个人金融数据保护“被遗忘权”的适用

张 婧

西安培华学院，陕西 西安 710065

一、个人金融数据“被遗忘权”基本概念

2016年4月欧盟通过《一般数据保护条例》(以下简称《条例》)，首次立法确立被遗忘权。第17条规定：“数据主体有权要求控制者无不当延误地删除有关其的个人数据，并且在下列理由之一的情况下，控制者有义务无不当延误地删除个人数据：(a)就收集或以其他方式处理个人数据的目的而言，该个人数据已经是不必要的；(b)数据主体根据第6条第1款(a)项或第9条第2款(a)项撤回同意，并且在没有其他有关(数据)处理的法律依据的情况下；(c)数据主体根据第21条第1款反对处理，并且没有有关(数据)处理的首要合法依据，或者数据主体根据第21条第2款反对处理；(d)个人数据被非法处理；(e)为遵守控制者所受制的联盟或成员国法律规定的法定义务，个人数据必须被删除；(f)个人数据是根据第8条第1款所提及的信息社会服务的提供而收集的。”个人金融数据是金融机构在开展业务时，获取、处理、存储的个人身份信息、财产信息、交易信息、信用信息等(本文关于“数据”与“信息”的表述不作实质区分)。随着互联网、云计算、区块链等数据技术深入应用于金融行业，大数据征信应运而生。大数据技术使得征信对象范围更为广泛，数据采集和处理的效率、准确度提高，分析结果能更为客观地反应个人信用状况，为互联网金融发展提供了重要保障。但同时，基于运营成本、工作效率、技术难度等因素的影响，征信机构在数据收集处理过程中，难以区别处理个人一般数据与隐私数据，且基于其处理数据的“合法利益”，不接受数据主体提出的同意权、更正权、删除权等请求。因此，当个人信息自决与大数据征信发生冲突时，法律操作应当是在大数据征信需求与征信给当事人造成的影响间加以权衡。

二、我国个人金融数据被遗忘权适用实践

(一)立法实践

《民法总则》第111条首次确立“个人信息权”，虽然被遗忘权不同于个人信息权，二者相互独立，但民事基本法首次确立个人信息权益保护，为被遗忘权的引入提供了可能。《侵权责任法》第36条第2项确立了避风港制度，初步规定了网络运营者的信息删除义务。《网络安全法》第43条规定首次明确规定“网络运营者删除权”。本条规定前半段指网络运营者违法或违约而承担数据删除义务。此即为违反数据处理“合法性”原则。规定后半段则是数据更正权的适用条件。可见，该规定并不完全符合被遗忘权的适用条件。《征信业管理条例》第16条规定了针对个人不良信息保存的期限及删除。但其中“不良信息”的认定标准并不明确，不良信息既可以指负面的，减低个人信用程度的信息(如：逾期未还贷款、违约信息等)，也包括那些非直接负面的但会对主体造成影响的信息(如：已完成的贷款记录、已完成的分期交易记录等)，后一种是被遗忘权的适用范围。目前，我国许多法律文件都基本确立了个人信息处理的目的限制原则，为引入被遗忘权奠定了基础。

(二)司法实践

国外有关被遗忘权适用的典型案件为“谷歌诉西班牙数据局”案。案件争议的焦点之一：当数据主体认为该信息对自身利益有影响，甚至仅仅想他人遗忘该信息，主体能否行使删除权，请求已知的第三方消灭该数据。欧盟法院的终审判决认为：①搜索引擎运营商履行的删除义务是独立的，与有关网页所载信息是否合法、真实无关，也不以该网页事前或者同时删除有关资料为条件；②当信息准确但已超过信息处理的原始目的或信息保存已不再必要时，除非公共利益需要，该信息及其链接就应当被删除掉。这一观点即为“被遗忘权”的核心内涵。国内被遗忘权第一案是“任某玉诉某度案”。案件中，法院认为：由于信息发生的时间间隔较短且信息内容与当事人目前职业密切相关，任甲玉无权要求删除该信息，遂驳回原告诉讼请求。由此可见，国内司法实践不仅未武断地否定被遗忘权存在，且采用了“被遗忘权”适用的论证逻辑，为引入被遗忘权保留了司法实践空间。

三、个人金融数据被遗忘权解释适用的路径

(一)权利义务的主体

权利主体是金融数据的主体，即自然人，包括儿童(未成年人)。可参考《条例》第17条规定，依据民事法律中监护制度，由监护人辅助儿童行使权利。义务主体是金融数据控制者，包括采集、处理、使用个人数据的一切主体。依据“谷歌”案中欧盟法院判决思路，数据控制者可进一步分为两类：一是数据源控制者(即直接与数据主体相关联的第一次采集数据的主体)；二是已知第三方(通过共享、交易等多种方式获得数据的主体)。其中，已知第三方当然是被遗忘权的义务主体，承担独立的删除义务。而数据源控制者承担义务情况可分为两种情况：情况一：数据源控制者是传统媒体，如“谷歌”案中首次报道信息的主体是当地报纸。此时，由于传统媒体影响力有限，查阅困难，对主体影响力较弱。因此，此类数据源控制者可以不作为义务主体；情况二：数据源控制者是互联网媒体。此时互联网传播力大查阅容易，应结合公众知情权、舆论监督权、公共利益保护等需求，综合判断该主体是否为义务主体。

(二)权利适用范围

划定个人金融数据被遗忘权保护的范围应当综合考量以下要素：

1.目的限制要素。“目的限制”原则是被遗忘权的基础。目的的实质条件包括了：数据与行为目的的关联度、数据与主体“人格特性”的关联度、数据对主体的影响程度等。如个人借贷信息包括：未完成贷款信息、逾期未还款信息、已完成贷款信息。对征信机构而言，这三类数据的目的限制判断各不相同。征信机构收集个人借贷信息的核心目的在于评价该用户信用状况，防止欺诈，提高放贷质量。未完成贷款信息直接反映借贷人的还款能力，与征信机构行为目的关联度较高；逾期未还款信息(即违约信息)严重影响借贷人信用水平，与征信机构行为目的密切相关；已完成贷款信息(即借贷人已按期如约履行还款义务)，该信息并不能反映或者影响个人信用状况，与征信机构行为目的关联度较低。且该信息可能影响数据主体“人格特性”的塑造，对其生活造成伤害。因此，诸如已还清贷款信息、已完成分期交易记录、以履行终结的法院判决、破产免责或债务重组的破产信息等都应综合考虑目的的实质内涵具体判定。

2.时间要素。利益平衡不是静态的平衡，而是一种动态的分析过程。数据信息价值、主体利益会随时间推移此消彼长，不断变化。如“任甲玉诉百度案”中，法院认为：信息反映的事件刚发生不久、间隔时间短且信息内容与当事人目前职业联系紧密。因此，该信息不属于被遗忘权保护范围。那么，十年前完成的金融产品交易信息，对现在征信机构、一般公众有多大意义和作用呢？数据价值判断应当放在纵向时间轴中间动态判定，该结果才具有实际意义。

(三)例外

1.公共利益。公共利益可以成为被遗忘权适用例外，但在法律解释上应从严把握公共利益的界定，针对具体案情，确定公共利益实际范围，避免其成为数据侵权的借口。

2.学术或统计研究。学术或统计研究是数据的重要价值之一。因此，援引《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，在个人书面同意，信息脱敏处理后，可以被适当处理。

(四)权利行使方式

《条例》第17条规定：数据主体通知控制者删除数据，即可达到消灭数据的目的。而，被遗忘权与删除权不同，被遗忘权只是暂时的将数据与当事人“脱离”，仍保留了恢复数据的可能性，并非彻底消灭数据。因此，被遗忘权的行使方式不能是简单地删除，而应采用“封存、断开链接”等较缓和、间接的手段。