文| 汪子辰 韩德民

引言

2014年欧盟做出的“谷歌诉冈萨雷斯案”的判决，标志着被遗忘权在司法实践中以一种新的权利形态被认可；2015年我国被遗忘权第一案“任甲玉诉百度案”也在海淀法院审结，但一审、二审法院都驳回了原告的“被遗忘”请求。两起案件的基本案情、诉讼请求、诉讼主体（一方为自然人，一方为搜索引擎公司）都具有高度的相似性，但最后却出现了不同的裁判结果，似乎意味着我国的司法实践对“被遗忘权”这一舶来品的态度与国外截然不同。

我国目前已有多部法律法规对个人信息提供保护，但对于保护的重点却未涉及到“被遗忘权”，在《个人信息保护法》的制定背景下，怎样借鉴国外被遗忘权的变迁路径、结合国情确立被遗忘权的法律性质和法律地位，是本文探讨的主要问题。

被遗忘权的历史变迁路径

被遗忘权起源于法国的犯罪领域。为了保证被释放的罪犯在社会上地位平等，在工作和生活中受到公平对待，法国刑法规定，罪犯被释放后有权反对其受到的惩罚被公众知悉；也有一些国家将这一权利仅适用于未成年人保护领域，比如美国加州制定的“橡皮擦法”规定未成年人有权要求搜索引擎和社交平台删除其发布的相关不良信息。随后，由于信息时代的到来，欧盟立法者将这一权利运用到信息保护领域，而被遗忘权的性质随着冈萨雷斯案的判决而逐渐发生变化，这一点具体体现在欧盟委员会2012年公布的《统一数据保护条例》中。

2012年11月欧盟委员会的司法专员出台了《数据信息保护条例》（GDPR）进一步加强了对个人信息的保护，条例中明确提出了被遗忘权，规定在第17条的“被遗忘权与删除权”，主要目的是让个人能够控制自己信息的扩散程度，管理好自己的个人信息，维护信息安全。

任何人侵犯了其信息安全，可以要求发布者予以删除。在立法解释中欧盟委员会进一步对“被遗忘权和删除权”使用情形进行了规定：不仅在信息错误不准确不完整的情形下可以要求删除，有其他合理理由均可以要求发布者或者运营者进行删除，包括信息已经超过时效等诸多情形。该法案还针对儿童的信息进行了进一步区分，还对删除、遗忘等方式进行了主动删除、要求第三者删除的细化。

GDPR比欧盟委员会的96/46号指令有了进一步扩充。2012到2013年的两年间，草案经过了欧盟委员会的多次讨论，在2013年11月形成了初稿，提交到欧盟议会中。在初稿中将“被遗忘权”修改为“删除权”，修改的原因是以往的命名可能会给公众带来误导。

初稿与草案进行对比后，有以下几部分改动：对未成年的信息特殊性增加了删除的途径，涵盖了要求第三人或者网络支持者等第三方删除信息的方式；对是否属于应当被删除的信息进行了法律上的认定程序，由法庭或者相应的机关进行鉴定，而非只要提起了请求，便能得到法院的支持；增加了信息控制者的责任，将“通知”改为“责任”，这代表着信息的控制者在受到删除请求时不仅要通知发布者、网络支持者等第三方进行删除，自身还有进行删除的责任。

由此可见，虽然在新修订的初稿中，将被遗忘权进行了修改，修正为“删除权”，但是这并不代表着权利的缩小和消失，反而让信息删除的权利扩大了，内容更加丰富。GDPR随着欧盟委员会的不断讨论和研究，在2016年4月份，发布了最成熟的《信息数据保护条例》，在这部最终稿中，序言的65段还是将“被遗忘权”进行了增加，因儿童信息的特殊性，特别增加了对儿童的信息保护的力度。在接下来的一段中，对“删除权”的范围进行了扩张，增加了信息控制者的删除责任，增加了更加丰富的删除方式。这样，最终的GDPR正式于2018年5月25日实施。被遗忘权正式作为一个权利走上了历史的舞台。

自《欧盟数据保护指令》到GDPR，欧盟立法中的被遗忘权经历了从访问权到删除权再到被遗忘权，权利性质也逐步由隐私权过渡到个人信息权，这标志着在欧洲被遗忘权已成为信息主体的一项重要民事权利。

我国引入被遗忘权的必要性

信息主体被遗忘的要求与网络无法遗忘的矛盾愈加突出

社交媒体，朋友圈，发照片等社交活动已经成为大多数人的生活选择，在国内使用率达百分之九十的“微信”、“微博”以及其他网站中，随处可见各类用户发布的个人观点、生活照片以及工作信息。而正是因为网络在收集和存储信息方面没有明显的空间边界，且信息能被永久地储存，使得这些曾经被用户用作记录生活、注册账号的信息被完备详细地保存在了网络空间中。这直接导致了一些信息主体以为会被忘却的“过去”，经过搜索便会重新展现在人们面前，尽管这些信息是过时的、失去信息价值的。在一项调查中显示，有63%的受访者认为他们受到了“很久以前犯的错误”的影响，例如年少时在社交平台发布的偏激言论被工作领导看到；多年前欠缴信用卡的信息尽管已经还清但仍然能在相关的网页搜索出来。

可见，由于网络中的信息具有较强的“可回顾性”，所以一不小心就可能被别有用心之人翻出旧账。信息主体对清除这类信息有着广泛而迫切的需求，这种需求是完全合理且契合当今网络文化发展的，理由有二：首先，多年前的信息对信息主体当下的生活、工作情况没有实际参考意义，这类信息已经不准确、不相关，失去了其本身“反映信息主体情况”的价值；其次，在互联网高度发达以及视频app被广泛利用的情况下，人们的生活、交流和观点开始被数字化存储和记录，对未成人发布的较不成熟的想法、观点、言论等进行必要删除，可以最大程度减轻网络暴力对其个人生活的侵害，最大程度地减少对其名誉、信息、隐私等权利的不合理侵害。

我国现行立法中已有对被遗忘权的暗合

虽然我国现行立法中并无对被遗忘权的明确规定，但在各单行法和建议稿中，存在一些与被遗忘权相对接的规定。2012年国务院为加强个人信息的保护发布了《个人信息保护条例》，其中第8条中规定，公民发现自己的个人信息被发布到网上，自身的合法权益受到损害时，有权要求信息控制者或信息发布者、网络运营者将相关信息进行删除，停止对合法权益的损害。

第一部个人信息保护的法律《网络安全法》于2017年6月正式发布，其中第43条中规定，公民发现自己个人信息被违规发布到网上，或者未经许可违反约定使用或收集个人信息的，或者发布的有关个人信息不准确、不完善的，有权要求网络运营商进行删除和更正。

网络运营商有义务对个人提出的要求进行处理和答复。同样在《侵权责任法》中，规定了侵害人通过网络对受害人进行侵权等活动的，受害人可以要求网络运营商采取删除、断链、屏蔽等必要措施停止侵权的持续发生，这从法律层面赋予公民删除个人相关信息的权利，这也是一种“删除权”。

虽然此处的删除权并不是与GDPR中的“删除权”有同样的意义，可删除的范围只有侵权相关的信息，但是我们可以经过不断对法律的完善，增加删除权的内涵，让“删除权”逐步演变成为被遗忘权。

2019年3月，四部委联合发布App过度收集使用个人信息整改公告，随后，大量技术规范、个人信息规范征求意见稿出台，其中不乏对被遗忘权与删除权的规定，如《个人信息安全规范征求意见稿》中提出三种以信息主体违反法律规定收集信息为前提的删除权，系统地罗列出信息主体可主张删除请求的情形。

被遗忘权的性质和地位

被遗忘权属于具体人格权的权利内容

北京市海淀区人民法院在“任甲玉诉百度”一案中，将原告提出的“被遗忘权”界定为一种非类型人格权，包含两层含义：

首先，被遗忘权是一种人格权，从遗忘权客体所涉及的个人信息来看，虽然它确实具有一定的财产价值，但其主要特征不是财产属性，而是人格属性，因为个人信息的含义是指一套与特定个人相关的数据系统，它能反映和识别个体特征，包括个体的身份、家庭背景、职业等信息。这一定义里我们可以看出，被遗忘权涉及到人格权，因此，如果被遗忘权被确立为一种特定的民事权利，那么其应当是一种人格权；

其次，从被遗忘权的内涵来界定，指的是信息主体对自愿或间接自愿发布在网络上的，与自身相关的、不准确的、过时的、继续储存会对其生活造成负面影响的信息，进而要求信息处理者将此类信息删除的权利。被遗忘权内容的核心概念是个人信息，即在符合特定条件和标准的情况下，删除已发布的能够识别人格特征的个人信息的权利。从本质上讲，它应该是信息自主的表现，包括对个人信息的保护、控制等，但其还是被完全涵盖在个人信息权内的。

因为个人信息权是特殊的人格权，具体指信息主体处理、利用和排除侵犯个人信息行为的权利，它保护个人对自身信息的使用和控制，其他任何人和机构不得非法控制和使用。信息控制和使用会贯穿在信息收集、处理、适用和删除的全过程，所以被遗忘权作为删除信息的权利，也应当囊括在个人信息权的内容当中。实际上，被遗忘权本质并不是普通的保护人身权益，而是特定人身权利的权利内容。

被遗忘权属于个人信息权

被遗忘权是一项起源于欧洲的权利，随后被日本、美国等国家继受，且不同国家对其性质的定义也不同。如美国的“橡皮擦法案”中，将其划分到隐私权的范畴，而欧盟法律中被遗忘权的性质也从隐私权过渡到个人信息权。因此，我国学者对被遗忘权的性质归属呈两种观点：一部分学者主张被遗忘权属于隐私权，另一部分则认为其属于个人信息权。笔者持第二种观点，即被遗忘权属于个人信息权。

虽然个人的信息权和个人的隐私权在内涵、特征等方面都较为相似，但两者在权利性质、权利客体等方面存在比较明显的区别，想要研究被遗忘权的性质归属，必须具体比较这两种权利的属性、客体等特征。

在权利的属性方面，个人的信息权和个人的隐私权都属于人格权，但二者在法律属性方面存在区别。具体体现在：个人隐私权属于事后救济性权利，只有在隐私权主体受到侵害后，才能够要求相对人进行赔偿或者是排除妨碍，而不能够在权利未受侵犯前，就主张和行使该权利。

即使在对隐私权进行广泛解释的美国，隐私权的公开和使用都在逐渐成型，但实际上在商业化使用的还是个人信息居多，其他涉及隐私的都是凤毛麟角。个人信息权的含义是对自己个人的信息控制的权利，可以允许他人使用自己的个人信息，也可以不允许他人使用，所以与隐私权的被动救济不同，个人信息权是主动行使的。权利人不仅能够进行积极行使，也能够对侵权行为进行申诉和抗辩。从被遗忘权的概念来看，信息主体在未被侵权的情况下主动要求信息处理者删除与其相关的过时的、失去时效性的信息，属于一种积极的权利，更加贴合个人信息权的性质。

就权利客体而言，个人信息与隐私的界限具体体现在：个人隐私是指个人的私人信息或者活动，例如个人的婚姻状况、身体状况，亦或是家庭状况等等。只要是不涉及公共利益的，个人所不愿意公开披露的信息，就属于个人隐私，这些隐私信息或者活动的内容并不会明显指向某个自然人的身份。而个人信息则是广义的，更加侧重于个人的身份特征，只要是某些信息与个人相关，那么不管这些信息是排列组合后的还是直接针对的，都能够视为身份识别。被遗忘权的客体大多是信息主体在社交平台、网站和移动客户端上披露的能够识别个人身份的信息。

例如：在某移动客户端注册时需要提供的手机号码、兴趣爱好；信息主体在社交平台上发表的言论、生活照片等等。这些信息具有两大特征：主动披露性和可识别性。

信息接收者和利用者可以从这两大特征上入手间接地了解到更多关于信息主体未披露的信息以及识别他们的身份，此时，第三者间接识别的这些信息则可能是信息主体的隐私，而已被主动披露的无法归类到隐私的范畴。因此从被遗忘权客体的这两大特征来看，其性质更接近于个人信息权。

在权利内容而言，隐私权和个人信息权也有不同的地方。个人隐私权主要是为了个人私生活的独立、个人隐私的保护和个人生活的安宁等，尤其注重个人的“隐匿”：一是私生活或者独居，二是私生活的信息不被泄露。所以在司法实践当中，对隐私权的侵犯主要是骚扰和非法泄露。而个人信息权主要是对自身信息的决策和控制使用，更偏向于对第三方个收集、使用人信息的知情权，以及是否允许他人使用的权利。

若是得到了权利人的默许或明确表示同意，那么就可以对个人信息进行披露和使用，若是没有得到同意就使用，那么权利人也可以要求第三方对其个人信息进行删除。基于被遗忘权，信息主体基于“过去时信息”对自己造成的不良影响而要求信息控制者删除，这是一种对信息的自主控制，主要体现了对相关个人信息是否删除有决定的权利。

如果从这个角度上来看的话，那么部分学者将被遗忘权称作为“信息自决权”也是可以理解的。所以说，虽然个人信息权和个人隐私权存在重合部分，但隐私权保护的重点在于保护个人秘密不受非法泄露的权利，而个人信息权的保护重点在于对个人信息的处分权利。因此，将被遗忘权划分到个人信息权的范畴之内，更加契合被遗忘权的权利内容与功能。

综上所述，笔者认为，被遗忘权是网络社会中个人信息权的特殊体现。一方面，被遗忘权的内涵是涵盖在个人信息权当中的；在另一方面上，被遗忘权的客体也被个人信息权所涵括。所以，笔者认为被遗忘权是个人信息权的权能之一。

我国被遗忘权在个人信息保护法中的确立路径

笔者认为，在我国未来的《个人信息保护法》中确认被遗忘权会赋予个人信息权以时代性的特征。在当今信息化的进程当中，个人信息删除或是被遗忘的要求越发明显。例如，一些社交平台如“微信”允许用户设置朋友圈“仅三天可见”或“仅半年可见”，即允许用户过去发布的信息在其自主决定的情况下封存进而被他人遗忘。因此，我国需要在《个人信息保护法》中确立被遗忘权，并明确其保护措施以及作出侵权行为的人应承当何种民事责任。笔者认为，要明确个人信息权还要注重以下几个问题：

首先是被遗忘权的规范模式。就比较法而言，有具体列举和抽象概念两种模式，笔者认为，要明确被遗忘权的适用范围，就应该采用具体列举的模式，详尽地列举不同的情形。例如，在张新宝教授提出的《个人信息保护法草案》中规定：“下列情形中，信息主体认为网络空间中的个人信息，是不准确、不再相关或侵害其合法权益的，且与公共利益无关的，信息主体有权要求信息业者采取屏蔽、删除或者是断开链接等措施：

第一，在信息主体对网络平台服务者发出通知，且网络平台服务的信息也者接到后，确认平台内相关个人信息与公共利益无关的，应当及时采取删除、屏蔽、断开信息内容等必要措施，并协助信息主体通知其已知或应知的其他链接、复制该个人信息的信息业者采取必要措施。

第二，提供网络搜索引擎服务的信息业者接到信息主体通知后，确认搜索引擎结果中相关个人信息链接内容与公共利益无关的，应当及时采取删除、屏蔽、断开链接等必要措施。

第三，未成年人或其监护人要求信息业者删除、屏蔽网络空间中该未成年人个人信息的，信息业者应当及时采取删除、屏蔽、断开链接等必要措施。”采取这种方式能够有效地明确被遗忘权的适用范围，更有利地保护信息主体的权益。并且在司法实践当中，普通民众也能够更加直观地了解行使被遗忘权的具体情境，司法机关在面对具体案件时，也能够准确的适用合适的法律条文，促进公平正义。

其次是确认被遗忘权的内容。被遗忘权的本质特征就是对个人信息的决策和控制，具体内容则是信息管理者控制的义务和信息主体拥有的权利。在比较法中，一些国家对遗忘权的内容作了规定。

例如，《欧洲数据保护指令》规定：成员国必须在必要时准确处理个人数据，并保持其更新；因收集和处理的个人数据有其特定目的，所以要采取合理措施，以保证删除或更正不正确、不完整的数据。

对于信息主体所享有的权利，可以概括为要求个人信息控制者及时、准确地删除已在网络上发布的信息的权利。相应地，个人信息控制者作为义务主体，在收到信息主体的书面通知后，有义务删除该信息。

当然，也是为了避免信息主体过度使用被遗忘权，信息管理者可以对信息主体要求删除的信息进行必要性审查，例如完善相关的评估机制和人工审查机制。

最后是被遗忘权的侵权责任构成。被遗忘权的行使主要是为了保护信息主体的人格权不受侵犯，所以在侵权法当中要明确对侵犯被遗忘权的法律责任，才能够形成长效震慑，更好地保障权利的行使。在被遗忘权的侵权案中，应当由信息主体来承担相关的举证责任，列举出存在的信息与案涉的信息存在因果关系，并且信息管理者存在过错，或者接收到通知后未删除。

损害是救济的前提，网络信息量巨大，而信息删除涉及到潜在的司法成本和搜索引擎的运营成本，所以必须要谨慎使用。在被遗忘权的侵权案当中，最重要的一个是诉讼信息未被删除，导致实质损害。

这既符合侵权责任法的基本法律逻辑，也得到了我国现行法律法规的确认，同时符合国外的司法实践经验。最高人民法院在2014年颁布了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，该规定显示，合法渠道获取的个人信息，或者是自行公布的个人信息等，若是在网络上公开造成了不良影响，但只要没有违反公序良俗、社会公共利益或者值得被保护的个人重大利益，那么信息主体申请信息管理者删除的要求就得不到支持。所以说，只有在信息主体值得被保护的重大利益受到侵害时，才能够适用被遗忘权来保障自己的个人信息权。