王茜茹 相丽玲
〔摘 要〕被遗忘权的提出与媒体技术、信息技术的发展有着密切的关系。被遗忘权从公民意识的产生到法律的确立与规范,在欧美国家经历了漫长的立法过程。文章对被遗忘权在欧盟的立法演化过程进行了分析,归纳了被遗忘权的具体内容,并对各国的态度、被遗忘权的立法意义及其影响做了总结,以期对我国的个人信息保护立法有所启示。
〔关键词〕被遗忘权;删除权;个人数据保护;媒体;大数据
DOI:10.3969/j.issn.1008-0821.2015.09.030
〔中图分类号〕G250 〔文献标识码〕A 〔文章编号〕1008-0821(2015)09-0160-05
〔Abstract〕Raising of the right to be forgotten has a close relationship with the development of media and information technology.From citizenship to the establishment of the legal and normative,its through a long legislative process in Europe and the United States.Article on the right to be forgotten analyses the EU legislative process,summing up its content,concluding the national attitude and legislation of the right.Whats more,its effects so as to reveal personal information protection legislation in China.
〔Key words〕right to be forgotten;right to erasure;personal data protection;media;big data
“被遗忘权”的提出,最初与媒介有着直接的关系。由于媒介通常以两种不同的方式影响着个人生活:或大众传媒大量登载涉及个人隐私的信息;或阻碍人格权中的隐私以及在公共事件中阻碍着他们的隐私社交[1]。公民“被遗忘权”的保护意识在媒介技术日益更新的时代变得越来越强烈。特别是随着大数据时代信息技术的广泛应用,个人数据滥用的现象频繁出现。公民的“被遗忘权”保护问题成为目前各国立法关注的焦点。
1 被遗忘权的演化
11 忘却权:大众传媒时代的“被遗忘权”意识(1974-1995年) 这一时期是以大众传媒为主阶段。随着大众化商业报刊的发展,报刊内容由严肃向通俗倾斜,更为适应中产阶级与下层阶级的口味。新闻媒介通常采用煽情的表达手法对达官贵人的私生活以及平民百姓的日常生活进行大量的报道。隐私的暴露虽然满足了读者的好奇心理,但更深的是带给新闻当事人极大的精神痛苦。
1974[2],法国首次出现的“忘却权”(Droit à loubli)概念,原意是用来限制媒体再次报道被报道者过去曾受大众瞩目的、当时具有合法公共利益的事件,主要通过赋予有青少年犯罪或轻微犯罪记录的人具有忘却曾经犯罪记录的权利,使其保留在官方的犯罪记录永远不被公开,获得重新做人、回归社会的机会。公民的“被遗忘权”意识由此产生。忘却权具体表现为限制大众媒体活动,禁止报纸和电视台再一次对过去被公众感兴趣的对象(在许多情况下具有负面含义)的个人生活方面的公开。“忘却权”属于隐私权中个人隐私安全的延伸,是公民因受新闻等大众媒体报道而产生的一种权利意识。可见,“忘却权”将保护公民个人重新获取他的匿名生活和隐私的权利。
随着传媒技术的演化,“忘却权”经历了由公民权利意识到权利立法保护的转变,逐渐演化成受法律保护的“被遗忘权”与“删除权”。
12 “删除权”:网络传媒时代的“被遗忘权”立法保护(1980-2011年) 这一时期分为两个阶段。
第一阶段:“删除权”的法律属性确立(1980-2002年)
这一时期是互联网在欧美等发达国家兴起的时代。计算机和通讯技术的结合使个人数据可以在世界各国的使用者支配下,对数据加以汇集,使得国内和国际数据网络得以建立。与此同时,公共兴趣倾向于关注与个人数据的计算机化处理的相关风险,一些国家选择颁布指令专门处理计算机与计算机基础上的活动。这一时期,欧盟制定的一系列相关立法试图平衡保护隐私和个人自由这两种价值,促进个人数据的自由流动。有关“被遗忘权”的内容以“删除权”的形式表达,从而使“被遗忘权”开始了法律上的保护。
1980年9月23日 ,经济合作与发展组织颁布了《关于保护隐私与个人数据跨国界流动的准则:理事会建议》(准则)[3]。《准则》的目的是让成员国接受与个人数据有关的一些保护隐私和个人自由的最低标准。其中第13条个人参与原则中指出:个人应当有权从数据控制者或其他处确认数据控制者是否有与其相关的数据,并有权对数据进行删除、更正、完善或补充。1981年1月28日 ,欧洲理事会各成员国签署了《欧洲系列条约第108号条约:有关个人数据自动化处理之个人保护公约》[4]。该公约的目的是确保各缔约国领域内每个人,不论其国籍或住所,其权利和基本自由均受到尊重,特别是对于其个人数据进行自动化处理时,充分尊重其隐私权(数据保护)。其中第8条,对数据主体的附加保护措施中指出,如果违反实施个人数据进行自动化处理及敏感数据的处理所规定的基本原则,那么数据主体有权根据具体情况,修改或删除这些数据,并当修改或删除的请求被拒绝其有权获得救济。1995年10月24日 ,欧洲议会和欧盟制定通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令(95/46/EC)》(以下简称95指令)[5]。该指令提出成员国应当保护自然人的基本权利和自由,特别是他们与个人数据处理相关的隐私权,并要求各成员国不得以保护理由来限制或者禁止成员国之间个人数据的自由流动。其中第6条指出:收集以及随后处理的个人数据相关内容,必须是适当,相关且不过量的。并考虑到收集或随后处理个人数据的目的,采取一切合理的措施以确保那些不准确的或不完整的数据被删除或者更正。1997年9月15日 ,欧盟委员会通过了《电信部门个人数据处理和隐私保护指令》。该指令除了对1995年的个人数据保护指令进行了补充之外,还特别强调了电子通信部门的有关安全、保密等相关原则。endprint
上述所有规定从法律上确立了个人数据自由流动中个人数据隐私权的法律地位,对“被遗忘权”的相关内容主要以“删除”的属性存在于法律架构中。相关法律主要对个人数据保护中的删除权的范围、基本原则及其救济做了规范。
第二阶段:自媒体时代“删除权”内容的具体化(2003-2011年)
这一时期,媒体进入了所谓的“自媒体时代”。2003年7月自媒体概念被“美国新闻学会媒体中心在“We Media(自媒体)”研究报告中首次提出,即:“We Media是普通大众经由数字科技强化、与全球知识体系相连之后,一种开始理解普通大众如何提供与分享他们自身的事实、新闻的途径。”简言之,即公民用以发布自己亲耳所闻、亲眼所见事件的载体,如微博、微信、博客、论坛/BBS等网络社区[6]。自媒体丰富了人们的生活方式,增强了人们的信息传播权利,但同时也使个人数据自由流动过程中隐私权的侵害日益加深。
这一时期欧盟的相关法律进一步明确了个人数据处理的合法性条件及删除条件,也更加关注“删除权”对个人数据的控制能力。
2003年1月1日,德国《联邦数据保护法》第20、35节指出,如果个人数据有误,应当进行更正。存档系统中的个人数据在下列情况下应当删除:对其保留未经允许;此类数据中包含有关种族或民族出身、政治观点、宗教或者哲学信仰、党派、健康或者性生活、刑事违法或者行政违法,并且数据控制者无法保证其正确性;数据仅为自己处理并且没有处理的必要;数据在业务过程中以传输为目的进行处理,首次保存5年之后的检测表明没有必要继续保存[7]。2004年8月6日法国修改的《数据处理、数据文件及个人自由法》第二章关于个人数据处理的合法性条件中第6条指出:个人数据应准确、完整,如有必要,应保持更新。并且为了与数据获得和处理的目的要求相符,对于不准确、不完整的数据应当采取适当的步骤予以删除和更正。
2010年11月4日,欧盟委员会在《全面性的欧盟个人数据保护方法》中,重申个人数据保护为基本人权,应提高保护密度并赋予个人更大的数据控制能力[8]。在加强个人对其个人数据的控制部分指出,要确保个人受到高度的保护,有两个先决条件:一是数据最小化;二是数据主体对其数据享有有效的控制,除非有法定保存个人数据的原因,否则个人应当拥有查询、更正、删除或封锁其个人数据的权利。
13 大数据时代“被遗忘权与删除权”的正式提出(2012年-今) 随着大数据时代的到来,收集个人数据的方法变得更为多样化且难以察觉。个人数据一旦上传,在不到一秒的时间里,数不清的个人数据被传输或交换于各大洲之间,甚至环绕全球。2012年1月25日,欧盟委员会在布鲁塞尔公布《一般数据保护条例草案》(GDPR草案)其中第17条首次提出“被遗忘权与删除权”(英文全称为Right to be Forgotten and Erasure)的概念,即数据主体有权要求数据控制者永久删除关于数据主体的个人数据并有权被网络所遗忘,除非数据的保留具有合法的理由[9]。与此同时,具体规定了被遗忘权与删除权的适用条件、例外情形、免责情形以及如何具体执行等相关问题。
131 被遗忘权与删除权的适用条件
GDPR草案的第13条规定:数据控制者在清除或复制个人数据时应当告知数据主体哪些数据已被披露,并且有义务让其知晓这些信息在交流时是否被大量的披露[10]。随后的第17条共9款对“被遗忘权与删除权”做出更为全面的阐释。根据第17条第1款规定:“被遗忘权与删除权”是指数据主体有权从数据控制者中删除与其相关个人数据的权利,并有权避免此类数据的进一步传播,特别是相关的个人数据在数据主体年少时产生。有如下理由时,数据主体可以施行该权利:(1)数据已没有被收集或处理的必要;(2)根据第6条第1款第一项规定,数据主体有撤回数据处理的同意,或当同意为存储期限届满时,对数据的处理没有其他法律依据;(3)根据第19条,数据主体反对个人数据的处理;(4)数据的处理违反GDPR的其他规定。随后的第17条第2款对如何处理第三方公开的个人数据予以规定。条例指出:已公开的个人数据应由数据控制者负责,应当采取一切合理的措施。其中包括技术手段;通知正在处理这些数据的第三方;数据主体要求删除任何与个人数据相关的链接、拷贝或复制。如果该数据控制者已授权第三方公开个人数据,那么数据控制者应予以负责[11]。同时第7款指出:数据控制者应当实施机制,以确保在有限时间内对个人数据删除进行确认或定期审查数据存储的必要性[12]。
132 例外情形
根据GDPR草案第17条第3款规定:(1)根据第80条规定,单纯新闻工作、文学、艺术作品表达目的的个人数据,应考虑个人数据保护权和言论自由而有所豁免;(2)根据第81条,公共卫生领域中公共利益的理由(以预防或职业医学、医疗诊断、提供护理或治疗或公共保健服务的管理为目的,这些数据由服从专业保密义务的专业卫生人员进行处理;或由同样服从成员国家法律或国家主管机构所指定的等效保密义务人员进行处理,属于公共医疗或公共利益的范畴);(3)根据第83条,为历史、统计和科学研究的目的。
133 数据控制者删除个人数据的免责情形
GDPR草案第4条还规定数据控制者在如下情况下也可以拒绝承担删除个人数据的责任:(1)个人数据的准确性与数据主体的情况相悖,数据控制者可通过一段时间核实数据的准确性;(2)数据控制者不再需要此个人数据,但需作为证据保存;(3)数据处理属于违法并且数据主体反对删除,要求以限制数据使用作为替代;(4)根据第18条第2款,数据主体要求将个人数据传输到另一个自动处理系统。
134 适合授予个人数据删除权的5种情形
2014年6月最新拟议的《一般数据保护条例》No11289/14(欧盟理事会版本)中第17条,被遗忘权和删除权中的最新版本将授予个人数据适合以下理由之一将获得毫不推迟的删除个人数据:(1)数据不再需要与他们被收集或其他方式处理;(2)数据主体处理撤回同意基于第6条第1款或第9条第2款,并且在数据处理的法律范畴内;(3)数据主体反对个人数据的处理没有压倒性的合法理由;(4)已非法处理的数据;(5)数据控制者必须遵守自己的法律义务删除数据[13]。endprint
观察欧盟现行的数据保护指令,信息主体所享有的删除权相当有限,单纯的是从信息主体自主权以及个人数据保护的原则出发,然而,在大数据时代,一旦散播个人信息于网络,个体将几乎失去控制该信息的能力。欧盟所提出的GDPR草案很明确的增强信息主体对于个人信息的控制能力,借由新增当事人删除的权力以及赋予信息控制者更多的义务,以解决大数据下的个人信息保护问题。面对旨在增强网络环境下个人信息安全的GDPR草案,各国针对GDPR草案的实施与制定纷纷予以响应。
2 各国对被遗忘权的应对及主张
针对欧盟委员会的GDPR草案,欧盟各国态度不一。英国官方持反对态度。英国政府于1998 年1月出台了新的数据保护清单,并制定了《1998年个人数据保护法》,适用至今。从法律文本分析,目前英国个人数据保护法律没有关于“被遗忘权”的内容。英国《1998年个人数据保护法》第14条规定“如果满足以下条件,法院可判令数据控制者纠正、阻隔、删除、粉碎以下个人数据……这些数据对于数据主体是不准确的;数据控制者拥有的包含有在法院看来是基于那些不准确的个人数据表达的意见的数据”。英国个人数据保护法规定的数据主体的权利,不包括对于真实、合法信息享有要求移除的权利。只有那些数据是“不准确的”,或者是基于这些“不准确的”数据表达的对于数据主体的评价时,法院才会支持数据主体要求更正、屏蔽、删除、销毁的请求[14]。
法国、德国和比利时,指出难以在社交媒介的数据上执行这些规定。此外,一些国家,如卢森堡、荷兰、葡萄牙,被遗忘权曾经与作为言论自由一部分的知情权有所博弈权衡[15]。
不同于被遗忘权在欧洲的蓬勃发展,该权利在以言论自由与出版自由的美国举步维艰。对于被遗忘权的前景,美国学者罗伯特认为,用户仅有权利删除自己发布的个人信息,才与美国宪法精神相符。2015年1月1日美国加利福尼亚州的“橡皮擦”法案正式实施。内容为要求Facebook、Twitter、Google等社交媒体允许未成年人擦除自己的上网痕迹,以避免未成年人因网络防范意识不足,日后将面临的诸多由于网络痕迹而涉及的隐私问题[16]。值得注意的是,这条法令仅适用于加利福尼亚州境内的未成年人,有且只有当未成年人自行在网络上发布的内容可以被删除,经由其他人发布的有关于自己的图片、文字信息则没有权利要求删除。即便如此,该法案仍是在个人信息保护与言论自由博弈中的一次显著胜利。
墨西哥宪法未有明确指出被遗忘权,但是在该国数据保护法律中的“撤销权”给予数据主体当察觉数据控制者不遵守墨西哥的法律、法规所指定的原则进行数据处理时可以提出申诉的可能性[17]。
在我国有学者认为随着互联网的发展,被遗忘权逐渐演变为数字遗忘权[18]。它产生的动因在于近年来计算机与信息技术的发展给个人信息安全保护带来的挑战。该权利不同于产生于报纸、期刊、广播、电视等传统媒介时代以及互联网初期阶段,归属隐私权范畴的传统遗忘权,而是属于信息自决权的范畴,其重点在于“删除”而非“遗忘”[19]。
3 我国被遗忘权的概念界定及法律地位
从“被遗忘权”法律确立的演化发展历程来看,受不同文化背景的影响,各国法律以及学者对被遗忘权的理解不尽相同。主张遗忘权的国家,考虑到大数据技术对个人隐私权的影响,尽可能将其概念泛化,等同于删除权;而主张信息自由的国家,则将被遗忘权限定在特定的范围内。笔者的观点如下:
31 被遗忘权与删除权是大数据时代公民的基本人权 大数据时代,网络正变为类似于我们大脑记录数据的一种集合。网络上的大量信息并未使人们记住他们所需的信息,反而是一些限制性的信息却容易被人们所记忆,甚至成为影响一个人特别是未成年人一生发展的重要制约因素。可以说“被遗忘权”与“删除权”是大数据时代公民的基本生存权与发展权。增设“被遗忘权”与“删除权”,有选择地对信息进行“遗忘”、“删除”,是增强数据主体对个人数据的控制力,保护公民基本人权的必要手段。
32 将“被遗忘权”作为“删除权”的特例
从欧盟的立法实现看,被遗忘权名为“遗忘”却旨在“删除”,逐渐演化为对“不恰当的,不相关的,已过时的”信息删除的权利。通过删除权,个人更有能力控制网络上的个人信息,一方面实践于个人信息的自决权;另一方面亦可维护被遗忘权的价值,个人隐私等人格权。与此同时,欧盟故意将被遗忘权的条款宽泛化、模糊化,其目的是为了更好地适应新技术的发展[20]。
从理论上讲,被遗忘权最初是用于保障犯罪受刑人员,尤其是青少年犯罪服役完毕后回归社会的利益。其意义在于,受刑人的犯罪事实,在其服役完毕后持续被揭露报道,无法被遗忘可能会对个人人格的发展带来阻碍。例如:受到社会排挤而无法回归社会;丧失回归社会后所建立的新形象等使个人难以自主地追求其人生。尤其就青少年而言,心智及辨别能力都尚未成熟,不能对未来予以负责。因此,个人过去的负面事件,不应该阻碍其未来的生活。因为负面事件容易使人遭受社会偏见,若个人时时被年少无知所犯下的过错所打扰,处处被人拒绝,会导致无法追求想要的人生,侵犯其人格尊严。因此,这样的被遗忘权并未与言论自由、媒体自由有着较大的冲突。
笔者认为应将“被遗忘权”作为“删除权”的特例。“被遗忘权”的主体应限制在具有民事行为能力与权力的范围内。
33 确立我国删除权与被遗忘权的法律地位
目前我国首个个人信息保护国家标准——《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《保护指南》)于2013年2月1日起实施。然而《保护指南》在第5项个人信息保护的删除阶段对行使数据删除权的条件规定较为简单,没有明确规定行使数据删除权的条件,使得涉及公共利益的新闻媒体、文学艺术、医疗健康领域的个人数据不受法律保护。涉及第三方复制、链接的个人数据副本问题在此示范文中也没有涉及。建议借鉴欧盟GDPR草案中的相关规定对其进行更为全面、准确的定义。笔者认为,应当对我国已有的删除权进行全面的构建,使其上升为一种公民权利,确立我国删除权与被遗忘权的法律地位。endprint
4 结 论
被遗忘权,系指删除信息的权利,权利诞生的根本在于提倡我们在高度依赖网络的时代,必须高度重视网络信息长久储存所带来的问题,也必须将隐含于其背后保护人格权的初衷铭记于心。网络信息长久存在的特性,削弱了人类社会中遗忘的价值。就此,提倡被遗忘权的目的在于预防长久存在的网络信息对个人带来不可预期的损害,透过删除信息的方式,确保在现今高度依赖大数据的时代,个人得以无所顾虑的使用网络,不用担心网络信息对个人未来生活带来的危害。
正如同大多数权利一样,删除权并不是单靠法律手段就能得以实施,法律的相对稳定性与信息技术日新月异的行业特点存在着难以调和的矛盾。在社会实践中,对于数据的控制者,需要借助技术手段、赏罚机制、市场压力等辅助手段得以更好地执行;而作为数据的拥有者,应遵守人格尊严原则的限制,不能违反法律法规的禁止性规定、不能违背社会公共利益和公序良俗。对此,我们更需要具有防范意识,不轻易透露个人隐私并学会对网络上的信息有所甄别,建设一个较为全面地将法律、市场、技术等各手段结合起来的机制从而更好地保障删除权得以实现。
参考文献
[1]Mantelero A.The EU Proposal for a General Data Protection Regulation and the Roots of the‘Right to be Forgotten[J].Computer Law & Security Review,2013,29:229-235.
[2]Walker R K.The Right to Be Forgotten[J].Hastings Law Journal,2012,64:257-285.
[3]Organisation for Economic Cooperation and Development(OECD).Guidelines Governing the Protection of Privacy and Transborder Flow of Personal Data[EB/OL].http:∥www.refworld.org/docid/3dde 56854.html,2015-02-22.
[4]个人数据保护——欧盟指令及成员国法律、经合组织指导方针[M].北京:法律出版社,2006.11.
[5]Directive No95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data,Official Journal of the European Communities,NoL281/31.
[6]百度百科.自媒体[EB/OL].http:∥baike.baidu.com/link?url=O7FfIFCiSTRsh1sWSFgF439n2Wml-ExXaypsb5EiMdP3HSU1 YBiZDgAobYqbLHlhleXRYu7Y4ED2fFTZSpfK,2015-07-06.
[7]任向东.简析德国个人数据保护制度——以《联邦德国数据保护法》为参照[J].黑龙江教育学院学报,2008,(9):94-97.
[8]徐一修.被遗忘权之研究[D].台北:世新大学,2013.
[9]杨立新,韩煦.被遗忘权的中国本土化及法律应用[J].法学适用,2015,(2):24-34.
[10]Commision Proposal for a Regulation of the European Parliament and of the Council,COM(2012)11final[EB/OL].http:∥ec.europa.eu/justice/data-protect/document/review2012/com201211en.pdf,2015-04-20.
[11]邵国松.“被遗忘权的权利”:个人信息保护的新问题及对策[J].南京社会科学,2013,(2):104-109.
[12]伍艳.论网络信息时代的“被遗忘权”——以欧盟个人数据保护改革为视角[J].图书馆理论与实践,2013,(11):4-9.
[13]Gilbert F.The Right of Erasure or Right to be Forgotten:What the Recent Laws,Cases,and Guidelines Mean for Global Companies[J].Internet Law,2015,18(8):13-20.
[14]李丹林.被遗忘权在英国:文化背景与价值启示[N].中国社会科学报,2014-12-03,(B01).
[15]Carson A.The Responsibility of Operationalizing the Right To Be Forgotten[EB/OL].https:∥privacyassociation.org/news/a/the-responsibility-of-operationalizing-the-right-to-be-forgotten,2015-04-30.
[16]Wikipedia.Right to be forgotten[DB/OL].http:∥en.wikipedia.org/wiki/Righttobe forgotten,2015-04-28.
[17]郑文明.个人信息保护与数字遗忘权[J].新闻与传播研究,2014,(5):25-40.
[18]郑远民,李志春.被遗忘权的概念分析[J].长春师范大学学报,2015,34(1):30-34.
[19]“多学科视野中的‘被遗忘权”研讨会在我校召开[EB/OL].http:∥sjc.cupl.edu.cn/xydt/2014-12/05/content8583423.htm,2015-05-04.
[20]Reding V.The EU Data Protection Reform 2012:Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age5[EB/OL].http:∥europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/12/26&format=PDF,2015-04-22.
(本文责任编辑:马 卓)endprint