被遗忘权在欧盟法上的创制及对我国启示
2019-02-15闻荣芝周龙杰
闻荣芝,周龙杰
(长春理工大学,吉林长春,130022)
一、被遗忘权之基本理论
(一)正本清源:被遗忘权的基本内涵
在漫长的社会发展中,遗忘是人类的常态,而记忆是例外。但是,随着电子信息科技和网络全球化的快速发展,以往有关记忆与遗忘的平衡被打破并改变。以信息技术为支撑,遗忘似乎已经变成例外,而记忆成为常态[1]。信息时代之前,信息的记录需要一定的成本且大多数信息的可靠性、关联性会随时间的推移而降低。而目前信息存储空间及储存成本不再受过多限制,海量信息的传播和信息挖掘技术的成熟,使得个人信息的重要性逐渐崭露,大部分国家及地区将个人信息保护提上了立法日程。1995年,欧盟出台的《关于涉及个人数据处理的个人保护以及此类数据自由流通的指令(95/46/EC)》(以下简称《指令》)规定公民可以在其个人数据不再需要时提出删除请求,以保护个人数据信息,这被认为是被遗忘权的雏形。2016年,欧盟议会和理事会通过了《统一数据保护条例》(以下简称《条例》),其中第17条规定了删除权和被遗忘权(right to be forgotten and erasure),首次明确以立法形式确认了被遗忘权。
被遗忘权来源于现代社会对于个人信息保护需要的增强,其设立旨在使公众有“重新开始”的权利,其根本是保护信息主体的人格尊严。被遗忘权的功用主要体现在个人能够掌握关于自身过往的信息,避免网络上留存数年、已过时的信息对现在乃至将来的生活产生负面影响。因此,被遗忘权所要“遗忘”的应当是网络中的过时的、真实且负面的个人信息。法的功能在于调节、调和各种错杂和冲突的利益[2],并非所有真实、负面的信息均可通过行使被遗忘权被删除。公共利益与个人信息之间的利益衡量是保证社会规范稳定的必然要求,因此网络上发布的,与公共利益密切相关的负面信息,例如犯罪记录涉及公共安全就不能因信息主体的要求而随意被删除。另外,被遗忘权的权利产生背景来自于互联网时代信息存储永久性和存储空间的无限性。所以被遗忘权应当仅适用于网络信息,纸质信息的侵权可以通过其他人格权予以救济。
综上,笔者认为,被遗忘权是指对于已被发布在网络上、不涉及公共利益、过时、真实但负面、继续保留会致使其社会评价降低的信息,信息主体要求信息发布者、数据控制者予以删除的权利。
(二)秉要执本:被遗忘权之权利属性
被遗忘权通过删除过时、真实但负面的信息实现信息主体对个人信息的控制与决定。根据传统民法理论对民事权利或民事利益的划分标准,应将被遗弃权定义为人格利益,所以被遗忘权属于人格权范畴。被遗忘权具有保护人格权益之天然属性,但究其根本,此权利所指向的权利内容是删除数据、信息的要求,并不具备实体的内容[3]。被类型化的、法定的人格权必须涵括实体内容,需要对特定人格利益进行保护,所以被遗忘权实际上是指实现保护人格利益的方式,而不是一种具体的人格权。另外,以民事权利效力作为民事权利的分类标准,又可将民事权利分为绝对权、相对权[4]。义务人无需实施行为即可实现的民事权利为绝对权,它是一种能够对抗所有不特定人的权利。相对权是指必须通过义务人实施一定的行为才能实现,只能对抗特定人的权利。针对被遗忘权,其义务主体主要是信息控制者,并没有绝对权的对世性,而人格权是典型的绝对权,所以被遗忘权不是一项独立的人格权。
目前我国多数学者认为应将被遗忘权归入隐私权的范畴。隐私权的保护客体是隐私,隐私包括私人生活秘密和私人生活安宁[5],私人生活秘密多属于信息范畴,而私人生活安宁和信息保护无直接联系。私人生活秘密中的“秘密”往往是个人信息中较为重要和敏感的部分。被遗忘权是通过保护个人信息而实现人格权益的维护,个人信息中的另一些敏感信息,则与隐私权所保护的私生活秘密相重叠;而部分个人信息不具有敏感性,非属隐私,是需使社会成员知晓以便信息主体进行各种社会正常合法活动的信息。如个人的姓名,属于个人信息却不是需要保密的敏感信息;个人的出生日期、身份证件号码等,一般情况下需要作为隐私保护,但是在也特定情形下须向公众披露。隐私权保护的重心在于防范个人秘密不被非法披露,对隐私的消极保护而非对其的积极利用,被遗忘权所保护的信息并不都属于个人敏感信息,因此不能将被遗忘权这一人格性权益完全归入隐私权范畴。况且,被遗忘权的提出正是因为传统隐私制度在特定领域已不宜继续适用。个人信息带给信息主体不利的后果并非由于他方所实施的侵权行为,而是在于信息的合法公开状态,在此种情况下传统的隐私权侵权已无法救济当事人权利。
综上,笔者认为应当将被遗忘权纳入个人信息权的保护范畴。虽然《民法总则》111条宣示了民法对个人信息的保护①《民法总则》111条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传播他人个人信息,不得非法买卖、提供或公开他人信息。,但个人信息权目前是否为法定权利还莫衷一是[6]。有学者认为应对个人信息建立专门的人格权保护规范,以区别于其他人格权的保护[7],即“个人信息权”——“信息主体依法对其个人信息享有的支配、控制并排除他人侵害的权利,包括信息的决定权、保密权、查询权、更正权、封锁权、删除权和报酬请求权”。被遗忘权和删除权在内容和实施方式上存在着相同之处,即请求删除的权利。为了避免权利体系的混乱可在日后的个人信息立法中将被遗忘权纳入删除权的保护情形当中。
二、欧盟法上被遗忘权之引介
(一)冈萨雷斯诉谷歌西班牙案
“谷歌西班牙案”是由西班牙公民马里奥·考斯特加·冈萨雷斯向西班牙数据保护局提起申诉,控告《先锋报》、谷歌公司及谷歌西班牙分公司侵犯其数据隐私权,案件起因于网络用户通过谷歌搜索冈萨雷斯,搜索结果显示了《先锋报》报纸刊登冈萨雷斯数年前房产因社保欠费而被强制拍卖的内容[8]。冈萨雷斯认为此项内容在数年前已经得到解决,但因其网络的持续存在构成了对其数据隐私权的侵犯,并要求《先锋报》删除相关版面,同时要求谷歌公司及谷歌西班牙删除相关界面,使这些内容不再出现于搜索结果之中。西班牙数据保护局认为,基于出版自由并且出版内容真实合法,所以《先锋报》无错,但支持了对谷歌公司及谷歌西班牙分公司的控告,要求他们采取措施在搜索结果中删除此项内容。谷歌公司不服诉至西班牙最高法院,西班牙最高法院认为该案的问题在于《指令》在互联网背景下的解释,所以又将该问题交给了欧洲法院。最终欧洲法院于2014年5月13日对该案作出判决,确定《指令》适用于互联网搜索引擎,同时确定了数据主体享有被遗忘权。
该案争议焦点在于:首先,能否将谷歌公司认定为数据控制者。从案情可知,谷歌公司对电子数据的收集、处理、组织的目的在于便于公司用户获取数据,此行为应该被认定是对数据处理目的和方式的决定行为。另外,通过谷歌公司的搜索引擎可以使公众通过明了的数据列表更便利地获取信息进而增加数据传播的速度和范围。因此,笔者认为搜索引擎大于原始数据发布对数据主体的影响,继而可以认定“冈萨雷斯案”中谷歌公司为数据的控制者。其次,谷歌公司是否应删除相关搜索引擎链接及数据。欧盟法院主要以《指令》第6条、第7条和第12条的规定为依据判决谷歌公司删除与冈萨雷斯相关的搜索数据。《指令》第6条的主要内容为数据控制者对数据质量的保证义务,详细来说是指:数据控制者在处理数据时应当依照合法、合理的原则,应适当、不过量地对相关数据进行收集处理,若随后出现与收集处理目的相矛盾的状况时应采取一切合理措施对无关或不准确的数据进行删除或者更正。数据的储存时间不应超过收集、处理数据目的所需时间,除非为了历史、统计或科学目的时才可适度延长数据存储时间。就本案而言,冈萨雷斯的房屋在16年前已被拍卖,如今冈萨雷斯早已开始了新生活,随着时间的流逝,这则消息与冈萨雷斯的相关度降低,已经超过了合理的存储时间,也无存储的必要。《指令》第7条规定了数据控制者对数据处理的合法理由。此时,需要在数据控制者的合法权益和所存在的其他合法权益之间进行价值衡量。在“冈萨雷斯诉谷歌案”中涉及到了冈萨雷斯的基本权利和公众自由获取数据权利之间的冲突。欧盟法院认为,一般来说公众的利益应让位于数据主体的基本权利。但当数据主体为公众人物,那么在公众获取信息的权利和公众人物个人的利益之间应当侧重对前者权利的保护。在本案中,并非身为公众人物的冈萨雷斯,其房产拍卖信息在谷歌搜索引擎中显示已影响到他的生活安定,可以认定为个人敏感信息,因此冈萨雷斯的基本权利更值得法律的保护。《指令》第12条(b)款规定当数据处理与该指令规定相背时,数据主体有权要求数据控制者更正、删除或者限制数据。综合上述规定和分析,笔者同意欧盟法院的观点,即认定谷歌公司有删除冈萨雷斯房产信息的义务。
(二)欧盟法院创制被遗忘权的意义
谷歌西班牙案判决为互联网时代创造了被遗忘权这一新型权利,同时以判例的形式解释了《指令》中的基本概念和具体规定,把谷歌公司的搜索引擎定性为数据、信息控制者,明确了被遗忘权保护的信息内容范围,该案的判决对于个人信息保护具有巨大意义,也为互联网时代世界范围个人信息保护立法提供了参照。目前我国的移动互联网呈飞速发展态势,网络上记载、存储、传播的个人信息呈指数型激增,近乎所有人的个人信息都被留存在网络上。被遗忘权的出现保护了信息主体在网络中的人格尊严,而人格尊严越来越被重视已然成为趋势,所以欧盟《条例》的具体规定也为我国日后立法和司法提供了经验。
三、被遗忘权在我国本土化分析
(一)与现行法律体系的契合性
目前我国尚未订立个人信息保护法等相关法律保护被遗忘权,但从现有法律制度中可探知与被遗忘权相关的规范。
2012年,全国人民代表大会常务委员会通过了《关于加强网络信息保护的决定》(以下简称《决定》),规定公民有要求网络服务商删除或者采取措施禁止泄露个人身份、散布个人隐私等侵害其合法权益网络信息的权利。此《决定》对公民要求删除侵害信息的权利做出了概括性的规定,但是对权利行使的方式、法律责任、服务商免责情形等均未做出详细说明。
以工信部和其他多部门联合制定的我国首个个人信息保护国家标准——《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)于2013年2月1日开始正式实施。在取得信息主体明确同意授权后方可对信息主体的敏感信息进行收集、利用的规定成为该《指南》的显著特征。《指南》详细规定了对个人信息的删除规定,当个人信息收集目的达成,超出收集阶段告知的信息留存期限以及个人信息管理者由于破产或者解散而无法继续完成信息处理目的等正当理由发生时,个人信息主体有权要求信息控制者及时删除相关信息。该《指南》是国内目前关于个人信息删除最为全面的规定,也是与欧盟被遗忘权最为接近的规定,但是由于其法律位阶比较低,笔者认为对信息主体权利不足以进行全面保护。
2016年11月1日,全国人大常委会表决通过了《中华人民共和国网络安全法》。其中第43条规定了信息主体发现网络运营者或数据控制者违反法律或者合同约定的方式收集使用其信息或者发现个人信息有错误时有权要求网络运营者删除或者更正的权利。该条规定是对《侵权责任法》中网络侵权的特别法规定,赋予了公民个人信息的删除和更正的权利,但规定删除权行使的依据是法律规定和双方约定,过于狭窄地限制了信息主体保护其权利的范围。
2019年1月1日起实施的《中华人民共和国电子商务法》第24条也规定了电子商务经营者在收到用户删除信息的申请时,应当在核实身份后及时删除用户信息,用户注销的,应当立即删除该用户的信息。
(二)信息主体要求确立被遗忘权的现实需求性
科技的发展改变着生活方式,网络在便利衣食住行全方位需求的同时也带来了信息泄露的潜在负影响。例如通过应用软件生活缴费、预约打车等线上服务的前提是在相应应用软件上注册填写相关的个人信息,如姓名、性别、年龄、联系方式,甚至是身份证件号码。相关信息不仅被应用软件开发商所掌握,也可能被网络传输者获取。网络大容量收集数据、永久存储信息的功能使所有上传至网络的数据都会被保存下来。计算机技术和大数据技术的发展成熟对个人信息安全造成了潜在威胁,提出了巨大挑战。在这种趋势下,确立被遗忘权可使信息主体要求信息控制者删除其个人信息的请求具有权利依据,并能有效对信息主体的合法权益进行保护。
国内“被遗忘权第一案”任甲玉诉百度公司案,任甲玉以百度公司为被告在北京海淀人民法院提起诉讼,要求其删除“任甲玉”为检索词所显示的六个关键词并赔偿其精神损害等。本案中一审法官在判决中提出了一般人格权保护人格利益的三个具体标准,即“未被类型化的人格利益,且具有利益的正当性和保护的必要性”①北京市海淀区人民法院(2015)海民初字17417民事判决书,同时法官认为,本案所涉的原告个人信息的性质尽管属于未被类型化的人格利益,但该利益无正当性且不具备保护的必要性,因此将其所有诉求驳回。该案件也体现出越来越多信息主体有删除其自身信息的需求,虽然一审二审均驳回了原告的诉讼请求,但这并不意味着我国没有被遗忘权保护的土壤,原告只是因不满足保护人格利益的三项标准而未得到法院支持。
四、我国“被遗忘权”的制度构想
(一)建立个人信息保护法
在现行法律体系下,对被遗忘权的保护存在两种可能的路径:第一种路径是通过隐私权对其进行保护。被遗忘权虽发端于隐私概念,但二者在内涵上并不相同,隐私权无法完全涵盖被遗忘权,所以该路径无法对被遗忘权进行全面保护。第二种路径是通过一般人格权对其进行保护。人格利益受到人格权的保护,至于是否被类型化为法定权利在所不问。就后者而言,必须不能涵盖到既有类型化权利之中且具有利益的正当性及保护的必要性,三者必须同时具备。法律应具有明确化和具体化的特性,通过一般人格权对被遗忘权进行保护亦不是长久之计。
通过建立《个人信息保护法》以实现对被遗忘权的有效和全面的保护不失为明智之举。从价值含义、保护范畴、权利行使方式这三个角度考察,个人信息权能够对被遗忘权实现全面涵括。首先,从价值角度看,个人信息权和被遗忘权都体现信息主体的信息自决权价值,同时,二者都同时包含物质性利益和精神性利益;其次,从保护范围来看,能够被识别的个人信息属于个人信息权的保护范围,而网络中能被识别的个人信息既属于被遗忘权的保护范围,也能受到个人信息权的保护;再次,在权利行使方式方面,个人信息权可以通过信息的收集、管理、处分等方式行使,而被遗忘权的行使方式是限制使用、删除信息,也能够被个人信息权所涵盖。《民法总则》第111条关于个人信息保护的宣示性条款预示着个人信息权正在演变为一项具体人格权,在个人信息保护立法中写入个人信息删除权,是保护被遗忘权合理有效的方式。
(二)侵权责任法上的保护
如法谚所云,无救济则无权利。对于被遗忘权的保护,不仅要在民法法律体系当中给予其一席之地,更要给予权利人以权利救济的方式,即侵权责任法上的确认。
1.归责原则。在具体确定侵权行为构成要件之前应当首先确定被遗忘权侵权的归责原则。对于这一问题,有观点认为,信息主体相比于信息控制者举证能力较差,所以应当适用过错推定原则[9]。在举证责任上,信息主体承担违法行为、损害事实、因果关系的证明责任,信息控制者须证明自己没有过错,如果证明不足或无法证明,则推定过错成立,信息控制者承担侵权责任。但在《侵权责任法》明文规定的过错推定情形当中,受害方较侵害方相比无论经济实力抑或现实状况多是举证困难的一方。但对于被遗忘权,信息主体只要证明信息控制者的拒绝删除行为即可,与法定过错推定情形中的举证难度不可比拟,所以笔者认为不适用过错推定责任。同时,信息主体的举证责任与受环境污染损害者证明其健康上的损害与污染企业排污行为之间存在因果联系的难度相比如同云泥之别,所以更不适用无过错责任。综上,被遗忘权侵权归责原则适用过错责任原则。
2.构成要件。从我国《侵权责任法》侵权行为一般构成要件具体阐述被遗忘权侵权的构成要件:一是侵权行为,即信息主体向信息控制者提出删除请求后,信息控制者拒绝履行义务。二是损害结果,即信息控制者受到信息主体请求后未及时删除信息,而给对方造成不良影响,就应当认定为发生损害结果。三是因果关系,即信息控制者不履行删除义务和信息主体的损害结果之间存在因果关系。四是过错,即信息控制者明知应当履行删除义务而拒绝履行,或因疏忽大意而未履行删除义务,则应当认定为具有过错。
3.责任承担方式。被遗忘权侵权遵循一般侵权的责任承担方式,根据《侵权责任法》第15条的规定,结合被遗忘权的特点,被遗忘权侵权的责任承担方式包括停止侵害,排除妨碍,消除危险,赔偿损失,赔礼道歉,消除影响、恢复名誉。但由于被遗忘权属于人格权范畴,对其应当有特殊的规定,即精神损害赔偿。《侵权责任法》对于精神损害赔偿做出了原则性规定,《最高人民法院关于审理精神损害赔偿案件适用法律若干问题的解释》对具体操作规则做出了详细规定,对于被遗忘权侵权,被害人遭受精神损害的,可以向人民法院起诉请求赔偿精神损害。
4.信息控制者的免责事由。法律既考虑对公民个人信息权利的保护,也顾及信息控制者对信息合理、有效使用的权利,因此应当考虑被遗忘权与其他权益的平衡。欧盟《条例》规定,在遵照必要性原则的基础上,为行使表意与信息自由的权利、遵从法律义务,维护公共利益或行使授予控制者的官方权力去完成公务,与公共卫生领域方相关的公共利益,维护公共利益而存档,出于科学或历史研究、统计目的,或为法律赔偿的立案、调查和辩护,继续保留个人资料可被认为是合法的。这为我国的被遗忘权立法中免责事由的规定提供了参考。