论被遗忘权与个人信息删除权之差异

摘要：随着互联网行业的发展，信息永久记忆带来的诸多问题亟需法律予以规范，欧盟于《一般数据保护条例》（GDPR）第十七条规定了被遗忘权，我国于《个人信息保护法》第四十七条规定了个人信息删除权。被遗忘权与个人信息删除权虽存在相似之处，但本质上不能等同。通过对比可以发现：在名称内涵上，权利命名体现的人文情感与法律余地不尽相同；在适用条件上，被遗忘权与个人信息删除权的主客观要件规定和权利义务分配有较大差别；在主体关系上，两项权利涉及的主体内容因信息处理过程的差异存在不同界定；在抗辩事由的规定上，二者法律条文的内容存在较大差异。

关键词：被遗忘权；个人信息删除权；信息保护

中图分类号：D922.16文献标识码：A文章编号：2095-6916（2024）15-0081-04

On the Difference Between the Right to be Forgotten and

the Right to Delete Personal Information

Li Zhiyu

（School of Law， Tiangong University， Tianjin 300387）

Abstract： With the development of the Internet industry， many problems caused by permanent memory of information urgently need to be regulated by law， the European Union provides the right to be forgotten in Article 17 of the General Data Protection Regulation （GDPR）， and China stipulates the right to delete personal information in Article 47 of the Personal Information Protection Law. Although there are similarities between the right to be forgotten and the right to delete personal information， they are not essentially equivalent. Through comparison， it can be found that， in terms of the connotation of the name， the humanistic sentiment and legal scope embodied in the naming of the right are different; in terms of the applicable conditions， there are quite different provisions on the subjective and objective elements and the distribution of rights and obligations between the right to be forgotten and the right to delete personal information; in terms of subject relationship， the subject content involved in the two rights is differently defined due to the difference in the information processing process; and there is a big difference in the content of the legal provisions of the two rights in terms of the provisions of the cause of defense.

Keywords： the right to be forgotten; the right to delete personal information; information protection

随着互联网的持续发展，信息存储脱离了传统意义上的纸面记载，从而转向数字化的记忆，信息永久储存在为生活带来便利的同时，也产生了不容忽视的问题。欧盟对于个人信息自决性的保护十分重视，在认识到信息永久储存可能会侵害到个人权益时便开始采取了相应措施。著名的“冈萨雷斯诉谷歌”一案就是围绕着被遗忘权展开的。2018年欧盟《一般数据保护条例》（GDPR）正式生效，在第十七条明文规定了被遗忘权。我国《个人信息保护法》第四十七条设置了个人信息删除权，对信息存储产生的一系列问题进行规制。欧盟被遗忘权和我国个人信息删除权二者是否本质上相同，学界对此展开了一系列讨论。有学者认为我国个人信息删除权等同于欧盟被遗忘权，如杨立新教授认为我国《个人信息保护法》第四十七条第一款规定的删除权，就规定了本土化的被遗忘权［1］；有学者则认为二者不能一概而论，如王利明教授认为删除权与遗忘权在适用条件和功能、行使对象、例外情形等方面存在诸多不同；满宏杰教授认为二者在权能、适用信息范围以及受克减性上存在区别［2］。笔者认为被遗忘权与个人信息删除权并不能完全等同，GDPR规定的被遗忘权，实质上是基于“目的性限制原则”要求信息处理者采取删除、断开链接、屏蔽等多种方式维护信息主体个人信息的权利，与我国个人信息删除权在名称内涵、适用条件、主体关系及抗辩事由上均存在差异。

一、名称内涵的差异

（一）体现的人文情感不同

被遗忘权采用被动语态，“遗忘”动作的发出者是社会，而承受者是信息主体，被遗忘权是一项赋予权利主体可以改过自新机会的权利。个人信息删除权采用主动语态，“删除”是权利主体发出的请求，请求的承受者是信息处理者。“被遗忘”允许权利人再次改过的内涵并不能为“删除”所完全涵盖，因而被遗忘权与个人信息删除权体现的人文情感不能完全重合。

（二）包括的目的不同

被遗忘权的目的是忘却，侧重于消除对信息主体的负面影响，所包含的深层次含义是基于信息主体的请求无法被公众所随意知晓，既可以删除信息，也可以采取其他手段，只要实现被遗忘的结果即可，如通过断开链接、将信息匿名化或是屏蔽处理。确定个人信息删除权的目的从命名上看来是将信息从相关储存空间当中抹除痕迹。此外，个人信息删除权是人格权请求权的组成部分，被遗忘权则不属于传统的人格权，被遗忘权调整的是信息主体展现在外的、曾经与当下不符合的形象。

（三）体现出的法律余地不尽相同

删除权侧重于将信息彻底清除，司法实践过程中的任何一次决断都需要经过反复的考量，被遗忘权由于既可通过彻底删除，也可以采取相关技术手段使公众无法检索到或者将信息匿名化实现维护权利的目的，这也就意味着如果采取后者来实现“被遗忘”的目的，当被遗忘权所指向的信息需要恢复时，是可以采取补救措施恢复的。在现实生活当中，如果某购物网站用户为保护自身权利要求信息处理者屏蔽或匿名化信息，即使用户日后对过往行为反悔需要恢复时，也留有相应余地。对于个人信息删除权而言，有学者认为既可适用于违法违规的数据也可以适用于不必要不相关的数据，违法违规数据相对来说易于判断，而不必要、不相关的数据的界限较为模糊，在个案判断中容易产生误区［3］。信息如果被彻底清除，在出现需要恢复的情况时，则不具有复原这一余地。

二、适用条件的差异

（一）权利与义务的分配不同

GDPR第十七条规定信息主体有权请求信息控制者对其个人信息采取屏蔽、断开链接等方式达到被遗忘的目的，并且在满足相应的法定情形时，信息控制者负有采取上述行动的义务。这一规定包含了信息主体行使权利和信息处理者被赋予义务的过程。换而言之，当某一法定情形发生时，GDPR呼吁信息主体主动行使请求权，要求信息处理者对其个人数据进行删除，此时信息处理者才会被赋予要采取相应措施的义务。

我国《个人信息保护法》第四十七条第一款体现了信息处理者被赋予义务的两种情况：第一种情况是在法定情形出现时，信息处理者被自然而然地赋予删除义务，应当采取相应措施删除相关信息。第二种情况是在第一种情况未实现的状态下，亦即“个人信息处理者应当删除相关信息却未删除”的情形下，经信息主体请求，信息处理者再次被赋予义务。第一种情形属于法律直接赋予信息处理者义务，并且法律没有在此时要求信息主体要积极行使人格请求权。第二种情形虽然与GDPR当中关于被遗忘权的行权方式相类似，但实际上是第一种情形未实现时的补充。

（二）主客观要件规定不同

根据王利明教授的观点，被遗忘权法律效果发生需要同时满足客观条件和主观条件，而删除权的实现需要满足客观条件即可。从我国《个人信息保护法》第四十七条来看，一旦满足法律所规定的相关信息处理情形，即符合了客观要件，即便信息主体没有向信息处理者提出请求，亦即不满足主观要件，信息处理者也应当实施相应的删除行为［4］。换言之，删除权的实现是可以在仅满足客观条件下实现的，只有在个人信息处理者不配合时，信息主体才可以主动行权，通过同时具备主客观双重要求使权利发生效果。

对于被遗忘权的实现，从GDPR第十七条来看，信息处理者没有主动删除的义务，只有在满足法律规定的情形下，主观上信息主体有请求信息处理者以一定的方式删除或匿名化相关信息的意图，客观上具有请求信息处理者采取手段的行为，此时信息处理者才会被赋予删除相关数据的义务。这就是说，信息主体行使被遗忘权需要同时满足主客观条件。

三、主体关系的差异

在被遗忘权与个人信息删除权的适用过程中，义务主体包括最初信息处理者、第三方主体与搜索引擎，二者对权利主体与义务主体之间的关系规制存在如下差异。

（一）信息主体与信息处理者的关系之差异

就被遗忘权而言，根据GDPR第十七条第二款规定，“如果数据主体已经要求控制者删除其个人数据的任何链接副本或复制件，但控制者已将个人数据公开，并且根据第1款有义务删除这些个人数据，控制者在考虑现有技术及实施成本后，应当采取包括技术措施在内的合理步骤，通知正在处理个人数据的控制者。”［5］由此可以得知，信息主体请求删除相关信息时，信息处理者不但需要删除相关个人信息，同时在考量相关现实条件后，应当通知正在处理该信息的第三方处理者同样采取相关措施。被遗忘权在提出伊始并不针对第三方发布的个人信息，而是主要解决用户退出社交网站时个人数据无法删除的问题［6］。2018年GDPR问世之后，欧盟将被遗忘权的义务主体拓展至第三方。在这种情况下，信息最初的控制者需要承担通知第三方的责任，第三方也因此需要履行相应的义务，此种模式不仅涉及信息处理者，同时还涉及第三方主体，属于“一对多”的关系。

就个人信息删除权而言，我国《个人信息保护法》第四十七条没有涉及有关第三方主体的内容，仅规定了个人信息处理者应当主动删除个人信息，但对于个人信息处理者是否有通知其他主体的义务，以及第三方处理者是否应当采取相应的措施，则并未进行明确。换言之，删除权是指信息主体在法定情形下，有权要求信息处理者删除相关的个人信息，并且只有被提出请求的信息处理者才需要承担删除义务，行权的对象不包括任何其他正在处理该信息第三方主体，因此可以说是“一对一”的形式。

（二）基于主体关系差异而产生的调整信息范围之差异

由于被遗忘权与个人信息删除权在信息的发布、处理过程当中所涉及的义务主体主要在于信息处理者以及第三方主体，因此二者调整的信息范围也基于义务主体的差异而存在区别。对于信息主体自行发布但未被转发的信息，以及这一过程中信息处理者被动收集到的信息，前者基于信息主体的撤销同意或期限届满可以删除，如微信朋友圈发布设置仅三天可见；后者的收集获得了信息主体的授权，如各类APP在登录时对于位置权限的授权。这两类信息所涉及的权利主体是信息主体，义务主体为信息处理者，而不包括第三方主体，因此可以成为个人信息删除权的调整信息范围，信息主体可以基于“一对一”的关系请求相关主体删除。对于被信息主体发布再由他人所转载的信息，如被转发的公开的微博，以及第三方来源的信息，如某些APP经用户授权允许第三方获取信息，此两类权利客体超出了信息主体与信息处理者之间“一对一”的关系，扩展到了“一对多”的关系，属于被遗忘权的调整范围，因此只能由被遗忘权予以调整而并非个人信息删除权。

（三）对于搜索引擎是否属于信息处理者的规定不同

在“冈萨雷斯诉谷歌”一案中，欧洲法院在1995年《数据保护指令》（95/46/EC）的基础上，裁决指出如果基于一个人的名字的搜索结果包括存在问题的个人信息相关链接，数据主体可以要求搜索引擎经营者予以删除［7］。由此可见，在欧盟被遗忘权的适用过程中，搜索引擎并非作为第三方责任主体，而是作为直接的信息处理者，也即被遗忘权的直接义务主体。

我国个人信息删除权当中搜索引擎是否作为义务主体而存在，则需要视不同情况而定。由于搜索引擎本质是根据一定的计算机程序从相关网页上采集信息，进行整合后，为用户提供相关网页链接的一项技术。因此，在信息处理过程中，搜索引擎对于信息的内容主要在于汇集信息，而不是加工或修改。从我国《个人信息保护法》第十七条第一款第六项规定可以知道的是：信息处理者能够在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息［4］。搜索引擎作为信息收集者，并不是最初的信息发布者，也不是第三方处理者，因此在符合《个人信息保护法》第十三条第一款第六项的情形下，对已公开信息进行整合，则无需相关信息主体的同意。这也就意味着在符合该规定的情况下，搜索引擎不会成为删除权的义务主体。但在收集信息过程中，如果超出了合理范围或者个人信息已不再是合法公开的状态，此时搜索引擎仍然在处理，则违反了《个人信息保护法》上述法条的规定，此时搜索引擎便成为删除权的义务主体，需要承担删除义务。

四、抗辩事由的差异

从GDPR与我国《个人信息保护法》的相关规定来看，被遗忘权与个人信息删除权在抗辩事由的设置上存在差异。

（一）GDPR对被遗忘权抗辩事由的设置

GDPR第十七条第三款当中规定了被遗忘权适用的5种例外情形，在涉及言论自由以及与公共利益相关等情形时，基于第三款规定可以对被遗忘权进行抗辩。第一种情形是为了行使言论和信息自由的权利，信息处理是必要的，处理者可以提出抗辩。第二、三、四种情形均是在涉及信息主体的个人信息处理与公共利益发生冲突的情形下，信息处理者对于信息主体提出的删除、屏蔽信息等请求的抗辩事由。最后一种情形则是为了捍卫法律诉求，信息处理者可以抗辩信息主体的请求。在这几种情形当中有关比例原则的适用，GDPR则是交由法官衡量。如在“冈萨雷斯诉谷歌”案当中，欧盟法院在衡量信息主体个人利益与搜索引擎的利益时，认为搜索引擎处理相关数据仅仅具有经济价值，而没有公共价值。经济利益与信息主体的私人利益相比较而言，显然后者更为重要，因此欧盟法院要求谷歌删除相关信息。

（二）《个人信息保护法》对个人信息删除权抗辩事由的设置

《个人信息保护法》第四十七条第二款规定了删除权的两种抗辩事由。第一种抗辩事由指在法律、行政法规规定的保存期限未届满的情形下，倘若信息主体要求信息处理者删除数据，信息处理者可以此为由而拒绝删除。如《网络安全法》第二十一条对网络日志的存储期限限定为不少于六个月，《电子商务法》第三十一条对电子交易完成后的相关交易纪录的保存期限规定为不少于三年；也正如未到期的债权视为无债权，在储存期限未届满之前，信息处理者可以以此进行抗辩。第二种抗辩事由指“删除个人信息从技术上难以实现的”，这种技术上的难以实现涵盖了“技术”与“代价”两个方面的内容。一方面包含对信息处理者技术本身的要求，信息处理者的技术应当以行业的一般标准为基础，倘若信息处理者未能达到，而以技术难以实现为由进行抗辩是不合理的。另一方面包含实现该项技术所需要付出的代价和成本要求，其中包括信息处理者的技术达到了行业标准，但处理相关信息所需要耗费的代价着实太大的情况。因此，有学者指出，信息处理者以技术上难以实现为由拒绝信息主体的删除请求时，要么证明自身处理技术不弱于行业一般水平，基于自身技术难以删除个人信息，要么证明基于自身技术能够删除，但需要付出不合理的成本［8］。

与被遗忘权不同的是，一方面，在被遗忘权的案件中，欧盟法院负有对公益与私益之间的衡平问题进行裁量的职责，《个人信息保护法》并没有明确对此进行规定。另一方面，被遗忘权的抗辩事由通常是基于与该权利相冲突的权利，如言论自由权，是从反面对被遗忘权进行的一种规制。我国个人信息删除权的两种例外情形是基于法律行政法规规定和客观情况难以实现，并非是从与之相冲突的权利反面进行制约。

五、结语

欧盟《一般数据保护条例》第十七条规定的被遗忘权，与我国《个人信息保护法》第四十七条规定的个人信息删除权存在名称内涵、适用条件、主体关系以及抗辩事由四个方面的差异。随着大数据时代来临，个人信息保护问题日益增多，信息的永久记忆虽然为人类生活带来了便捷，但也存在诸多问题，亟需法律予以保障。被遗忘权与个人信息删除权虽均旨在解决信息过度储存问题，保障信息主体的个人权益，但并不能将二者简单等同。

参考文献：

［1］杨立新，赵鑫.《个人信息保护法》规定的本土被遗忘权及其保护［J］.河南财经政法大学学报，2022（1）：60-71.

［2］薛丽.GDPR生效背景下我国被遗忘权确立研究［J］.法学论坛，2019（2）：10-109.

［3］宋丁博男，张家豪.中外数据被遗忘权制度比较研究［J］.情报理论与实践，2023（3）：98-105.

［4］王利明.论个人信息删除权［J］.东方法学，2022（1）：38-52.

［5］瑞栢律师事务所.欧盟《一般数据保护条例》GDRP：汉英对照［M］.北京：法律出版社，2018：55.

［6］蔡培如.被遗忘权制度的反思与再建构［J］.清华法学，2019（5）：168-185.

［7］张里安，韩旭至.“被遗忘权”：大数据时代下的新问题［J］.河北法学，2017（3）：35-51.

［8］郭春镇，王海洋.个人信息保护中删除权的规范构造［J］.学术月刊，2022（10）：92-106.

作者简介：李至钰（1998—），女，汉族，湖南岳阳人，单位为天津工业大学法学院，研究方向为法学。

（责任编辑：王宝林）