被遗忘权的构成要素研究

刘雪斌，孟达华，葛昱

（吉林大学法学院，吉林长春130000）

被遗忘权的构成要素研究

刘雪斌，孟达华，葛昱

（吉林大学法学院，吉林长春130000）

被遗忘权是欧盟通过立法与判决确立的网络时代的新型权利，为大数据时代自然人自主决定个人信息提供了法律保护。然而欧盟被遗忘权存在权利客体指向不明确、义务主体过于广泛的缺陷。作为网络大国，我国在被遗忘权的本土化过程中，应借鉴个人信息权的成功经验，重新定义被遗忘权的客体，明确被遗忘权义务主体的范围，以期避免对言论自由与网络发展的不利影响。

被遗忘权；信息控制者；个人信息权

一、欧盟对被遗忘权的确认及其缺陷

（一）欧盟对被遗忘权的确认

1.欧盟对被遗忘权的司法确认

1998年，西班牙公民马里奥·考斯特加·冈萨雷斯（Mario Costeja Gonzalez）因拖欠社会保障债务，西班牙劳工与社会事务部强制拍卖了其不动产，拍卖公告由西班牙《先锋报》发布并以电子版的形式上传至互联网。2009年11月，冈萨雷斯发现在谷歌搜索引擎上以自己的名字为关键词进行搜索，检索到两条均指向1998年《先锋报》发布的有关自己财产被强制拍卖公告的链接。冈萨雷斯认为拍卖早在几年前就已结束，这些过时信息会使其声誉受到不良影响。冈萨雷斯先后向《先锋报》、谷歌西班牙公司、西班牙数据保护局申请删除与强制拍卖公告相关的数据链接。2010年7月30日，西班牙数据保护局裁定，谷歌西班牙公司与谷歌公司应采取必要措施删除相关链接。谷歌西班牙公司与谷歌公司不服该裁决，向西班牙国家高级法院提起诉讼，要求法院推翻西班牙数据保护局做出的上述裁决。西班牙国家高级法院接到该上诉后将该案提交至欧洲法院请求其做出预先裁决。2014年5月13日，欧洲法院对本案做出预先裁决，认为谷歌作为搜索引擎运营商，应被视为《欧洲数据保护指令》适用范围内的数据控制者，对其处理的第三方发布的带有个人数据的网页信息负有责任，并有义务将其消除[1]。欧洲法院对本案的判决，创造了被遗忘权的司法先例。

2.欧盟对被遗忘权的立法确认

根据欧盟《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR）第17条，被遗忘权是指数据主体从控制者处获得的删除与其有关的个人数据和避免这些个人数据进一步传播的权利，特别是当数据主体是儿童时[2]，并规定了该权利的行使条件。GDPR第17条第3款还规定了被遗忘权行使的例外。根据上述规定：

第一，被遗忘权的权利主体是数据主体，数据主体是指可以由网络上相关信息而识别的自然人。

第二，被遗忘权的客体是有关数据主体的、不适当的、不相关的、过分的信息。

第三，被遗忘权的义务主体是数据控制者，指单独或者与他人共同确定个人数据处理的目的、条件和方法的自然人或法人、政府机构或其他机构[3]。

第四，被遗忘权的适用情形：（1）有关数据主体的、不适当的、不相关的、过分的信息与数据收集和其他处理的目的无关；（2）数据主体撤回数据处理的同意时，或者同意的保留期限已满，而且处理数据没有其他合法依据；（3）数据主体反对处理其个人数据时[4]。

第五，被遗忘权适用的例外：数据控制者可基于为公共健康领域的公共利益、历史的、统计的和科学研究的目的而保留相关个人数据或为新闻的、艺术的或文学的表达所必须而保留相关数据。

（二）欧盟被遗忘权的缺陷

从上述判决与法条来看，被遗忘权在构成上仍存在一些问题。主要表现在如下三个方面：

第一，被遗忘权的客体指向不明确。无论是“不适当的、不相关的、过分的”信息还是“已被发布在网络上的，有关自身的不恰当的、过时的、继续保留会导致其社会评价降低的”信息[5]，其概念外延都是不确定的。且这些定义在日常生活中又不易于被社会一般人识别。被遗忘权的客体过于模糊，其结果是使被遗忘权与公众知情权甚至是言论自由产生了冲突。

第二，被遗忘权的义务主体过于广泛。因为大多数网络用户都很容易成为信息控制者。随着网络的发展，数据库不断扩大、诸多网络应用不断强化用户利用互联网分享信息的能力、截屏功能大量存在于具有浏览网络功能的应用中，被遗忘权指向的义务主体的愈加泛滥。以百度贴吧这个交互性突出的网络社交平台为例，百度公司、吧务①吧务并非百度公司的员工，是贴吧的自愿管理者，通常有数个。、楼主②每个帖子的开创者。都有权删除本贴中任何人发布的信息，信息发布者也可以删除自己发布的信息。由于上述四个主体都有权使信息公之于众或使该信息不在控制的范围内出现，上述四个主体都可以成为被遗忘权的义务主体。由是，一个不特定人在贴吧中创建了帖子，百度公司、吧务与楼主便可能成为被遗忘权指向的义务主体，一个不特定人在一个帖子中分享了信息，百度公司、吧务、楼主与信息发布者也可能成为被遗忘权指向的义务主体。同理，那些在自己的热门微博的评论中出现他人信息的网络大咖也可能因评论者的言论而成为被遗忘权指向的义务主体。

第三，被遗忘权具有要求信息控制方删除无关的、过时的个人信息的请求权能，而权利主体的被遗忘权也只能通过义务主体负担删除义务的方式来保护，这使被遗忘权义务主体的不确定性、被遗忘权客体指向不明确的危害大大增加。

由此看来，欧盟确立的被遗忘权事实上是一个权利主体可以将作为义务随意地加诸不确定的网络主体的权利。它能使网络主体在不知情、未作为的情况下负担主动的作为义务。显而易见，这样的被遗忘权真正实施，会使网络使用者人人自危，网络平台的交互性止步不前，而被遗忘权也会在不胜其烦的纠纷中形同虚设。

即便如此，设立被遗忘权也仍是必要的，欧盟通过立法和判决确立了被遗忘权是法律的进步，是立法者与司法者追赶迅速到来的大数据时代的重要步伐。被遗忘权赋予了网络普通用户保护用户信息的能力。大数据使人们获取信息的方式改变，也造成了网络存储信息的永久性，例如：网络用户遗留下的信息会被网络公司分析，网络用户发布的信息有可能被他人存储并再度公之于众。网络用户甚至非网络用户都有可能因为网络的无法遗忘而处于过去的阴影之下。确立被遗忘权是尝试保护普通网络用户使其拥有信息自主决定权的努力。

二、被遗忘权的主体

个人信息权也是一种因网络时代的到来而兴起的权利，但个人信息权被普遍接受，而被遗忘权却被众多争议所围绕，甚至有学者否认被遗忘权的成立，如Mayes认为，“我们不可能真正遗忘。被遗忘权仅是我们头脑中的臆造之物。被遗忘权意味着对社会的彻底退出，在其糟糕的伪装下，可能是反社会的、虚无主义的行为。其如果被实施，将意味着我们在这世界上的行为权利被阉割[6]。”众多发达国家也并未接受被遗忘权，如美国只有个别州通过了有限的保护被遗忘权的法案。笔者认为，借鉴个人信息权的构成，可以弥补被遗忘权构成的缺陷，使之更符合其设立目的。

通说认为，个人信息权是一种控制权，是一个框架权，有个人信息自决权、个人信息管理权、个人信息许可权、个人信息禁止权、个人信息收益权等[7]18。个人信息权的客体是个人信息，个人信息指可直接或间接识别本人的信息的总和，包括个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等方面[8]95。相对于被遗忘权，个人信息权的设立目的明确，即保护信息主体对于个人信息的人格利益，这种利益明确后可以被法律保护，而个人信息权的客体精确地描述了这种利益。而被遗忘权的设立目的是解决个人想“遗忘”与互联网不能“被遗忘”的矛盾，从而保护个人可以被遗忘的权利。因此，立法者想当然地将个人想遗忘的信息全部纳入被遗忘权的客体。然而，个人想遗忘哪些信息因人而异，具有较大的任意性，并不能作为设立被遗忘权的根本依据，何况在一些情况下，因自身行为不道德导致的后果究竟应持续多久再被遗忘是很难明确的。因此，由于被遗忘权的权利客体没有进行准确限定，不仅难以规范网络主体的行为，也容易使权利主体滥用权利，恣意要求他人删除信息来逃避一切对其不利的正当社会评价。

（一）被遗忘权的权利主体

被遗忘权的权利主体是数据主体，即指可以由互联网上存储的数据或互联网上发布的信息而识别的自然人。首先，数据主体的自然人身份必须可由该信息识别。比如用泛指的称呼“小王”、“老张”等描述事件的信息，即使该信息所描述的事件与某个自然人的行为相似甚至相同，该自然人也不能成为该信息的数据主体。其次，数据主体不包括法人与非法人组织，这些主体不具备相应的应受被遗忘权保护的人格利益。再次，除公众人物外，所有普通公民都无差别地享有被遗忘权，公众人物的被遗忘权则受到一定的限制。最后，由于网络的发展使普通人物可能一夜之间变成公众人物，因受关注而成为公众人物的普通民众就特定事件而言不受被遗忘权的保护。以叶良辰为例，其聊天记录曝光后迅速受到了大量网民的关注，百度贴吧叶良辰吧也在短短一天内关注人数突破二十万，而该聊天记录中诸多语句也为网民所普遍使用。显然仅就该聊天，如果叶良辰受到被遗忘权的保护，将是对言论自由的否定。即使因受关注而成为公众人物的普通民众就被关注事件不受被遗忘权的保护，也不影响事件主人公就该事件受隐私权的保护。

（二）被遗忘权的义务主体

欧盟确立的被遗忘权的义务主体为信息控制者，彭支援认为信息控制者指“除信息主体以外的处理个人信息的一切人，包括其他自然人、法人、政府以及其他机构、组织[9]。”前者的定义仅限于义务主体的身份，而后者的定义并未描述民事主体会因何种行为而成为被遗忘权的义务主体，显然，前者的定义并不明确而后者的定义使被遗忘权的义务主体过于广泛。相比之下，因何种行为侵犯个人信息权是明确的，不经权利主体许可而使用个人信息的民事主体才会因侵犯个人信息权而负担作为义务。因此，想要防止被遗忘权的义务主体过于广泛，除确定义务主体身份外，需要明确地描述侵犯被遗忘权的行为。被遗忘权的义务主体可定义为权利主体之外的将权利主体的、可以直接或间接识别本人的、描述不应由社会做出道德评价的事情的信息发布在网络上的其他民事主体。被遗忘权的义务主体并不是所有接触信息的人，更不是信息主体以外的所有信息处理者，而是信息的发布者或传播者。因为仅仅储存信息并不会构成对信息主体被遗忘权的侵犯，而只有将这些信息公之于众，使他人容易浏览的情况下，才能构成对信息主体被遗忘权的侵犯。

三、被遗忘权的客体

（一）个人信息权客体与被遗忘权客体的比较

个人信息权之所以能被界定为控制权，是因为个人信息权的客体是明确的、清晰的，即个人信息。个人信息的概念有明确的外延，在生活中社会一般人也很容易通过生活经验识别个人信息，因此，可以通过个人信息权限制信息接触者针对个人信息的行为，附着于个人信息权之上的法律之力是清晰的，范围是明确的。信息接触者可以明确地认识到何者为个人信息，何者不是个人信息，从而可以预见到自己针对信息的行为会有何种法律后果，在接受信息时可以明确地知道自己是否会因为处理特定的信息而侵犯个人信息权，知道自己是否会因此承担义务。

反观被遗忘权，其客体是“不适当的、不相关的、过分的信息”或“已被发布在网络上的，有关自身的，不恰当的、过时的、继续保留会导致其社会评价降低的信息”。这些概念的内涵和外延都不明确。权利是法律之力与特定利益的结合，特定利益的不确定会导致附着于其上的法律之力不确定。因此，被遗忘权的法律之力飘忽不定，使网络主体在行为时无法预见到自己的行为应该履行哪些义务，这也导致权利主体不知道通过被遗忘权能救济自己的何种利益，不仅会给网络使用者造成极大的困扰，而且将加重了信息控制者的运营成本。

得益于客体概念的明确且易于为社会一般人识别，数据控制者侵犯个人信息权的侵权行为有明显的主观上的违法意图，即使网络的交互性突出，社会公众也很容易以不侵犯个人信息权为自己的行为划定界限，个人信息权的义务主体因此具有确定性。而被遗忘权客体的指向不明确，社会公众较难认定自己的行为是否侵犯了被遗忘权，又随着网络交互性的突出，社会公众很容易成为信息控制者进而成为被遗忘权的义务主体。被遗忘权客体的模糊加剧了义务主体的不确定性。

（二）对被遗忘权客体的重构

如何界定被遗忘权的客体是建构被遗忘权的关键，根据前文分析，被遗忘权的客体必须具有概念明确、在日常生活中易于识别、不被遗忘会导致权利主体人格权益受损、不因个体差别而有较大任意性的特征，而不应试图将个人想遗忘的信息全部纳入被遗忘权的客体。

被遗忘权的客体可定义为可以直接或间接识别本人的、描述不应由社会做出道德评价的事情的信息。首先，被遗忘权保护的客体必须是可以直接或间接识别本人的信息，即仅根据网络上的相关信息就可以识别该信息主体的自然人身份。如前所述，用泛指的称呼“小王”、“老张”等描述的信息，即使该信息所描述的事件与某个自然人的行为相似甚至相同，该信息也不能由该自然人行使被遗忘权而被删除。其次，该信息描述的只能是不应由社会做出道德评价的事情，众所周知，社会价值观是由社会评价体现与彰显的，应由社会做出道德评价的事件不能因被遗忘权的行使而遗忘。“谷歌诉冈萨雷斯案”中，冈萨雷斯要求删除的是强制拍卖的公告，由于负担债务而被强制拍卖财务这类事件是中性的，不应由社会做出道德评价。最后，比较特殊的是未成年犯罪，未成年犯罪由于刑法规定而没有前科报告义务，因此未成年犯罪即使应由社会做出道德评价，也因对未成年的特殊保护而受被遗忘权的保护。这样，网络使用者就可以有意识避免对被遗忘权的侵犯，而不会无意识地违法，也能防止权利主体滥用权利，恣意要求他人删除信息来逃避一切对其不利的正当社会评价。

四、被遗忘权的内容

有学者认为被遗忘权的内容包括：“信息主体决定是否分享以及如何分享个人信息、信息主体可随时查询个人信息的处理理由、用途、范围、方式、期限等事项，一旦发现违法或违反约定情况，可随时请求更正或注销、删除个人信息[10]。”这种观点混淆了被遗忘权与个人信息权的区别。也有学者解读欧盟《一般数据保护条例》时认为，该条例规定的被遗忘权的行使条件有：数据主体撤回数据处理的同意时，或者同意的保留期限已满，而且处理数据没有其他合法依据；数据主体反对处理其个人数据时[11]。这两种情形并不是被遗忘权的行使条件，而是《一般数据保护条例》中删除权（right to erasure）的行使条件。被遗忘权仅具有请求他人删除信息的权利，即信息主体有权要求信息控制者删除因发布在网络上而易于被公众知晓的可以直接或间接识别权利主体本人的、描述不应由社会做出道德评价的事情的信息。

［1］［5］杨立新,韩煦.被遗忘权的中国本土化及法律适用［J］.法律适用,2015,（2）:24-34.

［2］郑远民,李志春.被遗忘权的概念分析［J］.长春师范大学学报,2015,34（1）:30-34.

［3］［4］［11］伍艳.论网络信息时代的“被遗忘权”—以欧盟个人数据保护改革为视角［J］.图书馆理论与实践,2013,（11）:4-9.

［6］Mayes T.We have no right to be forgotten online［N］.The Guardian,2011,3-18.

［7］刁胜先.个人信息网络侵权问题研究［M］.上海:上海三联书店,2013.

［8］齐爱民.拯救信息社会中的人格——个人信息保护法总论［M］.北京：北京大学出版社,2009.

［9］［10］彭支援.被遗忘权初探［J］.中北大学学报（社会科学版）,2014,30（1）:36-40.

（责任编辑 秦楼月）

D90

A

1673-2014（2016）04-0012-04

吉林大学校级大学生创新创业训练项目（2015220163）。

2016—03—18

刘雪斌（1977—），男，山西长治人，副教授，博士，主要从事法理学研究。