大数据时代的个人信息“被遗忘权”
——评冈萨雷斯诉谷歌案

2015-03-18 21:56施小燕
财经法学 2015年3期
关键词:被遗忘权控制者服务提供商

漆 彤 施小燕

2014年5月13日,欧洲法院(European Court of Justice,ECJ)对谷歌及谷歌西班牙诉西班牙数据保护局及冈萨雷斯案(Google Spain SL, Google Inc. v. Agencia Espaola de Protección de Datos and Mario Costeja González)作出突破性的裁决,确定《欧盟数据保护指令》(EU Data Protection Directive 95/46,以下简称《指令》)对互联网搜索服务提供商适用,搜索引擎应负有对“不适当、不相关、过时的数据信息”的删除责任,否则将侵犯公民在网络领域所享有的信息“被遗忘权”(right to be forgotten)。该案颠覆了人们长期以来持有的关于网上信息自由流通的观念,引起了国际社会对于个人数据保护和表达自由二者间关系的广泛关注和热烈讨论。

一、案情介绍

2010年2月西班牙公民冈萨雷斯(González)向西班牙数据保护局(Spanish Data Protection Agency, AEPD)提出对西班牙报纸发行商La Vanguardia以及谷歌公司及其西班牙分支机构(Google Spain SL,以下简称谷歌西班牙)的申诉,称网络用户通过谷歌搜索引擎搜索他的名字时,将近2页的搜索结果显示为La Vanguardia于1998年1月和3月发行报纸中包含的一份公告,公告称原告的房产因进入追缴社保欠费的扣押程序而将被强制拍卖。原告认为上述扣押程序早在很多年前已被彻底解决,因此拍卖公告信息早已过时,毫无实际参考意义。因此原告要求La Vanguardia删除或修改有关页面,以便与他有关的个人资料不再出现,或者使用任何可能改变搜索结果的办法以便保护其隐私,并要求谷歌公司及谷歌西班牙删除或屏蔽与之有关的个人信息,以便这些资料不再出现在搜索结果之中。[注]Case C-131/12, Google SpainSL, Google Inc. v. Agencia Espaola de, Judgment of the Court, 13 May 2014, paras.14-15.AEPD 在2010年7月的裁决中驳回了原告针对La Vanguardia的指控和诉求,认为La Vanguardia此前的信息公布行为是依据劳动和社会事务部的命令而进行,因此是合法的。与此同时,AEPD支持了原告对谷歌西班牙及谷歌公司的指控,要求他们采取必要的措施从其搜索结果中删除相关资料并确保今后不可能再获得该类资料。[注]Supra note ①, paras 16-17.

谷歌西班牙和谷歌公司不服,诉至西班牙高等法院(National High Court),要求撤销AEPD的决定。西班牙高等法院认为该案提出的问题是:如果个人数据在第三方网站已经公布,而数据主体不希望有关他们的此种数据被准确定位、搜索以及被第三方获取的话,搜索服务提供商应承担何种责任保护个人数据。这个问题取决于《指令》在互联网和搜索引擎背景下的解释。[注]Opinion of Advocate General Jääskinen on Case C-131/12, delivered on 25 June 2013,paras.1-2.因为,在当初拟定《指令》时,互联网和搜索引擎还没有出现,《指令》生效时,互联网才刚刚开始,虽然出现了初代搜索引擎,但没有人能够预料互联网和搜索引擎对信息传播的巨大作用,而这些新技术能够对个人数据和隐私产生严重威胁,因此,需要重新对《指令》进行解释。为此,西班牙高等法院中止了诉讼程序,将涉及《指令》的几个解释问题提交给欧洲法院。[注]根据《欧洲共同体条约》第234条规定,成员国法院可以向欧洲法院提出关于共同体法律的解释和效力问题,欧洲法院则负有解释欧盟法律并确保其在各欧盟成员国间能被平等适用的任务。

2014年5月13日,欧洲法院对该案作出了裁决,确定《指令》适用于互联网搜索服务提供商,同时确认数据主体享有“被遗忘权”,互联网搜索服务提供商有义务删除过时的、不相关的信息,并指明网络出版商可以援引言论自由免除此种义务。

二、主要法律争议

(一)Google的活动是否属于《指令》适用范围

《指令》第3条第(1)款规定:“本指令适用于全部或部分地通过自动方式处理个人数据的情形,以及通过自动方式以外的其他方式对已经形成或者意图形成文件系统之一部分的个人数据进行处理的情形。”本案是否适用《指令》取决于谷歌公司和谷歌西班牙对信息进行定位、搜索、储存和提供给互联网用户的活动是否属于《指令》所调整的“个人数据处理”。

首先,法院需要判断搜索服务提供商的活动是否涉及《指令》所规定的“个人数据”。《指令》第2条(a)款规定,“个人数据”是指与一个身份已经被识别或者身份可识别的自然人(数据主体)相关的任何信息;身份可识别的人是指其身份可以直接或者间接,特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份相关的特殊因素来确定的人。本案中涉及的冈萨雷斯案房产拍卖消息无疑属于典型的“个人数据”,因为该数据直接指向可识别的个人。[注]Supra note ①, para 27.

其次,法院需要判断互联网搜索服务提供者的活动是否属于《指令》所规定的“个人数据处理”。指令第2条(b)款将“个人数据处理”定义为“对个人数据进行的任何操作或一系列操作,不管是否通过自动方式进行,例如记录、组织、储存、编写或修改、恢复、咨询、使用、通过传播、分发或其他使个人数据可被他人利用的方式披露、排列或者组合、封锁、删除或销毁。”欧洲法院曾在此前的案件中认为:在互联网领域,即使是将个人数据加载到网页上的行为也是一种个人数据处理。[注]Case C-101/01, Bodil Lindqvist, Judgment of the Court, 2003, para.25.由此可见,《指令》中“个人数据处理”的含义十分广泛。即使是对不能更改的数据进行上述操作也属“个人数据处理”。数据已经在第三方网站上公布而搜索服务提供者没有更改数据的事实,对判断搜索服务提供者是否进行了数据处理没有影响。搜索服务提供者以自动方式持续地、系统地搜索已发布信息的行为是一种信息收集行为,搜索服务提供者随后在其检索项目下恢复、记录、组织、储存数据,可能还会将数据披露或提供给网络用户的行为,都被明确载明于《指令》第2条(b)款的“数据处理”范畴之内。搜索引擎运作中不区分个人数据和非个人数据,而对所有数据都进行处理,并不影响搜索引擎上述行为被定性为“个人数据处理”。[注]Supra note ①, paras.28-29.

(二)《指令》的属地管辖范围

本案中的一项重要事实是,进行数据处理的谷歌公司位于欧盟属地管辖范围之外,因此,对于《指令》能否适用于该外国公司存在争议。《指令》第4条就法律冲突作出安排,该条第(1)款规定:“每一成员国应当将依据本指令通过的国内法适用于下列个人数据处理:(a) 控制者在成员国国境内设立的机构在其活动中进行数据处理;当同一控制者在若干成员国设立机构时,应当采取必要措施确保这些机构履行所在国国内法规定的义务;(b) 控制者没有在成员国境内设立机构,但是位于依照国际公法可以适用该成员国国内法的区域;(c) 控制者没有在共同体境内设立机构,为了处理个人数据而使用了设置在该成员国的自动或者非自动设备,除非这一设备仅是基于传输目的通过共同体领土。”该条规定在三种情况下适用成员国依据《指令》通过的国内法。本案中谷歌公司通过其设立于西班牙的分支机构开展活动,属于第4条第(1)款(a)项所规定的情形。对第4条第(1)款(a)项的分析包括以下三个步骤:

1.谷歌公司是否是数据控制者

谷歌公司和谷歌西班牙否认其为数据控制者,主要理由是谷歌的数据处理是通过自动化来完成的,谷歌不了解信息内容也不能控制信息,因此谷歌只是内容呈现者而不是数据控制者。[注]Supra note ①, para.22.欧洲法院则从《指令》第2条(d)款有关数据控制者的确定标准和保障《指令》实施效果两方面,来分析谷歌公司是否属于数据控制者。

《指令》第2条(d)款将“数据控制者”定义为“单独或与他人共同决定数据处理的目的和方式的自然人和法人、公共机构、代理机构或其他机构”。欧洲法院认为,谷歌公司以一种方便互联网用户获取信息的目的和方式收集和组织信息,即使数据处理是通过自动化方式进行的,在组织信息的过程中也是谷歌公司决定数据处理的目的和方式,因此谷歌公司事实上是“数据控制者”。[注]Supra note ①, paras.32-33.需要注意的是,在线出版商(publishers of websites)可以通过一些手段排除网站上的某些信息被谷歌公司搜索引擎自动检索,这可能会对数据处理的目的和方式产生影响,但是该事实并不能改变互联网搜索服务提供商在决定数据处理的目的和方式上的决定性地位。即使在线出版商的这种能力能够影响到谷歌公司决定数据处理的目的和方式,在此情况下也应认定搜索服务提供商和网站共同决定了数据处理的目的和方式,均构成“数据控制者”。[注]Supra note ①, paras.39-40.

另外,法院在解释中突出强调,《指令》的根本目的就是要充分、有效地保护数据主体,因此应对“数据控制者”定义作宽泛解释。在通过数据主体的名字进行搜索时,搜索引擎能够将互联网上所有有关数据主体的信息以搜索结果列表的形式展现出来,使互联网用户更容易找到有关信息。而由于互联网的快速传播性,搜索引擎对数据保护的干扰更加突出,搜索结果中包含的信息可以说是无处不在,任何互联网用户都能方便获知。[注]Supra note ①, para.80.搜索服务提供商对数据所进行的处理,无疑将显著影响基本隐私权和个人数据保护。考虑到搜索引擎对数据扩散起到的决定性作用,以及由此而对基本隐私权产生的重大影响,欧洲法院认为应当将互联网搜索服务提供商定义为数据控制者,使其承担《指令》的义务以充分保护数据主体的利益。[注]Supra note ①, para.34-38.

2.谷歌西班牙是否是数据控制者在西班牙设立的机构

《指令》前言第19段规定:“鉴于在成员国境内设立机构(establishment)意味着它可以通过稳定安排开展真实而有效的活动;而此类机构的法律形式,无论是分支机构还是具有法人资格的子公司,并不是决定性因素。”因此,数据控制者在成员国境内设立的机构是指通过稳定安排开展真实而有效的活动的机构,无论其法律形式是否是具有法人资格的子公司。这一宽泛的定义,包括许多种类的商业行为;不仅包括常设性的,如在成员国境内设立公司实体或分部,也包括许多其他活动,比如雇佣员工或代理人等能够表明与地区存在持久联系的类似行为。[注][德]Christopher著,旷野、杨永会等译:《欧洲数据保护法》,法律出版社2008年版,第89页。谷歌西班牙是谷歌公司设立于西班牙的子公司,谷歌通过该子公司这一稳定安排开展真实而有效的活动,毫无疑问属于《指令》前言第19段所涵盖范围,双方对此没有异议。[注]Supra note ①, para.49.

3.谷歌西班牙是否在其活动中进行了数据处理

谷歌和谷歌西班牙的抗辩理由是:谷歌公司经营谷歌搜索引擎服务,数据处理是由谷歌公司独立进行的,而谷歌西班牙作为谷歌公司的子公司,其经营活动是独立于谷歌公司且仅限为促进谷歌集团的广告销售,这种广告活动也是独立于搜索引擎服务的。[注]Supra note ①, para.51.

欧洲法院在解释时重点强调《指令》对个人数据提供完全而有效的保护,因此对《指令》应作宽泛解释。考虑《指令》第4条(a)款的用语,法院认为第4条第(1)款(a)项并不要求“机构”本身进行数据处理,只要求数据处理与“机构”的活动之间存在联系。[注]Supra note ①, para.52.谷歌西班牙的活动是为了在欧盟成员国内促进搜索引擎所提供广告位置的销售,使谷歌公司的搜索引擎服务获得利益,此时谷歌公司的活动与谷歌西班牙的活动密切相关,谷歌西班牙促销广告位置的活动构成使谷歌公司搜索引擎服务获取利益的手段,而搜索引擎则使这些促销活动得以开展,因此认为谷歌西班牙的活动中与数据处理之间存在联系。[注]Supra note ①, paras.55-56.此外,前文已经论述,数据处理的含义十分广泛,仅仅对个人数据在搜索结果中进行展示就已经构成数据处理。在依据搜索词语进行搜索后,搜索结果与广告在同一页面展示,所以谷歌西班牙的广告活动与数据处理之间存在不可分割的联系。如果将这些数据处理活动排除在《指令》义务之外,不仅将损害《指令》效力,也不利于保护自然人的基本权利和自由。[注]Supra note ①, paras.57-58.

通过上述分析可知,谷歌公司是个人数据控制者,谷歌西班牙是谷歌公司设立于西班牙境内的机构并且谷歌西班牙在其活动中实施了数据处理,因此,根据第4条第(1)款(a)项,《指令》可以适用于外国公司。这意味着本案可能确立了《指令》的长臂管辖原则,即《指令》不仅适用于欧盟境内,在满足一定条件时,还具有域外管辖的效力,即同样适用于那些向欧洲市场提供服务的非欧洲企业。

(三)谷歌公司是否应当删除链接

在确定谷歌公司是个人数据控制者后,法院考虑谷歌公司在《指令》下所应当承担的责任,特别是在第12(b)条和第14(a)条下搜索服务提供商是否有义务从其搜索结果中删除相关链接?如果搜索服务提供商应当删除链接,当发布信息的原始网站没有删除信息时搜索服务提供商是否仍负有此种义务?根据《指令》规定,负责数据处理的个人和机构承担着保护个人数据的义务,有关数据质量、技术安全、通知监管机构以及实施数据处理的义务规定,具体规定于《指令》的第6条到第11条。本案中,法院从数据主体在《指令》下享有的权利入手,结合搜索服务提供商在第6条和第7条(f)款下的义务,以及数据主体在第12条(b)款和第14条(a)款下享有的权利,从三个方面来回答上述问题。

1.搜索服务提供商在《指令》下的义务

《指令》有关数据控制者的义务主要是体现在第6条和第7条,其中第6条是关于数据质量原则,第7条是使数据处理合法化的标准。此外,还需考虑第13条例外条款,在该条规定的例外情形下,成员国可采取立法来限制数据控制者的义务以及数据主体的权利。

《指令》第6条第1款规定,成员国应当规定个人数据必须:(a)被正当、合法地处理。(b)因具体、明确且合法的目的而收集,且随后不得以与该目的相矛盾的方式进行处理。如果成员国提供了适当的保护措施,则为了历史的、统计的或者科学的目的所做的随后的数据处理,不应当被认为是与上述目的相矛盾。(c)与收集和/或随后处理个人数据的目的相关,且必须是适当、相关且不过量的。(d)准确的,如有必要,保持更新;考虑到收集或随后处理个人数据的目的,必须采取一切合理的措施以确保那些不正确或不完整的数据被删除或者更正。(e)以某种形式被储存下来,该储存形式所允许的数据主体身份鉴定时间不能长于为实现数据收集或者进一步处理数据之目的所必需的时间;为了历史的、统计的或者科学使用的目的,成员国应当规定适当的保护措施使个人数据储存更长时间。第6条第2款规定数据控制者应当确保第1款的规定得到遵守。

上述第6条(1)款(c)项到(e)项规定表明,数据控制者在整个数据处理过程中都承担着保证数据质量的义务。即使最初对正确的数据合法地进行数据处理,随着时间的推移该数据处理也可能违反《指令》,如果数据对于收集或处理数据的目的而言不再是必须的,数据不完全、不正确、不相关、超出目的范围或者超出储存时间时更是如此。法院由此认为,数据控制者应当采取所有合理措施确保不符合上述要求的数据被删除或者修改。[注]Supra note ①, para.72.本案中,原告的房产即将被拍卖的消息是16年前的消息,扣押程序早已经被解决,房屋拍卖消息没有实际参考意义,这些信息已经不准确、不相关,且超出了搜索服务提供商进行数据处理的目的,搜索服务提供商应该从其以数据主体的名字为关键字得出的搜索结果列表中删除有关链接。[注]Supra note ①, para.93.

数据处理者进行数据处理还应当具有合法理由,在满足《指令》第7条任一款的情况下数据处理才是合法的、正当的。本案中的数据处理涉及第7条(f)款下的数据合法化标准。第7条(f)款允许为了控制者或接受数据披露的第三方合法利益的目的在必要的情况下处理个人资料,除非根据第1条第1款需要保护数据主体的基本权利和自由的利益比这种利益更重要。搜索服务提供商的数据处理涉及第7条(f)款提及的双重利益:一方面,搜索服务提供商为了自身的经济利益,收集、组织、储存互联网用户的信息以促进其广告业务和其他业务的发展,另一方面,对接受数据披露的第三方而言,搜索引擎能极大地促进信息传播,所以也需要搜索服务提供商对海量信息进行结构化处理,从而快速获取相关信息。但是应该注意的是,第7条(f)款要求衡量保护数据主体基本权利和自由的利益与前述数据控制者、第三方的合法利益,如果保护数据主体基本权利和自由的利益高于数据控制者、第三方的合法利益,那么数据处理依然不具有合法性。保护数据主体基本权利和自由的利益是否比搜索服务提供商的经济利益和第三方的利益更重要?这实质上是隐私权和公众获取信息的权利之间的价值取舍问题。

法院认为,搜索服务提供商对数据的结构化处理,对于隐私权和个人数据保护都有显著影响,基于其在信息传播中的巨大作用,搜索引擎可能严重干扰数据保护和数据主体的隐私权,因此不能仅仅因为搜索引擎给搜索服务提供商带来经济利益就认为这种数据处理是正当的,作为基本权利的隐私权比数据控制者的经济利益更值得法律保护。另外,搜索服务提供商从其搜索结果中删除有关链接还会影响到有兴趣获知该信息的互联网用户,因此还需在接受数据披露的第三方利益和数据主体的隐私权之间进行平衡。大多数时候,作为一般规则,数据主体的基本权利和自由比互联网用户的利益更重要。但是在某些情况下,比如数据主体是公众人物,公众获取信息的利益远远超出保护数据主体基本权利和自由的利益,此时搜索引擎对基本权利的干扰就可获得正当性。这种利益衡量取决于信息的性质、信息对数据主体的私人生活的敏感程度以及公众获知该信息的利益。[注]Supra note ①, para.81.根据数据主体的个案情况,如果衡量的结果是隐私权更重要,数据主体就可以依据第14条(a)款以强制性的合法理由拒绝与其相关的数据处理,除非国内法另有规定。如果存在合理的反对,数据控制者发起的数据处理就不应涉及那些数据。本案所涉房屋拍卖消息对于数据主体而言是敏感信息,涉及数据主体的隐私,而数据主体并不是特殊的公众人物,同时考虑到过时的信息对于公众而言也没有太大的价值,所以数据主体的隐私权比公众获知该过时信息的利益明显更为重要。因此,法院认为,搜索服务提供商的数据处理不具备第7条(f)款的合法理由从而违反《指令》,应在其搜索结果中删除有关链接。

根据《指令》第12条(b)款,当数据处理不符合《指令》规定时,数据主体有权要求数据控制者修改、删除、限制数据。第12条(b)款特别列明,数据的不完整性或不准确性可导致数据处理不合法,但是这个列举不是穷尽的,数据处理不合法也可以是因为违反《指令》的其他条件所致。结合第12(b)条和第6条、第7条,可以认为除非是属于13条规定的例外情况下,所有的数据处理均应当满足第6条关于数据质量的规定和第7条规定的合法标准,当然,如果是数据处理违反《指令》的其他规定,数据主体也有权要求搜索服务提供商对数据作出适当修改、删除、限制。[注]Supra note ①, para.70.

作为搜索服务提供商,谷歌曾提出比例原则作为抗辩,即认为在线出版商应承担删除有关链接的义务,因为在线出版商是最初发布信息的人,是评估信息发布是否合法的人,最方便采取有效且低限制的措施防止信息被他人获取(在线出版商可以通过排除协议禁止搜索引擎自动搜索特定信息),对搜索引擎施加删除信息的义务将会不利于在线出版商、互联网用户和搜索服务提供商的最基础权利。欧洲法院虽然认同这一点,即要求搜索服务提供商承担删除相关链接的义务可能会不利于搜索服务提供商、在线出版商(publishers of websites)、互联网用户的基础权利,但同时认为,作为一般原则,数据主体的隐私权应优先受到保护。此外,在线出版商可以采取措施排除搜索引擎的搜索,但这并不能免除搜索服务提供商作为数据控制者对数据处理承担的法定责任。所以法院最终未采纳谷歌公司的抗辩理由,裁定谷歌公司有义务从其搜索结果列表中删除过时的、不正确的信息。换言之,法院肯定了数据主体享有的“被遗忘权”,即在数据不准确、不相关时要求数据控制者修改、删除有关数据的权利。

2.在线出版商与搜索服务提供商的义务不同

法院认为,即使在线出版商所公布网页上的有关信息没有提前或同时删除,数据主体也可以要求搜索服务提供商删除相关链接,因为在线出版商与搜索服务提供商所承担的《指令》义务并不相同。

首先,考虑到网页可以被其他网站复制,网站负责人可能不受欧盟法管制,如果搜索服务提供商删除有关链接是以预先或同时要求源网站删除有关信息为前提条件,则不能完全有效地保护数据主体的利益。[注]Supra note ①, para.84.其次,在线出版商在公布信息过程中对个人数据的处理,在某些情况下可能仅仅出于新闻目的,新闻表达自由作为基本权利应当受到尊重。[注]《欧洲联盟基本权利宪章》第11条第2款。因此,依据《指令》第9条规定仅仅为了新闻目的进行数据处理时,在线出版商不必遵守《指令》下的一些义务。[注]《欧洲数据保护指令》第9条:“对于仅仅为了新闻目的或者文学艺术表达目的而实施的个人数据处理,成员国可以对本章、第四章和第六章的相关规定作出例外规定或者限制规定,只要它们为协调隐私权与表达自由的规则所必需。”相反,搜索服务提供商对数据的处理很难归结为单纯的新闻目的,因此不能援引表达自由来免除《指令》下的义务。换言之,新闻网站基于新闻目的可以保留该信息,谷歌公司和谷歌西班牙则应当在搜索结果中删除链接。再次,在线出版商与搜索服务提供商证明数据处理合法性的理由并不必然一致,二者的数据处理的责任可能不同,应当区别对待。最后,在线出版商和搜索服务提供者的数据处理在第7条(f)款和14条(a)款下的权衡结果是不同的,因为证明数据处理正当性的合法利益可能不同,二者的数据处理对数据主体的影响也不同。[注]Supra note ①, para.86.

具体来说,搜索引擎在数据传播中起着决定性作用,搜索引擎对数据处理之后,会使互联网用户更方便地使用数据主体的名字来获得相关信息。如果没有搜索引擎的帮助,这些过时的信息很难被网络用户搜寻到,因此搜索服务提供商会额外地影响数据主体的基本权利,比在线出版商更容易侵犯私人隐私权。在平衡数据处理的合法利益和数据主体的基本权利时,搜索引擎服务提供者和在线出版商的衡量结果是不同的。在线出版商可能能够依据第7(f)条进行数据处理,搜索服务提供商的数据处理却不存在这种合法理由,因为过时的、没有价值的信息会通过搜索引擎对个人隐私造成巨大伤害。

因此,法院认为,源网站没有删除相关信息时,数据主体也可以要求搜索引擎删除链接。如果搜索引擎不处理数据主体的请求,数据主体可以请求数据保护机构或司法机构在查证后对数据主体采取相应的必要措施。第三方网页上公布数据的行为是否合法不影响搜索服务提供商在《指令》下的义务。[注]Supra note ①, paras.83-86.

3.被遗忘权的行使是否要求数据不利于数据主体

数据主体能否以数据不利于他们或者他们希望数据在一段时间后被遗忘为由,要求搜索服务提供商从搜索结果中删除发布真实信息的第三方网站链接?对此问题,谷歌和谷歌西班牙提出,第12条(b)款和14条只在数据处理不符合《指令》或者数据主体根据个案情况存在强制性的合法理由时,授予数据主体要求修改、删除信息的权利,而不能仅仅因为数据主体认为数据不利于他们或者他们希望数据消失就可以行使这个权利。[注]Supra note ①, paras.89-90.

法院认为,如果第三方已经在网站上合法地发布了真实的个人数据,被遗忘权的行使不要求数据不利于数据主体。正如前面所说的,数据处理的整个过程都必须符合《指令》所规定的数据质量原则并且具有合法理由。如前所述,《指令》第12条(b)款规定,当数据处理不符合《指令》规定的合法、准确、恰当、相关要求时,数据主体有权要求数据控制者修改、删除或限制数据。《指令》第6条对数据质量的要求可能导致最初合法的数据处理随着时间的推移变得不合法,但该条并未指明该不合法数据是否必须不利于数据主体。《指令》第14条(a)款规定,在某些情况下数据主体有权随时根据个案情况以强制性的合法理由拒绝与其相关的数据处理。综合上述规定,法院认为,如果数据超出收集或处理数据的目的,或者数据不完全、不正确、不相关,或者超出储存时间时或者存在强制性合法理由时,数据主体就享有“被遗忘权”,这种权利的享有不要求数据对数据主体造成伤害。[注]Supra note ①, para.96.

三、评析

欧洲法院有关本案的判决引起了全世界的关注,各方关注的焦点主要集中在以下三个方面:

(一)隐私权与传播权孰重孰轻?

“被遗忘权”是指数据主体有权在法律规定的情形下要求数据控制者删除有关其个人数据,除非数据的保留有合法的理由。这项权利通常仅限适用于网络信息领域,因为纸质信息内容通常传播范围有限且很容易被忘却,而网络信息易于传播和长期保存,所以在大数据时代背景下产生了“被遗忘权”。被遗忘权是基于“隐私自主”或个人信息控制权推导出来的权利,它与表达、传播自由这类权利之间存在着一定的价值冲突和对立,这两种权利的行使往往需要在二者之间寻求适当的平衡。

本案的核心无疑是隐私权这一私权利与表达、传播自由这类公权利之间的价值冲突与取舍问题。隐私权无疑是公民民事权利的最基础部分,理应受到最大程度的尊重和保护。而表达自由、传播权利,虽然也是基础性权利,但首先不应侵害他人权利,其次也不得损害安全、秩序等公共利益。本案中,法院认为隐私权比公众获取信息的权利更加重要,因此要求搜索服务提供商应当从搜索结果中删除有关链接。同时,法院也认识到新闻媒体的言论自由的重要性,免除了网络出版商删除有关信息的义务。但是应该注意到欧洲法院的这种价值取舍有其法律文化基础。欧洲国家有保护隐私权的法律传统,隐私权已在欧洲判例法中被确立为一项基本权利而受到法院的保护,《欧洲联盟基本权利宪章》也将隐私权确立为一项基本权利。“棱镜门”事件后,欧洲对隐私和数据保护问题变得更加敏感,欧盟意图加强立法保护个人数据。在这种法律文化背景下,就不难理解为何法院在本案中对《指令》做出有利于隐私权的解释。

从全球范围来看,很少有国家对个人数据能提供如此之高的保护。以作为互联网巨头的美国为例,其对个人数据提供的保护也难以满足欧盟的要求。传统上,美国侧重于强调表达自由这一法律基本原则,美国宪法第一修正案明确保护表达自由,却没有对隐私权提供同类规定,说明其对表达自由的保护远超过对隐私权的保护。[注]Steven C. Bennett, The ‘Right to Be Forgotten’: Reconciling the EU and US Perspectives, 30 Berkeley Journal of International Law (2012), p.161.此外,美国最高法院最近的判决对于言论自由的定义十分广泛,搜索结果也归于言论自由的范畴,因此强制搜索服务提供商删除信息可能构成第一修正案中的言论事先限制。[注]Jane Yakowitz Bambauer, Is Data Speech? 66 Stanford Law Review (2014), p.57.由此可见,在美式民主的逻辑中,言论自由比隐私权更值得保护。另外,被遗忘权要求数据控制者实时对数据进行审查以确保数据的准确性、相关性,这在美国法下构成对表达自由和公众知情权的限制。因此被遗忘权能否在欧盟以外的国家获得生存仍然是个疑问。

(二)“监控者”还是“呈现者”

本案中一个争议的焦点问题是搜索引擎并非信息的发布者,而只是信息平台或引擎服务的提供者,搜索引擎是否应当承担“数据控制者”的责任?法院认为谷歌具备对平台信息监控的技术能力,在处理其服务器上的数据时扮演的是“监控者”角色,“搜索引擎的业务活动是对网页出版商业务活动的补充,既有可能对基本的隐私权产生重大影响,也有可能对个人数据起到保护作用”,即使原始内容的发布合法或者该内容并未从原始网站上删除也“有责任(在特定情况下)删除相关网页链接”。搜索引擎不单单是非智能的渠道,而是发挥着数据“控制者”的积极作用,而且必须为它们提供的链接负责。搜索引擎可以清除通往某些网页的链接,“即使那些网页上公布的内容本身是合法的”。

搜索服务提供商可以通过技术手段控制数据处理的方式和结果是毋庸置疑的,因此搜索引擎服务提供商应当承担数据控制者的责任。但关键问题是:一些互联网用户不希望自己的信息在网络上大量传播,另外一些用户则不在乎或者希望被传播,这就导致数据控制者难以区分互联网用户的信息进而区别对待。另外,在该判决下数据控制者承担着信息审查的义务,但是该判决实质上限制的是以人名为关键字的搜索结果,对于使用其他关键字进行搜索的问题以及同名的人能否要求删除其他同名人的信息问题,现行判决并未提供指导。因此,互联网搜索服务提供商可能会面临相应的技术难题和法律问题,此外还要承担额外的经营成本。他们必须完善自己的信息删除政策,例如如何判断信息是不准确、不相关的,以及删除信息的程序和处理时限等等问题,同时建立一支由信息处理专家组成的大军以应付海量的不必要信息筛选和删除工作,并研究区别公众人物和私人个体之间的标准。

(三)被遗忘权可能构成贸易壁垒

高标准的《指令》在欧盟境内已经实施多年,欧盟的搜索服务提供商的数据处理基本符合这种高标准。但由于该判决确立了《指令》的长臂管辖,外国企业只要在欧盟境内设立了机构就很可能受到《指令》的管辖。很少国家的数据保护能够达到欧盟的标准,在欧盟设有机构的外国企业在欧盟境外开展业务也需要遵守《指令》,这将大大增加外国企业的信息获取成本,阻碍他国电子商务的发展。另外,个人数据保护法律制度差异将导致搜索引擎在欧盟内外面临差别待遇,企业在欧盟内设立机构提供网上信息的费用激增,这将会阻碍企业在EU内设立机构进行电子商务,因此可能导致国外搜索引擎服务者处于一种相对不利的竞争地位。这种额外负担和制度差异可能会使“被遗忘权”成为一种新的贸易壁垒。[注]Simon Lester,The Right To Be Forgotten as a Trade Barrier, available at:http://worldtradelaw.typepad.com/ielpblog/2014/05/the-right-to-be-forgotten-as-a-trade-barrier.html, last visit on June 1,2014.

那么这种贸易壁垒是否存在合法理由?WTO服务贸易理事会一份有关电子商务的中期报告明确指出,电子商务也可适用GATS第14条的一般例外。WTO案例中确定了GATS第14条适用时需遵守两步分析法:首先判断一项措施是否属于第14条中的一项,如果该措施属于第14条的某项措施,然后再分析该措施是否满足第14条引言的要求。被遗忘权可能属于第14条(c)款(ii)项下的为了确保服从与本协定规定不相抵触的法律和法规所必需的措施。GATS第14条(c)款规定,只要这类措施的实施不在情况相同的国家间构成武断的、或不公正的歧视,或构成对服务贸易的变相限制,则本协定的规定不得解释为阻止任何成员采用或实施以下措施:为确保服从与本协定规定不相抵触的包括与下述有关的法律和法规所必需的:(1)防止欺诈和欺骗做法的或处理服务合同违约情况的;(2)保护与个人资料的处理和散播有关的个人隐私以及保护个人记录和账户秘密的;(3)安全问题。

毫无疑问,被遗忘权与上述GATS第14条c款所规定的第二种情形密切相关,是欧盟为了保护与个人资料的处理和散播有关的个人隐私的法律的有效实施,而施加给网络服务提供商的义务,但是这种被遗忘权是不是确保此类法律实施所必需的措施?DSU在其争端解决实践中确立了“必需性”的判断标准,即不存在符合WTO规则的替代措施或者限制性更少的替代措施。在大数据时代,引入“被遗忘权”概念保护个人隐私显得越来越有必要。随着数字化和存储器变得廉价等外部环境形成,数字化记忆变得越来越普遍,数据的可访问性、持久性和全面性削弱了人们对自己信息和隐私的控制力,任何人都可以在网络上搜索到相关信息,并且个人无法彻底删除自己的隐私,而网络传播能力的提升也使隐私权被侵犯的可能性大大增加。为了保护个人隐私,用户需要被遗忘权来限制数据的储存期限,防止个人信息被永久储存并被任何人轻易获得。就本案而言,似乎并不存在对贸易限制更少的替代措施。

那么被遗忘权是否在情况相同的国家间构成武断的或不公正的歧视,或构成对服务贸易的变相限制呢?前面已经分析过,被遗忘权使得外国公司在欧盟境内提供网上信息的费用增加,进而阻碍外国公司在欧盟境内设立机构,从而支持了国内相同产业。如何判断这种歧视是否是武断的、不公正的歧视呢?在美国汽油案中,上诉机构认为如果要求外国生产者服从美国严格的法律是不切实际的,那么这就是武断的不公正的歧视。在海龟案中,上诉机构认为判断是否构成武断的、不公正的歧视有三个标准:单边严格规制、没有考虑外国的情况、没有谈判协商。被遗忘权的实施,将会在一定程度上阻止搜索引擎服务提供商在欧盟境内开展服务,被遗忘权将导致搜索引擎服务提供商面临无尽的删除请求,导致搜索引擎服务提供商需花费大量的人财物力来完善自己的信息删除政策,但是鉴于隐私权保护的重要性超过搜索引擎服务提供商的经济利益,要求搜索引擎服务提供商承担额外成本也是可以接受的,搜索引擎采取措施从搜索结果中删除过时信息在技术上也是可行的。另外,由于规定被遗忘权的《指令》是欧盟单方面所制定,其可能对其他国家的搜索引擎服务提供商产生限制作用,但欧盟却没有与可能受到影响的国家进行协商,也没有考虑到其他国家对个人隐私的保护水平,从这点上讲,被遗忘权具有构成武断的、不公正歧视之嫌疑。

四、对中国的启示

被遗忘权的权利性质如何?目前国内外尚无定论。被遗忘权的提出并不新鲜,它的前身是与其关系比较密切的隐私权。王利明教授认为,隐私权是自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。[注]王利明主编:《人格权法新论》,吉林人民出版社1994年版,第487页。从内容上来看,被遗忘权确与隐私权联系紧密,是隐私权在网络环境下的一种延伸。有学者认为:被遗忘权会成为普遍人权,因为它的诉求是普遍而广泛存在的。[注]引自王四新:《新媒体时代的被遗忘权》,载《中国科学报》2014年8月29日,第6版。2013年12月,联合国人权理事会曾一致通过一项保护网络隐私权的决议,亦印证了网络隐私权属于普遍人权范畴之观点。[注]United Nations, A/RES/68/167, The Right to Privacy in the Digital Age, Resolution adopted by the General Assembly on 18 December 2013. Available at http://www.un.org/ga/search/view_doc.asp?symbol=A/RES/68/167, last visit on June 1, 2014.尽管学理上对于被遗忘权性质仍存争议,但该项权利在实践中得以行使已是不争的事实:根据欧洲法院的判决,谷歌设立新的专门部门并已受理了数以万计的信息删除请求。某种程度上来说,互联网世界开启了一个无国界的时代,欧洲关于网络隐私权的最新司法动态,无疑对于中国的未来实践具有重要的启示意义和参考价值。

(一)中国应当引入被遗忘权

互联网的发明使记忆成为常态、遗忘成为例外,个人隐私权被侵犯的可能性大大增加。在此背景下,如何规范个人信息的使用成为网络时代亟需解决的重要问题。我国滥用个人信息、侵犯个人隐私的事件屡见不鲜,应当引入“被遗忘权”加强个人信息保护。目前,国内法律对隐私权保护力度不足,《宪法》中尚未明确确立隐私权,《民法通则》中也未提及隐私权,《侵权责任法》中第一次提出了该权利的名称,但其概念、保护措施以及赔偿内容都没有相关规定。近年来,网络空间管理和网络信息安全问题在我国引起越来越多的关注,国家逐步开始重视隐私权和个人信息保护方面的立法工作的保护,其中部分条款包含有与被遗忘权相似的内容。例如,2012年12月28日通过的《全国人大关于加强网络信息保护的决定 》第8条规定,“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”随后出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.5.1条规定,“个人信息主体有正当理由要求删除其个人信息时,及时删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。”但是,这两个文件并没有完整地表达和明确被遗忘权的概念、内涵、行使条件、对其他权利的影响以及被侵权后的民事赔偿范围和标准确定问题。我国引入“被遗忘权”时可以以这些法律文件为基础,在立法中解决上述问题,明确被遗忘权与公众知情权、表达自由权的关系,并探索被遗忘权的例外情形。

(二)从隐私权保护的角度进行互联网监管

中国目前的网络审查制度颇为严格,谷歌因为中国信息过滤退出中国市场,曾引发国际社会对中国网络审查制度的热议。由于网络上发布信息往往不像传统媒体那样程序严格、内容严谨,有些违反法律、有伤风化的信息会对社会造成负面影响,甚至危及国家安全,因此,当前加强网络审查十分必要,世界上许多国家和地区也都存在网络审查制度,以控制违法内容和不道德内容在网络上的传播。不过,以往中国的互联网信息监管主要侧重于强调公共利益和国家安全,对反动、暴力、色情等信息进行过滤,大量封锁外国网站,很容易引起外国政府的误解,认为中国网络审查制度是对网络自由的限制,或者认为中国网络审查制度是保护本国企业的手段。今后,中国如能从隐私权保护的角度对网络信息进行审查,更能得到社会民众的支持,民众将更积极主动地对违法、不良信息进行监督;另一方面,从保护隐私权的角度要求数据控制者自身进行信息审查,不仅有助于减轻我国政府在网络审查上的投入,也有助于减轻国际社会对于我国网络管理的某些非难和指责。

(三)立法中引入长臂管辖原则

本案确立了《指令》的长臂管辖,即《指令》具有域外效力,在特定情况下能够适用于外国公司。对于中国境内的互联网企业而言,可能也会面临欧盟高标准个人数据保护义务的风险,可以考虑以下两种方法降低风险:(1)如果中国互联网企业在欧盟设立了机构,该机构应当采取具有独立法人资格的子公司的形式。该子公司的活动是独立的,并且应当是与数据处理无关的业务,这有利于避免子公司成为《指令》下的“机构”。(2)中国企业应当避免为了处理个人数据而使用设置在欧盟境内的自动或者非自动设备。另外我国也可以考虑在个人信息保护中引入长臂管辖原则,将外国企业纳入我国法律的管辖范围。尽管长臂管辖可能产生双重管辖的问题,但是,在互联网世界中信息的传播是不区分国界的,跨境侵犯个人隐私的现象难以避免,在我国法律中引入该原则一方面有利于监督外国企业对我国居民的个人信息处理,另一方面也有助于确保我国法律的实施效果。

猜你喜欢
被遗忘权控制者服务提供商
从“控制者”变身“隐形人”
论品牌出海服务型跨境电商运营模式
论人工智能的刑事责任能力与追究
浅谈中小学财务人员角色转换的紧迫性
数据控制者的权利与限制
最新调查:约三成云服务提供商正迅速改变其业务模式
网络非中立下内容提供商与服务提供商合作策略研究
论数字时代个人信息的“被遗忘权”
我要“被遗忘权”
被遗忘权的理论探讨