江 溯

一、 欧盟被遗忘权制度的渊源

互联网时代的“遗忘”价值不言而喻，但法律的发展却是一个缓慢的过程。欧盟被遗忘权制度的设立源自欧盟法院判决，随后经由一系列立法细化，最终造就了今日的被遗忘权制度。欧洲的立法者早就将蕴含遗忘价值的文本前瞻性地写入法条。早在1978年，《法国隐私法》第40条就规定了数据主体享有要求控制者删除与其相关的“不准确、不完整、模糊、过期”或被非法处理的信息。(1)Loi No.78-17 du 6 janvier 1978 relative à l’informatique，aux fichiers et aux libertés[Law 78-17 of January 6，1978 on Information Technology，Data Files and Civil Liberties]，JOURNAL OFFICIEL DE LA REPUBLIQUE FRANÇAISE[J.O.][OFFICIAL GAZETTE OF FRANCE]，Jan.7，1978，art.40.这实际上已经很接近今天的被遗忘权制度。1995年欧洲《95/46/EC号指令》规定了数据处理的目的限制，还规定了数据主体有权删除违规处理的数据。(2)Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data，1995 O.J.(L 281)31(EC).2005年，《欧盟基本权利宪章》第8条将个人数据保护上升到人权高度，规定个人数据应“以特定目的”“被公平处理”。(3)Charter of Fundamental Rights of the European Union art.8，December 7，2000，2000 O.J.(C 364)1，10.这构成了“谷歌西班牙案”之前的数据隐私保护的基础。

在“谷歌西班牙案”之前，“被遗忘权”的幽灵就已经在欧洲上空飘荡。欧盟在2012年的立法提案中曾经提出“被遗忘权”，并引发了第一次争议。此后在2013年的立法提案表决中，“被遗忘权”被“删除权”所替代。有学者认为，尽管这项权利采用了《95/46/EC号指令》的“删除权”表述，但实际上它要求“数据控制者消除数据如此尽力，以至于这个数据必须在网络世界中被遗忘”。(4)夏燕：《“被遗忘权”之争——基于欧盟个人数据保护立法改革的考察》，《北京理工大学学报》(社会科学版)2015年第2期。

尽管在这一时期，就有学者指出数据保护法对互联网媒体乃至搜索服务可能的影响。(5)D.Erdos，“Systematically Handicapped:Social Research in the Data Protection Framework”，Information and Communication Technology Law，Vol.20，No.2，2011，pp.83-101;“Data Protection Confronts Freedom of Expression on the ‘New Media’ Internet:The Stance of European Regulatory Authorities”，European Law Review，Vol.40，No.4，2015，pp.531-562.但这种危机仍然潜藏在水底。真正使得“被遗忘权”以及相关争议浮出水面的是2014年5月欧盟法院对“谷歌西班牙案”的裁决。(6)R.C.Post，“Data Privacy and Dignitary Privacy:Google Spain，the Right to Be Forgotten，and the Construction of the Public Sphere”，Duke Law Journal，Vol.67，No.5，2018，pp.961-983.在该案中，马里奥·格斯蒂亚·冈萨雷斯(Mario Costeja González)诉称，当运用谷歌检索其姓名时，结果中显著地展示了一份《先锋报》的公告，内容是其十二年前因未偿还社会保险债务而被拍卖房产。冈萨雷斯认为，此事已经结束多年，不再具有相关性，应予以删除，遂投诉至西班牙数据保护局。西班牙数据保护局认为，《先锋报》不应当被要求删除其数字化文件，因为“其对涉案信息的公开在法律上有正当理由”，它是应劳动和社会事务部的命令发布的。但谷歌应当将此项信息的链接从结果列表中移除，因为“数据保护的基本权利和人类尊严”包括哪怕“只是涉案个人不想让第三方知道该数据的愿望”。谷歌就此上诉至西班牙高等法院，该法院要求欧盟法院解释《95/46/EC号指令》，而欧盟法院在解释中支持了西班牙数据保护局的处理方式，并明确将谷歌定性为数据“控制者”。(7)Case C-131/12，Google Spain SL v.Agencia Espaola de Protección de Datos，2014 E.C.R.317.这就使得该案之前的各种数据保护文本的适用范围，特别是删除权的范围扩张至搜索引擎。该案裁决将这样的权利创设为“被遗忘权”。

该案裁决结果一经宣布，便引发了大量争议。支持者一再强调遗忘对隐私保护的价值，并认为这是欧盟个人数据自决权的延伸。(8)对欧盟个人数据自决权的介绍，参见孔令杰：《个人资料隐私的法律保护》，武汉大学出版社，2009年；杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，《比较法研究》2015年第6期。调查数据也显示，网民希望通过隐私保护法对抗大型网络公司。(9)欧洲调查公司Big Brother Watch于2013年2月在9个国家进行的调查数据表明：79%的用户对自己在网络上的隐私感到担忧，其中41%的用户认为大型网络公司对个人数据的使用正在对用户造成侵害，65%的用户认为国家的法律规则应该迫使Google等大公司遵守网络隐私规则和保护个人权利。New research:Global attitudes to privacy online,http://www.bigbrotherwatch.org.uk/home/2013/06/new-research-global-attitudes-to-privacy-online.html.但诘难者则认为这可能增加商业机构的运营成本，还产生了言论自由、抹除历史等方面的风险。

出于对“被遗忘权”裁决引发的争议的平衡，同时为了让搜索引擎运营商、数据保护机构在审查被遗忘权请求时的标准更加统一，欧盟第29条数据保护工作组于2014年11月迅速颁布了《关于执行欧盟法院对“谷歌西班牙、谷歌公司诉西班牙数据保护局、马里奥·格斯蒂亚·冈萨雷斯”案裁决的指南》。(10)GUIDELINES ON THE IMPLEMENTATION OF THE COURT OF JUSTICE OF THE EUROPEAN UNION JUDGMENT ON “GOOGLE SPAIN AND INC V.AGENCIA ESPAOLA DE PROTECCIN DE DATOS(AEPD)AND MARIO COSTEJA GONZLEZ” C-131/12.载：https://www.dataprotection.ro/servlet/ViewDocument?id=1080，2020年4月21日。该指南列举了13项因素作为审查标准，这13项因素进一步分成五个类别，即关联关系、数据主体特殊性、数据属性、数据公开原因、损害结果。

在“谷歌西班牙案”之后，2016年，欧盟在《一般数据保护条例》(General Data Protection Regulations，“GDPR”)第17条明确将“被遗忘权”成文化，并设置了体系化的规则。根据该条，数据主体享有“要求控制者移除关于其个人数据的权利”。数据控制者不仅负有“及时移除”的义务，还负有告知义务，即“应当考虑可行技术与执行成本，采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们，数据主体已经要求他们移除那些和个人数据相关的链接、备份或复制”。其适用范围具体包括目的不再必要、数据主体撤回同意、数据主体反对处理、已经存在非法处理、履行法律责任、已经收集了提供信息社会服务相关数据等六种情形。该条还设有除外条款，主要包括表达自由/信息自由、执行公共任务(基于公共利益或法律授权)、公共健康、科研/统计目的、法律主张需要等五种情形。(11)Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data，and Repealing Directive 95/46/EC(General Data Protection Regulation)，2016 O.J.(L 119).由此可见，GDPR第17条规定的被遗忘权范围更为宽泛，义务主体从搜索引擎运营商扩大到所有的个人数据控制者。

后GDPR时代的一项重要成文规范是2019年11月欧洲数据保护委员会(EDPB，其前身即第29条数据保护工作组)发布的《关于GDPR中搜索引擎案件被遗忘权标准的5/2019号指南》。(12)Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR，载：https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201905_rtbfsearchengines_forpublicconsultation.pdf，2020年4月22日。该指南对第17.1条和第17.3条项下的每一点均根据搜索引擎运营商可能遇到的场景展开解释。该指南强调，要“在保护隐私和网络用户获取信息的利益之间取得平衡，特别是必须评估个人数据是否在一段时间内过时或没有更新”，要求由数据控制者就第17.1.c条规定的“处理合法性的令人信服的理由”承担举证责任，还说明了搜索引擎运营商的活动可能属于“直接提供信息社会服务”的范畴。对于除外条款，该指南着重阐述了第17.3.a条的适用情形，要求搜索引擎运营商能够证明“将某一内容列入搜索结果列表对于保护互联网用户的信息自由具有严格的必要性”。从内容上看，这些解释无疑承袭了实践中的两个重要司法裁决的主旨，即后文将要介绍的欧盟法院C-136/17号、C-507/17号案例。

尽管欧盟不断通过立法试图兼顾各方利益，特别是化解被遗忘权包含的对言论与信息自由的风险。但是，直到今日，社会各界对被遗忘权制度的争议仍不绝于耳。被遗忘权在制度运行中也出现了许多有争议的案例。因此，在借鉴被遗忘权制度之前，必须深入地了解被遗忘权的实际运行状况，以期对其收益与风险获得全面的了解。

二、 欧盟被遗忘权制度的实际运行

从被遗忘权的实施链条上看，这项权利的运行涉及多个主体。首先是网络服务运营商，在被定性为数据控制者之后，它既是移除义务人，又是被遗忘权请求的审查义务人。被遗忘权制度的实施无疑对网络服务提供商的运营方式产生了重大影响。例如，谷歌已经处理了大量被遗忘权请求，截至2020年4月22日，它共收到918863条移除请求，要求移除3611926条网址。(13)《Google透明度报告》，载：https://transparencyreport.google.com/eu-privacy/overview，2020年5月4日。谷歌还为此成立了专门顾问委员会，设置审查标准。这些数据本身就意味着，被遗忘权的实施过程很难一帆风顺，可能充满对争议解决程序的寻求。事实上，欧盟执法机构和司法机构对相关案例的处理构成了被遗忘权制度运行的重要部分。

(一) 欧盟成员国数据保护机构的执法情况

在执法主体方面，GDPR要求各成员国建立独立监管机构，第58条赋予其调查、矫正、授权和建议等权力，第83条规定了这些监管机构进行行政罚款的一般条件。GDPR第68条设立了欧盟数据保护委员会，以确保各成员国监管机构对GDPR的一致性适用。目前，欧盟各成员国的数据保护机构已经在实践中处理了若干被遗忘权案件。EDPB官网上公布了两则典型的处罚案例。

1.典型处罚一：2019年拉脱维亚国家数据督察署对在线零售商的处罚(14)“Data State Inspectorate of Latvia imposes a financial penalty of 7000 euros against online retailer”，https://edpb.europa.eu/news/national-news/2019/data-state-inspectorate-latvia-imposes-financial-penalty-7000-euros-against_en，2020年4月22日。

2019年8月26日，拉脱维亚国家数据督察署(Data State Inspectorate of Latvia，以下简称“DSI”)干事对在线零售商处以7000欧元的罚款。理由是该零售商没有履行数据控制者执行数据主体请求的责任，拒绝与DSI合作。针对有关在线零售商未遵守GDPR第17条规定的数据主体权利的投诉，DSI展开了调查。DSI在调查此案时确定，请求者在2018年多次要求零售商删除其包括手机号码在内的所有个人数据。零售商没有遵守数据主体删除数据的要求，而是继续处理有争议的个人数据(包括请求者的电话号码)。在确定罚款金额时，DSI考虑了如下因素：侵权的性质、严重程度和持续时间、与监管机构的合作程度、受影响的数据主体数量、零售商上一财年的年度总营业额(GDPR第83.5.b和e条)。

2.典型处罚二：2020年瑞典数据保护局对谷歌的处罚(15)“The Swedish Data Protection Authority imposes administrative fine on Google”，https://edpb.europa.eu/news/national-news/2020/swedish-data-protection-authority-imposes-administrative-fine-google_en，2020年4月22日。

2020年3月10日，瑞典数据保护局(Swedish Data Protection Authority，以下简称“DPA”)对谷歌违反GDPR的行为处以7500万瑞典克朗(约700万欧元)的罚款。2017年，DPA对谷歌如何处理被遗忘权进行审查，认为许多搜索结果列表本应被移除，随后命令谷歌予以移除。2018年，由于有迹象表明谷歌没有完全遵守先前发布的命令，DPA发起了后续审查。审查结果表明，谷歌的问题有三：一是谷歌对移除范围的解释过于狭窄，二是谷歌未能及时移除搜索结果列表，三是谷歌的移除方式不当。在移除方式的问题上，谷歌的做法是：当移除搜索结果列表时，它会以某种方式告知链接指向的网站，从而使网站所有者知道移除了哪个网页链接以及谁是移除请求背后的主张者。这使网站所有者可以将有争议的网页重新发布到另一个网址上，然后将其显示在谷歌搜索中，但这实际上使得移除请求权陷于无效。谷歌在删除搜索结果列表时对网站所有者的告知行为缺乏法律依据。此外，谷歌还通过请求表中的声明给予个人误导性信息。本案的罚款数额是谷歌由于违反GDPR而被罚款的第二大数额。目前谷歌表示将对该案提起上诉。(16)“Google to appeal Swedish data watchdog 7M fine”，https://www.politico.com/news/2020/03/11/google-to-appeal-swedish-data-watchdog-7m-fine-125460，2020年4月22日。

(二) 欧盟及成员国法院的司法判例

从成员国的层面看，根据GDPR第78.3项和第79.2项，欧盟各成员国的法院属于有权审理被遗忘权案件的机构。从欧盟的层面看，根据《欧洲宪法条约》第29条(17)欧共体官方出版局：《欧洲联盟法典》(第三卷)，苏明忠译，北京：国际文化出版公司，2005年，第21页。和《欧洲保护人权和基本自由公约》第32条(18)白桂梅、刘骁：《人权法教学参考资料选编》，北京：北京大学出版社，2012年，第275页。的规定，欧盟法院和欧洲人权法院都可以处理被遗忘权案件。以下是两则有代表性的司法判例。

1.典型案例一：谷歌诉法国国家信息与自由委员会案(C-507/17号)(19)https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1587555637341&uri=CELEX:62017CJ0507，2020年4月22日。

2019年9月24日，欧盟法院对谷歌公司诉法国国家信息与自由委员会(Commission nationale de l’informatique et des libertés，以下简称“CNIL”)案件(C-507/17号)做出了初审裁定。在这个案件中，法官对广受瞩目的“被遗忘权是否在全球范围内适用”这一问题做出了回应。

2015年5月21日，CNIL要求谷歌在实施被遗忘权请求时，必须将对链接的移除应用于其搜索引擎的所有域名扩展名。谷歌对此表示拒绝，并提出了“地域封锁”建议，即无论使用哪个版本的搜索引擎对数据主体姓名进行检索，只要其IP地址被认为位于数据主体居住国，其对争议显示结果的访问都会被拒绝。但CNIL认为这项建议是不充分的，并对其处以100000欧元罚款。谷歌向法国最高行政法院(Conseil d’état)申请撤销该决定。随后，法国最高行政法院请求欧盟法院就“断链权”(right to de-referencing)的实施范围以及具体方式(如“地理封锁”的合规性)进行初步裁定。

法院首先明确，对个人数据的保护并非一项绝对的权利，而是应当考虑其社会功能，并与其他基本权利相平衡，以符合比例原则。从文义解释上看，包括GDPR在内的欧盟法没有为被遗忘权设定超越成员国领土的范围。法院认为，为了保证欧盟数据保护的一致性和高水平，并减少欧盟内部个人数据流动的障碍，原则上应当在所有成员国内实施断链。如有必要，搜索引擎运营商应采取足够有效的措施，以确保有效保护数据主体的基本权利。这些措施本身必须符合所有的法律要求，并具有防止或至少非常不鼓励成员国互联网用户使用基于该数据主体名称进行的搜索来访问相关链接的作用。应当由移交法院确定，谷歌采用或建议的措施是否符合这些要求。法院最后强调，尽管欧盟法律目前不要求在搜索引擎的所有版本上实施移除，但它也不禁止这种做法。因此，一个成员国的监管机构或司法机关仍有权根据保护基本权利的国家标准进行权衡，权衡之后可以适当地命令运营商对该搜索引擎的所有版本进行断链。

2.典型案例二：GC等诉法国国家信息与自由委员会案(C-136/17号)(20)https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1587604566663&uri=CELEX:62017CJ0136，2020年4月22日。

2019年9月24日，欧盟法院对GC等诉法国国家信息与自由委员会(简称“CNIL”)案件(C-136/17号)做出了初审裁定。在这个案件中，法官对一些用户提出的涉及特殊个人数据的断链请求进行了分析，试图在个人数据保护与公共利益之间取得平衡。

在本案中，四位原告分别向谷歌提出被遗忘权申请，内容主要包括与原告有关的政治讽刺视频、司法程序调查、刑事听证报道、教会成员自杀事件报道等，但谷歌予以拒绝。原告向CNIL申诉失败，遂向法国最高行政法院起诉。法国最高行政法院随后要求欧盟法院解释被遗忘权规则。

首先，法院明确了被遗忘权适用于搜索引擎运营商。应根据运营商的责任、权力和能力，将相关条款适用于作为搜索引擎活动中实施处理的控制者的搜索引擎运营商，适用的前提是在数据主体申请之后，在适格国家机构的监督下，由运营商加以验证。

其次，法院对搜索引擎运营商对断链请求的审查标准进行了分析。原则上要求搜索引擎运营商遵守指令第8.1和8.5条以及该指令规定的例外，它们应当同意针对包含这些规定所指特殊类别个人数据的网页的断链请求。如果运营商确定，争议链接所指向的内容尽管包含属于第8.1条所列特殊类别的数据，但也包含第8.2.e条所规定的例外，并且其处理符合指令规定的所有其他合法条件，则可以拒绝同意断链请求，除非该数据主体有权根据该指令的第14.a条以其特定情况下令人信服的合法理由反对该处理。当搜索引擎运营商收到要求其移除发布了该指令第8.1和8.5条所指特殊类别个人数据的网页的断链请求时，应当根据特定案例的所有相关因素，考虑到对《欧盟基本权利宪章》第7条和第8条规定的数据主体的基本隐私权和个人数据保护的侵犯严重程度，关注到指令第8.4条规定的重大公共利益理由以及该条所列条件，来确定为了实现《宪章》第11条所保障的互联网用户可能通过检索数据主体姓名而访问该网页的信息自由权，根据这种检索方式而在结果列表中显示该链接是否具有严格必要性。

最后，法院还就一些特殊的数据的断链权问题做出了解释。与针对个人提起的法律程序有关的信息，以及视情况可以是与定罪有关的信息，属于指令第8.5条所指的“犯罪”和“刑事定罪”相关的数据；如果此类信息与所涉法律程序的较早阶段有关，并且考虑到法律程序的进程，该信息不再符合当前情况，根据指令第8.4条规定的重大公共利益理由，考虑到该案所有情形能够确定，《欧盟基本权利宪章》第7条和第8条所保障的数据主体的基本权利优先于《宪章》第11条所保护的潜在感兴趣的互联网用户的权利，那么，搜索引擎运营商必须同意对显示此类信息网页的链接的断链请求。

(三) 被遗忘权运行现状的基本特征

从上述四则案例，我们可以归纳出欧盟被遗忘权实际运行的一些基本特点：

第一，被遗忘权在运行过程中争议最大的是涉及搜索引擎运营商的案件。这与被遗忘权的特性有关，虽然GDPR将被遗忘权的适用对象规定为所有“数据控制者”，但具有被遗忘需求的主要还是那些更容易被发现的个人数据。通常情况下，搜索引擎运营商处理的数据都以某种形式在网上公开，它的处理提升了这些数据被发现的可能。欧盟发布的两个指南都是针对搜索引擎运营商的案件，这一点也可以佐证我们的判断。

第二，被遗忘权所涉及的被“处理”的数据主要是公开的数据。尽管GDPR并未限制数据处理的形态，但那些未被公开的数据很难被数据主体发现，从而难以得到救济。拉脱维亚的处罚案例从反面证明了这一点，该案中的在线商店在获得数据主体的手机号之后，不断发送商业短信，(21)拉脱维亚数据督察署(Datu valsts inspekcija)网站：https://www.dvi.gov.lv/lv/zinas/datu-valsts-inspekcija-piemero-7000-eiro-lielu-naudas-sodu-internetveikalam-par-personas-datu-apstrades-parkapumiem/，2020年5月3日。才导致数据主体不甘受扰，寻求救济。

第三，被遗忘权涉及的利益平衡问题尚未得到彻底解决，有待于判例的发展。被遗忘权产生伊始就伴随着强烈的利益冲突，竞争的一方是数据主体的隐私与数据保护权益，而另一方是具有公共性的知情权、言论自由与信息自由等权益。尽管欧盟在2014年的指南中就已经列举了种种因素，以谋求这两项权益的平衡，但在实践中却犹如走钢丝。这里的困难既表现为审查标准的不确定(例如C-136/17号案件)，也表现为技术细节上的非难(例如瑞典数据保护局在处罚中对谷歌的申请表和通知发布者都进行了攻击)。虽然欧盟在2019年的指南中继续强调平衡的重要性，但显然这个问题并非成文法所能解决，只能通过判例给出情境化的参考标准。

第四，被遗忘权的技术标准有待于完善，其效力困境反映出法律协调方面的挑战。被遗忘权的实施不仅需要进行法学上的利益考量，更关键的是如何运用互联网技术来加以实现。在这个“代码即法律”(22)[美]劳伦斯·莱斯格：《代码2.0：网络空间中的法律》，李旭、沈伟伟译，北京：清华大学出版社，2009年，第1页。的时代，技术实现方案可能比法律文本更为重要。瑞典的处罚案例表明，通知的技术细节正在受到质疑。法律协调的难题不仅体现在欧盟内部，C-507/17号案例还体现了域外法协调的困难。尽管法官努力寻求各成员国之间数据保护的一致性，但显然对于可以自由访问的其他国家域名扩展版，GDPR是无能为力的。

三、 欧盟被遗忘权运行的核心难题

欧盟被遗忘权在实际运行中不断涌现出新的问题，这显示了仅仅依靠成文法还不足以定分止争。笔者将被遗忘权实践中的主要问题归为以下三点：(1)如何在隐私及个人信息保护和公共利益之间取得平衡？(2)在将被遗忘权首要审查责任交给数据控制者之后，如何保障其实施的正当程序？(3)面对各国互联网价值的不平衡，如何在不同的法域间相协调？

(一) 如何平衡个人数据权利与公共利益

被遗忘权制度天然存在着个人数据保护与公共利益之间的矛盾。如何解决这一平衡引发的矛盾是至关重要的，它可能影响到公众的知情权，(23)See D.Sidhu，“We Don’t Need a ‘Right to Be Forgotten’，We Need a Right to Evolve”，The New Republic，available at https://newrepublic.com/article/120181/america-shouldnt-even-need-right-be-forgotten，2020年5月4日。进而影响到构成民主社会基石的言论自由。(24)R.G.Larson III，“Forgetting the First Amendment:How Obscurity-Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech”，Commercial Law and Policy，Vol.18，No.1，2013，pp.91-120.罗伯特·波斯特教授认为，被遗忘权与言论自由之间存在着紧张关系，“谷歌西班牙案”确立的被遗忘权会对哈贝马斯提出的“社会交往行为”造成侵蚀。被遗忘权制度内含着数据因“特定目的”而被收集和使用的工具理性逻辑，但是公共领域的特征是交往行为，而非工具理性。只有在公共领域中允许主体性而非工具性的公共商谈，才能形成民主制度所必需的言论自由。(25)R.C.Post，“Data Privacy and Dignitary Privacy:Google Spain，the Right to Be Forgotten，and the Construction of the Public Sphere”.

欧盟法已经注意到这一问题并努力协调这种矛盾。GDPR序言第65段规定：“如果保留数据违反了控制者所应遵循的本条例或欧盟或成员国法律，则数据主体享有……被遗忘权。……但是，为了行使表达和信息自由权，在必要的情况下进一步保留个人数据是合法的。”第9.2.g条规定了在“出于重大公共利益考虑有必要进行处理时”对处理特殊类别个人数据的豁免。第17.3.a条规定被遗忘权的例外情形时，提到了“表达自由和信息自由”“执行基于公共利益的任务”“公共健康”等多种涉及公共利益的情形。欧盟法院在C-507/17号裁定和C-136/17号裁定中再三强调，要注意“个人数据保护并非一项绝对的权利，而是应当考虑其社会功能，并与其他基本权利相平衡，以符合比例原则”，要“在隐私权和个人数据保护与互联网用户的信息自由之间进行平衡”。

但是，如何设置可以平衡这两种利益的被遗忘权制度并非易事。即使是专门处理这一问题的C-136/17号裁定，欧盟法院也只是列举了若干项需要考虑的因素，将审查义务又推给了作为数据控制者的搜索引擎运营商。事实上，如何才算考虑到“特定案例的所有相关因素”，欧盟法院也不可能进行穷尽式的列举。2020年瑞典数据保护局对谷歌的处罚案例也反映出执法机构进行权衡的困境，是否将处理结果告知第三方发布者不仅涉及发布者知情权，也涉及被遗忘权制度运行的弹性。或许，无法通过立法设置统一规则解决这一矛盾，而是需要对其实施细则进行更详细的场景化界定，(26)丁晓东：《被遗忘权的基本原理与场景化界定》，《清华法学》2018年第6期。并且通过判例法提供更多可供借鉴的思路。

(二) 如何保障被遗忘权实施的正当程序

正当程序原则与被遗忘权制度发生龃龉的根本原因在于，在法律规则不甚明确的情况下，欧盟法实际上将审查权交给了谷歌这样的私人主体。“判决把搜索引擎变成了法官，让其负责去衡量一个主体的隐私权是否高于另一个主体的言论自由。”(27)郑志峰：《网络社会的被遗忘权研究》，《法商研究》2015年第6期。但是，私人主体不受行政法规制，GDPR也并未对私人主体审查被遗忘权的程序性要求提供充分的规则供给。

因此，正当程序的首要问题是明确被遗忘权审查义务主体及其性质。杰克·保尔金教授指出，目前的权力配置模式改变了既有的言论规制二元模式，在原有的政府和发言者之间出现了提供基础设置的私人企业。(28)J.M.Balkin，“Free Speech in the Algorithmic Society:Big Data，Private Governance，and New School Speech Regulation”，U.C.Davis Law Review，Vol.51，2018，pp.1149-1210.尽管将这一审查义务赋予谷歌这样的搜索引擎运营商在制度运行效率方面更为便捷，但是如何将搜索引擎运营商的审查权力关进制度的笼子里，还需要更加精细的设计。凯特·科洛尼科教授认为，应当将这些私人公司登记为“公益公司”并在其章程中加以限制。(29)K.Klonick，“The New Governor:The People，Rules，and Processes Governing Online Speech”，Harvard Law Review，Vol.131，2018，pp.1598-1670.

除主体性质外，正当程序还要求增加更多的细则，以保障网络用户的程序性权利。目前，由于欧盟法将第一步的审查权赋予私人主体，在规则透明度、申诉机制、外部监督等方面都有许多不足。尽管我们在新闻首页上常常看到的是对谷歌这样的大公司的报道，但并不意味着所有数据处理者都能像谷歌那样设立专门的网页发布透明度报告，更难像谷歌那样有足够的财力和人力专门发表论文，对过往数据进行分析。现实中更多的私人主体可能更像2019年拉脱维亚处罚案例中的在线零售商一样，不仅对被遗忘权请求不闻不问，而且根本无法建立内部的审查机制。即使像谷歌这样更有能力在实施过程中贯彻正当程序的私人主体，在具体技术方案的设计上也不乏充满争议之处。因此，我国有学者建议，应当通过规则公开、给予被请求删除的原始网页抗辩机会、公共利益代表、个案决定透明化以及政府监督等要求促进正当程序，以弥补私主体裁决的正当性不足问题。(30)蔡培如：《被遗忘权制度的反思与再建构》，《清华法学》2019年第5期。

(三) 如何在不同法域间协调被遗忘权制度

被遗忘权实施的另一个重大困境在于，很难彻底实现对某个数据的遗忘。一方面，从技术上看，互联网从诞生以来就是开放的，数据的复制和传播极为便捷，信息分享的方式也十分多元化，信息一旦开始传播就基本不可能将其删除。(31)Gregory Ferenstein，On California’s Bizarre Internet Eraser Law for Teenagers，https://techcrunch.com/2013/09/24/on-californias-bizarre-internet-eraser-law-for-teenagers/，2020年4月22日。另一方面，技术上难以实现彻底移除的背后，也反映出全球不同法律之间的障碍。正如谷歌诉法国国家信息与自由委员会案(C-507/17号)所显示的那样，即使在申请者所在的成员国的域名上移除链接，任何人依然可以通过其他国家的域名在互联网上搜索访问该网页。这是因为，不同国家对互联网的价值有着不同的理解，从而对隐私权和数据主体权利的保护程度有所区别。

不同法域的个人数据保护规则对互联网世界造成了巨大的影响。一方面，数据保护法律的不统一阻碍了数据的跨境流动，给互联网企业带来了更高的合规成本，也使得处于同一个网络世界的公民们因地理位置的差别而享有不平等的保护。另一方面，不同国家和地区数据保护规则的差异使得被遗忘权的实施效果大打折扣，即便是在欧盟这样具有较高数据保护倾向的地区，被遗忘权的效力范围仍然模糊不清。

在不同法域之间协调被遗忘权制度的困难，表面上在于各国的数据保护规则不同，例如被遗忘权制度在很多法域并无规定，但更实质性的问题在于不同国家和地区对被遗忘权制度的价值位阶理解不同。例如，美国许多学者都对被遗忘权持抗拒态度，就是因为这会冲击第一修正案所保护的言论自由价值。(32)R.G.Larson III，“Forgetting the First Amendment:How Obscurity-Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech”，Commercial Law & Policy，Vol.18，No.1，2013，pp.91-120;J.Rosen，“The Right to Be Forgotten”，Stanford Law Review，Vol.64，2012，pp.88-92.有学者则认为，被遗忘权制度可能会引发对大西洋两岸数据跨境流动的阻碍，并提议参照美国判例法上对不同主体的隐私保护“三分法”规则，建立相应的被遗忘权制度，以调和欧美之间在言论自由与个人信息保护之间的差异。(33)M.L.Rustad & S.Kulevska，“Reconceptualizing the Right to Be Forgotten to Enable Transatlantic Data Flow”，Harvard Journal of Law and Technology，Vol.28，No.2，pp.349-417.

四、 结论

经过一系列立法，被遗忘权已经成为欧盟个人数据保护法上的重要制度。目前，谷歌等网络服务运营商已经处理了大量被遗忘权请求。但是，从欧盟执法和司法的典型案例来看，如何平衡数据主体权利与公共利益仍属难题，被遗忘权实施过程中正当程序原则正在经受挑战，不同法域之间的规则冲突也为被遗忘权实践带来诸多问题。我国在引入被遗忘权制度时，应当借鉴欧盟法的运行得失，在立法时做好价值衡量，设计更为精细且兼顾程序正义的规则，并借助司法积累案例发展场景化规则。