网络安全
被遗忘权与个人信息的保护
“被遗忘权”在法律史上虽不是一个法定的权利种类,但它是伴随信息网络的发展而来的。有学者认为,被遗忘权是指信息主体对已经被发布在网络上有关自身不恰当的、过时的、继续保留会导致其社会评价降低的信息,要求信息控制者予以删除的权利。自从人类进入了网络信息时代,在网络上,任何信息要被记住保存轻而易举,而“被遗忘”仿佛成为一种奢求。大数据的建构下,就算一个事件在一段时间后尘埃落定,但只要键入关键词语甚至字眼,就可以得到关于这个事件的信息。网络上的信息纷繁复杂,信息发布者都隐藏在虚拟网络这一面纱之下,即便各国有出台相关法律规定网络言论自由的边界和对网络侵权的救济,不负责任的网络言论仍旧充斥网络,出现利用不适时的网络消息肆意损害他人人权的现象,给被侵害人的工作和生活带来不便甚至造成惨剧,业已成为一个国际性的问题。年前意大利女子坎托妮性爱影片外泄后受众网友嘲弄,继而通过法律诉求“被遗忘的权利”,虽然最后法庭下令各搜索引擎移除该影片,但同时也判令该女子支付高达2万欧元的诉讼费用,长期隐私权的侵犯和高额诉讼费使其不堪重负,在家中上吊身亡。在英国作家乔治·奥威尔的传世经典《1984》中,作者表达了人类对未来世界可能会存在“监视”的恐慌。伴随着大数据为我们带来信息采集、存储、管理、使用的革命的同时,我们在网上的搜索记录,社交言论等信息也在不断地被采集、存储、分析、使用。人类的隐私权保护底线也在不断地后退和妥协,甚至传统意义的隐私权逐渐消失。
2008年10月,我国台湾地区板桥地检署侦办的关于中华职棒米迪亚暴龙队打假球一案中,球队老板施建新亦被卷入该案,虽其之后获判无罪,但在网络上搜索“施建新”“暴龙假球案”等关键词仍可查看得到施建新关于涉嫌米迪亚暴龙假球案的相关信息。施建新本人随后在2014年以欧盟的“被遗忘权”为据诉请台湾Google公司移除有关他涉嫌该案的链接和讯息,台湾地方法院于2015年1月判施建新败诉。该案中,“被遗忘权”也随之引发大众的关注与热议。
一、被遗忘权的法律发展
“被遗忘权”的概念雏形最早体现在欧盟的相关数据保护法律中,真正以书面形式明确规定出现于欧盟2016年生效的《一般数据保护条例》的第17条:“当个人数据和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存其数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给任何第三方(或第三方网站),数据控制者应通知第三方删除该数据。”“被遗忘权”概念第一次被明确提出,是其法律发展道路的里程碑式实践。
2013年10月,美国加利福尼亚州州长杰瑞·布朗签署了加州参议院第568号法案。因法案中要求社交网络媒体允许未成年人删除自己曾经不良的网络痕迹,也被称为“橡皮擦”法案。美国各大州法律陆续出台有《电脑犯罪法》《通信正当行为法》等上百部法律法规来惩处网络侵权事件,未成年人的网络权利保障更是美国未成年人组织重点关注的话题。未成年人心智发展尚未完全,缺乏对自身行为足够正确的认知能力。他们在网上发布一些过激言论或者不恰当的个人信息后,由于网络信息的快速传播不受控制使得发布者遭受网民指责与嘲笑,严重的甚至演变为网络暴力事件,给其精神和生活带来重大的影响,法案的出台恰恰为未成年人提供一个及时遏制不当网络信息传播的机会。从《一般数据保护条例》和“橡皮擦法案”中可以看出,全世界范围内对于“被遗忘权”的保护有待提升,伴随着网络科技的不断发展,“被遗忘权”作为一种网络社会的重要权利正在日益受到重视。
二、被遗忘权的本土化建构
“被遗忘权”这一概念在我国没有书面化定论,该名词被国内普遍知晓起于2015年12月审结的中国“被遗忘权”第一案——任甲玉诉百度公司名誉权纠纷案,原告任甲玉认为,陶氏教育在业界名声不好,自己并未在陶氏教育任职,百度公司在搜索页面中公开其与陶氏教育有关的个人信息侵犯了其名誉权、姓名权及作为一般人格权的“被遗忘权”,要求百度公司断开涉案关键词的搜索链接、赔礼道歉、赔偿经济损失。一审驳回原告诉讼请求后,原告诉至北京第一中级人民法院,二审法院判决驳回上诉,维持原判。法院认为相关搜索词系由过去一定时期内使用频率较高且与当前搜索词相关联的词条统计而由搜索引擎自动生成,并非由百度公司人为干预,明显不存在对原告任甲玉进行侮辱、诽谤等侵权行为,而原告任甲玉所主张的“被遗忘权”在我国法律中并没有明确规定,如果想通过一般人格权的角度来保护“被遗忘权”,必须证明“被遗忘权”中存在正当、具有保护必要性的人格利益。
中国是否具备适宜移植欧盟《一般数据保护条例》中所提及的“被遗忘权”的土壤?笔者认为中国目前尚不具备将其单独立法保护的环境。理由有四:第一,《一般数据保护条例》中“被遗忘权”的主体是“已经和数据收集,整理的目的无关,而数据主体不希望被处理的数据”。“数据主体不希望其数据被处理”便可以成为一个合理的理据,在此意义下的“被遗忘权”自由度过大,过度的自由会导致权利的滥用。任一主体不想自己的信息在网上被采集被使用,“被遗忘权”便成为一个绝佳的理由,赋予数据主体的权利是否过大?“和数据收集,整理无关”具体如何举证?举证责任沿用传统的“谁主张,谁举证”原则的话,数据主体难以举证。第二,我国《侵权责任法》第三十六条规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的应当承担侵权责任。”该条第一款已明确规定中国保障数据主体的正当权益。该条第二款、第三款也规定了侵犯数据主体的法律后果:“网络用户利用网络实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任”,“网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施,与该网络用户承担连带责任。”从第二、三款可以看出,我国不仅保护数据主体的信息不受他人侵犯,还将承担责任的主体由侵权人拓展到未及时采取合理措施的网络服务提供者,对数据主体权利设定一个安全边界的同时更明确地规定了被侵权时承担责任的主体,为数据主体保障其信息权利提供了一个清晰明确的指引。在信息权利保障方面并没有出现盲区,无须另行单独立法,造成冗法。第三,数据主体主张法院根据“被遗忘权”判令相关网络主体删除信息时,所主张的信息可能涉及第三人权利。举例说明,“被遗忘权”和宪法中规定的言论自由之间存在紧张关系。数据主体主张“被遗忘权”而第三人主张言论自由,权利之间产生冲突时,哪一个权利应当被支持?第四,如果“被遗忘权”成为一个单独的权利类型,数据主体的权利主张被支持,那么网络上的信息将处于一种不稳定的状态,引发冗讼的现象,同时不利于网络经济的发展和社会的稳定。
当前中国互联网经济占GDP比重超过7 %,中国在世界十大互联网公司中占据四席,俨然已经成为一个互联网经济大国,网络信息管理和权利保障已经日益成为一个法学界人士及社会各界人士都十分关注的话题。“被遗忘权”虽不适宜本土化移植与建构,但国外关于“被遗忘权”立法司法的成功经验值得中国法律人研究和借鉴,如何在个人自由和权利限制之间达到平衡,使法律的建构、权利的设立有利于保障公民权利同时兼顾互联网经济与科技高速发展,是中国法律人应对互联网科技日新月异和社会高速发展所应该思考的问题。
三、个人信息滥用的问题
伴随信息处理和存储技术的不断发展,当今社会呈现信息爆炸的现状。法律尚未明确信息权利的边界和侵权责任承担时,个人信息的存储和使用处于一种失控的状态,个人信息滥用问题日趋严重。
目前存在的个人信息滥用现状大致分为以下三类:①过度收集个人信息。某些机构办理业务时,要求数据主体提供大量非必要的个人信息。如商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息。②擅自披露他人个人信息。机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息。例如有些银行通过网站、媒体披露欠款者的姓名、证件号码、通信地址等信息。③擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。比如,银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。除此之外,还存在着非法买卖个人信息的情况:个人在办理购房、购车、住院等手续之后,相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等,并形成产业链。非法采集和存储的个人信息大量进入市场,涉嫌利用个人信息诈骗的事例屡见报端,给公民的生活带来众多困扰。
2013年11月5日,最高人民法院公布第一批失信被执行人名单信息,并充分借助报纸、广播、电视、网络等渠道公布失信被执行人信息,该名单通过最高人民法院的官方网站向社会公布,社会公众可直接查阅该名单。
法院在互联网上公布失信被执行人即俗称的“老赖”的信息是否属于上述所说的个人信息滥用的第二类情况?笔者认为,法院公布失信被执行人名单,名单中虽包含有被执行人姓名,身份证号等信息,但法院向社会公众公布被执行人信息的行为是基于2013年7月1日最高人民法院审判委员会第1582次会议通过的《最高人民法院关于公布失信被执行人名单信息的若干规定》中的有关规定,同时符合《中华人民共和国民事诉讼法》第二百五十五条规定:“被执行人不履行法律文书确定的义务的,人民法院可以对其采取或者通知有关单位协助采取限制出境,在征信系统记录,通过媒体公布不履行义务信息以及法律规定的其他措施。”公布失信被执行人名单已获法律授权,故不属于个人信息滥用的情况。
四、个人信息权利性质
我国并未将个人信息权作为一个法定的独立权利进行立法,传统观念是将个人信息归入隐私权的范畴,以隐私权的形式对数据主体的个人信息加以保护。笔者认为,个人信息权范畴远远大于隐私权,以隐私权的权利形式来保障个人信息显然是不充分的。隐私权主要是一种防御性人格权性质的权利,权利客体指向一些较为私密的信息,例如个人健康状况、婚姻状况等。个人信息不仅仅是包括私密性信息,只要是能够使权利主体区别于他人的,具有可辨识性的信息都属于个人信息的范畴。与此同时,个人信息不仅仅是涉及精神性的人格权方面,同时,还具有可具有主动获益的性质,权利人可以授权其他自然人或者法人使用其个人信息来获取经济利益。由此可见,个人信息和隐私权不能一概而论。笔者认为,在立法方面应该对个人信息单独设定一个权利类型进行保护,在民法典中对个人信息权和隐私权做一个清晰的区分。
五、个人信息权利的保障
法律并未将个人信息权作为单独的权利类型加以规定,但公民的个人信息仍有法律法规加以保障。《中华人民共和国宪法》第四十条保障公民通信自由和通信秘密;《中华人民共和国未成年人保护法》第三十九条规定任何组织和个人不得披露未成年的个人隐私;《中华人民共和国传染病防治法》第六十八条第五款规定对故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的医疗工作人员加以处分,构成犯罪的,依法处以刑事责任。以上法条规定了公民的个人信息权利受法律保护,同时可以看出,个人信息的保护在法律条文中多体现为隐私权的形式,个人信息的保障是远远不够的。2017年11月6日通过的《中华人民共和国网络安全法》第三十条规定:“网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。”明确了公民的个人信息是受公民自己支配,禁止他人滥用公民法律精神。
此外,《刑法修正案(七)》和《刑法修正案(九)》将个人信息保护纳入刑法保护的范畴,但是个人信息保护,单靠刑事手段还不够,要通过司法案例建立侵犯个人信息案件民事上的可诉性。个人信息和重要数据保护也应是2017年《网络安全法》的执法重点之一。
综上所述,在中国目前的法律环境下,被遗忘权中的一些内容应纳入个人信息权保护之中。立法机关要加快完善个人信息权的法律系统的构建,刑事手段以司法案例和司法解释来增加个人信息权保护的可诉性,民事方面以各部门法的法律法规来保障个人信息权,法学界和社会各界还应探索个人信息保护法制定的可行性,借鉴外国个人信息保护立法方式并结合中国实际情况,从而创建个人信息权利保障的法律架构。