数字时代个人信息的被遗忘权,本文主要内容关键词为:个人信息论文,被遗忘论文,数字论文,时代论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2014年5月,互联网巨头Google公司在一件关于数据隐私的重要案件中败诉。该案中,一名西班牙男子在Google上搜索自己的名字时,发现一篇1998年他因断供而被迫拍卖物业的新闻报道,便以自己的隐私被侵犯为由将Google公司告上法院,要求Google公司删除这篇报道的搜索链接。西班牙法院支持了该名男子对Google公司的诉求,Google公司不服上诉至欧盟法院。2014年5月13日,欧盟法院最终裁定该男子享有“被遗忘权”,有权要求Google从搜寻结果中移除相关链接。 “被遗忘权”(the Right to be Forgotten)又称为“删除权”,是指信息主体有权要求信息控制者永久删除某些有关其个人信息的权利。数字时代的“被遗忘权”最早于2009年由英国牛津大学网络学院教授维克托提出,认为由于计算机网络的出现,人类记忆与遗忘的格局发生了颠覆性的变化:记住成为常态,而遗忘成为例外[1]。由于数字化记忆具有持久、全面的特征,私人机构或政府部门能够随意地获取和利用公民的个人信息达到自己的目的,传统的隐私权制度在大数据时代已经无法对个人信息提供有效的保护。为了应对这些问题,欧盟委员会在2012年1月25日公布了《关于个人数据处理和自由流动的一般保护规则的第2012/72、73号草案》(以下简称《2012数据保护规则》),正式提出了数字时代个人信息的“被遗忘权”的概念,并于2014年5月最终通过了该法案。 1 “被遗忘权”的主要内容 欧盟《2012数据保护规则》第17条第1款明确肯定欧盟民众享有对自己个人信息的“被遗忘权”。并规定当出现以下情形时,信息主体有权要求信息控制者删除与其有关的信息,以避免这些信息进一步传播:①请求删除的信息与信息收集或处理的目的已经不再相关,尤其是如果这些信息是由信息主体在未成年之前发布的;②信息主体明示或通过行动表示撤回信息处理的同意,或者同意处理其个人信息的期限已经届满,且已不存在处理该信息的合法依据;③信息主体反对收集或处理其个人信息,除非信息的收集或处理对维护信息主体的基本权利至关重要,或者是为了维持公共利益的目的,或者属于信息控制者的法定权利范围之内,或者信息控制者有着超过保护个人信息自由的不可抗拒的理由;④其他情形[2]。 其中,信息主体是指身份已经或者能够被识别的自然人,不包括法人或其他组织。信息既包括个人的一般信息也包括敏感信息。而信息的控制者是指单独或者与他人合作决定处理个人信息处理的目的、条件和方法的自然人、法人、政府机构或者私营机构等[2]。由于欧盟要求所有面向欧盟消费者的信息控制者,都须遵守欧盟关于个人信息保护的规定,而不管其是否将服务器设置在欧盟境内。因而,无论是美国的Google公司还是中国的阿里巴巴公司,只要为欧盟消费者提供了产品或服务,就必须尊重消费者的“被遗忘权”[3]。 欧盟《2012数据保护规则》第17条第2款,要求信息控制者在收到信息主体的要求时有义务删除与其相关的个人信息,或者断开与该信息的链接。此外,如果信息控制者授权第三方公开此类信息,那么信息控制者还应及时通知第三方删除相关信息。 17条第3款则规定了信息控制者有权拒绝删除个人信息的例外情形:①维护言论自由的需要,例如为了保护新闻、艺术或文学表达自由;②出于与公共健康相关的公众利益的需要;③基于历史、统计学、科学研究的目的而需要保留数据;④欧盟或成员国法律中另有规定;⑤限制信息处理的情形。而限制信息处理的情形则是指:①当信息主体对其个人信息的准确性提出异议,信息控制者需要一段时间来进行核实;②出于证据保存的目的必须保留该信息;③信息主体反对删除信息而要求限制信息使用;④信息主体要求将个人信息传输到另一个自动处理系统。信息控制者限制处理前有义务告知相关的信息主体[2]。 欧盟《2012数据保护规则》第79条规定了不按规定删除相关信息的后果,如果信息控制者由于过错没有按照规定删除相关的个人信息,或者没有告知第三方删除相关的个人信息,监管机构可以对信息控制者处以50万欧元以下的罚款;若信息控制者是企业的话,则可以处以其全球年营业额1%的罚款。 2 对欧盟“被遗忘权”的分析和评论 “被遗忘权”其实并不是一个崭新的权利,这项权利是由“隐私权”派生出来的概念,属于“隐私权”的一个分支,源自20世纪70年代法国的法律概念“le droit a l'oubli”,原指对过往生活中的事件保持沉默的权利[4]。早期多用于刑事领域,指有过犯罪(尤其是轻微犯罪或青少年犯罪)记录的人在刑期执行完毕之后,有权要求他人不公开自己的犯罪记录。目的是给予曾经有过犯罪记录的人以改过自新,重新回归社会的机会[5]。后来“被遗忘权”的权利主体又延伸到那些短暂成为公众聚焦点的人,通过遗忘权的赋予,这些人能够在自己不再是公众焦点的一段时间后摆脱不必要的关注[6]。 2.1 法国、德国与美国隐私法传统的比较 “被遗忘权”在欧盟的提出,与欧盟国家一向重视个人隐私的做法相关。不同于欧洲国家,在美国被遗忘的权利的接受受到极大的挑战,这主要是美国对隐私权与言论自由的权衡与欧盟国家不同,总体上来说,美国对于网民个人隐私保护的力度要弱于欧盟国家。 以欧盟代表性国家法国和德国为例,法国法传统上就非常重视对包括个人肖像、尊严和名誉在内的,与个人信息有关的人格权的保护。《法国民法典》第1382条规定:“任何人因为过错而使得自己的行为致他人受损害时,应对他人承担损害赔偿的责任。”第1383条规定:“任何人不仅对于因自己故意行为所生的损害负赔偿责任,也应对因自己的懈怠或者疏忽而造成的损害承担赔偿责任。”在1382条和1383条的基础之上,1970年《法国民法典》修订时增加了第9条,规定“任何人均享有私生活受到尊重的权利”,根据第9条的规定,“单纯对私生活的侵害本身就构成过错,并产生救济权,这样就更接近于严格责任,而不是过错责任。”根据法国法院判例,第9条中的“私生活”的范围非常广泛,包括家庭生活、性、健康、出身、宗教习惯,甚至家庭住址等。如果某个名人坚持保守自己的秘密的话,也可以与普通市民一样受保护,如法国著名女演员伊莎贝拉·阿佳妮就因自己怀孕的信息被某杂志披露而获得了赔偿[7]。一个对公众人物的私生活都如此重视的国家,在互联网时代接受个人信息的“被遗忘权”就自然是顺理成章的事。此外,法国法院判例还表明,某人在一个场合允许他人使用自己的照片或其他私密事实,并不等于在其他场合也允许他人使用[8]。在网络环境下这就意味着,信息主体授权某一个网站使用自己的信息,并不代表其他网站使用这些信息不需要征得信息主体的同意。 德国也有着强烈的重视隐私保护的历史传统。在著名的“莱巴赫”(Lebach)案中,一家德国媒体将一个弹药库被攻击的案件拍成纪录片,准备在10年后罪犯出狱时播放,纪录片中包含了罪犯的姓名、照片和影像,该名罪犯以隐私被侵犯为由将该媒体告至法院。德国宪法法院认为即使是罪犯其人格权也受保护,在罪犯已经接受了应有的处罚后,没有理由再去侵入他的私人领域,否则势必会对其改过自新、重新融入社会造成负面影响[9]。1954年《德国民法典》确立了“一般人格权”以实现对包括个人隐私在内的人格权的概括性保护。“一般人格权”是一种框架性权利,弹性很大,没有明确的内容和权利边界,因而法院可以即时应对新出现的侵权情形,“被遗忘权”可以认为是“一般人格权”在信息时代的运用。 与法国和德国将个人隐私权视为人的基本权利不同,美国言论自由的价值观根深蒂固,在与其他权利的冲突中,言论自由权基本都能获胜。《美国宪法》第一修正案规定:“国会不得制定有关下列事项的法律:……剥夺言论自由或出版自由……”美国人将宪法第一修正案作为美式民主的立国之本,第一修正案明确规定了对言论自由的保护,却没有将隐私权的保护上升到宪法权利的高度,因此被遗忘的权利在美国的应用非常有限,需要接受违宪审查。“Cox Broadcasting Corp.v.Cohn”案就体现了言论自由权在美国法中的地位。该案中一位已故强奸犯的父亲起诉一家报社,认为他们公开该强奸犯姓名的行为侵害了自己的隐私,美国法院认为报社只是将事件进行真实的报道,公开罪犯的姓名并不构成对其父隐私权的侵犯,因为该报道对公众利益有一定的意义,应该维护报社根据宪法第一修正案而享有的言论自由权[10]。 隐私权与言论自由冲突的权衡之所以在美国与法、德之间存在这样的差异,和他们社会政治制度的传统不同也具有一定的相关性。美国一向反对中央集权,所以非常重视批评的作用,更为强调言论自由。而欧洲国家有着长期的封建贵族统治的历史,其法律原本来自贵族阶层的制定,因而法律传统上更注重尊严和隐私的保护[8]。所以作为隐私权分支的“被遗忘权”可以很好地契合欧盟的法律框架,但与美国法的价值观念存在较大的冲突。 2.2 对“被遗忘权”的评价 欧盟出台的数字“被遗忘权”目前还只是一种不成熟的权利,规定还不够完善,许多学者都对此提出了批评。批评首先来自于对言论自由的考量,虽然“被遗忘权”法案规定,出于言论自由的目的信息控制者可以不删除相关的信息,但法案对此规定的过于模糊,处理删除链接申请的执行标准是什么并不明确。此外,让信息控制者承担类似于法官的角色,判断个人隐私与言论自由孰轻孰重是否合适也值得商榷[11]。而普通公民与公众人物的申请是否应该有所区分?一个准备从政的人能否要求删除与自己有关的丑闻链接?等等问题也引起了争论。 其次,“被遗忘权”要求信息控制者删除所有相关的链接和副本,尤其是还要对被授权的第三方转载的所有数据承担删除的责任,这对互联网公司而言是非常困难的。欧洲网络与情报安全机构(European Network and Information Security Information Agency)就认为凭现有的技术还无法追踪到所有被第三方保存而应被删除的个人信息。 再次,出于分析信息是否应被删除成本的考虑以及对一年全球利润1%的巨额罚款的顾虑,许多互联网公司很可能不得不大量删除本来应该公开的信息,从而导致一些重要的研究数据和历史数据被删除,而数据的大量删除也会削弱政府打击犯罪,维护社会安全的能力。 但总而言之,欧盟数字“被遗忘权”的提出是信息时代对个人隐私保护的一种进步。信息技术的发展,已经使个人信息的收集与交换出现了爆炸化发展的趋势。许多人因为网购、交友等原因将自己的个人信息上传到网上,这些个人信息在不知不觉中被私人机构、公共机构或个体收集,然后被用于不同的商业、政策甚至犯罪目的。比如实际生活里就出现过一些专门出售个人信息的网站,只要用户付费后输入想要搜索的人的姓名,就可以查到该人的通讯地址、出生日期、电话号码,甚至还能查询到该人的婚姻状况、银行借贷情况、个人财产记录等个人信息。实际生活中,许多人就因为对个人隐私的担忧而拒绝在线消费,阻碍了数字经济的发展。欧盟在个人信息保护方案中增设“被遗忘权”,有利于增加欧洲民众对数字经济的信任感。 3 对我国的启示 3.1 我国个人信息保护存在的问题 目前,我国虽然约有40部法律、30余部法规,以及200部左右来自工信部、银监会等部门的规章涉及个人信息保护的问题,但总体来说规定的非常分散、内容不系统,对信息泄露者的惩罚力度不够,各部门法冲突的现象也时有发生。2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》,其中第8条提及,“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”但该条款只是粗略地提及有关个人信息删除的问题,宣示的意义更大,也没有什么可操作性。 相对而言,2013年2月1日正式实施的《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《保护指南》)对个人数据提供了比较全面的保护,但《保护指南》的一些规定也存在缺陷,比如《保护指南》5.5.1部分提出,“个人信息主体有正当理由要求删除其个人信息时,应及时删除个人信息。删除个人信息可能会影响执法机构调查取证时,应采取适当的存储和屏蔽措施。”但并没有提及究竟什么才是正当理由,而对于信息控制者无需删除个人信息的例外情形仅限于执法机构的调查取证,范围明显过窄。同时《保护指南》也没有涉及与信息控制者授权第三方复制、链接的数据副本的删除问题。而更重要的是,该指南只是工信部发布的一种技术指导文件,不具有法律上的强制性,作用十分有限。 3.2 欧盟“被遗忘权”的提出对中国的借鉴意义 3.2.1 制定《个人信息保护法》,将“被遗忘权”法定化 根据中国互联网信息中心(以下简称CNNIC)《第34次中国互联网络发展状况统计报告》的统计,截至2014年6月,我国网民规模已达6.32亿,互联网普及率已达46.9%[12]。 在我国互联网技术蓬勃发展的同时,侵害个人信息的行为也已经随处可见。比如《支付宝服务协议》第六部分“支付宝服务使用限制”规定,“消费者注销账户需要经过支付宝公司的审核同意,而在账户被注销后支付宝公司仍然可以保有消费者的个人信息”,这是一种典型的侵害消费者删除自己信息权利的规定。如果没有一部专门的对个人信息进行全面保护的法律,我国公民个人信息的保护就会大打折扣,如果不能建立一个值得信赖的信息保护体系,广大消费者在进行网络消费时就会顾虑重重,最终会损害我国电子商务和互联网技术健康有序的发展。 而深入分析欧盟规定数字“被遗忘权”背后的原因,会发现这实际上也是欧盟国家与美国对信息主权争夺战中的一环。目前美国是全球网络产业最发达的国家,Google、Facebook等网络产业巨头都是美国企业,美国通过其掌握的先进的信息收集技术占据着全球网络战中的霸主地位,因而在法律政策方面倾向于对互联网产业一路开绿灯。而欧盟相对于美国而言信息收集能力处于弱势地位,其个人乃至国家信息安全就可能会受制于美国[13]。欧盟设置数字“被遗忘权”的其中一个目的也是为了压制美国网络巨头对个人信息的控制能力。我国的情况与欧盟类似,与美国相比我国信息收集的能力处于下风,因而在立法中明确数字“被遗忘权”除了有利于保护个人的隐私外,也有利于在信息主权的争夺战中居于比较主动的位置。 综上,笔者认为应当密切关注欧盟“被遗忘权”的进展状况,以吸取他们的有益经验。同时应当尽早制定我国《个人信息保护法》,在该法中对个人信息的范围、保护原则、法律救济等方面进行统一的规定,并将数字环境下的“被遗忘权”法定化,明确被遗忘权的行使条件、例外情形、被遗忘权与言论自由等权利的关系,并妥善考虑该项权利的限制性规则。 3.2.2 在“被遗忘权”的规定上,对未成年人给予更加严格的保护 根据CNNIC的统计,截至2014年6月,我国18岁以下的网民约占网民总数的20%,其中10周岁以下的儿童约占2.1%。由于未成年人思想尚不成熟,他们在披露自己的个人信息时,往往并不了解自己的行为可能给自己日后带来的不便与危险。因而在“被遗忘权”的制定上应给予未成年人更多的照顾,以免未成年人在年少不成熟时的言论和记录对今后的发展造成不利影响。 3.2.3 公众人物的“被遗忘权”应当与普通民众的“被遗忘权”有所区别 公众人物是指在社会生活中受到广泛关注的人,公众人物一般可以分为三种类型:一是“完全目的的公众人物”,主要是指在政府机关担任重要公职的人员;二是“有限目的的公众人物”,如影星、体育明星等公众人物;三是“非自愿公众人物”,是指某些人本身不是公众人物,但因偶然事件的发生而被成为“公众人物”[14]。公众人物的言行涉及公众的知情权,因而“被遗忘权”保护的力度应该弱于普通民众。此外不同类型的公众人物,其享有的“被遗忘权”也应有所区别,比如第一种和第二种类型公众人物的“被遗忘权”就应该弱于第三种类型的公众人物,因为后者是因卷入偶然事件而被迫成为公众人物的。 3.2.4 设立专门的信息监管机构,明确监管机构的职能和权限 我国应当设立专门的个人信息监管机构,接受公民的申诉并进行调查。在调查程序启动后,信息监管机构应在合理的时间内将调查进程和结果通知该公民[15]。 3.2.5 加大与隐私保护相关的资金投入 必须指出的是,“被遗忘的权利”不可能只依照法律的规定就能达到目标。实际生活中,它还需要借助科技手段、社会准则、市场压力等其他辅助手段才能被较好地执行[16]。国家应该加大与隐私保护相关的资金投入,以使得被遗忘的权利能够真正落到实处。