2017年8月4日,中国互联网络信息中心发布了最新的《中国互联网络发展状况统计报告》显示,截至2017年6月,中国网民总数达到7.51亿之多,约占世界网民总规模的五分之一。在我国,互联网的普及率达至54.3%,超过世界平均水平4.6个百分点。①作为互联网大国的中国拥有体量巨大的网民,导致网络数据呈现出爆炸式增长的态势。大数据时代的中国,历史与现在的界限变得模糊不清,关于记忆还是遗忘的纷争显得愈加突出。
在传统社会,遗忘作为人类的天性,随着时间的流逝,原本清晰的记忆不断模糊,甚至消失殆尽,千百年来一直如此。人们为了对抗遗忘,发明了语言和文字等载体来记录信息。但是在大数据时代,遗忘和记忆完成了倒置,被遗忘本身成为了社会生活中的难题。在数字技术日新月异的背景下,信息传播的数量呈现巨大化,信息传播的速度呈现瞬间化,信息储存、交流、利用的成本骤减。Web2.0时代“用户创造内容”的信息分享模式使得每个人都俨然是一个传播的媒体,利用智能设备随时随地在网络上记录和传播所见所闻。职是之故,大数据时代每个人都成为了记者与被记录者,“往事正像刺青一样在我们的数字皮肤上,遗忘已经变成了例外,而记忆却成了常态”②,遗忘被记忆取代。随之而来的问题是,如果个人摆脱不了对自己的所有信息将会被永久保留的担忧,后果恐怕就是不会有人对琐碎的流言蜚语自由地发表观点,也不会有人轻松无虑地分享个人的各种经历,人们对政治进行评论时也会战战兢兢——总之,完善记忆的“寒蝉效应”会改变人们的行为。③当人们认识到网络技术持续不断地记忆数据信息,然后过往的信息在一个无法预期的场景重现,大部分人都会觉得毛骨悚然。④同时,无所不在的数字采集工具、强大的数字存储能力以及超快的数字计算速度等都使得个人隐私无所遁形。因此,在大数据时代,遗忘变得不容易,这自然催生了关于人们是否有“被遗忘权”(right to be forgotten)的思考。
一 何为被遗忘权?“被遗忘权”是法律为应对现代资讯科技产生威胁的一种权利设置。它赋予数据的产生主体在清理和回收互联网数据的积极请求权利,同时数据控制主体应当根据数据产生主体的请求,清理网上有关的个人数据(如信息、文字、图片甚至是浏览痕迹),使其被互联网世界所遗忘。“被遗忘权”因此而得名。不过,与“遗忘”相关的权利早已有之,“被遗忘权”的产生也与这些法定权利之间有着诸多联系。例如20世纪80年代,法国的法律对遗忘权(right to oblivion)的解释为:有犯罪记录的人在服刑期满后,有权要求他人不公开自己的犯罪记录。其权利旨趣是充分相信经过改造后的犯罪人的个人品质、防止其被社会所歧视,明确其有权使个人名誉免受犯罪记录公开的损害。又如,1983年“个人数据自决权”的概念在德国立法中得到采纳,该权利在2008年得到进一步扩充,相应立法明确规定,保障个人数据的私密性与完整性,认可本人对个人数据的公开和使用享有自主决定权。
与“被遗忘权”相关的是“删除权”的概念。从表述上来看,“被遗忘”要求的是将所有的个人信息从互联网上全部清除,或将信息的存活度降低到足以被人们遗忘的程度;而“删除”则只需要涉及相关信息的主体及时根据请求删除有关信息即可。二者相比,“删除权”在现实中的落实和保障力度可以比“被遗忘权”更加清晰,也具有更高的经济性。在数据立法的初期,不少立法例都首先规定的是“删除权”。例如,1984年,英国通过的《数据保护法》规定了公民要求删除个人信息的条款。1989年荷兰《数据保护法》第33条也有关于公民可以要求删除个人信息的规定。又如,2016年,俄罗斯《第264-FZ号联邦法律》也规定个人有权请求第三方网站或搜索引擎删除相关非法的、三年以上的、虚假的数据。
在确立被遗忘权的问题上,欧盟的立法无疑具有重大的现实意义。1995年,欧盟颁布《个人数据保护指令》(95/46/EC),该法令第12条规定:如果数据控制者未在数据主体同意的情况下(“依指示”)获取了其个人数据,数据主体有权要求数据控制者更正、删除或屏蔽这些个人数据,此即关于个人数据的“删除权”。2012年,欧洲议会和理事会公布了《一般数据保护条例》的草案,该草案第17条正式规定了个人享有“被遗忘权和删除权”(the right to be forgotten and erasure)。这一条款规定:“数据主体有权要求数据控制者永久删除有关数据主体的个人数据,有权被互联网所遗忘,除非数据的保留有合法的理由。”①该权利发展了1995年欧盟《个人数据保护指令》的概念,但从内容来看,被遗忘权的规定进一步加强了公民权利的保护力度,并以“被遗忘”来说明权利行使目的,以“删除”来说明实现权利的手段。②它在内容上完全承认了数据主体要求删除相关数据的权利,同时也允许数据主体向数据控制者和互联网服务运营商清除相关数据和痕迹的权利。具体来看,该条款主要涉及两方面内容:一是除新闻、艺术和文学表达外,明确个人向数据控制者享有任意的删除权,只有在数据控制者对数据的保留有法律上依据,或相关数据对保护言论自由而言是必需这两种情况下,得对抗数据主体的被遗忘权。二是在数据主体主张被遗忘权的情况下,数据控制者应当采取一切合理手段删除自己所控制的服务器上的有关信息,并尽最大努力删除第三方服务器上的有关信息。简单来说,就是除法律规定或确保言论自由外,被遗忘权可以对抗其他任何权利。数据控制者应当尽可能在互联网上溯源地删除一切相关信息,实现“被遗忘”的效果。③除此之外,原本数据控制者向第三方机构履行清除数据即可免责的“通知义务”被强化为自身的主体责任,甚至还确定数据控制者未能及时使第三方机构删除有关数据的情况下,得负有相应的赔偿责任,从而弱化了数据保护责任“避风港原则”的适用。同时,数据主体可以寻求法院或相关监管机构的救济,这些机构得根据申请来裁决是否需要同意保护数据主体的被遗忘权。④
权利作为一种正当性利益,法律权利是法律所确认的具有正当性的利益。成为法律赋予的权利的重要标志就是能被司法所执行。“被遗忘权”在实践中的落地可追溯至“谷歌公司诉冈萨雷斯案”。在该案中,西班牙男子冈萨雷斯在使用谷歌检索自己名字时,相关链接指向了1988年刊登于西班牙《先锋报》上的一篇文章,该文章报道了冈萨雷斯未能缴纳社会保险,其住房遭到强制拍卖的事实。但是冈萨雷斯认为债务问题早已解决,与现在的生活早已没有关系,但在搜索结果中仍跳出这一信息,无疑严重损害自己的名誉,使过去早已抹去的“污点”构成对现今生活的严重影响。他便向西班牙数据保护局提起诉愿,要求谷歌公司删除数据链接。当局支持了冈萨雷斯这一诉求,要求谷歌公司删除链接并保证通过搜索引擎无法检索到该信息。谷歌公司不服,诉至法院。欧盟法院最终判决谷歌公司败诉。法院认为,搜索引擎公司对于个人资料的处理使网络用户可以以自己的姓名进行搜索,经搜索可以获取有关个人在网络上资料的概观,这些资料可能包含大幅度个人隐私生活,倘若没有搜索引擎,这些资料就无法互相连接抑或极难获得,由于当代社会网络和搜索引擎所扮演的到处提供个人资料的角色,使对于个人权利干预的效果增强,鉴于这种可能的严重性,就不能仅仅因为网络搜索引擎公司对于资料处理产生的经济利益而取得正当性基础。①换句话说,搜索引擎公司的数据定位和发布行为会导致数据主体的基本权利受损。因此,当数据主体的人格权受到现实侵害或有侵害之虞时,权利人有权请求撤回数据并禁止搜索引擎公司获取特定数据。有时,即便发布在网上的信息是合法的,搜索引擎公司也要根据权利人的请求删除含有个人信息的搜索列表。这里并非只是考虑搜索引擎公司的经济利益和民众通过检索获取争议资料的利益,更重要的是体现个人权利及个人尊严的重要意义。②在此情况下,经济利益与公众便利应当退居个人权利之后。
二 被遗忘权的权利构造2016年欧盟《一般数据保护条例》第17条增设的“被遗忘和删除的权利”由两部分构成。第17条第1款规定之权利,核心要件仍是在传统个人信息保护法中已经确立的删除权,该权利旨在保障网络用户在依法撤回同意或是数据控制者不再有合法理由继续处理数据时能够删除相关个人数据。而关于“被遗忘”的精神更多体现在该条例第17条第2款。依据该款的规定,如果数据控制者公开传播了符合第1款条件的个人数据,在个人提出请求后,数据控制者应当采取所有合理的方式将该数据予以删除;数据控制者有责任通知其他数据控制者,删除关于数据主体所主张的个人数据链接、复制件。换句话说,一旦数据主体行使该权利,数据控制者不仅有义务删除这些自己所控制的数据,还应当采取有效措施协助删除经他之手传播出去的数据,例如通知其他处理此数据的第三方停止利用、删除数据等。显然,该权利的内涵已经超越了传统“删除权”。由此可见,被遗忘权的构成要件如下:
其一,被遗忘权的权利主体是个人信息主体,即产生个人信息并能通过直接或间接手段被识别身份的自然人。也就是权利主体限定在自然人,对于“身份可识别性”,2016年欧盟《一般数据保护条例》第4条进行了界定,即可以通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。在这里,一般自然人作为当然的权利主体,自无疑问。但现实问题是,公众人物是否也享有被遗忘权,其行使这一权利是否有特殊限制,被遗忘权是否会沦为有劣迹的公众人物擦除过往历史进行自我洗白的工具?一般而言,如果公众人物申请删除的信息是私人信息,则可以请求被遗忘权的保护。至于如何界定“私人信息”,则可以采取反向推定的解释技术:除非有充分证据证明这些信息属于私人信息,否则推定公众人物申请删除的数据信息不是私人信息。在信息主体是犯罪人和恐怖分子的场合也同样适用:除非有更强有力的证据证明其所申请删除的信息是私人信息,否则也无法主张被遗忘权。①
其二,被遗忘权的义务主体是信息控制者,即经过个人同意或者有其他合理理由而控制个人数据的人,不限于自然人。在互联网时代,各类搜索引擎公司、社交网站等往往是收集个人数据的主要主体,现实中有关被遗忘权的纠纷也更多地产生于个人与这些平台之间。2016年欧盟《一般数据保护条例》将信息控制者类型化,其中,相较于一般信息控制者,公开披露个人信息的信息控制者需要承担更多的义务——通知义务。信息主体提出删除的要求后,公开发布信息的信息控制者不仅有义务立刻删除其个人信息,还应当根据信息主体的要求,通知其他正在处理该个人信息的信息控制者删除所有链接或所有该信息的备份。需要注意的是,在欧盟司法实践中,对于用户提出的申请,删除义务绝大部分归属于搜索引擎公司,出版者几乎不需要承担此方面义务。事实上,对被遗忘权申请的审查若涉及诸如隐私与言论自由的平衡问题,搜索引擎公司实难以承受此种针对宪法性权利的约束重任。这一司法实践的思路揭示出当下以法律规制互联网行为的困境。这需要考虑网络技术的中立性问题,也需要关注大数据时代数据控制者强势地位对数据主体权益的可能侵犯。技术中立的视角是一种抽象的形式化立场,认为互联网技术的发展是中立的,确保的是全人类在使用互联网技术上的共同利益;网络服务不是为特定的国家或利益群体服务,而是中立地为所有网络用户服务。这种技术中立的特性意味着,在判断网络侵权责任时应当谨慎适用严格责任,防止义务归属的不对等,并避免可能的公共利益受损。但同时,大数据背景下的数据范围极其广泛,网络用户的个人信息、行为信息、浏览记录甚至是个人输入的偏好(例如搜索关键词、输入法习惯用语和字符)等,都具有潜在的商业价值。这种新型的盈利模式利用了数据控制者和数据主体之间巨大的信息不对称地位,实际上也在破坏着技术的中立性特征。②职是之故,如何在切实保障数据主体的被遗忘权的同时尽最大可能促使技术发展,的确是一项极具挑战性的课题。就目前来看,较为可行的做法是,信息主体须先向出版者申请删除相关信息,失败后才可继续向搜索引擎公司主张被遗忘权,如果主张依旧落空,权利人才能向官方数据保护机构或司法机关寻求救济。③
其三,被遗忘权的适用范围,在2016年欧盟《一般数据保护条例》中有明确的规定。根据该条例,被遗忘权适用于网络领域中的信息,具体包括三类:第一,相对于收集目的已丧失必要性的个人信息。收集个人信息必须遵循合法、公平、透明的原则,信息控制主体超出收集目的而收集的或已经过时(相对于收集目的而言)的个人信息,信息主体有权要求立即删除。第二,在特定情形下,信息主体可以撤销此前针对许可信息控制人处理其个人信息的同意(尤其涉及个人敏感信息时)。一般而言,个人信息的收集要取得个人的同意,或是基于履行合同的目的或履行其他法律义务,抑或为保护信息主体或他人的重大利益,甚至是为了公共利益的实现或履行行政职能。第三,用于直销目的的个人信息以及未满16周岁的未成年人在接收信息服务的过程中被收集的信息。这是因为,尽管用于直销目的的个人信息有重大商业价值,但由于直面消费者易对消费者造成滋扰,故应当被列入可申请删除的范围内。④
被遗忘权并非一项绝对的权利,它也存在例外情形,欧盟《一般数据保护条例》规定了限制适用被遗忘权的特殊情形。例如,针对言论自由(如新闻报道或是文学艺术表达)、公共利益(个人信息在公共健康领域符合公众利益,如防止严重传染病及维护医疗产品品质和安全的信息)及历史科学研究的需要(对个人信息的处理为历史性、数据性、科学性研究所必需)而使用个人信息的情形,信息主体不得主张被遗忘权并请求信息控制者删除上述信息。⑤在此便涉及私权利与公共权力之间的平衡问题。
除此之外,在数据爆炸和大数据时代背景下,被遗忘权的权利构造与权利保护的目的之间的内在张力,同样值得重视。首先,现行被遗忘权的制度设计忽视了数据爆炸和信息飞速传播的现实。从欧盟立法和相关判例来看,“被遗忘权”的宗旨是从根源上清除权利主体所主张删除的信息,不仅要求网络运营商删除自身网站服务器上的有关信息,还有责任通知或协助第三方删除其服务器上的有关信息。在过去互联网信息量有限、传播通道狭窄、服务器数量有限的情况下,要想删除相关信息是比较容易的。但在互联网深度发展的今天,信息转载的门槛降低,传播速度极快,加上跨国网络服务器运行普遍,任何一条信息几乎都不可能从互联网上彻底删除。正是如此,现行欧盟立法才选择强化搜索引擎对信息的擦除义务,而非信息出版者的数据保护责任。这又会导致权利与义务不匹配的现象。其次,目前的个人信息保护框架以授权性框架(又称知情同意架构)为基础,要求信息控制者在搜集数据主体的个人信息前,应当首要告知用户关于数据的搜集和处理注意事项,并获得其授权。一般的表现形式是在事先向数据主体陈述隐私声明和授权事项,用户必须首先作出同意的意思表示后方可接受网络服务。①但是,在大数据时代,此种处理机制将会带来实质的风险不可控。数据控制者搜集数据的初衷,除了获得客户授权、处理客户信息外,还需要利用数据改进用户体验、提高自身的市场竞争力等,在数据搜集时很难合理预见其最终使用目的。为尽可能规避和分散法律风险,数据控制者时常向数据主体提供一份冗长的格式合同。生活经验表明,大量数据主体都是在未通读、甚至是直接忽略该合同的情况下即作出了同意的意思表示。这不仅虚化了授权性框架的效用,而且还无法防止大规模侵权和相关纠纷的发生,使法律的事前规制作用失灵。总而言之,被遗忘权的设立目的在现实中很有可能与其运作逻辑相背离:要想彻底做到个人信息保护,势必需要限制数据使用和数据流通;但如果限制数据的使用和流通,又将妨害科技发展,最终不利于个人的权利实现。
三 被遗忘权的价值之争:隐私抑或自由在大数据时代,个人的日常生活都与网络密切相关。当人们使用数字设备时,所有的行为都在持续地产生信息。从共时性角度来看,这些行为信息往往是一种数字碎片,似乎毫无价值可言。但从历时性角度看,随着时间的推移和数据主体间的互动与联系加深,这些海量的数字碎片将足以还原出与现实相对应的数据化个体。如果不在法律上防微杜渐,允许个人有删除自身信息的权利,长此以往,每个人都在数字空间所构筑的“超级圆形监狱”中被“凝视”着。这一“超级圆形监狱”以数据库为其囚禁数据化个体的空间,而算法则是对其中的个体进行“凝视”的目光。数据空间中的个体都无法逃脱被凝视的宿命。这意味着人们可能为自我创造的技术所奴役。②被遗忘权可以视为在此背景下的一种矫正。
被遗忘权的权利主体可以通过请求信息控制者删除相关网络信息以保护个人信息权。信息主体有权要求删除不再符合搜集目的的、储存期限届满的以及非法获取的个人信息,以维护个人尊严和保护隐私。这意味着,被遗忘权的背后以隐私权为支撑,这是充分尊重和保障个人权利,并使社会更为文明的有力保障。有学者指出,被遗忘权是基于“隐私自主”或个人信息控制权推导出来的权利。“隐私权”自出现起就表现出一种与“言论自由”(新闻自由)相抗衡的姿态。但从西方民主价值的逻辑看,言论自由作为民主国家的立国之本,又反过来最大限度地保护人的隐私权,隐私权与言论自由权之间既相互补充和依存,又存在矛盾与背反关系。以此角度观之,被遗忘权与“隐私自主”、“言论自由”紧密相关。③
以此考量司法实践对被遗忘权的态度,不难发现,普遍存在着两种相异的态度:一种态度是当个人言论从私人空间进入公共领域,个体为了保护自己的言论自由,可以保护隐私权为名,用“被遗忘权”删除个人的言论;另一种态度是言论进入公共领域后,就与私人领域脱离了关系,即便个体通过主张“被遗忘权”保护自己,也与隐私权无关,因而被遗忘权有损言论自由。就对于被遗忘权的两种态度而言,欧盟倾向于第一种,美国则持守第二种。这首先反映出二者不同的文化和历史背景。欧洲历史上曾出现过以监控言行来控制民众的泯没人性事件,极权政府掌控民众的手段都是借助于控制公民信息。如此历史经历让人心有余悸,促使欧洲民众尤其注重保护个人隐私信息。与此不同的是,美国历史上并没有发生类似事件,而且还由于其革命建国的历史和宪法精神,使得美国法院在被遗忘权的判定问题上更加坚持重视和保障言论自由的立场。①其次,这源于它们对个人隐私与言论自由的不同偏好。欧盟表现出积极保护个人行使被遗忘权的态度,源于他们更为关注个人隐私的保护,主张个人隐私作为公民的基本权利,事关不可侵犯的人格尊严。相反,美国对于保护言论自由则更为看重。由于主体依据被遗忘权可以主张删除网络数据信息,其指向的对象不仅仅是自己公开的信息,还针对由此而间接传播的数据,以及因该信息引发的第三方言论。如果全部满足申请人的权利,难免与言论自由相抵牾。最后,由于被遗忘权在实践中的具体行使过程是用户直接向网络服务提供商提出申请,由后者负责审查删除,如此一来作为中立服务提供者的搜索引擎公司转变为信息内容的审查者。最终使得搜索引擎公司为了避免审查不力遭受罚款而放松对用户申请的审查标准,不当地扩大删除范围,这将进一步对言论自由造成“寒蝉效应”,从而减少意见市场。②
事实上,美国在司法实践中对被遗忘权采取的审慎态度,并非没有道理。在网络时代,如果要求网络服务商对网络用户上传的信息承担严格的审查责任,不仅将迫使网络服务商组建一套人数众多、成本高昂的组织机构来监控网络信息传播,必然戕害美国宪法所确立的“言论自由”这一基本权利,还有可能为网络服务商操纵、控制舆论提供了可能。为此,1996年美国《通讯正当行为法案》(Communications Decency Act)第230条规定,互联网服务商不应被视为由其他信息内容提供者所提供的信息的发布者。根据该条款的规定,网络服务商(包括搜索引擎服务商)对其用户网上言论引起的侵权责任基本上得到了豁免。这是因为,信息的传递和发散并非无迹可寻,而是呈现出一种多点相互接续的局面。这意味着,倘若任何信息都可以被涵盖到被遗忘权的范围之内,为保护民众的被遗忘权而要求删除整个数据链上的所有相关信息,必将导致网络世界寸草不生、一片荒芜。但另一方面,被遗忘权的确有现实存在的必要,保护言论自由不代表取消隐私权。事实上,美国立法上也部分采纳了被遗忘权。例如,2012年的《消费者隐私权利法案》第5条就赋予了消费者请求公司纠正不准确信息以及删除信息的权利;加州于2015年正式实施的《橡皮擦法案》也涉及部分群体的被遗忘权保护,该法案明确规定加州境内的未成年人有权要求社交网站擦除自己之前的上网痕迹。2014年,社交网站巨头Facebook也对被遗忘权做出反应,进行功能升级,允许用户定时删除自己的发布状态。以上立法和实践的诸多变化,均反映了美国对被遗忘权的矛盾心理,以及将被遗忘权本土化的努力。
此外,这种矛盾心理也反映了网络信息时代国家间对信息技术和公民保护之间不同的价值取向。有学者另辟蹊径地指出,被遗忘权不单纯是法律权利,其背后承载了国家之间对信息主权的争夺。美国通过限制或免除搜索引擎等网络中间商的责任,拓宽了网络产业发展的经济空间,降低了法律风险,极大地刺激了网络产业的发展,目的是使得美国在网络产业方面保持世界领先的霸主地位。欧盟网络产业并不发达,为了避免网络信息的国家主权被僭越、辖区内的网络数据信息被域外国家控制,欧盟设置“被遗忘权”这一法律壁垒,以合法的手段和形式牵制美国网络巨头信息控制能力,同时也满足了民众对于“被遗忘权”的期待。③
四 被遗忘权的中国本土化之可能在现代社会,让社会主体的权利获得更充分的保障,已然是全人类的共同理想。这一理想既表示一种关于权利价值的预设,亦隐含着一种关于权利发展的信念以及一种社会事实:在日常生活中,我们的所见所闻,所思所想都越发与权利发生勾连。①权利作为一种表征价值正当性的符号被现代社会所承认。随着社会网络化的深入进行,一个“权利爆炸”的社会是可以预见的未来现实。然而,人们对于权利的痴迷常常有意或无意地忽视了义务面向,遮蔽了权利的义务对价。②
其实,除了权利的运作需要义务维持之外,运作成本问题也是权利理论的重要侧面。理论上认为,权利是法律制度赋予个人保护自身利益的法上之力。这意味着权利与利益相勾连,本身有价值可言。这必然涉及稀缺性和有用性,也必然带来一个逻辑后果,即权利的充分实现需要公共支持,否则就无法获得有效保护和实施。权利也就被理解为个体或团体能够运用政府的手段和力量切实加以保护的重要利益。③这说明,重视形式权利、强调权利对形式主体的意义,固然没有问题,但如果不注重权利生存的社会历史背景和物质文化基础,就往往使原本正义的权利话语降格成纯粹包装个人利益诉求的工具,使原本有限的社会资源变得更难分配,并一定程度上助推不当利益诉求,加剧利益冲突的同时撕裂社会团结。④在被遗忘权的概念认识和制度设计问题上也同样如此。换言之,无论被遗忘权强调的是隐私保护、个人信息自主还是表达自由,都必须以中国的现实土壤作为支撑,寻求其本土化的根基。
关于被遗忘权在中国的现状,最早出现于司法实践中的是“任甲玉诉北京百度网讯科技有限公司案”。该案中,任甲玉因为百度搜索中输入姓名后,在相关搜索列表中出现与自己之前工作信息有关的关键词词条,因此起诉百度侵犯其姓名权、名誉权和一般人格权中的被遗忘权。海淀区法院依法驳回原告全部诉讼请求。⑤根据裁判要旨,法院基于法律规定、自身角色与职权的要求,认为原告所主张的网络个人信息的利益,不能纳入我国现有类型化的人格权保护范畴,法院也无法创设出一项抽象的“被遗忘权”,但法院又不得因法无规定而拒绝裁判。对此,法院在判决中将其利益诉求归入一般人格权的领域,然而由于原告主张的利益并不具备正当性以及受法律保护的必要性,不应成为侵权保护的正当法益,故法院最终没有支持原告的诉讼请求。
以此观察法院的判决,可以发现,在我国的立法和司法实践中,对被遗忘权的权利谱系问题采取的是“人格利益”的法律定位,即被遗忘权在当下我国是一项人格利益,并不附属于某项具体人格权。将被遗忘权指向的人格利益合法化之后,被遗忘权会自然而然地归为我国《侵权责任法》第2条“人身权益”之下,进而受到法律保护,从而实现有法可依。⑥由此可见,尽管法院的判决驳回了原告所提出的被遗忘权的诉讼请求,然而却为被遗忘权在我国现有法律体系中通过“一般人格权”加以保护打通了路径。而且,裁判中所适用的“非类型化权利涵盖利益”“利益正当性”“保护必要性”标准对被遗忘权的形成以及司法实践中案件裁判标准的确立夯实了基础。⑦
如果这一思路成立,那么在立法层面关注被遗忘权的本土化制度构建,就需要明确以下内容。
第一,在立法的基本理念上,被遗忘权的制度设计应当有适度的前瞻性,着重关注大数据时代和工业文明从信息化时代转向“互联网+”时代的背景与被遗忘权之间的关系,尤其是被遗忘权的权利保护与大数据分析之间的关系。当天,信息或数据成为非结构化的个人意志、行动预期、认知偏好甚至是思想萌芽等内容的集合体。对其内容和价值的发掘,目前在法律上缺乏明确的规制理念和可操作的行为模式。以当前的科学技术,法律难以对大数据采集问题给出明确的价值态度,当下的司法审查普遍豁免了大数据的采集和适用问题的法律责任,防止法律对新技术发展的约束。然而,此举在客观上的确给数据控制者滥用信息的控制地位肆意搜集用户信息提供了可能。对此,在立法上应当明确,为平衡权利保护与技术发展之间的关系,法律应当在保护新型技术的发展的同时以明文规定民众对其个人数据所拥有的相关权利,形成从一般人格权、类型化人格权再到隐私权和被遗忘权等权利束。①
第二,从价值上讲,被遗忘权是现实社会的需求,但现有的条款保护不足。在立法中引入被遗忘权是大数据时代人们摆脱网络“超级圆形监狱”的束缚,找回个人自由的有力手段。被遗忘权作为网络信息时代的产物,是网络技术进步而产生的新问题,是广大网民扩大民事权利的新要求,理应将其纳入我国现有类型化的人格权保护范畴。②目前,已有较为初步保障被遗忘权的规范条款,如作为请求权基础的《侵权责任法》第36条有关网络信息侵权责任的规定,就明确了网络用户要求服务商采取删除、屏蔽、断开链接等必要措施的权利,其中“删除措施”的规定与被遗忘权的内容相类似。又如2011年工信部出台的《信息安全技术、公共及商用服务信息系统个人信息保护指南》对个人数据规定了较为全面而充分的保护措施,该文件规定了个人信息的收集、加工、转移和删除,并明确可删除的信息即是个人有正当理由认为不再可用的信息。再比如2012年12月28日全国人大常委会通过《关于加强网络信息保护的决定》第8条也规定个人有权要求网络服务商采取删除措施。以上规定所保护的权利内容与被遗忘权有千丝万缕的关系,为被遗忘权进入当下中国的法律体系提供了可能。此外,在我国的网络服务实践中,已经初步制定了有关被遗忘权的规则。比如百度搜索引擎已经开始提供针对网页搜索相关问题接受用户投诉的服务。倘若搜索的内容结果侵犯了用户隐私或其他利益,百度公司将依据用户的申请提供删除服务,在用户提交删除请求并通过百度专门人员审核后,相关网页链接将被删除。
然而,这些条款尚不足以在法律上确立作为规范的被遗忘权。首先,《侵权责任法》第36条和《关于加强网络信息保护的决定》第8条的规定仍亟待细化。其次,工信部《信息安全技术、公共及商用服务信息系统个人信息保护指南》严格来说并不是法律规范,最多属于技术指导文件,其现实效力较弱。这说明,仍然需要专门为被遗忘权制定相应的体系化和类型化条款。再次,在我国构建被遗忘权的权利基础是信息自决权而非隐私权。信息自决权是指人们对个人信息具有充分支配权。尽管被遗忘权与隐私权之间有交叉重合的部分,然而重合部分主要集中在私人生活秘密部分,不涉及私密信息的部分能被遗忘权吸纳,并不能被隐私权所涵括。这意味着将被遗忘权纳入隐私权的做法并不可取。为此,从个人信息权而非隐私权的角度来确立被遗忘权及其保护条款,似较为可取。如此也可以体现“删除”在实现被遗忘效果上的谦抑性。③
除此之外,在制度设计上也需要考虑其他部门法与民法上被遗忘权的衔接问题。例如,目前在刑法上对被遗忘权权利构造的研究正在逐步兴起,所讨论的问题主要包括:关于被遗忘权与前科报告义务、犯罪人身份的解除和隐去、涉刑事案件犯罪嫌疑人、被告人在证明其无罪后的信息被遗忘等问题。如何在大数据时代下平衡依靠大数据实现犯罪控制和预防,以及维护公民隐私、信息权利和被遗忘权等,也处于积极的讨论当中。④不过从讨论的内容来看,相关论争最后仍然需要落脚到民法上被遗忘权的权利设计上,它们的着眼点也大概相同,不妨碍公民请求相关掌握信息的控制者协助落实被遗忘权。唯独需要斟酌的是,公民能否以被遗忘权来对抗公权力机关在网上发布的相关信息,尽管其目的在于预防犯罪?从法理上来看,这一点也是没有疑问的。公权力机关因预防犯罪需要搜集相关信息,与是否对外公布,是截然不同的两件事情。至少在民法上,权利人依法向转载、传播相关犯罪信息的信息控制者、搜索引擎公司请求删除相关信息、实现被遗忘效果,在处理技术和规范思路上,与一般案件是一致的。
事实上,网络技术的发展使得个人信息权与隐私权的区别越发得以凸显。如有学者将隐私权与个人信息权的区分概括为三个方面:从权利属性看,前者主要是精神性人格权,后者是综合人格利益与财产利益的权利。从权利客体看,前者主要是私密性的信息、活动,后者除了包括私密性信息之外还包括非私密性信息。隐私一旦公开便不再私有,个人信息可被反复多次利用。从权利内容看,前者侧重私生活安宁从而反对披露私密信息,后者则强调对于个人信息的自主支配。①被遗忘权与隐私权的区别在于,隐私权更偏向于一种防御性权利,在私人生活安宁与私人生活秘密受到侵犯时权利人才会主张;被遗忘权则属于积极性权利,需要权利主体主动行使,主动要求网络服务提供者对有关个人的被公开的、已过时、不正确或有损个人名誉的信息予以删除。被遗忘权强调个人对自己数据信息的控制,其核心是通过对个人数据信息的删除达到弱化别人记忆之目的,因此一般将被遗忘权归入个人信息权之中。换言之,被遗忘权虽然并非作为一种独立的权利形态,但是其在属性上可以归入到个人信息权的范畴,被遗忘权的实现仰赖法律对个人信息权的保护程度。职是之故,今后被遗忘权的制度设计,大致有着两个层面:第一,结合《民法总则》第111条关于“个人信息”的认定,借助法律解释,将个人信息确立为法定权利,以此演绎被遗忘权权利保障的制度逻辑。②第二,依托民法的有关规定,通过制定《个人信息保护法》对被遗忘权进行专门保护,以专门立法的形式集中规范个人信息收集、储存、传播和利用等行为,通过保护个人信息为被遗忘权的本土化保护创造法律环境。从理论上来看,被遗忘权应当坚持个人信息权的性质,这也是将来专门立法的理论基础。而针对立法上被遗忘权尚无明确归属的现状,在司法实践中可以将被遗忘权作为隐私权的内容对其实现策略性保护。③
结语大数据时代公共服务、商业模式、个体行为的诸多变革,颠倒了记忆与遗忘的传统定位,并打破了言论自由与隐私保护的平衡。被遗忘权作为对数据信息记载、传播、存储和利用加以限制的权利,意图重塑自由与隐私的界限,实现个人利益与公共利益的动态平衡。网络时代每个人的言行被持续记录、永久存储,人们被迫随时随地无时无刻对自己的过往历史感到忧虑,对过往历史的担忧将使得人们谨言慎行,这才是言论自由的致命威胁。被遗忘权使得个人可以删除过时、不相干及无涉公共利益的数据信息,在解脱了人们对过往恐惧的同时强化了言论自由。对于特定信息的删除,净化了网络环境,减少误导性信息,提高了信息准确度。以此为基础,从理论上可以型构被遗忘权的合理性和可能性基础。但实际执行过程中则面临技术困难,虽然公共网络空间的个人数据可以被去除,但是网络用户未经授权而复制并保存在私人空间的他人数据却无法有效删减。就此而言,互联网时代背景下数据信息一旦上网就可能永远不能有效删除。因此,被遗忘权存在局限性,并不能真正实现完全被遗忘的目的,仅仅作为一种淡化记忆的措施,在一定程度上抑制和删除信息的获取渠道。④更为根本的是,被遗忘权赋予数据主体向数据控制者提出删除个人信息的隐私保护权,与数据控制者希望收集与挖掘数据主体隐私,二者间动力差距巨大。大数据时代,个人数据意味着可观收益,这激励着网络服务商最大化地收集和挖掘个人数据,巨额利润远大于侵权受罚的风险。⑤可以说,被遗忘权在中国本土化实践还有很长的路要走,我们既要直面现实需求而不能使被遗忘权留滞为一种理论想象,也要清醒地认识到这一权利的限度,提防被遗忘权沦为审查的工具,不利于公共表达的真正实现。