被遗忘权的概念分析

郑远民，李志春

(湖南师范大学法学院，湖南长沙410006)

2014年6月26日，谷歌开始根据欧盟法院的裁定而在搜索结果中删除一些特定内容，以符合“被遗忘权”新规:个人有权请求删除指向“不适当、无关或不再相关的”个人数据的搜索结果，即便信息是被合法公布的。从此，在谷歌上搜索一个名字时，结果页面会包含以下声明:“根据欧洲数据保护法，一些结果可能已被删除”。这是法律上第一次对隐私和尊严与版权等其它方面一视同仁。[1]在欧洲，每天有2.5亿人使用互联网，但75%的用户希望删除个人信息，24%的用户认为当其停止使用网站时应该删除个人信息。显然，欧洲大多数网民都主张拥有被遗忘权。[2]截至2014年10月，谷歌已经收到144907条要求被遗忘的申请，要求评估近5亿条链接;谷歌已经删除了其中41.8%的信息。[3]那么到底何为被遗忘权?其适用的范围为何?本文拟就此问题进行探讨。

一、西方学者的定义

在欧洲，被遗忘权最早源于法国法中的“le droit à l’oubli”，但英文也有不同的表述，如“right to forget”“right to be forgotten”“right to forget/be forgotten”“right to delete”“right to oblivion”。意大利称为“dirito a l＇oblio”[4]。Flaherty在1989年首次提到数字世界中与隐私数据有关的被遗忘权，被认为是有关被遗忘权的最早学术文献记载。但第一次提到何谓被遗忘权是在有关释囚权利的案件中，一般是指在某种情形下删除其过去犯罪记录的权利或者在某种特定条件下要求第三方不公开其过去不幸事件细节的权利。[5]

关于遗忘权/被遗忘权，有学者不作网上(数字)与网下(非数字)、传统和现代的区分，认为其是指对过往生活中不再发生的事件保持沉默的权利。[6]遗忘权指有过犯罪记录的人在其刑期执行完毕之后，有权利要求他人不公开自己的犯罪记录，让自己的名誉免于犯罪记录公开的损害。[7]它有可能在下列三种情形之一下展开:(1)“我有权删除在公共领域共享的任何内容。”(2)“我有权要求转发我共享信息的人删除它。”(3)“如果任何人未经我允许共享与我有关的任何内容，我有权删除它。”

但大多数学者认为其应该是数字被遗忘权，而且可分为一元说、两层含义说和三层含义说。一元说主张被遗忘权即数字删除权。如Werro等认为，被遗忘权是个人享有的控制和删除个人自己留在网上信息的权利。[8]两层含义说认为，被遗忘权一是指历史上的遗忘权(droit a l’oubli)，即有过犯罪记录的人在其刑期执行完毕之后，有权利要求他人不公开自己的犯罪记录;二是指删除权，即数据主体享有的删除自己被动泄漏的信息的权利。[9]但Koops认为数字被遗忘权包括三层含义:最主要的含义是指一种要求他人及时删除关涉自己信息的权利;其二，是指一种向社会主张“清白历史(clean slate)”的请求，即过时的负面信息不应该被用来针对请求人;其三，是指一种不受限制地表达而不用担心后果的个人权益。这三种含义之间并非相互排斥。[10]229，236，254

也有学者将遗忘权和被遗忘权区分开来加以定义。如日本的K.Murata和Y.Orito认为遗忘权是指个人有免受被迫记忆那些他/她决不愿记起之事的权利;被遗忘权是指个人享有免受任何利用他/她的信息，给他/她造成有害影响的权利。当然，遗忘权/被遗忘权不应该是一种绝对权;决不能接受遗忘的滥用;其有时还可能与网络言论自由权和公众知情权相冲突。就这一点而言，该权利的定义必须谨慎，不至于给社会造成伤害。[11]192而Koops认为，遗忘权似乎是站在个人或用户的角度考虑，认为某人不得不面对自身的过去，而这对其至关重要。在这种情形下，为保护其这一利益，就有必要引入:(1)允许个人“控制过去”的权利。例如，对其不希望想起的某些过去之事予以删除(积极的遗忘权);(2)第三方有义务不使用/提醒个人希望忘记之事或信息(消极的遗忘权)。另一方面，被遗忘权似乎站在第三方的立场，要求其采取措施，从而能遗忘或不涉及个人过去的某些方面。这是一项消极的权利或者说是“一项不要记住个人过去的义务”[10]229。

可见，遗忘作为一个伞状概念，能够涵盖“遗忘/被遗忘权”的内容，以至于Xanthoulis认为“被忘却(Oblivion)”似乎是一个更为合适的概念，而主张“忘却权(right to oblivion)”。其理由是:从历史渊源看，其可代表20世纪70年代底法国的“le droit à l’oublie”概念;它可囊括前述遗忘权和被遗忘权的概念;它没有从一开始就限定概念的范围，因此可以与其未来的潜在发展相适应。[12]87但西方也有学者反对将遗忘/被遗忘权利化的观点，主张其本质上不过是一种行为美德[13]235、政策目标或利益[10]231。例如，Mayes认为，“我们不可能真正遗忘。将遗忘上升为权利是权利的退化。被遗忘权仅是我们头脑中的臆造之物。被遗忘权意味着对社会的彻底退出，在其糟糕的伪装下，可能是反社会的、虚无主义的行为。其如果被实施，将意味着我们在这世界上行为权利的被阉割。”[14]

二、中国学者的定义

在中国，关于被遗忘权的讨论，基本上围绕欧盟2012年的《一般数据保护条例》(以下简称GDPR)展开。因此，大多数学者有关被遗忘权的定义基本与 GDPR 的规定相同。如伍艳[15]4、邵国松[16]104、彭支援[17]36－40、何治乐及黄道丽[18]172等都认为，被遗忘权又称删除权，指数据主体有权要求数据控制者永久删除有关数据主体的个人数据，除非数据的保留有合法的理由。其权利主体就是数据主体，包括一切在互联网上存储数据的个人;义务主体是控制者，指获得个人信息并且对之进行收集与使用的企业或机构等;其客体就是与数据主体有关的任何信息;但其不能践踏言论自由和损害公共利益等。

有的学者则认为被遗忘权仅仅是“数字遗忘权”，简言之，它是一个人应该拥有的被网络和数字媒介遗忘的权利。具体来说，即个人可以依法要求从网络上删除有关本人的某些行为和言论记录，而不应该事无巨细地被永远“网”住。[19]1其为较现代但也较为狭义的被遗忘权。

有的学者往往将被遗忘权与隐私联系，认为其是隐私权在网络信息时代的新发展。如王东宾认为，“被遗忘权”赋予个人要求社会组织恰当使用或删除个人数据的权利，体现的是个人(信息主体)对于个人信息和隐私的主导权和控制权。[20]“被遗忘权”是“隐私自主权”或“个人信息自主权”的分支，大致的含义是个人信息的拥有主体基于隐私自主而拥有向个人信息收集者、发布者、索引者等随时要求删除遗留在信息网络当中的各种有关个人的数字痕迹，从而使其被其他人“忘记”的权利。[21]可见其范围更窄。

但也有学者认为应将数字遗忘权作广义与狭义之分。狭义的数字遗忘权仅指数字或互联网时代的遗忘权，是数据主体享有的要求数据控制者删除关涉自己的个人信息，以防止其进一步传播的权利。狭义的数字遗忘权等同于删除权，是为了应对计算机与信息技术发展所带来的互联网记住了所有人的所有数字信息，遗忘变得不可能，从而可能会损害个人信息、隐私与尊严的后果而产生的一种权利。广义的数字遗忘权则包括传统的遗忘权和狭义的数字遗忘权。[22]58

综上可知，中国学者从广义—狭义—最狭义三个层次来对被遗忘权进行定义。最狭义的被遗忘权是指与自然人的隐私有关的个人数据的被遗忘的权利;狭义的被遗忘权则指与自然人有关的一切数据，不管是否关涉隐私，都有被遗忘的权利;而广义的被遗忘权包括传统和狭义的数字遗忘权。其共同点是都将被遗忘权理解为删除权。但通过分析中外学者的论述可知，“被遗忘权”或者“遗忘权”或“删除权”这些术语，即同名而异义，易引起歧义;但其也构成同名同义，因为许多作者交替使用上述术语。这些术语似乎都涉及遗忘或被遗忘的概念;即使是“删除权”这一术语，也限定为对数据的删除，暗指信息删除，而这些信息最终会被遗忘。[12]86－87

三、立法上的被遗忘权

在立法上，GDPR第17条出台前，被遗忘权就获得了承认。为此，莱斯格还提出了对被遗忘权进行规范的四种因素:规范、市场、编码和法律。[23]就法律言，《欧盟1995年数据保护指令》在一定程度上已能满足其被遗忘权的需要;其规定尽管不是很详细，但通过适当原则和数据主体权利两个机制可以产生相似的效果。指令第6条(e)规定，除基于历史的、统计或科学使用目的外，各成员国应规定个人数据应以某种形式被存储，该存储形式所允许的数据主体身份鉴定时间不得长于为实现数据收集或进一步处理数据之目的所必需的时间;而指令第6条(d)规定，“考虑到收集或者随后处理个人数据的目的，必须采取一切合理的措施以确保那些不准确或不完整的数据被删除或者予以更正。”学者认为其实际上创设了一个消极的被遗忘权，即数据控制者对数据的保留如果不再备有正当理由，那么数据主体就有权要求其删除这些数据。但这种消极的被遗忘权的重要性不应被过高估计，其实际上也很少被执行，因为个人数据的控制者可以游走于正当和非正当的边缘。例如，社交网站认为其无限期保留用户数据是为了网络活动的正当需要，具有正当理由。在《欧盟1995年数据保护指令》第12条规定的数据主体的数据获取权利体系中，数据主体有从数据控制者处获得对数据作出适当的修改、删除或者限制的权利，特别是当数据的不完整或不准确导致该数据的处理不符合指令的规定时。但这一理论的规定在现实中不大可能，特别是在数据主体同意某一目的的数据处理时，因为数据控制者可以以数据仍准确、与同意的目的相关或在保留的合理范围内为理由进行辩护。在这种情形下，数据主体不可能依靠指令规定的删除权获得救济。[24]10

对被遗忘权作出明确规定的是2012年1月25日欧盟委员会在布鲁塞尔公布的GDPR第17条[25]。该条共9款，使用的是“被遗忘和删除权(Right to be forgotten and to erasure)”的概念;具体规定了被遗忘和删除权的适用条件、具体例外情形、用限制数据处理替代数据删除的事由以及如何具体执行等问题。根据第17条第1款规定，所谓被遗忘和删除权，是指数据主体从控制者处获得的删除与其有关的个人数据和避免这些个人数据进一步传播的权利，特别是当数据主体是儿童时。有如下理由之一，数据主体即可行使该权利:(1)就数据收集或者其它处理目的而言，该数据不再必要;(2)数据主体根据第6条1款第1项规定，撤销数据处理的同意，或者当同意的存储期限届满时，数据处理又没有其它合法依据;(3)根据第19条规定，数据主体反对处理其个人数据;(4)数据处理未遵守GDPR的其他情形。第17条第2款规定，已经公开了该个人数据的数据控制者应采取一切合理的措施，包括技术性的手段，通知正在处理这些数据的第三方，数据主体要求其删除关于这些数据的任何链接、副本或复制。如果第三方当初公开个人数据是得到数据控制者授权的话，则控制者需对该数据的公开负责。同时，数据控制者应确立和执行时限机制，以确保及时删除个人数据和/或定期审查数据存储的必要性。如果数据被删除，则数据控制者对该个人数据不得再进行处理。

但GDPR第17条第3款规定，基于表达(言论)自由、公共健康领域公共利益、历史的、统计的和科学研究的目的，遵守控制者应服从的欧盟或成员国法律规定的个人数据保留的法定义务及第4款所提及的情形，数据控制者可保留个人数据。这明确了被遗忘和删除权行使的例外。第17条第4款规定了数据控制者可用限制个人数据处理替代删除的情形:数据主体对数据的准确性有异议，需要一定期限供数据控制者证明数据的准确性;数据控制者不再需要个人数据以完成特定任务，但作为证据必须予以保留;数据处理不合法，但数据主体反对删除，要求以限制数据使用作为替代。第18条第2款规定，数据主体要求将个人数据传递给另一个自动处理系统;第4款涉及的个人数据，除存储外，仅能出于证据目的或经数据主体的同意，或出于保护另一自然人或法人的权利，或出于公共利益的目的进行处理;并且，数据控制者在解除对个人数据处理的限制之前，应通知数据主体。第17条第9款明确规定，欧盟委员会可授权各成员国通过立法明确被遗忘和删除权行使的具体部门、具体情形、条件以及个人数据替代性处理的具体限制标准、条件。第79条第5款则规定了侵犯被遗忘权所应承担的行政责任，即监管机构可对数据控制者课以最高50万欧元的处罚;如果数据控制者是企业，则可处以其全球年营业额1%的罚款。[25]79

四、被遗忘权涵义的理解

其实，被遗忘权与droitàl’oubli这一权利并不完全一致。从根本上说，前者属于《欧盟基本权利宪章》第7条规定的个人基本隐私权的一部分;后者则属于《欧盟基本权利宪章》第8条规定的个人数据保护的一个方面，是对欧盟宪章第8条第2款关于“人人均有权了解其个人信息，并有权要求销毁其个人信息”规定的具体化。被遗忘权从根本上涉及通过个人数据的适当控制机制，建立和维持信息隐私的合理水平。其次，二者的侧重点不同:droitàl’oubli倾向于防止报纸、新闻广播、广播剧等主流媒体对进入公众视线的个人私生活的过度侵犯，但被遗忘权没有这样的传统和内涵。即使缺乏主流媒体的针对性安排和关注，个人轻率或不适当地将图像、视频或陈述发布于公网上，也可能会遭致长时间的受害。潜在的被遗忘权似乎更适合于对这类及其他问题的处理。就其本身而论，被遗忘权是宽泛意义上的欧盟数据保护法律框架的一部分，具体目的是便于国民对其个人数据的有用性和使用实施更高程度的控制。[24]5

同时，在GDPR中，被遗忘权和删除权也是两个不同的概念。尽管GDPR没有提供一个清楚或描述性的被遗忘权的定义[5]15，但欧盟有关书信中提到在线环境下的被遗忘权，是指个人撤销同意并没有保留数据的法律依据时有权要求删除其数据。如采纳这种解释，那么被遗忘权与删除权则为同义反复，构成亚里士多德所说的同名同义。从语法上来说，被遗忘和删除既然同义反复，则只保留一个即可。而GDPR第54条认为，被遗忘权仅是删除权的延伸。其实际的规定是:“为加强在线环境中的被遗忘权，删除权也应以这种方式扩展，已公开个人数据的控制者有义务告知第三方……”然而，如果我们阅读GDPR的备忘录，欧盟所说的删除权的延伸似乎仅是第17条中被遗忘权的适用条件之一。“第17条……规定，被遗忘权的适用条件包括已公开个人数据的数据控制者通知第三方要求其删除关于这些数据的任何链接、副本或复制的义务。”毫无疑问，如果我们采信这一观点来思考删除权条款的其他规定，那就可以合理回答“被遗忘权适用的其他条件是哪些?其应该在第17条的规定中吗”等问题其实真正创设被遗忘权的是第17条第1款第2项的规定，即数据主体撤销了数据处理的同意，或者原同意的存储期限已过又没有其它合法依据这两种情形，才是被遗忘权行使的条件。[24]13因为在现实中，基于同意的数据处理经常未给数据主体提供真正的选择，甚至对数据主体加以控制。所以GDPR降低了同意的重要性，明确了允许数据主体撤回其同意的情形，便于数据主体行使被遗忘权。

GDPR第17条第2款更进一步规定，当数据控制者将个人数据予以公开(例如在网上发布)，或者公开被授权给第三方时，可以实施被遗忘权。在第一种情形下，原数据控制者仅需要采取一切合理步骤告知第三方，数据主体要求其删除数据;而在第二种情形下，原数据控制者不管怎样都要担责。其对经第三方链接、复制和副本的删除问题虽有涉及，但规定较为简单模糊。实践中这种情况比较普遍，如甲在自己的网易微博上传了自身的照片，而其他微博用户将甲的照片转发到了自己的微博上，现在甲是否有权要求网易删除和网易是否有权直接删除在其他微博用户上转发的甲的照片?如果第三方公开是经数据控制者授权的，则无论如何控制者都应负责，这里的负责到底是一种义务还是一种责任并不明确。因此，首先应明确当数据主体要求删除经第三方链接、复制和副本时，数据控制者有两项具体义务:一是及时通知第三方数据主体要求其删除数据;二是通过技术手段删除由第三方直接控制的数据。其次，明确数据控制者承担通知和/或删除义务的限制条件，即明确以数据控制者履行的技术可行和成本合理为限。

五、结论及对中国的启示

在大数据时代，被遗忘权对不可预见的隐私问题具有安全阀的作用，我们要记得遗忘的美德，不管学者将其分为早期(传统)与现代(数字)、广义和狭义还是主动(积极)和被动(消极)的被遗忘权。GDPR尽管将被遗忘权和删除权规定在同一法条下，但二者的适用范围和条件还是有所区别的。对被遗忘权的例外条款，欧盟各国将如何适用，目前还不十分清楚。但欧盟法院对西班牙公民以被遗忘权起诉谷歌，要求删除与其有关信息的判决，就被遗忘权范围的确定言，极具指导意义。

中国目前有近40部法律、30余部法规以及近200部规章涉及个人信息保护，但基本都未涉及被遗忘权。2013年的《信息安全技术、公共及商用服务信息系统个人信息保护指南》明确了信息主体的禁止权，与欧盟被遗忘权最为接近，但其法律效力值得考量。中国《个人信息保护法示范法草案(学者建议稿)》对个人数据的删除问题作了规定，但较为简单。我们可参照GDPR关于被遗忘和删除权的规定，以明确行使数据删除权的条件、例外，以及经第三方链接、复制和副本的删除、举证责任和处罚等问题;更要通过完善立法，明确数据保护与言论自由、经济发展、科研历史、公共安全等之间的价值冲突。另外，被遗忘权的数据主体是否可以参照奥地利、意大利、卢森堡等国将其由自然人扩展到法人，也值得我们进一步研究。

[1]罗伯特·库克森理查德德·沃特斯.谷歌开始执行“被遗忘权”新规[N].英国金融时报2014－06－27(2).

[2]Attitudes on Data Protection and Electronic Identity in the European Union[EB/OL].(2011－06－16)[2014－10－15].http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[3]Lance Whitney .Google hit by more than 144，000‘right to be forgotten’requests[EB/OL].(2014－10－10)[2014－10－20].http://www.cnet.com/news/google－hit－by－more－than－144000－right－to－be－forgotten－request.

[4]Conley C.The Right to Delete[C]∥Staddon.AAAI Spring Symposium:Intelligent Information Privacy Management，2010.

[5]Xanthoulis N.Conceptualising a Right to Oblivion in the Digital World:A Human Rights－ Based Approach[J].Available at SSRN 2064503，2012.

[6]Bernal，P.A.A Right to Delete?[J].European Journal of Law and Technology，2011(2).

[7]Robert Kirk Walker.The Right to Be Forgotten[J].Hastings Law Journal，2012(64):7.

[8]Franz Werro.The right to inform v.the right to be forgotten:A transatlantic clash[EB/OL].(2009－05－10)[2014－10－20].http://ssrn.com/abstract=1401357.

[9]Ambrose M，Ausloos J.The right to be forgotten across the pond[J].Journal of Information Policy，2013(3):1－23.

[10]Koops B J.Forgetting footprints，shunning shadows:A critical analysis of the‘right to be forgotten’in big data practice[J].SCRIPTed，2011(3).

[11]Murata K，Orito Y.The right to forget/be forgotten[J].CEPE:Crossing Boundaries，2011.

[12]Xanthoulis N.The Right to Oblivion in the Information Age:A Human－Rights Based Approach[J].US－China Law Review，2013(1):84.

[13]维克托·迈耶－肖恩伯格.删除——数字时代里遗忘的美德[M].袁杰，译.杭州:浙江人民出版社，2013:235.

[14]Mayes T.We have no right to be forgotten online[J].The Guardian，2011(18).

[15]伍艳.论网络信息时代的“被遗忘权”——以欧盟个人数据保护改革为视角[J].图书馆理论与实践，2013(11).

[16]邵国松.“被遗忘的权利”:个人信息保护的新问题及对策[J].南京社会科学，2013(2).

[17]彭支援.被遗忘权初探[J].中北大学学报:社会科学版，2014(1):36－40.

[18]何治乐，黄道丽.大数据环境下我国被遗忘权之立法构建——欧盟《一般数据保护条例》被遗忘权之借鉴[J].网络安全技术与应用，2014(5).

[19]廖先旺.网络时代应有“遗忘权”[J].新闻世界，2009(12).

[20]王东宾.信息社会，个人隐私保护任重道远[J].社会观察，2013(2).

[21]陈昶屹.“被遗忘权”背后的法律博弈[N].北京日报，2014－5－21(14).

[22]郑文明.互联网时代的“数字遗忘权”[J].新闻界，2014(3).

[23]劳伦斯·莱斯格著.代码2.0:网络空间中的法律[M].李旭，沈伟伟，译.北京:清华大学出版社，2009.

[24]Graux H，Ausloos J，Valcke P.The Right to Be Forgotten in the Internet Era[J].ICRI Working Paper，2012(11).

[25]General Data Protection Regulation，COM(2012)11 final[EB/OL].(2012－01－25)[2014－10－20].http://ec.europa.eu/justice/data－protection/document/review2012/com_2012_11_en.pdf.