大数据时代的隐私保护与被遗忘权施行与实践

（一）欧盟被遗忘权的判例

2014年5月13日，欧盟法院对“第C-131/12案”，即“谷歌西班牙案”做出相应的判决，在欧盟范围内正式确立被遗忘权。欧盟“谷歌西班牙案”的终审判决对《个人资料保护指令》的保护范围做出了解释，对于和信息主体有关的特定资料，当出现因为时间流逝而变得“不相关、不存在、不合时宜”的情况时，如果通过互联网搜索引擎能够检索到有关信息，即便最初这些信息是通过合法形式与途径公开的，信息主体也可以向互联网搜索引擎服务商提出删除链接的请求，以达到保护信息主体的隐私权和个人信息权的目的。欧盟法院着重强调，该项权利的存在不以发生损害为必要条件，社会公众的基本权利在任何时候都高于搜索引擎的经济利益，同时高于社会对于信息的知情权以及检索利益。法院指出，如果信息主体在社会公众生活中扮演着“公众人物”的角色，那么当他的个人信息对于公众有较重大的利益时，这样的限制将不存在。此处“公众人物”的概念，在我国司法判决中也多次出现，其内涵与概念基本一致。

判决生效后，谷歌公司专门为用户建立了申请删除信息链接的在线申请系统，在开放首日就收到约1.2万个删除申请。借此，谷歌公司内部专门成立了专家顾问团来审查用户申请，删除符合要求的信息，做好专门标记，表示该信息已被删除，并说明该信息有悖于被遗忘权保护的价值。在履行义务的同时，谷歌公司委托外部法律专家给出了独立报告，准确指出：欧盟法院判决不曾建立所谓的“被遗忘权”，只是赋予搜索引擎运营商以移除特定链接的“去列表”义务。欧盟法院判决仅判定互联网搜索引擎具有删除信息的义务，而最初发布的报社媒体并没有删除原始信息的义务。所以，我们可以这样理解，谷歌公司的“去列表”说法，较为客观地指出了被遗忘权的本质，即它是一项阻止信息进一步传播的权利，因为在现代互联网大浪潮的影响下，搜索引擎已经成为绝大多数人获取信息的手段。

（二）欧盟被遗忘权的制度演进

被遗忘权早已根植于欧盟个人信息保护的框架中，它在欧洲并不是一项完全新兴的权利。

1981年，在尊重法治、人权和基本自由的基础上，欧洲理事会各成员国签署了《欧洲系列条约第108号有关个人数据自动化处理之个人保护公约》，目的是为了调和个人隐私的基本价值取向与不同国家人民之间信息的自由流动。公约第五条规定，对个人数据进行自动化处理的目的必须是明确的和合法的，使用个人数据需要符合上述目的，同时要求数据务必准确，在必要时可以随时更新数据。第六条规定，敏感数据（如政治见解、种族血缘、宗教或其他信仰以及犯罪记录等）原则上是不可以进行自动化处理的，对于存在的例外情况，条约成员国国内法规定了适当的保护措施。同时，公约第八条还规定：在档案控制人违反依据上述两条基本原则制定的国内法处理数据时，其数据主体有权利依据具体情形，修改或删除这些数据。

为了确保欧盟内部市场的建立和顺利运行，必须确保人员、货物、服务和资金在市场内的自由流动，这除了需要个人数据在成员国之间自由流动，还需要保护个人基本权利不受侵犯。1995年10月24日，欧洲议会和欧盟理事会通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》。其中，第12条（b）规定，当数据主体因数据不完整或不准确而对其数据的处理不符合指令的规定时，数据主体有权对数据做出适当修改、限制或删除。第14条（a）中规定，至少在第7条（e）（f）两项所规定的情形下，除国内法另有其他有关规定外，数据主体可随时根据自身特殊情况通过一定的合法理由拒绝数据控制者处理与其相关的数据。如果数据主体拒绝异议能够成立，那么数据控制者将不得处理上述有关的数据。

2001年，欧洲议会和欧盟理事会通过《2000年12月28日关于与欧共体机构和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》。其中，第二章的第五节规定了数据主体的权利，包括更正权、获取权、隔离权、反对权与删除权等。第十六条关于删除权的规定是如果数据处理是非法的，尤其是违反了第二章第一、二、三节的规定时，数据主体有权要求控制人删除数据。第十八条关于反对权的规定是除第5条（b）项、（c）项和（d）项的情形外，数据主体可以在任何时刻，在和其特殊情形有关的强制合法的基础上，反对与其有关的数据处理。如果证明得到的数据主体的反对是正当的，那么不应再处理相关的数据。

2002年，欧洲议会和理事会通过了《2002/58/EC号关于电子通信领域个人数据处理和隐私保护的指令》。其中，第六条规定，在一定的情况下，当不需要通信传输时，公共通信网络或公用电子通信服务提供者必须将处理、存储的和用户有关的传输数据删除或将之匿名。(https://www.xing528.com)

2010年3月30日公布的《欧洲联盟基本权利宪章》，在关于个人数据保护的第八条中规定，每个人都有权利保护与他/她相关的个人数据，但只有基于明确的目的和个人同意的基础上或者其他一些法律规定的合法基础上，这些数据才能得到处理。每个人都有权获取这些数据并有权修正它。

2012年，欧盟提出的《个人资料保护规则草案》，是对1995年《欧盟个人数据保护指令》的改进和修订。该草案被认为是构建被遗忘权的法律依据，草案第十七条被称为“被遗忘权草案”。

2016年，欧洲议会通过了正式版本的《欧盟数据保护通用条例》，被遗忘权仍旧位于第十七条中，同时立法态度更加务实。在措辞方式上，试图渐渐弱化充满争议的“被遗忘权”称谓，单独地将之列为“擦除权”。另外，将“被遗忘权”置于紧随其后的括号中：right to erasure（right to be forgotten），是为了能够理顺概念衔接上的关系。相较于2012年草案，这样的名称不再纠结于“被遗忘权”的效果，即是否可以为大众所彻底遗忘，而是强调个人信息主体的救济与保护方式，即网络用户拥有删除自身相关信息的权利。在《欧盟数据保护通用条例》中，第十七条第一款规定：当用户同意依法撤回，或数据控制者欲继续处理数据而不再具有合法理由时，用户可行使自身合法权利要求删除数据。

关于被遗忘权的精神与条文变化情况，大部分体现在第十七条第二款：如果数据控制者公开传播符合第一款条件的个人数据，那么应采取所有合法合理的方式将其删除（包括投入合理成本和采取可用的技术手段）。同时，数据控制者需要通知处理此数据的其他数据控制者，共同删除关于数据主体主张的个人数据连接和复制件。这也就是说，数据控制者不仅仅要删除自己所控制的数据，需要通知其他第三方停止利用并删除数据，这是对传统“删除权”做出的扩张和实质变化。

事实上，欧洲国家相当重视保护被遗忘权，因为其中涉及个人人格的权利，相较于其他考虑要素，欧洲国家更注重维护人性尊严。总之，在个人人格权益和其他价值之间，欧洲更倾向于保护人格权利。

（三）欧盟被遗忘权的影响

在2012年《个人资料保护规则草案》出台之前，被遗忘权就已成为热议。草案一出，被遗忘权在大西洋两岸便引起巨大争议和激烈辩论。欧洲法院C-131/12判决谷歌将搜索引擎仅仅通过个人名字搜索而展示的链接结果删除。随后，欧洲相关部门要求谷歌不仅要把服务于数据主体的站点内的链接删掉，还要把.com范围内的所有链接均删除。如果说法院的表述还不够，那么29条工作组在C-131/12判决实施细则第20条中指出：除名的决定需要采用一种能够保障删除的效率与完整性的方式来进行，以确保能够良好遵守欧盟的法律。在这种意义上，如果用户避开欧盟域名而转向其他范围内的搜索引擎去搜索相关信息，依据法院判决对数据主体的保护将会很难被认为是令人满意的。换句话说，在这种情况下，要想实现有效性，就需要在搜索引擎所有相关的域名下删除相关链接，包括.com。2014年11月26日，谷歌在欧洲陷入腹背受敌的糟糕境地：谷歌被欧盟隐私保护机构要求在全球范围内认真严格遵守被遗忘权，但多名德国部长大力推动相关的立法，意图使谷歌搜索引擎成为一个“中立平台”。主导隐私保护的法国数据保护机构的IT主管格温德尔罗格朗在媒体中表示，如果谷歌对欧盟的规定采取置之不理的态度和做法，就可能会对其采取法律措施并进行相应的处罚。同时，在大西洋的彼岸，美国不满的情绪日益加重，认为谷歌受打击的主要原因是政治利益，欧盟这样做的一部分目的是保护德国的相关企业。

即使交涉仍在继续，争议依旧不断，但争议自身也有闪光点，新的解决办法可能就会在相互辩论、沟通、协商中出现。马云曾言未来的时代即是数据的时代，但若互联网用户的数据不能得到较好的保护，用户的网络数据不能得到较好的控制，那将会是数据时代的噩梦。不论被遗忘权究竟有何利弊，它的提出都对个人数据的保护与发展具有里程碑式的意义。