个人信息保护中被遗忘权制度的构建和适用问题研究

西南科技大学法学院 陆宁

一、问题的提出

在数字化高度发展的今天，个人信息保护问题已经成为一项新的挑战。传统信息时代的旧格局已经被逐渐打破，大数据时代已经来临。大数据时代各项信息呈现出“高度网络记忆性”“高度共享性”“高度流动性”的特点，而个人信息的隐私属性和高度财产关联性导致个人信息本身并不能很快地契合大数据时代所带来的改变，其更倾向于“最小使用”“可匿名化”“可遗忘和低流动性”的特点，这一矛盾的出现也成为了解决个人信息保护所必须面对的重要问题[1]。而在法学界讨论已久的被遗忘权可以很好地缓和这一矛盾。首先，被遗忘权的使用并不会在个人信息收集阶段带来过多的干扰，其对于个人信息的收集使用并未设置单独的门槛，不会过度干涉“知情同意”的权能，这在一定程度上符合大数据时代所追求的数据收集使用的追求；其次，被遗忘权很好地满足了个人信息主体所追求的可遗忘性要求，其赋予个人信息主体一个独立的被遗忘权来应对新信息时代所带来的信息风险，在很大程度上满足了信息主体的诉求；最后，被遗忘权并非横空出世的新型权利种类，其具有正当的法理来源和现实需求（如《中华人民共和国网络安全法》《数据安全管理办法》等），对于缓和个人信息使用和保护的矛盾具有重要意义。但被遗忘权制度的构建和适用仍存在概念不统一、权力行使范围和条件不明晰等问题，本文将从被遗忘权的概念界定、被遗忘权引入的合理化论证和现行法律体系下被遗忘权的缺陷进行分析并得出相应结论和建议。

二、被遗忘权的概念及界定

我国法学界目前对于被遗忘权概念的讨论和界定很多，其中，部分学者将“被遗忘权”定义为“个人信息的拥有主体基于隐私自主而拥有向个人信息收集者、发布者、索引者等，随时要求删除遗留在网络当中的各种有关个人的数字痕迹，从而使其被其他人所忘记的权利”。有学者仅以删除权为内容将被遗忘权定义为“数据主体有权要求数据控制者永久删除有关数据主体的个人数据，以使该数据被互联网所遗忘的权利”。也有小部分学者主张照搬《欧盟通用数据保护条例》中关于被遗忘权（删除权）的概念进行界定[2]。但讨论和概念界定大都围绕并集中在个人信息删除权这一权利进行展开，对于权利主体义务主体等均未进行过多讨论，而权利主体和相对的义务主体及权利行使的禁止实际上均应在此加以讨论，以求在界定概念的同时明确其内涵及外延。

首先，应从被遗忘权的权利主体和义务主体出发进行界定。被遗忘权的主体为适格的个人信息主体；相较而言，被遗忘权的义务主体是为达到合法目的而采取法定手段对信息主体的个人信息进行收集、存储、使用的个人、单位或其他组织。其次，被遗忘权行使的范围应加以限定，被遗忘权的行使范围应限定在经合理手段发布于网络或现实之中的、可被其他主体获取和知悉的个人信息或由个人信息衍生出具有可识别性的信息范畴[3]。同时，对于已经收集和获取的个人信息和授权，信息主体有权随时撤销授权。最后，被遗忘权的行使不能排除一般个人信息中的合理使用规则。

综上所述，被遗忘权是指信息主体对于经合理手段获取，发布于网络或现实之中的、可被其他主体获取或知悉的个人信息或由个人信息衍生出的具有可识别性的个人信息，及已经合理授权存储使用的个人信息，可要求信息收集、发布和管理者彻底删除和撤销其授权的权利。

三、被遗忘权引入的合理化论证

被遗忘权引入我国个人信息保护范畴是否合适的讨论一直处于进行之中，虽未有定论但其中大部分是倾向于引入被遗忘权并进行本土化构建的声音和建议，也有部分学者主张被遗忘权实际上是对公众言论自由权和知情权的伤害。早在2015年，杨立新教授就于《被遗忘权的中国本土化及法律适用》一文中表示被遗忘权的引入具有正当化的请求权基础并主张进行本土化的适用，丁晓东教授认为我国被遗忘权应当建立在信息的合理流通以及具体场景的合理预期之上，根据不同的场景赋予当事人不同的请求删除的权利。相较于基于公众言论自由和知情权考虑而发出的反对声音，我更倾向于杨立新教授等人提出的引入并进行本土化制度构建的见解[4]，理由如下：

首先，从现实背景来看，大数据时代到来之后出现的种种信息乱象和个人信息泄露、非法使用问题屡见不鲜，证明了传统的权利种类已不足以面对和解决当下的个人信息保护问题，个人信息主体相较于掌握更多资源的信息收集、使用、处理者处于完全不对等的地位，此种不对等无异于将个人信息赤裸裸地暴露在非法使用的乱象之内；其次，从权利来源看，被遗忘权来自于外国民法体系之中且起到了很好的约束作用，此种引入也并非完全的移植，而是像杨立新教授等人论文所述一样，结合我国司法实践出现的问题而进行的被遗忘权本土化之后的制度构建[5]；同时，从引入方式加以考虑，在大数据时代相较于具备更大能量的个人信息收集使用方，个人信息主体处于完全不对等的地位，赋权形式的引入给予了信息主体一个个人信息自我保护的权利行使途径，赋权的形式也符合民法保护的形式；最后，从具体的效果来看，被遗忘权能够很好地平衡信息收集使用方和信息主体之间的固有矛盾，在有效做到个人信息保护的前提之下充分发挥了个人信息的作用，这是之前的个人信息保护体系中没有任何一项权力可以做到的。

综上所述，被遗忘权的引入是合理且必要的，其在很好的缓和个人信息主体和相对方固有矛盾的同时还考虑到了个人信息本身价值的发挥，我们所面临的主要问题是如何构建满足被遗忘权本土化引入和适用的制度。

四、现行法律体制下被遗忘权的缺陷

（一）《中华人民共和国个人信息保护法》第四十七条：未明确范围

有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十七条以列举式授权的方式授予了个人信息主体一个未显名化的被遗忘权：一方面，个人信息处理者应主动删除个人信息的表达直接赋予了信息处理者一个明确的民事义务，要求在上述情况发生时信息处理者应主动删除已经收集处理的个人信息；另一方面，在前述个人信息处理使用者未遵循义务性规定履行删除义务的前提之下，还赋予了个人信息主体一个可直接行使的删除个人信息的请求权，这一请求权不仅是对处理者删除义务的反馈，还表现出了对被遗忘权整体的填补，当个人信息处理者未发现或对法律规定情形未发觉，而信息主体发现上述问题时，可以先以删除义务为主张要求信息处理者删除个人信息，在信息处理者不履行删除义务时，则可以法律赋予的“被遗忘请求权”请求信息处理者或相关机构对所涉个人信息进行删除处理，基于此种设计方式被遗忘权可以通过两条不同的路径主张，保证权利行使的可能性。但《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）并未对权利适用范围和权利行使的边界进行明确化规定。

（二）《中华人民共和国网络安全法》第四十三条：边界过窄

根据《中华人民共和国网络安全法》（以下简称《网络安全法》）第四十三条的规定：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

《网络安全法》第四十三条从两个方面规定了信息主体的删除权和信息收集使用者的相对义务。首先，与《个人信息保护法》相比，《网络安全法》将删除权限定在了网络运营商收集的个人信息这一范畴之内，尽管这一限制凸显出了网络安全法的特点，但从目前个人信息保护的现状和问题来看，仅仅将被遗忘权（删除权）限定在网络运营商和经网络所收集的个人信息范畴之内明显属于限定过窄。在大数据时代，个人信息的存储和存在介质是多元化的，并非只有网络运营商所收集使用的个人信息才具有被侵害的可能，相较于其他形式收集的个人信息，网络侵权只是具有更高的侵害可能性和可操作性，其对于被遗忘权行使领域的界定过窄[6]。其次，《网络安全法》对于被遗忘权的权力类型的规定实际上和《个人信息保护法》的规定有部分重合和共通，对于个人信息收集有错误或违反双方约定的情况，《网络安全法》也赋予了个人信息主体相应的删除权；但从赋权手段上来说，《个人信息保护法》的列举式授权手段能为司法实践提供更明确的参考依据，不足之处是无法涵盖越来越多的新侵权手段；相比较而言《网络安全法》模糊范围授权的方式仅仅将侵权作为参考要素而非一一列举，其赋予了法官更大的自由裁量权的同时可以为将来层出不穷的新侵权手段作参考，缺点则在于不具有高度确定性。

综上所述，无论是《个人信息保护法》列举式授权的方式还是《网络安全法》限定领域授权的规定方式均未很好地对被遗忘权的适用范围进行明确化界定，但可以从二者的共同之处入手，在授权的基础上进行明确化规定，使得被遗忘权更好地发挥其缓和个人信息保护和信息开放共享之间矛盾的作用。

五、思考与建议

（一）结合现行法规进行统一概念界定

结合前述学界对被遗忘权“信息主体基于隐私自主权而拥有的要求对应主体删除个人信息的权利”和《个人信息保护法》中列举式授权和《网络安全法》中限定领域授权的优势与不足不难看出，被遗忘权拥有以下特点：首先，被遗忘权的权利主体为被收集使用个人信息的信息主体；其次，被遗忘权的权利客体为经合理途径收集、存储、加工使用个人信息的收集、处理、使用者；最后，被遗忘权的权利内容为在法律规定的情形之下，权利指向的信息收集、处理、使用者有义务对个人信息进行删除或匿名化处理，否则，权利主体有权直接要求信息收集、处理、使用者对已经合理收集使用的个人信息进行删除。故被遗忘权应界定为：被遗忘权是指个人信息主体对于经合理手段收集、处理、使用或发布于网络、现实之中的、可被其他主体获取或知悉的个人信息或由个人信息衍生出的具有可识别性的个人信息，及已经合理授权存储使用的个人信息，当发生法定情形时，个人信息主体可要求信息收集、发布和管理者彻底删除和撤销其授权的权利[7]。

（二）明确被遗忘权的适用范围

关于被遗忘权的适用范围，可结合《个人信息保护法》和《网络安全法》二者的列举式授权和专项授权形式加以明确化：首先，被遗忘权的权利基础来源于信息主体对其合法个人信息享有的支配权（需排除法定的合理使用情形），其具有正当化的法源基础；其次，被遗忘权适用的个人信息使用领域和范围不仅限定于互联网领域，还包括日常生活中各个可能发生个人信息侵权的领域；最后，被遗忘权适用的情形可参考《个人信息保护法》中所规定的达到合理使用目的、主体撤销同意、期限届满、违法违规处理、法定其他情形等。通过以上三方面可以更好地对被遗忘权的范围加以明确化规定。

（三）围绕现行法律法规构

建完整规范的被遗忘权制度

从被遗忘权的权利属性和功能来看，其能很好地缓和个人信息保护和开放共享之间的矛盾，但目前我国并未对被遗忘权进行显名化界定，存在诸如概念不清、范围不明等问题，我们应当从以上两方面出发，结合个人信息所面临的特定场景空间，对被遗忘权适用的法律规则和权利主张以及个人信息收集适用处理平台的责任承担形式进行完善，以现有的《个人信息保护法》《网络安全法》等法律文件为依托，构建更加完善的被遗忘权制度，为加强个人信息保护及缓和个人信息保护和开放共享之间的矛盾起到应有的作用。

六、结语

大数据时代的来临为经济社会的发展带来了新的机遇和挑战，与此同时，对具有高度经济价值的个人信息来说却出现了越来越多的新问题。为应对越来越多的个人信息侵权现象和解决个人信息保护与开放共享之间的矛盾，我们应从被遗忘权的概念界定出发，围绕现行《个人信息保护法》的相关规定对其进行更加宽泛的适用和显名化的界定。在此基础上围绕司法实践中出现的新问题进行完善，解决其适用范围不明和适用条件不具有客观参考性的问题。进而结合个人信息的基础属性进行特定场景的构造，完善个人信息侵权主体的责任承担形式和个人信息主体的追责路径，最后明确个人信息合理使用的范围和条件，构建出概念-适用-追责路径下完整规范的被遗忘权制度，从而更好地缓和个人信息保护和个人信息开放共享之间的矛盾，在保证个人信息能得到良好保护的前提之下最大程度发挥其经济价值，为大数据时代的来临构建一个良好的法治环境。