被遗忘权本土化适用的解释路径

2018-03-26 02:09廖宇羿
财经法学 2018年5期
关键词:人格权隐私权个人信息

廖宇羿

被遗忘权作为一项新兴的民事权利,其在立法层面虽然可以一直溯源至欧盟于1995年颁布的《关于保护个人数据和此类数据的自由流动的指令》(95/46/EC) (以下简称《95/46/EC指令》),但是在司法实践中真正引起人们的广泛关注还是源自2014年欧盟法院判决的“谷歌诉西班牙数据保护局”一案。或许是受此影响,次年在我国出现的任甲玉与北京百度网讯科技有限公司人格权纠纷一案中,当事人也首次援引被遗忘权的相关理论来支持己方的主张。〔1〕详见“任甲玉与北京百度网讯科技有限公司人格权纠纷案”,《北京市海淀区人民法院民事判决书》,(2015)海民初字第17417号,《北京市第一中级人民法院民事判决书》,(2015)一中民终字第09558号。尽管法院最终没有支持其诉讼请求,但是围绕着被遗忘权的讨论在我国学界却形成了一个新的热点,〔2〕以“被遗忘权”为关键词在中国知网的检索结果显示,在2014年之前,我国学界有关被遗忘权的研究基本上是一片空白,而从2014年开始,相关研究呈现陡增之势。尤其是在民法典编纂的背景之下,不少学者都提出应当在立法层面确立被遗忘权,从而完善有关个人信息的法律保护体系。

本文认同对被遗忘权背后的法益加以保护的必要性,也能够理解在民法典编纂尤其是人格权法立法的背景之下学者们开展立法论研究的路径选择。但是在笔者看来,如果想要真正实现被遗忘权这样一项来自比较法上的权利的本土化,那么仍必须从解释论的路径切入,细致梳理我国现有的相关法律规范构建出了一个怎样的保护体系,考查当下的司法实践在面对被遗忘权的诉请时如何加以回应,进而深入分析在立法层面如何确立被遗忘权才能够实现其与我国既有法律体制的契合。这并不意味着拒斥立法论进路的研究,事实上立法论与解释论并非传统上我们所认知的那样是截然对立的。〔3〕此类观点可参见韩世远: “民法的解释论与立法论”,载《人民法院报》2005年5月18日,第5版。从理论上而言,由于制定法是法律科学的产物,因此立法必然要实现科学化。此处的“科学化”不应机械地从自然科学的角度加以理解,而应当将其核心定位为理性化。这就要求立法应当达致法律体系的无矛盾与融贯性,在这一过程中,立法论和解释论完全可以经由法教义学被联系在一起。〔4〕参见雷磊:“法教义学能为立法贡献什么?”,《现代法学》2018年第2期,第30~31页。形象地说,立法同样不是在一张白纸上作画,而是在一张已经被涂鸦的画纸上进行再创作,〔5〕此处化用了黄卉在描述法律适用主义时所使用的话语,参见黄卉:“‘一切意外都源于各就各位’——从立法主义到法律适用主义”,《读书》2008年第11期,第42页。

从有关被遗忘权立法的具体讨论中我们也可以看到,不同的学者之间围绕着被遗忘权的立法路径存在着不小的分歧:有的学者认为应当将其规定为个人信息权的一项具体内容,有的学者认为应当将其规定为一项独立的民事权利,〔6〕参见满洪杰:“被遗忘权的解析与构建:作为网络时代信息价值纠偏机制的研究”,《法制与社会发展》2018年第2期,第211~212页。其他一些认为没有必要确立被遗忘权的学者所援引的理由则是既有的隐私权、名誉权等人格权已经涵盖了其保护内容。〔7〕参见杨乐、曹建峰:“从欧盟‘被遗忘权’看网络治理规则的选择”,《北京邮电大学学报》2016年第4期,第61页。学者们在立法论上的争议点其实归根结底都源自在解释论上如何认识被遗忘权与其他相近权利之间的关系,因为若不厘清权利之间的关系,后续的法律适用就会面临重重障碍,这也进一步印证了从解释论的路径开展被遗忘权研究的必要性。

从结构上而言,本文将首先从比较法的角度考察和分析被遗忘权的权利属性与价值基础,其次,分析我国现有的法律规范是否为引入被遗忘权提供了可能的空间,并着重分析被遗忘权与其他相近权利之间的关系,再次,结合相关的司法实践探究我国司法对被遗忘权的态度,最后,在综合分析的基础之上就被遗忘权的立法构建提出意见和建议。

一、被遗忘权的权利属性与价值基础

(一)被遗忘权的权利属性——基于对《一般数据保护条例》的分析

虽然如前所述,被遗忘权在立法层面可以溯源至欧盟于1995年颁布的《95/46/EC指令》,但是1995年的该指令主要是通过规定目的性限制原则、确立删除权等方式间接地体现了被遗忘权的机理,本身并没有明文规定被遗忘权。欧盟于2012年颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流通的第2012/72、73号草案》中包含了被遗忘权的内容。随后于2016年由欧洲议会和欧盟理事会通过的《一般数据保护条例》(以下简称《条例》)首次在立法层面明确规定了被遗忘权。当前有关被遗忘权的讨论也基本上以该条例中的规定为基础。

《条例》共包括11章,其中第11章的伊始明确规定在该条例生效满两年之后,于1996年颁布的《95/46/EC指令》即废止,这也意味着《条例》将全面取代《95/46/EC指令》。有关被遗忘权的内容被规定在《条例》的第3章“数据主体的权利”之下的第三部分“更正 (rectification)与删除 (erasure)”〔8〕“erasure”按字面意思直译应当为“擦除”,但考虑到以往我国学界更多地使用“删除权”这一表述,而且《侵权责任法》《网络安全法》等法律中所使用的动词也都是“删除”,因此这里遵从用语习惯翻译为“删除”。。该部分共包括5个条文 (第16条—第20条),其中第17条规定了被遗忘权。饶有意味的是,第17条的标题是“删除权(‘被遗忘权’)”[Right to erasure(‘right to be forgotten’)],看起来似乎是将“删除权”与“被遗忘权”作为两项相对独立的权利来处理,但是第17条第1款的表述却又是“数据主体有权要求控制者删除关于其个人数据的权利,当具有如下情形之一时,控制者有责任及时删除个人数据:……”〔9〕关于“个人数据”和“个人信息”这两个表述,在本文的语境下不作实质性的区分,仅仅是由于欧盟的《条例》使用的是“个人数据”,而我国现有立法使用的是“个人信息”,才在具体的行文中区别使用。其中仅仅出现了“删除”这一动词,而且在学界以往的相关研究中,也经常把删除权和被遗忘权视为一体加以讨论。这就给我们提出第一个有关被遗忘权权利属性的问题:它和删除权究竟是同一个权利的不同侧面,还是两个不同的权利?

对于这一问题的回答首先要来看《条例》第17条本身是如何规定的。该条的第1款列举了数据控制者有责任及时删除个人数据的六种情形。第一种是“个人数据对于实现其被收集或处理的目的不再必要”。对此的完整理解需要结合《条例》第5条有关个人数据处理原则的规定,其中有一项原则被称为目的性限制原则,其具体内容是“个人数据的收集应当具有具体的、清晰的和正当的目的”。反过来说,如果控制者所收集的个人数据对于当初的这一“具体的、清晰的和正当的目的”而言已经不再必要,即符合了《条例》第17条第1款所列举的第一种应当及时删除个人数据的情形。但是第5条中所规定的个人数据处理原则并不仅限于目的性限制原则,还包括了可能更为重要的合法性原则 (对涉及数据主体的个人数据,应当以合法的方法来进行处理)。从逻辑上而言,合法的对立面是非法,因此在应当及时删除个人数据的情形中理应包括的一类情形是个人数据的处理不再具有合法性基础,事实上第17条第1款也确实是这样规定的。这就提示我们,不再符合目的性原则被独立于不再具有合法性基础加以规定意味着在制定《条例》的立法者看来这是一项相对独立的删除依据。

那么其独立性究竟体现在哪里呢?这就需要进一步来考察《条例》第17条第1款的后续是如何规定的。第二种应当及时删除个人数据的情形是原先对于个人数据的处理是根据《条例》第6条第1款 (a)或者第9条第2款 (a)进行的,事后数据主体撤回在此类处理中的同意。而前述两点所规定的都是数据主体同意对于个人数据进行处理。换言之第二种情形是个人数据的处理不再具有数据主体的同意。第三种情形是数据主体反对根据《条例》第21条第1款进行的处理,并且没有压倒性的正当理由可以进行处理。第21条第1款规定的是根据《条例》第6条第1款 (e)或 (f)进行的关乎数据主体的数据处理,而后者涉及了依据公共利益或者第三方的正当利益所进行的数据处理。因此概括来说,第三种应当及时删除个人数据的情形是个人数据的处理不再具有公共利益或正当利益基础。第四种和第五种情形的表述比较简洁明了,指的都是个人数据的处理不再具有法律基础。最后一种情形则是有关儿童个人数据的规定,指的是对于此类数据的处理不再具有儿童的同意基础 (当其年满16周岁时)或儿童监护人的同意基础 (当儿童未满16周岁时),这一规定虽然直接援引的是《条例》第8条第1款,但归根结底仍然源自第6条第1款 (a)的规定。

概言之,《条例》第17条第1款所规定的后五种应当及时删除个人数据的情形事实上都为《条例》第6条 (标题为“处理的合法性”)第1款的规定所涵盖,并最终都可以溯源至《条例》第5条第1款 (a)所规定的合法性原则。这意味着第17条所规定的“删除权(‘被遗忘权’)”事实上对应了两个不同的行为基础:不再符合目的性限制原则与不再具有合法性基础。〔10〕当然也有学者认为此处的删除权与被遗忘权实质上是等同的,“被遗忘”是权利行使的目的,“删除”则是权利行使的手段。参见刘文杰:“被遗忘权:传统元素、新语境与利益衡量”,《法学研究》2018年第2期,第29页。但是笔者仍然倾向于认为这是两项独立的权利,理由详见正文下述。那么被遗忘权对应的究竟是其中的哪一个呢?

笔者认为被遗忘权对应的应当是前者,即不再符合目的性限制原则,理由有如下几点:第一,也是最为直接的理由,在谷歌诉西班牙数据保护局一案中,谷歌一直到纠纷发生时对于争议信息的获取和处理都保有合法性基础,其被欧盟法院判处删除信息的理由是该信息已经不再具有相关性,而既然欧盟法院在此案中判定信息主体享有被遗忘权,那我们自然可以推断被遗忘权在欧盟立法中的制度基础在于数据信息不再符合目的性限制原则。第二,被遗忘权中“被遗忘”(to be forgotten)的表述凸显出一种被动的、消极的状态,表明数据主体对于数据已经不享有主动的控制权,而在“合法性基础”这一整体的表述之下,无论是狭义的合乎法律规定还是数据主体作出同意的授权,都意味着数据主体对于数据仍然享有主动的控制权,其可以通过撤回授权或者声明对于个人数据的处理违法等方法积极地要求删除数据。第三,虽然“删除”和“被遗忘”这两种行为都带有一种使数据与数据主体脱钩的意味,但是删除带有更为强烈的“消灭”色彩,倾向于使数据在本体层面上消失,而被遗忘则更接近于原初意义上的“脱钩”,因此其在程度上显得更轻一些。而在“不再符合目的性限制原则”与“不再具有合法性基础”这两项行为基础之间,显然也是前者的力度显得更轻,因此被遗忘权所对应的也应当是前者。

总的来说,被遗忘权在权利属性上应当是一项独立于删除权的民事权利,其制度基础在于对个人数据的处理不再符合原先所设定的目的限制,但并不包含数据主体撤回同意授权或合法性基础丧失等情形。因此被遗忘的客体完全有可能是仍然具有合法性基础的数据,只是其已经不再与数据主体相关。

(二)被遗忘权的价值基础

为何欧盟的《条例》会通过精密的制度设计将被遗忘权和删除权区分为两项独立的权利?这就需要进一步探究被遗忘权背后的价值基础。

在规范层面,主张被遗忘权的依据是数据处理行为不再符合目的性限制原则,即对于当初处理数据的“具体的、清晰的和正当的目的”而言已经不再必要。问题在于,所谓的“具体的、清晰的和正当的目的”究竟为何?在实践中,这一“目的”可能表现为丰富多样的形态,例如:雇主收集和处理求职者的教育背景、工作经历等数据信息是为了更好地评判求职者的工作能力,以便作出是否录用的决策;电商网站收集和处理消费者的购买记录、检索历史是为了更好地掌握消费者的消费喜好,以便更有针对性地向其推送商品;公安机关收集和处理犯罪嫌疑人的特定敏感信息 (如指纹信息)是为了保障公共安全等。综合分析这些具体化的目的我们会发现,虽然它们的具体功能各有不同,但是有一点却是相通的,即通过个人数据的收集和处理描绘出了数据主体在某一个特定领域的“形态”,或者说塑造出了一个新的“人格特性”。

或许会有人疑惑,人格特性难道不是与生俱来的存在吗?它何以能够是被塑造出来的?其实这并不难理解,“人格”本身是每个人与生俱来的,是一个本体性的存在,但是“人格特性”是某种意志行为的结果,是经由特定的主观意愿被塑造出来的。从某种意义上而言,每个人在日常生活中通过个体与外界之间的不断交流,发展出自我的人格特性,从而试图影响周围的交往环境,获取自身的人格发展利益。〔11〕参见谢远扬:“信息论视角下个人信息的价值——兼对隐私权保护模式的检讨”,《清华法学》2015年第3期,第102页。更进一步地来看,虽然人格是更为本质的存在,但是如果没有个体与外界的交往行为作为中介,那么人格是无法表现出来的。个人数据 (或曰个人信息)与主体的人格特性之间的深层次关联在于,个体与外界之间的互动,或者说个体的自我表现行为的本质就是对于个人数据的处理,这是德国法上所谓“信息自决权”的理论基础。

从这一点出发我们也可以更好地理解《条例》中所规定的目的性限制原则。原则上个人数据的处理只能由数据主体自己进行,因为数据处理行为是主体自我表现、发展自我人格的核心手段,唯有数据主体自己才能够最为准确地掌握自我的利益所在;而作为第三方的数据控制者处理数据行为的正当性理由的本质在于,此种处理行为被数据主体认可为符合其个人利益 (主体作出同意授权的情形)或者被推定为符合数据主体的个人利益 (法律作出明文规定的情形),这是 《条例》第5条第1款之 (b)所规定的“具体的、清晰的和正当的目的”的真正含义。一旦作为处理对象的个人数据不再能够准确地、完整地、全面地帮助数据主体作出自我表现行为,使社会关系的发展与本人的预期相一致,就意味着数据处理行为不再符合原先的目的,该数据也就应当与主体脱钩,即所谓的“被遗忘”。

这里有两个需要进一步讨论的地方。第一,在不少学者看来,独立于“人格”的“人格特性”的被塑造,或者更直白地来说“虚拟人格”的诞生是极其晚近的现象。他们认为只有伴随着信息技术的极大发展,一个能够高度贴近主体本身的“虚拟人格”的诞生才是可能的,唯有在此种情况下外界才可能合理信任相关数据的集合与数据主体之间具有高度的一致性,也因此唯有在此时两者之间的不一致才会给数据主体带来损害。归根结底,在他们看来被遗忘权成为一个“真问题”也是极其晚近的事情。这种观点看似具有很大的合理性,而且能够为立法实例所印证 (如前所述,欧盟一直到2016年的《条例》才真正明文确立了被遗忘权),但其实不然。已经过时的、不再相关的数据对于主体所造成的损害以及随之而来的补救措施是早已存在的。古语有言:“人谁无过,过而能改,善莫大焉。”其所表达的无非就是这么一层含义。在法律制度上,虽然被遗忘权作为一项独立权利的直接出现确实是比较晚近的现象,但是诸如破产法上的债务人破产免责和刑法上的再社会化权等都可以视为被遗忘权的滥觞,这些法律制度共同表达了一种获得社会谅解的人格需求。〔12〕参见前注〔6〕,满洪杰文,第203~204页。因此,被遗忘权并非是在当下才成为一个真问题,而是它的重要程度在当下被极大地凸显了出来。这一点确实是受到了信息技术极大发展的影响。举例而言,数据信息的来源呈现出高度的多元化,特别是随着区块链技术的发展,多元化有进一步演化为去中心化的趋势;数据信息的获取呈现前所未有的便利化,各类搜索引擎的出现使得个人数据的收集和处理成为极其便利的事情(由此我们也可以理解为何谷歌与百度分别成了国内外两起重要的被遗忘权案件的焦点)。这一切确实使得原本就已存在的被遗忘权的价值基础被成倍地放大,但并非是从无到有地创设出了保护被遗忘权的需求。这给我们的启示是,在讨论有关被遗忘权的问题时,固然要高度重视信息技术、网络技术等的影响,但是此种影响归根结底仍然是外生的,我们还是要透过现象来分析被遗忘权自身的生成机理,否则就有可能陷入误区。

第二,个人数据是否能够准确地助力于数据主体的自我表现行为,并不是一个静态的判断问题,而恰恰是一个动态的分析过程。其背后的机理在于,数据信息的价值并非一成不变,在不同的时间节点上,个人数据在数据主体与外界的交往行为中所发挥的作用也是不同的。所谓“此一时也,彼一时也”,此时此刻看起来应当被遗忘的数据有可能在将来的某一时刻“重现生机”,为数据主体发挥新的作用。而且如果我们考虑到被遗忘权可能的对立方——诸如他人的知情权,〔13〕在“任甲玉与北京百度网讯科技有限公司人格权纠纷案”的一审判决中,法院指出“包括任甲玉工作经历在内的个人资历信息正是客户或学生藉以判断的重要信息依据,也是作为教师诚实信用的体现,这些信息的保留对于包括任甲玉所谓潜在客户或学生在内的公众知悉任甲玉的相关情况具有客观的必要性。”其中即隐含了公众的知情权在此案中要高于任甲玉的“被遗忘权”的判断标准。无独有偶,在号称“日本被遗忘权第一案”的最终判决 (最高裁判书平成29年1月31日第三小法庭决定,见《裁判时报》第1669号第1页以下)中,日本最高法院也基于类似的考虑作出了最终的决定。社会公共利益等,前文所述的时间动态性就表现得更为明显,因此随着时间的流逝,知情权、公共利益等与被遗忘权之间的重要性对比有可能会发生转变。这也能帮助我们更好地理解被遗忘权与删除权之间的区别,“被遗忘”可以只是一个暂时性的行为,记忆仍然保留了被恢复的可能性;而“删除”则是一个终局性的行为,其意味着相关的个人数据永久性地灭失了,某一个“人格特性”与数据主体彻底地脱钩了。两者显然是不同的救济行为。〔14〕有学者即形象地指出,“被遗忘”既包括完全的被遗忘,也包括部分的被遗忘,前者要求完全删除,但后者可以通过删除之外的其他处理方式来达成。See Cécile de Terwangne,The Right to be Forgotten and Informational Autonomy in the Digital Environment,in The Ethics of Memory in a Digital Age,Palgrave Macmillan,2014,p.27.

二、被遗忘权的本土化生成空间

(一)司法实践对被遗忘权的态度

截至目前,在我国的司法实践中仅有“任甲玉与北京百度网讯科技有限公司人格权纠纷案”明确提及了被遗忘权,因此一、二审法院在各自判决中有关被遗忘权的论证就成了我们分析司法机关对此问题立场的关键样本。由于二审法院在判决书中直接采纳了一审法院有关被遗忘权的论证,因此我们只需要集中关注一审法院是如何回应这一问题的。

虽然主张被遗忘权的任甲玉在该案中败诉了,但是法院并没有直接否定被遗忘权本身。一审法院首先指出,被遗忘权并非我国现行法律上明文规定的权利,因此当事人据此所提出的主张是否能够得到支持,取决于其对诉讼标的是否享有合法的民事权利或利益。〔15〕根据该案二审合议庭法官在后续一次研讨会上的介绍,最先该案的思路是直接按照一般侵权责任的构成要件进行论证说理,但是考虑到这样一来就会导致在客观上完全回避了任甲玉提出的被遗忘权的诉讼请求,因此最终还是选择正面作出回应。人格利益要么被已经类型化的法定权利所涵盖,要么属于虽未被类型化但是应当受到法律保护的正当利益。在法院看来,被遗忘权所涉及的人格利益并未被其他已经类型化的法定权利所涵盖,因此唯一可行的论证方向就是将其界定为“应当受到法律保护的正当利益”,为此需要满足“利益的正当性”和“受法律保护的必要性”这两项条件。法院指出,任甲玉想要删除的信息是百度搜索结果中有关其与某教育机构之间的合作情况,但是从时间上来看,这一信息仍然是最近发生的情况,且任甲玉自己也仍在教育行业工作。因此对于其潜在的客户而言,这一信息正是他们作出判断的重要依据。概言之,法院并不认为任甲玉主张删除的信息对他本人而言已经过时了,因此没有支持其被遗忘权的主张。

从法院的上述论证中我们至少可以获知两点态度。第一,法院并没有断然地、直接地否定被遗忘权的存在,而是在个案中细致地分析了其能否成立,显示出司法实践“认真对待被遗忘权”的态度。而且在具体的论证过程中,法院也在一定程度上参考了学界有关被遗忘权的研究成果,准确地界定了其保护范围以及时间动态性。这表明司法实践是为被遗忘权预留了可能的空间的。第二,法院最终判决在这一个案中不支持当事人有关被遗忘权的主张,也提示我们在将这项权利移植进中国之时应当慎重考虑。人格权的一大特性是很容易产生权利冲突,被遗忘权也不能例外,因此在个案中需要频繁地进行利益衡量。前文曾经提及在日本的“被遗忘权第一案”中,法院最终驳回当事人诉讼请求的理由就是在法院看来公众的知情权要高于被遗忘权所涉及的人格利益。无独有偶,在英国高等法院王座法庭于2018年4月13日作出的有关被遗忘权的判决中,法院同样指出原告曾经的定罪信息能为公众对其从事商业活动的诚信情况提供评判依据,进而驳回其诉讼请求。〔16〕参见廖宇羿: “英国法院界定‘被遗忘权’保护范围”,载《法制日报》2018年5月30日,第11版。就我国的情况而言,公民的知情权意识和舆论监督的实效刚刚有所起步和发展,如果原封不动地将被遗忘权移植进来,就会导致整体上的数据信息都持续处于一个不确定的状态,最终会反过来压制公民的其他权利的行使。

另外一个需要考虑的本土性因素是,我国在信息产业发展方面具有较强的后发优势,这种后发优势的可持续性与法律监管环境的严格程度有很大的关系。学者统计表明,自2014年5月的谷歌诉西班牙数据保护局案之后,仅截止到当年年末,谷歌就收到了将近50万条删除检索链接的投诉,其中只有不到四成被成功删除。〔17〕参见万方:“终将被遗忘的权利——我国引入被遗忘权的思考”,《法学评论》2016年第6期,第161页。这意味着对于谷歌这样一个“巨无霸”体量的互联网公司而言,应对被遗忘权的请求也是一个极大的负担,如果直接将其照搬至国内,无疑会成倍地加大众多互联网公司的运营成本,消解我国信息产业发展的后发优势。

此外,在该案判决中还有一个值得关注的要素。我国现行法律中并没有明文规定被遗忘权,因此法院事实上是在一般人格权的框架之下展开相关的论证。这就提出了一个问题:是否有可能在不另外立法的情况下,通过对一般人格权的解释实现对被遗忘权的保护呢?无独有偶,在2017年《民法总则》在立法层面明确保护个人信息之前,也有学者探讨过是否能够经由一般人格权来实现对个人信息的保护。〔18〕参见前注〔11〕,谢远扬文,第109~110页。并且在司法实践中也确实可以看到相关的实例,例如在“王某与某物业顾问公司一般人格权纠纷案”中,〔19〕参见《上海市浦东新区人民法院民事判决书》,(2010)浦民一 (民)初字第22483号;《上海市第一中级人民法院民事判决书》,(2011)沪一中民一 (民)终字第1325号。法院就是以一般人格权纠纷作为案由,认可了被告滥用其所掌握的原告个人信息的行为虽未造成原告生活上严重的不安宁,但是已构成对原告个人信息的侵权,从而通过法律解释解决了隐私权在保护个人信息时所面临的困境。

本文认为,通过法律解释使一般人格权覆盖对被遗忘权的保护显然是可能的。一般人格权是一项框架性的权利,其中存在着广泛的解释空间。而且从被认为开启了我国一般人格权保护实践的“钱某诉上海屈臣氏公司精神损害赔偿案”开始,〔20〕参见《上海市第二中级人民法院民事判决书》,(1998)沪二中民终字第2300号。一般人格权的保护核心始终被定位为人格尊严。而被遗忘权的核心恰恰也在于保护主体的人格尊严(详见后文的分析)。因此两者之间具有很强的关联性。但是理论上的可能性并不必然意味着实践中的可行性,通过一般人格权来保护被遗忘权的利益有可能面临诸多难题,这从当下司法实践适用一般人格权的混乱局面即可见一斑。一方面,法院将许多原本可以合理地从其他具体人格权的规范内涵之中推导出来的法益交由一般人格权加以保护,最为典型的例子就是生命权和健康权,这使得具体人格权和一般人格权在适用的位阶关系上产生了巨大的混乱;另一方面,法院对于规范依据的选取并没有确定的规律,甚至相似情形的案件适用完全不同的规范依据,体现出极大的随意性。更为重要的是,法院在适用一般人格权的过程中综合使用了“拟制”、“衡平”和“准立法”等多种法律适用手段,这些手段使得原本已经被法律所实证化的权利内涵变得更不清晰,干扰了法律权利的逻辑化和体系化,导致法官权力的滥用。〔21〕参见沈建峰:“论我国司法实践中的一般人格权制度——以司法机关公布的案例为考察重点”,《法律适用》2009年第8期,第27页。由此可见,虽然理论上可以借助一般人格权来实现对被遗忘权的保护,但是这并非长久之计。

(二)相关法律规范的兼容性分析

首先,学者们均认同被遗忘权应当是一项人格权,而我国的人格权保护体系一直是开放的。《侵权责任法》第2条第1款对于“民事权益”采取了一种开放式的列举方式,《民法总则》第110条第1款对于自然人所享有的人格权的列举同样采取了“等外等”的规定方式,这些都为新型人格权的引入提供了可能的空间。更为重要的是,《民法总则》在“民事权利”章的第一条 (即第109条)规定:“自然人的人身自由、人格尊严受法律保护”,将作为一项基本权利的“人格尊严”在民法中予以具体化。王泽鉴教授赋予该条以极大的意义,认为这是宪法保障的价值理念在民法上的体现,并且认为该条在稍加改动之后可以成为人格权保护法律体系的基石性条文。对于被遗忘权而言,人格尊严的“基石”作用绝非泛泛而谈,事实上被遗忘权之所以会在欧盟被立法首先确立下来并不是偶然的,恰恰是因为欧洲一直以来都对人格尊严的保护给予极大的重视。而人格尊严与被遗忘权所保护的利益之间具有极为密切的联系,因为如果数据主体与已经过时的个人数据被联系在一起,也就意味着主体的“人格”成了由数据所塑造的“人格特性”的客体,其没有办法向外界呈现出一个真实的自我,此时的人格尊严无疑受到了损害。因此《民法总则》引入宪法上的人格尊严,正是为被遗忘权的创设提供了一个更为有利的条件。

其次,我国现有的法律规范已经构建了一定的个人信息保护基础。被遗忘权是一项与个人信息保护相关的人格权 (尽管围绕着被遗忘权与个人信息权之间的关系仍然存在着争议),因此这项权利的引入必然以相应的个人信息保护法律规范作为基础。很长一段时间以来,我国对于个人信息的保护一直是“借由”隐私权来进行的,司法实践中绝大部分的个人信息案件都是以“隐私权纠纷”的案由呈现出来的。但是隐私权本身在我国的法律规定中也历经了一个发展演变的过程,〔22〕参见朱庆育:《民法总论》,北京大学出版社2013年版,第398~400页。直至最终明文规定隐私权的《侵权责任法》也没有正面阐明其内涵 (当然这也是由于《侵权责任法》的救济法定位,不宜从正面进行权利内涵的界定),因此司法实践中经由隐私权的个人信息保护其实存在诸多弊端,反过来在学界也引发了个人信息究竟等同于还是不同于个人隐私的争论。〔23〕等同说的主张可参见马特:“个人资料保护之辨”,《苏州大学学报 (哲学社会科学版)》2012年第6期,第76~84页等;不同说的主张可参见王利明:“论个人信息权的法律保护——以个人信息权与隐私权的界分为中心”,《现代法学》2013年第4期,第62~72页等。

这对于被遗忘权的保护来说是一个相对不利的局面,因为其与隐私权保护的价值基础有所不同。作为隐私权保护客体的个人隐私是对于主体人格的真实反映,只是由于这种反映本身是主体不欲为外界所知的私密情况,因此在法律上需要给予保护;而被遗忘权的保护客体则是对于主体人格的不当反映,主体之所以希望其“被遗忘”主要是由于自我表现和互动交往行为受到了阻碍。两类客体之间尽管可能存在着一定的交叉,但这种交叉只是一种偶然,并不意味着我们可以通过隐私权来保护被遗忘权背后的利益。

而随着《民法总则》的出台,有关个人信息的专门法律保护开始呈现出新的趋势。《民法总则》第111条明确规定自然人的个人信息受法律保护,尽管该条的具体规范设计被学者评价为错误地以否定性规范置换了肯定性规范,〔24〕参见石佳友:“民法典的立法技术:关于《民法总则》的批判性解读”,《比较法研究》2017年第4期,第136~137页。但是其首次在民事基本法上对个人信息作出规定,意义仍然不容忽视。而且值得注意的是,在全国人大常委会法工委民法室于2017年11月起草完成的《民法人格权编 (草案)》中,《民法总则》第111条中所存在的诸多漏洞得到了填补,尤其是从正面规定了个人信息的处理原则和个人信息权的权利内涵,〔25〕参见石佳友: “守成与创新的务实结合: 《中华人民共和国民法人格权编 (草案)》评析”,《比较法研究》2018年第2期,第16页。这些都为被遗忘权的引入提供了有利的条件。当然,其中可能确实潜藏了一个“隐患”,一部分学者认为被遗忘权实质上是个人信息权的一项具体内容,因此有关个人信息权的法律规定越是完善,被遗忘权作为一项独立权利的引入可能反而越不必要。这就需要对这两项权利作出一个细致的辨析,对此后文将具体展开。

再次,我国现有的法律规范已经初步规定了有关个人信息收集和处理的目的性限制原则。2012年公布的《全国人大常委会关于加强网络信息保护的决定》首次明确规定了该原则,并将明示目的设定为信息收集者的义务。〔26〕《全国人大常委会关于加强网络信息保护的决定》第2条第1款规定:网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。随后工信部于2013年公布的部门规章《电信和互联网用户个人信息保护规定》中也作出了类似的规定。〔27〕《电信和互联网用户个人信息保护规定》第9条第2款规定:电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。2016年公布的《网络安全法》则是基本沿袭了《全国人大常委会关于加强网络信息保护的决定》中有关目的性限制原则的规定,将其正式上升到法律层面。〔28〕《网络安全法》第41条第1款规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。如前所述,在比较法上欧盟的《条例》对于被遗忘权的保护正是以目的性限制原则为基础的,因此我国现有法律中的相关规定也为被遗忘权的引入提供了相应的基础。当然我们还是有必要作出一个更为细致的辨析。欧盟的《条例》有关目的性限制原则的规定更加侧重于规制目的本身,要求特定的目的必须是“具体的、清晰的和正当的”,并且在设定了初始目的之后就不应当再违反。而我国既有法律中的规定则更倾向于强调目的性限制作为信息收集者的一项义务,要求其必须向被收集者明示和公开相应的目的,至于目的本身所应当满足的条件,反而没有成为规范的重心。最为典型的例子莫过于《电信和互联网用户个人信息保护规定》,其中仅仅规定了电信业务经营者和互联网信息服务提供者负有明确告知用户收集与使用信息目的的义务,却没有规定此种目的应当具备什么样的实质要件。这就有可能使得目的性限制原则成为一项形式意义上的原则,因此在设计被遗忘权的具体规则时应当考虑到这一点。

最后,我国现有法律规范中已经初步规定了网络运营者的信息删除义务。在2009年的《侵权责任法》中此项义务就已经初现雏形,该法第36条第1款是有关网络服务提供者侵权责任的原则性规定,〔29〕《侵权责任法》第36条第1款规定:网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。虽然其中尚没有明文规定删除义务,但是已经有学者指出可以结合《侵权责任法》第15条有关承担侵权责任方式的规定 (具体是指“停止侵害”)解释出这一义务的存在。2016年的《网络安全法》则在第43条明确规定了网络运营者的信息删除义务。〔30〕《网络安全法》第43条规定:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。当然,对于这一条文也有必要进行深入的解释分析,它的前半段的适用条件是“违反法律、行政法规的规定或者双方的约定”,事实上对应了欧盟的《条例》第17条第1款所规定的后五种情形,因此前半段所规定的其实是删除权。后半段的适用条件是“个人信息有错误”,其中“错误”是一个外延较为宽泛的表述,其既可以指某一个人信息自始至终都是错误的,也可以指某一个人信息曾经准确地反映了信息主体的真实情况,但是随后由于过时等原因转变成一个“错误”的信息。前文的分析已经表明,后一种情形其实才是被遗忘权所对应的适用条件。换言之,《网络安全法》第43条的后半段其实包含了两种不同的请求权,而且其仅仅笼统地规定了删除和更正两种救济方式,这对于被遗忘权而言其实并非完全适用。删除的问题在前文已经论及,更正的问题在于,在个案中存有争议的个人信息可能并非是客观上存在错误,而只是在主观上随着时间的演进对信息主体产生了一种负价值,在这种情况之下其实不存在“更正”之说,需要采取的救济手段应当是能够使该信息与主体“脱钩”的各种方式。这两者之间的区别也体现在欧盟从《95/46/EC指令》到《条例》的立法演进上,在前者的第12条 (b)中所使用的表述是“更正、删除或者屏蔽”,同样将几类救济方式笼统地规定在一起,而在《条例》中则分别将这三项救济方式规定在三个独立的条文中 (第16条—第18条)。因此归结来说,虽然现有的信息删除义务的规定与被遗忘权之间存在着一定的联系,但是仍不宜直接将其作为被遗忘权的请求权基础。

(三)被遗忘权与既有人格权的关系辨析

除了前文所分析的相关法律规范之外,被遗忘权与我国法律业已明文规定的相关具体人格权之间的关系也有必要深入分析,因为这直接决定了被遗忘权能够以何种形式出现在未来的立法之中。综合现有的研究,被认为有可能与被遗忘权产生关联的具体人格权主要包括名誉权、隐私权和个人信息权。

名誉权与被遗忘权之间的关联在于它们都旨在保护权利主体的社会评价,但是两者之间的差别还是很大的。名誉权的保护内容是自然人在社会共同体中的外在形象不得被消极描述,综合相关司法解释的内容,其中的核心构成要件是造成损害的原则上应当是虚假的信息;如果并非是虚假信息,则应当满足主观上故意侮辱他人人格的构成要件。〔31〕例如最高人民法院于1993年发布的《关于审理名誉权案件若干问题的解答》中指出,“因撰写、发表批评文章引起的名誉权纠纷……文章反映的问题基本真实,没有侮辱他人人格的内容的,不应认定为侵害他人名誉权。文章反映的问题虽基本属实,但有侮辱他人人格的内容,使他人名誉受到侵害的,应认定为侵害他人名誉权。”而被遗忘权所调整的并非是虚假信息,它们在客观上仍然是“真实”的,只是不再能够准确地反映信息主体当下的人格特性,而且这种结果也不是信息控制者刻意期望的。在这个意义上,被遗忘权并不等同于名誉权,两者有各自独立的调整范围。

隐私权也是一项经常与被遗忘权联系在一起的人格权,而且值得注意的是,有一部分认为被遗忘权在理论层面应当属于个人信息权的学者也主张在当下的司法实践中可以将被遗忘权作为隐私权的内容。这就要求我们格外细致地分辨两者之间的关系。隐私权的难题在于它本身与个人信息权之间的关系就存在着争议,但是在《民法总则》将对两者的保护分别加以规定之后,个人信息权独立说的主张逐渐占据了上风,因此隐私权在我国法律上的保护范围应当被限定为未公开的私密性信息。由私密引申出来的含义是“不欲为他人所知”,这也是隐私权经常与被遗忘权联系在一起的原因,因为被遗忘权调整的同样也是一些权利主体不希望为外界知悉的信息。但是两者仍然存在着很大的不同,隐私权的客体是未公开的信息,而被遗忘权的客体则是已公开的信息,正是因为“已公开”所以才会有“被遗忘”之说。从某种意义上而言,权利主体主张被遗忘权所期望实现的目标是让特定的信息由公开转为未公开,重新成为一种私密性的信息。因此被遗忘权也不等同于隐私权。前文所述的有学者主张在立法尚未完备之时先经由隐私权来保护被遗忘权的观点其实类似于更早之前的经由隐私权来保护个人信息的观点与司法实践,当时就有另外的学者指出这是在立法有所欠缺之时的“无奈之举”,本身在司法实践中已经引发了一系列问题,更不能用来反证隐私权的保护效果可以随意地扩张。从根本上来说这是由隐私权在我国法律框架下的权利性质所决定的,中国法上的隐私权是一项具体人格权,其权利内涵是相对明确的,并不能像美国法上的隐私权那样因应实践中新问题的需要而灵活变动,因为后者是一项框架性的权利,更类似于中国法上的一般人格权。

真正困难的问题在于被遗忘权与个人信息权之间的关系。如前所述,被遗忘权的一项重要价值基础在于个人自主决定其“人格特性”以何种形式呈现于外,这与作为个人信息权价值基础的“信息自决”之间有着很大的相似性,因此有很多学者主张被遗忘权就是个人信息权的一项具体内容。这就需要深入分析“信息自决”的真正内涵。信息自决是一个源于德国法上的概念,在这一概念出现之前,德国法上个人信息保护的理论基础是所谓的“领域理论”,其主张私人的生活领域可以分为私密领域、私人领域和公共领域,由此来界定个人信息的保护范围。〔32〕参见前注〔11〕,谢远扬文,第100~101页。但是领域理论很快面临了实践中的难题,因为不同领域之间的准确划分是相当困难的。而信息自决理论的提出在很大程度上正是为了回应这一难题,其主张所有类型的个人信息都与人格发展和人格尊严有着密切的联系,个人有权自主决定外界如何获知其个人信息。在1984年德国联邦宪法法院的“人口普查案”判决首次引入信息自决的概念之后,其影响力开始与日俱增,甚至超出了德国本土范围。

从中可以看出,信息自决的核心其实在于个人对信息的支配和控制。问题在于,这种控制是可以无限度延展的吗?目前我国学界对于信息自决的认识俨然存在这一趋势,学者们不断扩展个人信息权的保护射程:信息主体被认为享有知悉个人信息被处理、个人信息正确和完整及信息使用符合特定目的等利益。此外,信息主体不仅可以公开自己的信息,还可以参与信息公开之后的维护,在公开的信息被不当使用或超出特定目的使用时,信息主体可以要求使用人承担侵权责任等。〔33〕参见李承亮:“个人信息保护的界限——以在线平台评价为例”,《武汉大学学报 (哲学社会科学版)》2016年第4期,第113页。对此有学者已经进行了冷静的反思,指出信息与思想一样都是“人类行动的产物和前提”,是“现实世界的精神模式”,如果肯定信息主体对于个人信息的控制是可以无限度延展的,无异于创设出一种类似所有权的个人信息权,其最终结果只能是禁锢公众的思想。〔34〕参见杨芳:《隐私权保护与个人信息保护法——对个人信息保护立法潮流的反思》,法律出版社2016年版,第58页。有必要指出的是,杨芳博士所持的是一种较为激进的主张,其认为个人信息权的存在并不具有合理性。而本文的主张则相对温和一些,虽然同样不认同个人对于信息的控制可以无限制延展,但是仍然肯定个人信息权本身的合理性。

事实上,我国现有的法律规范性文件中也已经暗含了信息自决并非无限度延展个人信息控制的态度。最高人民法院于2014年发布《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,该司法解释第12条规定,如果相关的个人信息是信息主体自行在网络上公开或者通过其他方式合法公开的,则网络用户或者网络服务提供者利用网络公开该个人信息,即便造成他人损害,也不承担侵权责任,除非网络用户或网络服务提供者公开的是权利人值得保护的“重大利益”。显然,该司法解释并没有采纳信息主体可以无限度扩展对个人信息的控制的观点,对于已经自行公开的个人信息,其采取了原则上不予保护、只有在例外情况下才加以保护的模式,里面所称的“重大利益”除了涉及信息主体本身的利益之外,事实上还带有很强的公共利益属性。〔35〕参见梅夏英: “论被遗忘权的法理定位与保护范围之限定”,《法律适用》2017年第16期,第52页。

由此我们再来反观谷歌诉西班牙数据保护局案和任甲玉与北京百度网讯科技有限公司人格权纠纷案,这两起主张被遗忘权的案件的一个共同点是,争议信息都是被搜索引擎所收录的,如果将被遗忘权视为个人信息权的一项内容,也就是主张信息主体对于搜索引擎收录的个人信息仍然享有控制权,这显然是一种“控制可以无限度延展”的观点。从这个意义上而言,本文主张被遗忘权应当是一项独立于个人信息权的具体人格权。这也是为了避免个人信息权像曾经的隐私权一样被填充成一项无所不包的权利,这样只会导致过于频繁的权利冲突,给后续的司法适用造成过大的负担。

三、被遗忘权的本土化解释路径

综合前文所述,在有关被遗忘权的专门立法出台之前,其本土化适用的解释路径可作如下的展开:

首先,以一般人格权作为被遗忘权在现行法律上的保护基础。虽然前文的分析曾经指出,通过一般人格权来保护被遗忘权有可能面临诸多问题,但是这些问题更多地存在于应用层面;而被遗忘权与其他具体人格权之间的区别是源生性的问题,如果将其保护基础建立在后者之上,无疑会进一步加剧实践中的混淆。因此一般人格权的保护路径虽非“长久之计”,但仍不失为短期的“借道之途”。

其次,以目的性限制原则为基础构建被遗忘权的保护范围。如前所述,在欧盟的《条例》中目的性限制原则是主张被遗忘权的基础,而我国现有的法律规范也已经初步规定了这一原则。但需要注意的是,现有立法所明确的目的性限制之主体仅包括网络运营者/网络服务提供者、企事业单位等,而被遗忘权的义务主体应当是所有可能通过信息处理造成信息价值与传播的背离的人,因此在法律解释上应当以《民法总则》第111条为基础,明确“任何组织和个人”在收集和处理个人信息时都应当遵循目的性限制原则。此外,我国现有立法中的相关规定更加侧重于要求信息控制者公开和明示目的,对于目的本身的实质条件反而有所忽视,在法律解释上也应当注重对此的纠正。当然,从根本上来说对于目的性限制原则的完善仍然有待于立法层面的展开。不过考虑到收集和处理个人信息的场景多种多样,从正面一步到位地给出一个统一性的目的标准无疑是不现实的,所以立法的重点应当在于对司法实践中的相关裁判规则进行类型化处理,同时注重与司法之间的互动。

再次,援用相关规定明确被遗忘权的例外情形。被遗忘权的客体是已经公开的信息,根据《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条的规定,如果是当事人自行公开或者通过其他方式合法公开的个人信息,原则上不适用被遗忘权的请求,除非义务主体以违反社会公共利益、社会公德的方式公开此类信息,或者公开该信息侵害信息主体值得保护的重大利益。此外,公共利益、学术研究、统计等也可以成为被遗忘权的例外情形。但是在法律解释上应当从严把握公共利益的援引,由于公共利益与学术研究、公众知情权等事由之间存在着竞合,当能够精确定位到具体事由之时,应当避免笼统地援引公共利益。否则当事人将无从获知行为指引。

最后,统筹考虑被遗忘权的具体行使方式。前文已经细致地分析了被遗忘权与删除权之间的区别,删除仅仅是行使被遗忘权的一种终局性方式,绝不是唯一的选择,欧盟的《条例》在立法形式上将两者规定在一起已经引发了学者的批评。〔36〕参见前注〔6〕,满洪杰文,第213页。而且提供删除之外的其他选项也正是一种对被遗忘权的“本土化”改造,其能够在很大程度上避免单纯的删除行为有可能导致的信息枯竭以及信息产业后发优势被消解等问题。但是这在法律解释上面临着较大的困境,因为现有的相关法律规范仅仅提供了删除这一种选项,有的立法在草案阶段曾经提供过其他选项,但是到了最终的正式文本中又退回原状。〔37〕例如国务院于2013年公布的《征信业管理条例》在第16条第1款规定,征信机构保存个人不良信息超过5年的应当予以删除。但是在该条例草案的征求意见稿中,曾经提供了“封存”作为单纯的删除之外的可选项。唯一有可能作为参考的是《侵权责任法》第36条第2款,〔38〕《侵权责任法》第36条第2款规定:网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。其中提供了屏蔽、断开链接等其他措施,但是该款规定所针对的是“网络用户利用网络服务实施侵权行为”的情形,与被遗忘权还不完全一致。因此在现阶段只能通过类推解释的方式将其他几种方式引入到被遗忘权之中,而对这一问题的最终解决仍然需要转移到立法层面,以“使个人信息与信息主体脱钩”为目标,统筹考虑行使被遗忘权的具体方式。

可以看到,在被遗忘权的本土化适用中,确实存在着一些单纯依靠法律解释难以解决的问题,需要在立法论的层面予以回应。除了前文已经论及的几处之外,至少还包括完善有关个人信息权的规定,明晰其与被遗忘权之间的区别。在当下的人格权立法工作中,有关个人信息权的立法是一大重点。这就很容易产生以个人信息权覆盖被遗忘权的结果。事实上,从法工委目前起草完成的《民法人格权编 (草案)》的实际规定来看,基本上就印证了这一担忧。其中有关个人信息权的规定涵盖了信息更正、信息删除、信息存储限制等方方面面,使得权利的内涵过于宽泛,加大了在后续的法律适用过程中产生权利冲突的可能性。因此有必要在反思“信息自决”准确内涵的基础之上,合理地界定信息主体对于个人信息的控制和支配,将个人信息权的保护范围限定在一个合理的界限之内,把本应当交由其他权利进行调整的内容分解给各项具体人格权,从而也进一步明晰被遗忘权的保护范围。

猜你喜欢
人格权隐私权个人信息
用法律维护人格权
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
纳税人隐私权的确立、限制与保护
警惕个人信息泄露
妈妈,请把隐私权还给我
谷歌尊重雕像“隐私权”的启示
“人肉搜索”侵害隐私权的法律解析
论被遗忘权的法律保护——兼谈被遗忘权在人格权谱系中的地位
新闻自由与人格权的冲突解读