程 晨

(吉林大学 法学院，吉林 长春 130012)

在信息高度数字化、全球化的当代，我们在网络上可以便捷地获取他人个人信息的同时，也在向世界“共享”自己的个人信息，且这种保存在互联网上的痕迹难以被消除。人们在享受数字网络赠予生活的诸多便利时，衍生的易存难抹的网上个人痕迹、个人信息安全保护难题亟待解决。该如何通过法律途径合法、有效地构筑公民的个人信息安全壁垒，互联网时代的逐步发展牵引着相应的其他变化，源自网络世界的各项法律议题逐渐引起了诸国立法界的注意，同时也成为法理学研究的新聚焦领域。以法理分析为立足点，面向过度互联背景下个人信息保护诉求及数据安全体系有待完善的实践，重新审视全球视野下被遗忘权的基本概念与其背后的法理，为此项权利更好地对接中国法律体系打下坚实的基础。

一、被遗忘权的基本界定与理论基础

被遗忘权一词的表述，本身带有一定的抽象性，所以常引起学界的广泛争议。被遗忘权的内容是指特定条件下，信息主体拥有要求信息控制者删除属于其个人信息的权利。这是一种被动型的权利，但是遗忘却是由人类自主控制的生理本能，记忆本身也是基于客观事实而产生的一种主观意念，我们可以控制自己大脑内的部分记忆被遗忘，但是不能强制抹除他人大脑中的记忆。由于这种看似矛盾的内容以及抽象的字面含义，法理学界对此产生了几种不同的解释与表述。被遗忘权与删除权之间的关系尤为复杂，也是最易混淆的一对权利。虽然这两种权利的内涵之中都包含了“信息主体可要求信息控制者主动删除个人信息”，却因被遗忘权在法律体系中尚缺乏明确的定义，导致学理界时常出现两者混淆使用的情形，也由此引发了许多的讨论。

1.被遗忘权的内蕴

有关被遗忘权的基本概念，部分学者认为被遗忘权是指对过去生活中已经发生过的事项保持沉默的权利，它的外延不仅包括存储在网络上的数字信息，也包括非数字信息。但学界的大多数学者认为被遗忘权主要指的是互联网数字信息，即一个人所拥有的被数字化和互联网传播遗忘相关个人信息的权利。被遗忘权是顺应数字时代的发展而产生的新型权利，既具备传统隐私权的特性，又时代性地衍生出个人信息支配权的特征。鉴于非数字信息受地域和传播条件的限制，传播力有限，因而在非数字信息上，对被遗忘权的需求小到几乎可以忽略不计。直面权利具体的适用环境，本文认为在大数据时代，被遗忘权所指的应该是数字信息在互联网领域内被遗忘的权利。

欧盟最早对被遗忘权进行立法，在欧盟的法律体系中，他们认为被遗忘权是指除非有法律规定的特殊事由，信息主体有权要求删除不再具备处理目的的个人信息的权利。但是被遗忘权的外延随着时代的发展不断延伸，这一概念已经不能完全涵盖实践中体现被遗忘权主张的内容。我国于2021年8月通过的《中华人民共和国个人信息保护法》第47条规定了被遗忘权相关的权利内容。认为在满足规定条件时，个人信息处理者应该主动删除相关信息；未能主动删除的，信息主体有权要个人信息处理者对个人信息进行删除。但是，该文本在第44条也规定了法律、行政法规另有规定的除外。在《个人信息保护法》中关于被遗忘权的规定仅有寥寥数语，内容过于笼统，尚不足以形成清晰的概念阐释基础。杨立新教授曾在《个人信息保护法(草案)》设想提出之初，对被遗忘权提出过较为详细的界定：“被遗忘权是指信息主体对已被发布在网络上的，有关自身的不恰当的、过时的、继续保留会导致其社会评价降低的信息，要求信息控制者予以删除的权利。”[1]该定义凝练出被遗忘权的主体、客体及适用领域和条件，但被遗忘权的宗旨在于保护个人私生活领域不被侵犯，立足点应为个人隐私权的保护而非名誉权。基于此，本文认为宜将“导致社会评级降低”用“对其产生不利影响”来代替，满足人们在过度互联社会中强化个人隐私保护的需求。将被遗忘权定义落实为：被遗忘权是指信息主体对已被发布在网络上的，有关自身的不恰当的、过时的、继续保留会对其产生不利影响的信息，要求信息控制者予以删除的权利。在一定程度上，该表述与数据化时代我国人民扩充隐私空间的需求更为契合。

2.被遗忘权与删除权之辨析

被遗忘权和删除权两者之间的关系较为复杂，现在学界较为统一的观点是被遗忘权孕于删除权，亦是其概念的延展。经过一段时间的发展，两者必然会逐渐演变成相对独立的权利。欧盟及部分国家在司法实践中常常出现两者混淆的现象，我国学界也就此议题展开了广泛的研究与讨论。欧盟国家为尽量避免两者的混杂使用，从文本表述上尽可能地对两者加以区分。删除权仅仅是指信息主体拥有删除个人信息的单层权利，而被遗忘权的层次则要丰富得多。来自荷兰帝尔堡大学的伯特·贾普·库普斯教授认为，被遗忘权的内容包括三个层面，由低到高分别是信息删除、过往记录清白以及表达自由。[2]他认为被遗忘权是一种自由的权利，通过控制和删除过往的不利信息来达到恢复个人记录的清白、重新开始生活的目的。本文认为除此之外，被遗忘权也内蕴社会的面向。信息主体只能要求信息控制或个人信息处理者来删除信息，本质上带有请求权的属性，并不仅简单指向网络服务提供者删除或是禁止他人传播扩散，还包含信息自决、人格权保护、言论自由等。[3]因而仅以“删除”的平面表述来主张权利，必然不能准确涵盖被遗忘权的应有内涵，然两者殊途同归，即删除权可作为实现被遗忘权的途径之一。

二、我国设立被遗忘权符合当下国情的现实需求

1.基于个人信息保护

在当今社会，人们的衣食住行已经与数字网络密切相关，生活中已经实现实时终端、处处联网，不出门就可知尽天下之事。个人信息被过度开发使用的现象比比皆是，终端软件的非法获取、黑客攻击都有可能造成个人信息的泄露，信息主体迫切地需要被互联网“遗忘”的权利来守护自己的尊严、实现对个人信息及价值的充分控制。

由于个人信息泄露的情况不断加重，一旦有不法分子从网络上获取了他人的个人信息，就存在轻易控制他人的可能性，获得的信息越多，这种可能性就越大。作为信息主体，我们的信息自决就会受到威胁与侵害，从而失去个体自我主宰能力。个人信息被数据网络割裂成碎片，公民的尊严就显得尤其的脆弱。数据的掌控者在网络世界对信息的被获取者可以任意宰割，毫无隐私可言。在数据化时代中，网络是个人信息获取的一个重要途径。同时信息资源又具有明显的商业利益属性，网络全球化的浪潮之下，信息与资本之间存在正向关系，资源的分配和重新组合也需要在这些信息交换的基础上完成。要实现信息资源公平有序的分配，就要保证作为信息源头的公民对个人信息的合法处理享有绝对的自决。

信息主体除了因恶意软件、黑客攻击等途径造成个人信息泄露外，还有一些不法公司、网站甚至是普通的互联网用户也会对个人信息进行过度挖掘和使用。比如“专业找人”公司以及当下互联网世界频频发生的“网暴”“人肉搜索”，利用煽动网络用户的猎奇及从众心理，在某些时候，动员这种社会性的力量可以发挥良好的正向效果；但是更多时候，稍有不慎就可能会给信息主体造成无法挽回的反向后果。与信息传播技术的发达相伴而行的，是个人信息泄露的范围、情况和后果呈指数级，我们需要让信息主体重新获得对个人信息的控制权。

2.基于数字化人格保护

我们在使用诸如支付宝、淘宝、微博等网络服务的过程中，会留下许多诸如行程记录、快递地址等个人信息碎片，这些信息碎片通过一系列技术手段加以收集、分析进而集合在一起，就会自动在过度互联的网络上赋予我们数字化人格，代表着我们在互联网世界的形象和性格偏好。我们在使用移动终端服务软件中通常会有个性化推荐选项，甚至网络购物平台还会根据信息主体的个人基本资料以及使用偏好来调整价格，这些都是基于对信息主体的数字化人格进行分析而做出的“大数据杀熟”行为。[4]但是，由于数字化人格是信息收集者选取的信息主体真实生活历程中，自愿显露在网络上的碎片，在此基础上形成的“人格”是不能完全真实地反应信息主体原本的人格形象的。[5]如果信息收集者在塑造的过程中故意歪曲、或者存在歧义，那么就会加重这种不真实的情况，这会对信息主体的个人名誉及社会评价造成严重损害。

3.基于国家信息主权

一个国家的法律体系是否能够接纳被遗忘权，往往与它的法治理念、历史文化以及国家数字网络发展战略息息相关。我国受大陆法系的影响较广，人权理论体系亦是如此。在捍卫人格尊严共识的基础上，结合我国的特殊国情，我国于1982年对《宪法》进行修订时，以国家根本大法的形式将人格尊严确定为基本权利之一，并在之后的民法典修订过程中，形成了一系列包含隐私权在内的完整的人格权体系。因此，作为个人信息权和隐私权延伸的被遗忘权与我国立法的相关理念是可以契合的。

大数据时代穹顶下，信息的流动已呈现全球化态势。信息数据在国家之间的流动，影响的已经不仅仅是信息主体的个人信息安全。当个人信息数量集合达到一定程度，就会形成国民“大数据”。一旦涉及国家重大事项的关键数据被泄露，将会对国家信息主权乃至国家安全都产生重要的影响。国家信息主权作为国家主权在信息网络中的延伸，是国家主权的重要的组成部分，也是国家重要的战略资源之一，大数据也逐渐成为各大国国力竞赛中重要的竞争点。我国互联网的发展虽然速度快，但起步晚，与发达国家之间还存在巨大的差距。全球共有十三台互联网DNS基础服务器，十台由美国拥有，英国、瑞典、日本各拥有一台。而且所有的基础服务器都由美国ICANN(互联网域名与号码分配机构)进行IP和互联网域名的分配和管理。[6]换言之，从基础设施方面我国已经丧失了一定程度的控制能力，而且大量的互联网数据都会在境外进行传输、存储和计算，随着科学技术的进步，我国的关键数据安全和防御都在面临更为险峻的挑战。如果双方之间掌握的信息不对等，将会给我国的国家数据信息安全造成不小的隐患，一旦关键数据被泄露，我国很有可能因此在国际交往中陷入被动的境地。因此，我国更需要学习西方国家的先进理念，引入被遗忘权以实现国家层面的信息自决，保障域内的信息资源的自主权，将国家信息主权牢牢地把握在自己的手中。

三、大数据背景下我国被遗忘权的优化路径

早在《个人信息保护法》颁布之前，我国现行法律中已经出现与被遗忘权相关的法律规定，这些法律规定为后来被遗忘权的设立提供了良好的基础。2009年《中华人民共和国侵权责任法》中第36条规定了在网络侵权关系中，网络用户有权要求网络服务提供者对侵害其人格权的信息采取删除、屏蔽、断开连接等措施。该项法律规定旨在侵害结果发生后对信息主体进行事后救济，和被遗忘权的权利内涵在一定程度上重合。《全国人民代表大会常务委员会关于网络信息保护的决定》《电信和互联网用户个人信息保护规定》和《中华人民共和国网络安全法》中都出现了类似侵权责任法中的表述，为被遗忘权的创设提供了丰富的尝试经验和法律基础。2021年11月生效的《个人信息保护法》极大地推动了被遗忘权的设立和发展，做出了信息主体对个人信息控制和信息自决保护的伟大尝试。

2017年《中华人民共和国信息保护法(草案)》中曾明确提及了被遗忘权实现的途径，通过列举的形式提示了删除权的形式条件，明晰了个人所享有的个人信息删除权以及个人信息处理者存在的删除义务，并同时对删除权行使的豁免进行了规定。这些形式要件之间彼此相互平行，根据信息主体对被遗忘的需求程度不同而分别适用，并对其进行了适用上的限定，以保障各方权益尽可能稳定。虽然该项条款在最后颁布的《个人信息保护法》中也没有确立被遗忘权这一表达，但是这一创设性的思想已经是被遗忘权理念融入我国立法领域的一次非凡创举，对被遗忘权的确立、发展和完善都有着深远的影响。

1.对实体法中的被遗忘权进行完善

(1)对个人信息采取分级保护。我国在《个人信息保护法》第47条中虽然没有明确提及“被遗忘权”的字眼，在是具体的内容上采用了和欧盟《一般数据保护条例》中第17条相同的表述，例如：信息主体撤回同意、目的用尽等。《个人信息保护法》第44条规定的排除适用的情形也与欧盟这一法规相吻合。为了保证被遗忘权能够在实践中得到落实，又要防止公众知情权、个人信息保护的过度扩张侵害社会公共利益以及国家利益，我们可以对个人信息保护建立一种分内容、分级别的有针对性的保护方法。对于涉及敏感的个人隐私信息：例如公民身份证号码、家庭住址等，一旦泄露会对信息主体的个人隐私生活造成严重不良影响或隐患的，在这类信息的收集使用上一定要遵循正当、合法、必要的基本原则并需征得信息主体的同意。一旦目的用尽，或是信息主体撤回同意等《个人信息保护法》第47条规定的情形出现，就应当立即予以删除，无法删除的就尽可能地采取屏蔽、断连等方式杜绝信息被进一步搜索到的可能。在此基础上，如果涉及的信息是被用于历史、人文科学等学术研究或是涉及社会和国家安全、个人及行业工作信誉等有关社会公共利益的信息记录，应当由相应的国家机关进行评估是否予以删除、延期删除、甚至可以禁止删除。

(2)完善对未成年人的被遗忘权保护。在当今时代，手机、电话手表等移动通信终端的普及已经逐渐拓展到低龄化群体。未成年人接触到互联网的范围和深度已经远超我们的想象。加上未成年人的社会经验不足，心智发育尚不完善，对于互联网空间缺乏应有的风险防范意识。因此，本文认为对于未成年人在适用互联网服务中产生的个人信息数据都应当使用被遗忘权，不应被信息收集者或服务提供者予以存储、适用，以降低未成年人在适用网络服务中留下不恰当的信息，阻碍其将来的成长与发展。

2.从程序法对被遗忘权的实施提供保障

《个人信息保护法》的颁布标志着我国被遗忘权的适用有了实体法的依据，但是在程序法方面我国目前尚是一片空白，缺少了程序法的保驾护航，实体法在适用过程中就缺少了一份保障。针对这一问题，俄罗斯采取的做法是将实体法和程序法相结合。一方面，在管辖问题上俄罗斯突破了原有的民事诉讼管辖原则，由原告的住所地法院进行管辖，从程序上保护处于弱势的信息主体，这一点可以为我国所借鉴。[7]我国在《个人信息保护法》中规定了国家网信部门、县级以上人民政府的相关部门为个人信息保护监督管理部门，我国可以参照俄罗斯的做法，由原告住所地或是相关监督管理部门所在地的人民法院进行管辖，以此保证原告充分行使作为信息主体的权利以及信息监管部门对诉讼的支撑工作。同时，鉴于被遗忘权侵权案件具有可能群体、多发的性质，且大多数时间都不能被信息主体第一时间发现侵权事实，因此在被遗忘权侵权诉讼领域引进公益诉讼作为保障也是十分必要的。

另一方面，为应对跨境数据传输和网络服务中产生的被遗忘权诉讼的管辖问题，俄罗斯法律规定，无论信息收集者在俄罗斯联邦境内是否有财产，只要信息收集者具有通过电子通信互联网渠道吸引俄罗斯境内的消费者使用服务的意图，俄罗斯法院对相关案件即拥有管辖权。欧盟在《一般数据保护条例》中规定，只要是向欧盟提供网络服务的主体，都受到《条例》约束，可以据此处理所有涉及欧盟公民个人信息权的案件。目前许多境外公司在国内为我国公民提供网络信息服务，用户数量庞大，也就意味着发生涉及域外纠纷的可能性越来越大，我国可以充分借鉴欧盟与俄罗斯的做法，要重视个人信息保护的世界性，逐步将其提上立法、修订的日程。

大数据时代背景下，互联网发展规模和信息数量都在呈现爆炸式的增长，为被遗忘权的设立提供了深刻的内在动力。被遗忘权作为一种人格权利，作为一种新型权利，早已得到欧盟等国的认可并且从立法上对其进行了完善。我国在《中华人民共和国网络安全法》《中华人民共和国民法典》《个人信息保护法》《数据安全法》及一系列法规中已初步建立起被遗忘权的内容体系，但是很多配套制度尚处于空白。当下正是我国大力推进依法治国的重要时期，我们必须牢牢抓住这个机遇，在我国信息化建设的基础上，根据我国的情况设计构思并全力构建一个完善化的被遗忘权体系，平衡国家利益与个人利益、国家信息主权与国际化信息传播之间的关系。全球信息化背景下，国家在互联网领域的主权问题更应得到重视。被遗忘权作为网络世界中法律规范与人权保护的延伸，对于国家信息化主权事业发挥的作用不容小视，我们要集百家之所长，去其糟粕，为己所用，营造良好的法治环境。