返回上一页 文章阅读 登录

薛丽:GDPR生效背景下我国被遗忘权确立研究

更新时间:2019-05-02 23:56:58
作者: 薛丽  

   【摘要】 2018年5月生效的欧盟《一般数据保护条例》将被遗忘权和删除权视作同一民事权利规定在同一法律规范中。实际上,被遗忘权是与狭义删除权存在本质区别的新型权利。被遗忘权是合法发布或正当处理的数据,脱离数据主体控制时权利人可以主张删除的权利。中外法院的被遗忘权纠纷案件判决结果表明,两者对于该权利的态度截然不同。究其原因在于中外被遗忘权的历史变迁路径不同。被遗忘权的本土化路径需要考量数据生命时效,平衡公众表达权,调和网络产业发展及考虑法律适用的可操作性。被遗忘权的制度理念在我国公司董事、监事、高管聘用规定、网络侵权纠纷案件受害人救济规定、失信被执行人失信期限规定等法律法规中有所体现。我国应当在未来制定《民法分则人格权编》或者《个人信息保护法》时确立被遗忘权制度,实现其从应然权利到实然权利的立法突破。当下《人格权编》草案第47条和48条存在较大问题,应予以修改完善。统一的数据保护机构应该设立,并采取“四位一体”的监管模式才能保证被遗忘权的落地执行。

   【中文关键词】 被遗忘权;数据删除权;立法障碍;构建基础;保护路径

  

   在大数据和AI时代,互联网产业迅猛发展,先进的网络技术使得数据[1]的收集和处理变得异常容易,个人数据安全面临前所未有的威胁。部分个人数据被长期保存在网络中而脱离数据主体的控制,有些合法公开的网络数据也面临着公开不充分、不相关和超出数据使用目的困境,上述问题可能给数据主体带来负面评价。在此背景下,欧盟《一般数据保护条例》(“General Data Protection Regulation”简称GDPR)于2018年5月25日正式生效。GDPR不仅规定欧盟境内用户有权利拒绝互联网公司收集用户数据的请求,而且规定了欧盟用户对其个人数据的删除权及“被遗忘权”。被遗忘权是什么?其和删除权是否存在不同?如果存在区别,二者之间的关系是什么?被遗忘权法律构建的理论基础和现实障碍有哪些?被遗忘权在中国能否被确立以及可能的实现路径?以上诸问题属于本文讨论范围。

  

   一、案例引发的思考

  

   2014年欧盟被遗忘权第一案——冈萨雷斯诉谷歌案,欧洲法院认定通过谷歌搜索的冈萨雷斯的十几年前被拍卖房产的信息,属于有关自身“不充分、不相关(或不再相关)、过分的(超出其最初处理目的)”(inadequate, irrelevant or no longer relevant, or excessive)的信息,判决谷歌应当删除,冈萨雷斯胜诉。2015年我国被遗忘权第一案——任甲玉诉百度案,同样要求百度删除其已不在某教育机构工作的信息,没有获得法院支持,原因是该删除请求不具有法益的正当性和保护的必要性。“冈萨雷斯诉谷歌案”和“任甲玉诉百度案”作为有关被遗忘权纠纷的典型案例,案情高度雷同,但两案的判决结果却截然相反,两者形成鲜明的对比,因此有必要对两案进行深入的比较分析。

   在诉讼主体方面,两案中的原告同为自然人,被告同为大型搜索引擎运营商,诉讼主体地位相似。

   在诉讼标的方面,“冈萨雷斯诉谷歌案”和“任甲玉诉百度案”,诉讼标的均指向被遗忘权法律关系。“冈萨雷斯诉谷歌案”中,对于有关自身“不充分、不相关(不再相关)、过分的(超出最初处理目的)”的信息,尤其是历史久远的信息,即冈萨雷斯十几年前欠缴社保而被强制拍卖住房的个人信息,冈萨雷斯向互联网搜索引擎公司提出删除链接请求。而“任甲玉诉百度案”中则向百度公司提出请求删除其原在陶氏教育集团供职的信息。但两案中个人信息在上传和公布时都是通过合法的形式与途径,只因时过境迁,这些信息的存在变得不合时宜,给信息主体带来不利于自身的负面评价。

   在诉讼请求方面,在“冈萨雷斯诉谷歌案”中,冈萨雷斯只是要求谷歌公司删除相关链接。在“任甲玉诉百度案”中,任甲玉不仅请求百度公司断开或删除相关链接,还要求赔礼道歉、赔偿经济损失。尽管任甲玉所主张的利益诉求比冈萨雷斯的诉求有所增加,但根本上任甲玉最希望的还是删除那些过时的信息,以免那些信息持续存在对自身带来负面影响,对其就业和日常生活形成阻碍。因此,两案的诉讼请求基本一致。

   综上所述,欧盟“冈萨雷斯诉谷歌案”与我国“任甲玉诉百度案”在诉讼主体、诉讼标的以及诉求方面具有高度一致性。但在诉讼结果上,却出现了“同案不同判”,厘清这个问题,需要对被遗忘权追踪溯源。

  

   二、被遗忘权溯源

  

   (一)被遗忘权在欧盟的演变与实现

   被遗忘权的立法雏形最早出现在欧盟。1995年10月24日,欧盟制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令(Directive 95/46/EC)》。该法第12条规定,欧盟各国应当保证数据主体有权要求数据控制者作出适当修改、删除或更正不准确、不完整的个人数据。这一规定被学界普遍认为是“删除权”以立法形式出现在欧盟法律体系中。

   2012年欧盟制订了《一般数据保护条例》草案(简称GDPR草案)[2]。草案第17条规定了“被遗忘和删除的权利”[3](right to be forgotten and to erasure),其中具体规定了四种可以要求删除个人数据的情形。该条由9款16项构成,对数据主体享有的被遗忘权的定义、内容、实施和适用及例外规定等做了较为详尽的规定。2014年欧洲议会议员领导的GDPR草案修订组,又对其进一步修订,最直接的修改将第17条的名称变成了“Right to erasure”,仅命名为删除权,去掉了被遗忘权,删除个人数据的情形还是四种,只是更加明晰化和更具落地性。

   2014年“冈萨雷斯诉谷歌案”终审判决支持了冈萨雷斯保护其被遗忘权的诉讼请求。判决指出,关于“不充分、不相关(或不再相关)、过分的(超出其最初处理目的)”的数据,数据主体享有请求网络服务运营商删除链接的权利。

   2018年5月25日,欧盟GDPR法案生效。与先前草案相比,GDPR法案中第17条最终变成了删除权(“被遗忘权”)即right to erasure(‘ right to be forgotten’),与2012年GDPR草案版的“被遗忘和删除权”和2014年GDPR草案修订版“删除权”名称都不同。数据主体依据个人数据控制权要求删除数据的情形增加至6种,但第5种情形“个人数据根据数据控制人应遵守的欧盟或者其成员国的法律义务应当删除”,其实是对2014年GDPR草案修订版第四种情形的完善,真正增加的是第6种情形即“该个人数据基于第8条第1项规定的为社会服务所提供,经其监护人同意而处理儿童个人数据的”。删除权(“被遗忘权”)在欧洲立法上正式确立。

   (二)被遗忘权与删除权的关系

   根据欧盟对被遗忘权立法的演变进程中该权利名称和内容上的变化,笔者认为GDPR强调删除权是根本,被遗忘权是补充,被遗忘权实现的手段是删除,企图弱化被遗忘权与删除权的不同,但却混淆了被遗忘权与删除权的区别。理由如下:首先,根据标点符号的语用学理论,括号中的内容是对括号前的内容注释和补充说明,根据生效版GDPR第17条最终被命名为删除权(“被遗忘权”),可以得出删除权为主被遗忘权为补充的结论。其次,因被遗忘权权利历史悠久,应在传承上有所体现。欧盟最早是借鉴了19世纪法国法中“遗忘权”(droit a l'oubli,即准许罪犯享有被定罪和监禁事实不被公开的权利)的概念而命名为“被遗忘权”的。但被遗忘权这种称谓饱受争议,以Napoleon Xanthoulis教授为代表的很多学者认为“被遗忘权”这一称谓只是提出的更早、更时尚,在新闻报道和欠严谨的法学文献中较多出现,吸引眼球而已[4]。重要的是根据普通人理解,是不可能通过法律规定强迫“他人遗忘”数据主体的某些数据。而且“他人”似乎指除了数据主体之外的所有人,实际上删除数据的义务主体只是数据处理者和数据控制者,这极易引起误解。最后,GDPR混淆了被遗忘权与删除权适用上的区别。根据GDPR第17条第1款规定的适用该条款的六种情形,第一种情形“该个人信息根据其被收集和处理的目的已经不再有必要”,信息主体可以基于“目的性限制原则”要求信息处理者删除个人信息。其本质上与“谷歌案”判决中对被遗忘权做出的判定法理是一致的,即收集和处理信息的目的随着时间的流逝存在已经没有必要,但信息处理者在收集和处理个人信息时是合法的或信息主体是明知的。只是履行第17条的义务主体不再局限于“谷歌案”中的搜索引擎,而是扩大到了信息处理者和信息控制者。因为“谷歌案”的司法判决是欧洲法院作出的,应当具有先例拘束力,故GDPR的生效意味着对信息主体的保护更加宽范围和强有力了,这应该引起我们的注意。但是第17条第1款规定的其他适用该条款的五种情形[5],此类删除是在信息主体撤回同意、同意过期或者法律基础不存在的前提下要求删除信息,笔者把此种删除称之为狭义删除权,即如果个人信息在被处理时就违反法律规定或当事人的约定,是侵权行为或违约行为,属于狭义删除权的适用范围。虽然我国法律没有明确规定删除权,但实质上赋予了信息主体狭义删除权。如我国《网络安全法》第43条规定信息主体可以在网络运营者违法或违反双方约定收集、使用其个人信息,可以要求网络运营者删除其个人信息。《侵权责任法》第36条也规定了网络运营者违法收集使用个人信息应承担责任。删除信息其实等同于是承担侵权责任的七种方式之一“恢复原状”。而违反双方约定收集、利用其个人信息应承担违约责任,违约责任的承担方式有支付违约金、损害赔偿、继续履行和其他补救措施,删除应该属于“其他补救措施”中的一种方式。

   而被遗忘权与狭义删除权有本质区别。满洪杰教授认为GDPR第17条规定是删除权与被遗忘权的混合,两种权利在权能、适用范围、受克减性等方面有重大差异。[6]笔者深以为然。被遗忘权最重要的一个特征就是个人信息在被收集和利用时具有正当性,即信息主体是明示同意或默许同意,[7]属于合法行为。其后要求删除个人信息是基于信息的不再相关、过时性或者与收集处理信息目的没有必要,防止信息可能致其负面评价,其目的是维护人格尊严、自由和公平。但如果从救济视角下审视被遗忘权和狭义删除权,删除权是被遗忘权获得救济的手段,这个删除权如果理解为广义删除权,就能涵盖被遗忘权。本文以狭义删除权来比较研究被遗忘权,以凸显被遗忘权是一种新型权利。

   综上所述,笔者认为被遗忘权是指信息主体对已通过合法形式发布在网络上(不论是自己发布还是他人发布),有关自身的不充分、不相关(或不再相关)、过分的信息或者收集处理的目的已失去的信息,请求信息控制者或信息处理者予以删除的权利,除非信息的保留有合法的理由。

  

   三、我国被遗忘权法律构建的障碍

  

   (一)被遗忘权与时间:数据生命周期对被遗忘权的影响

所谓“数据生命周期”(data lifecycles),是指数据从生成到最终被删除不断变化的区间。[8]与人一样,数据也存在着“生老病死”的现象和规律。数据在这个动态过程中会随着时间的持续,生命不断变化。通常来说,数据的准确性和有效性会随着时间和传播领域的扩展而衰减。到了某个时间节点,数据保存的必要性就开始实质性降低。(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/116150.html
收藏