被遗忘权在欧美国家的发展差异与法理分析

董宇婷

（合肥工业大学，安徽 合肥 230009）

一、被遗忘权的提出

近几年，伴随着数字技术与网络的高速发展，人们选择信息的渠道越来越多元化，云计算、区块链、爬虫等大数据技术的应用为人们提供了更高效、更廉价的信息获取方式。与此同时，信息获取也突破了时间和空间的界限，经过不断的梳理、分析、整合、汇总，信息遍布于网络各个角落，互联网记忆的永恒性和随时随地获取的便捷性，让那些不愿提起的回忆和隐私曝光在公众视野内，这给人们的生活造成了极大的困扰。被遗忘权作为一种新型权利，其概念是数据主体所享有的对于互联网上已经公开的、不适当的、不相关的或不再相关的、过时的个人信息进行删除或者隐藏的权利。许多学者指出，被遗忘权的提出，对当前因信息革命引发的纠纷发挥着重要的缓解作用。

被遗忘权发源于欧洲国家的法律体系，最早是用于犯罪记录的忘却，如英国的《罪犯改造法》中就规定经过一段时间不再犯罪的罪犯可以请求犯罪记录不予公布。20世纪80年代，《关于个人数据自动化处理的个人保护公约》规定了对个人数据侵权时的删除保护，该条文的规定具有超前的预见性，为互联时代的数据保护做了铺垫。到了信息时代，拥有“大数据之父”之称的维克多·迈尔-舍恩伯将被遗忘权的适用场域转向互联网，他在《删除：大数据取舍之道》中强调，在数字时代应当加强对数字痕迹的管控，回归遗忘的常态。1995年，欧盟出台的《个人数据保护条例》规定，当某一信息不正确或者是不完整时，法律会给予人权利，去控制、删除、矫正、屏蔽该信息的权利，被遗忘权概念在立法中初步得到体现。2012年，《有关“1995年个人数据保护指令”的立法建议》明确增设了个人信息被遗忘权。2016年，《通用数据保护条例》第17条正式对被遗忘权的行使条件和例外情形做了具体的界定，同时扩大了数据主体的权利，包括要求数据控制者与第三方对个人信息进行删除，以及信息公开以后回溯删除的权利，进一步加强了对个人信息的保护。

二、被遗忘权在欧美国家的发展差异和缘由

（一）被遗忘权在欧美国家发展差异的考察

欧盟和美国关于被遗忘权的差异主要体现在立法和司法两部分，如表1所示：

表1 欧美关于被遗忘权的主要发展

在立法层面，美国尚未制定关于“个人信息被遗忘权”的联邦法律，只是在个别州出现了相关的立法倾向，比如2013年的《橡皮擦法案》，该法案针对的群体与欧盟相比较为狭窄，仅适用于加利福尼亚范围内的未成年人，可要求删除的信息也只限于未成年人自行上传的个人信息。而欧洲关于被遗忘权的立法有较深的历史渊源，最早可以追溯到20世纪50年代的《欧洲人权公约》，规定了对隐私的保护。1995年欧盟出台《个人数据保护指令》，从国家层面要求各个成员国加强信息保护，特别是隐私的权利，首次赋予资料主体享有资料删除的权利，随后又在多个法律草案和立法规定中提及被遗忘权的概念，2018年生效的《通用数据保护条例》进一步在立法层面规制了被遗忘权权利范围和使用情形。

可以看出，欧盟与美国关于被遗忘权理念和态度完全不同。欧盟对于个人隐私保护非常积极，并试图一种“权利之上”的方式加以保护，以《德国基本法》为典型，将个人信息保护作为公民一项基本权利纳入立法，适用于成员国各个部门，对于信息的覆盖范围和类型不加以限制的保护。而美国在立法层面表现的相对消极，较之隐私安全更倾向于公开数据、保障公众的言论自由，限制被遗忘权的适用主体和范围，寄希望于企业的自律防止信息泄漏。

在司法实践方面，欧盟关于“被遗忘权”的实例探索最先开始于的西班牙“冈萨雷斯诉谷歌”案件。冈萨雷斯通过谷歌搜索个人信息时，在搜索网页中发现12年前自己因税务原因而拍卖房屋的新闻，他认为这样过时的消息对当前的声誉造成了负面影响，于是向AEPD投诉了将报道新闻的《先锋报》和转载链接的谷歌西班牙公司和总公司，要求删除相关网页和链接。依据1995年《一般数据保护指令》的第12条（b）规定，谷歌作为信息控制者，其所转载的信息链接确实属于“不恰当、不相关或不再相关”的数据链接，信息主体有权要求“控制者删除或抑制信息”。尽管谷歌公司声称对信息不加以限制的行为遵循了美国的言论自由法律准则，欧盟法院在裁判时依旧认可了冈萨雷斯的诉讼请求，裁定谷歌公司应当遵守《一般数据保护指令》规定，有义务删除数据主体不愿被他人访问的信息。2010年末，类似的情形也在美国发生过，“普尔茨诉《加州人日报》总编辑施里尼·华森”案件的裁判结果却与欧盟截然相反，针对普尔茨要求该期刊删除关于他已故儿子在俱乐部醉酒斗殴的诉讼请求，法官驳回了其申请，认定该诉求侵害了公众的信息获取自由。

由此可见，同样的案件在欧盟和美国之间存在不同的法律观和判决逻辑，谷歌公司基于对言论自由的尊重可以在美国大范围的收集、索引信息链接，在欧盟却要接受大规模的信息审查，以防侵犯民众的信息自主权。在言论自由和隐私信息保护的“天秤”中，欧盟更倾向于针对个人信息保护的被遗忘权，而美国总体持否定态度，美国法庭在司法裁判的过程中会加大对言论自由限制案件的审查，确保民众的信息知情权。

（二）被遗忘权在欧美国家不同发展路径的缘由

欧盟向来注重个人隐私的保护，把隐私看做是“人的尊严”置于最高的位置，国学者莫勒斯认为将“尊严”置于法律的保护中，将赋予其准道德的法律地位。《德国基本法》以及《欧洲基本权利宪章》都强化了这一立法理念，将隐私置于尊严的轨道上运行，保障公民的数据自主决定的权利。欧盟关于“人的尊严”的法律理念在康德哲学中早有体现，“人只能作为目的而不能作为手段”揭示了欧洲人民对于尊严的向往，“二战”中纳粹的残酷行径再次将欧洲国家对“人的尊严”保障提升了一个高度。尊重人的尊严，意味着人们对于数据信息享有自主决定的权利，在言论自由和隐私自主的价值位阶中，欧盟认为隐私的保护要高于新闻自由，任何收集、报道个人信息的媒介都有可能让公众的隐私遭受威胁。欧盟为了保障个人尊严，赋予数据主体更大的数据自主决定权，以更加保守的态度对待数据流动发展。这种“尊严”价值和数据保守主义构成了欧盟的立法基础。

美国对于隐私的概念以对抗国家的“自由主义”作为核心，美国人认为政府会对个人隐私造成严重的威胁干预，他们不愿意被政府侵犯个人自由，尤其担心过多干预私人领域[1]。在宪法《第一修正案》中，美国把言论自由放在特殊的优先地位，他们认为信息通过不断的交流和使用能够促进交易的自由发展，依靠企业的自律降低对个人隐私的侵犯，这符合信息伦理学所追求的经济发展的规律。从信息伦理学的角度而言，信息的增加意味着可能对任何有价值的事物造成损害，属于一种“自然的恶”，美国作为数据主义者更是充分的体现了该立场。数据主义基于数据对社会治理、经济发展等方面产生的进步意义，主张数据应当连接到更多的系统，经过人际间的分享、体验和互动促进数据的动态发展和数据流的最大化，保证事物理性发展的最大自由。

笔者认为，国家利益作为国家发展的根本出发点，决定了欧美之间对待权利的不同观念。欧盟的立法理念主张“个人尊严”，更深层的目的在于保障本区域内数据信息免遭他国侵犯，以合法形式挤占和牵制美国等互联网公司的信息份额，确保本国信息主权地位。美国对于被遗忘权的冷淡态度，表面上是为了维护“信息自由”，根本原因在于维护本国互联网企业的霸主地位，以法律形式对本土企业的发展空间进行松绑，最大限度缩减搜索引擎商的责任，实现信息的霸权主义[2]。

三、基于被遗忘权在欧美国家发展差异的法理辨析

（一）隐私自主与言论自由在价值理念上的平衡关系

欧盟和美国关于被遗忘权在立法进程和实践探索中的差别，引起了社会对言论自由和隐私自主之间利益权衡的探讨。有学者认为一些专业性的、真实的客观的事实案件报道，在被遗忘权的过度审查下，无法呈现在公众视野里；公众人物因为被遗忘权的过度保护，掩盖了其原有的缺陷。由于信息的缺失，社会大众无法对事物和个人作出正确的评判，公民的知情权遭受巨大冲击[3]。一旦被遗忘权得到广泛的认可，那么公众就会失去对有关信息的访问权利，导致人们失去对信息的全面了解，难以做出正确的判断。然而，支持的学者则认为被遗忘权的引入有效的制止了互联网企业对个人信息的无限度侵犯，帮助网络朝着数字治理化、民主化的方向迈进[4]。

笔者认为，言论自由和隐私自主并不是绝对冲突的概念，两者都是现代社会法治发展的重要精神指南。在推进被遗忘权的过程中，不能顾此失彼，过分的强调保护言论自由的数据主义和把个人尊严放在优先地位的保守主义都不利于被遗忘权的长久发展。一方面，言论自由和隐私自主都以“个人自主”作为价值基础。言论自由意味着公民可以自主的表达自己的观点和喜怒，这种自主决定的特性既包括“说”的权利，也包括“不说”的权利，如果表达者若发现自己的言论失当，也应当拥有收回言论的自由，蕴含了“删除”之意。隐私自主保障了公民享有大胆说话的权利，在匿名保护的方式下，言论自由也不成问题。从这个角度来看，两者在个人自主的功能上达成了一致，形成了价值理念上的契合。另一方面，言论自由和隐私自主都是保障社会民主发展的重要基础，民主社会的进步既需要公众积极参与表达自己的见解、提出宝贵的意见，也要不断为公众的畅所欲言保驾护航，不断加强公众的隐私保护，采取匿名化的方式促进结果的公平正义[5]。因此，在立法理念、运行机制中不断探索隐私自主和言论自由的平衡才是被遗忘权发展的正确航向。

（二）数据主义与保守主义在价值理念上的平衡关系

美国从信息伦理学的视角出发，强调数字时代发展的最大善意是促进信息的自由流通，在数据主义观念引导下，将信息作为社会发展的价值标的，试图以数据信息取代人的中心地位，如若不加以限制，势必消解以尊严为基本准则的人权发展，把社会营造成巨型的“数据机器”。欧盟对于数据信息的保守主义尽管保障了公民个人信息的安全，但也给数字经济发展形成了阻碍，那些想要被遗忘的信息可能侵犯到公众权益，与公众知情权之间形成冲突。这些不良后果主要体现在以下几点：

1.被遗忘权对信息技术的发展造成了限制。在搜索引擎应用场景中，用户依据被遗忘权寻求对个人信息保护的救济，而这样的诉求一旦变多，将加剧互联网企业的技术成本和风险挑战，制约算法性能优化和智能数据关联技术的研究、使用。为了减少因为信息纠纷而引起的诉讼问题，网络运营商不得不彻底删除相关数据链接，在技术层面也存在诸多顾忌，比如备份数据的删除。备份数据借助云储存等形式将数据进行复制、归档，其优势在于即便出现系统故障也不会丢失重要数据，尤其是影响国家安全、公众安全、社会决策的数据，但这些信息不可避免的会涉及到自然人的隐私，按照被遗忘权的主张自然也需要进行删除[6]。这样一来，网络运营商在发布信息内容时，不得不经过层层审核来规避法律风险，那些影响智能决策作用信息无法全面的呈现，这对数字经济的发展大大不利。

2.被遗忘权使执法操作面临着困难。网络服务商作为信息数据的控制者，显然在“被遗忘权”的主张下陷入了困境。随着数据流通路径的复杂化，信息存储和传播早已超出信息原始传播者的控制范围，逐一查明并加以删除的成本和难度逐渐增加。此外，关于被遗忘权的案件还会涉及地域执法的问题，2019年谷歌公司诉法国CNIL的案件的裁判结果揭示了被遗忘权的适用范围也存在地域的界限。法院驳回了CNIL要求谷歌在全球范围内执行删除链接的申请，这意味着，谷歌不需要在欧洲以外的其他范围内执行删除指令，在域外范围内出现的数据侵权问题难以用遗忘权加以规制。尽管DDPR中规定了被遗忘权的管辖权范围包括“为欧盟数据主体提供商品和服务，或对其境内数据实时监控行为的主体。”但在司法实践中，美国被遗忘权的保护力度完全低于欧盟，网络用户依旧可以通过美国的搜索网站检索到被遗忘的相关信息。因此，管辖权无法在各国达成确定的连接点，实现全疆域的覆盖。

笔者认为，激进的数据主义和保守数据态度都不利于被遗忘权的发展，以胡晓萌学者为代表提出的位于两者之间的、以基于权利的信息伦理学为导向的温和的被遗忘权，才是维护个人信息发展的正确路径。温和的被遗忘权主张在适用的过程中应该有恰当的限度，既不能滥用，也不能不用，尽量在不删除数据的情况下缓解数字记忆带来的威胁，同时又保障网络技术的正常发展[7]。因此，法院在裁判被遗忘权时，要充分考虑被遗忘权的公共属性，不能单方面因为具有个人关联性就予以私有化，更不能对数据的本身价值属性不加以评估就予以删除。有学者对此提出加强政府监督、加强数据审查的建议，这种司法实践的意义体现在不仅最大限度的规避了互联网企业的法律风险，同时也避免了公众对权力的滥用。

四、大数据背景下促进被遗忘权发展的法理原则与实践定位

（一）探寻被遗忘权在价值理念上实现平衡的法理原则

1.适用比例原则是厘定言论自由和隐私自主之间冲突的关键

比例原则的运用在于实现对被遗忘权所保护的内容“权利正当性”和“保护必要性”进行合理性判断，这对化解言论自由和隐私自主之间的冲突，厘定双方权利界限、促进共同发展提供了正确路径。比例原则强调对手段和目的的综合考量，包含必要性原则、适当性原则和狭义比例原则三个子项，综合要求体现在适用手段合目的性、造成损害最小化以及保护利益和牺牲成本的适度平衡。

在实践应用中，信息收集主体超出使用目的所收集的信息以及先前收集的不能实现其目的的信息都可以合法化删除。法官在适用比例原则时应该遵守以下步骤：首先是思考信息的删除诉求是否是正当的，其次是信息的被遗忘是否能达到正当目的的实现，如果不能实现目的或降低损害，那么就没必要浪费过多的人力、物力和司法资源。最后，保障信息“被遗忘”的手段损害最小。彻底删除信息的难度往往很大，但是采取去识别化的“身份匿名”的处理既能有效的降低信息损害，也能降低对数字经济发展的制约。

2.适用知情同意原则是推进隐私权益和言论自主之间和谐的依据

隐私自主和言论自由作为“个人自主”功能的延伸，承载着对数据信息自知自决的重要考量，而“知情同意原则”的设定满足了对个人信息权利的自主性的充分尊重。“知情同意原则”是指网络运营者在收集或发布相关信息时，有义务将信息的利用情况充分告知数据主体，通过签署用户隐私协议等方式获得用户的同意，这种“限权与自我义务设定”的规范方式完全契合了在信息时代下契约精神所延伸的内涵：遵守规制和履行义务[8]。一方面，它赋予信息主体知晓内容的权利，从而保障数据主体自主规避风险，自主决定行使“说”与“不说”的权利，是实现言论自由的前置性保障。另一方面，它确保信息来源于用户的有效同意，体现了个人尊严和隐私自主性的充分尊重。

根据《民法典》第143条“意思表示真实”的规定，网络运营商应当确保其表达的外部意思与内心真实想法一致，即实际收集的数据信息应当符合隐私条款所设置的内涵[9]。以用户隐私政策协议为例，网络运营商在制作过程中需要全面考量用户的知情范围，可以根据信息的等级程度分层的呈现收集和使用状况，着重突出重点。另外，“同意”的限度以网络运营商和用户的约定为首要前提，同时还应建立区别化的知情同意模式，比如我国台湾地区《个人资料法》第7条将同意区分为一般同意、特别同意与推定同意的模式，信息收集者在为法定目的以外的信息收集或者收集敏感个人信息时须遵循特别同意（书面同意）和特别告知（信息收集目的、使用范围、使用者）双重义务。

3.平衡“公益”和“私益”是实现隐私自主和言论自由价值内涵的重中之重

言论自由和隐私自主核心在于“公益”和“私益”的衡平，言论自由直接对应着“公益”的范畴，赋予了人们对公权利机关监督和批评的权利，保护社会运转秩序的良善发展，强调知晓信息的范围越广越好；隐私自主所涉及的利益更多归属于“私益”范畴，聚焦在个人主体权益的保护，致力于约束信息的流通。从法理逻辑上看，尽管“公”与“私”存在对立，但“公益”和“私益”关系并非截然对立，根据“自动公益说”的观点，私益可以自动的实现公益，公益可以成为私益的聚合，两者也是存在统一关联的[10]。

在实践中，为了实现“公益”和“私益”的衡平，需要划分言论自由和隐私自主的权利空间布局，根据信息的隐秘性程度不同就信息类别划分为属于个人隐私类、偏向公益类的两大模块，对于属于私益范畴内的个人身份信息、财务信息等优先适用于被遗忘权的保护，而归于公益范畴内的政治论述、科学决策等信息优先适用言论自由的保护。事实上，还有一类信息的属性很模糊，根据Nissenbaum的“情境脉络完整性”理论，这类信息既可以归属公益范畴也可以归属私益范畴，需要根据不同的情境脉络综合考量。这里的判断标准包括“合理隐私期待”，即揭露的隐私在一般公众看来是否被高度侵犯，是否拥有一般公众无法知悉的正当理由。比如，司法机关公开的严重危害国家安全的犯罪记录信息和新闻媒体报道的劣迹艺人信息，就不符合合理隐私的正常期待，理应归属公益范畴，保障公众的知情权和言论自由。

（二）加强被遗忘权法律体系构建的实践定位

1.进一步规范权利客体

在欧盟“冈萨雷斯诉谷歌”案件中，被遗忘权的客体指向的是冈萨雷斯过往的负面信息，2018年出台的GDPR在第17条中规定，被遗忘权所规范的对象是数据主体意思相背离的、一些过时的、不愿意提起的、不合规的、与收集目的不相关的个人信息。根据上述案例实践和法律规定，可以明确被遗忘权的实施对象是数据主体的信息，在实际操作中，数据信息的界定标准仍然需要不断的完善。首先，应当界定数据信息的范围。我国《网络安全法》规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”这里不光包括个人的身份证号、姓名、联系方式、指纹等基本信息，还应该包括日常的生活经历、行为踪迹、言论表达等影响个人评判的重要信息。其次，应当界定数据信息的属性特征。《一般数据保护条例》将“可识别性”作为个人数据的重要属性，“可识别性”是指数据信息能够直接的定位到个人，信息具备了紧密的人身关联性，只有信息可识别的个人才享有数据决定权。目前网络上的信息纷繁复杂，如果所有的信息都可以框定为数据主体的个人信息，从而主张权利，势必带来大量的法律纠纷。对于那些显性、模糊的信息，比如浏览记录、去身份化处理的文字、视频等，如果也纳入到被遗忘权的规制范围，会对公众的知情权造成很大的冲击。另外，被遗忘权所针对的信息具有对公民造成负面影响的特质，这种“负面性”需要一定的证据加以证明，证明确实对个人的生活、工作和名誉等方面造成了损害，否则不具有主张“被遗忘”的正当性。

2.进一步规范权利主体

被遗忘权的权利主体应当是除企事业单位、政府部门等相关法人以外的自然人群体，一方面是因为法人具有特殊的属性，其行为举止需要接受公众的监督，不能借助被遗忘权逃离公众的视线，另一方面是因为信息隐私权属于人格权，法人不存在隐私被侵犯的精神痛苦，也就不可能拥有主张隐私被删除的权利。值得注意的是，尽管每个自然人主体都享有主张被遗忘权的权利，但是不同群体的利益诉求在法律实践中的处理情况是完全不同的，这是法律相对公平的重要体现。在综合考察权利主体的职业身份、受侵害程度以及行为能力的基础上，对权利主体的保护力度做不同的分级，对于未成年、精神病人等限制行为能力人，应该予以更多“被遗忘”的机会；对于公众人物应该是适度限制“被遗忘”的使用，凡是与公众利益、国家形象攸关的过往经历和行为言论，都应该予以保留，接受公众的评价和监督；对于犯罪分子而言，也有要求删除犯罪记录的权利，因犯罪记录被公开受到损失还可以追究网络提供者的侵权责任，但是国家机关行使职权予以公开的除外，对于那些严重危及人身安全、财产权益、社会秩序、国家安全的犯罪分子，其犯罪记录不应受到被遗忘权的保护。

3.进一步规范义务主体

欧盟在冈萨雷斯诉谷歌案的判决中，将义务主体定位以谷歌为代表的搜索引擎，美国在《橡皮擦法案》中把义务主体归纳为社交网站，这为被遗忘权的本土化移植开拓了思考空间。事实上，被遗忘权的义务主体是广泛意义上的“数据控制者”，包括所有对信息进行传播、存储、占有、使用的机构和个体，是搜索引擎、社交网站和其他平台以及平台使用者的集合。在操作层面，为了加强对义务主体的归范，应当明确收集、使用用户个人信息的具体标准，比如网站运营商有义务就信息安全跟用户签署使用条款协议，包括用简明、突出的文字告知用户会获取的信息内容，明确信息侵犯的法律责任等。

五、结语

信息挖掘、智能算法、云存储等大数据技术给个人的信息安全带来了巨大的冲击，如何规范数据控制主体的行为、保障个体信息免受非法侵害，显得更加迫切。被遗忘权作为一种新型权利，它的提出为个人信息保障提供了有效的救济途径。目前，西方国家关于被遗忘权的法律规制和司法探索较为完善，通过对比欧盟和美国关于被遗忘权在立法和司法层面中不同发展路径来看，欧盟对于被遗忘权持有较为积极的态度，是典型的数据保守主义，主张隐私的自主发展；美国持有消极的态度，是典型的数据激进主义，主张言论的自由发展。围绕两方关于被遗忘权持有的不同的态度，依次探讨了被遗忘权差异化缘由，解析了不同发展路径背后的法理逻辑。在借鉴、分析欧美发展模式的基础上，最后提出了大数据时代被遗忘权发展的平衡之道和再考量，包括促进言论自由和隐私自主的利益平衡，适用比例原则和知情同意原则规范被遗忘权与言论自由的权利空间分布，加强规范权利客体、权利主体、义务主体的适用范围，推进被遗忘权权利体系的实践落地。基于法理逻辑思考，为被遗忘权的发展开辟新的路径，促进数字经济发展的同时缓解大数据对个人信息造成的挑战。