刘洪华
2015年北京市海淀区人民法院收到我国第一起明确提出要求保护被遗忘权的案件。原告任某某系人力资源管理、企事业管理等管理学领域的从业人员,2014年7月1日至11月26日曾在无锡陶氏生物科技有限公司从事过相关教育工作,后双方解除劳动关系。自2015年2月起,任某某陆续发现北京百度网讯科技有限公司(以下简称“百度公司”)的网站上有“陶氏教育任某某”、“无锡陶氏教育任某某”等字样的内容及链接,多次要求百度公司删除,未果,遂向法院起诉,请求判令百度公司删除相关内容,以保护其被遗忘权。任某某诉称,他早已结束了与陶氏教育的合作,现在与陶氏教育没有任何关系,他曾经在陶氏教育工作的经历不应当仍在网络上广为传播,应当被网络用户“遗忘”,况且陶氏教育在业界口碑不好,在外界颇受争议,在百度相关搜索上存留他与该企业的相关信息会误导公众,使他在就业和招生等方面遭遇困难并带来经济损失,如今这种损失已经产生,百度公司应当承担侵权责任。百度公司则认为,它只是提供了互联网搜索引擎服务,搜索结果是网民的搜索状况和互联网信息客观情况的体现,百度公司未做任何人为的调整和干预,具有技术中立性和正当合理性,况且原告主张的被遗忘权在我国没有明确的法律依据,国外法上所谓的被遗忘权主要指的是一些人生污点,本案并不适用。最终,法院认为,我国现行法中并无法定称谓为“被遗忘权”的权利类型,原告所主张的受损害的利益不能得到法律的支持,因而判决原告败诉。[注]参见北京市海淀区人民法院民事判决书(2015)海民初字第17417号。
由于个人工作经历信息的传播,任某某要为曾经的合作企业的不良声誉买单,承受个人良好业界声誉减损,就业、招生困难等后果。由于网络的巨大扩散效应和无限存储能力,该信息对任某某的负面影响将在时间上无限延长,在空间上无限扩大,其不利后果难以估量。这对任某某确实不公,其遭遇值得同情。但是,在我国现行法制背景下,本案的判决理由和结果无可厚非。我国目前的法律对原告的处境的改善无能为力。环顾全球,本案原告的遭遇并非我国独有的现象。大数据时代“网络只能记住,不能忘记”已经促使欧盟通过了被遗忘权立法。今天的欧洲公民已经拥有一项要求包括搜索引擎在内的数据控制者删除与之相关的网络个人信息的法定权利。然而,欧盟被遗忘权立法并非一帆风顺,在网络全球化的背景下考察欧盟立法,有利于思考在大数据时代我国应该如何完善个人信息保护法律制度。
互联网和大数据将人类社会带入一个信息传播速度空前快、传播范围空前广、传播内容不受时空限制的网络传媒时代。社交网络、电子商务和移动通信等互联网服务在给人们带来无限便利的同时,也带来了无论巨细、无论私密与公开的个人信息大量暴露于网络且迅速扩散的巨大风险。人们感受到来自网络的巨大威胁,寄希望于法律能更有力地保护个人权利。2009年6月至12月,欧盟对1995年《数据保护指令》法律框架的有效性进行公开调研,结果证实,人们普遍期待立法能在个人数据保护方面提供更有力的保护措施。2010年,欧委会在《欧盟个人数据保护综合治理方案》的报告中指出,科技的飞速发展和全球化,已经深刻地改变了我们周围的世界。各种社交网站兴起,人们即时分享的信息瞬间传遍全球,云计算技术使人们可能对存储于云端的个人信息失控,收集个人数据的方式变得越来越复杂并不容易被发现,个人控制本人网络数据的权利被大大削弱,个人查阅、修改和删除网络数据的权利难以保障,这些都给个人数据的保护带来了新的挑战,新的网络环境下赋予个人被遗忘权成为必要。[注]See EC Communication to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions. A Comprehensive Approach on Personal Data Protection in the European Union. Brussels, 4.11.2010,COM(2010) 609 final, pp.1—8.
2012年,欧盟在《一般数据保护条例》(General Data Protection Regulation)草案中创设了被遗忘权制度。法案通过之前,鉴于实践中解决个人信息保护新问题的迫切需要,欧盟法院于2014年5月在“谷歌西班牙分部和谷歌公司诉西班牙数据保护局和马里奥·科斯特加·冈萨雷斯案”(Google Spain SL, Google Inc. v. Agencia Espaola de Protección de Datos, Mario Costeja González)(以下简称“谷歌诉冈萨雷斯案”)中以判例形式确立了司法对信息主体被遗忘权的保护。本案中法院判决谷歌删除其索引的西班牙劳动与社会事务部授权《先锋报》(La Vanguardia)于1998年1月19日和3月9日发表的两篇涉及强制拍卖冈萨雷斯的财产的公告的链接。尽管涉案公告是由权威机关发布且内容真实,但是法院指出,并非只有不准确的数据才是违背个人数据保护法的数据,即使在收集之初是符合法律规定的数据,随着时间的推移,也可能变成不准确、不相关或过分的数据,过时的或超过保留期限的数据也应当删除。[注]See Google Spain, 2014 E.C.R. C—131/12.该裁决以判例形式认可了个人对关涉本人的过去的真实信息的删除权,积极推动了被遗忘权最终在立法上的确立。经过四年的立法酝酿,欧盟《一般数据保护条例》于2016年4月获立法通过,其中第17条确立了被遗忘权在个人数据保护法上的地位。
被遗忘权是什么?是如我国被遗忘权第一案中被告提及的“被遗忘权主要与个人的人生污点相关”,还是如同谷歌诉冈萨雷斯案所确立的被遗忘权是关涉“不恰当(inadequate)、不相关(irrelevant)、已过时(not kept up to date)的信息”?查阅欧盟被遗忘权的法条,我们并未找到这些熟悉的字眼,欧盟构建了一个界定宽泛的被遗忘权。那么欧盟立法上的被遗忘权究竟包括哪些内容?被遗忘权在欧盟《一般数据保护条例》第17条中被表述为:“删除权(被遗忘权)”,该条共有三款规定了被遗忘权的内容。
第一款从正面规定了被遗忘权的权利范围。本款列举了数据主体有权要求数据控制者删除数据的六种情形,包括:第一,根据数据收集或处理的目的,数据不再具有必要性;第二,数据主体撤回对数据处理的同意,且数据处理没有其他合法依据;第三,数据主体依法行使反对权;第四,个人数据被非法处理;第五,依据欧盟法律或所属成员国法律规定的义务,数据必须删除的;第六,因向未成年人提供信息服务而收集到的未成年人的信息。本款特别指出,当上述法定情形出现时,数据主体有权要求数据控制者删除相关数据,数据控制者有义务不过分延迟地删除数据。
第二款强化了数据控制者的删除义务。本款与第一款指出的数据控制者的删除义务相呼应,进一步明确,当数据收集者(原始控制者)已将被收集的数据在网络传播的,在技术可行、成本合理的情形下,该原始控制者有义务采取合理措施,包括技术手段通知其他数据控制者删除相关数据的链接、复制件或副本。
第三款从反面规定了行使被遗忘权的限制条件,以缓和被遗忘权与其他基本权利的冲突。本款列举规定了五种数据删除的例外情形,包括:第一,行使表达自由和信息自由权;第二,为遵守欧盟法律或所属成员国法律规定的义务或因公共利益执行的任务或履行官方授权执行的任务;第三,因公共卫生领域的公共利益的原因依法需对涉及个人种族或民族身份、政治意见、宗教或哲学信仰、基因信息、有关健康的数据、个人性生活或性取向的数据等特殊类型的个人数据进行处理的;第四,为公共利益之存档目的、科学或历史研究目的或统计目的依法处理数据,而致使删除权不可能实施或其实施会对上述目的的实现造成严重损害的;第五,为提起法律诉讼、行使诉讼权或辩护权之需。
可见,从立法形式而言,第17条从正面到反面完整规定了被遗忘权制度,但是,就内容而言,第17条除条文标题中出现了“被遗忘权”字样,条文内容并无“被遗忘权”或“被遗忘”等标志性文字的直接表述。有观点认为,欧盟法其实仅有被遗忘权之名而无被遗忘权之实,并认为条例中的被遗忘权制度与过去的个人数据删除制度相比并未增加实质性的内容。是否果真如此?笔者不以为然。尽管从法条内容表述上,欧盟仅仅通过概括性的列举规定赋予了个人一个积极主动的和范围宽泛的个人数据删除权,但在实质上,立法通过在条文名称中明示“被遗忘权”的标题而使数据删除增添了“遗忘”与“被遗忘”的内涵。因为大数据时代,人类自然遗忘功能需要通过删除不断重现的网络数据来实现。换句话说,第17条实质构建了一个以删除为手段以被遗忘为内容的蕴含恢复人类遗忘功能意旨的被遗忘权。恢复人类遗忘功能,既包括恢复权利人对自己的个人信息的遗忘功能,即不被反复重现的个人信息侵扰,也包括使他人遗忘权利人的个人信息的功能,即他人不可以无限制地查询权利人的个人信息。从这层涵义上而言,我国被遗忘权第一案被告所言的“人生污点”以及欧盟判例认可的删除内容均属于被遗忘权的规制范畴。
被遗忘权是因应大数据时代个人网络信息可被无限量存储、跨越时空的反复重现和利用,以至于使个人反复遭受过去事件的困扰,造成个人社会评价下降、名誉减损以及精神痛苦等不利后果而创设的。其最大“亮点”在于“遗忘”,网络信息的“遗忘”通过信息“删除”来实现。相比传统的信息删除制度,被遗忘权赋予信息主体在个人信息删除上更大的自主性,包含“删除本人的过去的和过时的网络信息,使信息主体摆脱过去事件的困扰,开始新的生活”的内容,强调了对个人信息权的防御性保护的一面。但是,在以信息传播为特征的互联网时代,欧盟将这种保护扩展到每一个人,也带来了权利扩张与行为自由以及此权利与彼权利的冲突的问题,这些问题成为反对欧盟被遗忘权立法的理由。
实践中,被遗忘权深受欧洲民众的支持,75%的欧洲公民支持被遗忘权立法。[注]See European Commission — Press release. Data Protection: Europeans Share Data Online, But Privacy Concerns Remain—New Survey. Brussels, Jun.16,2011[2016—01—08]. http://europa.eu/rapid/press—release_IP—11—742_en.htm.但是,反对和质疑立法的声音也很大。支持者认为,大数据时代,个人数据的微小碎片都可能被收集处理,形成危害个人的信息,被遗忘权赋予个人对本人信息更多的控制权,是从保护人权的角度出发,重塑规范网络的法律,是在言论自由与个人权利保护之间寻求新的平衡的立法需求的产物。反对者则认为,被遗忘权可能导致网络信息审查、妨害言论自由并使网络企业背上沉重的经济负担,进而阻碍网络经济发展。
欧盟被遗忘权制度将“导致网络审查,妨害网络时代的言论自由,并使互联网企业背负沉重的负担从而阻碍网络经济发展”成为反对被遗忘权立法的主要理由。根据反对者的观点,由于被遗忘权之数据删除的实现通常是由数据主体直接向数据控制者提出申请而启动,鉴于法条内容的概括性,“大量的权力将实际掌握在数据控制者手中” 。[注]See Emily Adams Shoor. Narrowing the Right to Be Forgotten: Why the European Union Needs to Amend the Proposed Data Protection Regulation,Brooklyn Journal of International Law,2014, vol.39, p.505.尽管第17条第三款规定了数据删除的例外,但是立法并未为数据控制者提供一个如何判定某既定数据是否符合上述例外的明确标准,实践中也没有相关指导性意见,即使谷歌诉冈萨雷斯案确立的“不确切的、不相关的、过时的”删除标准仍然具有较大的模糊性。实践中判定这些因素的负担落在数据控制者身上,而数据控制者在收到被遗忘权请求后,如何判定接受哪些删除请求,拒绝哪些删除请求,基本取决于自己对被申请删除信息的审查和对被遗忘权法条的理解。如此,则被遗忘权制度运行的后果是网络信息的控制者,如谷歌等公司实际上充当了被遗忘内容的判断者、决定者和信息被遗忘的执行者,这与传统的互联网立法为了保障人们在网络世界的言论自由和减轻互联网企业的负担而特别豁免网络服务商对网络用户上传的信息的审查责任相违背。
对网络服务商科以被遗忘权义务不仅将迫使网络服务商建立起组织庞大、成本极高的信息审查机构,也将造成对互联网上的信息传输进行趋于严格管制的后果。信息网络传播时代,互联网在提高公众获取新闻、促进信息分享和传播上发挥着重要的作用。言论自由所保护的不仅仅是“言论”本身,也保护“言论”的传递方式,任何对“言论”传递方式的限制必将限制人们接收和传递信息的权利,反过来直接影响人们发表言论的能力。搜索引擎帮助人们高效寻找信息,如果人们在网上发布信息,他们的信息因被删除而不能被找到或因被从搜索列表中删除而难以被找到,则他们自由传递信息的权利和他人自由接收信息的权利均将受限制,言论自由将失去根基。“言论自由不是能够在真空中表达自己,而是能够将自己表达的信息传递给那些想要听的人”。[注]See Ignacio Cofone. Google v. Spain: A Right to be Forgotten? Chicago—Kent Journal of International and Comparative Law, vol.15,2015,p.9.一个自由和公开的大众媒介使公民能够讨论和分享有关社会的信息,如果网络上的内容变得难以被搜索,这将损害言论自由并干扰人们的自然交流,被遗忘权将“否认可能的发言者决定如何说和如何想的能力,否认可能的听众获取想要的信息形成自己的观点和思想的欲望。”[注]Robert G. Larson III. Forgetting the First Amendment: How Obscurity—Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech, Communication Law & Policy, vol.18,2013, p.114.实践中,谷歌诉冈萨雷斯案判决后,为了遵守欧盟立法,谷歌组建了庞大的信息审核团队处理网络信息被遗忘事宜。但是,作为信息发表中介,谷歌在履行被遗忘权义务和尊重信息发布者的言论自由之间陷入进退两难的境地,谷歌应申请删除链接的行为被指侵犯新闻自由,遭致多家媒体的联合抵制。[注]资讯:《选择媒体还是用户————谷歌再次陷入进退两难境地》,载《信息与电脑》(理论版)2014年第6期。依据《一般数据保护条例》的规定,违反被遗忘权义务的企业或个人将被科以高额罚款,[注]《一般数据保护条例》第83条第5项(b)规定违反被遗忘权义务的个人将承担高达2千万欧元的行政罚款,如果违法者是企业的,将承担高达该企业上一财政年度全球年营业额4%的罚款,前两种罚款额以较高者为准。这将促使企业为避免惩罚而在删除请求的审查上倾向于鼓励删除,从而导致对言论自由的寒蝉效应。[注]同前引[5], 第507—508页。网络内容的去或留成为数据控制者审查网络的结果,“被遗忘权可能导致一个黑暗的互联网时代” 。[注]See Lawrence Siry. Forget Me, Forget Me Not: Reconciling Two Different Paradigms of the Right to Be Forgotten. Kentucky Law Journal, vol.103, 2014, p.343.
上述反对被遗忘权立法的理由,可以归结为一个问题的几个方面。网络审查是妨害言论自由的手段,而妨害言论自由和增加互联网企业负担(从而阻碍互联网经济发展)则是网络审查的结果。由于美国是反对欧盟被遗忘权立法的主要发声国,欧、美法制传统的差异和网络法制与政策导向上的差异成为学界考察欧盟被遗忘权立法争议的主要视角。美国作为网络经济最发达的国家对于早期的全球网络法制的形成具有重要影响,大数据时代,欧盟个人数据保护法改革欲重树世界个人数据保护法标准,传统与创新、不同理念与政策导向差异的冲突在所难免,但是笔者认为,透过这些争议把握国际立法趋势才是重点。
诚然,作为美国宪法第一修正案规定的权利,言论自由在美国具有至高地位,相较于其他权利,言论自由权通常受到优先保护。互联网出现后,为保障网络上的言论自由,美国1996年《通讯正当行为法案》第230条特别规定网络服务提供者无需对网络用户利用其提供的网络平台发表的言论承担侵权责任。该规定一次性解决了被遗忘权立法中争议的“网络审查、言论自由和节省互联网企业运营成本”几个问题,而被遗忘权立法恰恰是对美国这项既定法律立法理念的违反。更有甚者,美国的一系列判例确立起“具有新闻价值的真实事件受新闻自由保护”的原则。美国最高法院在一系列判决中甚至表示:“即使该事件的公开可能使事件的当事人陷入尴尬或对其造成损害,如果该事件是具有新闻价值的真实事件也应该受新闻自由保护。”[注]美国最高法院在Florida Star v. B.J.F., 491 U.S. 524, 532 (1989),Smith v. DailyMail Publishing Co., 443 U.S. 97 (1979),Oklahoma Publishing Co. v. District Court,430 U.S. 308 (1977),Cox Broad. v. Cohn, 420 U.S. 469 (1975)等案件的判决中均表达了此种观点。See Steven C. Bennett. The Right to Be Forgotten: Reconciling EU And Us Perspectives. Berkeley Journal of International Law, vol.30,2012,p.170.这与被遗忘权制度确立的即使是真实合法的信息也可以要求删除的理念不兼容。因此,欧盟式的被遗忘权在美国通常被认为与言论自由相抵触而无法被接受。美国学者认为“被遗忘权将是未来十年对网络言论自由的最大威胁,如果不对被遗忘权进行更具限制性的界定,它可能会在欧洲和美国之间引发关于如何平衡隐私和言论自由理念的巨大冲突,导致一个更不开放的互联网”。[注]See Jeffrey Rosen. The Right to Be Forgotten. Stanford Law Review Online, vol.64,2012,p.88.
但是,欧盟与美国有关被遗忘权的立法理念并非像表面的争议那么大。作为民主的基石,言论自由在欧洲也是高度受重视的个人基本权利。尽管随着网络时代的来临,个人数据保护权(the right to the protection of personal data)在欧洲被提升为欧洲公民的基本权利,[注]《欧盟基本权利宪章》第8条明确规定人人享有个人数据受保护权。被遗忘权因此进入基本权利行列,但是在被遗忘权立法过程中欧盟一再强调“被遗忘权不是一个绝对的权利,不可能高至完全删除历史,也不是一种应该优先于言论自由或媒体自由的权利”,[注]Vivian Reding. The EU Data Protection Reform 2012: Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age. speech before Innovation Conference Digital, Life, Design, Munich, Jan.22,2012 [2015—11—14]. http://europa.eu/rapid/pressrelease_ SPEECH—12—26_en.htm.并且立法上特别将言论自由作为行使被遗忘权的例外以避免两种基本权利之间可能发生的冲突。而在美国,人们的被遗忘需求也日益得到重视。2012年美国政府公布《互联网世界消费者数据隐私:全球数字经济隐私保护与促进革新框架书》,其中《消费者隐私权法案》中规定了类似于欧盟的被遗忘权制度。[注]李明:《大数据时代美国的隐私权保护制度》,载《互联网金融与法律》2014年第9期。2013年9月,加利福尼亚州通过的“橡皮擦法案”(加利福尼亚州参议院法案第568号)第22章“数字世界中加利福尼亚州未成年人的隐私保护”第22581条共六款规定了未成年人的被遗忘权。[注]Senate Bill No. 568, Section 1,Chapter 22.1,22581.美国联邦立法层面,2015年参议员Edward Markey提出修订1998年《儿童网络隐私保护法案》的“不跟踪孩子法案”(Do Not Track Kids Act)的建议,主张构建一般性的未成年人被遗忘权制度。[注]See Michael L. Rustad & Sanna Kulevska. Reconceptualizing the Right to Be Forgotten to Enable Transatlantic Data Flow. Harvard Journal of Law & Technology,vol.28,2015, p.354.个人数据保护实践层面,一般性的被遗忘权也并非得不到保护。一方面,“真实的新闻事件受新闻自由的保护”的原则本身有例外,即如果法院认为当事人的隐私权保护(被遗忘权保护)诉求具有更高的社会价值或被合法获取的当事人的信息被用于不正当的目的,法院会支持当事人的诉求;[注]例如在Melvin v. Reid案中,法院认为,使堕落者康复和使罪犯受改造是当前社会和刑事管理制度的主要目标,本案中被告虽然合法获取了原告的个人信息,但是被告使用原告的真实姓名侵犯了原告获得康复的权利。参见:Melvin v. Reid, 297, 91—93. (Cal. Dist. Ct. App. 1931). 又如在Nixon v. Warner Communications, Inc.案中,美国最高法院指出,公众享有查阅和复制公共记录的权利,但是法院必须进行监督,防止信息被用于不正当的目的,例如满足私人怨恨或促进公众丑闻。参见:Nixon v. Warner Communications, Inc.,435 U.S. 589, 598 (1978).另一方面,目前,美国企业在个人被遗忘权的保护上采取了更灵活,在一定程度上而言甚至是更有效的方法。欧盟大张旗鼓的提出对被遗忘权的立法后,为规避被遗忘权制度的执法风险,美国的互联网企业着手改进服务,采取一系列“软”措施以缓解和抵消被遗忘权制度将给企业和言论自由带来的冲击。这些措施包括:社交网络平台运营者为用户设置删除按钮,使用户在发帖后能及时实现后悔权,第一时间删除信息;网络运营者为用户提供加密技术,使用户不希望公开的网络信息不让他人查阅;设定数据到期日期,让用户发布的网络信息能在指定期限到期后自动删除;提供语境化技术服务,使网络言论的相关当事人能够对有争议的言论进行充分对话和阐释,化解纠纷;提供网络声誉保险计划等等。这些措施实质上基本能实现欧盟被遗忘权制度欲实现的规制目的。
可见,由欧盟启动的构建一个全面的被遗忘权制度的立法尽管存在争议,但是,大数据时代从立法上构建某种形式的被遗忘权已成为共识,或许正如学者所言:“被遗忘权在理论上解决了数字时代的一个紧迫问题”[注]同前引[13],第88页。,“在理论层面被遗忘权是适当的和合理的”。[注]Problems with the EU’s proposed “right to be forgotten”. Information Security,Nov. 20, 2012[2016—06—03]. http://www.infosecurity—magazine.com/view/29412/problems—with—the—eus—proposed—right—to—beforgotten.从本质上而言,美国与欧盟关于被遗忘权的立法之争更多的是国家利益层面的争议。美国强烈反对欧盟式的被遗忘权立法,互联网经济竞争是主要原因。美国是大数据经济最发达的国家,拥有全球影响力的互联网公司基本来自于美国,而欧洲则屈指可数。被遗忘权制度因对互联网企业科以更多的个人信息保护法定义务而必将迫使企业在个人信息保护上投入更多的精力和金钱。因此,针对被遗忘权立法,2012年欧盟《一般数据保护条例》草案公布后,以Google、Amazon和Facebook为主的美国互联网巨头组成庞大的游说团,在欧洲议会总部所在地展开旷日持久的游说活动,希望草案内容得以修改。[注]See Matt Warman.EU Fights ‘Fierce Lobbying’ to Devise Data Privacy Law. TELEGRAPH, Feb.9,2012[2016—06—30]. http://www.telegraph.co.uk/technology/internet/9069933/EU—fights—fierce—lobbying—to—devise—data—privacy—law.html.相较于欧洲,美国把保护和促进大数据技术发展以维持美国的领先地位放在更为重要的位置,因此在被遗忘权立法上倾向于反对和保守。而欧盟立法则少了这方面的顾虑和羁绊,甚至,被遗忘权立法是欧盟牵制美国在互联网经济方面霸权主义的手段。[注]张立翘:《被遗忘权制度框架及引入中国的可行性》,载《互联网金融与法律》2015年第2期。大数据时代是一个人类能够驾驭巨量数据的时代,人类经济发展面临前所未有的机遇,但是经济发展应该服务于人之发展,为经济利益而牺牲个人保护,无疑是本末倒置,必将得不偿失。欧盟通过被遗忘权制度强化个人权利保护的立场值得支持。
欧盟个人数据保护法以其立法的系统性和完备性著称于世,堪称世界个人数据保护法之楷模。2012年欧盟启动修订1995年《数据保护指令》议程时,欧委会发言人指出,欧盟的数据保护法改革要让欧洲成为数字时代个人数据保护标准的制定者。[注]同前引[15]。被遗忘权制度是欧盟重塑网络规则的一个标杆性制度,从立法模式而言,追求内容的系统性和形式的完备性;从适用对象而言,被遗忘权制度可能适用于全球任何企业。[注]欧盟《一般数据保护条例》第3条规定:1.本条例适用于不论数据处理行为是否发生在欧盟境内,但是营业地位于欧盟境内的数据控制者或数据处理者经营活动中发生的个人数据处理。2.当数据处理涉及以下情形时,本条例适用于不在欧盟境内的数据控制者或数据处理者对欧盟境内的数据主体的个人数据的处理:(a)向欧盟境内的数据主体提供商品或服务,不论数据主体是否需要付费;或(b)对发生在欧盟境内的行为的监测。3.本条例适用于营业地不在欧盟境内,但是通过国际公法适用成员国法律的数据处理者的个人数据处理。为此,美国和欧洲的互联网企业都在为符合欧盟新的个人数据保护法的要求和标准而进行技术改革和经营模式转型。美国的Google和Facebook等全球市场占有率极高的企业的改革必将引领本行业企业的全面改革,新兴的企业想要在竞争中立于不败之地则从一开始就要将个人信息保护的标准纳入企业创设的规划之中,经规划的隐私(Privacy by Design)和再规划的隐私(Privacy by ReDesign)正在成为全球互联网企业的发展模式。我国互联网企业发展非常快,已经开始从国内走向国际,但是,在互联网和大数据时代,我国企业要在激烈的国际竞争中立于不败之地,必须遵循国际立法趋势,坚持一个高标准的个人信息保护理念。因此,在个人信息保护法的制度创设上我国应抛弃成见,借鉴欧盟的立法理念,同时发挥立法的后发优势,构建一个更能平衡个人信息保护、信息传播自由和网络经济发展需求的被遗忘权制度。笔者认为,在我国当前的个人信息保护立法背景下,欧盟被遗忘权立法至少给我们如下启示:
第一,我国应尽快出台《个人信息保护法》。被遗忘权是个人信息保护法上的制度,个人信息保护法的理念和原则是其产生的前提和基础。被遗忘权制度与个人信息保护法的其他制度相辅相成,缺乏一部系统的个人信息保护法,一个明确的和具有可执行性的被遗忘权制度将成为空想。从欧盟《一般数据保护条例》第17条第一款规定的数据被遗忘的六种情形可见,数据不再具有必要性、数据主体撤回对数据处理的同意、数据主体依法行使反对权以及数据被非法处理等情形的判定均是以存在一个系统的个人信息保护法律体系为前提的,否则这些标准将成为不可判定的抽象标准而不具有现实可执行性。我国应尽快出台《个人信息保护法》,明确个人信息保护的基本原则和基本制度,这是构建完善的被遗忘权制度的前提和基础。
第二,个人应该享有一定范围内的被遗忘权。不可忽视,大数据时代数字化记忆已经颠覆了人脑的遗忘能力,若不做特别的技术处理,发布在网络上的信息可以永久地被获取,曾经犯错的人们将无法摆脱过去,开始新的生活。学者所描述的“互联网是一个残酷的历史学家,它将人们过去的劣迹刻成不可磨灭的‘数字红字’,使他们永远受指责”[注]Daniel J. Solove. The Future of Reputation: Gossip, Rumor, and Privacy on the Internet,Social Science Electronic Publishing,vol. 83, Issue 3,2007,pp.982—992.的情景将在大数据时代成为现实,这与现代社会推崇的原谅和宽恕精神不相符。赋予人们被遗忘权是以人为本的法律和政策精神的体现。笔者认为,在我国未来的《个人信息保护法》中应该有一项实质意义的被遗忘权制度(或许我国并不采用被遗忘权这个名称),信息被遗忘的目的在于防止个人信息被不适当的过度传播可能给信息主体带来的侵害。鉴于我国与欧盟在个人信息保护方面的不同立法背景和实践背景,在被遗忘权的具体内容上应立足本国的立法需求,在立法形式上可以采用概括加列举的方式以兼顾可操作性和应对社会发展之需。
第三,处理好网络信息删除与网络言论自由的关系。我国应将网络言论所涉及的领域区分为公共领域和私人领域,在信息删除上采取不同的处理原则。总的原则是:强化涉及公共领域的言论(信息)自由,强化涉及私人领域的个人权利(信息删除权)保护。首先,应强化公共领域中的言论自由,此处所谓“公共领域”包括涉及公共事件、公共官员、公众人物的言论领域。这些领域的言论关涉公众知情权,应该尽量满足言论自由之需,不应该进行过多限制。此处“公共”指与社会或民众相关之意,因此,关涉这些领域的言论一般也限于与社会或民众相关之事件。例如,并非所有针对公共官员的言论均享有自由发表不受禁止的待遇,如果纯属与公共职位没有任何牵连的公共官员的私人生活事务,则不属于涉及言论自由的公共领域。公众人物通常指著名的或已经获得广泛名誉或名声的人。美国将公众人物进一步细分为普通公众人物(General public figures)和有限公众人物(Limited public figures)。[注]美国法院在Gertz v. Robert Welch, Inc.案中,将公众人物区分为一般目的的公众人物(general purpose public figures)和有限目的的公众人物(limited purpose public figures)或称一般公众人物和受限制的公众人物。 参见:Gertz v. Robert Welch, Inc.,418 U.S. 323 (1974),352.有限公众人物是受某公共事件牵连而广为人知的公众人物。相比之下,普通公众人物具有“普遍的名誉或名声,有关他的言论受到的限制应该更少,而有限公众人物随着被公众关注的事件的平息,应该逐渐淡出人们记忆,相关事件不应被持续和扩大炒作,以保护当事人个人权利。笔者认为这一分类值得借鉴。总体而言,公共领域应强化媒体的言论自由,除非所发表的言论具有实际恶意,例如对公共事件故意做不实报道,或对公共官员故意贬损诬陷等等,否则不应轻易追究发言者的责任;其次,应强化私人领域中的个人权利保护,“私人领域”指与公众生活和公共事务不相关的普通个人的私人生活、私人事务、私人信息等。我国相关法律应强化对个人信息的保护,非法散布他人隐私信息、盗用或滥用他人信息的,除数据主体享有信息删除权外,违法者还应承担相应的侵权责任。
第四,应加强对互联网企业的引导和规制。如前所述,欧盟个人信息保护法改革已经带动了全球网络治理格局的变革。以欧盟被遗忘权为代表的个人信息保护制度对个人权利保护的强化,带动了互联网企业为消减被遗忘权制度适用带来的经济负担和负面影响而预防性地采取一系列“软”措施,避免被动的被遗忘权制度的适用。个人信息保护与个人信息的利用既相互矛盾,又相互依存,在大数据时代,这种关系更加突出。个人信息的人格性,使得对个人信息的利用一旦给个人造成伤害则难以甚至无法弥补,而对个人信息的过度保护,又不可避免地会削弱信息时代企业科技创新的基础和活力。因此,借鉴国际经验,加强对我国互联网企业的规制,通过立法或行业自律,要求新建的互联网企业或新开发的互联网系统、软件或产品等必须做好个人信息保护的技术设计和措施,即贯彻经规划的隐私理念。对于已经在运行的互联网企业,在我国构建全面的网络治理体系的过程中,要求它们在个人信息保护方面进行技术手段升级、经营模式改革,即贯彻再规划的隐私理念。强化对互联网企业的规制,有利于在个人信息利用中形成积极、主动的个人信息保护模式,有利于我国互联网企业走向国际和在国际竞争中处于优势,也有利于在我国形成良好的个人信息保护生态系统。
回归我国首例被遗忘权案,法院未支持原告的诉求,从更深层次而言,是法院对争议的利益进行衡量的结果。法院在判决理由中阐释了两个关键性的考量因素。其一,百度公司的“相关搜索”属于技术中立行为,百度公司对信息的索引没有进行任何的人为干预,百度公司无实质性的侵权目的。其二,原告请求删除的信息关涉他人知情权问题,法院认为本案中公众知情权应优先于原告所谓的被遗忘权。这两个问题其实也是欧盟被遗忘权立法中争议的问题。在我国现行法背景下,本案判决理由和结果无可厚非。首先,在我国现行法的“通知—删除”制度下,信息控制者的信息删除义务以存在信息侵权为前提,因此百度公司没有删除信息的义务;其次,作为从事商业教育事业的原告,公众对其相关经营信息的知情权应予以优先保护。但是,该案的判决思维无法回应大数据背景下个人信息过度传播对个人权利保护的新威胁。所谓量变引起质变,面对大数据时代巨量信息传播趋势,倘若仍恪守网络传播中介的责任和义务以其行为是否中立为标准,则难以一贯地体现公平;大数据时代,若仍然局限于我国侵权法构建的“通知—删除”式的信息删除义务,则无法满足个人信息权利保护之需。被遗忘权制度正是对网络中介责任和义务制度以及传统的“通知—删除”制度在互联网新发展背景下的局限性的完善,值得我国借鉴。但是,被遗忘权不是一项可以任意删除网络信息的权利,鉴于个人信息的公共性特性,被遗忘权除了要受法律规定的严格限制还要受公共政策和公共利益需求的限制,适用中必须进行利益衡量。因此,即使在被遗忘权制度下,因本案原告从事商业性教育工作,公众对其真实的与原告目前的工作内容相关的工作经历有知情权,原告不能仅仅因为该信息具有负面性影响而要求删除。但是本案也有一个潜在问题,即网络所传播的信息将原告与陶氏企业捆绑,会造成公众误解,仅仅因为陶氏企业的不良声誉而致使原告声誉下降对原告不公平。笔者认为,除了法律措施,非法律手段(技术手段)对个人信息的保护同样非常重要。针对本案,美国企业的“软”措施中的提供语境化技术服务能为困扰原告的问题找到出路。这需要互联网中介,如本案中的百度公司,为删除申请人开通语境化通道服务,使之能对信息内容作出阐释和申辩,消除公众误解。但是企业能否积极作为提供这样的技术服务,还取决于法律对个人信息保护力度的大小,正如美国企业的“软”措施是被欧盟被遗忘权立法所催生。
历史上每一次传播媒介的革新都是对人类文明程度的重大推进,大数据时代的信息传播使人们可以在一个空前广泛的时空范围内共享信息。但是,突破时空界限的网络个人信息共享也使人类面临自然遗忘功能遭受信息技术侵害的问题,信息科技的发展不能以牺牲人类的幸福和安宁为代价。大数据时代,人类需要一个对抗网络不可遗忘性的外部机制来维护人类的自然遗忘功能。被遗忘权为人们实现网络时代的遗忘与被遗忘提供了制度保障,但是无论被遗忘权的立法抑或被遗忘权制度的执行均牵涉网络环境下的多元化的利益衡量。被遗忘权立法在我国仍是一个需要继续研究的课题。