第一节 被遗忘权概念的理论争议
一、被遗忘权的含混使用
被遗忘权首次在法律文本中出现,可以追溯到2012年欧盟委员会的立法。2012年1月25日,欧盟委员会公布了《一般数据保护条例(草案)》,在该草案中首次明确规定了被遗忘权这一新兴权利。众所周知,欧盟一直非常重视个人数据的保护,其在个人数据保护方面的立法和司法经验非常丰富。早在1995年,欧盟就公布了《个人数据保护指令》,以指导成员国对个人数据进行保护。值得注意的是,在欧盟的法律框架内,指令的效力低于条例。指令不能在欧盟成员国内直接适用,而需要成员国结合本国的实际情况,将指令的立法精神和原则贯彻到国内的立法之中。随着信息技术的发展,1995年《个人数据保护指令》的部分内容已经有些过时,无法完全满足大数据时代的需要,个人数据保护面临前所未有的挑战。在欧盟范围内,保护个人数据权利的呼声日益高涨,迫使欧盟起草全新的数据保护法律,替代过时的1995年《个人数据保护指令》,从而实现对个人数据的“一揽子”保护。
在《一般数据保护条例》的制定过程中,发生了举世闻名的“冈萨雷斯案”。[2]冈萨雷斯曾经因为欠缴社保费用,房屋被依法拍卖,相关信息被西班牙先锋报发布到了互联网上。十余年后,该信息仍然停留在互联网上,借助谷歌可以非常便捷地检索到这条信息。冈萨雷斯认为该信息的持久存在给其生活带来了不便,申请谷歌断开链接并要求西班牙先锋报在其官网上删除相关报道。冈萨雷斯的申请遭到了谷歌和西班牙先锋报的断然拒绝,义愤填膺的冈萨雷斯随后将谷歌和西班牙先锋报投诉到西班牙数据保护局。幸运的是,西班牙数据保护局支持了冈萨雷斯的部分诉求,其要求谷歌断开链接,同时报社不用删除原始报道。这样的裁决结果虽然无法令冈萨雷斯完全满意,但谷歌断开链接可以在很大程度上满足冈萨雷斯的诉求。在裁决中失利的谷歌自然不肯认输,其向西班牙最高法院提起上诉,将西班牙数据保护局和冈萨雷斯同时列为被告。西班牙最高法院在审理的过程中,发现需要适用1995年的《个人数据保护指令》,但是该指令的诸多条文都比较模糊,因此根据《欧共体条约》关于“预先裁决”的规定,请求欧洲法院对1995年《个人数据保护指令》的相关条款进行解释,以回答该案中的核心争议问题。针对该案,欧洲法院的法官经过认真审理,于2014年5月13日作出了最终判决,判令谷歌按照冈萨雷斯的要求删除相关链接,支持了冈萨雷斯的被遗忘权。[3]值得注意的是,在“冈萨雷斯案”后,关于被遗忘权的执行范围产生了争议。被遗忘权的实施导致谷歌与法国数据保护机构——国家信息和自由贸易委员会(CNIL)就GDPR的法律适用范围展开了一场斗争。当时,谷歌只是从欧盟域名中删除了个人信息,CNIL则认为,这项规定应该适用于所有域名,包括位于欧盟以外的网站的域名,当搜索引擎允许个人请求删除指向个人姓名的链接时,搜索引擎必须删除所有扩展域名上的链接。但是谷歌拒绝这一请求,仅仅将删除链接的权利限定在欧盟成员国内。[4]2019年9月24日,欧洲法院最终认定谷歌和任何其他搜索引擎都没有义务将该规则扩展到欧盟国家之外。[5]也就是说,欧洲法院仅支持在欧盟域名范围内适用被遗忘权。
“冈萨雷斯案”非常经典,从法学方法论的角度来说,该案中裁判方法的使用非常高明,本书第五章还将对其进行更为深入的分析。在“冈萨雷斯案”中,一共涉及三方主体,即冈萨雷斯、西班牙先锋报和谷歌。法院的最终判决也非常高明,充满了法律智慧,值得称道。在该案中,法院最终认为谷歌需要断开链接,而西班牙先锋报无须删除原始的新闻报道。这样做的好处在于,一方面可以使冈萨雷斯的个人信息不被他人所轻易地获取,由此保护了冈萨雷斯的被遗忘权;另一方面可以使西班牙先锋报的原始报道继续存储在互联网上,被访问报社网站的用户检索到,报社的新闻自由以及公众的知情权得到了保障。总之,通过让谷歌删除链接来增加搜索的难度保护了冈萨雷斯的被遗忘权,而报社不用删除新闻报道又保障了其新闻自由。欧洲法院在该案中对相互冲突的诸方利益所做的利益平衡非常到位,值得我们借鉴。在“冈萨雷斯案”中,欧洲法院实际上是通过删除权来保护被遗忘权的。通过要求搜索引擎断开链接,进而实现了对冈萨雷斯被遗忘权的保护。欧洲法院支持数据主体对于个人数据的控制权,对于不适当、不相关、过时的个人数据,数据主体享有删除这些数据的权利。“冈萨雷斯案”之后,谷歌收到上百万条删除链接的请求。有的学者指出,实际上早在“冈萨雷斯案”之前,被遗忘权已经被讨论了很多年,关于断开链接、删除、擦除、移除的术语,已经应用于各种形式的权利中。[6]
大数据时代,造成数据不容易被删除。即使是自己上传的数据,也有可能无法删除。因此,赋予数据主体被遗忘权非常有必要。如果明确规定数据主体享有被遗忘权,那么网络社交平台等网络服务提供者就须为用户提供可供删除个人数据的界面,协助用户删除个人数据。从其名称来看,“被遗忘权”的确属于新兴权利,这个名称的确很新颖,使我们对其内涵充满了好奇。从实质来看,被遗忘权所反映的核心特质在于数据主体对其个人数据的控制权。
在前互联网社会,信息被遗忘不是个问题。随着时间的流逝,人的大脑将遗忘掉很多东西。即使有人再次披露该信息,该信息也会被人的大脑逐步遗忘。而在互联网时代,个人信息的遗忘成为一个问题。互联网具有持久存储和记忆数据的功能,个人信息一经公布,就会被互联网记忆。随着信息技术的发展,人们可以通过互联网进行便捷的信息交流。信息流通的便捷性也带来了一些负面的影响。一旦在网络上发布一些内容,无论是图片还是文字,发布者都很难予以彻底删除。这是因为,一方面互联网可以记忆这些内容,另一方面他人可能便捷地转发这些内容,在发布者删除这些信息前,可能他人已经将该内容扩散传播出去了。例如,一位明星刚发过一篇微博,然后立即删除,尽管如此,该信息还是有可能被人截屏,从而导致信息的传播。在互联网时代,互联网持久记录个人信息的能力既有有利的一面,也有不利的一面。从正面的角度来说,互联网的持久记忆促进了信息的流通,使人们可以便捷地访问信息,有利于社会的进步。从负面的角度来说,由于个人信息被互联网永久记忆,使得人们无法实现对个人信息数据的有效控制。一旦在互联网上发布一些内容,就很难收回,用“覆水难收”来形容显得尤为贴切。互联网在给人们带来便利的同时,也给人们带来了一些困扰;在使人变得更为自由的同时,也使人变得更为不自由。
虽然被遗忘权早在20世纪90年代就被人提及,[7]但是针对其准确含义有关学者至今仍未达成共识。[8]国内学者在研究被遗忘权这一概念的时候,往往将其与删除权、隐私自主权、个人信息自主权、湮没权[9]等联系起来,对被遗忘权概念的本质理解得不够深刻。国外学者对于被遗忘权(right to be forgotten)的理解,实际上也有诸多不同的观点。[10]
第一,认为欧盟《一般数据保护条例》中的“被遗忘权”(right to be forgotten)包含了传统的被忘却权(droit à l’oubli,right to oblivion)[11]和删除权。[12]也就是认为欧盟的被遗忘权既包括传统受过刑事处罚的被告人的被忘却权,也包括互联网领域的数据删除权。
第二,认为“被遗忘权”(right to be forgotten)等同于删除权,[13]也就是说,数据主体享有要求数据控制者永久删除有关个人数据的权利。[14]这实际上是将被遗忘权局限在互联网领域,而且用删除权来指代被遗忘权的核心内容。这种观点在国内学界也很有市场,在刚开始讨论被遗忘权这一概念时,国内很多学者都认为被遗忘权实质上就是删除权。
第三,认为被遗忘权本质上并不是一项新的权利,而是与欧盟数据保护中的删除权、更正权等联系在一起的。[15]这种观点实质上是认为被遗忘权这个名称如同一件新的外衣,其实质内容存在于删除权等既有的权利之中。
第四,认为被遗忘权可以在三种意义上使用:其一,被遗忘权指的是到了一定的时间,数据主体可以删除个人数据的权利;其二,被遗忘权指的是数据主体享有获得清白历史的权利;其三,被遗忘权指的是数据主体所享有的不受限制地进行自由表达的权利。[16]这种观点梳理了被遗忘权的不同用法,注意到了被遗忘权不同用法所指代内容的细微差异,但是既没有概括出被遗忘权的核心含义,又没有对不同用法之间的内在关系作出明确而清晰的界定。
第五,有学者将从信息系统中删除数据的权利等同于被遗忘权,也就是说,被遗忘权应限于从媒体和互联网信息资源中删除个人信息。[17]该种观点认为,被遗忘权包括删除以下来源的信息:其一,报纸的新闻档案,随着存储的数字化,许多媒体档案已经实现数字化,数字化的新闻可以成为被遗忘权的调整对象;其二,存储在搜索引擎中的记录,搜索引擎积累了海量的个人数据,而且借助搜索引擎可以链接涉及个人信息的网页;其三,社交媒体平台,人们每天在社交媒体上产生了大量的数据,对于社交媒体上的数据进行删除具有保护被遗忘权的积极意义。[18]这种观点实际上是将被遗忘权理解为一种涉及互联网的数字权利,即数字被遗忘权(digital right to be forgotten)。
第六,有学者认为被遗忘权存在三种形态:其一,关于历史上司法判决的被遗忘权,即罪犯享有的其犯罪记录被人遗忘的权利;其二,数据保护立法所确立的被遗忘权,即数据保护立法中关于删除个人数据的权利;其三,数字被遗忘权,即数字环境下删除个人数据的权利。[19]
第七,还有学者区分了五种意义上的被遗忘权。Michael L.Rustad和Sanna Kulevska在借鉴Terwange被遗忘权三分法的基础上,区分了五种被遗忘权:其一,改过自新的权利(right to rehabilitation),即针对过去的司法裁判记录,罪犯享有的其犯罪记录被人忘记的权利;其二,删除权(right to deletion/erasure),即数据保护立法所确立的删除权;其三,断开链接的权利(right to delisting/delinking/de-indexing);其四,模糊权(right to obscurity),即与隐私权紧密联系的默默无闻的权利;其五,数字被遗忘权(right to digital oblivion),即针对信息社会服务所收集个人数据的数字被遗忘权。[20]前两种权利与数字时代无关,而后三种权利则属于数字权利。第一种权利是旧权利。第二种权利属于数据保护立法所确立的权利。第三种权利是从第二种权利中延伸出来的,通过对第二种权利的扩张解释,可以推导出第三种权利。第四种权利与隐私权密切相关,在美国法上有所体现。第五种权利是数字被遗忘权,适用于社交网络环境,可以完全删除个人数据。
在欧盟的立法过程中,被遗忘权在法律条文中的表述也经历了几个阶段。欧盟《一般数据保护条例》第17条的标题从2012年的“被遗忘和删除的权利”(right to be forgotten and to erasure),变为2014年的“删除权”(right to erasure),[21]再变为2015年的“删除和被遗忘的权利”(right to erasure and “to be forgotten”),[22]欧盟2016年4月通过的《一般数据保护条例》第17条的最终表述是“删除权(被遗忘权)”[right to erasure ( “right to be forgotten”)]。[23]从中可以看出,早期立法者似乎认为被遗忘权和删除权在内容上存在相通之处,因此采用“被遗忘和删除的权利”这一概念,后来用删除权来涵盖被遗忘权的内容,而被遗忘权这一概念直接在标题中被删除而只保留删除权这一概念,再到后来立法者似乎认为被遗忘权具有一定的独立性应当在标题中出现,因此用“删除和被遗忘的权利”这一表述形式,将删除权提到了前面,而被遗忘权放在了后面,但最终的立法则是采用了删除权(被遗忘权)这种形式,既在标题中保留了被遗忘权这一概念,又特别突出了删除权的地位。欧盟在其立法中,采取了用删除权来保护被遗忘权的策略,规定了数据主体在多种情形下删除数据的权利。由此可见,在欧盟的立法框架下,删除权与被遗忘权没有得到清晰的区分。
Meg Leta Ambrose和Jef Ausloos认为删除权(right to erasure)与被忘却权(right to oblivion)存在差异。被忘却权(right to oblivion)旨在保护个人的名誉、身份和人格等利益,而删除权(right to erasure)则旨在使个人对其个人数据(data)有更强的控制权,二者不应被欧盟2012年《一般数据保护条例(草案)》中的被遗忘权(right to be forgotten)同时涵盖。[24]也有学者认为,欧洲法院在“冈萨雷斯案”中所确立的被遗忘权是删除索引的权利,[25]这种意义上的被遗忘权是最狭义的。只在索引列表中删除了链接,而原始的数据并没有被删除,这种意义上的被遗忘权只是使数据更难被找到而已。还有学者认为,被遗忘权指的是这样一种权利,个人享有删除、限制或改变过去的记录的权利。这些记录可能是有误导性的、多余的、脱离时代的、令人难堪的或者不相关的数据。这些过去的记录不再对个人的当前观念产生影响。[26]
对被遗忘权的概念产生争议的深层原因在于不同的学者在不同的意义上来使用这一概念。他们都注意到了被遗忘权侧重于保护数据主体对于其个人信息数据的控制,但是在被遗忘权的具体内涵和外延上存在争议。有的学者所使用的被遗忘权概念外延非常大,而有的学者所使用的被遗忘权概念外延非常小。不同学者都是从不同的角度、不同的层次上来使用“被遗忘权”这一概念的,都有一定的合理性。但是如果没有对被遗忘权的概念形成较为清晰、一致的认识,则不利于讨论的进一步深入。因而,要把握被遗忘权的核心意涵,必须回溯被遗忘权的历史变迁,从中发掘被遗忘权的本质。
二、被遗忘权的历史变迁
在探讨被遗忘权的历史起源的时候,不得不提及法国法上的相关制度。法国法上很早就有类似于被遗忘权的制度。被遗忘权的出现源于一个人的发展和继续独立生活,不因过去任何时候所犯下的任何消极行为而在其余生中蒙受非难的愿望和需要。[27]在法语中与被遗忘权(right to be forgotten)比较接近的一个词汇是“droit à l’oubli”,可以翻译为“right to be forgotten”或“right to oblivion”,其字面含义是“被遗忘的权利”。法语中的这个权利实质上可以追溯到19世纪晚期,根据法国1881年7月29日制定的一项法律,被法院定罪的人,享有使其犯罪记录在经过一段时间后消失的权利,禁止对特定司法程序中的某些事情进行公开。虽然被遗忘权的概念是新近提出的,但是,关于其内在的背景性概念却已经争论了很多年。[28]
为了将法国法上的这个概念与我们现在讨论的被遗忘权区别开来,可以将法国法上的这个权利称作“被忘却权”,其赋予了受过刑事处罚的人享有其犯罪记录不被公众所知的权利。该项权利的主体仅限于受过刑事处罚的人,其旨在通过限制犯罪记录的披露来保障罪犯再社会化的权利。该项权利的理论基础实际上是隐私权,是一项关涉人的尊严和名誉的基本权利。[29]被忘却权保障了罪犯再社会化的权利,限制了公众的知情权。该项权利的历史较为悠久,是法国法上的一项很有特色的制度,通过限制他人接触罪犯的犯罪记录,保障受过刑事处罚的人的犯罪记录被他人忘记,从而促进罪犯的再社会化。
法国法上的这项权利旨在保护复权(right to rehabilitation),[30]即通过保护罪犯的犯罪记录不被任意披露来为罪犯的再社会化提供有利的条件。罪犯的犯罪记录被严格控制,反映的是一种宽恕的理念。法国刑法中规定了复权。根据《法国刑法典》第133-12条的规定,罪犯享有复权。尽管复权在法国是一项广泛的权利,但在司法判决中,必须满足许多条件才能适用它。在法国法上,复权的行使需要满足严格的条件。要证明罪犯的行为良好,而且有改过自新的真实愿望和可能。复权的条件是极其严格的,曾经的罪犯必须完全远离犯罪,他必须成为一个近乎完美的“表现良好”的公民。[31]在英国法上,也存在复权。根据英国1974年的《罪犯复权法》(The Rehabilitation of Offenders Act)的规定,对经过多年而未再犯下任何严重罪行的罪犯来说,其享有其犯罪记录不被披露的权利,而对未经授权披露其先前定罪记录的行为要进行处罚。根据该法的规定,在判决确定的刑期结束后,如果罪犯没有犯下新的罪行并被定罪,那么通常来说,该罪犯的犯罪记录不再需要被披露。[32]在美国,很多州的法律也有类似的规定。例如,康涅狄格州的法律允许在某些条件下,如随着时间的推移,特别是在某人被判无罪,案件被驳回或者无效的情形下,相关记录需要被擦除。[33]
第一,法国的被忘却权(droit à l’oubli,right to oblivion)实现了从线下权利向线上权利的迁移。在法国法上,被忘却权最初的权利主体仅包括受过刑事处罚的人,因此该权利主要在刑事领域适用,而且被忘却权是一项线下权利。这是因为,被忘却权保护的是受过刑事处罚的罪犯的犯罪记录不被任意再次披露的利益。在前互联网社会,随着时间的流逝,人的大脑会逐渐忘记罪犯的犯罪记录,因此禁止媒体等再次披露该犯罪记录对于受过刑事处罚的罪犯的再社会化很有帮助。而互联网时代的到来则改变了这种情形,个人的犯罪记录可能会一直存储在互联网上,其对罪犯的再社会化带来了挑战。因此,早在2009年,法国就致力于使被忘却权由线下走到线上,[34]从而使被忘却权从一项线下权利变为一项线上权利。由此,传统的被忘权的含义得到了实质性的扩充,其囊括了现代数字被遗忘权的很多内容。
第二,法国的被忘却权(droit à l’oubli,right to oblivion)和被遗忘权(right to be forgotten)的核心含义基本上是重合的。从被忘却权的创立初衷来看,其旨在使受过刑事处罚的罪犯的犯罪记录成为隐私信息,通过限制他人获取和公开该信息来保护罪犯再社会化的权利。被忘却权体现了已公开个人信息再隐私化的理念,其和互联网时代的被遗忘权所坚持的理念具有相似性。但是,被忘却权仅被受过刑事处罚的罪犯所享有,而且其在性质上属于线下权利,而互联网时代的被遗忘权则被所有的自然人所享有,而且其属于线上权利,也被称作“数字被遗忘权”。[35]
从被忘却权的本质来看,其与现在我们讨论的数字被遗忘权具有很多相似点:其一,二者都主张对特定的个人信息进行封锁,限制他人接触该个人信息;其二,二者都是通过对个人信息的封锁来达到特定的个人信息被人遗忘的目的。二者也存在一些不同点:其一,传统的被忘却权发生在前互联网时代,而现代的数字被遗忘权则发生在互联网时代;其二,传统的被忘却权的权利主体只包括受过刑罚的罪犯,而现代的数字被遗忘权的权利主体则包括所有的自然人;其三,传统的被忘却权是通过对个人犯罪记录的封存而实现的,而现代的被遗忘权则是通过对个人信息的主动删除而实现的;其四,传统的被忘却权建立在隐私权等权利的基础上,带有消极权利的特征,而现代的被遗忘权则建立在个人信息权的基础上,带有积极权利的特征。实际上,被遗忘权与传统的被忘却权和数字被遗忘权之间是属种关系。传统的被忘却权和数字被遗忘权都具有被遗忘权的特征,二者属于被遗忘权的种概念。也就是说,从广义上来说,被遗忘权既包括传统的被忘却权,又包括现代的数字被遗忘权。被遗忘权的分类,如图1.1所示。
图1.1 被遗忘权的广义分类
有学者指出,数字语境中的被遗忘权有三种类型:其一,断开链接的权利(right to delisting/delinking/de-indexing);其二,模糊权(默默无闻的权利);其三,数字被遗忘权。[36]
第一,断开链接的权利。这一权利是数字语境中被遗忘权最为明显的形式,其体现在“冈萨雷斯案”(“谷歌西班牙案”)中。欧洲法院最终认定,谷歌在使用冈萨雷斯名字进行检索后显示的结果中删除指向第三方网页的链接,而原始网页无须删除涉及冈萨雷斯的信息。因此,“冈萨雷斯案”中所确立的断开链接的权利只是使个人信息更难被找到了,而非完全删除个人信息。在俄罗斯、以色列、澳大利亚、巴西等国的法律中都有关于断开链接的权利的相似规定。俄罗斯于2015年7月14日通过了关于被遗忘权的修正案,其中就有“断开链接(去除索引)”的相关规定。数据主体不需要提供包含其个人信息的网址(URLs),只需要提供指向其个人信息的链接即可,而且该项权利可以适用于公众人物。[37]东京地方法院于2014年10月,下令谷歌删除网站上披露一名男子姓名的标题和片段,该男子声称其隐私权因谷歌揭示了其犯罪记录而受到侵犯。[38]由此可见,断开链接的权利正被越来越多的国家所接受。
第二,模糊权(the right to obscurity),也就是默默无闻的权利。该项权利以美国法为背景。默默无闻权意味着个人信息不会轻易提交给任何人,这不意味着该信息会被删除甚至被封锁,而是意味着某些因素的组合使得某些类型的个人信息难以被找到。如果信息缺少对发现或理解至关重要的一个或多个关键因素,那么它在网上就是模糊的。这四个要素是:第一,搜索可见性(search visibility);第二,无保护地访问(unprotected access);第三,身份(identification);第四,清晰(clarity)。[39]根据模糊权,消费者有权拒绝数据代理商为营销目的而收集和出售数据。模糊权比被遗忘权的影响小,因为个人信息不会被删除,只是变得更不容易被找到。[40]该项权利旨在强化数据主体对于其个人信息的支配权,使个人信息不被任何人轻易获取。
第三,数字被遗忘权指的是对信息社会服务所收集的个人数据进行删除的权利。该项权利是以欧盟的《一般数据保护条例》第17条第1款(f)项的规定为基础的。社交网络服务的用户应始终能够撤回对其个人数据处理的同意和删除数据,用户终止使用社交网络的服务后,来自和关于用户的所有数据应从社交网络服务的存储媒介中永久删除。[41]有关信息社会服务所收集的数据的被遗忘权是一项真正的被遗忘权,其可以在不提供证据的情况下行使,无须证明数据无关、过时或非法。此外,它不仅仅是一项模糊权,因为个人数据被删除了。因此,它是一项实现删除的广泛权利,其满足了社会对这一权利的需要,特别是在社交网络方面。[42]
实际上,上述三种权利都可以被称作数字被遗忘权,因为都是在数字背景下的权利,而且都涉及数据的删除或隐藏,能够实现被遗忘权的目标。只不过,上述三种权利在删除或隐藏数据的范围上存在差距,所实现的效果也有所不同罢了。
由此可见,从最广义上来说,被遗忘权既包括传统的被遗忘权(被忘却权),又包括数字被遗忘权。这种意义上的被遗忘权的内涵最为丰富,外延最为广泛,其将所有的封锁或删除个人信息,进而实现被人们所遗忘的利益的权利主张都纳入了被遗忘权的范畴之内。
数字被遗忘权体现了“信息自决”(information self-determination)的理念,其试图使已经公开的信息重新迁移至隐私领域。[43]这实际上说的是已公开个人信息的再度隐私化的问题。在传统上对于未经公开的个人信息是通过隐私权来进行保护的,而被忘却权所保护的罪犯的犯罪记录虽然有可能曾经被很多人知晓,但是由于在前互联网时代,信息的流通效率较为低下,而且随着时间的流逝,罪犯的犯罪记录可以被人的大脑所自然遗忘,因此已公开的犯罪记录可以自然流入隐私领域,此时限制他人披露受过刑事处罚的人的犯罪记录有利于其再社会化的实现。而数字时代的被遗忘权则带有更加主动的色彩,赋予了数据主体主动删除其个人信息的权利,因此已经在互联网上公开的个人信息可以重新进入隐私领域,已经公开的个人信息可以实现再次隐私化。
在德国的“雷巴赫士兵谋杀案”[44]中,媒体曾经公开的个人信息随着时间的流逝可以自然而然地变为隐私信息,这在前互联网时代是有可能的。但在互联网时代,个人数据会一直留存在互联网上,如果没有特殊的技术干预,只要有人用搜索引擎进行检索,就可以轻易检索到该信息,即使时间已经过去了很多年。总之,虽然在广义上被遗忘权包括传统被遗忘权(被忘却权)和数字被遗忘权,但是,数字被遗忘权是被遗忘权最为核心的情形。随着网络普及率的提升,数字被遗忘权所涵盖的情形也在逐步扩张。现在人们所讨论的被遗忘权主要是数字被遗忘权,因此本书后文所讨论的被遗忘权主要是在互联网背景下的数字被遗忘权。
在互联网时代,遗忘成为一个问题,为了应对持久记忆带来的困境,数字被遗忘权应运而生。而在前互联网时代,曾受过刑事处罚的人的传统被遗忘权(被忘却权)可以通过隐私权得到救济,因为在前互联网时代,遗忘不是一个问题,人脑记忆不是持久的,随着时间的流逝,人们会自动忘记很多信息。在互联网时代,数字被遗忘权针对的一般是已经公开的个人信息,传统的被忘却权所保护的刑事被告人的利益可以借助数字被遗忘权得以实现,受过刑事处罚的人当然也应当享有数字被遗忘权,但是其数字被遗忘权应当得到限制,以保护公众的知情权。
欧盟被遗忘权最初的立法动机旨在调整三类删除数据的情形:其一,对收集数据的目的来说个人数据已经不再有必要;其二,数据主体撤回了同意;其三,数据存储期限已经届满。[45]其中,第一类情形针对的是数据收集的目的已经实现,因此数据的存在已经没有必要,数据主体可以行使删除权。基于数据收集目的已经实现而导致数据的继续存在已经没有必要这一规定可以概括为“数据必要性条件”,其在本质上反映了数据最小化原则的要求。在第二类情形中,数据主体的撤回同意,导致数据收集和处理的正当性丧失。值得注意的是,数据主体的撤回同意发挥了形成权的作用,导致数据主体与数据处理者之间权利义务关系的巨大变动,由此引发数据主体行使删除权,进而导致个人数据被删除的结果。在第三类情形中,数据存储期限届满会导致数据控制者处理个人数据的正当性丧失,个人享有删除其个人数据的权利。赋予数据主体在这三类情形中的删除权极大地尊重了数据主体的个人数据自决权,强化了个人支配自身数据的权利,使数据主体可以在多种情形下删除个人数据,维护自身利益。
《一般数据保护条例》第17条通过删除权的形式来保护被遗忘权,这一点可以从第17条的标题看出来。从具体的条文来看,欧盟被遗忘权所删除的个人数据的范围非常广泛,其既包括合法处理的个人数据的删除,也包括违法处理的个人数据的删除;既包括已经公开的个人数据的删除,也包括未公开的个人数据的删除;既包括个人主动公开的个人数据的删除,也包括被动公开的个人数据的删除。总之,从《一般数据保护条例》第17条的规定来看,欧盟对被遗忘权采取了广义的理解。其实被遗忘权主要针对的是已经公开的个人数据,这一点在“冈萨雷斯案”中体现得非常明显。在前数字时代,个人数据的匿名化是自然而然的,但是到了现在,数据一经公开,就会被迅速传播,并被互联网所永久记忆而且可以通过搜索引擎便利地检索到。[46]因此对特定情形下的已公开的个人数据进行删除就显得非常有必要。
三、被遗忘权的主要情形
被遗忘权所针对的主要是已经公开的个人数据的删除,这是被遗忘权所主要针对的核心情形。在“冈萨雷斯案”中,有关已经公开的个人数据的删除成为一个问题,虽然最终的裁决结果是报社无须删除原始的新闻报道,但通过谷歌断开链接,实质上达到了类似删除个人数据的效果。要对被遗忘权所调整的主要情形有更为深入的认识,我们必须对记忆本身进行分析。
一般来说,记忆可以分为机器记忆和人脑记忆。所谓“机器记忆”就是个人信息以比特的形式存储在电脑等媒介之中,进而被机器所读取和记忆。机器所记忆的个人数据可以是未公开的,也可以是已公开的,在没有人为干预或故障的情况下机器对于个人数据的记忆是永久记忆。人脑记忆指的是个人数据已经从机器等载体中提取出来进而被接触个人数据的自然人所记忆。因此,人脑记忆的主要是已公开的个人数据。
第一,未公开的个人数据一般主要被机器所记忆,部分未公开的个人数据可能会被极少数人的人脑所记忆。[47]我们在上网的过程中,会自动产生大量的个人数据。例如,通过搜索引擎来检索信息的过程中,个人的检索记录会被搜索引擎所记录;在浏览视频网站的过程中,观看记录会被网站所记忆;在购物网站检索或购买商品的过程中,检索和消费记录会被购物网站所记录;在使用输入法的过程中,用户所输入的文字会被输入法所记录;在使用手机导航APP的过程中,个人的行踪轨迹会被手机应用所记录。无论是使用电脑还是手机,只要我们接触到互联网就会产生海量的个人数据。在上述例子中产生的个人数据都是在自动化过程中自动产生的,这些个人数据基本上都属于未公开的个人数据的范畴,这些个人数据都是被机器所直接记忆的。因此,在这种情形下,删除个人数据主要是在机器上删除被机器所记忆的未公开的个人数据。值得注意的是,由于被机器所记忆的主要是未公开的个人数据,因此这些个人数据在原则上受到隐私权的保护。网络平台、手机应用程序等都会规定自己的隐私政策,其调整的主要是这类未公开的个人数据。对于该类个人数据,网络平台等数据控制者不得任意向他人披露该个人数据。因此,删除该类未公开的个人数据虽然也可以达到被人遗忘的目的,但是由于这种情形可以被隐私权所调整,所以将其同时视为被遗忘权的调整对象显得有点大材小用。将被机器所记忆的未公开个人数据纳入被遗忘权的范畴在形式上没有任何问题,欧盟的立法采取的就是这种方案,但是,删除未公开的个人数据不是被遗忘权的主要目的。实际上,删除未公开的个人数据也有非常积极的意义,在人们尚未有机会接触数据并形成记忆的前提下,提前删除个人数据可避免个人数据后来被人公开和扩散,由此可以实现未公开个人数据的删除,进而可以实现个人数据永久被人遗忘的目的。但需要特别注意的是,这种意义上的删除不是被遗忘权调整的主要情形。
第二,已公开的个人数据是被机器和大多数人的人脑所记忆的。[48]当个人数据被公开到互联网上之后,其立即就会被机器所永久记忆,他人通过搜索引擎等也可以便捷地获取到这些个人数据,因此这些个人数据也可以同时被人脑所记忆。在已经公开的个人数据中,很多是合法公开的,由于原始公开个人数据的行为合法,那么要删除掉这些个人数据就变得相对比较困难。在互联网时代,已经合法公开的个人数据也可能给数据主体带来不利的影响。这是因为,在已经合法公开的个人数据中,有些个人数据是负面的。例如,甲在酒后参与了打架斗殴,最终被处以10日行政拘留的处罚,新闻媒体对甲酒后参与斗殴而被处罚的事件进行了报道。随着事件的平息,该报道的新闻价值会持续下降,而该负面信息在互联网上持续存在可能给甲带来严重的不利影响。因此,删除该合法公开的个人数据对于甲来说非常有必要。在这种情况下,被遗忘权就可以发挥删除已公开个人数据的作用。
已经公开的个人数据包括数据主体自己主动公开的个人数据和他人公开的涉及数据主体的个人数据。如果他人披露数据主体的个人数据的行为是违法的,数据主体可以基于隐私权等权利直接要求侵权者删除。但是如果初始公开个人数据的行为是合法的,根据既有的权利理论很难实现对个人数据的删除,而此时被遗忘权的重要性就凸显了出来。因此,被遗忘权主要针对的是已经公开的个人数据,尤其是已经合法公开的个人数据,对于这些数据,通过被遗忘权可以实现对已合法公开的个人数据的删除,进而实现已公开个人数据的再隐私化的目标。