个人信息被遗忘权的论争与制度建构

刘利平，何玉婷

(1.盐城师范学院 公共管理学院，江苏 盐城 224007；2.上海方本(盐城)律师事务所，江苏 盐城 224000)

自人类诞生以来，“被遗忘”就是难以逃避的宿命之一，但是，信息时代到来以后这种状况发生了质的变化，互联网数据的留痕性决定了信息“被遗忘”反而成了难题。基于人权至上和个人隐私保护的需要，公民希望个人的某些信息“被遗忘”，但因为法律缺失和保护的失范，其愿望无法达成而带来无尽的困扰。因而，将个人信息“被遗忘权”确立为一项法律权利并在实践中加以实现，不仅是朴素的权利价值追求，而且确有其现实需要。近年来，欧盟通过《通用数据保护条例》(简称GDPR)，正式从立法上确立了个人信息“被遗忘权”制度，并通过司法实践在欧盟成员国国内将该权利形成为现实权利。“任甲玉诉北京百度网讯科技有限公司案”是我国首个关于“被遗忘权”的司法案件，引起了国内学者关于是否以及如何引入“被遗忘权”的激烈争论。笔者认为，我国应当顺应大数据时代个人信息权民事权利化的潮流，通过《民法典》以及个人信息保护专门立法确立个人信息“被遗忘权”法律制度。

一、个人信息“被遗忘权”概述

(一)个人信息“被遗忘权”的源起

个人信息“被遗忘权”的早期实践探索可以追溯到法国的“忘却权”[1]，即对于刑满释放的罪犯，可以依据“忘却权”申请删除其在公共记录中的犯罪信息。从立法目的看，法国的“忘却权”旨在促进犯罪人员的人格自由发展，让曾经犯罪的公民获得更加自由和平等的发展机会。“忘却权”本质上就是一个鼓励人“二次发展”的权利，因为删除曾经犯罪公民的相关记录，有利于其彻底地改造和发展。从公平角度看，“忘却权”有利于落实有关反歧视法的精神，对于那些有不良记录的人重返社会，获得平等的对待，具有明显的现实意义。

信息时代到来以后，公民对需要忘却的信息对象诉求向非犯罪信息扩展，“忘却权”逐步演进为“被遗忘权”。“冈萨雷斯诉谷歌案”是“被遗忘权”在欧盟司法上的首次实践。1998年，西班牙《先锋报》根据西班牙劳动和社会事务部的指示，公布了冈萨雷斯因无力偿还债务而被拍卖物业的通知，并以电子版的形式上传网络。2009年11月，冈萨雷斯发现如果在“谷歌引擎”中搜索他的名字，就会得到有关他房产拍卖的信息。冈萨雷斯认为，他早就还清了债务，现在这个信息与现实状况不符，该信息的留存侵害了他的尊严和名声，使他感到特别难堪。出于维护自己名声的目的，他要求《先锋报》删去该信息或更改页面，让这些消息不再显示。然而，《先锋报》认为公告依据的是西班牙劳动与社会事务部的指示，故其无权删除该信息。因此冈萨雷斯向西班牙数据保护局提出申诉，要求《先锋报》删除该信息、谷歌公司删除网页上的数据链接。

随后，该案被提交给欧盟法院审理，欧盟法院认为，互联网搜索服务提供商在信息主体提出诉求时，有义务删除“过时、不相关、不适当”的网页链接，本案中谷歌公司应当删除有关冈萨雷斯拍卖房产的网页链接。该裁决结果意味着“被遗忘权”正式得到了欧盟司法机关的认可，表明了欧盟从司法上正式确立了个人信息“被遗忘权”。

“冈萨雷斯诉谷歌案”里程碑式的意义在于，表明了法国的“忘却权”已经发展成为欧盟的个人信息“被遗忘权”。从适用对象来看，法国“忘却权”的适用对象仅仅局限于罪犯的犯罪信息，而该案中则发展为房产信息，不再限于犯罪信息。从适用的地域范围来看，“忘却权”只在法国适用，而“被遗忘权”在整个欧盟内适用，并且呈现扩大适用的趋势。

(二)个人信息“被遗忘权”的涵义

通常认为，个人信息“被遗忘权”是互联网语境下的一种“新隐私权”主张。但是，“被遗忘权”尽管与隐私保护密切相关，与隐私权却不能划等号。因为“被遗忘权与隐私权等具体人格权之间相互独立，不应简单等同”[2]。杨立新教授认为，“被遗忘权”指对发布在网络上的不合理的、陈旧的、继续存在会降低信息主体社会评价或带来负面影响的信息，信息主体有权要求数据控制者进行信息删除[3]。也即，只要用户不想让自己的不合理的、过时的信息在网络中存在或者被其他人使用，就有权利要求数据控制者对信息进行删除。还有学者将“被遗忘权”启动的条件设置得更为容易，认为“被遗忘权是合法发布或正当处理的数据，脱离数据主体控制时权利人可以主张删除的权利”[4]。

可见，“被遗忘权”的权利主体是数据主体，即网络中的用户；“被遗忘权”的义务主体是数据控制者，即搜索引擎、网络软件的开发者等为用户提供展示个人信息平台的公司及个人；“被遗忘权”的对象是个人数据，即与网络用户密切相关的个人信息，主要是那些过时的、没有存在价值或者会给用户带来隐私安全和负面影响的信息。

(三)个人信息“被遗忘权”的性质

“被遗忘权”最早源于与刑事司法相关的“忘却权”，目的是为了促进犯罪人员的“二次重生”和人格自由发展，所以该权利应当归属于公民权利范畴。虽然有学者认为，“被遗忘权”既非隐私权在现代社会中新的表现形式，也不能成为一项独立的公法权利，因此，不能将“被遗忘权”作为一项法律上的权利看待[5]。但笔者认为，大数据时代到来后，在当前信息隐私权保卫战已经开始的情况下，信息资源的充分利用必须平衡相关权利保护，就具体权利性质而言，应当将个人信息“被遗忘权”定位为一般人格权。

正如杨立新教授指出，“被遗忘权”应归于人格权，是一项民事权利，具有人格性质，因为“被遗忘权”的客体所涉及的信息是可以辨别的，这些信息可以直接显示出数据主体的人格特点，即便不能直接显示，也可以综合有关信息联系到本人[3]。也即，之所以认为“被遗忘权”属于人格权，主要是因为它的客体中所涉及的信息就包含有指向性的个人信息。例如在“冈萨雷斯诉谷歌案”中，网络上的拍卖房产信息具有特定指向，明确指明了对象为冈萨雷斯。

二、欧美个人信息“被遗忘权”立法差异及启示

(一)欧盟个人信息“被遗忘权”立法

欧盟关于个人信息“被遗忘权”的保护主张最早见于1995年颁布的《个人数据保护指令》(简称“95指令”)，该指令是处理欧盟内部个人数据的指令，该指令虽然没有明确规定“被遗忘权”，但其中第12条第2款规定：“各成员国应该保证资料主体对于资料控制者的权利：当资料的处理违反本指令，特别是当资料不完全、不准确时，资料主体有权纠正、删除或切断该资料。”2010年，欧盟司法专员向欧洲议会提出了关于个人信息“被遗忘权”的议案，欧盟于2012年颁布《通用数据保护条例》(General Data Protection Regulation，简称GDPR)，该条例已经于2018年5月25日生效。

GDPR第17条规定：“在下列情形下，用户有权要求企业及时删除其个人数据：(1)该数据之于其收集、处理目的不再必要；(2)用户撤回其同意，并且没有其他正当理由支持继续处理该数据；(3)用户反对处理其个人数据，并且没有其他正当理由支持继续处理该数据，或者出于直接营销目的处理个人数据，遭到用户反对的；(4)非法处理个人数据的；(5)为了遵守企业在欧盟或者成员国法律之下的义务，必须删除该数据；(6)为提供信息社会服务，经其监护人同意而处理儿童个人数据的。上述规定适用于已经公开的个人数据，此时，企业应当采取合理措施，删除个人数据的链接、复制件等。”可见，欧盟正式通过立法确立的个人信息“被遗忘权”具体明确，可操作性强。

与“95指令”不同的是，GDPR在很多方面做了改善。一是扩大了适用范围。“95指令”的适用范围限于欧盟内部建立控制器和使用位于欧盟内部的设备以处理数据的情况，而GDPR规定了它所管辖的范围内涵盖的所有处理欧盟居民数据的公司以及在欧盟地区的企业都必须要遵守GDPR。二是增强了数据主体的权利。GDPR既包含了“95指令”中数据主体已经拥有的权利，还赋予数据主体数据可携带权、被遗忘权、限制数据处理的权利、知情权、访问权、修正权、拒绝权共七项权利。

(二)美国对个人信息“被遗忘权”的引入

美国理论界认为，确立个人信息“被遗忘权”将会对言论自由产生巨大的冲击。由于数据起到告知信息、启发思想的作用，美国法认为，数据就是言论[6]。美国对个人信息“被遗忘权”在法律体系上不予认可，主要是认为该项权利背离了美国宪法第一修正案中规定的言论自由和出版自由[7]。而且，美国法院在司法实践中对个人信息“被遗忘权”一般也不予承认。从经济战略和产业利益博弈的角度看，美国极度重视商业自由和互联网经济的发展，美国之所以排斥个人信息“被遗忘权”，实质上是为了保护数据自由流通优先的信息产业利益。因为，美国的网络经济发展处于世界顶尖水平，全球有影响力的互联网企业大部分来自美国。“被遗忘权”法律制度要求互联网企业必须投入更多的时间和金钱来保护公民个人信息，必然会增加企业的成本和负担。自欧盟个人信息“被遗忘权”立法以来，谷歌公司面对了多场诉讼，极大地损害了谷歌公司的商业利益，谷歌公司甚至认为这是其他国家限制其进入国际信息服务市场的障碍，侵害了其商业自由与商业利益。

不过，美国并非完全排斥个人信息“被遗忘权”，美国各州对待“被遗忘权”态度不尽相同。例如，加利福尼亚州在2013年通过并于2015年生效的第568号法案，该法案被称为“橡皮擦法案”，适用对象为加利福尼亚州境内的未成年人。该法案规定了Twitter、Facebook等社交网站公司应当允许未成年人擦去自己的上网痕迹，这赋予了未成年人再次选择的机会，避免日后因为年少时缺乏网络安全意识而给自己带来隐患，保护了未成年人的信息权益。

总之，美国并不是完全排斥“被遗忘权”，部分州也存在对“被遗忘权”的规定及实践。需要指出的是，美国是信息业十分发达的国家，作为信息业强国，基于发达的信息产业利益驱动，美国对个人信息“被遗忘权”难免带有抵触心理。但是，由于保护人权的“法律初心”和终极目标追求，信息时代“被遗忘权”制度的价值亦有可能得到美国更多州的广泛的承认和推崇。

(三)欧美立法差异分析及其对我国的启示

欧盟和美国之所以对“被遗忘权”态度不同，首先是因为欧美法律文化传统的差异，加之欧洲历史上有着人权遭受践踏的惨痛历史，人们对于保护人格尊严不受侵犯更加重视，正如《欧洲人权公约》第8条规定：“人人有权享有使自己的私人和住宅生活、家庭和通信得到尊重的权利。”虽然美国也重视人权，但美国更加重视言论自由，并且特别强调个人在面对政府权威时所享有的自由。除了崇尚言论自由外，美国还特别注重经济的自由发展，认为过度的信息保护会妨碍经济的发展，因而更加注重信息的使用与交流。所以，不同的隐私传统以及利益驱动因素决定了美国很难像欧盟那样确立个人信息“被遗忘权”。

所以，在对个人信息保护的模式选择上，美国利用大隐私权保护个人信息，对个人信息“被遗忘权”并不热衷，而欧盟则采取隐私保护和信息权保护分开的方式强化对个人信息的法律保护。但是，需要注意的是，信息和隐私有时难以区分，隐私权与信息权也是两种有差异的权利，尤其在互联网时代，信息科技的迅猛发展和大数据的广泛应用，其直接的副作用就是威胁个人信息和隐私，客观上已经导致了每个人可能都在互联网上“裸奔”。可见，吸取美国和欧盟相关制度实践的经验教训，并结合我国实际，研究大数据时代我国个人信息危机的法律应对十分必要。

由于目前我国还没有关于“被遗忘权”立法的明确规定，在互联网使得记忆成为永恒的情形下，“被遗忘权”在相当程度上可以对个人信息起到保护作用。我国是一个既注重言论自由也注重隐私保护的国家，在宪法明确规定公民言论自由以及民事法律注重隐私权保护的背景下，我国在构建个人信息“被遗忘权”制度时，必须处理好信息删除与言论自由的关系、隐私保护与信息保护的关系。笔者认为，我国个人信息“被遗忘权”立法总体上应借鉴欧盟GDPR，同时也应当借鉴美国对于相关信息产业利益保护的态度，平衡好人权保护与产业利益追求之间的关系。

三、我国个人信息“被遗忘权”立法及司法问题

(一)我国立法未明确规定“被遗忘权”

在立法层面上，我国仅有关于个人信息“删除权”的规定，并无“被遗忘权”的明确规定。不过，“被遗忘权”在我国现有法律体系内存在直接的法律基础[8]。例如，2017年6月《网络安全法》第43条规定：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”2017年10月《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”从近年来我国立法有关“删除权”的规定看，“被遗忘权”正在被认真对待，有必要对其进行系统明确的规范。

然而，我国目前尚未形成健全的包括“被遗忘权”在内的个人信息法律保护机制。实践中，当个人信息遭受侵害后，我国更加注重刑事上的惩罚，虽然通过对个人信息犯罪的打击能够对个人信息形成有力保护，但对于不构成刑事犯罪的大量个人信息侵害行为，不赋予民事权利救济和民事赔偿，显然与法律公正精神相悖。特别是个人信息一旦泄露，通过网络的迅速传播，挽回的可能性几乎没有，数据主体基于人权保护的需要应当有权要求个人信息“被遗忘”。所以，建立公法和私法相协同的法律保护机制，保障用户的个人信息在网络中处于安全状态极为重要。

(二)我国司法实践未确认“被遗忘权”

“任甲玉诉北京百度网讯科技有限公司案”是我国司法实践中涉及“被遗忘权”的第一案，本案的争议焦点是对任甲玉的主张能否适用“被遗忘权”予以支持。法院认为，任甲玉的诉求其实是通过诉讼的方式要求将对自己不利的信息从网络上删除，这种权利主张类似于欧盟立法和司法中的“被遗忘权”，但由于目前我国立法并无“被遗忘权”的明确规定，“被遗忘权”属于一种人格利益，要获得保护需证明其正当性和应予保护的必要性，但是任甲玉并未能予以证明，而且百度公司在网页上展现的有关内容及网页链接是对客观事实的描述和反映，并没有侵害任甲玉的权益，因而驳回了原告任甲玉的全部诉讼请求。

事实上，诸如任甲玉主张的“被遗忘权”人格利益保护的正当性和必要性，不能简单地用任甲玉未予证明而加以否决。但是，法院基于保守和中立的需要，在法无明文规定的情况下司法实践中并未确认个人信息“被遗忘权”，虽在法理之中但有悖情理。因而笔者同意学界的主张，即“通过在司法领域展开被遗忘权的个案救济，既可为将来的被遗忘权立法保护奠定基础，也有利于解决目前司法实践中有关当事人主张被遗忘权的法律适用难题”[9]。

四、我国个人信息“被遗忘权”制度的建构

(一)“被遗忘权”在中国本土化的可能性

我国理论界对于是否应当引入“被遗忘权”存有争议。反对引入个人信息“被遗忘权”的理由，主要包括以下几方面：首先，我国“被遗忘权”建构并非是一项紧迫的任务，从外部压力来看，中国互联网经济具有明显的内向型特征[1]。因为，目前虽然我国的网络经济十分发达，但是我国的互联网经济大部分局限于国内，与国际的联络、交流程度不高。从内部压力来看，我国关于要求删除信息而引发的纠纷和诉讼案例还很少，目前较为典型的也只有上文提及的“任甲玉诉北京百度网讯科技有限公司案”，并且该案以原告败诉告终。其次，“被遗忘权”将会损害公众知情权。因为个人信息虽然具有“个人”的一面，是与个体主义相关的权利，但个人信息也同时具有“信息”的一面，是与社会和公共空间密切相关的，对于社会和公共空间来说，除了照顾个体的合理预期之外，也必定会期望个人信息的合理流通与社会的合理期待[10]。“被遗忘权”一旦确立，有些网民可能会请求一些网站或者搜索引擎删除自己曾经留下的个人数据，尤其是一些会给自己带来负面影响的信息。再次，“被遗忘权”会限制言论自由，并且有可能造成价值冲突[11]。因为，一旦确立“被遗忘权”，由于大家对个人信息的重视，为了避免日后自己的“黑历史”被一些人翻出来，一些人很有可能会选择在网络上不发声，对网络上的信息也不发表评论，这不仅违背言论自由权的目的和初衷，事实上势必限制人们行使言论自由权。最后，技术限制与“被遗忘权”实效性之间存在明显冲突。因为大数据的应用存在两难的困境：大数据技术之本身目的为辨识出如何达成应用目的之途径，但是反复辨识的结果，终将揭露个体的身份与其人格内涵。一条信息被发出后，经过转载、评论、截图保存等各种方式传播到了世界各地，不可能在网络中被删除得一干二净，完全遗忘只是人们的理想期望，在现实生活中几乎无法实现这个目标。

支持引入“被遗忘权”的理由主要包括：首先，应当肯定被遗忘权的本土存在价值与独立属性[12]。“被遗忘权”是对人格自由发展的保障，它给予了那些有不良记录的人新的机会，使他们在社会上得到了“重新回归”的公平待遇，正如当年法国“忘却权”的初衷，通过行使“忘却权”，给曾经的犯罪人员以第二次发展的机会。其次，“被遗忘权对个人数据的保护是值得肯定的”[13]。在网络技术还没有发展的时代，人们主要依靠大脑记忆来储存信息，但是人脑记忆是有限的，通过大脑记忆保存的信息会随着时间的流逝慢慢变淡直至消失。信息时代个人信息存储方式主要依靠计算机和网络，计算机和网络记忆让个人不愿意被记忆的信息也永存其中，有时不免与人权保护和现实要求相悖，而个人信息“被遗忘权”制度恰恰可以对其加以矫正。再次，“被遗忘权”可以降低信息侵权案发率，特别是对于应对未成年人的隐私风险具有积极的意义[14]。国内目前关于个人信息保护的立法尚不完善，往往在个人信息受到侵犯时难以得到及时有效的解决，对于侵权者的惩罚力度较小，不能引起那些泄露他人信息、侵犯别人隐私的侵权者的重视。如果能够确立“被遗忘权”制度，客观上会有效减少信息侵权案件的发生，特别有利于加强对未成年人信息隐私的保护。最后，确立“被遗忘权”制度其实更有利于实现言论自由。“被遗忘权”已脱离传统隐私权的范畴，成为个人信息权的重要组成部分[15]。由于人们对个人信息保护的意识越来越强，甚至有些抗拒在网络空间展示自己的个人信息，网络空间更多成为他们获取信息、知识的来源，而不是他们发表言论的舞台。我国宪法规定要保障公民言论自由，确立“被遗忘权”制度，能够使人们更加放心地在网络平台上发表言论，有利于公民的这个宪法权利在大数据时代真正得到落实。

我国应当顺应网络全球化以及个人信息权民事权利化的国际潮流，在未来《民法典》和个人信息专门立法中引入“被遗忘权”制度，扩大公民对于个人信息保护的权利。

第一，引入个人信息“被遗忘权”顺应公民对个人信息保护意识逐步提高的大势。“被遗忘权”体现了个人自治的法治精神，可得行使与否，既要考察个人是否存在值得优先保护的利益，也要结合保护的目的而定保护的程度[16]。个人信息被泄露的事件频频发生，使公民的个人信息保护意识逐步增强。在2017年3月，微信朋友圈推出“仅三天可见”权限设置，允许朋友查看朋友圈的范围从全部到最近三天，反映了人们对于自身隐私的重视。信息时代发朋友圈、发微博满足人们“被关注”欲望的同时，人们又担心信息曝光后自己处于“被监视”状态，于是“仅三天可见”这种权限设置应运而生。事实上，大数据时代人际交往不能一味地“屏蔽”，也不能一味地“公开”，为了达到两者平衡，“被遗忘权”呼之欲出。“三天朋友圈”正是一种有限被遗忘，不失为现代社会人际交往的一种方式[17]。

第二，智能技术对个人信息的过度侵犯呼唤“被遗忘权”。在智能技术日新月异的时代，网络用户都会对自己的个人信息安全存在担忧，人们也因此有可能越来越不喜欢在社交媒体上发布信息。不评论、不留言、不转发、不点赞似乎成了聪明人的常态，因为只要不在网络中留下痕迹，那么智能机器也就不能对他们的喜好进行分析。但实际情况却是，互联网可以借助大数据分析、个性化推荐等技术来获取用户的喜好数据，随后为用户推荐个人感兴趣的内容。对于某些用户来说，这些过于精准的个性化推荐是一个“恐怖的存在”，他们会感到所有的公司、应用软件都在搜集信息、出卖信息和购买信息，用户在网络中毫无藏身之处。所以，人们在享受智能技术便利的同时，需要个人信息“被遗忘权”作为人们遨游互联网的“安全阀”。

第三，管控网络恶意删帖行为需要“被遗忘权”制度。目前，不正当删帖、有偿删帖、职业删帖在网络中已经形成一条灰色产业链，这些恶意删帖的行为严重影响了网络生态环境[18]。一些网络机构、组织或者个人可以利用设置权限来影响、控制舆论走向，或者向请求删除人索取高额回报，使网络成为他们敛财的工具。这些违规行为严重影响了网络信息正常的传播秩序。因此，规范的“被遗忘权”制度确立后，将极大地利于遏制和管控恶意删帖行为。

第四，确立“被遗忘权”是我国网络经济与信息产业融入国际市场的迫切需求。虽然我国目前没有关于“被遗忘权”的明确立法，但为了适应并积极参与经济全球化，我国的网络经济和信息产业势必会进一步强化与国际接轨。所以，个人信息的传播不应该也不可能仅仅局限于国内，这就要求我国借鉴欧盟GDPR规定的“被遗忘权”，这既有利于我国网络经济与信息产业融入国际市场，同时也是顺应经济全球化、网络全球化和法律全球化的必然要求。

(二)借鉴“欧盟标准”建构“被遗忘权”制度

个人信息“被遗忘权”制度源自欧洲，有其存在的特定文化传统和时代背景，但我国不能对此盲目照搬移植，正确的做法是既要借鉴国外的成功经验，又要结合我国国情构建符合中国实际的“被遗忘权”制度。总体而言，我国“被遗忘权”制度的构建应从明确权利性质、规范立法内容和确定立法模式与层次等方面进行系统推进。

从“被遗忘权”的性质看，我国的“被遗忘权”应当定位为一般人格权。因为“被遗忘权”客体中所涉信息符合一般人格权权利客体，具有高度概括性的特征。事实上，把个人信息“被遗忘权”定性为一般人格权，与我国《民法总则》第111条一脉相承。笔者认为，《民法总则》第111条确立了个人信息的私法保护基础，彰显了民事基本立法为人民群众服务的宗旨，“被遗忘权”与我国《民法总则》第111条相容于个人信息为一般人格权的民事权利。首先，从严格意义上讲，《民法总则》第111条只是承认了个人信息权益，未明确将其界定为权利。《民法典》应当在此基础上进一步加以确认，进而在此基础上确认“被遗忘权”等个人信息权利。因为，如果不承认其为民事权利，那么再行制定单行特别法难度较大，事实上，只有将“被遗忘权”明确为民事权利，才能进一步明确相对人的义务，信息搜集和控制者的义务才能够落实。其次，个人信息迫切需要受到人格权的特有保护，特别是对于个人信息侵害的损害赔偿问题，仅仅考虑财产赔偿恐怕难以有效维权，依靠惩罚性赔偿制度确立对个人信息侵权的赔偿，甚至包括精神损害赔偿应在可以考虑的范畴。从权利性质上看，个人应当对其信息享有支配权，不管信息时代技术发生何种变化，这都应当是人本主义的基本要求，平等地支配自己的信息体现了个人的人格和尊严，这个尊严价值在中国特色社会主义进入新时代的背景下更应得到彰显。事实上，“被遗忘权”属于个人信息的支配权，将个人信息民法保护的权利放在《民法总则》里本来的意义就是要考虑人格权保护。再次，十九大报告中明确提出要加强保护公民的财产权、人格权，需要强调的是，十九大报告将人格权保护放在“民生”部分，这就表明了在人民对美好生活的向往中，幸福美好生活的一个重要方面就是对人格权进行保护，人格权也必将成为人民美好生活的重要组成部分，人们因此应当获得更多尊严而不是在大数据时代网络“裸奔”，这是信息社会对个人信息保护的题中应有之意。有鉴于此，《民法典》分则中必须详细规定个人隐私权和个人信息权，人格权在《民法典》中应当独立成编，包括“被遗忘权”在内的个人信息权利应当成为该编的特色和亮点。

行使“被遗忘权”的权利主体应当是个人信息主体，即网络用户。但对于不同身份的网络用户应当有着不同的审查标准。一些公众人物，比如明星、学者、网络知名人士等，由于他们在社会上处于一种特殊的地位，他们的一言一行会受到多方面的监督，也会给更多的人带来影响，所以这类主体在行使“被遗忘权”时需要受到比较严格的审核限制。对于未成年人来说，由于他们心智尚未成熟，需要一个良好的网络环境，所以对未成年人需要适当放宽审查要求。“被遗忘权”的义务主体既包含互联网搜索引擎公司也包含应用软件开发商，只要用户可以通过网络平台发布自己的信息，就可以将其视为义务主体。借鉴GDPR的经验，所有个人信息的控制者、处理者、代理人、联合控制者以及信息接收者都应当是“被遗忘权”的义务主体。不过，如果是纯粹提供通道服务的“中介服务商”可以豁免侵权责任。权利行使的条件，一是该个人信息可以明确指向该用户，即明确表示该信息所包含的内容与该用户有关。二是该个人信息必须是已经过时的、不合理的，对于用户来说没有存在价值的信息。三是行使“被遗忘权”不能损害国家、社会、公共利益和他人合法利益。如果网络用户认为自己需要行使“被遗忘权”，可以向义务主体提出申请，同时提交支持自己请求的理由或证据。义务主体可以通过专门的信息监管部门对申请进行审核，对符合要求的申请，立即删除，停止其在网络上的传播。如果审核没有通过，网络用户可以通过向有关行政主管部门进行申诉或向人民法院起诉的方式进行解决。

我国应当借鉴欧盟立法模式特别是德国经验，构建民法典和单行法的二元立法模式[19]。要将“被遗忘权”在《民法典》分则人格权编中进行总括性的立法规定，在未来的个人信息专门立法中对其作具体细化规定。在通过基本立法层次确立个人信息“被遗忘权”制度的同时，还要完善民事诉讼个人数据的保护机制，强化个人信息侵权责任追究的司法支持。

在信息与网络时代，“记忆已经成了常态，而遗忘反而成了例外”[20]。虽然“被遗忘权”面临与言论自由的冲突、损害公民知情权、技术限制和现实实效性等困境，但在信息飞速传播、个人信息成为网络永久记忆的时代，我国作为一个与时俱进的信息大国以及高度重视人权保护的社会主义国家，应当通过立法加快个人信息“被遗忘权”制度建设，完善保护个人信息“被遗忘权”的体制机制，加快实现我国信息产业利益发展和个人信息权利保护的“双赢”。