删除权在GDPR中的重要性及实践应用

删除权(Right to Erasure)的概念在DPD中即已出现。研究者曾指出,DPD第6条、第7条、第12条的有关规定,再加上更早的欧盟理事会1980年《有关个人数据自动化处理的个人保护协定》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data,1985年生效)第5条、第8条,分别从数据处理或存储的合法性、合目的性、相关性、准确性、完整性、数据储存期限、数据主体的同意等方面赋予了数据主体删除权,尤其是,数据主体基于对DPD第7条的违反而得以主张的删除权利可以被视为一个概括性的删除权,然而,当时的欧盟数据保护法上仍缺少一个完备的删除权^[9]。随着GDPR的2012年草案中关于被遗忘权(right to be forgotten)的规定在欧盟内外引起很大争议,之后的2013年草案文本去除了被遗忘权的概念而重新启用删除权的概念,在GDPR的正式文本中,第17条的标题采用了“删除权(被遗忘权)”这样的表述。如果仅从条文标题的形式上看,这一条文仍然是关于欧盟法上既有的一项权利即删除权的规定,被遗忘权只不过是删除权的另一种相对次要的称谓而已,但如果仔细分析第17条条文本身的内容,则可以看到明显的变化之处。

GDPR第17条分为3款。第1款的核心内容仍是DPD中已经确立的删除权,即当数据主体依法撤回同意或者控制者不再有合法理由继续处理数据时,数据主体有权要求控制者“无不当延误”(without undue delay)地删除数据,控制者也有义务这样做。第2款则更多地体现了GDPR的2012年草案中关于被遗忘权的规定和2014年欧洲法院在“谷歌诉西班牙数据保护局案”中基于对DPD第12条的解释而做出的裁决,该款规定：如果控制者已将符合第1款要求的个人数据进行了公开传播,控制者应采取所有合理的方式予以删除(包括采取可用的技术手段和投入合理的成本),控制者有责任通知处理该数据的其他控制者,删除关于数据主体主张的个人数据链接、副本和复制件。也就是说,GDPR不仅要求控制者删除自己所控制的数据,还要求控制者对其公开传播的数据负责,即通知其他控制者停止利用并删除有关数据。第3款规定了不适用以上两款的五种情形,体现的是欧盟立法者对于被遗忘权的反对者们诸多意见的某种容纳以及折中,这五种情形分别是：(1)行使言论自由和信息自由的权利;(2)控制者为了履行欧盟法律或者成员国的国内法律上的法定义务或者基于公共利益而为其设置的义务;(3)为了符合GDPR第9条第2款第(h)项、第(i)项和第9条第3款规定的公共健康领域的公共利益;(4)行使GDPR第9条第1款(禁止处理数据主体的敏感数据)的权利使GDPR第89条第1款要求的实现公共利益、历史研究和科学研究的目的或者统计目的变得不可能,或者严重影响处理者达到上述目标;(5)为了确立、行使法律上的诉权或者防御他人行使法律上的诉权。就这五种情形中的第一种,即关于行使言论自由和信息自由的权利的情况,GDPR第85条第1款还特别规定,各成员国应通过(国内)法律协调GDPR的保护个人数据的权利与信息自由和言论自由的权利。(www.xing528.com)

考虑到欧洲法院对“谷歌诉西班牙数据保护局案”的裁决是在GDPR的起草过程中做出的,并且被认为贯彻了GDPR关于被遗忘权的规定的基本精神,第29条工作组发布的执行该裁决的指南文件,也可以为适当地理解GDPR第17条提供重要参考。在该指南文件中,第29条工作组明确了“被遗忘权”效力所及范围,以及各国数据保护机构受理数据主体申诉的标准：第一,数据主体提出主张应当以其“姓名”为基础。只有当以“姓名”为搜索关键词时,如果出现符合条件的不相关个人信息链接,才可以请求搜索引擎在搜索结果中删除;第二,搜索引擎不负责删除原始网页,而是使之不再显示在搜索结果中,若原始网页以“姓名”以外的关键词仍然可以搜到,则不在搜索引擎协助删除的范围之内;第三,搜索引擎在受理数据主体的“被遗忘权”主张时,可以通过对九个因素的考虑来判断是否予以删除链接。这九个因素是：(1)数据主体是否在公共领域具有重要角色或具有公众形象,以及公众是否具有取得前述数据的权利;(2)数据是否具有正确性;(3)数据是否具有相关性且不过分;(4)根据DPD第8条,该数据是否具有敏感性信息如个人健康状况、性取向或宗教信仰;(5)该数据是否已过时,或对于数据处理目的来说,其存在已为冗赘;(6)该数据是否已具有对数据主体的偏见,并且对其隐私具有不对等的负面影响;(7)搜寻结果与数据链接是否已造成数据主体暴露于危险威胁,例如窃取身份或受到跟踪;(8)原有信息的发布是否具有新闻目的;(9)该数据是否涉及刑事犯罪。根据上述规定,数据主体如果在诉讼中主张GDPR第17条上的被遗忘权,其是否能够得到支持,首先要判断其所主张的个人信息是否“不恰当,不相关、过时且多余”,并在个人权利和公共利益之间做出平衡。具体需要考虑的各个因素就充分体现了这种平衡要求,这些因素中,有些因素是考虑个人权利的加权项,如信息是否敏感、准确;有些因素则是公共利益考量的加权项,如数据主体是否是公众人物,是否是有新闻目的等^[10]。