数字社会个人信息被遗忘权的宪法权利属性、边界与国家义务*

杜承铭

大数据时代与数据社会的来临以及数字化生存方式使个人信息的数据权利受到空前的关注与重视，号称史上最严格的数据保护条例---欧盟《一般数据保护条例》（GDPR）于2018年5月生效，我国的《个人信息保护法》亦于2021年11月1日起正式施行。人们在享受大数据带来便利的同时，地理位置、个人照片等个人信息会被云存储在各大数据库中，各个数据库又可通过强大的网络技术相互连接，使得信息主体不知不觉成为透明无隐私的数据化个体，最终，“全社会欣然接受完备的电子监视”，①郑文明：《数字遗忘权的由来、本质及争议》，《中国社会科学报》2014年12月3日，第B01版。基于解决个人信息收集、处理与利用难题的个人信息被遗忘权再也不能仅仅视为普通的法律权利，它直接与人的尊严与生存紧密相连，必须要从宪法基本权利的高度来认识个人信息被遗忘权，从而加强个人信息权的保护。而在我国重视个人信息被遗忘权的多是民法学者。安全思维、民法思维的个人信息权保护的立法是我国个人信息立法的实际主导模式，宪法学界对个人信息被遗忘权极少涉及，以至于还远没有建立起“平衡个人信息权利与国家公权力机关搜集、使用个人信息间的法权结构”的个人信息保护的基本权利立法模式，②孙平：《系统构筑个人信息保护立法的基本权利模式》，《法学》2016年第4期，第70页。随着《个人信息保护法》的实施，个人信息被遗忘权的宪法权利内涵、属性、功能、界限及其国家义务等问题将成为高度关注的现实问题。

一、个人信息被遗忘权的缘起与宪法权利属性

大数据时代的个人信息被遗忘权起源于传统的遗忘权，作为法律权利的传统的遗忘权最早出现于20世纪70年代的法国，原指对有过犯罪或不良记录的人在其惩罚执行完成后享有的有要求他人不公开自己犯罪或不良记录的权利，③Jeffrey Rosen,“Free speech,Pricacy and the Web that Never Forgets”,Journal on Telecommuications & High Technology Law,no.9,2011,pp.345-356.使其保留于公权力机关的犯罪和不良记录不被公开，从而使其得到社会公平、公正的对待，而有利于其回归社会，成为真正意义上的公民，享有真正平等的公民权利。显然这种权利主体的范围明显地仅限于有受到过处罚的犯罪或不良行为纪录的人。

随着互联网、大数据、云计算、搜索便捷和廉价大容量网络存储技术的发展，各种主体（包括政府、公司企业和个人）都可以利用这些技术对任何人个人信息进行搜集、处理与利用，而无需经过其信息主体的同意，事实上导致了信息主体对个人信息失去了控制，传统的被遗忘权有限主体范围显然已经无法保护信息主体的个人信息权利，从而影响其主体权利的平等享有。基于大数据时代个人信息权保护的需要，个人信息被遗忘权应运而生，被遗忘权也获得了新的时代内涵。

欧盟2014年的“冈萨雷斯诉谷歌被遗忘权案”判决将个人信息“被遗忘权”界定为信息主体有权要求搜索引擎营运商对网络上存在的包含涉及对自身不好的、不相关的、过分的信息链接予以删除的权利。④董天策、梁晨曦：《试论大数据背景下“被遗忘权”的属性及其边界》，《学术研究》2015年第9期。，从被遗忘权的核心要素即主体个人信息、公共空间、隐私空间出发，我们可以将被遗忘权界定为：“公民应当享有对主体个人信息控制与支配的权利，即可以将已经合法公开的个人信息从公共空间中撤出来，使其回归隐私空间。”⑤吴姗姗：《论被遗忘权法律保护的必然性及其法理依据》，《江苏社会科学》2020年第1期，第146页。

欧盟《一般数据保护条例》是最早系统地对个人信息被遗忘权规定最明确、最具体的法律。第17条规定的是“被遗忘权”，内容为当数据处理存在客观地与其被收集的目的不相关、数据主体同意撤回、存储期限已过、被不合法处理等情形以及数据主体行使法定的“拒绝权”的情形下，数据主体有权从信息控制者处删除与其个人相关的个人信息，避免这些信息的进一步散布，并有从第三方处删除这些信息的相关链接、复制、复制品，使得曾经发布的信息“被遗忘”的权利。⑥参见京东法律研究院:《欧盟数据宪章：〈一般数据保护条例〉GDPR评述及实务指引》,北京：法律出版社，2018年,第239—240页。总之，欧盟将“被遗忘权”定义为“数据主体有权要求数据控制者永久删除有关数据主体的个人数据，有权被互联网所遗忘，除非数据的保留有合法的理由。”①Eur.Comm’n,A Comprehensive Approach on Personal Data Protection in the European Union,at 8,COM(2010)609 Final(Nov 4,2010).2021年8月，我国制定的《中华人民共和国个人信息保护法》中，第47条赋予了公民个人信息的被遗忘权（删除权）的具体情形：（1）处理目的已实现、无法实现或者为实现处理目的不再必要；（2）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（3）个人撤回同意；（4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（5）法律、行政法规规定的其他情形。而且还规定“法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”②参见中国人大网：《中华人民共和国个人信息保护法》，http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml，2021年11月5日。显然，被遗忘权已经获得了法定权利的内涵，有受法律保护的价值与利益，围绕个人信息被遗忘权所产生的司法实践和理论讨论也将越来越重要、紧迫。

从被遗忘权的产生我们就清楚地看到被遗忘权的存在一开始就是为了保障公民的宪法权利而存在的（为了保障这些有已处罚的犯罪和不良行为记录的特殊权利主体的基本权利得到公平公正行使）。③Meg Leta Ambrose and Jef Ausloos，“The Right to Be Forgotten Across the Pond”，Journal of Information Policy,no.3,2013(3)，pp.1-23.遗忘权早期常用于刑法中，④Robert Kirk Walker,“The Right to Be Forgotten”,Hastings Law Journal,vol.64,2012，p.270.其权利指向对象一开始就是国家公权力（要求国家公权力机关“遗忘”以免影响其今后公民权利的行使）。然而，现代大数据个人信息的被遗忘权似乎仅仅被当作一般法律权利，指向的对象也似乎是数据控制商或控制人。但是，当这个个人信息数据控制商是公权力机关时，所生产的权利就不仅仅是一般的法律权利了，对公权力搜集、使用、处理个人信息的行为的规范必须基于个人信息数据保护的宪法权利的保障才能够实现。事实上，作为宪法权利的个人信息被遗忘权与作为一般法律权利的个人信息被遗忘权相比有其特殊的要求与特征。

第一，关于个人信息被遗忘权的客体，一般法律权利的被遗忘的客体个人信息既包括涉及个人隐私的“敏感个人信息”，也包括不涉及个人隐私的“一般个人信息”，后者也就是瑞典《资料法》中规定的“很明显的没有导致被记录者的隐私权受到不当侵害的琐细个人资料”（琐细个人信息Trivial data）⑤齐爱民：《论个人资料》，《法学》2003年第8期，第82页。，是超越传统遗忘权的现代数据时代被遗忘权的新内涵。二者是否都构成作为基本权利或宪法权利的被遗忘权的客体呢？这就要分析其哪些客体内容与基本权利的内核的人性尊严最为关联。人之尊严是基本权利的本源、原则与存在形式。⑥杜承铭：《作为基本权利范畴的人之尊严》，《广东社会科学》2013年第3期，第230页。“敏感个人信息”通常表现为个人负面信息以及信息主体不愿意被人知晓的信息，它直接与人的尊严、主体地位密切相关，其宪法权利性质是十分明显的。这种被遗忘的个人敏感信息、隐私既是人之尊严这一基本权利的本源，也是人之尊严权的具体展开，对敏感个人信息的遗忘权是以维护人之尊严为目的的。⑦James Q Whitman.“The Two Western Cultures of Privacy;Dignity Versus Liberty”,Yale Law Journal,vol.113,2004,pp.1151-1221.个人信息被遗忘权以此而获得了宪法权利意义上的内涵。

第二，关于个人信息被遗忘权的重心，作为宪法基本权利的被遗忘权的重心在“遗忘”，“遗忘”的方式在大数据时代的数据社会主要通过“删除”来实现；而作为一般法律权利的个人信息的被遗忘权重心在于“删除”，从这个意义上说，“数字遗忘权强调的重点在于‘删除’，而并非‘遗忘’”①郑文明：《数字遗忘权的由来、本质及争议》，第B01版。，“被遗忘权”也被称为“删除的权利”（The Right To Erasure），客观上要求在“信息主体提出要求后，网站操作者被要求‘不加延迟地实施删除’”，除非对数据的保存为践行“法律规定的‘言论自由’所必需。”②吴飞：《名词试拟：被遗忘权（Right to Be Forgotten）》，《新闻与传播研究》2014年第7期，第15页。如果从基本权利与一般法律权利关系思考，作为一般法律权利的被遗忘权中的“删除”在基本权利中的目的在于能够实现“遗忘”，从而有利于权利主体的尊严和其他基本权利的实现，在这里“遗忘”与人的尊严和其他基本权利的实现相联系，而“遗忘”在大数据时代必须要靠“删除”来实现。

第三，关于个人信息被遗忘权的指向，作为基本权利的被遗忘权主要指向的是国家和公权力，关注的重心是公民在面对国家公权力对个人信息的搜集、处理、应用时被遗忘权如何实现？这是作为一般法律权利的个人信息被遗忘权能否真实存在以及能否真正实现的关键所在。就其基本内容说被遗忘权不仅包括数据主体有权从信息控制者处删除与其个人相关的个人信息，避免这些信息的进一步散布，并可从第三方处删除这些信息的相关链接、复制、复制品，“不但需要规定数据主体的删除请求权，还应规定数据控制人不以删除通知为条件的删除义务，例如约定的存储期限届满时的删除义务”③刘文杰：《被遗忘权：传统元素、新语境与利益衡量》，《法学研究》2018年第2期，第99页。，而且还包括国家为了实现这些个人信息主体被遗忘权而确立的制度体系以及相应的救济途径与制度，同时还要建立起国家在面对个人信息被遗忘权时的权力边界，以避免像公权力机关没有法律依据地任意出具“无犯罪记录证明”以及随意泄露行政违法人的个人信息等明显侵犯个人信息被遗忘权的行为。更进一步而言，站在基本权利的高度，在当前一些比较重要和普遍的制度中，有必要提防公权力越界进行“搜集、处理、应用”个人信息，例如人事档案制度、酒店入住记录制度等等，因此，应当考虑确立公权力机关存储期限届满时的删除义务。

我国《民法典》第1037条第2款明确自然人在信息处理者违法或者违反双方约定的情况下，有权请求信息处理者及时删除，似乎意味着我国设立被遗忘权是一种民事权利保护的模式，进而从法治逻辑上判断，被遗忘权并不主要指向公权力机关。笔者并不否认可从私法模式对被遗忘权进行保护，但从我国的实际来看，基本权利的保护模式更有利于体系性保护公民的被遗忘权。被遗忘权具有坚实的宪法基础。我国《宪法》第33条明确规定：“国家尊重和保障人权”。包括被遗忘权在内的个人信息权作为一种新的人权类型，业已逐步被学界认可。甚而认为“数字人权”是第四代人权。④马长山:《智慧社会背景下的“第四代人权”及其保障》，《中国法学》2019年第5期，第8页。个人享有的被遗忘权，不是一种集体人权。基于信息处理者来源广泛，其义务主体是国家和互联网平台、商业公司等社会组织，其权利义务关系表现为防御型与合作型并存，即有时需要国家履行不作为的消极义务，有时需要国家履行积极的作为义务。同时，我国《宪法》第38条也明确：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”个人信息被公权力机关泄露后，不及时予以删除而长期滞留于社会，往往会侵犯公民人格尊严。例如，守法者被误入老赖名单后，若不及时删除相关信息，将对该守法者的声誉造成极大的伤害。可见，人格尊严条款也是被遗忘权的宪法依据。

同理，我国《个人信息保护法》业已明确公民享有个人信息的删除权，而该法律中的个人信息处理者并非特指私法主体。按照《个人信息保护法》的界定，所谓个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。可见，公权机关亦可成为个人信息处理者。事实上，在数字社会背景下，国家公权力逐步向社会转移，一些平台经营者越来越广泛地提供过去由政府提供的“公共物品”。例如疫情防控中，支付宝和微信与防疫机关合作推出的健康码。由此可知，个人信息处理者既可是私主体，亦可是公权机关，在一定情况下，私主体甚至行使实质上的“公权力”。在这种情况下，难以简单地将《个人信息保护法》确立的被遗忘权归入民事权利保护模式。

综上所述，从基本权利规范分析的角度，确立被遗忘权是一项宪法基本权利，既能系统厘清被遗忘权的权利属性，又能全面保护公民的个人信息权。

二、个人信息被遗忘权的宪法权利内涵与权能

个人信息权是基于隐私权以及私生活保护还是基于个人信息自我控制、信息自决一直是法学界争论的重要理论问题，尽管越来越多的人认为欧盟的一般数据保护条例似乎认可的是个人信息的自决与自我控制定位。①参见王利明：《论个人信息权的法律保护---以个人信息权与隐私权界分为中心》，《现代法学》2013年第4期。但是也不能不承认基于“通过扩充隐私权的内涵来保护新出现的个人信息权”的美国模式的意义与价值，即便是体现个人信息自我控制、自我决定的欧洲模式也没有离开基于公民隐私和私生活自由保护视角，如“法国宪法委员会在1993年第92-316DC号判决中，认为行政机关侵犯个人信息是侵犯宪法第66条之‘个人自由权’的行为，即通过‘个人自由权’将其确认为一项宪法保护的基本权利。在1998年第98-403DC号判决中，宪法委员会明确指出，行政机关允许大量的个人信息被咨询侵犯了个人‘私生活受尊重的权利’，②在法国，立法上和学术界习惯使用“私生活得到尊重的权利”（droit qu respect de la vie privé）的术语，这与国际组织的用语相同，大体相当于我们所说隐私权的概念（以下简称隐私权）。如《世界人权宣言》的序言第12条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉，他的荣誉和名誉不得加以攻击。”《公民权利和政治权利国际公约》第17条也做出相同之规定。1950年《欧洲人权公约》第8条“维护隐私和家庭生活的权利”第1款规定:“人人都有维护其私生活、家庭生活、居所和通信的权利。”参见邓莉：《大数据下个人信息权的基本权利立法模式——兼论对个人信息权的限制》，《法治论坛》2017年第3期，第291页。而“2016年1月21日第2015-727DC号判决和2016年7月28日第2016-732DC号判决中，宪法委员会一直坚持认为‘个人信息’属于‘私生活’的一个方面，将‘个人信息权’置于‘私生活得到尊重的权利’下予以保障。”③邓莉：《大数据下个人信息权的基本权利立法模式——兼论对个人信息权的限制》，第291页。学者指出，“欧盟个人数据保护的权利来源是宪法性权利，而非民事权利。欧盟数据保护专员公署（European Data Protection Supervisor）亦明确指出：欧盟数据保护规则并非赋予个人针对其个人信息排他性的民法权利，那种认为个人针对其个人信息享有“所有权”或“决定权”的观念是一种误读。”④王锡锌：《个人信息国家保护义务及展开》，《中国法学》2021年第1期，第147页。

实际上以基本权利的视角来看个人信息被遗忘权的提出与确立过程，被遗忘权与人的本质属性密不可分，是基于人们对自身价值和人格尊严保护的需要，个人信息被遗忘权本质上反映的是独立的个体对自己私人信息的自主决定、自我支配和自我控制的权利，通过这一权利即通过对权利主体个人信息特别是“敏感个人信息”的“遗忘”而保障其个人的基本权利主体地位（即受到公正平等地对待）和其他基本权利的平等公正地实现，这种权利体现了对独立个体价值的尊重，是独立人格和个人自治的表现。个人信息被遗忘权是由于信息主体因其自身特殊的人格本身而产生的人格利益，要求删除的个人信息是能够直接或者间接识别个人身份的信息，虽然可能被他人知晓、利用，但仍属于权利主体享有，个人信息能直接对个人的人格产生影响，被遗忘权对个人信息的保护也是信息主体人格利益的保护，从这种意义上说，被遗忘权首先是一种基于人之尊严的具有人格属性的自由权，因此被遗忘权的权利基础是信息自决权。信息自决权在权利属性和权利客体方面覆盖隐私权，而且比隐私权更具有控制性，强化公民对个人信息的自主性。总之，在数字社会下，赋予公民个人信息权，不仅能有效保障公民的隐私权，更能促进个人信息与数字经济发展同步共振。

公民对自己信息的选择和决定是否利用、删除是保护个人信息的核心问题，包含两个层次：一是个人信息主体对信息控制者发布的信息进行撤回、删除的控制支配的积极权能；二是防止信息再次被其他个体利用传播的免受侵害的消极权能。所谓被遗忘权的权能，是指权利的具体内容所体现的权利的作用或实现方式，是权利人即个人信息主体为保护个人信息利益依法所能采取的手段，也是个人信息遗忘权的权利属性的外在表现。

（一）个人信息被遗忘权之消极权能

个人信息不被非法利用、不受侵扰和不被侵犯是消极地位上公民行使个人信息被遗忘权的消极权能的体现，这方面与作为基本权利的隐私权属性和权能接近。公民个体在纷繁复杂的社会环境和迅速发展的网络技术面前，风险认知能力不足或者随意消遣行乐，在未深思熟虑下不谨慎地将个人信息发布在网络上，个人信息属于私人空间领域，是“一个人能够不被别人阻碍的行动的领域”①张里安、韩旭至：《“被遗忘权”：大数据时代下的新问题》，《河北法学》2017年第3期，第35页。，个体享有撤回或者删除已发布信息、排除被使用和传播的消极自由权利。消极权能是个人信息被遗忘权的首要含义，是针对权利的义务主体而言的，即免于国家和他人侵犯，主张个人有独处不受侵扰的消极自由权，这是法治国家在互联网领域对公民信息保护方面的重要价值，在个人和政治国家二元模式下，为个人留出不受公权力侵扰的私人领域空间是近代宪法基本权利存在的意义所在。个人对其拥有的私人信息享有不受侵扰的消极自由权，国家以不干涉为界限，“它赋予了公民一定的不受国家任意干预的空间，这是宪法基本权利的首要的基本的功能。”②杜承铭：《论基本权利之国家义务：理论基础、结构形式与中国实践》，《法学评论》，2011年第2期，第34页。虽然数字社会中绝对私域范围在减小，但只要公民个人和政治国家的存在，个人必然会拥有不受干预的消极意义上的个人信息被遗忘权，必然要构筑起国家权力在面对个人信息被遗忘权时的权力行使的边界与标准。

个人信息被遗忘权是建立在个人自治理论基础之上的个人信息自主决定权，是不受侵扰的消极自由权在现代国家权力扩张、互联网技术发展形势下的应有权能，“由于信息技术一面强化了公权力，另一方面又催生了私权力（社会权力），甚至国家通过立法‘给平台加责任’的方式来授权平台进行资格审查和监管，从而形成一种公、私并存的双重权力生态。”①马长山：《智慧社会背景下的“第四代人权”及其保障》，第14页。“这就容易形成公权力与社会权力之间的某种‘共谋’。”②马长山：《智慧社会背景下的“第四代人权”及其保障》，第14页。因此，必须借助于个人信息被遗忘权的积极权能的行使才能实现对公民个人信息进一步的有效的保护。

（二）个人信息被遗忘权之积极权能

个人信息自我控制、自主支配和自我决定是被遗忘权的积极权能的体现，积极权能是从权利主体的角度出发对于绝对不受侵扰的消极权能的补充，包含：一是对自身个人信息的用途和状态享有完全支配和排他的权利；二是对个人信息不得不被收集、传播、利用时全面控制的权利；三是个人信息被遗忘权遭受侵害后请求公权力救济的权利。

个人信息包含着信息主体的人格因素，公布在网络上的个人信息能够直接或者间接识别个人身份，基于人之尊严的保护应当赋予个人对其自身信息的自主决定权；个人数据还具有财产属性，还能通过开发利用产生相应的财产价值。在当下的信息社会，个人信息是个体存在于社会的符号，是个体社会交流、个人发展的媒介，这就意味着个体需要交出一部分个人信息，而个人应当对这部分信息的安全性享有自我控制权。准确来说，个人有权知悉自己信息被利用的目的，对信息利用的过程进行控制。个人在私人空间能否自由的活动，自由决定自己的行动，是个人信息自治的核心内容。网络作为一个“公共场所”，个人信息被遗忘权保护的就是在这种公共空间的个人自主决定的权利。这种个人信息的自主决定权“赋予了权利人一种排他的、积极的、能动的控制权和利用权。”③任晓红：《数据隐私权》，杨立新：《侵权法热点问题法律应用》，北京：人民法院出版社，2000年，第419页。

由于现代社会个人存在对国家和社会的依赖性，纯粹的国家不干预是不存在的，人们对个人信息不受侵扰的保护实质上是在几乎透明的世界中相对不受侵扰的主张，个人信息被遗忘权的消极权能也是相对的，应当从个人信息主体角度强调个人信息的自治，强调对自身个人信息的自我控制，以弥补消极权能的不足，这也是自由权在现代发展的新趋势与新内涵。应当既承认现代社会个人在无所不在的国家权力对于私人领域、私人信息的干预和利用中的消极自由权能，也要承认在个人信息不能不受政府干预或者必须主动交出个人信息时的自我控制意义上的积极自由权能。

三、个人信息被遗忘权的边界与国家义务

从宪法基本权利限度理论来分析，个人信息被遗忘权的行使不仅仅面对国家权力有行使的限度问题，也与其他基本权利（如表达自由、知情权等）行使产生竞合关系，从而形成其权利行使的界限，还有特殊权利主体（如公众人物、公权力主体）的个人信息被遗忘权的权利克减问题。一般来说，以宪法基本权利的视角思考个人信息被遗忘权的权利边界问题有以下几方面值得注意。

第一，国家安全与个人信息以及个人信息被遗忘权之间的关系。国家安全是公民基本权利得到保障的前提和基础，为了维护国家安全，在一些特殊情况下，公民基本权利的克减已成为必要。大数据时代国家安全面临的问题前所未有，若某个数据“涉及成千上万的个人信息（如国民的基因信息），且关系到许多人敏感信息”①王利明：《论个人信息权的法律保护——以个人信息权与隐私权界分为中心》，第67页。，其或将属于国家安全的范围。为了维护国家安全，公权力机关能对公民个人信息进行必要的收集、储存，近些年来，许多国家制定或修正法律放宽了国家公权力机关检查甚至监听、使用个人信息的行为的限制条件。但是放宽不等于没有限制，关键在于公民行使个人信息被遗忘权是否对国家安全产生影响，以及由何种机关以何种程序来认定，这是面对国家安全时保障个人信息被遗忘权的关键。

第二，行使个人信息被遗忘权时与其他各种利益等要素之间的关系。各种利益之间的利益衡量和比例原则的有效运用对个人信息被遗忘权的正确行使十分重要。一是个人信息的公共属性程度（公众的知情）及其公共价值的衡量是确立个人信息被遗忘权限度的重要考量尺度。许多时候同一主体个人信息被遗忘权在不同时期不同的场景下也会发生变化，“一些个人信息甚至可以从起初的单一性转变为具有复合性”②刘文杰：《被遗忘权：传统元素、新语境与利益衡量》，第110页。如某人由普通公民成为了政治领导人物，其个人财产等个人信息的公共属性特质要求其个人信息被遗忘权应当克减。被称为中国“被遗忘权第一案”的任甲玉案，“法院正是从信息的时效性和公共属性角度论证了公众了解相关信息的正当性”③刘文杰：《被遗忘权：传统元素、新语境与利益衡量》，第113页。。二是在利益衡量后要遵循比例的原则，确保个人信息遗忘权的实现限度能够在合理的范围，不至于突破被遗忘权的最低限度而对权利主体造成损害。

这里以政府信息公开范围内的个人信息被遗忘权与商业网站、搜索引擎（如百度）等媒体链接范围内的个人信息被遗忘权的不同保护逻辑作进一步阐述。政府信息公开范围内的个人信息往往涉及公共利益，依法将其公开，是为了保障公众的知情权和监督权，因此，被遗忘权的保护空间即会相应地受到压缩。例如失信者的个人征信信息应当向社会公开。当失信者业已履行相应的义务后，则可在一定期限内消除对其不利的征信信息。而媒体链接范围内的个人信息被遗忘权主要涉及个人权益，往往侵犯个人的人格尊严等权利，无须接受公众的监督，因此，被遗忘权的保护空间会相对较宽。

第三，个人信息被遗忘权与包括表达自由在内的其他基本权利的关系。表达自由被视为近代宪法确立的“最根本的权利”，个人信息被遗忘权本质也是关乎人之尊严的基本权利，与个人私生活自由紧密相连，二者之间的冲突是显而易见的。从被遗忘权诞生之日起，被遗忘权与言论自由、平等权等基本权利冲突问题已然备受关注。就与言论自由的冲突而言，被遗忘权将导致言论审查，进而产生寒蝉效应，阻碍事实性信息的流通，或将影响新闻自由和公众知情权；④Jeffrey Rosen,“The Right to be Forgotten”，Stanford law Review,vol.64,2012,pp.88-92.从平等权角度而言，内容限制将固化阶级差距，拥有更良好教育和更多财富的人才可能获得更多信息。2015年谷歌在履行欧洲最高法院关于冈萨雷斯被遗忘权案时删除了许多新闻链接，由此引起包括BBC、卫报等知名媒体对谷歌滥用“被遗忘权”的谴责和批评。因此，如何平衡表达自由与被遗忘权之间的竞合是被遗忘权实现中应该认真面对的问题。

个人信息被遗忘权的主体是信息主体，个人在国家扮演的不同角色而享有的被遗忘权的权能不同。耶林内克根据个人在国家中身份地位的不同，提出公民四种身份理论，即（1）被动身份，公民个人处于义务领域，对于国家来说只是臣民身份，属于服从地位；（2）消极身份，获得在一定私人空间排除国家、否定统治的主人身份，属于自由地位；（3）积极身份，个人利用国家权力满足个人权利，属于市民地位；（4）主动身份，为实现个人的利益而主动参与国家统治权的行使，属于主动市民地位。①［德］格奥格·耶林内克：《主观公法权利体系》，曾韬、赵天书译，北京：中国政法大学出版社，2012年，第78—79页。被遗忘权的内容是信息主体要求信息控制者删除或限制传播其特定信息的权利，但依据公民在国家不同的地位，国家对公民个人信息被遗忘权的义务形式也有所不同。荷兰学者艾德在结合国际人权公约的权利分类基础上，提出国家对不同的权利类型有三个层次的一般性国家义务，即“尊重的义务”、“保护的义务”和“实现的义务”，②杜承铭：《论基本权利之国家义务：理论基础、结构形式与中国实践》，第33页。其中“尊重的义务”是指禁止国家违反公认的权利和自由，不得干涉或者限制这些权利与自由的行使，对应的是公民出于消极地位时的消极自由权；“保护的义务”是当公民处于积极地位时行使要求国家防止和阻止国家自身或者他人对个人权利和自由的侵害的保护请求权时，国家应当承担采取措施救济的义务；“实现的义务”则要求国家在满足公民基本权利需求的基础上，以长期性为目标整体地促进权利的普遍实现，与主动地位的公民参与保护信息权利对应。

第一，基于个人信息被遗忘权的消极权能，国家对公民的个人信息被遗忘权有尊重义务。公民被遗忘权的享有和实现要求国家对其不加干涉和不予侵犯，是一种不作为的消极义务。国家对公民个人信息被遗忘权的尊重义务要求国家“应尽可能减少和避免对公民私人生活的干预与监控。”③王锡锌：《个人信息国家保护义务及展开》，第156页。不同的国家权力对被遗忘权尊重义务的要求不同，立法权对被遗忘权的尊重义务表现在禁止国家立法机关对公民个人信息被遗忘权进行直接立法上的侵害，立法机关不得随意制定法律限制克减公民的个人信息被遗忘权。不仅如此，立法机关还要明确国家公权力在面对公民个人信息被遗忘权的“法律保留”的标准与边界，以避免公民个人信息被遗忘权被其他国家机关干扰和侵犯。行政机关是法治国家中法律的执行者，不得在法律没有规定的情形下自己作出规定或者行为，侵犯公民的信息自主权和隐私，目前特别要治理的是公权力机关在公共卫生过程中过度收集个人信息，政府信息公开中关于个人信息披露界限和程序要求要进一步完善。至于司法权，虽然司法机关具有被动性，司法行为大多都是依公民请求而作出，但其处理案件适用法律时会对法律进行解释，这涉及对公民个人信息被遗忘权的尊重义务。

第二，当国家对个人信息被遗忘权的尊重义务不履行或者其他私法主体如各个网站运营商、信息控制者对个人数据非法收集利用等，就会引起国家对公民个人信息被遗忘权的保护义务，这也是被遗忘权的积极权能所派生出来的国家义务。国家尊重义务的不履行、第三人的非法采集利用都会侵害信息主体的个人信息被遗忘权，为了救济个人信息主体被侵害的个人信息被遗忘权，国家负有保护责任与义务。国家对基本权利的保护义务使人民的权利免于遭受国家公权力或者私法主体即第三人的侵害，国家对个人信息被遗忘权的保护有两重要求。一是国家违反尊重义务时，应积极采取措施进行补救，可以将行政诉讼制度、国家赔偿制度乃至于合宪性审查制度作为国家对公民个人信息被遗忘权的不合理或者违法侵犯后的有效救济机制。二是当信息主体的个人信息被遗忘权被第三人侵犯时，国家也应当负有保护义务。在此情形下的保护可以通过对他人的侵害行为的纠正和制裁来实现，被称为我国“被遗忘权第一案”显示出的问题说明完善个人信息被遗忘权立法和司法制度的重要性①参见吴姗姗：《论被遗忘权法律保护的必然性及其法理依据》，第146页。。立法机关应当将个人信息被遗忘权明确具体化再以法律的形式确定下来，确定个人信息被遗忘权的最低标准和限度；行政机关在实施抽象行政行为时应遵照法治精神和原则并在行政程序中主动保护被侵害的个人信息。司法机关应当依据信息主体的权利请求正确适用法律，明确第三人侵害个人信息被遗忘权的法律责任，保障公民的消极收益权。

第三，当公民为了达到更高层次、更大范围的个人信息保护目的放弃部分对个人信息的支配权而交出部分个人信息时，国家对被遗忘权具有实现义务。一般说来，赋予公民个人信息被遗忘权意味着公民有权删除已经发布在网络上的个人信息，而实施发布行为的原因多种多样，当个人信息遭窃取泄露后被他人非法发布在网络上，属于侵犯个人隐私权范畴，通过普通法律的侵权制度解决；信息主体也可能在紧急情况或者追求另外一种利益时不得不让渡个人信息（通常以知情同意方式出现），如国家出于疫情防控需要对公民信息要收集，公民出于自身防疫需要而让渡部分个人信息等，此种情形国家对个人信息被遗忘权承担着实现义务。随着现代福利国家社会权利理论的兴起，国家不仅是依据公民请求权而承担保护职责，国家义务的内容在进一步扩展，要求法治国家运用国家权力为公民提供福利，基于国家安全、行政管理、民意调查等目的，国家对已经掌握的公民部分个人信息必须严格保密，不得外泄或者用于非法用途，使公民的个人信息处于一个相当安全的“被遗忘”状态，以确保个人信息被遗忘权的实现达到一个基本的水平，这也是国家公权力机关最低限度的实现义务。不仅如此，在最低限度实现个人信息被遗忘权基础上，国家应当尽最大努力的改善保护措施的不足。行政机关是促进义务的最大承担着，可以利用科技严格限制个人信息不当使用，为公民提供安全可靠信息系统进行信息存储和交流等，以防止个人信息的被滥用和侵害公民的个人信息。

结语

被遗忘权作为一项新兴权利，自产生之日起，采用何种权利保障模式已然引发巨大争论。在数字社会背景下，尽管与公民打交道较多的是作为私主体的平台企业，似乎私法保护模式是一种合适方案，然而，从体系性保护公民的被遗忘权角度来看，应当共同推进基本权利保护模式和私法保护模式，方能更好地保护公民的个人信息权，让每一位公民能有尊严地参与数字社会。同时，被遗忘权的实施可能会和言论自由权、公众知情权等基本权利相抵触，需要制度设计者提供一套价值中立的解决方案，寻求二者的调和，在一定情形下确立被遗忘权，同时，亦有助于保障言论自由权和公众知情权。