刘利平
(澳门科技大学 法学院,澳门 999078;盐城师范学院 法政学院,江苏 盐城 224007)
“个人信息被遗忘权”(personal data right to erasure or right to be forgotten)的概念最早见欧盟《关于涉及个人信息处理的个人保护以及此类数据自由流动的第2012/72号草案》(简称《GDPR草案》)。该文件附件四对“个人信息被遗忘权”定义如下:“被遗忘权是指公民在其个人数据信息不再有合法之需时,有要求将其删除或不再使用的权利,如当时使用其数据信息是基于该公民的同意,而此时他/她撤回同意或存储期限已到,则其可以要求删除或不再使用该数据信息。”[1]虽然“个人信息被遗忘权”的提出引发了主张隐私自主与言论自由阵营的激烈辩论,但欧盟并没有停止进一步确立“个人信息被遗忘权”的步伐,2014年欧盟通过“马里奥·考斯特加·冈萨雷斯(Mario Costeja Gonzalez)诉谷歌(Google)公司被遗忘权案”(简称“冈萨雷斯诉谷歌公司案”)使“个人信息被遗忘权”成为一项在司法实务中具有可操作性的民事权利[2]。欧洲议会和欧盟理事会2016年4月27日公布并于2018年5月25日在欧盟成员国生效实施的《关于涉及个人信息处理的自然人保护和此类信息自由流动以及废除欧共体95/46号指令的第2016/679号条例》(《通用数据保护条例》简称《GDPR条例》)第17条具体规定了“个人信息被遗忘权”及其行使条件[3]。2016年4月27日公布的《关于有权机构在预防、调查、侦查或者批捕犯罪嫌疑人或者执行刑事处罚中涉及个人信息处理的自然人保护和有关信息自由流动以及废除欧盟委员会2008/977/JHA框架决定的第2016/680号指令》(简称《2016/680号指令》)第16条也对“个人信息被遗忘权”作了明确规定[4]。然而,与欧盟对个人信息权保护日趋严苛形成鲜明对比的是“个人信息被遗忘权”在美国却举步维艰。因为“个人信息被遗忘权”与美国宪法第一修正案第一条相悖,该条所规定的“国会不得制定剥夺言论自由或出版自由的法律”直接制约着“个人信息被遗忘权”的制度空间,因而美国并未将“个人信息被遗忘权”认同为普遍法律权利,只是在部分州或者针对特定群体实践了“个人信息被遗忘权”。可见,欧美“个人信息被遗忘权”的不同境况与隐私保护至上或言论自由至上的法理逻辑取向一脉相承。
“被遗忘权”最早可追溯到20世纪70年代法国的“忘却权”,此权利主要用于保障犯罪人服刑完毕后回归社会的利益,罪犯在刑满释放后应当享有免于公开其罪行以及监禁情况的权利。随着互联网时代的到来,此项权利逐渐扩大至对个人信息的保护。欧盟“个人信息被遗忘权”立法肇始于1995年7月24日欧盟部长会议制定的《关于涉及个人信息处理的个人保护以及此类信息自由流动的第95/46号指令》(简称《个人信息保护指令》)[5]。虽然《个人信息保护指令》中没有明确提出“被遗忘权”的概念,但该指令第12(b)条规定了在信息处理不符合指令的规定时,特别是信息不完整或者不准确时,成员国应当保证信息主体能从信息控制者处获得对信息的修改、删除或者屏蔽的信息。《个人信息保护指令》第14条规定“信息主体的拒绝权”时,明确了信息主体除非在国内立法另有规定的情况下,否则随时有权根据其自身特定情况以正当理由拒绝信息控制者对其相关信息的处理,有权经要求且无须支付任何费用拒绝信息控制者旨在用于直销目的与信息主体相关的信息处理,或者在个人信息首次向第三方披露以及在代表第三方为直销目的而使用之前,信息主体享有被告知的权利。而且该指令第26(1)(a)条还明确规定,在向未能对个人信息提供充分保护水平的非欧盟第三国单次转移或者多批次转移个人信息时,必须得到信息主体对于将要进行的信息转移所作的明示同意。
随着网络技术的飞速发展,数据处理和储存的方式发生了翻天覆地的变化,加之其他社会及政治变迁的原因恶化了数据保护的境况,信息主体及信息控制者之间的利益不平衡随之加剧。鉴于《个人信息保护指令》已经难以继续有效调整二者的关系,2012年1月25日欧盟委员会公布了“GDPR草案”,对实施了近17年的《个人信息保护指令》进行了修订,明确提出了“个人信息被遗忘权”概念。2012年11月欧盟委员会第29届年会通过的《个人信息处理中的个人保护公约》第8(e)条也对“个人信息被遗忘权”予以明确[6]。“GDPR草案”和《个人信息处理中的个人保护公约》明确了“个人信息被遗忘权”,为司法实践中保护个人信息奠定了基础。欧盟在司法上对“个人信息被遗忘权”的确认是通过制裁谷歌公司的不作为而实现的。2014年“冈萨雷斯诉谷歌公司案”以谷歌公司败诉而告终。该案初审程序中西班牙法院驳回了冈萨雷斯对报社的诉求,理由是报社新闻报道的内容属于新闻自由,支持谷歌公司关于涉及个人信息保护的诉求。但在上诉程序中欧盟法院最终做出支持冈萨雷斯对谷歌公司诉求的裁决,认为信息主体在用自己姓名进行网络搜索所获得的信息如果属于“不足够、无关系或已过时”,则有权要求营运商将搜寻结果的链接予以删除。该案中尽管谷歌公司声称其基于美国新闻及言论自由应当被豁免,但欧盟法院仍然基于谷歌公司不尊重个人隐私权而裁定谷歌公司败诉。该案件争议的焦点集中于“个人信息被遗忘权”与言论自由的冲突以及在实践中的模糊地带如何澄清,其争端解决过程中的“反复”也昭示了欧盟出台的“个人信息被遗忘权”制度尚有不够成熟之处,具体规定仍然有进一步完善的空间。
为了进一步明确“个人信息被遗忘权”的权利空间及其行使条件,被称为欧盟史上最严苛信息保护的《GDPR条例》第17条明确规定,信息控制者在收到信息主体的要求时有义务删除与其相关的个人信息,或者断开与该信息的链接,如果存在信息控制者已经公开此类信息的情形,则信息控制者有义务及时通知相关第三方删除此类信息,并且应当采取包括技术手段在内的合理措施,将信息主体要求删除的有关个人信息的链接、副本和备份等告知正在处理该个人信息的第三方信息控制者。与《个人信息保护指令》相比,《GDPR条例》的明显进步在于明确赋予信息主体要求回溯删除个人信息的权利,强调了《GDPR条例》具有拘束全体欧盟成员国的效力。不过《GDPR条例》第17条所规定的“个人信息被遗忘权”并非不附任何条件的绝对权利,该权利的行使必须符合以下条件:一是个人信息对于搜集或处理信息时的目的已经不具必要性;二是信息主体撤销对基于一个或多个具体目的而处理个人信息行为的同意以及撤销有关禁止对健康生活、宗教信仰、性取向、基因数据等特殊类型个人信息处理的十种例外情形的个人信息处理的同意,并且不存在其他支持个人信息处理的法律依据;三是信息主体依据《GDPR条例》第21条(1)行使拒绝权且信息处理没有其他更优先的法律依据,或者信息主体拒绝为直销目的而处理个人信息;四是个人信息被非法处理;五是信息控制者为了遵守欧盟或者成员国法定义务而不得不删除个人信息;六是个人信息的搜集涉及“信息社会服务中儿童同意适用条件”规定的提供社会服务信息。同时,《GDPR条例》所规定的“个人信息被遗忘权”不适用于下列确有必要的情形:一是行使言论和信息自由权;二是信息控制者为了遵守欧盟或者成员国法定义务处理个人信息,或信息控制者为公共利益而履行义务或者为行使其职务权限而进行的信息处理;三是为了遵守《GDPR条例》第9条规定的公共健康领域的公共利益而进行的信息处理;四是为了实现公共利益目的、科学研究及历史研究目的或者统计目的而进行的信息处理,并且对于上述“个人信息被遗忘权”的行使会导致这些处理的目的变得不可能或者被严重损害;五是信息处理是为了提起诉讼或者应诉之需要。
与《GDPR条例》同日公布的“2016/680号指令”第16条关于个人信息更正或删除权及限制处理的规定中,对欧盟成员国保障“个人信息被遗忘权”及其信息控制者的义务提出了明确要求。当信息控制者依据法定义务必须删除个人信息,或者信息处理违反本指令第4条、第8条或第10条时,成员国应当要求信息控制者毫不延迟地删除个人信息,并毫不延迟地提供应该从信息控制者处获得有关他或她个人信息删除的信息权利保障。作为删除个人信息的替代,信息控制者应当严格遵守信息处理程序:基于证据目的个人信息必须被保持;或者个人信息的准确性被信息主体质疑,并且其准确性或不准确性不能被查明时,当依据该程序对个人信息限制处理时必须事先通知信息主体。成员国应当规定信息控制者书面通知信息主体任何有关拒绝更正或删除个人信息、或者限制处理的事实及理由。当个人信息已经被更正或删除,或者根据本指令第16条第1、2、3段的规定已经被限制处理,成员国应当规定信息控制者必须通知收件人(recipients),并且收件人应该更正或删除个人信息,或者根据他们的义务限制对个人信息的处理。
以上分析表明,《GDPR条例》和《2016/680号指令》所规定的“个人信息被遗忘权”尽管十分前卫,但仍然较好地关注了信息主体权利与信息控制者权利空间的合理布局,考虑了个人信息保护与言论自由之间的适当平衡,对于大数据时代个人信息保护与公共利益保护的权利边界进行了契合实际的界分。
比较而言,美国在“个人信息被遗忘权”的态度上比欧盟要保守得多,美国的隐私保护传统通常将保护个人的“合理隐私期待”成为公共政策的主旨,美国在联邦法律层面上并未肯定“个人信息被遗忘权”。究其原因,一是美国言论自由的价值观念根深蒂固,隐私权在与媒体出版自由产生冲突时言论自由总能大获全胜,隐私权仅能取得次要地位,从法律依据上看,言论自由有以美国《联邦宪法》第一修正案第一条为统帅的法律体系的强烈捍卫,而作为隐私权延伸权利的“个人信息被遗忘权”在遭遇言论自由的冲突时自然势单力薄。二是依照美国法的思维,对于欧盟个人数据保护指令存在两方面质疑,其一是该指令要保护何种利益,个人信息是不是一种财产,其二是如何限制个人信息权以便与相关团体利益相调和。之所以有如此疑问,是因为美国法要求每个人都应有自由从他人公开或半公开的信息中搜集数据并对此发表意见的权利,而且这种搜集与散布并不一定会触及别人的权利。与欧洲国家对“个人信息被遗忘权”的热衷相反,美国对“个人信息被遗忘权”态度冷淡,并没有普遍性对其进行立法的推进。如果实践中发生个人信息保护方面的纠纷,当事人诉诸美国法院的法律依据主要是《侵权行为法重述》,其中规定的侵权责任要件十分严格,必须具备可归责性、严重侵犯“理性人”公认的权益标准、揭露的内容必须是非公众关注的信息等条件,而且即使在具备上述条件的情况下进入诉讼程序,只要触碰到言论自由其成功概率仍然较低。所以,在美国联邦立法层面寻求“个人信息被遗忘权”的制度空间显然存在相当大的难度。
尽管美国联邦层面没有通过立法承认“个人信息被遗忘权”,但是已有个别州开始接受“个人信息被遗忘权”保护的立法倾向,如加利福尼亚州于2013年颁布了第568号法案(亦称为“橡皮擦法案”),该法案要求自2015年1月1日起,互联网网站运营商、在线服务商、在线应用商或移动应用商必须允许未成年人自行删除或要求其删除由未成年人自己提供的数据信息[7]。该法案适用范围显然窄于欧盟的规定,权利主体仅限于作为加州居民的未成年人,在内容上仅限于未成年人自己提供的信息,但毕竟是美国在“个人信息被遗忘权”立法上的正式尝试。
在司法层面引起美国人对“个人信息被遗忘权”关注的典型案例是“沃尔夫冈·沃勒(Wolfgang Werlé)及曼弗莱德·劳勃(Manfred Lauber)”案[8],该案涉及两名德国凶手在有期徒刑执行完毕释放后,以“个人信息被遗忘权”为由要求包括维基百科等网站隐匿其姓名,虽然他们在欧洲“大有斩获”,但在美国也要求比照办理的企图没有实现。具有代表性的“贝尔·斯泰亚特(bev stayart)诉谷歌(Google)公司案”[9],原告斯泰亚特由于其姓名“bev stayart”输入谷歌后会连接到“bev stayart levitra”网站,此为广告治疗男性性功能药物之网站,因而起诉谷歌公司违反威斯康星州关于在线交易及广告不当使用其姓名而获取利益的法律,原告在其诉求被驳回后提起上诉,美国第七巡回上诉法院认为,威斯康星州虽然承认隐私权,而且也有禁止不当使用他人姓名的相关法律规定,但法律对此设定了限制,即只要存在正当的公共利益就难以构成对隐私的侵害,并且原告亦无法提出谷歌公司在使用其姓名与产生广告效益间有何实质关联,因而维持了原判。2010年末发生的“哈维·库尔茨(Harvey Purtz)诉施里尼·华森(Rajesh Srinivasan)案”[10],原告库尔茨要求《加利福尼亚日报》从在线档案库中删除关于他儿子死亡的文章,法官并未支持其诉求,法官认为如果其诉求得到支持,将会与允许公众获得信息的权利相冲突。可见,美国司法实践中对“个人信息被遗忘权”总体上持否定态度,认为已经公开的信息不能再回到私密状态。“个人信息被遗忘权”旨在通过不再允许信息主体以外的第三人获取已经公开的个人信息,实质上是将一定时期内的公共信息转向私人信息[11]。美国法庭倾向于支持“个人信息被遗忘权”对言论自由权的限制将会导致“胆小和自我审查,并且导致五花八门的镇压……”[注]Cox Broadcasting v.Cohn,420 U.S.469,493-496(1975);Gris-world v.Connnecticut,381 U.S.479,482-486.1965.
尽管美国在保护“个人信息被遗忘权”的态度上较为保守,但由于美国和欧盟互为重要贸易伙伴,美国作为信息产业大国绝不愿意失去欧洲的个人信息业务,迫于欧盟的压力,美国和欧盟通过谈判达成了旨在打破美欧之间隐私保护壁垒的“安全港框架”(safe-harbor framework),美国的商业机构只要能够制定并遵守符合安全港原则的隐私保护政策就可以加入“安全港”,并被认定为达到“指令”所要求的“充分保护水平”,进而可以接收和处理来自欧盟的个人数据[12]。不过“安全港”在册的5 500多家美国企业如有违规行为则会遭受被要求删除个人信息以及暂停其身份认证等惩罚。由于“安全港”是以行业自律为主、以行政处罚和法律制裁为辅的一种约束机制,难以达到欧盟《GDPR条例》保护的新要求,欧盟法院于2015年10月6日宣布欧盟“2000/520号有关安全港协议的决定”即告失效,欧盟随即敦促美国出台新的“安全港”计划,否则欧盟将对美国输出个人信息的业务实施全面禁止。2016年7月,美国和欧盟经过艰难谈判达成了对欧盟个人信息保障力度明显大于“安全港”的欧美“隐私盾框架”(Privacy Shield Framework)[13],要求美国企业在处理涉及欧盟的个人信息和加强自然人信息权利保障方面严格履行义务。
首先,欧美对于涉及个人信息隐私权的属性是权利还是自由的认识不同。欧洲对个人信息保护的重视有其深刻的历史根源,“二战”期间纳粹利用国家登记系统掌握了公民广泛的个人信息,为其屠杀提供了便利,欧洲人对此深为恐惧,所以个人信息保护在欧洲被普遍认为是基本人权有其深刻的历史原因。事实上,欧洲早在20世纪50年代就有了隐私及家庭生活权利保护的相关规定,体现在《欧洲人权公约》第8条的规定中。2007年的《欧盟基本权利宪章》第7条也规定了对隐私及家庭生活的保护,其第8条还明确规定了对个人信息的保护,并将其确认为个人的基本权利,要求成员国建立行政的、独立的法律机制来保护个人信息的处理。前述1995年欧盟《个人信息保护指令》中的“信息保护”亦被称为“e化隐私指令”(e Privacy Directive),要求成员国从国家层面保护个人信息,并且须经过本人同意后才能使用个人信息。正是基于上述立法基础,才最终促进了2016年4月《GDPR条例》的通过。
欧盟个人信息保护立法进程表明,欧盟对个人隐私保护推行的是一种“权利至上”模式的保护方式,欧盟成员国政府都承认个人信息权是公民的一项基本权利,其中以德国最为典型,德国法律规定的公民信息自决权实质上来源于《德国基本法》中的个人尊严权。在欧盟统一立法的促进下,欧盟成员国纷纷将个人信息保护内化为本国国内法直接规定的内容,而且欧盟成员国关于个人信息保护立法不仅适用于私法部门,还适用于公法部门,由政府课以保障义务,涵盖范围极其广泛,包括搜集、使用、散布个人信息,且不限制信息类型,只要属于个人信息都一概加以保护。
美国对个人信息隐私的保护相对消极,最初仅局限于个人信息不被揭露的要求,逐步扩大到当下的个人事务自主权。美国宪法并未明文规定信息隐私权的保护,只是在其中第一、第三、第四、第九修正案中有“免于国家侵害之自由”的相关规定。美国对隐私权的立法之所以没有欧盟系统,根本原因在于立法理念与欧盟截然不同,其对于隐私权的保护是从个案判例基于市场导向及自律的角度展开的。由于美国以宪法第一修正案的“言论自由权”为其首要自由,所以在涉及保护信息隐私权时总是首先提出信息自由流通的保障,因而在美国并没有将隐私权提高到与言论自由权同等的地位,反而认为市场也可以提供更为有效及灵敏的手段来保护个人隐私。至于自律则体现在防止企业泄露个人信息的规定上,美国的信息隐私保护规则事实上更偏向于建议层面。美国对隐私权消极保护的态度受到其国内学者的抨击,福特翰姆大学(Fordham University)法学院乔尔·雷登伯格教授(Joel Reidenberg)认为,美国之自律模式不足以保护隐私权,美国应借鉴欧盟对隐私权的相关立法[14]。加州柏克莱大学法学院保罗·施瓦茨教授(Paul Schwartz)则提出信息使用、改变的限制,只有在本人允许时才能使用、改变个人信息[15]。
上述分析表明,欧盟与美国对隐私权立法保护态度的迥异源自于双方法律文化和理念的不同,因而二者对隐私权之定位有所不同。欧盟认为隐私权是一种“尊严”,是主张个人形象、姓名、声誉的权利,其核心是“个人尊严”。以德国为例,德国将自我数据决定权与掌控个人的自我形象、保障个人选择在公众出现方式及避免个人不愿意在公众面前曝光以免除尴尬、羞辱的权利联系在一起。所以,欧盟国家非常重视隐私权的保护,不仅认为新闻媒体是隐私保护最主要的敌人,而且搜集及散布信息之媒介也会给隐私保护带来威胁。美国则将隐私权视为对抗国家的一种“自由价值”,其核心内容是“免于国家侵害之自由”。与欧盟对媒体的防范态度相比,美国对媒体的忌惮程度要低得多,只是侧重于维护个人居住范围内的隐私权。因此,耶鲁大学法学院詹姆士·惠特曼教授(James Q.Whitman)曾以宇宙论之隐喻来比较欧美隐私法的不同:欧洲之隐私法运行在尊严之轨道上,美国则为自由价值所环绕[16]。这句话非常形象地说明了欧美在隐私权立法理念上的差异,这种差异伴随欧盟《GDPR条例》的产生而转化为冲突,形成了欧盟与美国在全球信息流通中的“剪不断、理还乱”的矛盾。
其次,欧美在言论自由与隐私权冲突时最终确定的价值位阶也不相同。“个人信息被遗忘权”在欧美的差异除了法律文化和理念之外,一个重要原因是美国言论自由权的强大影响,隐私权的价值位阶明显低于言论自由。在前述“冈萨雷斯诉谷歌公司案”中,谷歌公司声称正是因为美国尊重新闻及言论自由,才要求像谷歌公司这样的网络服务中间商不得对信息进行审查,因此自己也应当基于“新闻及言论自由”在本案中被豁免。从美国立法与司法现状看,谷歌公司的理由是可能成立的,因为美国的隐私文化一直以自由为价值导向,并深刻影响着大数据时代的网络隐私与言论自由之间的关系。由于将新闻自由及市场自由的价值定位在隐私权之上,所以当新闻自由与隐私权保护发生冲突时,司法实务上隐私权总是退居其次。同时美国学界也有不少学者认为“个人信息被遗忘权”构成了对言论自由的莫大威胁,并质疑“个人信息被遗忘权”将遭到滥用,乔治城大学法学院弗朗兹·维勒教授(Franz Werro)曾大胆预测,若美国实定法采用“个人信息被遗忘权”,恐怕难以通过合宪性检验,更遑论将对言论自由造成寒蝉效应(chilling effect)[17]。可见,即使在大数据时代潜藏着巨大的个人隐私威胁,还有欧盟如火如荼通过立法和司法判例来推动“个人信息被遗忘权”的确立,美国商界和学界仍然近乎本能地排斥“个人信息被遗忘权”。但是,大数据时代隐私权危机确实存在,不容回避,有不少民众对此深感担忧,一些学者甚至向世人发出了社交网络时代隐私权已经死亡的警告[18]。基于此,美国立法者也试图进行化解危机的努力,加州“橡皮擦法案”在某种意义上可以被认为是美国“个人信息被遗忘权”立法的开始。不过加州立法确立的这项权利与欧盟“个人信息被遗忘权”还不可同日而语,它的行使如同一场“戴着镣铐的舞蹈”,而这个“镣铐”就是美国《宪法》第一修正案言论自由及其本国自由至上的理念。
欧盟在隐私权与言论自由的价值位阶定位上更加重视对“人的尊严”的保障,尤其在德国,将“人的尊严”价值作为《德国基本法》的最高立法理念,“人的尊严”在德国的地位如同美国的“言论自由权”一样崇高。鉴于对“二战”纳粹极权统治和残酷战争根源的反思,欧洲人民更加珍视对“人的尊严”的保障,德国立法者更是将“人的尊严”价值作为德国第一大权利。事实上,“人的尊严”价值理念在欧洲大陆有深厚的理性哲学传统,这与康德的哲学思想休戚相关,康德理性哲学的精髓“人只能作为目的而不能作为手段”,反映了对“人的尊严”这一最高价值的尊重。德国学者默勒斯也认为,“人的尊严被议会理事会提升为基本法不可修改的部分,因此,它获得了一种准道德的地位。宪法学将人的尊严与康德哲学联系起来,有趣的是,不是与康德的法概念,而是与他的道德哲学采用的尊严观念联系在一起”[19]。可见,“人的尊严”已成为德国,乃至整个欧盟隐私权立法的基础。尊重“人的尊严”的立法意味着人能够自主决定自己的行为,从个人信息保护角度而言,意味着人享有决定、控制、处理自己个人信息的权利,就是所谓的“个人信息自决权”。大数据时代人们对个人信息的自主控制是“个人信息被遗忘权”立法的内在动因之一,充分体现了对“个人尊严”价值的尊重。
欧美“个人信息被遗忘权”立法及司法实践的差异表明,大数据时代“个人信息被遗忘权”能否从制度层面得到真正的确立,实质上取决于对言论自由与隐私权发生冲突时如何从法律层面予以妥善处理。法理上,隐私自主与言论自由之博弈既涉及私权之间权利边界的划分,又事关公权与私权关系的合理定位。从大数据时代“个人信息被遗忘权”的现实价值和未来前景看,应当在言论自由与隐私权冲突的平衡中完善其法理逻辑的再定位。
在现代法治社会,强调言论自由的重要性自不待言,而隐私权之保护也不容忽视。从信息社会的未来趋势及隐私权保护的角度看,确立“个人信息被遗忘权”这个新型权利甚为必要,但是从保护言论自由的角度看,又必须对“个人信息被遗忘权”这个“新型隐私权”进行限制。所以,如何调节和平衡隐私自主与言论自由之间的关系是确立“个人信息被遗忘权”制度亟待解决的问题。从博弈论的角度看,虽然隐私自主与言论自由是相互冲突的,但在一个权利至上的时代,任何一种权利都不应当绝对化,隐私自主与言论自由的博弈不应是你死我活的结果,应当确立调和两者冲突的理念,积极探寻二者在某些价值理念上存在的交集点。
客观而言,隐私自主与言论自由都有利于促进个人自主。言论自由的价值基础是“个人自主”,即公民自由自主地发表言论,表达思想、主张、见解和观点,这种权利不仅包括“说”的权利,而且也应当包括“知”的权利,“对他人个人信息的揭露”属于“说”的范畴,而是否能“说”又是“知”的前提,对隐私权的保护似乎遏制了“说”和“知”的权利。但从另一角度看,隐私自主保障了“说”者的自由,因为如果每个人都要对自己曾经讲过的话负责到底,那么他可能会因为畏惧遭到揭露而不敢“说”,因而可能会严重抑制个人自主及自我发展,进而可能压抑人们探索自己的喜好。另外,隐私权的保护还可以使人们能够匿名发表言论,无须恐惧他人的报复,可以最大限度参与讨论政治问题、批判社会问题,同时这些言论也可以让他人通过阅读而知晓,这实质上都属于自主及自我决定的核心问题。所以,言论自由及隐私保护均具有促进个人自主的功能,只不过方式不同而已。从“言论自由权”广义的内涵看,不仅包括“说的权利”,而且也应当包括“不说的权利”,信息主体应当拥有“收回自己以前说的话的权利”,也就是要求删除其不想继续公开的信息,如此看来,言论自由权似乎不应排斥“删除权”,与“删除权”同日而语的“个人信息被遗忘权”可以被认为是广义言论自由权的应有之意。
宏观上看,隐私自主与言论自由都是实现民主政治的必要条件。民主政治有两个要件,即公民参与和权力监督,而言论自由既是公民参与的工具也是权力监督的工具,要表达政见、充分交流、对当权者提出批评都离不开言论自由。然而,言论自由并不是毫无限制的,如揭露他人与公益无关的隐私则是法律所不允许的。隐私对于民主社会非常重要,甚至保护隐私也应当构成民主政治的一部分,如投票、集会以及公民参与对权力的监督,为免于受到报复,一般都采取匿名的方式,如果此时不对隐私加以保护,必然会使民众无法畅所欲言。所以,言论自由与隐私保护都是实现民主政治不可缺少的条件,“个人信息被遗忘权”在共同推进民主政治的进程中也可以寻找到必然的交集。
言论自由作为一项宪法性权利,其背后所代表的利益更多层面属于“公益”的范畴,正因为言论自由可以保障公民批评监督政府和公权力,防止权力的滥用导致对公民权利产生侵害,所以言论自由可以间接保障公民的私权利,譬如对“警察非法侵入他人住宅”的行为提出批评,实际上就间接保障了公民的住宅权。同理,虽然隐私自主直接对应的是“私益”保护,但宪法作为“一张写着人民权利的纸”,作为公法的宪法不能回避诸如“被遗忘权”等新型私权的保护。任何借口“私益”服从“公益”而随意侵害诸如“被遗忘权”等私权利的做法都是对权利平等原则的亵渎。
隐私自主与言论自由的博弈必须围绕“公益”与“私益”的衡平。在大数据时代,尽最大可能保障公共信息有效传播的同时,必须保障公民信息自主的权利,在保护言论自由的同时必须考虑对隐私自主的保障。近年来,美国在强调言论自由的同时也逐渐开始关注隐私权立法保护,如2010年12月联邦交易委员会公布了一份有关保护消费者隐私的初步报告,目的是为相关政策制定者提供制定隐私概括性保护的指导[20]。不久后,美国商务部公布了有关“网络经济下商业数据隐私暨创新”报告,报告中设定美国隐私保护政策有四个主要目标:透过信息合理使用原则以促进消费者联机操作、通过与政府之合作以鼓励自愿性且可执行的隐私规范发展、鼓励全球性信息互通、确保国家一致的隐私规范[21]。
事实上美国也在逐渐加强对隐私权的保护,虽不能在短期内与欧盟在诸如“个人信息被遗忘权”等新型私权的立法上达成共识,但美国与欧盟就信息保护的相关法治合作领域仍然可以在实务上寻求契合点。由于“个人信息被遗忘权”的法定化必须建立在隐私自主与言论自由衡平、厘定的基础上,在欧盟隐私权保护与美国捍卫言论自由“针锋相对”的形势下,欧盟其实并未忽视衡平隐私权与言论自由之间的冲突,而美国的司法也在逐渐增强对隐私权的保护。大数据时代欧盟“个人信息被遗忘权”等新型私权立法某种程度上加速了全球数据信息保护标准一致性的推进步伐,欧美逐步趋同的认识是强调隐私权利保护时不能忽视言论自由和公共信息的有效传播,强调言论自由与鼓励公共信息传播优先的同时也不能忽视对隐私权的保护。
“个人信息被遗忘权”等新型私权的确立是大数据时代人权保护的必然要求,但是任何权利都有其边界,“个人信息被遗忘权”的行使同样需要法定的限制条件。笔者认为,“目的和约定优先”是推动隐私自主与言论自由博弈达到协调的关键,“个人信息被遗忘权”也只有坚持“目的和约定优先”原则才能在保障言论自由的框架下不断拓展其生存空间。
所谓“目的优先原则”,是指信息收集主体在收集储存某种信息的目的已经实现的情况下,就不应当再对被收集信息对象的其他信息进行收集,也就是在目的实现后其他信息应当被删除或“被遗忘”。另外,“目的优先原则”的题中之意还包括信息收集主体在收集储存某种信息的目的无法实现的情况下,也不应当再对被收集信息对象的其他信息进行收集。尽管对被收集信息对象的其他信息进行收集可能是为了进一步佐证或者实现最初的目的,但在收集目的已经实现或者目的无法实现的情况下,对其收集的不能证明其目的的所有信息都应当删除或“被遗忘”。需要强调的是,如果收集信息的主体怀有非法目的和动机而收集他人信息,则会触犯法律明令禁止的条文,法律应当禁止其借口言论自由而将这些信息上传网络。
“约定优先原则”是指信息收集主体与被收集信息者之间存在约定的情形下,信息收集主体只能对在约定范围内的信息进行收集,超范围的信息则应当删除;或者信息收集主体与被收集信息者之间虽然不存在约定,但是在被收集信息者对已经被收集的信息以声明或其他合法的方式明确提出删除、修改或更正,或者明令禁止信息收集者继续收集使用其信息的情况下,信息收集者(包括网络服务提供者、用户和社会组织)应当尊重其决定,将相关信息设置于“被遗忘”状态。上述第二种情形类似于美国保护网络知识产权中的“红旗规则”,即未经权利人许可,任何上传知识产权保护的信息到网络空间的行为并不当然违法,除非在权利人发布申明、通知删除或者申请禁令后信息传播者仍不改正。
从权利空间布局的角度看,确立“个人信息被遗忘权”实质上是在网络“公共空间”中划分出“私密空间”作为隐私信息的载体。尽管在网络上个人或者其他私法主体可以建立“私密空间”,但是基于现代网络信息的特点,“私密空间”即使有密码保护等手段来保障其“私密性”,也可能无法保证该“私密空间”不受他人窥探或传播。所以,只有赋予信息主体可以自主删除或“个人信息被遗忘”的权利,这样的“私密空间”才是法律意义上的“权利空间”。另外,虽然在网络“公共空间”中应优先保障公共信息的安全和有效传播,但公共信息的传播不可避免会涉及个人信息的保护问题,如果在这个“公共空间”完全不考虑个人信息保护,那么在网络空间保护个人隐私极有可能成为一句空话。所以,在网络“公共空间”中必须根据严格的条件划分出“私密空间”,在特定的情形下也必须赋予信息主体“被遗忘权”,隐私自主与言论自由的权利空间布局才能得到规范,其权利行使的合理性才能得到保证。
基于优化国家管理和保障公民基本权利的需要,法律必然要在“公共空间”和“私密空间”之间的布局上实现恰当的平衡,从而实现隐私自主与言论自由的协调统一,最终保证公民既积极参与公共事务,又能对自身的隐私权利进行必要保护。国家在网络环境下划分“公共空间”与“私密空间”界限的一个重要方式就是赋予信息主体“被遗忘权”,从而为权利和权力之间划清边界。以反恐为例,“公共安全至上”使得“私密空间”的个人信息权利受到挤压,尤其在广场、街道、商场、宾馆等线下的“公共空间”采集的个人信息以及网络公共空间存储的个人信息,个人在何种情形和条件下有多大权利要求相关信息“被遗忘”,取决于国家对“私密空间”权利和“公共空间”给予多大程度的隐私权利的法律界定,特别是在推崇言论自由和坚持公共利益至上的条件下,规范隐私自主与言论自由的权利空间布局显得尤为重要。