个案-规范”中实现良性互动,使法学理论与司法实践不能相互促进*浙江大学章剑生教授倡导并实践在“个案-规范”的互动中发现法律思想;在“个案-规范”的分析框架中解释法律行为的合法性。。
另外,从表1中可以看出个人数据信息并没有得到比较有效的保护。这一点在涉及国内主要搜索引擎百度公司时表现得尤为突出。从2014年至今,涉及百度公司为被告或者共同被告的案例共66件,原告撤诉率约54.5%。而同期,我国民事案件撤诉率2014年约为22.8%,2015年约为23.8%,2016年约为23%*参见中华人民共和国最高人民法院公报,http://gongbao.court.gov.cn。,涉及百度的个人数据信息的案件撤诉率为普通民事案件的2倍多。可见,原告在面对百度这样的大公司维权时举步维艰。而在“被遗忘权第一案”中,从法院的相关表述亦可看出,法院对“被遗忘权”的保护比较消极,数据主体的诉求难以获得支持,这是我国确立被遗忘权本土化措施时必须要考虑的实情。
(二)合理界定其概念
上述案例体现了在信息网络高速发展的今天,被遗忘权的引进对于我国法治的完善确有必要。笔者认为,可以先将其作为一种理论学说在民法等相关领域予以研究,为将来立法打好理论基础。一项权利要得以适用必先明确其概念,被遗忘权也不例外。
首先,要明确该项权利是适用于网络领域的信息数据,在非网络领域与信息主体有关的数据都不能适用于被遗忘权,这是前提。其次,要明确被遗忘权只针对“现在进行时”,即信息数据是网络上的现存数据。再次,要明确被遗忘权的权利义务分别针对信息主体和信息控制者。关于权利主体,本文分为三大类,第一类是普通自然人。根据欧盟、美国的理论,被遗忘权具有人格属性,所以自然人成为权利主体毋庸置疑。普通自然人可以分为两小类:第一小类是成年人,对于成年人的个人数据信息保护力度应该加强;第二小类是未成年人,未成年人因其心智不成熟,所以在加强保护力度的同时,更要给予其特殊照顾,如像美国一样颁布类似“橡皮擦”法案的法律。第二类是社会公众人物。此类又要分为两个小类:第一小类是娱乐明星等商业化公众人物,其个人信息、隐私本来就是其炒作增加身价的一种手段,所以保护力度应该偏小一点,只有与公共利益无关且确属“不当、不相关、失效”的私人信息时才给予保护;第二小类是政治人物、革命烈士等政治性强的公众人物,其个人信息数据的保护应该严格要求,防止通过信息网络诋毁、造谣等,影响其名誉和安定团结。第三类是法人,根据欧盟、美国等的理论以及我国大多数学者的意见,法人并不享有被遗忘权*就笔者阅读范围而言,王利明、高完成、何培育、林颖、张建文等绝大多数学者均不赞成法人享有被遗忘权。。如王利明教授主张法人或者其他组织的信息资料受到侵害时可以通过知识产权法、反不当竞争法进行保护[21]。但是以笔者愚见,既然法人是法律上拟制化的人,那么我们也可以为法人创设一种拟制化的人格权,在不突破被遗忘权的人格权属性前提下作为法人享有被遗忘权的理论依据,这样法人就可以享有被遗忘权。虽然法人的商业秘密等大多数权益都是通过财产权的内容获得法律保护,但是法人在涉及被遗忘权的诉讼中往往以被告的身份出现。我们在民事法律关系中所调整的是平等主体之间的人身关系和财产关系,围绕被遗忘权所产生的法律关系大多也是民事法律关系,所以双方主体的平等是前提,在这里,笔者认为平等也应包括权利种类的对等。所以,主张法人也应享有被遗忘权只是形式意义上的,仅限于诉讼中作为被告时体现双方的平等关系,不对被遗忘权的人格权属性产生实质影响。此外,我国目前有众多小微企业法人,其商业信誉、商品声誉在网络上受到损害后很难达到救济标准,相关法律规定要么笼统,要么立案标准比较高*参见《中华人民共和国反不正当竞争法(2017年修订)》第十一条、二十三条。浙江省高级人民法院《关于部分罪名定罪量刑情节及数额标准的意见》第五十六条,见《刑法》第二百二十一条立案标准:(1)造成他人直接经济损失数额在50万元以上的;(2)虽未达到第(1)项规定的数额标准,但利用互联网或者其他媒体公开损害他人商业信誉、商品声誉的;(3)虽未达到第(1)项规定的数额标准,但造成公司、企业等单位停业、停产6个月以上,或者破产的;(4)犯罪手段卑劣,造成重大社会影响的;(5)严重情节的其他情形。。而且从诉讼经济和诉讼效率的角度讲,行使被遗忘权删除相关信息以达到保护小微企业商业信誉、商品声誉的目的,也更有利于节约司法资源和减轻法院案件压力。所以,我们也可以赋予小微企业法人某种程度上的被遗忘权。基于此,我们可以创设一个包括某些法人在内的具有中国特色的“被遗忘权”。最后,要明确被遗忘权不仅仅针对不恰当的、不相关的、过时信息,还应包括信息主体不想被公众知道的信息。有观点主张被删除信息应使信息主体社会评价降低,笔者认为此标准不利于个人权益的保护,为避免信息主体认为信息数据对其已造成极大困扰,而社会公众并无此认识的情况发生,社会评价降低是不必要的标准,如某些慈善家不想其捐款的金额等数据外泄。但适用被遗忘权要不违背公共知情权、言论自由权、发表权和信息网络传播权,以及为满足科学研究、数学统计、公众健康等的需要。
综上,我国被遗忘权宜采取宽泛的定义,即信息主体对于网络上现存的与自身相关的信息,在不违反例外的规定下,要求信息控制者删除其数据的权利。
(三)明晰其法律性质
笔者认为,被遗忘权具有人格权属性,是一种与隐私权和个人信息权均相关的权利*个人信息权是指信息主体对自己的个人信息所享有的进行支配并排除他人非法利用的权利。。民法上隐私权的客体是私人信息、私人活动和私人空间。隐私权的权利客体与被遗忘权的权利客体在私人信息方面是相同的。隐私权的侵权行为表现为窃取、刺探隐私,被他人闯入私生活空间,隐私被擅自披露等等,不限于网络空间,报纸、出版物等载体也可以成为侵权工具,而被遗忘权仅仅适用于网络,因而,被遗忘权可以被看成是“小隐私权”。但是笔者更赞成把被遗忘权看成是个人信息权在大数据时代的一种特殊表现,主要从信息范围和权能范围方面加以论证。首先,从信息范围来看,我国被遗忘权宜采取宽泛的定义(如前所述),而个人信息权是指信息主体对自己的个人信息所享有的进行支配并排除他人非法利用的权利[22]。个人信息权的信息不仅仅指网络上的个人信息,还包括书籍、报纸等一切信息载体所包含的个人信息,所以,个人信息权在范围上包含了被遗忘权。其次,从权能范围看,被遗忘权的权能核心在于享有删除的权利,而个人信息权除了删除还包括收集、管理、使用、处分等各项权利[23]。此外,从知识产权领域看,个人对其已发表的某些评论、资讯等享有版权,在行使被遗忘权的同时,也是对自己所享有的版权的一种处分,当从网上删除个人信息数据时,也是行使信息网络传播权的表现。在有些国家,发表权中赋予作者收回权,使其作品回归未发表状态,此与删除个人数据信息在某些方面也是有联系的。
(四)大数据时代下被遗忘权的本土化保护模式
近年来,随着网络的飞速发展,各国政府对信息资源越来越重视,各种有关信息数据方面的法规、政策纷纷出台,加快了信息与数据的发展与利用,从而促进了经济的发展。我国虽然没有规定被遗忘权,但是近年来一些规范性文件也对公民信息给予了与被遗忘权相似的保护,可以作为被遗忘权的本土化法律基础。从全国性法律审视,2017年6月1日生效的《中华人民共和国网络安全法》第四十三条规定,在特定条件下,个人有权要求网络运营者删除其个人信息,这是我国法律与被遗忘权类似的最新规定*参见《中华人民共和国网络安全法》第四十三条:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。。而最早的类似规定可以追溯到2010年7月1日生效的《侵权责任法》第三十六条,其规定在网络侵权中用户有权要求网络服务提供者采取删除等必要措施,这可以视为本土化规范的缩影*参见《侵权责任法》第三十六条第二款: 网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。。2012年11月5日,国家质检总局、国家标准化管理委员会批准发布的部门规章规定了个人信息的收集、删除等四个阶段,明确了删除个人信息的条件是“个人有正当理由认为不再可用的信息”*参见2012年11月5日国家质量监督检验检疫总局、国家标准化管理委员会出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.5条删除阶段的规定。。按此标准,删除需要正当理由,对此,笔者不太赞同,个人信息只要不违背法律例外规定,均可以自主控制,无需正当理由。另外,2012年12月28日,全国人大常委会审议通过了《关于加强网络信息保护的决定》,其第八条赋予了个人有权要求网络服务商删除其个人信息,这也与被遗忘权相类似*参见2015年6月8日国务院新闻办公室发布的《2014年中国人权事业的进展》白皮书。。从地方性法规审视,2017年3月29日,山东省人大常委会颁布法规规定消费者要求经营者删除个人信息的,经营者应当及时删除,法律法规另有规定的除外*参见2017年7月1日生效的《山东省消费者权益保护条例(2017)》第三十二条:经营者收集和使用消费者个人信息应当依法进行,不得非法加工、公开、出售或者向他人提供个人信息。未经消费者明确同意,不得向消费者发送商业性信息。消费者要求经营者删除个人信息的,经营者应当及时删除,法律法规另有规定的除外。。2011年,陕西省人大常委会颁布地方性法规,规定对超过时限的信息予以删除,以减少对信息主体的影响*参见《陕西省公共信用信息条例》第二十四条第三款:个人提示信息中的不良记录查询期限为五年,自不良行为或者事件终止之日起计算;超过五年的予以删除。。我国地方人大对于个人信息数据的保护力度也在加强。综上可见,我国已经大致具备被遗忘权的法律规范基础,为被遗忘权的本土化开创了良好局面。
为了使被遗忘权尽早确立,从私法上,我们要利用好近年来大数据迅速发展的东风,制定以被遗忘权为重要组成部分的信息保护法律,从而正式在国内把被遗忘权这一学理概念变为法律制度,进而开创独立的被遗忘权保护模式,使网络数据信息规范化管理。被遗忘权的私法确立也离不开公法的配合,我们要协调好政府部门、数据主管部门、网站、企业与信息主体之间的利益,从国外“开放数据”和“个人信息保护”的经验入手,各就各位,同时制定相应的配套制度体系,以达到信息保护的各项标准,成立各级政府层面的专门的信息保障机构,建立以网络数据服务提供者信息安全为评估对象的第三方监督组织。此外,针对我国目前个人面对主要搜索引擎供应商诉讼维权困难的问题,要提出本土化解决方案,如率先在涉及搜索引擎供应商作为当事人的案件中施行被遗忘权试点、加大被遗忘权宣传力度等。
五、结 语
“由于信息的无形性和易复制性,加之科学技术的飞速发展,个人信息时刻面临着被泄露和被滥用的风险。”[24]据此,为适应我国实际需要和契合国际化发展趋势,我国宜引入被遗忘权制度。当今网络大数据环境、数据开放运动、计算机与网络信息技术迅速发展,给我国公民个人的信息数据保护带来极大风险,但一项权利得以法律确定和实行必须对其定位与规范。我们要把国家政策、相关法律、网络市场、新型网络技术结合起来,在开放、共享、双赢的大数据环境下构建一个适应我国国情的被遗忘权发展框架。笔者认为,在信息法律框架下进行被遗忘权立法时,应当参考欧盟2016年通过的《一般数据保护条例》中有关的立法技术与美国关于被遗忘权的相关理论和司法实践,但同时也要探索出具有本土特色的被遗忘权。首先,从法律性质上把其看成是个人信息权在大数据时代的一种特殊表现;其次,被遗忘权的自然人主体应该进一步细化,使用不同的保护力度,形式上增加某些法人主体,以促进诉讼中当事人平等;再次,在客体范围上,不仅要针对“不当的、不相关的、过时的”信息,而且还要把属于个人的其他网络数据信息囊括进来;最后,在保护模式方面,权利主体在不违背例外规定和损害公共利益的情况下,无需正当理由即可删除其数据信息。