大数据时代个人信息的被遗忘权探究

裴宁欣

2015年2月，国内第一起“被遗忘权”案引发热议。原告任甲玉在百度的搜素网站中检索自己的名字时，发现会出现“陶氏教育任甲玉”﹑“无锡陶氏教育任甲玉”等字样的内容和链接。陶氏教育是任甲玉之前所任职的公司，在外界颇受争议，这些信息的存在给任甲玉在就业上带来了困难，难以取得其他公司的信任。任甲玉多次请求百度公司删除相关信息，但后者未予回应。于是，任甲玉将百度公司起诉至北京市海淀区人民法院，主张姓名权﹑名誉权和所谓的“被遗忘权”受到侵害。大数据时代的留痕特性，使得任何上传在网络平台上的信息都将永久保留。那些本以为早已随风消逝的往事随着数据化时代的到来，却如同刺青一般烙印在“数字的皮肤”上，一经搜索便纷至沓来。大数据时代在便利人与人之间交往的同时也让整个社会丢失了遗忘的能力。正是基于此，越来越多的人开始呼吁“被遗忘”的权利。

一、被遗忘权的概念和构成要件

（一）被遗忘权的概念

随着互联网技术的快速发展，为了更好地应对新时代下个人数据面临的难以“被遗忘”的危机，欧盟在立法上率先采取了措施。在2012年的《一般数据保护条例》草案第17条中欧盟规定了“被遗忘权和删除权”（right to be forgotten and erasure），并于2014年修改后最终定为“删除权”（又称“被遗忘权”）。尽管名称有所改变，但前后的内容并没有太大变化，欧盟将被遗忘权定义为“数据主体有权要求数据控制者永久删除有关数据主体的个人数据，有权被互联网所遗忘，除非数据的保留有合法的理由。”由此，被遗忘权的概念在法律中正式确立。

（二）被遗忘权的构成要件--基于欧盟《一般数据保护条例》的分析

1.被遗忘权的主体。①权利主体。依据条例，被遗忘权的权利主体，即数据主体，是指任何一个产生个人信息并能通过直接或间接手段被识别身份的自然人，不包括公司等法人或其他非法人组织。由于被遗忘权属于个人信息权，具有人格权属性，所以权利主体仅限于自然人。②义务主体 。依据条例，被遗忘权的义务主体为数据控制者，也就是有责任按照数据主体的要求删除个人信息的人。义务主体并不像权利主体一样仅局限于自然人，谷歌、百度等搜索引擎公司，微博、Facebook、twitter 等社交网站甚至是政府机关都可能会成为义务主体。

2.被遗忘权的客体。依据条例，被遗忘权的客体是个人数据，即与数据主体相关的任何信息。个人数据浩如烟海，按照不同的标准可以划分为不同的类别。从数据内容看，除了个人的生活数据，还有与金融、医疗、交通等相关的信息；从数据性质看，个人数据既包括一般数据，也包括诸如身份证号码、手机号码、基因、指纹等敏感信息。

3.被遗忘权的适用情形。被遗忘权并非是一项绝对的权利，信息主体在行使该项权利时也会受到一定的约束，条例中详细规定了数据主体行使被遗忘权的范围。①可以行使被遗忘权的范围。条例规定了权利主体有权要求数据控制者删除数据的适用情形，主要包括以下四种：第一，当数据控制主体收集超出收集目的或相对于收集目的已经过时的个人信息；第二，当数据主体撤回对于该信息保留的同意或者双方约定同意收集个人信息的期限届满；第三，当数据主体反对基于营销而处理个人数据；第四，当數据违法收集，行为与其他的基本价值或义务相抵触。②不能行使被遗忘权的范围。大数据时代下并非任何信息数据主体都能主张被遗忘权，条例中规定了被遗忘权适用的例外情况。第一，出于对言论自由的保护而保留该信息；第二，出于公共利益的目的该信息不得被删除；第三，出于历史、统计和科学研究的目的保留该信息是必须的。

二、被遗忘权的本土化

（一）我国确立被遗忘权的基础

1.被遗忘权在我国的法律依据。我国目前的法律体系中，并没有明确规定被遗忘权，但在一些法律法规中可以找到与被遗忘权相似的规定。2010年生效的《侵权责任法》第36条规定网络上的被侵权人有权通知网络服务商采取删除、屏蔽、断开连接等必要措施。虽然该条仅针对侵权信息，但已明确了在网络用户的行为满足侵权责任的要件时，权利主体可以主张删除，从中可见被遗忘权的影子。2012年全国人大审议通过了《关于加强网络信息保护的决定》，其中第8条规定，个人在网络信息受到侵害时，有权要求网络服务商采取删除等其他必要措施予以制止。虽然该规定表述比较模糊，但与欧盟的被遗忘权条款具有同质性。2013年颁布的《信息安全技术、公共及商用服务信息系统个人信息保护指南》中针对个人信息保护作了更为详细的规定，明确个人信息主体在删除阶段要求删除其个人信息时，个人信息管理者应当及时删除信息。情形包括具有正当理由、收集目的不再、期限届满、数据控制者破产。虽然只是一部技术指导规范，但可以看到这与欧盟条例中所规定的被遗忘权已经十分相似。2017年生效的《网络安全法》第43条也针对网络用户的删除权作出了规定。网络运营者违反法律法规或违约收集、使用用户的个人信息，信息主体有权要求网络运营者删除其个人信息。虽然此规定较为简略，但明确了信息主体作为权利人，在网络运营者违规收集个人信息的情况下，有权要求网络运营者履行删除义务。可以看到，虽然我国现行立法没有明确的被遗忘权这一提法，但在诸多法律规范中已经有与欧盟条例中的被遗忘权相似的规定。

2.被遗忘权在我国的司法实践。被遗忘权的研究在我国开始得较晚，但已有关于被遗忘权的司法实践。最早出现的是“任甲玉诉百度”一案，即开篇所提到的中国“被遗忘权”第一案。在经过一审二审后，最终原告任甲玉败诉。虽然其关于被遗忘权的主张并没有得到法院的支持，但这并不意味着我国在实践中否认了被遗忘权。在判决书中，法院阐明了对待被遗忘权的立场。由于中国现行的法律中并无被遗忘权的规定，因此法院将其归属于一种未被类型化但应当被保护的人格利益，前提是要满足“权利正当性”和“保护必要性”两个标准。但在本案中，由于涉案信息是对任甲玉曾经工作的真实反映，这些信息的保留对于相关公众了解任甲玉的情况具有一定的必要性。因此，法院认为原告任甲玉所主张的被遗忘权不具有正当性和保护必要性。可以看到，我国法院并没有否认被遗忘权。原告之所以败诉是因为其诉求不属于被遗忘权的适用范围。被遗忘权在我国的司法实践中是有存在的基础的。

（二）我国确立被遗忘权的难点

1.关于被遗忘权的主体。我国目前与欧盟条例规定的被遗忘权相似的条款中，在权利主体方面，规定只能由网络用户中的被侵权人才能行使，过于狭窄。而在义务主体方面，大数据时代下，能够收集和使用个人信息的主体越来越多，个人﹑企业﹑政府等都包含其中，我国的相关规定仅限于网络服务提供者，这显然过于片面。

2.关于被遗忘权的客体。大数据时代下，个人数据的种类丰富多样，每种类型的个人信息所需要的社会保护也是有差异的。比如，就数据性质而言，身份证号码、指纹等信息对于数据主体的私密性更强，相比于其他信息所需要的保护程度也更高。但我国目前并没有针对个人信息在立法上进行分类，广而泛之的法律难以平衡处理各种不同类型的个人信息。

3.关于被遗忘权的适用范围。对于数据主体有权要求数据控制者删除信息的适用条件，我国的一些规范文本作出了规定，如个人收集目的不再、期限届满等，这与欧盟条例中可以行使被遗忘权的适用情形具有相似性。但是，對于信息主体适用的例外情形，我国现行的各项规定中基本上都没有涉及，不利于公共利益和个人利益之间的平衡。

（三）我国确立被遗忘权的构想

1.扩大被遗忘权的主体范围。被遗忘权作为一项保护公民个人信息的权利，在我国目前的法律规定下主体过于狭窄。我国在确立被遗忘权时，可以扩大权利主体的范围，任何一个产生个人信息并能通过直接或间接手段被识别身份的自然人都可以成为被遗忘权的权利主体；此外由于未成年人在心理、智力等方面尚不够成熟，对待他们有关删除数据的要求，应重点予以关注。另一方面，也要扩大被遗忘权的义务主体范围，除了网络服务商，其他任何侵犯了数据主体被遗忘权的数据控制者，包括第三人﹑企业等都应当履行相应的删除义务。

2.建立个人信息分类制度。不同类型的个人信息在隐私程度上各有不同，需要的保护程度也不一样。在行使被遗忘权时，对数据主体的全部信息进行删除是不科学的。我国在确立被遗忘权的过程中可以建立个人信息分类制度，明确哪些信息必须删除，哪些信息禁止删除，哪些信息可以延期删除。通过科学的划分以有效限制大数据时代下的数字化记忆。

3.明确被遗忘权的例外情形。被遗忘权不是一项绝对的权利，我国在确立被遗忘权时应当明晰不能行使被遗忘权的情形的规定。当言论自由﹑科研历史﹑公共安全这些因素作为“公共利益”在与个人数据保护这一“个人利益”相冲突时，具有可共享性与受益主体广泛性等特征的公共利益相比于私益而言应当适当受到偏重保护。

三、结语

大数据时代的出现使原本的个人信息保护模式出现不足，数字化记忆成为全球难题。我国应当抓紧制定专门的《个人信息保护法》，借鉴国外的经验并结合我国现有的法律体系，逐步制定被遗忘权的具体规则，以加强对公民的个人信息保护。

（作者单位：华侨大学）