摘 要: 在网络化时代,互联网的发展使得人们的生活日新月异,互通共享的机制使得信息的公开成为了人们的生活常态。数据被遗忘权是数据主体在特定情形下删除不及时、无关或不再相关的个人数据的权利。该权利既具有物权属性,也具有人格权属性,“中国被遗忘权第一案”引发了对该权利必要性与正当性的思索,从数据被遗忘权的一般规定、个人信息处理规则以及特别规定提出部分立法建议。
关键词 : 数据被遗忘权:个人信息保护,GDPR;
在网络化时代,数据主体在互联网上留下的个人印迹或者与其他数据主体的结合信息很容易被其他数据主体或者数据控制者私自占有、使用、收益和处分,此时需要一种新型民事权利来对数据主体的合法权益加以维护。欧盟法院于2014年5月13日作出了“谷歌诉冈萨雷斯被遗忘权案”这一案件的判决,数据被遗忘权这项新型民事权利正式问世。2018年5月25日致力于保护数据主体的相关数据权利和规制市场的《一般数据保护条例》(General Data Protection Regulation,后文称GDPR)正式生效,数据被遗忘权规定于其中。目前,我国的《中华人民共和国个人信息保护法》尚在制定中,对数据被遗忘权的探究也逐渐开始系统化。该权利的具体内容是什么?如何界定其权利属性?我国数据被遗忘权第一案“任甲玉与百度公司名誉权纠纷案”遭到司法否决的原因[1]为何?我国立法究竟该如何应对?本文试对这些问题展开研究,期冀推动正在制定的《中华人民共和国个人信息保护法》关于数据被遗忘权的立法研究的深化。
一、数据被遗忘权的权利内容
数据被遗忘权是指数据主体在特定情形下要求数据控制者无障碍地、及时地删除不适当、无关或不再相关的合法公布的个人数据以及与多个数据主体的共有数据中的自身数据部分的权利。在网络化时代,海量的数字化记忆唾手可得,但同样庞大的数据主体不得不面对的是个人数据的泄露以及丧失支配个人数据的主动权的难题。近年来国外“数据威胁”事件层出不穷,比如五角大楼配置错误泄露信息案件、Uber大规模数据泄露案件、美国信用机构Equifax遭入侵用户信息泄露事件无一不在说明,大数据时代的到来在带给人们生活和工作便利的同时,潜在的隐私和安全问题也日渐凸显[2]。在我国,此类事件也屡见不鲜,甚至有了成熟的倒卖数据产业链。作为维护数据主体隐私、名誉以及生活安宁的重要权利,数据被遗忘权诞生的必要性不言而喻。
(一)个人数据的特征
数据被遗忘权的客体是个人数据,具有特殊的身份识别功能。认定海量数据中哪些属于个人数据,需要满足如下特征。
1. 结构化
结构化数据为计算机用语,指存储在数据库里,可以用二维表结构来逻辑表达实现的关系模型数据。在处理结构化数据时,并不只是单单的一个数据,而是一个数据集合体,那么作为数据群这个大集合中的数据元素,相互之间必然应存在某种密切的联系,个人数据群中的单元同样如此。个人信息的繁杂使个人数据的多样性得以呈现,将其结构化便是对其进行合理组织与布局,使其以适当的方式形成一定的组织规律,通过该规律可以对个人数据做出快速且准确的定位。数据主体将个人数据以及共有数据的个人部分结构化是准确处分个人数据并将其提供给数据控制者的前提条件,相应地也是“遗忘”的必要的前提条件。若省去这一步,冗杂的数据池足够使数据主体眼花缭乱,错误百出。
2. 独特化
独特化是指单独具有、与众不同。个人数据在一定程度上可以被称为个人身份,独特性应是其最根本的特点。维特根斯坦曾在研究如何成为一个“形而上学的自我”中提出“我便是世界”这样的哲学观点[3]。那么,在个人数据这个纷繁复杂的世界中,每个人又可独立出一个小世界,这个世界便是每个人所特有的。如果说个人数据的结构化是数据内部的关系性与作用性体现,独特化便是数据外部的相互独立性体现。数据主体将提供的个人数据以及共有数据的个人部分独特化是精准处分的必要的前提条件。
3. 机读化
机读化,是指以代码形式和特定结构记录在计算机存储载体上使计算机能够识别处理。在产业结构由制造经济向信息经济转化的网络化时代下,机读化极大地优化了个人数据的呈现方式,为数据主体便捷地通过网络判断是否应当行使被遗忘权以及何时行使被遗忘权提供了有利条件。
(二)行使数据被遗忘权的特定情形
数据主体是否应当行使被遗忘权?何时行使被遗忘权?厘清这些问题对于界定数据被遗忘权的权利内容有着重要的作用。
尚在制定中的《中华人民共和国个人信息保护法》(草案)汲取了GDPR以及《网络安全保护法》等数据立法的精华并结合司法实践经验规定了数据被遗忘权的适用情形,该适用情形大致分为两类:一类是数据主体主动对其个人数据行使所有权;一类是基于数据控制者的违法或者违约行为使得数据主体被动地选择“遗忘”。
GDPR在规定数据被遗忘权的同时也规定了限制这一权利的几种情形,如为了信息自由或言论自由,为了遵守欧盟或成员国的法律,为了公共利益或被委托行使公权力时,为了公共卫生领域的公共利益,出于公共利益的存档目的、科学或历史研究目的或统计目的等。《中华人民共和国个人信息保护法》(草案)同样也规定了“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息”的限制情形。从条文的规定来看,这几种情形可以分成两个部分:一部分是基于公共利益的权衡所设置的情形;一部分属于技术难题所设置的情形。
数据具有双重角色,既是个人权利和尊严的体现,又是具有经济价值的资源。信息流动能够提高生产效率,保证数据的合理流动是信息保护法的立法目的。为了平衡两种价值目标,不论是GDPR,还是《个人信息保护法》(草案)都规定了数据被遗忘权的适用情形与例外情形,既不因信息流动侵害数据主体的“遗忘”权益,也不因过于保护其权益而丧失推动网络经济发展的机会。因此,准确把握数据被遗忘权的权利内容对于我国数据立法具有重要的理论意义和实践价值。
二、数据被遗忘权的权利属性
(一)数据被遗忘权具备人格权属性
民法上的人格权是指权利主体所享有的各种各样的具体人格权和因为人身自由和人格尊严而产生的一般人格权[4]。《民法典》将人格权独立成编,是对宪法保障人权原则的具体落实,也是对民法人格自由、人格尊严保护的深化,利于促进隐私权和个人信息的司法保护。GDPR在第一章一般规定中的主题与目标中就提出了:“本法保护自然人的基本权利和自由,尤其是自然人的个人数据保护权。”在GDPR所规定的六种情形下保证数据主体的“自由遗忘”便是出于对数据主体人格尊严的保护。虽然部分商业信息以及数据库的数据信息确实具备财产属性,世贸组织的《知识产权协定》将商业秘密纳入了财产权的保护范围,欧盟的相关法律也规定应当投入大量财力来保护数据库[5],但数据被遗忘权与其他财产权明显的不同点是其具有极强的人身依附性和识别性,既不能转让继承也不能从中获得直接的经济利益,故数据被遗忘权是人格权。
那么数据被遗忘权作为人格权究竟该侧重保护什么人格利益呢?《民法典》将被遗忘权的权利内容规定到了人格权编的“隐私权与个人信息权”中,这体现了立法者的立法态度,即侧重保护的人格利益为“隐私”。美国法学家布兰蒂斯和沃伦在1890年第四期的《哈佛法学评论》发表论文,首次将隐私权作为一个法律概念提出,而在此之前法国法官已援引《法国民法典》相关规定审理了部分侵犯隐私利益的案件。在我国,学术界对于“隐私权”的概念也没有达成一致的共识。笔者较为赞成杨立新教授的观点:“隐私权是由信息私密、活动私人和空间私立的与公共利益无涉的私生活安宁这一权利主体自主进行支配和控制的权利,不受他人侵犯、打扰的具体人格权。”[6]
网络化时代中的个人隐私应被认为是传统隐私的延伸,是从私人个体和生活不被打扰到个人信息和私人空间的自我选择的转变。享有了数据被遗忘权,数据主体便享有了自主选择、自由分辨“遗忘数据”的基本保障,便拥有了当今保持互联网经济发展和保障公民信息、公众知情权和个人隐私权动态平衡的一剂良药[7]。立足网络化时代,数据已成为界定一个人网络属性的细胞,它早已不再是“身外之物”。数据主体自然拥有相当一部分个人数据不希望被任何其他数据主体知晓或者不希望被大范围公开,这便成为了数据隐私的组成部分。
(二)数据被遗忘权具备物权属性
民法上的物,是指存在于人身以外,能够被民事主体所支配和利用,并能满足人类生活需要,具有财产利益的一部分的物质财富。数据信息显然吻合上述特征[8],理应成为物权法律关系的客体。GDPR第十七条的规定指出:“数据主体有权要求控制者无不当延误地删除与其有关的个人数据”“如果控制者已将个人数据公开,并且根据第1款有义务删除这些个人数据,控制者在考虑现有技术及实施成本后,应当采取合理步骤,包括技术措施,通知正在处理个人数据的控制者,数据主体已经要求这些控制者删除该个人数据的任何链接、副本或复制件”。笔者认为欧盟已默认将个人数据作为“物”,并赋予数据主体支配权、对世权,可以不经他人控制支配自己的个人数据,而“遗忘”便是行使该项权利的处分方式。
当然,数据被遗忘权也会受到一定的限制。GDPR并没有赋予数据主体完整的自由交易权,而是在传统财产权框架之下又提出了部分限制性条件。如“为了行使言论和信息自由的权利,为了遵守需要由控制者所受制的欧盟或成员国法律处理的法定义务,或为了公共利益或在行使被授予控制者的官方权限时执行的任务”。所以,数据主体还应必须遵守严格的限制性规定,不能完全将个人数据作为普通的物进行处分。
三、“中国被遗忘权第一案———任甲玉案”评析
(一)案情简介
任甲玉是一名管理学领域的工作者,曾于2014年7月1日起在无锡陶氏生物科技有限公司从事教育工作,在工作四个月后于11月26日解除与陶氏教育的劳动关系。从2015年起,任甲玉陆续在百度的网站中发现“陶氏教育任甲玉”“无锡陶氏教育任甲玉”等内容。陶氏教育的名声在业内颇有争议,故任甲玉认为该内容严重影响了自己的名誉。任甲玉表示自己已经与陶氏解除劳动关系,不应在其名字之前冠以陶氏,故要求百度删除相关内容与链接,但是百度在任甲玉的多封邮件催促之下并未行使删除或者停止侵权的举措。任甲玉以百度公司侵犯其名誉权、姓名权、“被遗忘权”等权利为由将百度公司诉上法院。
该案件发生时,我国法律尚未将“被遗忘权”纳入立法,故本案又被称为“中国被遗忘权第一案”。
(二)案例评析
该案件最终以一审、二审法院驳回任甲玉的诉讼请求结案。正如一审、二审判决所言,虽然该权利在欧盟法院通过判决正式予以确立,同时在我国学术界内对此进行探讨研究,但是我国并没有法律明文规定这一权利类型。本案中任甲玉主张从一般人格权的角度对被遗忘权进行保护,就需要证明该权利具有保护的必要性及其正当性。在本案中,百度公司是否侵犯了任甲玉一般人格权中的“被遗忘权”?这一问题归根结底是在为“数据被遗忘权”寻找其应正当存在的理由。
科尔曼曾说:“从本质上看,‘权利’存在于社会共识之中,即只有人们就权利是否存在形成一致肯定意见,权利才能存在。”[9]故欲作为新型民事权利调整参与网络关系的数据主体的权利义务关系,数据被遗忘权需要存在于社会共识中,其保护的客体价值足以获得正常理性人的认可。笔者认为,数据被遗忘权的存在是必要且正当的。
信息革命的深入使大数据的“持久记忆”逐渐演变成使用网络的痛点,数据主体普遍想要将对己不利的个人数据“遗忘”。我国互联网产业发展伊始,网络服务者所提供的大量免费商业服务以数据主体的个人数据被网络服务提供者获取为代价。在本案中,任甲玉在陶氏教育初期可能是为了提升知名度将个人信息相关内容与链接挂在了网页上,但其仅仅在陶氏工作了几个月便解除劳动合同,使得社会评价度不高的陶氏成为其不愿提起的过去的“记忆”。百度公司的相关搜索虽然没有人工干预的成分,但这种结果不合理地将任甲玉与一些不良名声联系在一起,既是对其人格利益的侵害,又是对其他消费者选择教育机构的知情权的一种侵害,故数据被遗忘权具有存在的必要性。
如前文所述,数据主体进行“遗忘”的对象是不恰当的、过时的数据,这些数据并不能对数据主体的身份进行精准的定位,具有负面性的过时数据反而会对数据主体的名誉、荣誉等具体人格权造成一定程度的损害,故引入数据被遗忘权能够赋予数据主体对负面信息的控制能力,同时也遏制了具有不当动机的网络服务提供者通过删除链接、清除评论甚至招徕“网络水军”刷好评等方式,有偿让不利评价“消失”于网络的完整产业链的形成[10],很好地净化了网络风气,保护了数据主体相应的人格权与人格利益,故数据被遗忘权具有存在的正当性。
为规范数据收集使用行为,维护个人数据保护的基本权利,GDPR在数据权利的适用范围、数据使用、数据主体权利、数据控制者和处理者责任义务、数据监管,以及法律责任等方面都作出了详细的规定。笔者认为GDPR的具体立法规定对于《中华人民共和国个人信息保护法》的立法具有明确的指引方向。目前《中华人民共和国个人信息保护法》(草案)第四章第四十七条明确规定:“有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息:(一)约定的保存期限已届满或者处理目的已实现;(二)个人信息处理者停止提供产品或者服务;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,信息处理者应当停止处理个人信息。”该条规定了数据被遗忘权的适用情形与限制情形。笔者认为,对于该权利的规定还应予以完善。目前,《中华人民共和国个人信息保护法》(草案)第四章个人信息处理活动权利包括第44—第49条,分别规定了数据知情权、数据访问权、数据擦除更正权、数据被遗忘权、个人信息处理规则知情权以及数据受理请求权。数据权利化能够令数据主体最大限度地实现数据权益保护进而真正实现个人信息保护立法的价值目标,故《中华人民共和国个人信息保护法》需在第四章作出更为细致的规定,如实行各项重要数据权利设章,章下设节等立法技术操作。笔者单从数据被遗忘权单独设章谈述制度构想。
该章应设三节,分别为一般规定节、个人信息处理规则节、数据被遗忘权的特别规定节。在实行个人信息保护法的初期,为了使人们准确理解数据被遗忘权的精神实质和内容,来保证该法的准确性,真正达到网络化时代立法预期的效果,还可制定相关司法解释。
(一)一般规定节部分条款构想
第一节一般规定应在总则编的立法精神指引下,对于数据被遗忘权的数据主体、数据相对方———即网络服务提供者的总体的权利和义务进行较为系统化的规定。
在实践中,个人数据经常性地被商业主体(部分网络服务提供者)收集、处理、加工、集聚形成一种经营性资产,而对这些数据的争相利用既有可能违背数据主体的意志,也有可能为某些领域留下不正当竞争的潜在可能。
因此,在个人数据保护法律框架下,GDPR提出的“被遗忘权”是欧洲个人数据保护中“本人数据自决”理念的延续,相比于数据主体的访问权(right of access)下数据控制者(如银行)提供纸质的或无搜索功能的数据查询服务[11],被遗忘权更多地是赋予数据主体可以要求网络服务提供者将本人的结构化数据进行删除与遗忘的权利,从而提高个人数据资产在大数据经济中的活跃度,使自身在网络化时代处于主动地位,改善未经数据主体许可而对其数据进行自由利用,直接或者间接侵害数据主体名誉等人格权或者人格利益的情形。
我国立法应对网络服务提供者的义务条文进行完善,使其扮演好“守门人”的角色。如可作出如下规定:数据主体行使数据被遗忘权时可以要求网络服务提供者提供必要通道、空间以及技术资源接收数据和处理数据,技术上难以实现的除外。
在一般规定中,还需要就数据被遗忘权中公共利益与个人权利的冲突进行分析。
GDPR的第17条规定了数据被遗忘权的限制情形:“在为了公共利益或被委托行使公权力时、为了公共卫生领域的公共利益、出于公共利益的存档目的、科学或历史研究目的或统计目的的情形下,该项权利将不再适用。”很明显,欧盟承认公共利益的存在,并将公共利益本位论贯彻到GDPR的相关规定中,这与我国的立法精神不谋而合。以《民法典》为例,在“保护民事主体的合法权益,调整民事关系”之外,专门强调了“维护社会和经济秩序,适应中国特色社会主义发展要求,弘扬社会主义核心价值观”,即《民法典》的立法目的就是要确认、保障和维护公共利益,明确公共利益先于个人权利。第117条又确认,“为了公共利益的需要,依照法律规定的权限和程序征收、征用不动产或者动产的,应当给予公平、合理的补偿”。该条协调了公共利益与个人权利之间的冲突关系。这样的立法思想同样也体现在了我国的《宪法》中,地位至高[12]。
在利益位阶上,《中华人民共和国个人信息保护法》应当承认公共利益的优先性。当然,正如美国当代着名国际法学家、人权法学家路易斯·亨金所说“在特定的时间和特定的环境下,每项权利实际上都可能让步于某种公共利益”,但“如果这种平衡的达到乃是通过忽视个人权利或者过分强调公共利益来实现的话,那么我们就违背了忠于诸宪政原则的允诺”[13]。我国《宪法》第10条规定:“国家为了公共利益的需要,可以依照法律规定对公民的私有财产实行征收或者征用给予补偿。”因此,公共利益的优先性应当遵循公平、合理补偿的原则。
因此,借鉴欧盟立法,结合我国立法实践可作出如下规定:“在基于公共利益或政府官方授权的执行任务以及损害他人正常行使数据被遗忘权的情况下,数据主体的该项权利将不再适用。国家为了公共利益需要获取数据主体欲行使遗忘权的个人数据时应给予数据主体补偿。”
(二)个人信息处理规则节部分条款构想
个人信息处理规则是数据主体行使数据被遗忘权需要遵守的规范,是网络服务提供者为数据主体明示的个人数据的去向指示。中国的个人信息处理规则存在四个特征:一是强调“告知-同意”;二是区分不同类型的个人信息;三是区分不同的个人信息处理行为;四是区分不同的个人信息处理者。这四个特征中,“告知-同意”作为个人信息处理的基本规则,本质上是为了维护人格尊严和人身自由。因此,确立个人信息处理规则是数据主体行使数据被遗忘权的前提条件。在网络化时代,网络服务提供者必须提供良好透明的网络信息环境以便数据主体随时可以登录、访问自己的数据来进行接收与处理[14]。在“Facebook数据泄露”事件中,始作俑者科辛斯基和史迪威尔意识到海量行为数据建模能够精准地预测用户性别、年龄、职业、家庭状况、性取向、政治倾向、购买意愿等个人数据,得到该结论的手段是通过第三方APP获取Facebook的用户数据,看似以科研为目的,实则或无意或有意为广告商们开辟了一个崭新的思路,即行为广告的产生带来的利益是非常可观的。部分用户对于行为广告可能持肯定的态度,肯定其为自己带来的生活上的便利,但是也有大部分用户对于在未经过自己同意或未明晰较为模糊的个人信息处理规则无法进行数据遗忘的情况而感到愤怒与恐慌。
因此针对该项权利,笔者构想出如下规定:“数据主体对个人信息处理规则有知情权。网络服务提供者应当进行解释和说明。”
(三)数据被遗忘权特别规定节部分条款构想
GDPR概括和明确了对“个人数据”的定义:凡是用作个人身份识别的独立数据或者可以实现对特定个人身份识别的数据集合,都属于“个人数据”。这打破了传统视野下的“个人数据”认识观,使数据被遗忘权“遗忘”的数据范围得以丰富。那么该节便可对数据主体的个人数据涉及到的一些特殊领域做出特别规定,例如,个人数据涉及到着作权、专利权、商标权等相关权利时,应明确:“数据主体行使数据被遗忘权时不得侵犯着作权法、专利法以及商标法保护的客体,严格禁止对个人数据的滥用。”
在跨境数据传输的问题上,数据被遗忘权相关规则应该与国际贸易投资战略相协调。数据传输涉及“权利经济化”的问题,需要受到数据本地化和隐私权监管等限制。目前《中华人民共和国个人信息保护法》(草案)其他章节对于跨境传输的限制虽然表面上较为严格,但网信部门的安全评估豁免权可能使跨境信息流动实际上更加自由。基于利益协调的考虑,笔者提出完善建议:第一,将维护数据安全作为基本要求,在数据安全条件下进行“遗忘”,避免数据侵权事件频发;第二,重视双边投资协定,提出定制化的解决方案,避免“多国一规则”的僵化局面,真正使数据被遗忘权发挥其应有的保护价值。
总之,GDPR严格保护个人数据权利与流动,平衡兼顾多方利益,创造性地提出数据被遗忘权。《中华人民共和国个人信息保护法》(草案)暂付阙如,正在广泛搜集立法建议。望笔者的部分条款设计得以考量采纳,望数据被遗忘权在网络化时代熠熠生辉。
参考文献
[1]杨楠我国"被遗忘权第一案遭司法否决的法理探讨[D].上海:上海师范大学2018.
[2]陈国威大数据时代的个人信息安全研究[J].网络安全技术与应用, 2018(7):56-58.
[3] KOPYTKO R. Philosophy and Pragmatics:A Languagegame with Ludwig Witgenstein[J]. Journal of Pragmatics,2006,39(5):792-812.
[4]张民安《民法典》第四编将人格权独立设编的原因[J]法治论坛.2020(3):3-23.
[5]杜霞卿.民法典编篆视野下被遗忘权的法律适用问题探析[J].市场周刊, 2020(6)165-166.
[6]杨立新关于隐私权及其法律保护的几个问题[J]人民检察, 2000(1):26-28.
[7]单俊辉大数据时代被遗忘权"引入《民法典》人格权编的考量J].文化学刊, 2021(3):157-159.
[8]方印,魏维数据信息权利的物权法保护研究[J].西部法学评论, 2018(3):23-33.
[9]科尔曼社会理论的基础[M].邓方,译.香港:中国科学文献出版社, 1999.
[10]太轩,李鑫大数据时代“过度记忆”的对策研究一被遗忘权的本土化思考[J].西北民族大学学报 (哲学社会科学版) , 2020():69-78.
[11]曹亚廷数据可携带权及其对征信业影响初探[J]征信2016,34(9):26-28.
[12]王轶,关淑芳认真对待民法总则中的公共利益[J].中国高校社会科学2017(4);77-85.
[13]路易斯:亨金宪政民驻对外事务[M].邓正来,译上海:三联书店, 1996:142-151.
[14]李蕾数据可携带权:结构、归类与属性[J] .中国科技论坛, 2018(6):143-150.