个人信息保护视阈下删除权与被遗忘权之思辨
2021-01-17曹新明
曹新明,宋 歌
(中南财经政法大学 知识产权研究中心,湖北 武汉 430073)
一、问题的提出
随着互联网和数字技术的发展,万物互联的大数据时代已然来临,信息生产、存储与传播正经历新的变革。数字设备持续产生信息,每个人一切行动轨迹与社交图谱均以数字化形式记录,个人信息的私人属性明显弱化,开放的社交平台、便捷的分享机制在丰富社会公众生活的同时,无形中将个人信息的抓取和采集演变为常态,滥用、侵犯个人信息现象不断涌现。为了规范大数据时代个人信息处理与利用行为,2021年8月20日,全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。《个人信息保护法》自2021年11月1日起施行,以专门立法的模式对个人信息收集、使用、提供与删除作出了全面规定。
《个人信息保护法》第47条确立了个人信息删除权,允许信息主体在特定情况下请求删除个人信息,并要求个人信息处理者履行删除义务。纵观《个人信息保护法》的制定沿革,删除权与被遗忘权之间的关系一直备受关注与探讨。被遗忘权是法律赋予信息主体应对信息失控所进行的权利设计,信息主体可以在已合法公开的个人信息过时、不相关、不准确且会对个人产生负面影响的情况下,以信息清除与回收为手段,为个人信息保护提供救济路径。删除权与被遗忘权具备个人信息权益的属性(1)王利明教授认为,自然人对其个人信息依法享有权益,而不是个人信息权。参见王利明、丁晓东《论〈个人信息保护法〉的亮点、特色与适用》,《法学家》,2021年第6期。,本质上表现为对自身信息资料的控制,作为个人信息权益的下位概念与具体权能,服务于个人信息保护的实现。此次《个人信息保护法》并未引入被遗忘权,而是以删除权为替代,解决数字记录对个人信息的不利影响。这一立法选择值得深思,需要对删除权与被遗忘权进行辨析,探索删除权与被遗忘权在个人信息立法中的地位,进而推动个人信息保护的发展与完善。
二、删除权与被遗忘权既成关系概览
我国在制定《个人信息保护法》过程中,学者就删除权与被遗忘权之关系本来已经进行过讨论,各种观点之间存在分歧。这些观点对《个人信息保护法》的制定起到了积极作用。虽然现在《个人信息保护法》已经生效施行,但是仍然有必要就删除权与被遗忘权两者之既成关系加以分辨。这种分辨既有利于删除权的正确适用和保护,也有利于为增加被遗忘权做铺垫。
(一)相同说:删除权与被遗忘权的等同式关系
持相同说的学者认为,删除权与被遗忘权是等价的,两者之内涵与外延几乎是完全重合的。具而言之,在实践中,将个人信息“被遗忘”所产生的结果就是让该信息在相关环境中被人们或者有关机构组织平台遗忘,表征为权利行使之目的;将个人信息“删除”所产生的结果是让相关信息在信息网络或者信息平台上进行物理的删掉,表征为实现权利的手段[1],被遗忘权与删除权在本质上是“新瓶装旧酒”。[2]亦有学者指出,大数据时代被遗忘权建构的基础内容就是删除,被遗忘权与数据删除权含义相同,两个表述可以互用[3],均反映了个人对其数据的控制问题。[4]持相同说的学者将笔触聚焦于删除权与被遗忘权的制度缘起,以此对这一关系进行证成。通过梳理欧盟《一般数据保护条例》(General Data Protection Regulation)的制定过程,可以看出被遗忘权与删除权之间的区别逐渐被有意弱化。2012年,欧洲议会和欧盟理事会公布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第2012/72、73号草案》,其中第17条规定了“被遗忘和删除的权利” (right to be forgotten and to erasure),具体内容为信息主体有权要求信息控制者永久删除相关个人信息,有权被互联网所遗忘,除非信息的保留具有合理事由。2014年3月,经欧洲议会表决,原第17条标题由“被遗忘和删除权”更改为“删除权”(right to erasure),但具体条文依然包含对被遗忘权内涵和外延的表达。2016年4月,欧盟通过了《一般数据保护条例》,其中第17条几经修改,最终表述为“删除权‘被遗忘权’”(right to erasure‘right to be forgotten’) 。从立法措辞来看,欧盟以“删除权”代替“被遗忘权”,同时为了理顺概念上的衔接问题,将“被遗忘权”置于紧随的引号之中[5],这类似于权利的别名,其法定概念是删除权,由此可以将删除权与被遗忘权视为同一概念。
(二)相异说:删除权与被遗忘权的差异式关系
持相异说的学者认为,删除权与被遗忘权存在本质区别[6],二者可以并列成为两项单独的权利。2017年3月,全国人大代表、全国人大财经委副主任委员吴晓灵,全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表提交了有关《中华人民共和国个人信息保护法(草案)》的议案,其中第二章“个人信息权”第18条和第19条分别规定了删除权和被遗忘权。有学者从删除权与被遗忘权的权利内容着手,论述二者之间的重大差异,具体包括权利主体、行使对象和适用条件等方面。就权利主体而言,删除权的权利主体为一切不特定的个人,在范围上并未作出特殊区分。被遗忘权的权利主体是指通过姓名、身份证号码、定位信息、在线身份标识,或者一个或多个与其身体、生理、心理、遗传、经济、文化、社会身份等特征准确确定的自然人,对特定群体的适用具有特殊性。域外国家针对公众人物和未成年人进行了专门规定,例如欧盟就公众人物被遗忘权的行使设置了较高的标准,美国加州《橡皮擦法案》仅为未成年人设置了有限度的被遗忘权。
就行使对象而言,删除权的对象包括存在违反法律规定或者约定公开的信息,该内容本身因违法或者违约不具备正当性。与之形成鲜明对比的是,被遗忘权请求删除的对象均为合法收集、公开的信息,信息主体通过明示同意或者默示同意的方式许诺信息处理行为,但因信息过时、不相关、不准确而无存储与存在的必要,且会对信息主体的个人声誉造成负面影响,故而限制相关内容的搜索结果。值得注意的是,在信息主体行使被遗忘权时,信息控制者不仅自身应履行删除义务,还应协助第三方删除经由其传播的数据,显然该权利的内涵已经超越了传统的删除权[7],在行使对象方面提出了更高的要求。
就适用条件而言,删除权的适用较为简单清晰,信息主体在信息处理者违反法律、行政法规或者双方约定收集、使用个人信息以及处理目的已经实现、个人撤回同意时,有权行使该项权利。被遗忘权本质上是公开信息搜索限制的反映,为所谓遗忘而进行的删除应当达到严格且充分的条件。[8]第一,信息存在的时间应足够长,以至于无法回归其原有语境进行理解。第二,信息应具有身份可识别性,亦即信息一经公开与传播便有明确指向,相关公众自然将信息与特定主体相联系。第三,被遗忘权的适用需具备充分的理由,以被遗忘权为由请求删除的内容应当为对个人产生重大负面影响的信息,譬如信息过度贬损权利人的声誉与形象、对当事人造成沉重精神负担,抑或是严重影响个人安定生活,此时方可以被遗忘权为据获得保护。
(三)包含说:删除权与被遗忘权的嵌入式关系
持包含说的学者认为,删除权与被遗忘权具有从属关系。在包含说框架下,究竟是删除权涵盖被遗忘权,抑或是被遗忘权吸纳删除权,存在两种不同的观点。第一种观点认为被遗忘权仅是删除权的一部分,属于删除权的某种特殊情形。有学者从语义解释出发,提出狭义的删除权“针对的是缺乏法律基础的信息,以排除对信息的不法收集和处理”,主要针对被动收集的信息或者主动发布但尚未转发的信息,而被遗忘权所针对的信息则是在合法的基础上收集、使用、加工、传输的已过时、不相干、有害和不准确的信息,适用于主动发布但已经被他人转发的信息,或者第三方来源信息。[9]
第二种观点认为,被遗忘权是对删除权的扩大。删除权具有“一对一”的特征,是数据主体在数据控制者违法或违约收集使用信息时提出的要求。而被遗忘权是“一对多”,不仅包含传统的删除权的权利要求,还包括要求数据控制者将其已经扩散出去的个人数据,采取必要的措施予以消除。[10]有学者对被遗忘权进行了狭义和广义之分,指出狭义的数字被遗忘权等同于删除权,是应对数据时代永久记忆和个人隐私尊严冲突而产生的一种权利,而广义的数字被遗忘权则包括传统的遗忘权和删除权。[11]亦有学者提出强化的删除权就可以理解成“被遗忘权”的缩减版本,较之于被遗忘权,删除权在权利范围略为狭窄,但更现实,并且更具有操作性。[12]
(四)竞合说:删除权与被遗忘权的竞合关系
上文各学说从不同角度对删除权与被遗忘权的关系进行分析,就目前立法而言,删除权与被遗忘权有着千丝万缕的联系,权利交织使得二者呈现为竞合关系。尽管欧盟以括号内外的方式对删除权与被遗忘权进行规定,看似将二者视为同一概念,但《一般数据保护条例》第17条实则由两部分构成。第17条第1款以数据主体撤回同意和不具备合法理由为前提,要求数据控制者删除个人数据,核心要件仍为传统个人信息保护中的删除权,而第17条第2款规定了公开传播的信息在特定情况下的删除,体现了“被遗忘”的精神。《一般数据保护条例》混合了删除权与被遗忘权,客观上造成了删除权与被遗忘权之间错综复杂、纵横交织的关系,删除权与被遗忘权既有相同又存在区别。
较之于被遗忘权,删除权并非一项新兴概念,可以列为个人信息保护中较为传统的元素,而被遗忘权在以删除为重要技术支撑的前提下,结合大数据时代的特点进行了适当调整。《数据流动指令》作为被遗忘权的初始框架,其中第12条规定了“访问权”,包含从数据控制器中删除不完整、不准确或非法数据的可能,由此可见删除责任在被遗忘权创设之初便施加于信息控制者之上。有学者指出,尽管被遗忘权的概念存在诸多界定,但对于该权利最核心的内容基本达成了共识,即对个人信息的删除[13],从救济视角审视被遗忘权和删除权,删除权是被遗忘权获得救济的手段[6]。需要明确的是,删除是被遗忘权实现的重要手段,却并非唯一路径,除此之外还包括更正、限制处理、隐匿链接、去身份化等方式,目的在于阻断信息主体与相关内容之间的联系。[14]事实上,删除权与被遗忘权在个人信息保护立法过程中一直相辅相成、如影随形,这一趋势在世界范围内亦得到了延续与承继。
三、现行法律选择删除权放弃被遗忘权的现实考量
如上所述,删除权与被遗忘权两者之间的关系非常复杂,并无令人信服的结论。然而,与大数据时代、智能社会和信息流量相伴随的个人信息具有极其重要的价值,必须给予相应的法律保护。2021年1月1日生效的《民法典》第1034条至1039条为“个人信息”保护专门规定的基本法条款,但是,为了切实保护个人信息,2021年8月20日通过《个人信息保护法》,相对《民法典》作为特别法保护个人信息。该法最终选择“删除权”作为个人处理其信息的权利,而放弃了“被遗忘权”。在此,笔者就我国法律选择删除权而放弃被遗忘权的制度设计考量进行利弊分析。
(一)删除权的价值透视
1.大数据时代个人信息自决与安全之需求
大数据时代个人信息违规采集、违法处理现象不断涌现,信息主体对个人信息的控制能力愈发降低。数字技术赋予了从事互联网经营的企业更多的信息掌控能力,用户与平台之间形成了非对称权力结构与持续性不平等的信息关系。尽管社会公众在理论上对个人信息享有所有权,但信息权利的行使取决于平台的支持。就信息删除而言,用户不仅需要向原始网站发送删除特定网页内容的请求,还需向搜索引擎提出删除相应链接的要求。在缺乏法律约束的情况下,这一过程实则难以实现,网络服务提供者往往怠于理会信息主体的请求,或者仅提供有限的删除功能。即便在账户注销后,亦无法全部清除原始记载的个人信息。在删除权制度框架下,信息主体能够以法定权利为据进行信息删除行为,个人信息的支配权与控制力得到加强与提升。
除此之外,随着信息化与经济社会的深度融合,隐私泄露、信息滥用等危害个人信息安全的问题逐渐明显。数字设备的高频利用使得用户无时无刻不在输出个人信息。根据2021年2月中国互联网络信息中心发布的第47次《中国互联网络发展状况统计报告》,截至2020年12月,我国网民规模达9.89亿,互联网普及率达70.4%,单日网民信息产出量多达百亿条。[15]平台在获取海量数据信息后,可以通过算法推荐限制用户自主消费与决策、以数据画像实施价格歧视,由于缺乏统一标准与监管,个人数据面临滥用、泄露的风险。与之形成鲜明对比的是,针对个人信息清除与退出的机制有所缺失。删除权要求个人信息控制者在信息主体撤回同意、处理目的已经实现、个人信息处理者停止服务等情况下主动删除个人信息,以避免出现超出个人预期的信息利用行为。通过信息自决构筑起个人信息安全屏障,是大数据时代个人信息安全与防护的必然要求。
2.网络空间规范治理之必然
网络环境下,社会公众在享受信息丰足带来便利的同时,网络霸凌、非法信息售卖等扰乱网络空间秩序的行为屡见不鲜。互联网为社会公众提供了参与、分享、传播观点的平台,用户可以在社交网站自由交流与互动。然而,信息的留痕性致使网络暴力、人肉搜索等现象频繁出现,以“爆黑料”为代表的行为已然演变成一项新兴商业模式,挖掘他人黑历史进行娱乐、霸凌的情况不胜枚举。古谚有云“好事不出门,坏事传千里”,这一现象在网络空间尤为明显,负面信息一经发布便容易被诸多媒体转载、传播。在流量为王的环境下,用户注意力作为稀缺资源,成为商业主体竞相争夺的对象,由于不履行义务的成本很低,不少网络服务提供商为了吸引眼球,对此类信息放任不管,这对网络空间秩序带来了严重危害。删除权以法定形式规定了个人信息处理者应尽的义务以及违反信息删除义务的责任承担,有利于规范网络空间信息传播秩序,避免传播失范行为对信息主体造成难以弥补的损害。
与此同时,随着脸书、谷歌、微博等国内外社交平台不断暴露出各类隐私安全问题,用户对其数字形象的控制能力显著降低,以修复与美化网络声誉的公司迅速发展。该类公司提供网络声誉监控服务,可以单独联系网站要求其删除相关内容,并通过搜索优化技术,创设新的网页或者增加现有链接以美化数字档案,例如置顶有利的搜索结果,或者将负面信息链接移至搜索页面的尾部。在美国,该项服务收费从每月10美元到每年1000美元不等,对于具有挑战性的案件,价格可能会上升至数万美元。[16]我国目前也出现了不少类似性质的组织和个人,通过明码标价、雇佣水军的方式进行删帖、屏蔽与断开链接等,以此美化网络用户数字形象。这类服务的合法性值得商榷,在缺乏监管的情况下,往往容易引发社会乱象。删除权以法律保障为支撑,信息主体可以通过正当手段维护个人信息安全与自身利益,为防范与解决网络空间个人信息非法经营、滥用乱象提供了有效路径。
3.法律规范缺失与不足之呼唤
数字技术的飞速发展促使个人信息保护的呼声愈发强烈,自然人对其个人信息依法享有的删除权是对上述需求的回应,亦是完善个人信息保护立法的体现。在《个人信息保护法》出台前,我国对个人信息删除权并非没有关注,而是呈现出零星、分散的特征,缺乏系统全面的规定与操作性强的法律文件出台。具体言之,2013年我国首个个人信息保护国际标准《信息安全技术、公共及商用服务信息系统个人信息保护指南》将删除列为个人信息处理行为,并对删除进行了解释,但未就删除的范围、信息处理者违反删除义务的责任承担等作出具体规定。2017年《网络安全法》作为我国信息网络空间安全保障的第一大法,其中一章对网络用户个人信息保护进行规定,但该法重点强调国家信息主权,侧重以行政监管规范网络传播秩序与信息管理行为,对民事主体的关注较少,无法达到民事权利救济的效果。2018年《电子商务法》针对线上销售中的个人信息删除权作出规定,适用领域较为单一。将个人信息删除权单独设为一项法定权利有利于解决原有权利结构不完善的弊端,扩大了原有删除行为仅限于“违法行为的收集、侵权行为的发生和违反双方约定”的范围,增加了“处理目的已实现或者不再必要”“个人撤回同意”等适用情形,为网络空间个人信息保护良好生态的构建提供了坚实保障。
(二)删除权的未竟之功
1.人格尊严保护力度稍有不足
由于删除权主要针对违法违约以及处理目的已实现而进行的信息删除行为,并未对过时的、不准确的个人信息删除作出特殊规定,无法确保信息主体在网络空间树立客观、真实的形象。数字足迹的持久性使得个人信息被长期记录,个人信息在脱离原有语境下孤立存在,信息变得不准确、不恰当或者超出最初目的,信息主体所发布的真实信息容易被断章取义或者过分重视。[17]此时信息主体所塑造的数字形象往往是不全面的,外界基于此所预先作出的个人评价与真实情况亦存在偏差。人格权理论重视与个人形象相关的名誉、声誉构建,网络环境下个人形象和人格尊严保护的关系尤为密切。删除权客体范围的限制使得其在维护个人数字形象和在线名誉控制方面稍有欠缺,难以解决过时信息对人格尊严带来的不利影响。
2.个人信息传播规制尚存缺陷
我国《个人信息保护法》第47条对个人信息处理者主动删除以及个人请求删除的情形进行规定,根据该条款,删除权所涵盖的主体范围仅包括个人信息处理者和个人,对于实践中存在的由第三方转载、链接、传播信息主体主动公布的个人信息,在现有删除权框架下无法得到有效规制。具体言之,信息主体在网络空间发布与个人信息相关的内容后,可能因其独特性吸引其他网络用户、媒体平台的注意力,进而产生由多个渠道对个人信息进行传播的情况。倘若信息主体不愿意继续公开个人信息而作出个人撤回同意的请求,个人信息处理者仅能针对信息主体的公开行为而删除对应的内容,无法直接限制他人对合法、公开信息的传播。在现有技术条件下,信息主体对其自身发布的个人信息的删除较为容易实现,大部分数字平台开放了这一功能,而真正难以完成且对信息主体更为重要的是限制他人所实施的传播行为。删除权对个人信息的清除具有“点对点”的特征,这致使其难以有效规制广泛的信息传播行为,对个人信息的控制和保护能力尚存缺陷。
(三)删除权的功能弥补
1.被遗忘权与删除权的价值不同
删除权的功能缺失恰好体现了其与被遗忘权的价值差异。首先,较之于删除权,被遗忘权尤为珍视社会公众个人数字形象的重塑,以此解决权利主体人格标识信息失真的问题。根据信息生命周期理论,信息价值随着时间的流逝逐渐削减与衰退,而数字永久记忆打破了信息自然更迭的规律,致使陈旧过时、脱离场景的信息对个人造成过度困扰,这一现象将伴随信息技术发展愈发典型。被遗忘权要解决的是因历时日久而脱离了当时的具体情境、现在看来失真变形,且对个人形象有较大损害的信息。这种信息仍存在于网络中,但已不值得由他人分享。[8]这遵循了信息价值更迭和发展的自然规律,能够缓解技术理性与工具理性对个人认知的阻碍。
其次,删除权的核心价值在于以信息删除为手段,保障信息主体的利益免受侵害。例如信息主体可以在个人信息遭到非法侵害,或是在撤回同意的情况下,从信息存在的源头进行删除。而被遗忘权通过信息阻断的方式,侧重限制信息的后续传播,不仅包含传统删除权的权利内容,还包括要求个人信息处理者将其已经扩散出去的个人信息,采取必要的措施予以消除,例如通知其他处理此信息的第三方停止利用、断开链接等。[18]
2.被遗忘权对删除权的功能弥补
通过上文分析可知,被遗忘权更加注重人格尊严和传播环节的个人信息保护,这一特征使得其能够弥补删除权的部分功能缺失。其一,被遗忘权的客体为过时的、不相关的、不准确的个人信息,通过允许社会公众“名誉破产”以清除个人数字痕迹,体现了尊重个人发展和自我革新的价值取向。[19]网络空间的留痕性致使信息均能够在未来的任何时刻被他人翻出以进行谴责,即便信息主体事后积极主动解决问题与诚恳认错,不光彩的历史将背负终身。然而,每个人无时无刻不在社会中积累形象、名誉和声望等精神人格,尽管个人可能因先前行为而导致社会评价降低,但这并不排除其仍有被再次接纳与宽恕的需要,被遗忘权所体现的这一价值功能可以与失信被执行人信用修复及完善制度类比。其二,在被遗忘权制度框架下,个人信息处理者的义务除了体现为将网络平台所存储的内容进行删除之外,对于在平台进行公开或者经由平台传播的内容负有连带责任。例如,在收到个人被遗忘权请求后,个人信息处理者有权通知第三方停止利用、删除从信息处理者处获得的用户信息,这一特征体现了被遗忘权对个人信息删除权功能的扩张与弥补。
四、被遗忘权与删除权并存共生之研析
目前我国《个人信息保护法》仅对删除权进行确立,并未实质性地规定被遗忘权,这一立法选择实则为“包含说”的体现。事实上,被遗忘权与删除权具有相容性和非替代性,二者具备独立的权利边界和价值,不能因法律上有删除权就否定被遗忘权的存在。我国可以待删除权的实践运行较为平稳后,引入有限度的被遗忘权规则。
(一)规范选择:被遗忘权与删除权并存共生之思考
1.被遗忘权与删除权的相容性
被遗忘权与删除权能够单独列为两项权利,且保持相容性的原因在于二者互不影响,各自具有独立的权利边界。具体言之,在权利实现方式方面,删除权强调从源头进行个人信息删除,是一种客观删除行为,其产生的结果是原本存储于服务器中的个人信息不复存在。被遗忘权的目的在于阻断信息主体与相关内容之间的联系,而非要求从源头上将个人信息进行客观清除,原始数据可能还存在于信息网络空间之中,限制搜索、屏蔽链接、匿名化处理均可以作为被遗忘权的实现方式。[20]在侵权事由方面,被遗忘权的侵权事由具有特殊性。对被遗忘权的侵害往往由合法行为的演变所致,原本合法公开的信息随着时间流逝变得不准确或不适当,由此丧失了继续被人获知的必要性。而删除权往往是基础权利遭受侵犯或受到妨害的情况下,权利人享有的请求权,在时间要素方面无需满足特定的要求。[21]
2.被遗忘权与删除权的非替代性
被遗忘权与删除权在功能实现方面的区别决定了二者无法替代。删除权的主要功能聚焦于私权救济与排除信息主体遭受侵害的可能,作为一项带有制衡和救济功能的权利,删除权以个人对自我信息的积极控制和民事权利保障为基础,通过信息自决的实现确保信息主体的利益免受侵害,从信息源头进行删除避免对权利人产生进一步影响。删除权框架下,信息主体对于其在网络空间主动发布的个人信息,理应为此承担相应的风险,对此进行删除可能会限制信息获取与流通。被遗忘权拥有丰富的容错功效,回应了个体被社会谅解的人格需求,宽恕与谅解机制彰显了对人格权的珍视,其目标在于使信息被公开对象能够主张权利以重新在社会立足,倘若此种权利蒙受损害,则构成对人格权的侵害。被遗忘权以弱化记忆赋予信息主体不被过去所打扰的权利,通过强调重塑与原谅,保障信息主体“被宽恕”或“重新开始”的机会。[22]由此可见,较之于删除权,被遗忘权在重置个人社会坐标方面发挥了重要功能,对维护个体尊严和安定生活的意义不言而喻。
3.被遗忘权与删除权的交叉性
上文已对被遗忘权与删除权之间的权利竞合进行厘定,这一竞合关系实则反映出权利的交叉性。诚然,被遗忘权与删除权具有千丝万缕的联系,以删除为手段清除个人信息是二者最明显的重合部分,但这不能否定删除权与被遗忘权是两项独立的权利。有学者指出,人格权之间的竞合是同一家族内权利之间交织和重叠的情况[4],实则认可了人格权内部的权利存在交叉。事实上,权利的交叉并不意味着权利无法共存,尤其是在大数据时代,传统权利的边界不断突破,权利交叉是客观存在的现象。例如《民法典》人格权编将隐私权和肖像权列为两项单独的权利,但二者之间存在权利的交叉,隐私权保护的人格利益为不愿被他人或一定范围以外的人公开知悉的秘密,肖像权是基于个人形象而享有的专有权,个人体态形象在特定情况下既属于隐私,亦属于肖像,将二者列为独立的权利可以确保权利主体结合客观情况和个人诉求获得相应的保护。
(二)利益平衡:被遗忘权的现实进路
我国《个人信息保护法》目前以“包含说”为基础,将被遗忘权的部分内容置于删除权之内,但在实施与完善过程中应当明确删除权与被遗忘权并非同一概念,需要向“相异说”转变。长期以来,删除权与被遗忘权交织纠缠在一起,《一般数据保护条例》也特意弱化删除权与被遗忘权之间的区别。这种混淆的结果在于产生被遗忘权只能通过删除信息得以实现的认知,进而过度扩大被遗忘权对信息民主和公共利益的影响。上文分析已表明删除权与被遗忘权存在差别,且各自调整不同的社会关系和社会需求。我国在将删除权与被遗忘权单独列为两项权利时,最容易将二者进行区分的方式在于强调删除权以个人信息控制为核心,规范信息不当利用行为和不必要存储行为,而被遗忘权旨在满足因信息价值衰退所产生的人格利益保护需要,进而赋予自然人在网络社会对于自身隐私及信息安全等个人权利的一种安心感。[23]在此基础之上,结合我国数字技术发展状况和个人信息保护需求,对被遗忘权的权利主体、义务主体、适用范围与条件等进行本土化构建。
值得注意的是,被遗忘权在《个人信息保护法》中的定位与确权理念应当以利益平衡为基点,兼顾个人利益与社会公共利益。在此情况下,清晰限定被遗忘权的边界,明确被遗忘权并非一项绝对的权利至关重要。《一般数据保护条例》第17条第3款允许信息控制者在信息涉及自由表达或公共利益,例如医学健康、科学研究、法律要求或历史留存等需要时不进行删除,我国应当结合实际情况设置有限度的被遗忘权规则。
首先,被遗忘权并非单纯依靠法律而独立存在,还应当以科技水平、社会准则和市场压力等现实情况为支撑,尤其需要协调被遗忘权保护和大数据分析之间的关系,避免对我国科技创新和企业发展带来制约。
其次,被遗忘权并非要求以技术手段清除全部信息,而是通过增加社会公众获取与搜索相关内容的难度,降低负面信息对个人安定生活的影响,以此实现被遗忘的效果,故而不应对信息控制者设置过高的技术壁垒和注意义务。事实上,即便是已经在《个人信息保护法》中获得认可的删除权,亦无法达到全网删除以保护个人信息的效果。被遗忘权在技术层面的操作与网络空间常见的“信息举报”机制较为相似,二者均涉及删除、屏蔽、断开链接等内容,这为被遗忘权处理流程提供了技术经验。[24]
最后,在被遗忘权与公共利益产生冲突时,基于个人信息控制和名誉保护而作出的被遗忘请求应当让位于社会公共利益。被遗忘权并不意味着行为人可以完全掌控与其人格相关的新闻报道与评论,出于保护自由表达的需要,信息控制者可以拒绝当事人的请求,主要表现为新闻媒体行使舆论监督权,对信息主体的违法、违规和有悖于社会道德的行为进行报道,在不超过必要限度的情况下完全可以自由批评。日本最高法院在涉及被遗忘权的终审判决中指出,判定被遗忘权是否适用,需要在信息的重要性、向大众提供信息的必要性以及当事人的人格尊严之间进行考量与权衡(2)平成28年(许)第45号,2017年1月31日第三小法庭决定。,维护公共利益的需要是信息控制者拒绝履行删除义务的正当事由。
五、结语
大数据时代,人工智能、云存储技术改变了信息记录与传播模式,数字记忆和个人信息保护之间的冲突不断显现。删除权与被遗忘权作为个人信息保护的重要权利,有利于重塑网络空间自由与隐私的边界,彰显了个人信息安全与人格尊严保护的价值取向。我国目前正值《个人信息保护法》落地与实施初期,作为互联网产业和数字经济发展最为迅速的国家之一,顺应时代发展潮流,强化个人信息保护是应有之义,有必要在《个人信息保护法》的完善过程中厘清删除权与被遗忘权之间的边界,并在合适时机对被遗忘权进行确认,以此构筑科学合理的删除权与被遗忘权规则。诚然,被遗忘权在我国的本土化实践并非一蹴而就,其创设应当秉承谦抑原则,兼顾个人发展与自由创新的二元价值追求,进而实现个人利益与社会利益的平衡,推动个人信息保护的良性发展。