APP下载

被遗忘权立法的美国模式及其立法启示
——以加州被遗忘权立法为研究背景*

2022-02-04刘洪华

时代法学 2022年1期
关键词:加州法案个人信息

刘洪华

(广东外语外贸大学法学院、华南国际知识产权研究院,广东 广州 510420)

欧盟被遗忘权立法引发了一场轰动全球的大辩论,尽管曾遭遇来自欧盟内部成员国的质疑和信息科技大国美国的反对,欧盟最终在《一般数据保护条例》(General Data Protection Regulation, GDPR)中确立了该制度,其立法理念迅速在全球扩散。受欧盟立法影响,许多非欧盟国家和地区也开始通过立法或司法判例构建具有本国特色的被遗忘权制度。网络全球化以及互联网环境下隐私保护新需求促使美国不得不考虑这项新制度。作为美国信息产业中心的加利福尼亚州曾两度通过立法构建被遗忘权制度。2015年1月1日生效的《数字世界中加州未成年人隐私权法》(Privacy Rights for California Minors in the Digital World)构建了未成年人的被遗忘权制度,2020年1月1日生效的《加州消费者隐私法案》(the California Consumer Privacy Act of 2018, CCPA)构建了美国首个适用于普通消费者的被遗忘权制度,2020年11月加州通过《加州隐私权法案》(The California Privacy Rights Act of 2020,CPRA)完善了CCPA的相关规定,进一步加强了对被遗忘权的保护(1)2020年11月3日,加州第24号提案颁布了《2020年加利福尼亚隐私权法案》(CPRA),对《加利福尼亚消费者隐私法》(CCPA)的规定作了重大修订,该法案将于2023年1月1日生效,此后CCPA将被纳入CPRA。。加州是诸多全球性信息科技巨头的集散地,其网络隐私保护立法不仅在美国具有引领性,对全球互联网法治也将产生重要影响。曾经在被遗忘权立法上分歧严重的欧洲和美国,似乎最终“殊途同归”(2)刘洪华. 欧盟被遗忘权立法及其对我国的启示[J]. 西部法学评论, 2018,(5).。作为对比,研究被遗忘权立法在美国的产生背景、具体内容、特色和影响,将为了解和把握被遗忘权以及个人信息保护的立法趋势提供比较法上的视角,具有重要的理论和现实意义。

一、美国被遗忘权的立法背景

(一)大数据时代的网络隐私保护危机

美国学者指出,自1890年布兰代斯和沃伦首次提出隐私权概念以来,隐私权法在上个世纪至今逾125年的时间内,在普通法中进展缓慢(3)See John W. Dowdell, An American Right to Be Forgotten, 52 Tulsa Law Review 311, 311 (2017).。互联网的出现甚至促使许多美国人认为,这项新技术已经导致了隐私的死亡(4)See A. Michael Froomkin, The Death of Privacy, 52 Stanford Law Review1461, 1465(2000).。“不论多么私密、危险、有害、敏感或隐秘的信息,只要用一台电脑和互联网连接,它们就被公之于众,不再隐秘。”(5)Alex Kozinski, The Dead Past, 64 Stanford Law Review Online 117, 124(2012).人们在享受网络时代各种资讯便捷的同时,也在付出牺牲隐私的代价。当前备受关注的“遗忘是例外,记忆是常态”的网络信息存储模式已给广大网络用户带来了烦扰。

即将成为教师的史黛西·施奈德(Stacy Snyder)女士因在个人主页MySpace发布了一张假扮海盗举杯饮酒的“喝醉的海盗”的搞怪照片,被其心仪的学校认为其形象不适合担任教师,她想要删除这张照片,却发现其个人主页已被搜索引擎编录,照片已被网络爬虫程序存档,无法删除(6)[英]维克托·迈尔-舍恩伯格.删除:大数据取舍之道[M]. 袁杰译. 杭州:浙江人民出版社,2013.5.。卡索拉斯(Catsouras)先生刚刚高中毕业的女儿因交通事故死亡,事故照片被他人当作万圣节的消遣图片,传到发布可怕照片的网站上,卡索拉斯先生想要删除这些照片,却无法得到法律的支持(7)See Toobin Jeffrey, The Solace of Oblivion. The New Yorker, (September 24, 2014),https://cacm.acm.org/news/178857-the-solace-of-oblivion/fulltext, 2020-03-21.。报复色情网站(revenge porn websites)发布大量已分手恋人的不雅照片以及纯粹使性伙伴尴尬或骚扰性伙伴的色情照片,这些照片的本人却无法要求删除(8)一名女高中生因前男友发布其裸体照到该网站不堪骚扰而自杀身亡。See Kim Zetter, Parents of Dead Teen Sue School over Sexting Images.WIRED,(Dec. 8, 2009)http://www.wired.com/2009/12/sexting-suit, 2020-03-21.。异性交友网站(ashleymadison.com)因黑客攻击泄露了数百万用户的个人信息,受害者在美国多个法院提起集体诉讼,这些原告却无法迫使第三方网站删除先前由黑客传播的个人信息(9)See Mackenzie Olson, Equitable Recovery for Ashley Madison Hack Victims:The Federal Trade Commission as Executor of a Narrow Right to Be Forgotten in the United States, 12 Washington Journal of Law, Technology & Arts 61,63(2016).。

首席法官柯辛斯基(Alex Kozinski)指出:“人们以为从互联网上删除东西如同从游泳池除掉尿液一样容易,这只是动听的故事”(10)Alex Kozinski, The Dead Past, 64 Stanford Law Review Online 117, 124(2012).。在美国,基于对言论自由的保护和对网络服务提供者责任的限制,网络服务提供者并无删除他人在其网站上发布的信息的法定义务,即使这些信息涉嫌诽谤或侵权(11)See The Communications Decency Act, 47 U.S.C.§230. 该法条的立法本意是保护网络言论自由和让互联网在“最小限度的政府监管”下蓬勃发展,但是近些年来却成为诸多网络不法内容的有力庇护,引致批判和反思。See Benjamin Volpe, From Innovation to Abuse:Does the Internet Still Need Section 230 Immunity, 68 Catholic University Law Review 597, 597-623(2019).。虽然《数字千年版权法案》(DMCA)规定网络服务提供者有义务删除未经版权所有人授权而在其网站上发布的信息,但申请人需证明自己对这些网络信息拥有版权,且未向发布者授权(12)See The Digital Millennium Copyright Act (DMCA), 17 U.S.C.§512.。实践中,多数被要求删除的信息是未经数据主体同意被他人发布于网络,但申请删除者并非这些内容的版权人,如前述卡索拉斯先生女儿事故照片案中,涉案照片的版权属于拍摄照片的巡警,卡索拉斯先生的诉求未能得到法院的支持。

(二)被遗忘权立法理念的全球扩散

美国哀叹隐私已经死亡,欧盟却在积极探索数据保护法改革,雄心勃勃地提出要“使欧洲成为数字时代现代数据保护规则标准的制定者”(13)See Vivian Reding, The EU Data Protection Reform 2012:Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age. European Commission, (January 24, 2012),https://ec.europa.eu/commission/presscorner/detail/en/SPEECH_12_26, 2020-03-22.。赋予数据主体被遗忘权是欧盟自2012年启动的个人数据保护法改革中强化个人数据控制权的重要制度,该制度得到民众的广泛支持(14)据欧委会的立法调查,75%的欧洲民众支持被遗忘权立法。See European Commission—Press Release, Data Protection:Europeans Share Data Online, But Privacy Concerns Remain—New Survey. Brussels,(June 16,2011)http://europa.eu/rapid/press-release_IP-11-742_en.htm, 2020-03-22.。2014年5月,在“谷歌诉冈萨雷斯案”中,欧盟法院判决谷歌从其搜索列表中删除“不充分的”“不相关的”“不再相关的”信息(15)See Google Spain SL, Google Inc. v. Agencia Espaola de Protección de Datos, Mario Costeja González, 2014 E.C.R. C-131/12.,确立了对数据主体被遗忘权的司法保护。由于谷歌公司在搜索引擎业务中的全球影响力,被遗忘权制度和理念迅速在全球扩散,自2014年5月该案判决以来至2018年4月GDPR正式生效,仅在欧洲,谷歌就收到了200多万个要求实现被遗忘权的信息删除请求(16)See Dawn Carla Nunziato, The Fourth Year of Forgetting:The Troubling Expansion of the Right to Be Forgotten, 39 University of Pennsylvania Journal of International Law 1011, 1014(2018).。

非欧盟国家的网民也开始提出保护被遗忘权的要求,有不少国家已在立法或司法层面认可被遗忘权。俄罗斯于2015年7月通过了一项被遗忘权立法,赋予数据主体要求搜索引擎删除与自己有关的不准确的、不具有现实意义的或者违反俄罗斯法律的信息链接的权利(17)张建文.俄罗斯被遗忘权立法的意图、架构与特点[J].求是学刊,2016,(5).。2015年,日本一家地区法院判决支持了一项要求谷歌删除有关原告3年前犯罪被捕信息的被遗忘权诉求(18)王辉.日法院要求谷歌删除旧闻保护“被遗忘权”[EB/OL].(2016-02-28)[2020-03-22].中国日报网,http://www.chinadaily.com.cn/interface/toutiaonew/53002523/2016-02-28/cd_23671732.html.,哥伦比亚宪法法院也在一个案件中判决支持原告要求网站删除其过去的犯罪信息的诉求(19)See Dawn Carla Nunziato, The Fourth Year of Forgetting:The Troubling Expansion of the Right to Be Forgotten, 39 University of Pennsylvania Journal of International Law 1011, 1062(2018).。2016年,韩国官方指定的媒体监控机构表示,允许互联网用户请求从搜索引擎列表中删除某些搜索结果(20)See Edward L. Carter, Argentina’s Right to Be Forgotten, 27 Emory International Law Review 23, 34 (2013).。

美国有不少学者对欧盟被遗忘权持反对意见,隐私法专家Jeffrey Rosen认为被遗忘权将在隐私保护与言论自由之间引发巨大冲突,甚至会影响互联网的开放性(21)See Jeffrey Rosen, The Right To Be Forgotten, 64 Stanford Law Review Online 88, 88(2012).。另有专家则认为,目前已有占世界1/3的人口生活在被遗忘权制度下,被遗忘权的全球性扩张趋势使美国面临考虑这项权利的紧迫性(22)See Hillary C. Webb, People Don’t Forget:The Necessity of Legislative Guidance in Implementing a U.S. Right to Be Forgotten, 85 George Washington Law Review 1304, 1317 (2017).。美国民众也对美国网络隐私保护力度表示了不满意,对享有被遗忘权表达了期待。2013年9月,美国皮尤基金会皮尤研究中心发布的一份报告显示,68%的用户认为美国保护网络隐私的法律是不充分的,41%的用户曾试图删除或编辑过去发布的网络信息(23)Pew Research Center, Anonymity, Privacy, and Security Online. (May 5, 2009),http://www.pewinternet.org/files/old-media//Files/Reports/2013/PIP_AnonymityOnline_090513.pdf, 2021-03-15.。2014年9月,美国软件咨询公司(Software Advice)在一项关于被遗忘权的研究中,对500名美国成年人的调研显示,他们中的大部分(61%)赞成赋予美国公民某种形式的被遗忘权,其中39%的人希望拥有没有任何限制的欧洲风格(European-style)的被遗忘权,47%的人认为“无关”的搜索结果会损害个人声誉(24)David Humphries, U.S. Attitudes Toward the “Right to be Forgotten”. Software Advice, (September 5, 2014),http://www.softwareadvice.com/security/industryview/right-to-be-forgotten-2014/, 2021-03-20.。

二、美国被遗忘权的立法现状与具体内容

(一)联邦层面的被遗忘权立法努力

面对信息技术新发展带来的隐私保护危机,欧盟积极筹划修改个人数据保护法,美国奥巴马政府也在促进网络隐私保护的立法完善方面展开了积极探索。2010年,美国联邦贸易委员会在《快速变革时代消费者隐私保护:针对企业界和政策制定者的建议》中,建议赋予消费者要求企业删除不再必要的个人信息的权利,并允许消费者获取其本人信息和在适当情况下隐瞒和删除其本人信息(25)Federal Trade Commission, Protecting Consumer Privacy in an Era of Rapid Change:A Proposed Framework For Businesses and Policymakers[EB/OL].(December 1, 2010) https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-bureau-consumer-protection-preliminary-ftc-staff-report-protecting-consumer/101201privacyreport.pdf, 2021-03-20.。2012年,欧盟委员会发布GDPR提案后不久,奥巴马政府发布了一份颇具雄心的提案——《网络世界的消费者信息隐私:一个在全球数字经济时代保护隐私和促进创新的框架》(Consumer Data Privacy In A Networked World:A Framework For Protecting Privacy And Promoting Innovation In The Global Digital Economy),并于2015年发布了法律草案《消费者隐私权法案》(以下简称《法案》)(Consumer Privacy Bill of Rights Act of 2015)。美国的《法案》与GDPR类似,旨在加强对网络用户的隐私保护,以在网络环境中建立信任,刺激经济增长和创新。该《法案》在美国具有突破性意义,它保护所有私营企业中可识别的消费者信息,打破了按行业分类保护,各自为政的格局,是自1974年《联邦隐私权法案》颁布以来,联邦隐私立法全面改革的第一次尝试(26)Wendy K. Mariner & Michael E. Cannella, The Consumer Privacy Bill of Rights:Window Dressing for Data Mining, 41 Human Rights 21, 21 (2015).。《法案》第5条规定了消费者有权要求企业纠正不准确的信息和删除信息。但是该《法案》未能在奥巴马执政期间走完立法程序,于2017年被特朗普政府废除。

联邦层面的立法努力还有提出为未成年人创建“删除按钮”,赋予美国所有未成年人被遗忘权的“不跟踪孩子法案”(Do Not Track Kids Act)。2011年,美国两党国会隐私核心小组联合主席,众议员马基(Edward J. Markey)和巴顿(Joe Barton)首次提出该法案,希望通过修订1998年制定的《儿童在线隐私保护法》(the Children’s Online Privacy Protection Act of 1998),强化和更新有关收集、使用和披露儿童个人信息的规定,并对儿童和青少年的个人信息建立新的保护制度,其中之一即是赋予未成年人被遗忘权。法案提出,企业和网络服务提供者应该为孩子创建“删除按钮”,在技术可行的情况下允许未成年用户删除公开发布的个人信息。马基指出,被遗忘权是“发展权”,我们必须使未成年人“解放未来的自己”,他同时指出“这一权利应该拓展到所有在线用户,但是从保护儿童开始是一个好的出发点”(27)See Meg Leta Ambrose and Jef Ausloos, The Right to Be Forgotten across the Pond, 3 Journal of Information Policy 1, 13 (2013).。然而,联邦立法机关于2013年修订《儿童网络隐私保护法案》时并未采纳“不跟踪孩子法案”关于被遗忘权的立法建议。美国至今尚未在联邦立法层面构建全国适用的被遗忘权制度。

(二)加利福尼亚州的未成年人被遗忘权立法

2013年9月23日,加利福尼亚州通过《数字世界中加利福尼亚州未成年人隐私权法》(参议院第568号法案)(28)Privacy Rights for California Minors in the Digital World,Senate Bill No. 568.,也称“橡皮擦法案”,构建了首个美国未成年人被遗忘权制度。法案规定,互联网网站、在线服务、在线应用程序或移动应用程序的运营商应允许未成年人注册用户删除或请求删除该未成年人发布在互联网网站或应用程序上的内容或信息(content or information),除非该内容或信息是由第三方发布,州或联邦法律的任何其他规定要求运营商或第三方维护该内容或信息,或者运营商对该内容或信息进行了匿名处理。该法案被列入《加利福尼亚州商业和职业法典》第八篇“与互联网相关的规定”之下,从第22580节开始至22582节,其中第22581节共六个条款具体规定了未成年人的被遗忘权制度。

第22581(a)条共四款规定了未成年人被遗忘权的义务主体及其具体义务。义务主体包括直接针对未成年人的互联网网站、在线服务、在线应用程序或移动应用程序的运营商,或实际知道未成年人正在使用其互联网网站、在线服务、在线应用程序,或移动应用程序的运营商(下文统称“网络服务运营商”)。具体义务有四个方面的内容:第一,网络服务运营商应该允许未成年人注册用户删除或经申请后删除其本人发布于网站或应用程序上的内容或信息;第二,网络服务运营商应告知未成年人注册用户他们享有删除或请求删除他们发布到相关网站或应用程序上的信息或内容的权利;第三,网络服务运营商必须明确告知未成年人注册用户删除信息或请求删除信息的操作方法;第四,网络服务运营商应告知未成年人注册用户,依据前述规定所进行的删除不能确保是对有关内容或信息的完全和彻底删除。第22581(b)条规定了被遗忘权的例外,包括5种情形。第一,联邦或州法律的任何其他规定要求运营商或第三方保留该内容或信息。第二,该内容或信息是由未成年人注册用户以外的第三方存储或发布,包括注册用户发布后,被第三方存储、转载或转发的任何内容或信息。第三,运营商对未成年人注册用户发布的内容或信息进行了匿名化处理,通过该信息或内容不能单独识别该未成年人。第四,运营商已依据第22581(a)条第(3)款的规定向其注册用户提供了如何删除或如何请求删除已发布的信息或内容的指引,而该用户未能遵循这些指引来删除信息或提出删除请求。第五,未成年人因提供这些内容而获得补偿或其他对价。第22581(c)条和(d)条进一步规定了两种例外情形,以防止被遗忘权的行使给执法机关和网络服务经营者带来妨碍。其中(c)条规定,本节关于删除信息的规定不能构成对执法机构依法从经营者处获取任何内容或信息的权限的限制。(d)条再次强调本法规定的信息删除的范围和效果受限制,包括:其一,网络服务经营者仅需要删除未成年人用户本人发布的信息或内容,对于第三人对该原始信息的转发、转载或存储,不负有删除义务;其二,网络服务经营者对信息的删除只需使这些原始发布的信息或内容不能再被该服务器上的其他用户和公众看见即可,这些信息仍然可以以某种形式保留在该运营商的服务器上。

“橡皮擦法案”极其谨慎地迈出了构建被遗忘权制度的第一步。它并未采取直接赋权性规定,而是通过对网络服务经营者设定删除义务的方式保护未成年人的被遗忘权。同时,法案规定的被遗忘权适用范围和权限受到很大限制:权利主体仅限于作为加州居民的未成年人;可以删除的内容仅限于未成年人本人发布的原始信息,经他人转发和转载的信息均不在删除之列。但是,该法案毕竟在被遗忘权立法上迈出了前述联邦立法几经努力却未迈出的第一步,由于美国顶级科技公司均聚集在加利福尼亚州,该法案的推出,对美国未成年人信息隐私保护产生了重要影响。

(三)2018年《加州消费者隐私法案》的被遗忘权立法及其最新修订

2018年6月28日,加利福尼亚州通过了《加州消费者隐私法案》(大会第375号法案,简称CCPA)(29)The California Consumer Privacy Act of 2018,Assembly Bill No. 375.。CCPA于2020年1月1日生效,其内容增列入《加州民法典》关于隐私的第三篇第四部分,自第1789.100节开始。2020年11月3日,加州选民投票通过第24号提案颁布了《2020年加州隐私权法案》(简称CPRA),该法案对CCPA的核心制度进行了修订和完善,CPRA将于2023年1月1日生效,在此之前CCPA仍然有效,其后将纳入CPRA(30)The California Privacy Rights Act of 2020, CA Proposition 24 (2020), at Sec. 31(c).。

CCPA是美国通过的首部最广泛、最全面的网络隐私保护法(31)Stuart L. Pardau, The California Consumer Privacy Act:Towards a European-Style Privacy Regime in the United States, 23 Journal of Technology Law & Policy 68, 68-114 (2018).,与美国之前的网络隐私法相比,其突出特点在于明确规定了保护消费者个人信息的一系列权利,包括对于企业收集和使用个人信息的知情权、要求企业删除个人信息的权利(被遗忘权)以及企业出售个人信息时的选择退出权或选择加入权等。法案第1798.105节规定了消费者的被遗忘权,该节共四个条款,规定了消费者被遗忘权的权利内容、企业的义务和被遗忘权的例外。

第1798.105(a)条明确规定消费者享有被遗忘权,指出“消费者有权要求企业删除从该消费者处收集的个人信息”。1798.105(b)条规定企业对于消费者被遗忘权的告知义务,即“收集消费者个人信息的企业应该以一种消费者可以合理访问的形式告知消费者其享有删除其个人信息的权利”。关于“消费者可以合理访问的形式”,1798.130(a)条第(5)款规定,如果企业有在线隐私政策的,则企业应当在其隐私政策中或者任何关于加州消费者隐私权的具体描述中披露相关信息;倘若企业对其网站上的这些政策不做维护的,至少每12个月需要更新一次信息;企业在披露信息时应该对消费者的具体权利进行描述,并告知消费者一个或多个指定的提交请求的方法。1798.105(c)条规定企业的信息删除义务,该条指出,企业在收到消费者要求删除其个人信息的请求后,应当从其记录中删除相关信息,并通知所有服务提供者从其记录中删除该消费者的个人信息。1798.105(d)条规定了企业可以不履行被遗忘权义务的情形,明确列举了9种情形,包括:(1)为了完成收集个人信息的交易,提供消费者要求的商品或服务,或者在企业与消费者存在持续业务关系的背景下可合理预期的信息保留,或者以其他方式履行企业与消费者之间的合同需要保留信息;(2)为检测安全事件,防止恶意欺骗、欺诈或非法活动或为起诉对这些活动负责的人;(3)为调试以识别和修复损害现有预期功能错误而需要保留个人信息;(4)为行使言论自由,保障其他消费者的言论自由权或其他法定权利;(5)遵守《刑法》第 2 部分第 12 标题项下第 3.6 章(从第 1546 节开始)《加州电子通信隐私法》;(6)在消费者已知情并同意情形下,参与为了公众利益且符合道德和所有可适用的隐私法律的、公开的或有同行评审的科学、历史或统计研究,如果企业删除信息可能导致研究成果难以实现或遭到严重损害而需要保留信息;(7)根据消费者与企业的关系,仅在企业内部使用该个人信息,并且这种使用符合消费者的合理预期;(8)遵守法定义务;(9)以与搜集该信息目的相匹配的其他合法方式在企业内部使用消费者的个人信息。

CPRA第5条对CCPA关于被遗忘权的规定作了修订,这些修订既包括措辞上的改进,也包括具体内容的增删。其中比较大的修订集中于第1798.105(c)条关于企业删除信息的义务的规定,修订后的法条在原法条基础上对义务主体和义务内容作了很大的拓展。一方面,删除信息的义务主体由原来的一个即“企业”(a business)拓展到包括“企业”“服务提供者”(service providers)、“承包商”(contractors)以及“企业向其售卖或分享了数据的所有其他第三方”(all third parties)。另一方面,具体内容拓展到包括三方面的规定。其一,收集个人信息的企业的删除义务和通知相关主体删除信息的义务。第1798.105(c)条第(1)款规定,消费者依据第1798.105(a)条向企业提出可验证的删除个人信息的请求后,企业应从其记录中删除该信息,同时通知它的任何服务提供商或承包商从其记录中删除该信息,除非能证明删除是不可能的或者需付出明显不成比例的努力,该企业应通知向其购买了被申请删除的信息或分享了该信息的所有其他第三方删除该信息。其二,对于消费者提出的“删除请求”是否可以保存以及保存的条件作出规定。该条第(2)款规定,唯有为了防止提交了删除信息请求的消费者的信息被出售、为了遵守法律或为了实现本标题所允许的其他目的,企业才可以保存一份删除请求的秘密记录。其三,规定了消费者信息处理企业的服务提供商或承包商在个人信息删除中的义务。该条第(3)款规定,服务提供商或承包商应配合企业对可核实的消费者请求作出回应,在企业的指示下删除或使企业能够删除由服务提供商或承包商收集、使用、处理或保留的该消费者的个人信息,并应通知它自己的任何服务提供商或承包商删除这些信息。服务提供商或承包商应通知从它那里或通过它获取了此类个人信息的任何其他服务提供商、承包商或第三人删除消费者的个人信息,除非这种信息获取是依据企业的指示而为,或者除非这种删除被证明是不可能的或需付出明显不成比例的努力。但是,服务提供商或承包商是以该企业的服务提供者或者承包人的角色收集、使用、处理,或者保留该消费者的个人信息时,无需遵守消费者直接向它提交的删除请求。第1798.105(d)条也作了一些修改,其中比较重要的是删除了企业和其他义务主体可以不履行被遗忘权义务的第(9)种情形,即“以与搜集该信息目的相匹配的其他合法方式在企业内部使用消费者的个人信息”的情形,限缩了不删除信息的范围。此外,CPRA将第1798.105节的条文名称确定为“消费者删除个人信息的权利”(Consumers’ Right to Delete Personal Information)。

CCPA被称为欧盟式的(European-Style)美国最严厉的网络隐私保护法,它赋予消费者一系列保护个人信息隐私的权利,对信息处理者施加以一系列保护个人信息隐私的义务,为信息社会的个人权利保护提供了制度保障。被遗忘权是信息隐私保护的核心制度之一,CCPA对其进行了系统构建,CPRA对被遗忘权的制度体系进行了更精细化的完善,进一步加强了对被遗忘权的保护。在加州立法的创设下,一个美国模式的被遗忘权已经形成。

三、美国法律体系下的被遗忘权立法特色

美国和欧盟基于各自不同的法律传统和立法理念,形成了各具特色的个人信息保护立法模式。被遗忘权是欧盟《一般数据保护条例》(GDPR)立法创设的概念和制度,尽管美国加州的上述立法被美国学者称之为被遗忘权,但是,恰如美国和欧盟各具特色的个人信息保护法,美国与欧盟的被遗忘权制度也各具特色。美国法中的被遗忘权在概念界定、立法形式、具体内容、规制方式以及权利救济上均有自己的特色。

(一)概念界定上采狭义的被遗忘权概念

被遗忘权有广义概念和狭义概念之区分。广义的被遗忘权是指数字世界中个人对与其相关的个人信息进行完全控制的权利,该权利通过个人申请删除与之相关的信息而得到广泛的体现,其含义不仅包括法国、意大利等欧洲国家传统隐私法上的“遗忘权”(droit à l’oubli)(32)“遗忘权”(法语droit à l’oubli,意大利语diritto al’ oblio,英文right to oblivion)是来源于法国隐私法上的制度,是指法律保护因某些事件而成为公众关注焦点的个人,在该事件经过一定期间后,该个人有权从公众关注中消失(被遗忘),重新获得匿名生活和个人隐私。现代信息社会的删除权虽然是指删除信息,但是删除意味着这些信息最终会被遗忘。参见刘洪华.欧盟被遗忘权:源流、内涵和立法价值[J].私法研究,2020,(25):166-182.所蕴含的尊重个人对自我发展的自决权的内涵,也包含现代信息社会删除权所蕴含的“通过删除信息最终实现遗忘”的含义(33)持该观点的学者认为“被遗忘权”既包含遗忘权意义上的“被遗忘”,也包含现代社会信息删除权意义上的“遗忘”。See Napoleon Xanthoulis, The Right to Oblivion in the Information Age:A Human-Rights Based Approach, 10 US-China Law Review, 84-85 (2013).。狭义的被遗忘权是指在数据最小化原则基础上产生的一项权利,是数据主体要求数据持有者履行数据最小化原则义务即删除不再必要的数据的权利(34)See Paul A. Bernal, A Right to Delete?, 2 European Journal of Law and Technology 1, 1-3 (2011).。

欧盟的被遗忘权是从广义概念上提出来的,其目的在于:在大数据和社交媒体时代,将欧洲法上保护隐私的遗忘权制度理念引入网络空间,扩充删除权的内涵,使数据删除的标准从过去强调“数据客观上是否准确、及时、完整、合法”(35)在欧盟GDPR立法前,删除权是与数据的封存、修订、更正、补充等数据处理手段并列规定,删除主要作为前述数据处理方式的替代方式使用,主要针对“不准确的、不再必要的或者非法收集的数据”。例如,欧盟1995年《数据保护指令》在第12条“获取权(right of access)”的(b)项规定删除权,指出:“成员国应保证数据当事人有权从数据控制者处获得:……(b)在适当情形下,更正、删除或封存未依据本指令的规定处理的数据,尤其是不完整或不准确的数据”。,转向同时关照数据主体主观上是否仍希望其个人数据在网络传播或留存,强化个人数据控制权。美国的被遗忘权是狭义的被遗忘权,主要从数据最小化即删除不必要的数据的意义上建构的,但是也包含一定范围的保护个人发展权的内涵。欧盟被遗忘权是“遗忘权”(droit à l’oubli)理念与删除权(the right to erasure)的融合(36)Meg Leta Ambrose and Jef Ausloos, The Right to Be Forgotten Across the Pond, 3 Journal of Information Policy 1, 1 (2013).,美国法上没有类似于欧洲的“遗忘权”制度传统,相反,受制于美国宪法第一修正案关于言论自由的规定,美国的立法和司法实践不支持删除已经公开的真实个人信息。因此,请求删除陈旧的网络新闻以及其他合法公布的网络信息在美国无法得到被遗忘权制度支持。但是,美国法中也有关于封存个人过去的信息以保护个人发展权的制度传统,例如,保护未成年人的“封存青少年犯罪记录制度”,给予破产者另一次机会的“对破产信息的保存和传播不得超过10年”的规定等,这些传统制度在大数据和互联网时代成为被遗忘权所规制的信息删除的一部分。前述“橡皮擦法案”规定的被遗忘权是从保护未成年人的发展权角度构建的,这一信息删除范围相对较宽,只要是未成年人自己发布的信息,法律一般都支持其删除请求。但是欧盟倡导的广泛关照个人尊严、人格、名誉和身份等抽象价值保护的被遗忘权,在美国很难得到支持,因为这很容易致使被遗忘权与其他基本权利,尤其是言论自由权产生难以调和的冲突。因此,除了一些特殊领域,美国的被遗忘权主要从遵循数据最小化原则意义上建构。前述CCPA和CPRA中的被遗忘权主要遵守“不必要的数据就应当删除原则”,立法围绕存储数据的“必要性”设置删除条件,消费者基于特定目的或特定交易而向数据处理者披露自己的信息,在该目的实现后或该交易完毕后,数据处理者有义务满足消费者的删除申请。当然,对于“必要性”也可以作扩大解释,例如过时的与当前情景不符的信息也是不必要的信息,但是受制于“言论自由至上”理念,美国的被遗忘权无论从立法上还是解释上均受到很大限制。

(二)立法形式上属美国隐私权法分散立法的一部分

欧盟法中,个人信息保护权是《欧洲联盟基本权利宪章》中明确规定的基本权利,欧盟采用强有力的专门立法模式来保护个人信息。美国仅将个人信息视为隐私,未形成类似欧盟个人信息保护权的独立的信息隐私权(37)尽管美国学者早已提出信息隐私权概念,但是立法与司法实践并未认可信息隐私权,美国最高法院并不认可存在信息隐私权。See John W. Dowdell, An American Right to Be Forgotten, 52 Tulsa Law Review 311, 331-334 (2017).,也未构建独立的信息隐私法,主要采取分散立法予以保护。

美国有很长的保护隐私权的历史,形成了强大且覆盖面广的隐私权法,但是并没有一部统一适用的隐私权法案,而是按部门、主体和行业分别立法,并采用联邦和州两级立法形式。在信息隐私的联邦立法方面,鉴于对“让互联网在最小限度的政府监管下蓬勃发展”理念的信奉和追求,美国政府主张尽量避免使用强行法规制互联网企业,推崇通过发布指导性行为规范和鼓励企业自律,以塑造良好的市场自治格局。针对信息隐私保护的联邦立法主要集中于三个方面:其一,对与个人身份信息收集与传输相关的部门的法律规制,例如对电话、电子邮件业务部门的专门立法;其二,针对与特定类型的个人信息保护的立法,如针对与健康信息、财务信息保护相关的医疗、银行、证券等特定行业的立法;其三,旨在保护特定群体的个人信息的立法,如针对儿童的个人信息保护的专门立法。联邦层面并未构建普遍适用的信息隐私法,在更广泛的领域,美国网民的网络隐私保护只能依赖网络企业自律。州立法层面,由于美国宪法未明确列举隐私权为宪法权利,隐私权在各州宪法上的地位不同。加州宪法明确规定隐私权是一项不可剥夺的权利,确立了隐私权作为加州居民的宪法权利的地位,为加州在隐私权保护方面的立法突破奠定了基础。加州的隐私权立法比其他州更全面和严格,在信息隐私立法方面更是处于领先地位,被视为美国信息隐私立法的风向标(38)加州关于信息隐私的多项立法在美国均属首创,且通常形成所谓“加州效应”。其于2002年最早通过的《数据泄露通知法》被其他各州仿效,至2018年,美国50个州均颁布了本州的《数据泄露通知法》。See Nicholas F. III Palmieri, Who Should Regulate Data:An Analysis of the California Consumer Privacy Act and Its Effects on Nationwide Data Protection Laws, 11 Hastings Science and Technology Law Journal 37, 54 (2020).。但是,州立法仅是美国分散立法体制的一部分,其效力既受适用范围的限制也受联邦强行法的限制(39)州立法首先受其管辖范围的限制,其次,如果立法内容被认为限制了言论自由或者造成州际贸易壁垒,将被认为与美国《宪法第一修正案》以及第1条第8款关于商业条款的规定相抵触而无效。See Russell Spivak, Too Big a Fish in the Digital Pond:The California Consumer Privacy Act and the Dormant Commerce Clause, 88 University of Cincinnati Law Review 475, 493-514(2020).。由于信息的流动性,网络的互联互通性,在缺乏联邦统一立法情形下,各州分别立法可能进一步加剧信息隐私立法的割裂形势。

美国分散立法体制下的被遗忘权制度在实践中呈现出两方面的特点。一方面,因为仅有州立法对被遗忘权有明确的规定,被遗忘权的适用范围受到很大限制,主要是作为本州居民可以直接援引的法律。另一方面,美国分散立法所造就的企业自律的市场自治模式又可能使信息主体的被遗忘权在较大范围内得到保障。例如,前述报复色情网站问题被披露后,谷歌反思了其之前的政策,指出这些报复色情的内容是对个人和情感的强烈伤害,只会降低受害者(主要是妇女)的地位,明确表示将尊重信息主体的要求,删除未经他们同意而在谷歌搜索结果中共享的裸体或色情图片(40)See Samuel W. Royston, The Right to Be Forgotten:Comparing U.S. and European Approaches, 48 St. Mary’s Law Journal, 270 (2016).。欧盟GDPR生效后,美国的微软公司、苹果公司以及Facebook等全球性互联网公司纷纷修改本公司的隐私声明,表示将在全球范围内遵守GDPR关于个人数据保护的核心规定(41)Michael L. Rustad & Thomas H. Koenig, Towards a Global Data Privacy Standard, 71 Florida Law Review 365, 395-396(2019).,CCPA的颁布也促使业务范围主要在美国国内的互联网企业主动按照CCPA的标准保护消费者的个人信息权利,这实际上使得美国网民能在较大范围内享受被遗忘权受保护的利益。

(三)具体内容上权利主体的权利受到更多限制

与欧盟的被遗忘权相比,美国的被遗忘权受更多限制,这主要是受制于美国对言论自由至高地位的极度维护和对信息经济自由的高度追求。

首先,言论自由权在美国具有宪法赋予的至高地位,被遗忘权必须避免与言论自由相冲突。依据正当法律程序条款(宪法第十四修正案),美国联邦、州乃至各级政府的立法均不可与第一修正案相抵触,因此,加州的两项关于被遗忘权的立法都非常谨慎地避免与言论自由相冲突。“橡皮擦法案”特别强调信息删除的范围仅限于未成年人自己发布的原始信息,不包括被他人转发和转载的信息;CCPA规定的消费者被遗忘权也明确指出:“消费者有权要求企业删除从该消费者处收集的个人信息”。可见,美国的被遗忘权制度特别强调可被删除的信息的来源或出处,一般不支持删除第三人发布的信息,以避免与言论自由冲突。而欧盟的被遗忘权强调信息的内容,如果信息传递的是关于数据主体的过时的、不相关的或不再相关的内容,则数据主体可以要求删除,不论发布信息的主体是谁。

其次,美国更侧重维护企业在信息利用方面的利益。得益于一贯的自由主义经济法治理念,美国成为世界最大的经济体和全球顶级科技公司盛产国。相较于更关注个人权利保护而对信息流动加以更多限制的欧洲,美国更重视信息自由流动对经济发展的促进作用。对于会在一定程度上增加企业合规成本和限制信息利用自由的被遗忘权,美国倾向于最大程度地考虑企业利益而更多地限制信息主体的权利。因此,在前述CCPA规定的9项实现被遗忘权的例外中,有3项是关于企业利用消费者的信息方面的例外,而这其中又有2项是关于企业内部利用这些信息的例外,意味着企业仅在内部使用这些个人信息,不受消费者被遗忘权的限制(42)修订后的CPRA删除了例外情形中的最后一项“(9)在内部以其他合法方式使用消费者的个人信息,该方式与消费者提供其信息的场景相匹配”。。同时,CCPA第1798.145(a)条第(5)项还规定,对于已去标识化的或综合消费者信息中的消费者信息,企业有权收集、使用、保留、出售或披露。此外,CCPA规定的被遗忘权义务仅针对大型企业,中小企业并不受法案规定的被遗忘权限制。依据第1798.140(c)条规定,加州消费者被遗忘权的义务主体限于“年度总收入超过2500万美元,或者为了商业目的,每年单独或组合购买、接收、出售或共享5万人及以上的消费者、家庭或设备的个人信息,或者每年50%以上的收入来自销售消费者的个人信息的企业”。可见,美国法制传统下,信息主体的被遗忘权受到更多限制。

(四)规制方式上重视引导企业自主合规

个人信息保护既关涉个人权利保护,也关涉个人信息流转。美国历来倾向给予企业更多地利用个人信息的自由,相对忽视对个人权利的保护。加州消费者隐私保护法案借鉴欧盟个人数据保护法的“权利话语”模式(43)学者研究指出,个人在欧洲和美国的数据隐私法律制度中的地位存在很大差异。在欧洲,权利对话构成战后欧洲创造欧洲公民身份的关键因素,欧盟法律创造了一种围绕“权利对话”的隐私文化,以保护其“数据主体”;而在美国,数据隐私法关注的是在数据市场中保护消费者,形成了保护“隐私消费者”的“市场话语”体系。See Paul M. Schwartz & Karl-Nikolaus Peifer, Transatlantic Data Privacy Law, 106 Georgetown Law Journal 115, 115-117 (2017).,明确赋予消费者保护其个人信息的一系列权利。但是,加州的立法并非是一种激进式的转向,它在企业规制方面,采取了督促企业自主合规为主,惩罚为辅的思路。

首先,CCPA关于被遗忘权的立法重视对企业行为的指引和规范,而非仅仅强调个人权利的宣示。CCPA对企业如何履行被遗忘权义务有非常明确的指示。例如,法案第1798.105(b)条详细规定了企业对消费者被遗忘权的告知义务,包括企业应采取消费者可以合理访问和易于访问的告知形式,企业在告知消费者该项权利时,必须用通俗易懂的语言明确告知消费者这项权利的具体内容是什么,企业须明确指定并告知消费者至少一种提交信息删除申请的途径等等;修订后的CPRA更是在第1798.105(c)条对处理消费者信息的企业、服务提供者、承包商以及获取了消费者信息的其他第三方,在保护消费者被遗忘权方面的具体义务以及履行义务的具体要求进行了非常详细的规定。

其次,慎用惩罚措施。对于不履行法案规定义务的企业,CCPA规定了罚款处罚,但是采取了延后处罚措施。依据法案第1798.155(b)条的规定,对于任何故意违反法案规定义务者,每次违法行为可能要承担高达7500 美元的罚款额。但是,法案同时规定,企业在接到被指控的违法通知后30天内未能纠正被指控的违法行为时,方构成对本法案的违反(法案第1798.155(a)条)。可见,CCPA对企业的违法行为实质作了延后处罚处理,企业在被正式通知违法后,有30天的改正期,仅在改正期届满后,仍然未纠正违法行为的才予以处罚。

(五)权利救济上限制私人诉权(private right of action)

在消费者隐私保护的执法方面,CCPA授予加州总检察长负责监督法律实施和在具体案件中对违法行为进行评估、提起民事诉讼(civil action)和主张罚款的权力,修订后的CPRA明确规定通过行政执法保护个人信息隐私,设立了专门的行政执法机构——加州隐私保护局(California Privacy Protection Agency)负责消费者隐私保护法的实施和执行(44)The California Privacy Rights Act of 2020, CA Proposition 24 (2020), at Sec. 16,17, 24.。对于企业和相关义务主体不履行法案规定的信息隐私保护义务的,主要由专门机构介入处理,对私人提起民事诉讼的权利予以限制。

依据CCPA第1798.150节和155节以及修订后的CPRA第16条和第17条的规定,企业不履行本法案规定的消费者个人信息保护义务的,除了在数据泄露情形下,消费者享有受限制的提起民事诉讼的权利,对于企业的其他违法情形,应向专门的隐私保护机构寻求解决。法案第1798.150(a)条规定,消费者仅能在“未加密或未经授权的个人信息,因企业违反义务而未采取与这些个人信息特征相符的合理的安全程序和措施予以保护,以致这些信息遭受未经授权的访问和泄露、盗窃或披露”,且具有下列情形之一时提起民事诉讼:“其一,为每个消费者每次事件赔偿不少于100美元且不超过750美元的损害赔偿金或实际损害赔偿金,以数额较大者为准;其二,禁令或宣告性救济;其三,法院认为适当的其他救济。”(45)依据《加州消费者隐私保护法案》第1798.150(a)条的规定,这些条件包括:(A)为每个消费者每次事件赔偿不少于100美元且不超过750美元的损害赔偿金或实际损害赔偿金,以数额较大者为准;(B)禁令或宣告救济;(C)法院认为适当的任何其他救济。第1798.150(b)条还规定在消费者提起诉讼前,企业有30天改正期,在改正期内违法行为得以改正,且不会再发生的,不产生法定损害赔偿诉讼。概括而言,消费者仅能对特定的信息隐私泄露事件有条件地提起民事诉讼。第1798.150(b)条进一步对前述可起诉案件的具体起诉条件进行了规定,指出对于追讨法定损害赔偿的诉讼,消费者需在起诉前30天书面通知企业,告知所涉嫌的违法行为,若企业在30天内改正了被通知的违法行为,且不会再犯的,则消费者不可以就此提起法定损害赔偿诉讼。依据修订后的第1798.155(a)和(b)条的规定,对于违反本法规定义务的任何企业、服务提供商、承包商或其他人员,其每一次违法行为将被处以不超过2500美元的行政罚款(administrative fine),如果是故意违法的,对每一次违法行为处以不超过7500美元的行政罚款,这些罚款将被纳入依据本法设立的消费者隐私基金,用以完全抵消州法院、总检察长和加州隐私保护局在执法过程中产生的任何费用。综合上述规定可见,消费者的被遗忘权被侵犯的,消费者只能向专门的行政执法机关寻求救济,不可以自行提起民事诉讼。

五、美国被遗忘权的立法发展趋势与启示

(一)美国被遗忘权的立法发展趋势

加州的被遗忘权立法被认为是美国信息隐私保护法朝着正确的方向迈进了一步。CCPA在信息隐私保护的立法形式上借鉴了欧盟GDPR强化个人信息控制权的赋权式立法模式,缓解了人们在大数据时代对个人网络信息失控的普遍焦虑,同时,又在被遗忘权的具体制度设计上维护了美国所秉承的言论自由至上和信息自由流动的基本价值理念。尽管分散立法体制下的加州被遗忘权制度只是美国被遗忘权立法的一个特例和先锋,鉴于加州经济在美国信息经济中的重要地位和影响力,它将成为未来美国联邦被遗忘权立法或其他州信息隐私保护立法的一个模型或参考例,在此基础上,当前美国被遗忘权立法可能出现两种方向的发展,这些发展将对国际个人信息保护立法产生影响。

第一,各州分别立法。在美国联邦就被遗忘权进行某种形式的统一立法之前,被遗忘权制度会因“加州效应”而被其他各州作为立法的参照标准纷纷效仿,最终使被遗忘权成为事实上的美国全国性法律制度。目前这一立法动向已经开始。自2018年CCPA颁布以来至今,已有夏威夷、马里兰、马萨诸塞、密西西比、内华达、北达科他州、新墨西哥州、纽约州、罗德岛州和华盛顿州等逾十个州开始了类似CCPA的立法(46)Paul Monnin, A New Wave of Privacy and Consumer Laws:Should the California Consumer Privacy Act Be Implemented in North Dakota?, 95 North Dakota Law Review 345, 363 (2020).。这些州的法案在基本制度设计上参照CCPA,但是在制度的具体内容上形成各种差异。比较典型的差异如被遗忘权的实现保障,CCPA规定由州总检察长执法而排除私人诉讼,其他州可能采取由当事人选择私人诉讼或专门机构执法方式,例如罗德岛州未引入州检察长执法制度,马萨诸塞州在侵权救济上允许受害人提起私人诉讼;对违法行为的罚款和在具体的被遗忘权适用的例外方面,其他州也可能作出不同的具体规定,例如新墨西哥州对于违法者每次违法行为罚款1万美元。因此,在分州立法模式下美国分散立法体制下的被遗忘权制度将呈现差异很大的局面,这将进一步加剧美国信息隐私立法的割据形势,在网络无界限和数据自由流动的环境下,容易形成企业发展以及对企业的监管方面的壁垒。但是,在美国形成一个相对高标准的被遗忘权保护制度将成为大趋势。因为GDPR和CCPA将分别引领被遗忘权的欧洲标准和美国标准,美国的大型互联网公司唯有达到GDPR和CCPA规定的较高的保护标准才能在国际与国内业务中不因违规而被惩罚,因此,即使美国各州在被遗忘权的具体制度和保护标准上存在差异,大型互联网公司将会倾向于直接选择一个高标准以追求在数据保护合规方面一步到位,而企业的高标准个人数据保护政策又将成为其市场竞争的利器,如此,总体趋势上在美国形成一个相对较高标准的被遗忘权已不可避免。当前,修订后的CCPA即CPRA已经进一步强化了对被遗忘权的保护。

第二,美国联邦统一立法。美国也可能通过一部全国适用的综合性网络隐私保护法,其中规定被遗忘权制度。被遗忘权是欧盟GDPR中对美国冲击最大的一个制度,尽管在欧盟提出被遗忘权立法之初,美国各界均表示反对,但是GDPR生效后拥有欧洲业务的美国网络企业必须遵守该制度,美国的研究者也提出美国应该建立一个符合美国价值观的被遗忘权(47)See Hillary C. Webb, People Don’t Forget:The Necessity of Legislative Guidance in Implementing a U.S. Right to Be Forgotten, 85 George Washington Law Review 1304, 1306-1308 (2017).。一方面,由于欧盟被遗忘权制度的域外效力,谷歌等美国大型互联网公司必须遵守被认为与美国的价值观不符的欧盟标准的被遗忘权,美国唯有构建本国的被遗忘权制度,才能对这些大型互联网公司在实施被遗忘权方面的行为予以指导和约束,以保证美国言论自由价值理念得到真正贯彻,落实一个符合美国宪法的被遗忘权制度。另一方面,鉴于互联网的全球性以及被遗忘权在全球各个国家和地区得到不同程度的认可和以不同方式予以实施的状况,美国唯有构建自己的被遗忘权制度,并就如何实施这项制度发表自己的看法和传达自己的价值观,方可在实施被遗忘权的国际标准的形成方面发挥美国的影响力。同时,鉴于新技术的出现和人们世界观的改变,法律革新是美国法律摆脱过时和陈旧的必由之路,在美国宪法精神保持不变的情况下,唯有革新具体的法律制度和规则才能满足对已经发生改变的社会关系的调整需求,以保证具体制度和规则能反映美国的价值观。当前,美国各界对于通过一部统一的联邦网络隐私保护法充满着期待,不仅学者和议员呼吁,大型互联网企业也参与积极推进(48)Emmanuel Pernot-Leplay, EU Influence on Data Privacy Laws:Is the US Approach Converging with the EU Model?, 18 Colorado Technology Law Journal 25, 45-47 (2020).。在外部遭遇来自欧盟个人数据保护法的压力,内部面临各州纷纷出台本州的网络隐私法而进一步割裂对网络贸易的法律监管的压力下,美国极有可能会出台一部统一的综合性网络隐私法,对GDPR和CCPA中规定的核心权利保护问题包括被遗忘权作出规定。然而,美国联邦统一立法并不一定意味着会在更大程度上提升对网络隐私的保护力度,但是它将在各项制度上体现美国价值观,对内统一执法标准,对外将与欧盟GDPR形成一定的抗衡。就被遗忘权而言,加州的立法为构建一个美国式的被遗忘权提供了很好的参考例,联邦立法可能会参照其立法模式,但是在具体内容上可能会减缓对企业的严厉性,同时,在统一立法的基础上,联邦贸易委员会将作为信息隐私保护的执法机构,州一级的执法权可能会被取消或进行一定的协调;在国际上,美国统一网络隐私立法,将在实践中对欧盟在被遗忘权保护方面的宽泛解释形成一定的制约,跨境数据流动和个人数据保护国际规则将逐步更新,形成新的国际规范。

(二)美国被遗忘权立法的启示

加强个人信息保护已成为国际立法趋势。GDPR和CCPA分别代表欧洲和美国的最新立法趋势,这两部法律既有趋同的一面,也存在很多差异。被遗忘权是欧洲和美国在立法理念上争议最大的制度之一,最终欧盟通过了被遗忘权立法,美国也在采取了一些变通措施的基础上,形成了具有本国特色的被遗忘权制度。我国《个人信息保护法》已于2021年8月20日通过,其中第47条规定了被遗忘权制度,对比欧美立法,美国的立法对我国法的理解与适用具有启示意义。

第一,合理界定被遗忘权的概念。被遗忘权的立法价值得到学界认可,但是欧盟模式的被遗忘权遭至不少批评,争议的主要方面是欧盟立法对被遗忘权的界定不明确,尤其是概念外延过于宽泛,这致使它在实践中很容易与其他权利发生冲突。我国学者不无担心地指出,被遗忘权“对互联网领域的一般法律自由将产生直接的损害”(49)刘泽刚.过度互联时代被遗忘权保护与自由的代价[J].当代法学,2019,(1).。美国学者在批判的基础上指出:“一个避免挑起言论自由与隐私之间全面冲突的修订版的被遗忘权是可以被接受的”(50)Laura Lagone, The Right to Be Forgotten:A Comparative Analysis, SSRN Electronic Journal 22, 1-24 (2012).。美国立法选择了狭义概念的被遗忘权,将概念的适用范围限于消费者与企业之间的信息处理,将可删除信息的范围限于信息主体自己发布的信息或经其同意被收集的信息。我国不宜规定一个概念界定过于宽泛的被遗忘权,应通过对适用条件的限制缩小被遗忘权概念的外延。鉴于我国既有立法实践对个人信息删除具有更大的制度包容性,我国的被遗忘权概念相比美国模式的被遗忘权应该有所扩张。目前,我国《个人信息保护法》第47条从删除义务和删除权利两方面界定被遗忘权,强调数据处理者具有主动删除个人信息的义务,数据主体享有要求删除个人信息的权利,并规定了五个方面的适用条件(51)《个人信息保护法》第47条规定:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。。从合理限制被遗忘权概念外延角度,对第47条的法律适用不可作扩大解释,无论是个人信息主体行使删除权要求删除个人信息抑或信息处理者主动删除信息均应受法律规定的五种情形的限制,个人信息主体不可主张行使个人信息自决权而扩大删除信息的范围。

第二,调和被遗忘权保护中的价值冲突。被遗忘权制度背后承载着多元价值取向,制度设计及践行需合理地进行价值平衡。被遗忘权与言论自由的冲突和被遗忘权与互联网经济发展的冲突是其中最受关注的两种价值冲突。美国重点从制度设计上协调这两类价值冲突,通过限制被遗忘权的保护范围、规定有利于企业信息利用的删除例外等方式协调被遗忘权与言论自由和互联网经济发展的冲突,而欧盟则因规定了一个宽泛的被遗忘权,实践中更多依赖个案处理。我国应主要通过制度设计协调这些价值冲突,例外情况下采个案协调方式。制度设计上,应科学设定被遗忘权的适用条件和范围,这一点已由我国《个人信息保护法》第47条予以实现。制度适用方面,不可夸大被遗忘权制度的作用。被遗忘权并非一项可以适用于一切个人信息删除的制度,也并非其所保护法益的唯一保护方法,我国还有其他规制个人信息删除的制度,包括侵权法上的“通知—删除”制度,犯罪信息、档案信息以及医疗信息等特殊信息的删除制度,应统筹相关制度,分别适用于具体场合。被遗忘权是个人信息保护法中规范信息处理行为的制度,应主要适用于民事主体间的日常交往和交易场合的与公共利益无涉的个人信息,涉及公法主体发布的相关数据或者新闻媒体报道内容的删除应通过特别法的规定调整或通过司法机关或专门机关的个案裁决予以确定。

第三,构建专门的个人信息保护机构。个人信息保护的重点在于对个人信息处理过程和处理行为的规范,以事后救济为主要保护方法的规制方式并不能很好地规范个人信息保护问题。以被遗忘权为例,其制度目标在于确保及时删除不必要的个人信息,防止个人信息被滥用或泄露而侵犯个人权利。传统的侵权诉讼难以保障这一制度目标的实现。因为个人信息未被及时删除并不表示一定会在可预见范围内或可预见期限内发生侵犯个人实体权利的后果,即使发生了侵权后果,其与信息未被删除之间的因果关系也通常难以建立和证明。此外,违规处理个人信息的损失往往难以计算,甚至对个人而言可能是很微小的,这通常导致求助于侵权诉讼的结果可能是耗时费力却又没有什么成效。然而,个人信息被泄露或被滥用是可能导致危及个人基本权利和生命安全的严重违法犯罪行为。因此,在制定一部良好的个人信息保护法的同时,更新执法思路,完善执法机构也很重要。美国加州最终选择了设立专门的个人信息保护执法机构—加州隐私保护局负责个人信息保护法的执行,处理个人投诉,监督企业合规处理数据。鉴于个人信息保护的特点和个人信息侵权案件的特点,我国应构建常规性的个人信息保护执法机构,接受个人投诉,督促企业合法处理个人数据,保证个人信息保护法的实施。

猜你喜欢

加州法案个人信息
个人信息保护进入“法时代”
林肯航海家Nautilus加州海岸限量版
Industrial Revolution
主题语境九:个人信息(1)
警惕个人信息泄露
加州鲈肝脏养护
明年或激增40%?华中3万多吨加州鲈市场谁能笑到最后?
美参议院未能通过控枪法案
加州美术馆
工信部:我国将出台保护个人信息行业标准