大数据时代被遗忘权的法律问题探究
2019-07-05孙玉荣郭彦旭
孙玉荣 郭彦旭
[摘 要]如何构建大数据时代适合中国国情的个人信息保护法律制度,以适应信息科技高速发展带来的挑战,是需要不断研讨和深入探究的重要问题。解决这一问题须充分运用新思维、新理念、新模式,科学选择适合我国国情的最佳保护路径,促进我国信息产业的健康有序发展。本文通过追溯被遗忘权的起源,结合欧盟立法和司法实践对我国“被遗忘权第一案”进行评析,通过中外司法案例的对比分析和对法学界相关理论研究的理性思考,对被遗忘权在我国的本土化之路提出了建议。
[关键词]大数据;被遗忘权;个人信息权;信息删除权;个人信息保护法
[中图分类号]中图分类号D923.4[文献标志码]A [文章编号]1672-4917(2019)02-0092-06
一、问题的提出
大数据开启了一次重大的时代转型,撼动了整个世界,给人们的交流方式和生活方式带来了深刻变革,同时也使个人信息保护和被遗忘权法律问题成为全球公众关注的焦点。“遗忘已经变成了例外,而记忆却成为了常态。”[1]这是维克托·迈尔-舍恩伯格在其著作《删除:大数据取舍之道》中写到的。大数据时代,人们似乎有了永恒记忆的能力。生活中无数的细枝末节都被悄无声息地以数据的形式记录在云端。精确的地理定位、浩如烟海的云端信息贮存、精准快速的云计算、成百上千的信息摄取工具……凡此种种,将人们的生活赤裸裸地暴露在互联网。自出生到死亡,现代信息技术使得每一个人被记录下来的数据,都永远留存在网络上,并且存在着随时可能被其他人发现的可能性。如果这些信息透露出个体的具体行为和与该行为相关联的隐私,那对于个人隐私保护来说,将是一个巨大的潜在的隐患。近年来,我国人肉搜索事件也是层出不穷,网民们之所以能够仅仅通过一小段视频、一张照片或只是几句文字描述便能迅速曝光当事人的过往经历、家庭信息、工作信息、住址电话等几乎所有的个人信息,这与永恒贮存、不被遗忘的网络信息数据有着密不可分的联系。对于这些永恒存储在网络空间的信息,当事人请求删除相关信息的权利被称为“被遗忘权”(the right to be forgotten)。大数据作为一把双刃剑,在给人们生活带来便利和高效的同时,也带来个人信息失控的风险。可以说,被遗忘权是大数据时代的必然产物。
大数据时代,伴随着云计算、转码技术、网络聚合等新技术的出现[2],数字化记忆的可访问性、持久性和全面性使得记忆成为常态,遗忘却成为例外。人们不由心生恐惧,感到无处可逃。互联网记住了你的一切,我们的过去正像刺青一样刻在我们的“数字皮肤”上,[3]遗忘成为奢侈品。如何构建大数据时代适合中国国情的个人信息保护法律制度,对被遗忘权中国本土化进行理性思考,希望本文能起到抛砖引玉的作用。
二、被遗忘权的缘起及其国外立法和司法实践
(一)被遗忘权的源起
被遗忘权最早的相关立法规定源起于法国,当时该概念“right of oblivion”与现今的“被遗忘权”(the right to be forgotten)不同,主要是对于罪犯提出:为了更好地回归社会,罪犯可以拒绝公开犯罪记录和服刑记录。英国1974年颁布的《罪犯改造法案》中也充分体现了这点:罪犯的犯罪记录消除后,他们申请社保和失业救济所受到的影响显著减少。直到如今,日本、加拿大等国在网络数据保护方面对被遗忘权的实践和应用也主要集中于消除犯罪记录和保护未成年人方面,适用范围并不如欧盟那样广泛。
(二)欧盟对“被遗忘权”的立法保护
1995 年欧盟《个人数据保护指令》中虽没有明确提出“被遗忘权”的概念,但其中的某些条款可以被解释为“被遗忘权”的引申含义。如,第 12 条(b)规定的每一个信息主体都有权“要求控制者消除或抑制信息”。2012 年欧盟《有关“1995 年个人数据保护指令”的立法建议》明确规定“被遗忘权”。欧盟议会于2016年4月14日通过并于2018年5月25日在欧盟成员国内正式实施的《通用数据保护条例》对被遗忘权的适用情形和限制条件进行了明确规制,在第17条规定“数据主体有权要求控制者擦除关于其个人数据的权利”,此即“被遗忘权”,也被称为“删除权”或“擦除权”。其实《通用数据保护条例》(General Data Protection Regulations,以下简称“GDPR”)草案中规定的是“被遗忘权和删除权”,直到提交审议的最终版本中才用了“删除权”这个概念。需要注意的是,数据主体的删除权并不是绝对的,只有在具备下列理由之一的情况下,被遗忘权的义务主体,即数据控制者才有义务无不当延误地删除个人数据:(1)就收集或以其他方式处理个人数据的目的而言,该个人数据已经是不必要的;(2)数据主体系基于同意且该等同意被撤回,并且在没有其他有关处理的法律依据的情况下;(3)数据主体反对处理,并且数据处理没有令人信服的正当处理理由;(4)个人数据被非法处理;(5)为遵守法定义务,个人数据必须被删除;(6)个人数据处理涉及向儿童提供信息社会服务(特别是在其未充分意识到处理风险的情况下,以儿童的身份作出的同意,尤应删除其在互联网上的个人数据)[4]。
(三)欧洲保护“被遗忘权”的司法实践
1.冈萨雷斯诉谷歌案
西班牙公民冈萨雷斯在發现自己1998年被《先锋报》刊登的拍卖房产以偿还社保债务的公告在数年后仍然能被搜索到时,于2009年11月和2010年2月分别向《先锋报》和谷歌西班牙分部提出删除相关信息的申请。他认为在还清债务后,事件已过去多年,该信息不再具有相关性,并且可能对个人产生误导性的负面影响。请求未果后, 2010年3月5日,冈萨雷斯向西班牙资料保护局(Spain Data Protection Agency)提出保护申请,请求《先锋报》移除或更改相关网页信息,并且请求谷歌公司和谷歌西班牙公司移除或隐藏指向《先锋报》的相关链接。2010年7月30日,西班牙资料保护局批准了他关于要求移除或隐藏相关链接的申请,但驳回了他关于《先锋报》须移除或更改相关网页信息的申请。此后,谷歌公司和谷歌西班牙公司针对该决定向西班牙全国高级法院提起了诉讼。法院认为此案涉及1995年欧盟制定的《个人数据保护指令》的内容,将该案移送欧盟法院,请求其对法律的适用做出初步裁决。2014年欧盟法院对该案做出判决并且支持了冈萨雷斯关于要求谷歌删除其关于拍卖信息的链接,使得“被遗忘权”在欧盟通过司法判例得以正式确认[5]。欧盟法院在审理、判决该案的过程中对被遗忘权的适用做出了详细明确的解释。
欧盟法院认为,搜索引擎服务提供商呈现给用户的搜索结果是经由其自身设定的索引程序自动而不间断地记录、收集、检索和整理已公开信息而产生的。尽管在这一过程中,有关信息已经被公开且搜索引擎可能并未对该信息进行任何加工,信息本身并未被更改,但这与个人信息“处理”(process)的界定并无关联。搜索引擎对于相关信息的“运算”(operation)本身已属于“个人资料处理”行为。在对于搜索引擎对信息处理的判定上,欧盟法院毫无疑问是十分严苛的。
在证明搜索引擎服务对相关个人数据信息已进行过处理行为后,欧盟法院进一步明确被遗忘权的义务主体,对数据控制者进行界定。《个人数据保护指令》在第2条d项中将数据控制者定义为被遗忘权的义务主体。尽管呈现的搜索结果仅仅是搜索引擎服务提供者对其他网站已公开信息的再次呈现,但搜索引擎扩大了该信息的传播范围,加快了该信息的传播速度,使得该信息更易被他人获取。并且,由于搜索引擎已经对相关信息进行过处理行为,其所呈现的搜索结果是一种对他人信息资料的整理(organise) 和集聚(aggregation)。比如,在搜索引擎上鍵入某个人的姓名、笔名、网名等具有指示性的关键词,搜索引擎所呈现的信息将会大致勾勒出该主体的形象轮廓。并且,信息所呈现的顺序、信息主体在不同时期所呈现的数据信息的多少也将对信息主体的形象产生微妙的影响。而在这一情形下,个人数据信息及隐私安全都面临着风险。综合以上两点,网络运营者和搜索引擎服务提供商作为数据控制者都承担保护个人资料安全的义务。由于搜索引擎本身并非信息的直接来源,因此搜索引擎服务提供者仅承担删除以当事人姓名为关键词的检索结果链接的义务,即移除指向有关网页的链接。搜索引擎服务提供者履行的删除义务独立,且与信息来源是否真实合法并无关联。
欧盟法院通过该案对被遗忘权的内涵做出详细而明确的解释,判决结果为诸多申请人指明了维权的方向。在该案判决执行后,谷歌公司成为了实现被遗忘权的突破口,成千累万的申请者蜂拥而至,删除个人数据信息的责任主要落在了谷歌身上。虽然欧盟在后来出台的《通用数据保护条例》中,数据主体可以请求所有“网络服务提供者”删除个人数据链接,即包括第三方网络平台或原本信息来源处,但在冈萨雷斯案中,该判决只针对搜索引擎运营商谷歌,而并未涉及原本信息来源网站及报纸。谷歌在删除数据时还面临着不同国家的信息存留、管辖问题。尽管谷歌一再表明网络地理定位限制了申请者所在地区的用户对其他国家网络链接的访问,以至于其他国家的网络链接并不会对申请者在其生活范围内造成影响,但部分原告不满足于仅仅在自己所在的国家网络内删除相关信息,他们希望谷歌在其所要求的网络范围内全部删除相关信息,欧盟法院也支持原告的该项诉求。尽管谷歌已勉强从欧洲域名站点中删除了相关链接,但欧盟要求其在全球范围内执行该操作,希望谷歌不滥用其对市场的支配地位,做一个“公正的中立平台”。[6]在此种背景下,诉讼变得更为冗长复杂,谷歌在背负巨大压力履行义务时也面临着极大的技术挑战:在现今这样一个数据爆炸和数据飞速传播的时代,想要在数个国家的网络内将原告所要求相关个人信息完全删除并非易事。不仅如此,谷歌仅有权删除存在于自己数据库中的信息,而现今的数据在传播过程中大多已被第三方收录,这往往涉及数据控制者将信息外包或分包给第三方的问题,此时谷歌并无权利对第三方所控制的数据信息进行处理。如此,新的相关网页链接不断产生,谷歌很难确保相关信息不再出现在谷歌的搜索结果中,如若出现,则又将产生新的请求。尽管谷歌在面对欧盟法院制裁的压力下尽力积极配合实现众多申请人提出的被遗忘权,但公众需求本就纷繁琐杂,众口难调。
2.英国保护“被遗忘权”的司法实践
2018年4月13日,英国高等法院宣布一名英国商人以被侵犯被遗忘权为由诉谷歌一案的胜诉判决,这也是世界范围内第一次出现的有关删除犯罪记录以保护被遗忘权的胜诉判决。犯罪记录作为一种特殊的信息,其是否应在广阔的互联网空间中被删除一直是颇具争议的问题,而此前大多数国家所持态度为支持对犯罪记录、犯罪信息的隐藏和保留,其处理行为与此案的信息删除存在区别。但是,英国高等法院所持观点并非是将所有的犯罪记录删除。是否删除,应视具体案情而定。该案审理法官马克·沃比(Mark Warby)认为,被遗忘权的适用应考虑相关信息对公众的影响程度。他在另一相似案件中,则做出了截然不同的判决。在另外一起同样为英国商人请求保护其被遗忘权的案件中,法官并未支持其诉求。其原因在于两案中的商人过去的罪行不同。在胜诉的案件中,该商人在10年前因截取通讯而获罪,服刑6个月。而在败诉的案件中,该商人在10年前因做假账而获罪,服刑4年。法官认为,前案商人所犯罪行较轻,其罪行只是侵犯第三方隐私,并未涉及公共利益,因此应支持其诉求。而后案商人的罪行有误导公众的嫌疑,因此其相关信息无须删除,这有利于保护公众利益。法院认为,他们将谨慎地遵守被遗忘权,努力实现公众获取历史信息的权利、相关信息对个人的具体影响和公共利益三者之间的平衡。
三、我国首例“被遗忘权案”评析
任甲玉诉北京百度网讯科技有限公司(以下简称百度公司)案被称为我国“被遗忘权第一案”,该案二审于2015年12月9日审结。虽与欧盟“冈萨雷斯诉谷歌案”的案情相似,但该案的最终判决结果却与之完全不同,审判人员在分析案件时所持的观点也大相径庭。
任甲玉在发现以其名字为关键词的搜索结果在百度搜索引擎上呈现,且其中有关他从业经历的部分对其职业生涯、个人生活造成影响后,请求百度公司删除相关链接,但百度公司未作回应。后任甲玉起诉百度公司,请求其删除相关链接。北京市海淀区人民法院在一审判决中驳回了任甲玉的全部诉讼请求。后任甲玉上诉至北京市第一中级人民法院。二审法院驳回上诉,维持原判。此案的争议焦点与“冈萨雷斯”案存在相似之处。
首先,北京市海淀区人民法院与欧盟法院关于搜索引擎对资料的“处理”都做出了解释。相较于欧盟法院对于“处理”的严格定义,北京市海淀区人民法院认为只有存在人为干预的因素,才能认定为搜索引擎服务提供者对资料进行了“处理”行为。而在百度公司的检索结果中,相关检索词是根据其他用户之前在网上的搜索习惯,在经过与当前检索词之间的关联度计算自动产生,并未出现任何人为干预的异常情况。因此,百度公司并未对个人信息资料进行过任何“处理”。
其次,两地法院都對搜索引擎服务本身是否对用户产生侵权行为进行了解释。欧盟法院认为搜索引擎对信息产生了聚集效应和扩散效应,能使信息集中展示以及在很大程度上扩大信息扩散的范围。而北京市海淀区人民法院认为,就相关搜索服务模式而言,其初始功能仅系动态反映过去特定期间内网络用户所使用检索词的内容与频率等客观情况,该模式本身并无实质性侵权目的,因此并不构成对任甲玉姓名权、名誉权的侵犯。在诉讼请求中,任甲玉还提到了“被遗忘权”。海淀法院认为,“被遗忘权”仅在国外有关法律及判例中有所涉及,但在我国法律中并无明文规定,因此不存在主张民事权利保护的基础,不能成为我国此类权利保护的法律渊源。
在笔者看来,两案中部分案情细节的不同导致了两案最终判决结果的不同。其一,两者需要“被遗忘”的信息距离其提出请求的时间跨度差距较大。冈萨雷斯要求“被遗忘”的是11年前拍卖房产还债的负面新闻,而任甲玉要求“被遗忘”的仅仅是近1年以前的信息,相关信息对当事人目前的生活、事业来说关联性较大。其二,两案信息主体在社会中的影响不同。冈萨雷斯只是一名普通的西班牙公民,但任甲玉作为一名从事管理学领域教育工作的从业人员,其个人经历、自身形象都将影响相关教育机构、学生对其评价与判断。任甲玉在其从业领域为公众人物,而公众人物这个身份在是否享有被遗忘权的学术讨论上尚存争议。再者,欧盟法院对谷歌的判决有政治博弈之嫌。因此,两案判决结果的不同也是有迹可循的。在评判标准上,欧盟法院“冈萨雷斯案”中采用的是“危险原则”,而我国任甲玉诉百度一案中原告欲引用“实际损害原则”,虽然法院没有对被遗忘权侵权做出认定,但判决书中却提出了对被遗忘权的保护思路。
四、“被遗忘权”中国本土化的理性思考
自从欧盟提出“被遗忘权”的概念,特别是冈萨雷斯诉谷歌案判决做出后,欧美学者对于被遗忘权的性质、适用范围和正当性等问题展开了热烈讨论。及至我国“被遗忘权第一案”的任甲玉诉北京百度网讯科技有限公司案做出判决后,中国法学界对被遗忘权的相关研究论文更是有增无减,笔者在CNKI-中国知网(期刊、会议、学位论文、报纸)数据库以“被遗忘权”为主题进行检索查询的结果有368篇,而且基本都是近五年发表的,其中2018年以后的文章更是明显增多,占139篇,可见法学界对此问题十分关注。尽管如此,关于被遗忘权的内涵界定、法律性质及如何引入中国的争论一直也并没有停息。迄今为止,被遗忘权在全球法律界还是一个模糊的概念,理论界和立法司法实践对其并没有做出一个严谨的法律定义。梅夏英教授认为,被遗忘权不完全属于个人信息法保护的范畴,其背后的法益复杂,不排除需要公法资源支持的可能性[7];有部分学者主张将被遗忘权纳入隐私权的范畴,如吴飞教授将被遗忘权视为隐私权在互联网时代延伸出来的一种新的权利类型[8];彭支援先生认为被遗忘权属于隐私权的范畴,是隐私权的延伸。[9]虽然赞同以上观点的学者大有人在,但也有很多学者主张将被遗忘权归为个人信息权的范畴[10],认为其属于个人信息权的一项重要内容[11],笔者亦赞同这种观点。隐私权虽然可以作为被遗忘权的法理渊源之一[12],但被遗忘权在其基础上又有新的发展,二者虽存在着一些共同之处,区别也很明显。隐私权是自然人享有的私人生活安宁与私人生活信息依法受保护,不受他人侵扰、知悉、使用、披露和公开的权利[13]。被遗忘权的内涵与此并不相同,其权利的核心强调的是对个人信息的控制。其在权利外延方面,也远超出隐私权的范畴,除了私人生活安宁与私人生活信息,还包含着公开的信息,这些公开的信息既包括自主公开的信息,也包括在合法情况下被公开的信息,如罪犯的犯罪记录、公民的负债情况等。与隐私权相比较而言,个人信息权更容易获得法律的保护,它体现出的是信息主体对其个人信息的控制权。将被遗忘权归为个人信息权的重要内容,与隐私权一样作为一项具体独立人格权列入民法典人格权分编是比较合理的制度安排。杨立新教授在其发表的文章中提出了比较实用的做法:在理论上,他同意将被遗忘权归入个人信息权的范畴;在司法实务上,他又认为目前将被遗忘权作为隐私权的内容比较合适,这样可以依据现有的保护隐私权的法律规定对其进行保护。他认为这是一个两全其美的选择[14],其实这是一个无奈之举。
虽然我国目前已有多部法律、法规和部门规章涉及个人信息保护的规定,如《民法总则》《消费者权益保护法》《网络安全法》《电子商务法》和《刑法》都作出了相关的规定。但从总体上看,关于个人信息保护的立法还呈分散状态,急需制定一部有针对性的专门的《个人信息保护法》来加以规范。2003年,国务院信息化办公室正式部署了《个人信息保护法》的立法研究工作,2年后《个人信息保护法(专家建议稿)》也已完成。此后每年两会期间,记者都会对全国人大代表、政协委员关于个人信息保护立法的建议、提案进行报道,但直至2018年9月《十三届全国人大常委会立法规划》公布提请的审议法律草案中才将其正式列入其中。2019年3月4日举行的十三届全国人大二次会议新闻发布会上,大会发言人回答记者提问时表示要积极推进数据安全和个人信息保护立法。2019年全国两会期间,亦有多名人大代表委员建议,应该明确界定数据的使用权、管理权和交易权。2017年10月1日实施的《民法总则》将“个人信息”作为自然人享有的民事权利予以保护,但关于个人信息的性质并未加以明确,这无疑为《个人信息保护法》留下充足而广阔的立法空间,但也使得学界关于个人信息的权利属性问题难以达成一致。我国《民法典草案》(人格权编)第815条规定,有下列情形之一的,自然人可以请求信息持有人及时删除其个人信息:(1)存在非法收集、使用信息的行为;(2)持有侵害自然人合法权益的信息;(3)持有的信息储存期限依法已经届满;(4)根据收集或者使用的特定目的,信息持有人持有信息已经没有必要;(5)其他没有正当理由继续持有信息的情形。[15]也有学者和笔者持有相同的观点,认为应在《民法典》(人格权编)明确规定个人信息权[16]。
笔者认为,被遗忘权是大数据时代的个人信息权在网络中的特殊表现形式。在将其引入中国本土化时,应采用个人信息删除权的概念,更加简明易懂,易为我国公众所接受和理解,也可与我国已有的关于个人信息保护的法律法规的相关制度规定很好地衔接。2017年6月1日起施行的《中华人民共和国网络安全法》第四十三条规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息”,网络运营者应当采取措施予以删除。在将来出台的《中华人民共和国个人信息保护法》中应明确规定个人信息权,将信息删除权作为个人信息权的内容加以明确规定,界定其内涵和外延,并对其权利主体、义务主体及其具体适用情形和限制条件进行明晰规定,不能简单照搬照抄国外的立法规定,而应该考虑到我国信息产业发展的实际。目前,只有欧盟及为数不多的国家和地区,如日本、俄罗斯、中国香港地区等,对被遗忘权予以承认。因此在将“被遗忘权”引入中国本土化的过程中,如何构建我国的个人信息保护制度以适应信息科技高速发展带来的挑战,是需要不断研讨和深入探究的重要问题,须充分运用新思维、新理念、新模式[17],科学选择适合我国个人信息保护制度的最佳路径,促进我国信息产业健康有序发展。
[参考文献]
[1][美]维克托·迈尔-舍恩伯格著:《删除:大数据取舍之道》,袁杰译,浙江人民出版社2013年版,第3页。
[2]孙玉荣:《互联网文化产业发展与知识产权保护》,《北京联合大学学报(人文社会科学版)》2016年第2期。
[3]See J.D. Lasica:The Net never forgets, Salon, Nov.26,1998.
[4]歐盟《一般数据保护条例》(GDPR)中文版,丁晓东译,http://www.360doc.com/content/18/0531/18/43460550_758571780.shtml,2019-02-15。
[5]See Google Spain SL v.Agencia Espa1ola de Protección de Datos (May 13, 2014), INFO CURIA-CASE-LAW OFTHE COURT OF JUSTICE, http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&doclang=EN.
[6]Financial Times, Google under renewed attack in Europe on dominance and “right to be forgotten”, Nov.27,2014, Jeevan Vasagar,Murad Ahmed,Alex Barker in Berlin,in London,in Brussels.
[7]梅夏英:《论被遗忘权的法理定位与保护范围之限定》,《法律适用(司法案例)》2017年第16期。
[8]吴飞:《名词定义试拟:被遗忘权(Right to Be Forgotten)》,《新闻与传播研究》2014年第7期。
[9]彭支援:《被遗忘权初探》,《中北大学学报(社会科学版)》2014年第1期。
[10]万方:《终将被遗忘的权利——我国引入被遗忘权的思考》,《法学评论》2016年第6期。
[11]张里安、韩旭至:《“被遗忘权”:大数据时代下的新问题》,《河北法学》2017年第3期。
[12]邵国松:《“被遗忘的权利”:个人信息保护的新问题及对策》,《南京社会科学》2013年第2期。
[13]王利明:《民法》,中国人民大学出版社2010年版,第515页。
[14]杨立新、韩煦:《被遗忘权的中国本土化及法律适用》,《法律适用》2015年第2期。
[15]《民法典各分编草案》,http://www.npc.gov.cn/npc/lfzt/rlyw/node_35174.htm,2019年2月15日。
[16]常健:《论人格权法(编)中的个人信息权的制度完善——评〈中华人民共和国民法人格权编(草案)·民法室室内稿〉相关规定》,《四川大学学报(哲学社会科学版)》2018年第3期。
[17]孙玉荣:《大数据时代我国文化创意产业知识产权保护的路径选择》,《北京联合大学学报(人文社会科学版)》,2014年第2期。