内容摘要

被遗忘权作为一项数据主体所享有的，旨在要求数据控制者删除其互联网上依法可以删除的个人数据以使其被互联网所“遗忘”的民事权利，对于保护民事主体的人格利益，其作用和意义愈来愈受到关注。最根本的原因在于互联网和大数据的快速发展，使得作为数据主体的普通自然人在面对互联网和大数据的冲击时，似乎显得无处遁形。“记忆”成为永恒，“遗忘”似乎变得不太可能。在这样的背景下，个人数据所承载之人格利益的保护成为民法或个人数据保护法的重要课题。

从比较法考察，被遗忘权源自欧洲，欧洲法院在 2014年 Google-González案的司法判例中首次予以肯认，其后欧盟2016年《统一数据保护条例》正式立法作出规定。欧盟被遗忘权立法在世界范围内引发热议，各国对被遗忘权的态度不一，不少国家保持接受或乐观态度。俄罗斯快速通过被遗忘权法案，日本以司法判例的形式承认被遗忘权，而美国与欧洲在权利观念、法律传统方面存在差异以及基于企业利益乃至国家利益方面的较量，美国对被遗忘权的态度比较消极。

被遗忘权作为一项新兴的民事权利，其权利属性可寻求法理学和民法学维度的理论支撑予以证成。在法理学维度上，被遗忘权是一种新兴权利。依据利益—法益—权利之间的逻辑理论，借助利益到权利的路径和利益衡量的路径，揭示出被遗忘权作为权利之属性。在利益到权利的路径发展进程中，个人数据作为数据主体人格利益的承载，蕴含着最基本的自由、尊严和公平之价值。个人数据蕴含的人格利益应当成为获得法律保护之法益，这是被遗忘权应当得到法律确认并受到法律保护的根本原因。利益衡量的路径为司法实践中被遗忘权获得法律肯定提供了法律适用方面的思路，欧盟司法判例确认了被遗忘权实际上就是利益衡量的结果。从权利发展的新颖性方面看，数据主体希望被遗忘是数据主体基于其人格自主性对其个人数据作出的自我决定的结果，这种人格自主性是数据主体的被遗忘权成为一项权利的内在理由。同时，被遗忘权也符合新兴权利在时空方面的形式标准，以及基于权利客体范围的扩展或缩减而形成的新兴权利样态这一实质标准，因而，法理学维度的被遗忘权得以证成。

在民法学维度上，被遗忘权在民事权利谱系中应当定位为具体人格权的范畴。个人数据蕴含的人格利益反映了自由、尊严、公平这些朴素的自然法价值，决定了这些人格利益应当也必须得到尊重、善待和保护。基于这样的民法理念，被遗忘权不属于财产权，应属于人格权范畴，且应属于具体人格权范畴。在具体人格权范畴中，被遗忘权与隐私权确有一定渊源，但二者在社会历史背景，权利的主体、客体、内容方面存在差异，因此不应将被遗忘权界定为隐私权。与被遗忘权最具密切关系的是个人信息权。从我国现有法律规定看，个人信息权作为一项具体的民事权利实际上并未获得正式确认。在理论上，被遗忘权属于个人信息权的范畴之内，但个人信息权具有框架权特质，这种框架权具有模糊性、需经利益衡量才能确定其侵权行为的违法性以及对传统权利具有补充性三方面特征，因此，借助个人信息权的框架权特质来检视被遗忘权，则不妨将被遗忘权从个人信息权中剥离出来，作为一项具体的、独立的民事权利对待。

从权利结构体系或法律关系的角度分析被遗忘权，需要厘定其主体、客体和内容。被遗忘权的权利主体应当限定为自然人，可以包括死者和胎儿，而法人目前不能成为被遗忘权的主体。被遗忘权的义务主体的界定决定了履行删除义务以及承担侵权责任的主体的范围。基于互联网和大数据的背景，义务主体的范围以网页源的数据控制者以及搜索引擎服务提供者为主。被遗忘权的客体是个人数据蕴含的人格利益。由于个人数据具有与数据主体相关的可识别性，以及集财产和人身双重属性，因此，数据主体的人格利益以个人数据为载体。我国未来的《个人数据保护法》可以借鉴欧盟《统一数据保护条例》的做法，对特殊类个人数据作出概括列举，并采用分级式的模式对其数据处理行为作出不同级别的规制。被遗忘权的内容对数据主体而言，主要是要求删除个人数据的权利，也可以包括特定情形下要求数据控制者对其个人数据进行限制处理的权利；对数据控制者来说，其应当履行的核心义务就是删除个人数据的义务，除此之外，法律还应当施加数据控制者履行通知其他数据处理行为人的通知义务。

法律赋予数据主体享有被遗忘权，但不意味着被遗忘权的行使没有边界。各国一般基于本国国情，设定了被遗忘权行使的具体适用情形以及限制情形。就我国而言，数据主体可以基于个人数据对于数据处理时的目的已经不再必要、数据主体撤销对个人数据处理的同意、特定情形下数据主体拒绝个人数据处理行为、个人数据被非法处理、数据控制者基于法定义务而必须删除个人数据以及个人数据处理涉及对未成年人的特殊保护等情形下行使被遗忘权。同时，当数据控制者进行必要的个人数据处理是基于国家机关合法行使职权、公共利益、言论自由、履行法定义务、为诉讼需要时，则数据主体不得行使被遗忘权。公共利益作为被遗忘权行使的限制情形之一，需要对公共利益范围进行界定，应当涵盖公共健康领域的公共利益，存档目的、科学研究目的或历史研究目的或统计目的方面的公共利益，国家安全、社会保障、教育发展等方面的公共利益。在司法适用中，权利的行使与限制是利益衡量的结果，公共利益和言论自由在这方面显得尤为重要。被遗忘权与公共利益发生冲突时，法官可以援引比例原则在被遗忘权的制度利益和公共利益之间进行利益衡量。被遗忘权和言论自由发生冲突时，可以根据数据主体的身份、个人数据的性质和数据处理行为的表现综合进行利益衡量。

数据控制者怠于履行删除义务，构成了侵害被遗忘权的侵权行为，应当承担侵权责任。被遗忘权侵权责任采用何种归责原则，是被遗忘权侵权的核心问题。不管是过错责任原则还是无过错责任原则，都不利于当事人证明责任负担的分配。无过错责任原则对数据控制者苛责过于苛刻，过错责任原则又无法实现对数据控制者的有效约束，而过错推定责任原则能够折中地实现归责的价值目标，同时也符合世界数据保护法的主流趋势。因此，我国被遗忘权侵权责任的归责原则宜采用过错推定责任原则。基于过错推定责任原则，侵害被遗忘权的损害赔偿责任构成要件中，因果关系采用通说的相当因果关系理论，主观过错实行证明责任倒置规则。

被遗忘权在我国现行立法中处于缺位状态，制度的缺位又给司法适用带来了障碍。互联网和大数据发展的进程以及世界个人数据保护立法的趋势，决定了我国应当对被遗忘权予以关注。因此，通过立法对被遗忘权进行制度设计十分必要。我国构建被遗忘权制度，重点是在立法上将被遗忘权作为一项具体的民事权利予以确立，具体思路可以从民法和个人数据保护法两个层面进行思考。民法层面可以设计三条路径。路径之一是在《民法总则》第110条、第111条基础上完善；路径之二是在《侵权责任法》第2条和第36条基础上完善，并实行损害赔偿限额规则、证明责任倒置规则来健全救济机制；路径之三在未来《民法典》中设置单独的被遗忘权条款，这是最理想的方案。个人数据保护法层面构建被遗忘权是非常便捷的一种模式，在未来的《个人数据保护法》中应当对被遗忘权进行体系化架构，从个人数据处理的基本原则、数据主体的权利、数据控制者的义务、监管机构、救济方式和法律责任等方面进行总体设计。同时，设立独立的数据监管机构，强化互联网企业自律，进而形成综合性的被遗忘权制度构建体系。