按:“被遗忘权”是随着数字技术与网络传播的迅猛发展而产生的一个法律新概念,指的是“对过往生活中不再发生的事件保持沉默的权利”。作为一种新兴权利,其法律属性存在争议。“被遗忘权”法案的提出、修正及首个司法案例的出现,无疑针对的是当下日新月异的互联网技术及大数据时代出现的信息失衡现象。对“被遗忘权”的探讨,应跳出“传统隐私权”的范畴,从个人信息权的角度去理解,才能具有更广阔、更具前瞻性的理论视野。
试论大数据背景下“被遗忘权”的属性及其边界
撰文|梁辰曦 董天策梁辰曦, 重庆大学新闻学院—法学院新闻法学博士生;
董天策, 重庆大学新闻学院教授。
2009年,维克托·迈尔–舍恩伯格教授在《删除:大数据取舍之道》一书中表达了一个颇具哲思的观点:由于数字技术和全球网络的发展,记忆与遗忘的平衡已经被打破,往事正像刺青一样刻在我们的数字皮肤上,遗忘已经变成了例外,而记忆却成了常态。这是因为,“数字化”“廉价的储存器”等计算机技术的发展,使信息储存变得方便而持久,只要用鼠标轻轻一点,海量的信息便出现在眼前,我们的记忆力从依赖大脑正逐渐转变为依赖电脑。因此,舍恩伯格教授在书中表达了对这种转变的忧虑:数字化记忆的广泛应用很可能导致信息控制的减弱,一个人可能在数字化记忆的世界中丧失自己对信息的控制权。尽管舍恩伯格教授在此书中并没有明确定义“被遗忘权”,但他对大数据背景下人类与技术之间关系的预见和担忧,正是这一权利诞生的背景。
一、“被遗忘权”:法律文本及司法案例
据考证,“被遗忘权”(right to be forgotten)这一提法源于20世纪70年代法国的法律概念“遗忘权”(le droit a l'oubli),在意大利的法律概念中也有类似表述,指的是“对过往生活中不再发生的事件保持沉默的权利”。最初意义上的遗忘权通常用于刑法,指有过犯罪记录的人在其刑期执行完毕之后,有权利要求他人不公开自己的犯罪记录,其背后的法理在于一旦罪犯经过改造,就应该享有权利让自己的名誉免于犯罪记录公开的损害。
最近兴起的关于“被遗忘权”的讨论,则与两个文件密切相关。一个是1995年10月欧洲议会和欧盟理事会公布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(The Data Protection Directive 1995/46/EC,以下简称《数据保护指令》);另一个是2012年1月欧盟委员会公布的《欧洲议会和欧盟理事会关于个人数据处理和自由流动的一般保护规则》(On the Protection of Individuals with Regard to the Processing ofPersonal Data and on the Free Movement of Such Data,以下简称《数据保护一般规则》)。这两个文件具有承继关系,是欧盟为应对新技术发展对个人信息的挑战而不断修改、不断完善的法案。本文对“被遗忘权”的讨论,也主要基于以上两个文件。
欧盟旗帜
在1995年的《数据保护指令》中,与“被遗忘权”相关的描述主要集中在第12款,即“当数据不以指令所规定的相关方式进行处理时,数据主体有权查阅其个人数据以及修改、删除或关闭其个人数据”。在这一描述中,并没有出现“被遗忘权”的字眼,而是以“修改”“删除”“关闭”来描述数据主体的这一权利。“被遗忘权”首次被明确提出是在欧盟2012年发布的《数据保护一般规则》中的第三章第三部分的第17款,一共有9条规定。第17款的标题正是“被遗忘的权利及删除的权利”(right to be forgotten and to erasure)。其中,第17款第1条,以“描述”的方式对“被遗忘权”做了诠释。该条款称:“数据主体应该有权利从数据控制者手中获得与自己有关数据的删除权,并且禁止这些数据的进一步传播;尤其是当这些数据是在数据主体还是孩童时期制造的情况下,更应赋予数据主体处理个人数据的权利。”具体说,该权利可在如下四种条件下实施:数据对于当初被搜集或加工时的理由而言,已不再是必须的;数据主体撤回了当初数据被收集时的“同意”,或者数据的存储期限已满,或数据控制者没有合法的加工理由;数据主体在任何时候都有权拒绝对数据进行处理,除非数据控制者能证明其自身具有超越数据主体基本人权或自由的不可抗的合法性因素时,则可对数据进行处理;数据控制者对个人数据的处理不符合《数据保护一般规则》中的其他条款。
除了相关的法律文本,“被遗忘权”在2014年5月的“谷歌西班牙案”中有了突破性进展。这个案子是西班牙公民马里奥·格斯蒂亚·冈萨雷斯向法院起诉谷歌。起因是这位西班牙公民在2011年用谷歌搜索自己名字时,发现一篇1998年关于他的新闻报道,其中提到他因债务危机而拍卖房产的消息。他认为:“我名下的房子已经拍卖用来偿还社保债务,谷歌就不应该再将我的名字与这个房子联系起来,我只是希望对关于我个人名誉、财产产生负面影响的相关信息不再显示。”于是,他将谷歌公司告上西班牙法院,要求删除这篇报道的搜索链接。2014年5月,欧盟法院对此案做出最终裁定,支持该西班牙男子的诉求并要求谷歌删除相关链接。欧盟法院认为,用户在互联网中应享有“被遗忘权”:若用户发现互联网上的链接指向一些与自己有关,但属于过时、无关紧要或损害个人隐私的信息时,可以要求运营商等数据控制者把链接删除。该案标志着“被遗忘权”在欧洲有了首个司法案例,从最初的理论探讨进入到具体的司法实践。这一案例有力地推动了欧盟对个人数据权利的保障,也表明在信息时代,欧洲的司法体系正逐渐朝着数据主体的权利倾斜。
不过从《数据保护指令》《数据保护一般规则》这两个文件中关于“被遗忘权”的相关条款,以及“谷歌西班牙案”这一司法案例来看,欧盟对“被遗忘权”的界定,只是采取了简单“描述”的方式,而并没有从“权利”的角度,对其“主体”“客体”“内容”等法律属性进行严格的定义,也没有明确划分“被遗忘权”和其他相关权利之间的边界,这一举措旨在应对瞬息万变的信息社会并给予法院足够的裁量权。对于一项新兴权利的研究,应起步于对其法律属性做一个基本的考察。
二、“被遗忘权”的属性界定
(一)“被遗忘权”的法律属性争议
作为一种新兴的权利,“被遗忘权”应归属于哪个权利体系,研究者持有不同见解。部分学者认为“被遗忘权”属于隐私权的范畴。彭支援认为“被遗忘权是隐私权的延伸,属于隐私权的范畴。”邵国松也认为,隐私权是被遗忘权的法理渊源之一。另一些学者认为“被遗忘权”属于个人信息权的范畴。郑文明认为“数字遗忘权强调的重点在于‘删除’,而非‘遗忘’,本质上属于信息自决权范畴,而非早期的隐私权。”西方的研究者也有类似困惑:“被遗忘权明显地倾向于隐私权保护,但又不同于欧洲人权公约里关注精神损害的‘隐私’;因此其范围与‘个人数据’的定义是一脉相承的。”由于翻译及使用习惯等原因,目前法学界对“个人信息”有不同的称谓,或叫“个人资料”,或叫“个人数据”。本文采用齐爱民教授的看法:“在个人信息保护法领域,‘个人资料’和‘个人信息’应该是可以通用的概念。事实上,很多国家和国际组织在其法律文件中也是将个人资料与个人信息通用的。”在本文中,“个人信息”“个人数据”以及“个人资料”是无差异的概念,指的都是英文中的“data”。
(二)“被遗忘权”与“隐私权”及“个人信息权”的关系
自从塞缪尔·沃伦(Samuel D. Warren)及路易斯·布兰代斯(Louis D. Brandeis)在1890年提出“隐私权”这一概念之后,100多年来隐私权的发展可以说是一个探寻概念的过程。王泽鉴教授在《人格权法》中认为,隐私权由两个核心部分构成,一是私密领域,一是信息自主。其中,“信息自主”指的是自主决定是否及如何公开关于其个人的资料。之所以从广义上去解释隐私权,是为了避免再创立一个独立的信息自主权。从《数据保护一般规则》的相关描述看,“被遗忘权”也是表达了信息主体在规定的范围内有权处理(包括是否删除或继续加工)自己的个人信息。因此,“被遗忘权”确实体现了“隐私权”范畴内的“信息自主”精神。既然“信息自主”属于“隐私权”的组成部分,那么“被遗忘权”当然可以理解为隐私权的一个下位概念,其救济途径亦可参照隐私权进行。
相对于“隐私权”而言,“个人信息权”是一项较为年轻的权利概念。王利明教授认为,个人信息权应当作为一项独立的权利来对待,此种权利常常被称为“信息自决权”。该概念最初由德国学者在1971年提出。所谓信息自决权(das Recht aufinformationelle Selbstbestimmung),在德国法的语境中是指:个人依照法律控制自己的个人信息并决定是否被收集和利用的权利。德国甚至把个人信息上升到宪法上的权利加以保护。笔者认为,界定“被遗忘权”从属于“隐私权”还是“个人信息权”,要从“隐私权”与“个人信息权”的权利差异这一角度分析。从比较法的视野来看,对于这一问题,世界上现行的法律制度主要有美国法模式和欧洲法模式。美国法模式对个人信息的保护主要基于相关隐私权的立法,通过扩充隐私权的内涵来保护新出现的个人信息权问题,如美国1974年的《隐私法》。因此,美国法学界往往从隐私权的角度去理解和界定个人信息权,认为“个人信息本质上是一种隐私,从法律上作为一种隐私加以保护,可以界定其权利范围。”欧洲法模式则采取了另一途径——单独制定个人信息保护法,如德国在20世纪70年代制定的《联邦数据保护法》等。对于欧洲法模式而言,“隐私权”和“个人信息权”是两个不同的概念,“个人信息权”并不从属于“隐私权”,两者各有其内涵和外延。
首先,从这两种权利的客体看,虽然个人信息与个人隐私存在部分重合,其客体却有一定差别。隐私是指个人不愿意为外界所知且不涉及公共利益的信息,如家庭背景、宗教信仰、就医记录、婚姻情况等。而个人信息却不一定是私密的信息,概念的关键点在于“识别性”,即个人信息使其所有者具有可识别性。在信息化社会,出于社会管理或公共利益的需要,个人有些基本信息如姓名、血型、家庭住址等是会被某些社会机构搜集的,这部分信息显然不能归入“隐私”的范畴。因此,齐爱民教授认为,从形式逻辑出发,“个人信息”和“个人隐私”是包含关系,就是说个人信息包含个人隐私,个人隐私是个人信息的下位概念,是个人信息的一部分。其次,从这两种权利的内涵看,个人信息权强调的是个人对自己信息的“控制”。“控制”不仅意味着个人有权对属于自己的信息更新、删除,也意味着了解自己信息的用途、去向、使用情况等。而隐私权则主要指向隐私信息不被非法披露,而不是强调个人对这些信息的控制和支配。因此,个人信息权具有与隐私权不一样的内涵。最后,这两种权利的保护方式也有差异。隐私权更多的是一种不受他人侵害的消极防御权利,即权利主体在受到侵害时可要求停止侵害或者排除妨碍。而个人信息权则是一项积极的权利,权利人的救济方式有更新、更正、删除等。
(三)被遗忘权:“个人信息权”在大数据背景下的延伸
“被遗忘权”法案的提出、修正以及首个司法案例的出现,无疑针对的是当下日新月异的互联网技术,以及大数据时代出现的信息控制失衡现象。随着“搜索引擎”“云计算”等信息技术的快速发展,个人信息被搜集、分析、整合,成为各方争夺的商业资源甚至犯罪所需的资源。大数据技术的应用,不仅使得个人隐私受到侵害,个人信息安全也面临严峻威胁。因此,笔者认为对“被遗忘权”的探讨,应跳出传统“隐私权”的范畴,从“个人信息权”的角度去理解,才能具有更广阔、更具前瞻性的理论视野。这是因为,法律制度对个人信息的保护,应该直面当今互联网技术对个人权益的挑战,通过建立一种合理的权利制度,给予个人信息全面的保护,而不仅停留在保护传统理念上的与隐私有关的信息。
首先,从被遗忘权的客体来看,“琐细个人信息”(trivial data)是被遗忘权的客体之一。值得注意的是,这部分信息是传统隐私权保护中并不涉及的,因此只能在“个人信息权”的范畴内加以保护。个人信息有不同的类型,若属于隐私权保护的范畴则可称为“敏感个人信息”,而不涉及个人隐私的信息则称为“琐细个人信息”。瑞典《资料法》规定,“很明显的没有导致被记录者的隐私权受到不当侵害的资料”为琐细资料。事实上,在对“个人信息权”的研究中,已有许多学者关注到大数据时代“个人信息”呈现出的特殊性。齐爱民教授曾指出:“许多看上去是相当不重要的个人资料,如果经过用心收集整理,亦能结合成一个资料人格图,就如同利用许多各色散碎的纸片拼成一幅完整的图案。”这无疑是对大数据时代个人信息被各种数据挖掘技术搜集的真实写照。因此,若要保护这些“非隐私”的琐细信息,就需要从“个人信息权”的角度进行立法。
其次,从“被遗忘权”的内容——“数据主体有权要求数据控制者永久删除有关数据主体的个人数据,有权被互联网所遗忘,除非数据的保留有合法的理由”来看,“被遗忘权”的内涵与“个人信息权”更为接近,体现的是个人对自我信息的“控制权”,即个人有权对自己的信息更新、删除及了解其用途或去向。
再次,从2014年关于“被遗忘权”的司法案例看,原告要求撤销谷歌链接的这篇新闻报道,毫无疑问是曾经被同意的、已经公开了的个人信息,而不是政治观点、宗教信仰、性取向等未公开的属于个人隐私的信息。这一案例表明,欧盟法院的最终裁定不仅保护信息主体未公开的信息,而且保护那些已公开了的非隐私的信息。只要主体认为这是“无关紧要”“已过时”的信息,就有权利要求像谷歌这样的信息发布者删除。这也表明,传统隐私权的保护并不能适用于自己曾经授予他人的“已公开”信息,而这一类型的信息在大数据时代是普遍存在的,许多信息都是曾经自愿公开或同意被搜集的,但拥有“被遗忘权”即意味着我们并没有丧失对这一类“已公开”信息的控制权。
最后,“隐私权”对个人信息的保护有其自身固有的局限性,对于“被遗忘权”的保护而言并不适用。隐私权的适用标准在一定程度上可以归结为“抽象的”“滞后的”且“不确定的”。这是因为损害隐私权的行为通常涉及精神或心理创伤,而这个层面往往很难判定;且侵犯隐私权的后果不会立即出现,带有滞后性,往往很难被预见。而“被遗忘权”的适用标准则不以“受到侵害”为前提,对于隐私权而言,它是一种积极的权利。
综上,“被遗忘权”作为一种新兴的权利,实质上属于“个人信息权”的范畴,并且是“个人信息权”在大数据背景下的延伸和扩展。因此,在大数据时代,由于“琐细个人信息”及“已公开个人信息”的特殊性,“被遗忘权”的适用范畴应该借鉴的是“个人信息权”,而不是“隐私权”,只有这样才能对个人信息进行全面保护,以更适应当下的信息环境。
三、边界考察:“被遗忘权”与“表达自由权”的冲突
一项权利的确立,往往会与其他已有权利产生冲突。虽然《数据保护指令》以及《数据保护一般规则》这两个法律文本在论述“被遗忘权”的适用范围时,都考虑到了“表达自由权”,但“被遗忘权”从诞生开始,无论理论上还是实践上,都与“表达自由权”存在冲突。本文采用“表达自由”这一提法,而不是“言论自由”或“新闻自由”,是尊重法律文本,因为在欧盟颁布的《数据保护指令》以及《数据保护一般规则》这两个法律文本所用的表述,都是“表达自由”(freedom of expression)。
1995年的《数据保护指令》在第9款中指出,数据主体若出于新闻、艺术或文学的目的而进行的数据搜集或加工,则可因为行使表达自由权免除履行相应的义务。2012年的《数据保护一般规则》指出,数据主体应该毫不迟疑地执行删除义务,除非在某个层面而言,保留这些数据是必要的:根据相关条款的要求行使表达自由权;出于公共健康领域的公共利益需要;出于历史的、统计的、科学研究的目的。虽然这两个法案在一定程度上划定了“被遗忘权”保护的豁免范围,但这些模糊的界定无疑使被遗忘权在实践中备受诟病。
在2014年5月的司法案例中,谷歌为履行判决的义务而删除了许多新闻链接,但这一举措又惹恼了英国众多新闻媒体,因为BBC、《卫报》、《每日邮报》的记者都发现自家的新闻报道在谷歌中的链接被删除了,认为谷歌的这一行为妨碍了表达自由,属于过度履行“被遗忘权”。对此,欧盟委员会副主席尼莉·克洛斯的发言人瑞恩·希斯表示:“我不认为谷歌的类似行为是以公共利益为出发点的,‘被遗忘的权利’规则并不意味着公民可以‘如修图软件般任意修改他们的生活轨迹’”。
“被遗忘权”第一起司法案例遭遇的尴尬,实际上反映了“被遗忘权”与“表达自由权”的冲突。“表达自由权”在西方具有深厚的历史基础和法律渊源,如美国的宪法第一修正案规定“国会不得制定剥夺人民言论自由和出版自由的权利”;德国基本法第5条第1款规定“人人有口头、书面和图画自由表达和散播自己的观点以及自由地从一般可允许的来源获得消息的权利”。除了宪法层面的直接保护外,学者托马斯·爱默生还提出“信息近用权”,其核心内容就是公民有权收集、利用与传播信息(包括他人的个人信息);德国学者京特·雅科布斯也提出过“信息契约理论”,指出公民应当让渡其专有信息(如个人信息),从而便于国家利用这些信息来增进公共福祉。而“被遗忘权”关于信息主体有权删除、封锁个人信息的要求,显然与“表达自由权”所倡导的“新闻自由”“信息自由流通”等理念背道而驰。此外,在“被遗忘权”的震慑下,谷歌等互联网公司很可能为了避免法律纠纷而进行信息审查甚至删除。因此,“被遗忘权”的不慎使用,可能会导致大规模的互联网审查,妨碍表达自由权的实现。
从1995年《数据保护指令》中“删除的权利”到2012年《数据保护一般规则》中“被遗忘的权利”,“被遗忘权”作为一项新兴的权利,其内涵、属性、法律适用等问题都还处于探讨之中。针对目前学界存在的“被遗忘权”的法律属性问题,笔者认为,“被遗忘权”的客体包括了“已公开的信息”以及“琐细个人信息”,由于这部分信息不属于隐私信息的范畴,因此从个人信息权的角度加以保护更为合理。同时,“被遗忘权”的本质体现了一种个人对自我信息的“控制力”,相较于被动消极的隐私权,“被遗忘权”是一项积极的权利,更有利于个人在大数据背景下对自我信息进行控制和管理。鉴于“被遗忘权”是“个人信息权”在大数据时代的延伸,如何界定“被遗忘权”的边界,从而在一定程度上消弭“被遗忘权”与“表达自由权”的冲突,可以借鉴“个人信息权”的相关研究。在北美,主要采取的是“个案平衡法”,即法官在审理时会根据案件的具体情况,依照社会一般认知和经验来进行衡量,从而决定在此案中是否因“表达自由权”而限制“个人信息权”。在欧盟地区,采取的是另一种进路——“比例原则法”,当信息主体向法庭提出与“个人信息权”相关的诉求时,裁判者要遵循比例原则所包含的三个要件(必要、适当、合乎比例)进行权衡。当然,在我国宪法仍未司法化、法官素质参差不齐难以执行公平合理的“个案平衡”的司法背景下,如何协调这两种权利的冲突,有待进一步探讨。
以上文章原载于《学术研究》2015年第9期,文章不代表《学术研究》立场。
篇幅原因有所删减,未经授权不得转载。
图片来源网络,文中图为编者所加。
回复“被遗忘权”可获取论文PDF格式下载资源。