大数据时代被遗忘权本土化的考量
——兼以与个人信息删除权的比较为视角

刘学涛，李 月

（1.中央财经大学法学院，北京100081；2.中国政法大学法学院，北京100088）

引言

众所周知，网络与信息技术的发展给个人信息保护带来了严峻的挑战，如移动互联网可以随时随地收集和处理个人信息，云计算使个人信息远离了个人终端，社交网络使个人信息的公开成为用户自愿且日常化的行为，大数据分析可以轻易地将非个人信息转化为个人可识别信息，等等[1]。大数据背景下数字化运用是推进国家治理体系和治理能力现代化的一场深刻变革，而顺应时代的个人信息保护是全面推进依法治国进程中的重要一环。以人工智能、区块链（Block Chain）、大数据（Big Data）等为代表的新兴科技快速发展，人类社会正在从信息化走向数字化和智能化[2]。自从人类进入了网络信息时代，在网络上，任何信息要被保存轻而易举，而“被遗忘”仿佛成为一种奢求。在大数据的建构下，就算一个事件在一段时间后尘埃落定，但只要键入关键词语甚至字眼，就可以得到关于此事件的相关信息。在互联网环境下，信息储存技术的发展使得用户遗忘的能力丧失，取而代之的是链条式的完整记忆。数字化时代的来临改变了社会的记忆机制，使得信息的遗忘成为了难题。正是在这种社会背景下，被遗忘权应运而生[3]。尽管被遗忘权是一个与网络有关的新名词，但它根源于现有的隐私概念。从词源上看，其概念雏形可以追溯到20世纪80年代法国法上的遗忘权，即罪犯在服刑之后有权要求淡出公众视野，新闻媒体不得再对其过往犯罪或服刑事实进行报道。“被遗忘权”的概念真正以书面形式明确规定出现于欧盟2016年生效的《一般数据保护条例》的第十七条：“当个人数据和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存其数据时，数据主体可以随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给任何第三方（或第三方网站），数据控制者应通知第三方删除该数据”。伴随着网络科技的不断发展，“被遗忘权”作为一种网络社会的重要权利正在日益受到重视。

一、问题的提出——被遗忘权在我国的初现

“被遗忘权”这一概念在我国没有书面化定论，该名词被我国公众普遍知晓起于“任甲玉与北京百度网讯科技有限公司（以下简称‘百度公司’）人格权纠纷”一案，该案因此被称为我国的“被遗忘权第一案”[4]。原告任甲玉在诉讼中首次主张了被遗忘权的保护问题。原告主张因其与声誉低下的陶氏公司已解除劳动关系，而百度搜索中仍存在相关信息，为百度公司侵害其一般人格权中被遗忘的权利的一种表现形式。因此，该案件的争议焦点主要在于原告是否对诉讼标的享有合法的民事权利或利益①我国《民法总则》第一百零九条和第一百一十条对一般人格权和具体人格权进行了规定，由此明确姓名权和名誉权是被类型化的法定权利。而任甲玉主张的被遗忘权是否属于《民法总则》第109条中规定的“虽未被类型化但是应当受到法律保护的正当利益”尚不明确。。该案经两级法院审理，一审法院依法驳回原告全部诉讼请求，二审维持原判。令人遗憾的是，法院没有对被遗忘权直接作出回应，而是通过审查原告所主张的权利是否属于法律明文规定的人格权范围，从而判断支持原告的主张是否应当被支持。

虽然法院从人格权的角度出发，得出了被遗忘权的主张不应得到支持的结论。但本案原告对“被遗忘权利”的主张引发了学界对被遗忘权本土化的思考。笔者以“被遗忘权”为关键词在中国知网进行了检索，得到的信息显示：我国对被遗忘权的讨论始于2012 年，之后呈现逐年递增的态势，2015 年“任甲玉”案前后增速尤为明显，至2018 年达到341 篇（详见图1）。有关被遗忘权的产生背景、性质、适用情形、主体及法律责任等问题已经被越来越广泛的关注。对大数据时代被遗忘权的关注不仅很有必要，而且值得更加深入地研究，它对新时代的个人隐私保护以及电子商务的发展将产生深远而重大的影响[5]。被遗忘权本土化或是解决大数据时代个人信息保护困境的途径之一。基于此出发点，本文以我国遗忘权的司法实践为切入，分析欧盟对被遗忘权的立法规定及相关问题探析，并从法律与实践层面对个人信息删除权进行了整理。通过对被遗忘权本土化的考量反思出被遗忘权本土化的风险不容忽视，需要我们进一步理性、谨慎对待。

图1 学界对被遗忘权的研究情况

二、欧盟被遗忘权的立法规定及相关问题探析

被遗忘权是对个人信息自决权的完善，个人不再仅仅有权事前决定是否同意将其信息交由他人控制、处理或公开，更有权在事后撤回同意并要求删除曾公开的信息。随着网络技术的发展，出现了“上帝宽恕和忘记我们的错误，但互联网从来不会”的情形，互联网的海量存储和便捷搜索使得新闻报道似乎永远不会“过期”，其中涉及的个人信息随时随地会被“记起”。欧盟“被遗忘权”第一案推动了相关立法的进程，但该立法规定中存在的相关问题还需进一步探析。

（一）欧盟“被遗忘权”第一案——推动被遗忘权的司法确立

随着《一般数据保护条例》（General Data Protection Regulation）在 2018 年 5 月 25 日正式施行，“被遗忘权”作为一项新兴权利逐渐引起一股学术热潮和公众关注。其中，“谷歌诉冈萨雷斯被遗忘权案（Google Spain SL, Google Inc.V Agencia Española de Protección de Datos (AEPD), Mario Costeja González,C-131/12,13May2014）（以下简称“谷歌案”）”则在被遗忘权的发展过程中有着如同里程碑一般的重要意义。

2009年11月，冈萨雷斯投诉谷歌公司，称其搜索引擎中收录了西班牙《先锋报》1998 年一则公告中的内容，希望能够删除与其相关的信息。理由为：1998年《先锋报》公告中的拍卖活动已经结束，这些失效的信息对其声誉造成了持续的伤害。《先锋报》以未取得授权为由拒绝了冈萨雷斯的请求。2010 年，上述请求先后被转送至谷歌西班牙分部和美国总部，均未有明确回复。随后，谷歌西班牙分部和谷歌公司分别向西班牙国立高等法院提起了诉讼，法院认为本案的争议焦点涉及到对《1995年数据保护指令》(以下简称95年《指令》)的解释，于是将两案合并后提交给了欧洲法院（The Court of Justice of the European Union）。欧洲法院将本案的案件争议焦点归纳为以下四点：（一）95 年《指令》的适用范围；（二）95 年《指令》的适用地域；（三）搜索引擎的经营管理者在95 年《指令》下的责任范围；（四）95 年《指令》确认的信息主体的权利范围。2014 年5 月13 日，欧洲法院作出冈萨雷斯诉Google 案判决：一方面，媒体网页上的信息属于95 指令第九条“表达自由例外”中的“新闻报道”，不必删除；另一方面，考虑到冈萨雷斯因无力偿还债务而被法院强制拍卖不动产已经过去16 年间，报道中的财务信息随着时间的推移已经变得不准确、不相关或者超出了最初的目的，但由于Google以冈萨雷斯的姓名作为关键词为该报道设置了链接，导致报道中的财务信息很容易被查询到，对冈萨雷斯目前的生活仍有较大影响，故基于冈萨雷斯姓名搜索得到的相关链接应当被删除。“谷歌”案尘埃落定，被遗忘权正式接受欧盟司法实践检验，欧洲法院最终裁定，谷歌西班牙公司败诉。随后，谷歌方面执行了判决，并出台了申请程序，正式接受欧盟用户的被遗忘权申请。欧洲法院的判决使得被遗忘权迅速成为网络最热门的话题，各国学者对之展开激烈辩论。

该案发生之后，欧盟数据保护工作委员会发布了《关于实施欧洲法院在“谷歌西班牙分公司和谷歌公司诉西班牙个人数据保护局和马里奥·考斯特加·冈萨雷斯”一案所作判决的具体细则》（以下简称《具体细则》），对被遗忘权的义务主体、适用范围、行为规范等予以进一步明确。其中，第二部分对删除的判断依据进行列举并公开相关统计信息，鼓励搜索引擎以此为标准。《具体细则》对“谷歌”案判决的执行提供了具体的指引，推动了欧盟个人信息保护标准的规范与统一，为《一般数据保护条例》的制定奠定了制度基础。

（二）立法理念的延续——对欧洲个人信息保护立法的评析

欧洲普遍的立法理念是将个人信息保护作为基本人权保护的体现，这种思想起源于各国的宪政历程和与人权相关的实践。在欧洲，对个人信息的保护不仅是尊重基本人权的体现，同时是一项具有宪法意义的重要国家行为。在1995 年《指令》阶段，欧盟的个人信息保护立法具有范围广泛、国家权力主导的特点。发展到《一般数据保护条例》，欧盟个人信息保护法领域有了新的突破。一方面，它较为清晰地界定了个人信息的判断标准，在很大程度上将信息主体所涉信息纳入到被保护的范畴中去，为个人信息保护的实践运行奠定基础；另一方面，它加强了成员国之间的信息流通，划分管理主体的依据从地域转向信息内容，与互联网信息动态分布的特点相互适应，打破了法律管辖范围随着信息的转移而发生变化的局势。我们看到，被遗忘权在《一般数据保护条例》中体现出来的突破在于，它从直接和间接的角度对被遗忘权的适用范围和责任构成进行了较为系统的梳理。但是有学者提出，《一般数据保护条例》中“被遗忘权”这样的标志性术语仅存在于条文的标题，其具体内容更多表现为以往法律条文中个人信息删除权的内容[6]，由此认为被遗忘权的性质无异于个人信息删除权。

笔者对此持不同的态度，被遗忘权的性质不能与个人信息删除权的性质混同。在《一般数据保护条例》视野下，删除权指信息主体在信息错误或无法定及约定情况而被处理（如违法收集、利用，与第三方共享、转让，或公开披露）时，要求控制者删除信息的权利；被遗忘权则不以个人信息“不准确”为前提，有权要求删除的信息范围包括在合法基础上收集、使用、加工、传输的已过时、不相干和有害的信息。从实质上分析，欧盟《一般数据保护条例》第十七条第一款规定的被遗忘权的核心内容虽然以传统的删除权为基础，但是体现出了被遗忘权的新发展，即信息控制者的义务除了体现在对网络平台所存储的内容进行删除外，还包括对在平台进行公开或者经过平台传播的内容负有连带责任。如在收到被侵权者的请求后，信息控制者有权通知平台外第三方停止利用、删除从信息控制者处获得的用户信息。这一规定体现了对传统个人信息删除权的扩张。《一般数据保护条例》对被遗忘权的规定具体体现在第十七条第一款中，其中信息控制者对个人信息具有删除义务的范围与本法第六条第一款的规定契合，并遵守第五条第一款所确定的合法性原则。据此我们需要探讨的是，《一般数据保护条例》第十七条规定的立法目的更倾向于对哪一种原则遭受破坏后的救济。

与原有个人信息删除权基于行为的合法性判断不同，《一般数据保护条例》对被遗忘权的规定更加注重信息控制者对个人信息收集时所具有的合理性目的的考量。从立法层面来看，依据《一般数据保护条例》第十七条第一款的规定，出现“根据数据收集或处理的目的，数据不再具有必要性”等六种情形时，网络信息平台需要对个人信息进行及时删除。立法者将个人信息的保护范围进一步扩大，更加倾向于对信息收集和使用目的进行考虑，确保网络信息平台对个人信息的存储契合进行收集或者加工处理的目的。从司法实践层面来看，“谷歌案”中谷歌公司对拍卖冈萨雷斯财产这一信息的收集和使用是在符合法律规定的前提下进行的，其合法性基础一直持续到纠纷被起诉至法院时，若按照“不再具有合法性基础”进行理解，谷歌公司在此案中将具有绝对的优势地位。法院以谷歌公司对信息的持有行为“不再符合目的性限制原则”为由对其做出了败诉判决。可见，发展到《一般数据保护条例》，被遗忘权的客体是对原有“不再具有合法性基础”的突破，将虽然持续具有合法性基础但已经与信息收集时的目的、信息主体特征脱钩的信息纳入到被保护的范围中来。这一价值理念将长久以来欧盟对个人信息保护立法进行严格规制的立法理念发展到了新的高度。

三、我国法律与实践层面关于个人信息删除权的规定

忘权和个人信息删除权有何种区别？尤其是《一般数据保护条例》第十七条名为：删除权（“被遗忘权”），似乎加剧了对被遗忘权和个人信息删除权的混淆。为什么被遗忘权是一项“括号里的权利”？它是否具有独立属性？它和删除权之间的关系如何？笔者认为“删除权”是被遗忘权的基础，而目前国内相当一部分学者所提建议混淆了“删除权”与“被遗忘权”的内涵，将我国尚未建立的“删除权”也打上“被遗忘权”的标签。由于“被遗忘权”极富争议性，这种混同的理解并不有利于立法建设。毕竟，在国内个人信息保护立法薄弱的背景下，更为迫切的需求是建立包括删除权在内的最基本制度。本文主要从法律与实践层面关于个人信息删除权的规范进行系统化梳理，并力求从中发现其存在的不足。

（一）法律法规现有的规定措施

信息时代的来临在给人类社会带来深刻变革的同时，也在法律领域蕴藏着一场深刻的革命[7]。我国针对个人信息保护的法律文件体系庞杂，对于其个人信息删除权的规定也较为零散，本文仅仅列举具有代表性的相关法律规定。

1.国家实体法层面

在个人信息保护立法的实践中，我国在积极探索中衍生出了一系列基本规则。如《中华人民共和国宪法》第三十八条至第四十条②《中华人民共和国宪法》第38条：中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。《中华人民共和国宪法》第39条：中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。《中华人民共和国宪法》第40条：中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。是对公民个人信息保护的概要规则，分别对人格尊严、住宅的隐私性、通信自由和通信秘密进行了基础性规定。在民法领域，诸如《中华人民共和国民法总则》第一百一十条③《中华人民共和国民法总则》第110条：自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。法人、非法人组织享有名称权、名誉权、荣誉权等权利。对自然人隐私权进行了明确的认定。其后第一百一十一条④《中华人民共和国民法总则》第111条：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。从消极层面对公民个人信息的获取和使用进行了详细列举，如法律禁止非法收集、使用、加工、传输、买卖、提供或者公开等行为。在刑法领域，《中华人民共和国刑

“被遗忘权”被提出之后，随之而来的疑问是被遗法》（以下简称《刑法》）第二百五十三条⑤《中华人民共和国民法总则》第253条：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。规定了侵犯公民个人信息罪。侵犯公民个人信息犯罪的方式表现为“非法向他人出售或者提供”个人信息，其法律制裁的严重程度取决于上述方式的情节严重程度以及社会危害性大小。《中华人民共和国消费者权益保护法》在第十四条⑥《中华人民共和国消费者权益保护法》第14条：消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。和第二十九条⑦《中华人民共和国消费者权益保护法》第29条：经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。中明确了对消费者信息进行收集、使用的基本条件。第五十条⑧《中华人民共和国消费者权益保护法》第50条：经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。进一步规定了违反上述义务需要承担的法律后果。《中华人民共和国网络安全法》对个人信息保护制度作出了全面系统的规定，如第四十条⑨《中华人民共和国网络安全法》第40条：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。是对用户的信息保密义务的详细规定。《中华人民共和国侵权责任法》第二条⑩《中华人民共和国侵权责任法》第2条：侵害民事权益，应当依照本法承担侵权责任。认为公民的隐私权被包括在受我国法律保护的民事权益范围之内。除此之外，本法第三十六条⑪《中华人民共和国侵权责任法》第36条：网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。是对网络侵权责任的详细规定，侵权主体包括网络用户和网络服务提供者。具有进步意义的是，此条文对被侵权人的私力权利救济方式进行了列举，如“通知网络服务提供者采取删除、屏蔽、断开链接等必要措施”。2018年8月31日实施的《中华人民共和国电子商务法》对通过电子行为进行的商业活动过程中所造成的个人信息侵权行为进行了系统的规定。其中第五条⑫《中华人民共和国电子商务法》第5条：电子商务经营者从事经营活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德，公平参与市场竞争，履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务，承担产品和服务质量责任，接受政府和社会的监督。对电子商务经营者在网络系统进行经营活动的原则、履行的义务、承担的责任进行了原则性规定。第三十条⑬《中华人民共和国电子商务法》第30条：电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行，防范网络违法犯罪活动，有效应对网络安全事件，保障电子商务交易安全。提出了网络安全事件应急预案制度，第七十九条⑭《中华人民共和国电子商务法》第79条：电子商务经营者违反法律、行政法规有关个人信息保护的规定，或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的，依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚。明示了违反上述义务的法律责任。除此之外，在诸如《中华人民共和国妇女权益保护法》《中华人民共和国未成年人保护法》等涉及特殊群体权益保护的部门法律中，也散见对个人信息的立法保护[8]。

2.国家程序法层面

《中华人民共和国民事诉讼法》在第六十八条⑮《中华人民共和国民事诉讼法》第68条：证据应当在法庭上出示，并由当事人互相质证。对涉及国家秘密、商业秘密和个人隐私的证据应当保密，需要在法庭出示的，不得在公开开庭时出示。、第一百三十四条⑯《中华人民共和国民事诉讼法》第134条：人民法院审理民事案件，除涉及国家秘密、个人隐私或者法律另有规定的以外，应当公开进行。离婚案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理。、第一百五十六条⑰《中华人民共和国民事诉讼法》第156条：公众可以查阅发生法律效力的判决书、裁定书，但涉及国家秘密、商业秘密和个人隐私的内容除外。中对涉及到个人隐私的信息分别从证据出示、审理方式和生效法律文书的查阅三个方面进行了保密性规定。《中华人民共和国刑事诉讼法》第五十四条⑱《中华人民共和国刑事诉讼法》第54条：人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。、第一百五十二条⑲《中华人民共和国刑事诉讼法》第152条：采取技术侦查措施，必须严格按照批准的措施种类、适用对象和期限执行。侦查人员对采取技术侦查措施过程中知悉的国家秘密、商业秘密和个人隐私，应当保密；对采取技术侦查措施获取的与案件无关的材料，必须及时销毁。、第一百八十八条⑳《中华人民共和国刑事诉讼法》第188条：人民法院审判第一审案件应当公开进行。但是有关国家秘密或者个人隐私的案件，不公开审理；涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理。不公开审理的案件，应当当庭宣布不公开审理的理由。中对涉及到个人隐私的信息分别从证据提供、技术侦查措施和案件审理方式三个方面进行了保密性规定。《中华人民共和国行政诉讼法》在第三十二条㉑《中华人民共和国行政诉讼法》第32条：代理诉讼的律师，有权按照规定查阅、复制本案有关材料，有权向有关组织和公民调查，收集与本案有关的证据。对涉及国家秘密、商业秘密和个人隐私的材料，应当依照法律规定保密。、第四十一条㉒《中华人民共和国行政诉讼法》第41条：与本案有关的下列证据，原告或者第三人不能自行收集的，可以申请人民法院调取：（一）由国家机关保存而须由人民法院调取的证据；（二）涉及国家秘密、商业秘密和个人隐私的证据；（三）确因客观原因不能自行收集的其他证据。、第四十三条㉓《中华人民共和国行政诉讼法》第43的证据，不得在公开开庭时出示。人民法院应当按照法定程序，全面、客观地审查核实证据。对未采纳的证据应当在裁判文书中说明理由。、第五十四条㉔《中华人民共和国行政诉讼法》第54条：人民法院公开审理行政案件，但涉及国家秘密、个人隐私和法律另有规定的除外。涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理。和第六十五条㉕《中华人民共和国行政诉讼法》第65 条：人民法院应当公开发生法律效力的判决书、裁定书，供公众查阅，但涉及国家秘密、商业秘密和个人隐私的内容除外。中对涉及到个人隐私的信息分别从证据提供与庭审材料、证据调取、证据出示、审理方式和生效法律文书的查阅五个方面进行了保密性规定。

（二）网络平台现有的规定措施

经过多年的发展，我国电子商务平台普遍在其内部建立起了一套较为合理的个人信息删除规则，并结合社会需求不断地加以完善。例如：平台对于对用户评价的保留时限进行规范，即信息存留超过一定时期后需要进行屏蔽或删除处理。一般保留近3至6个月内的评价作为对该平台内经营者的综合信用评价指标，这可以在一定程度上激励平台内经营者进行自我改正，不会因曾经一时的失信行为而被剥夺其悔改的机会。此外，个人信息在3至6个月后进行清理，有效防止了信息与主体之间出现脱离的现象。本文分别从社交类、购物类、外卖类、租车类电子商务平台选取了具有代表性的1-3 个平台，将其相关规定进行列举，从“是否有关于个人信息删除的规定、规则的可获得性、平台删除用户评价的权限设定、评价是否匿名、对用户评价的保留时限、消费者对自己评价的个人信息删除权（是否存在、删除后能否恢复或修改）”六个方面进行统计，以发现目前平台在删除个人信息方面存在的共性，具体内容见如下表1所示。

从上述规定可以看出，我国已经形成较为体系化的个人信息保护规定。

一方面，受到欧盟《一般数据保护条例》和世界主要国家对被遗忘权讨论的影响，在我国的法律中（尤其是近年来的法规、条例）存在与被遗忘权内涵相近的规定，对个人信息的保护形成了以宪法为基础、以实体法为依据、以程序法为保障、以规章及条例为补充的体系。在网络平台的自我规制中，虽然普遍以“隐私协议”“隐私保护指引”等方式加以规定，通常与需要用户授权的格式条款一同出现，在很大程度上具有进一步完善的空间。但是，各大主流平台基本对平台删除用户信息的权限、用户信息的保留时限、用户对自己评价的个人信息删除权等方面进行了相关的设定，形成了具有基础作用的自我约束规则。

另一方面，立法长期以来在人格权、隐私权、个人信息权等方面做出了相关规定。我国虽然没有对“被遗忘权”的明确规制，但在明确信息主体申请删除的权利和网络信息使用者审查及删除的义务方面规定明确，并且规定了相关法律责任，尤其是在《刑法》中以较为严厉的处罚手段作为处置违法行为的保障。

尽管如此，相较于欧盟的规定，我国在一般情况下并没有给予违反上述义务的网络运营商以非常严厉的处罚。然而，这并非只是我国没有专门对被遗忘权进行立法的后果，笔者认为其是立法者基于我国互联网产业和电子商务平台正处于发展阶段而进行的考量。在大数据迅猛发展的背景下，如何以法律的制约达到网络运营商不敢侵犯、不能侵犯的态势，是被遗忘权的立法目的之一。

表1 网络平台现有的规制措施

四、我国被遗忘权本土化的考量因素及其潜在风险

（一）引入被遗忘权本土化必要性的考量

在大数据时代，全球在大力发展数字经济的同时，个人信息保护面临严重危机。很多网民似乎都处于“裸奔”状态，几乎毫无隐私可言[9]。被遗忘权是否有必要被纳入我国法律体系值得进一步探讨，其中较为重要的是我国现有的法律是否已包含了被遗忘权的立法意旨。本文主要从以下几个方面进行考量。

首先，《网络安全法》对公民个人信息删除的请求权进行了确定。这种请求权主要适用于以下情形：信息主体发现网络运营商违反法律、行政法规或违反双方的约定收集、使用其信息[10]。可见，上述规定体现出了信息控制者处理的合法性原则，正体现了《一般数据保护条例》对被遗忘权的基础性规定。

其次，《侵权责任法》第三十六条㉖《中华人民共和国侵权责任法》第36条：网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。对信息控制者的连带责任进行了分类规定。对信息控制者基本采取过错侵权责任的规制方式，与广义被遗忘权具有相似的处理效果。根据我国关于侵权责任的规定，信息控制者对知情的侵权行为具有积极的制止义务。无正当理由拒不接受或者迟延接受被侵权人删除、屏蔽、断开链接等请求的，符合我国侵权责任的成立要件，应当承担因此而产生的损害或者其导致的损害扩大部分，这一规定与欧盟被遗忘权具有类似的立法理念。

最后，《信息安全技术公共及商用服务信息系统个人信息保护指南》分“收集、加工、转移和删除”四个部分对个人信息的适用过程进行了详细规定，并规定“删除”个人信息为“使个人信息在信息系统中不再可用”。基于此，当信息主体对要求删除其个人信息具有正当理由时，包括相关平台在内的公共及商用服务信息系统应及时对所涉个人信息进行删除[11]。其对有关个人信息删除权的规定，是目前我国相关法律中最接近欧盟被遗忘权的表述。

目前，学界对被遗忘权的法律性质存在较大争议，仅关于被遗忘权是否可以纳入隐私权的讨论就有鲜明的对比。然而我国现有的法律规定避开了对上述问题的争议，而是转而从立法已经较为成熟的领域解决实践中的问题，如“任甲玉案”中，法院将案件的争议焦点聚焦在任甲玉对诉讼标的是否享有合法的民事权利或利益，从而启用人格权保护体系。由此看来，我国现有的法律制度对解决实践中的相关案件有较为系统的规定，被遗忘权对个人信息保护的必要性有待进一步讨论。

（二）被遗忘权本土化的风险不容忽视

自从欧盟提出“被遗忘权”的概念，特别是“谷歌案”判决做出后，欧美学者对于被遗忘权的性质、适用范围和正当性等问题展开了热烈讨论。及至“任甲玉”案判决做出后，中国法学对被遗忘权的相关研究更是有增无减[12]。基于上述讨论，我国对个人信息删除权领域的规定已有较为成熟的探索。尽管大数据时代的个人信息保护呈现出新的难题，但被遗忘权在不被作为完善个人信息保护法律漏洞必要条件的前提下，本土化的风险仍然是需要被高度重视的问题。如何对被遗忘权进行本土化移植，遂成为学界关切的焦点[13]。在没有系统的信息保护体系时，被遗忘权的引入不可操之过急。被遗忘权本土化的风险具体可能表现为：

1.网络平台的合规成本加重

欧盟《一般数据保护条例》对网络信息平台规制了严格的法律责任。依据本法的规定，若企业没有及时地对不符合目的性限制原则的信息进行删除等一系列清理行为，将面临着高额的罚金和其他行政处罚。条例对处罚的金额进行了具体规定，上限为2 000万欧元或网络平台上一纳税年度在全世界营业额的百分之四，以前述较高的数额为准㉗《一般数据保护条例》第85 条第5 项（b）：对违反被遗忘权义务的个人，处二千万欧元以下的行政罚款；若违法者是企业，处该企业上一财政年度全球年营业额4%以下的罚款，前两种罚款额以较高者为准。。为了符合《一般数据保护条例》的规定，网络信息平台普遍采取建立或完善企业信息保护管理体系的方式，加强企业内部人员在相关监管和争议处理机制方面的业务水平，并且在可能存在存储个人信息的环节进行自我检查。除此之外，《一般数据保护条例》还要求企业将相关信息安全和监管规章进一步细化，完善常规个人信息操作方式的预防性评价系统，以保证信息在得到用户明确授权的基础上被收集，这是《一般数据保护条例》对网络信息平台提出的基本要求。然而，这一规定在确保网络信息平台依法履行信息清理义务的同时，也给企业带来了沉重的负担。

上述规定极大加重了经营成本。如上所述，企业达到合规要求建立庞大的信息“受理—反馈”系统，尽管企业在监管层面的进一步规制有利于对个人信息的保护，但由此带来的现实问题在于如何提高这套反馈机制的效益。然而，大多数对信息的判断义务依旧由信息控制者承担。如前所述，虽然《一般数据保护条例》第十七条第三款进一步从反面做出了信息删除的例外规定，但司法实践中缺乏相应的指导性意见，对模糊性规定本身的解释和法律适用问题依赖信息控制者进行解决[14]。如此，信息控制者在收到信息主体的申请时，面对如何判断被申请的信息是否符合《一般数据保护条例》对被遗忘权的前提性规定、如何判断相关信息是否属于“不再符合目的性限制原则”等问题，大多依赖信息控制者内部的审查标准进行解决。毫无疑问，信息控制者实际上同时具有对被遗忘权的内容进行审查、判断、决定并执行的权力。为了实现对言论自由的追求、进一步减轻信息控制者的责任，传统的个人信息保护立法倾向于对信息控制者的审查义务进行一定程度的特别豁免，这与其担负的信息审查责任相违背。

2.对互联网经济的负面影响较大

被遗忘权之所以发端于欧盟，而不是首先出现在信息经济最为发达的美国，在于欧盟对互联网经济相较而言的“低度依赖”。甚至，有学者认为被遗忘权立法是欧盟牵制美国在互联网经济方面采取的霸权主义手段[15]。同时，也有学者提出，欧盟提出的被遗忘权旨在对抗美国的《爱国者法案》，并扶持欧盟的互联网企业，人为制造贸易领域的“数据保护壁垒”[16]。具体到我国，互联网经济是促进我国经济高速发展的重要环节。一方面，电子商务呈现逐步稳定增长的趋势，为我国在诸如基础交通建设、物流运送、农业网络经济一体化等方面的发展提供了强大的支撑力量；另一方面，互联网经济中核心技术领域、新兴技术领域发展势头迅猛。根据工业和信息化部发布的《2018年中国区块链产业白皮书》，截至2018年3月底，我国区块链产业初步形成规模，从上游的硬件制造、平台服务、安全服务，到下游的产业技术应用服务、行业投资、媒体宣传、人才服务等，产业链环节已基本完备㉘中国工信网：《2018年中国区块链产业白皮书》，http://www.miit.gov.cn/index.html，2019年4月1日最后访问。。

基于以上考虑，我国互联网经济的发展正处于持续稳定增长的态势，被遗忘权对个人信息保护的严格规制将在一定程度上客观影响着互联网经济的发展，从而带来就业、购买力、制造业等全方位的社会效应。现阶段将被遗忘权引入中国的思路无法回应大数据背景下个人信息保护对国民经济冲击的新威胁。尽管将对人权的保障上升至宪法层面的举措早已取得普遍共识，但这一举措的存在是否应当以互联网经济的发展为代价，仍需进一步考量。

3.对言论自由造成一定冲击

著名学者杰弗里·罗森教授直言：“被遗忘权是互联网言论自由接下来十年最大的威胁。”《一般数据保护条例》对网络信息平台规定繁重的责任迫使其建立起体系相对完善的信息审查机构，以对互联网上的个人信息进行趋于严格的管制。在面对较为模糊或者无法得出统一定论的当事人请求时，网络信息平台一般会做出予以清理的操作，以避免可能隐藏的法律风险。如此将直接导致这样的后果：一般所涉时间久远、特征模糊的个人信息大多会被认定为属于被遗忘权的规制范围，从而面临被清理的后果。

需要注意的是，个人信息在网络上不是独立存在的，它依托一定的媒介并且和其他信息主体的信息相关联，由此便涉及到保护个人信息安全与保障言论自由的边界，这一特征在社交平台体现得尤为明显。例如，在微博平台，博主所发布的信息面向所有登录平台的主体，这些主体都有在特定博文中发表评论的自由。若特定主体对所有涉及到自身的信息都有权依据被遗忘权获得所谓的权利救济，其他公众的言论自由如何才能得到保障？一方面，若依据“不再符合目的性限制原则”启用被遗忘权进行规制，将使得他人的言论自由失去承载的媒介，进而无法使自己想要表达的信息传递给有相同关注点的人。另一方面，若依据《一般数据保护条例》第三款规定的“行使表达自由和信息自由权”而将除特定主体之外的相关信息进行保留，基于信息的互换性和流通性，难以做到对所涉主体的个人信息进行全面筛查，未删除信息经过整合处理后依旧能够被还原，如此难以确保被遗忘权行使的效果。

结语

纵观个人信息保护的发展史，自上个世纪以来，我国法律对个人信息的保护已经初见雏形。然而，随着网络科技的逐步发展，日益壮大的搜索引擎系统等对信息主体的个人信息安全造成了新的威胁，原有的法律实施方式和力度不再能满足新的法律关系的要求，近年来出现的“谷歌”案“任甲玉”案恰是印证。如果不正视这一问题，我们一直追求的网络安全、大数据运行、数字经济可能反而成为个人信息保护过程中的阻碍。基于多方面考量，欧盟对被遗忘权做了明确的规定，以期通过对网络运行商科处沉重的处罚来达到对用户个人信息的保护，由此也推动了国内对被遗忘权立法的讨论。

然而，天下之事，不难于立法，而难于法之必行。随着人工智能、区块链、大数据等业务浸入每个普通人的生活，新技术与传统社会秩序之间的适应性问题日益突出[17]。我国法律中上述有关条文的进一步细化和实施问题是实践中的难点，即使将被遗忘权这一概念引入我国，依旧存在着如何推进实施的难题，此外还将引发整合、衔接我国现有法律体系中相关规定的新问题。对个人信息保护实施的需求将进一步增加，尤其体现在运用大数据的云计算方式推动对网络运营商的监管等方面。对个人信息保护的立法将随着我国经济社会的发展而逐步细化，它的进一步实施也将促使我国的法律体系逐步适应社会进步的需求。本文认为，现阶段行业的进一步自治对网络平台的细化规制能够起到良好的推动作用。在上文调查中发现，针对社交类、购物类、外卖类、租车类的电子商务平台，用户与平台的连接模式存在较为明显的差异，尽管设定统一的被遗忘权能够加大对平台的监管和处罚力度，但探索各类平台的分类细化规定或许是在我国现有的法律体系基础上更为高效的措施。

我们正置身于一个大数据逐渐兴起的时代。无论信息自决的概念多重要，一旦实施起来，信息主体想把已公开的信息再次收回都将困难重重[18]。“被遗忘权”虽不适宜本土化移植与建构，但国外关于“被遗忘权”立法司法的成功经验值得我国研究和借鉴。如何在个人自由和权利限制之间达到平衡，使法律的建构、权利的设立有利于保障公民权利的同时，兼顾互联网经济与科技高速发展，是我国法律人应对互联网科技日新月异和社会高速发展所应该思考的问题。随着未来信息科技、人工智能等新兴技术的进一步深入，积极推动现有法律规范实施、谨慎对待被遗忘权立法是现阶段推动个人信息保护的首要举措。当个人信息的隐私行将远去，被遗忘权之探索仍然任重道远，前路蹉跎，砥砺前行[19]。在中国目前的法律环境下，被遗忘权中的一些内容应纳入个人信息权保护之中。立法机关要加快完善个人信息权的法律系统构建，刑事手段以司法案例和司法解释来增加个人信息权保护的可诉性，民事方面以各部门法的法律法规来保障个人信息权，法学界和社会各界还应探索个人信息保护法制定的可行性，借鉴外国个人信息保护立法方式并结合中国实际情况，从而创建个人信息权利保障的法律架构。