网络社会年会

顾紫翚 阎晗:昨日已逝,忘了它吧:中国网络空间治理体制中的被遗忘权

本文作者顾紫翚
美国伊利诺伊大学厄巴纳香槟分校环境科学硕士,法学博士,信息学博士(肄业),论文方向主要为科技法和创业法。现任信息科技初创公司Dimension的合规负责人以及台湾尚澄律师事务所的顾问。996开源协议起草人
本文作者阎晗
Dimension.im 创始人/CEO,从 UIUC (伊利诺伊大学香槟分校)计算机工程系辍学创业。前独立记者,前自动驾驶公司工程师;主要聚焦在开源,以及加密、数字劳动、隐私保护

昨日已逝,忘了它吧:中国网络空间治理体制中的被遗忘权

文/顾紫翚,阎晗

本文曾报告于第四届网络社会年会”网民21:超越个人账户”青年学者论坛”Panel2:社交媒体政治经济批判”。文章首发于中国美术学院学报《新美术》2020年2月号。

摘要

《欧盟通用数据保护条例》(以下简称“GDPR”)所定义的“被遗忘权”(或称“删除权”)是一个法律概念,赋予了个人在某些情况下——例如,当数据所有者撤回处理同意时——从互联网上删除其个人数据的权利(European Union,2016)。自这一概念于2014年在备受关注的谷歌西班牙诉冈萨雷斯案(Google Spain v. González)(2014)中首次提出并得到确认以来,世界各地的法院都对其进行了审议和讨论,包括德国、阿根廷、美国、巴西和韩国的下级法院和高等法院。本文将从各国关于“被遗忘权”的判例和立法出发,对“中国‘被遗忘权’第一案”任甲玉诉百度一案的案件事实进和法庭判决进行深入分析,最后探讨在中国引入“被遗忘权”所面临的挑战。

关键字:被遗忘权,被删除权,中国

《欧盟通用数据保护条例》(以下简称“GDPR”)所定义的“被遗忘权”(或称“删除权”)是一个法律概念,赋予了个人在某些情况下——例如,当数据所有者撤回处理同意时——从互联网上删除其个人数据的权利(European Union,2016)。承认被遗忘权的法律地位的本质是允许个人以自主的方式管理其数字身份——随着互联网越来越深入生活,数字身份与人们现实生活中身份的边界也变得越来越模糊。在这种情况下,赋予个人被遗忘权可以让人们不会因其过去所做的、以数字足迹的形式存在于互联网中的行为而被污名化或贴上标签(Mantelero,2013)。自这一概念于2014年在备受关注的谷歌西班牙诉冈萨雷斯案(Google Spain v.González)(2014)中首次提出并得到确认以来,世界各地的法院都对其进行了审议和讨论,包括德国、阿根廷、美国、巴西和韩国的下级法院和高等法院。尽管各国法院的判决和理由可能多种多样,并并非完全一致,但毋庸置疑,被遗忘权以及隐私权的潜在含义,正受到世界各国的高度关注,并逐渐被确认为一项基本人权。支持者称赞引入“被遗忘权”是朝着正确方向迈出的一步,并认为承认“被遗忘权”可以制止大型科技公司无限度地将个人数据用于商业目的以及政府对个人隐私的侵犯,从而促进、补足今天的网络空间里缺乏的数字治理和民主。然而,这一想法也引发了广泛的批评。一些人担心,这一权利很难与大多数西方国家通过某种形式的立法所确定的言论和表达自由相调和。更糟糕的是,“被遗忘权”可以被别有用心之人利用来合理删除公开信息,从而为内容审查打开大门

中国北京市海淀区人民法院2016年审理的任甲玉诉百度一案,首次提出了“被遗忘权”在中国语境中的适用性问题。这起案件也通常被称为“中国‘被遗忘权’第一案”。在本案中,原告主张搜索引擎提供商百度侵犯了其姓名权、名誉权和一般人格权下的被遗忘权,并要求百度从搜索结果中删除与其前公司相关的链接。法院驳回了原告关于姓名权和名誉权的前两项诉讼请求,并对是否可以在中国法律规定的一般人格权框架内设立新的被遗忘权这一问题进行了讨论。法院注意到,原告所涉的利益指向不能归入现有类型化的人格权保护范畴,因此认为,要使该法益得到法院的承认,它必须(1)具有正当性,并且(2)具有受法律保护的必要性。尽管二审法院最终驳回了任甲玉对百度的起诉,但这无疑为支持“被遗忘权”属于中国侵权责任法中的人格权范围这一立场树立了一个有说服力的先例。

然而,如何正确解读中国法院的判决标准,以及在中国承认和行使这一权利有什么障碍,这些问题仍然有待回答。本文将从各国关于“被遗忘权”的判例和立法出发,对任甲玉诉百度一案的案件事实进和法庭判决进行深入分析,最后探讨在中国引入“被遗忘权”所面临的挑战。

背景

被遗忘权的起源和通用数据保护条例

被遗忘权的概念可以追溯到西方国家的许多现有立法和判决之前,主要体现在对前科人员的个人权利保护中。欧洲各国都制定了一些法律,防止因“坏人”的污名化和泛化问题而将刑满释放人员排除在劳动者大军之外。例如,英国议会1974年的《罪犯改造法》(1974 Rehabilitation ofOffenders Act)允许被处以刑事罪但在一定的改造期内没有再次犯罪的人员 “封存”这些犯罪历史,因此,在申请工作或参加保险时,这些刑满释放人员可以不用披露其犯罪历史。这项立法的目的是防止“越过越糟(living it down)”的问题,即刑满释放人员因其记录在案的旧罪而无法重返社会,如无法获得体面的工作、合适的住房和公共福利等等。可悲的是,几十年前只有违法者才会面临的困难,现在已经成为生活在数字时代的人们普遍面临的问题:你几乎不可能摆脱你的过去,因为所有的一切都存储在服务器的某处,随时可能浮出水面。

​早在20世纪80年代,欧洲各国就已认识到:需要有一种更普遍的保护形式,来防止可能伴随着对数据的日益依赖和数据交易的急剧增长而出现的侵权行为。作为对《欧洲人权公约》第8条在数据隐私方面的延伸,欧洲委员会(European Commission)内的一个政府专家委员会在欧洲法律合作委员会(European Committee on Legal Co-operation,CDCJ)的授权下起草了《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with regard toAutomatic Processing of Personal Data),并于1981年1月28日在法国斯特拉斯堡市由欧共体成员国和非成员国签署通过。作为数据隐私保护方面第一个也是唯一具有约束力的国际法律文书,该公约在第8条中简要提到,如果数据处理者对个人数据的处理违反了国内法,其应“视情况而定”对该个人数据进行更正或删除,如该项更正或删除的要求未获遵从,则可获得法律救济。由于该公约早在世界进入互联网时代甚至个人电脑问世之前就已通过,因此可以合理假设,当时的立法者并没有预见到当今社交网络和搜索引擎的普及带来的大规模数据泄露问题,因此该公约的适用背景与通用数据保护条例并不相同。1995年,欧盟又出台了另一项重要的立法,即通用数据保护条例的前身——《数据保护指令》(DataProtection Directive),其中进一步详细规定了个人数据在欧盟的收集和处理方式,而“被遗忘权/删除权”的概念则贯穿了该指令全文。在该指令颁布约十年后,欧盟批准确认了《欧盟基本人权宪章》第8条“个人资料受保护的权利”,进一步推动了其对数据隐私的承诺,并于2009年随着《里斯本条约》的签署正式生效。

直到2010年,随着法国政府通过了《关于定向广告和保护互联网用户的良好实践守则》(Charte sur la publicité ciblée et la protection des internautes)和《关于在社交网络和搜索引擎上被遗忘的权利的良好实践守则》(Charte du Droit à l’oubli dans les sites collaboratifs et lesmoteurs de recherche)两项倡议,互联网上“遗忘权”(le droit à l’oubli)的理念,即通用数据保护条例中被遗忘权的雏形,才正式被提出。尽管这些守则不具有法律约束力,但其要求互联网从业者,包括广告商、数字营销机构、社交网络、内容服务提供商和搜索引擎运营商等等,尊重个人在互联网上的隐私权,以及同意数据处理/反对使用其数据的权利。继法国之后,欧盟委员会也宣布,其会在2010年晚些时候推出一个全面的法律框架,以规范欧盟境内个人数据收集和处理业务的流程。在公告和与公告同时发布的白皮书中,委员会明确指出,它将研究如何解释所谓的“被遗忘权”,即“个人在其数据不再用于合理目的时,不再对其进行处理和删除的权利”。随着委员会向前迈出了第一步,一系列有关隐私权的重要案件也被提交给了法院,公众对被遗忘权的讨论也随之扩大。这些努力最终导致了欧盟最高法院(以下简称“CIEU”)在2014年冈萨雷斯一案中的裁决,以及2016年通用数据保护条例的通过,使得欧洲成为第一个在司法和立法层面明确规定了数据主体的被遗忘权和删除权的地区。《通用数据保护条例》第17条题为“删除权(‘被遗忘权’)”,对该项权利的实施条件和范围作了具体明确的规定。

通用数据保护条例第十七条首先对“被遗忘权”的权利主体和义务主体进行了界定。权利主体为数据主体(即拥有已识别或可识别个人数据的自然人),其有权要求数据控制者、自然人、法人和其他决定个人数据处理目的和方式的实体,在特殊情况下立即删除个人资料。除了应数据主体的要求立即删除相关个人数据的责任外,数据控制者在法律上也有义务采取合理步骤通知正在处理相关数据的其他数据控制者。

通用数据保护条例第十七条还概述了被遗忘权的适用情形,即:(a)“个人数据对于实现其被收集或处理的相关目的来说不再必要”;(b)“数据主体撤回在此类处理中的同意”,“并且没有其他法律依据处理这些数据”;(c)数据主体行使异议权,且“没有压倒性的正当理由”让数据控制者继续进行处理,或者数据主体反对以直效行销(Direct Marketing)为目的处理数据;(d) “个人数据被非法处理”;(e) 数据控制者根据欧盟或成员国法律规定的强制性义务删除个人数据;(f)对数据进行处理的目的是为16岁以下儿童提供“信息社会服务”(如网购,直播等)。

然而,无论是通用数据保护条例的文本还是欧洲最高法院的判决,对其所确立的权利都远未明确,且仍有一些问题需要解决。例如,对于如何协调个人的删除权和公众获取信息的权利,判决书和条例都没有提供详尽的指导。在这方面,欧盟委员会第29条数据保护工作组在1995年的《数据保护指令》中制定的一套准则可能具有启发性。例如,它列出了欧洲数据保护机构在处理数据主体删除某些网上信息的请求时应考虑的一些常见因素,例如搜索结果是否与自然人有关,数据主体是否为公众人物,数据主体是否为未成年人,数据是否相关且不过度,数据是否最新,数据发布者是否有法律权力或法律义务公开个人数据等。官方权威机构的解释可以为遗忘权的适用提供帮助,从而带来更多的执法行动和法院判决。

谷歌西班牙诉冈萨雷斯案:被遗忘权第一案

正是在大众对互联网的意识形态发生转变之际,“被遗忘权”的概念也开始脱离学术讨论,正式进入公众视野。第一个承认“被遗忘权”的案例发生在谷歌西班牙公司和西班牙公民马里奥·科斯特贾·冈萨雷斯(Mario Costja Gonzalez)之间,这一案例目前仍是这一问题上的先例。1998年,西班牙的一家综合性日报——《先锋报》(La Vanguardia)——在其网站公布了冈萨雷斯因无力偿还社保债务而被政府拍卖房地产的细节。这些网页后来被谷歌的网络爬虫索引,并显示在了其搜索结果中。因此,任何在谷歌上输入冈萨雷斯名字的人都可以访问指向《先锋报》公告的链接。为了删除这些页面和链接,冈萨雷斯向西班牙数据保护局(AEPD)投诉了《先锋报》、谷歌和谷歌西班牙,声称针对他的(财产)查封和冻结程序“早已成为过去”,“现在这些信息已经毫不相关”。西班牙数据保护机构于2010年7月30日作出决定,驳回冈萨雷斯对该报的投诉,理由是《先锋报》的公告是根据劳动和社会保障部的行政命令作出的,因此是完全合法。但是,西班牙数据保护机构对冈萨雷斯对谷歌和谷歌西班牙的投诉表示了支持,要求谷歌采取必要措施,从搜索结果中删除相关链接,并确保今后不再提供此类数据。

为了推翻这一决定,谷歌和谷歌西班牙向西班牙国家高等法院提出上诉提出了上诉。西班牙高等法院裁定,如果一个人的个人资料已在第三方网站公布,而且数据主体不希望其他人访问该数据,搜索引擎运营商的法律义务应取决于对《数据保护指令》的理解和适用。因此,西班牙法院中止了诉讼程序,并将案件移交给欧盟最高法院,由其就若干问题作出初步裁决,包括指令的实质适用范围、适用的地域范围以及数据主体根据指令删除此类信息的权利。

2014年5月13日,欧盟最高法院作出了裁决,确认谷歌在西班牙的运营足以使其遵守《数据保护指令》。并且,搜索引擎作为“数据控制者”,有法定义务删除某些不充分、不相关或不再相关的个人信息、或超出数据处理目的、或随着时间的流逝已经失效的信息,即使这些信息最初是以合法方式公布的,而且是真实无害的。法院指出,《指令》要求法院需要对以下几点进行权衡:即数据主体的“根据《宪章》第七条和第八条享有的基本权利”、“搜索引擎运营商的经济利益”、以及“一般公众获取该信息的利益”。其结果可能因个案而异,并且可能取决于“所涉信息的性质及其对数据主体私人生活的敏感程度”,以及数据主体在公众生活中所扮演的角色。在法院做出裁决后,大量个人和实体出于隐私原因申请从谷歌搜索结果中删除网址。根据谷歌透明度报告,截至目前,公司已收到来自全球用户的约862358份删除3415801个网址的申请,其中绝大多数(88.4%)是私人用户。

最近,由于欧盟最高法院于2019年9月25日作出的判决,冈萨雷斯一案再次成为了新闻头条。此案起因于谷歌与法国数据隐私监管机构国家信息和自由委员会(CNIL)之间的纠纷,该委员会对谷歌处以10万欧元(88376英镑)的罚款,原因是谷歌未能将搜索结果从除欧盟成员国以外的世界其他地区的谷歌域名中删除。欧盟法院支持了谷歌的主张,认为“根据欧盟法律,即使搜索引擎运营商同意数据主体提出的数据删除

请求……该运营商没有义务对其搜索引擎的所有版本都进行数据删除。”虽然这一结果可能会让隐私倡导者和互联网无政府主义者失望,但从某种意义上说,这一判决的意义十分重大,因为它在一定程度上表明了法院在地理上扩大遗忘权这一概念的适用范围的意愿。

中国被遗忘权第一案:任甲玉诉北京百度网讯科技有限公司

案件背景

原告任甲玉是行政教育领域的从业者。从2014年7月1日开始,他开始在无锡陶氏教育公司做讲师,这家公司备受争议,名声可疑,被一些人认为是邪教,在任甲玉接到公司的“劳动关系自动终止通知”后,于2014年11月26日终止了雇佣关系。2015年3月12日,北京道亚轩商贸有限公司与任甲玉协商自愿正式解除劳动协议关系,原因是该公司在百度上发现任甲玉与陶氏教育有关联。具体来说,当用户在百度搜索栏中输入搜索词“任甲玉”时,关键词“陶氏教育任甲玉”、“无锡陶氏教育任甲玉”、“陶氏任甲玉”等都会出现在“关键词相关搜索”建议列表中。为了维护自己的权益,任甲玉花费时间、金钱和精力寻找律师维护权益,自费到无锡、北京等地维护权益,并联系百度删除搜索结果,但他的努力均未奏效。因此,任甲玉于2015年向北京市海淀区法院提起诉讼,要求百度立即停止一切侵犯其姓名权、名誉权和“被遗忘权”的行为。特别是,任甲玉希望百度从他认为损害了他的声誉并导致他失去工作的六个相关搜索建议中删除他的名字。

一审法院

海淀区人民法院指出,本案的法律争议之核心在于对“相关搜索”技术模式及相应服务模式正当性的法律评价问题,具体涉及事实及法律两个层面的基础问题:其一是事实问题,即百度公司“相关搜索”服务显示的涉及任甲玉的检索词是否受到了该公司人为干预?其二是法律问题,即百度公司“相关搜索”技术模式及相应服务模式提供的搜索服务是否构成对任甲玉的姓名权、名誉权及任甲玉主张的一般人格权中的所谓“被遗忘权”的侵犯?

百度公司“相关搜索”服务显示的涉及任甲玉的检索词是否受到了该公司人为干预?

海淀区人民法院认为,在任甲玉无其他相反证据的情况下,可以假定有争议的六个关键词系由过去一定时期内使用频率较高且与当前搜索词相关联的词条统计而由搜索引擎自动生成,并非受到百度方面人为干预。法院补充称,任甲玉的证言、当事人提供的公证书以及法院的现场调查都表明,当一个人在百度搜索栏中输入关键词“任甲玉”时,在“相关搜索”中都会显示出不同的排序及内容的词条,而且任甲玉主张的六个检索词也呈现出时有时无的动态及不规律的显示状态。这与搜索引擎“相关搜索”功能的一般状态是一致的,并未呈现出人为干预的异常情况,为“相关搜索”功能不受百度公司人为干预提供了明确而令人信服的证据。

百度提供的“相关搜索” 技术模式及相应服务模式是否侵犯了任甲玉的“被遗忘权”?

一审法院认为,任甲玉想要删除(或“去除索引”)的是百度“关键词相关搜索”中与他曾在“陶氏教育”任职的相关信息,任甲玉认为,这些信息对他在业内的声誉有负面影响,阻碍了他找到一份体面的工作。由于与信息相关的人格利益不属于中国法律规定的权利范围,因此,中国民法能否对其进行保护,取决于该利益是否具有正当性以及是否具有受法律保护的必要性。在本案中,法院事实上为中国法律中未被类型化但应受法律保护的正当法益是否作为人格权的一部分受到保护确立了三个前提条件:

(1)该利益指向不能归入现有类型化的人格权保护范畴;

(2)该利益具有正当性;

(3)该利益具有受法律保护的必要性;

不过,法院在仔细考虑案件事实后,驳回了任甲玉要求从搜索结果中删除关键词的请求。法院首先考虑的问题是,一个人的声誉是否会因与某家公司的联系产生负面影响。由于不同个人对企业商誉的评价往往是一种主观判断,而企业客观上的商誉也会随着经营状况的好坏而发生动态变化,因此不宜抽象地评价商誉好坏及商誉产生后果的因果联系,因此法院不宜评价任甲玉的遭遇及其与陶氏教育经历的因果关系。此外,任某仍在同一个行业工作,包括其工作经历在内的个人资历信息正是客户藉以判断的重要信息依据,这些信息的保留对于包括任甲玉所谓潜在客户在内的公众知悉任甲玉的相关情况具有客观的必要性。任甲玉在与陶氏相关企业从事教育业务合作时并非未成年人或限制行为能力人、无行为能力人,其并不存在法律上对特殊人群予以特殊保护的法理基础。因此,任甲玉在本案中主张的“被遗忘权”的利益不具有正当性和受法律保护的必要性,不应成为侵权保护的正当法益。

二审法院

北京市第一中级人民法院的分析和理由与海淀区人民法院的分析和理由基本一致。例如,双方法院都认为,争议的问题在于,百度的关键词“相关搜索”服务是否侵犯了任家宇所主张的一般人格权中的姓名权、名誉权和“被遗忘权”。北京市第一中级人民法院首先指出,“被遗忘权”是欧盟法院在冈萨雷斯案判决中正式确立的概念,虽然中国法学界对被遗忘权的本土化问题进行过探讨,但我国现行法律中并无对“被遗忘权”的法律规定,亦无“被遗忘权”的权利类型。法院接着指出,“尽管当事人依据一般人格权主张其被遗忘权应属一种人格利益,该人格利益若想获得保护,任甲玉必须证明其在本案中的正当性和应予保护的必要性,但任甲玉并不能证明上述正当性和必要性。”由于任甲玉无法满足前文所述的三者兼备的要求,北京市第一中级人民法院驳回了任甲玉对百度的诉讼请求。

被遗忘权在中国语境中的适用性

作为中国第一个“被遗忘权”案,这起案例与冈萨雷斯一案的类似之处在于,这两起案件都涉及个人就其个人信息保护问题向法院提起诉讼,要求搜索引擎提供商提供救济,而两个法院分别对隐私保护法中的一个重要概念——被遗忘权——进行了解释。虽然中国法院不支持原告提出的保护所谓“被遗忘权”的主张,但它仍然是大数据时代中国互联网隐私保护史的一个重要里程碑,并通过确立“不能归入现有类型化的人格权保护范畴”、“利益的正当性”和“保护的必要性”这一三方面的检验为将来承认“被遗忘权”作为“一般人格权”的一部分铺平了道路。然而,尽管本案为个人隐私相关利益的司法保护提供了有意义的参考,并对此进行了广泛的讨论,但中国通过立法或司法判决形式正式引入或确立“被遗忘权”制度的前景并不乐观。其原因可归纳如下。

通用数据保护条例与欧盟法院判决的模糊性

欧洲的立法和法院的判决在中国并不容易适用,因为这些立法和判决本身就不够清晰、充分、全面。正如英国上议院司法任命委员会主席乌莎·普拉沙尔(Usha Prashar)女士所描述的那样,“很明显,1995年的指令和欧盟法院对指令的解释都没有反映出我们今天看到的令人难以置信的技术进步,毕竟指令已经起草20多年了。”许多人批评欧盟法院在冈萨雷斯一案中的判决在数据主体有权删除哪些内容以及删除标准等问题上极为模糊。例如,尽管法院要求谷歌删除指向冈萨雷斯的房屋法拍诉讼的两个链接,但谷歌所做的和所能做的仅仅是对网页进行去索引,也就是说,将网页与搜索词、原告姓名或包含原告姓名的关键字分离。因此,原始信息实际上仍保留在互联网上,而且人们也仍然可以通过其他方式访问原网页,例如输入不同的搜索词,或在地址栏中键入原始地址等等。如果一个人真的想从互联网上永久地删除一些信息,最有效的方法就是删除或屏蔽信息源,即《先锋报》最初在其网站上发布的公告。但是,由于法院认为,《先锋报》作为出版商,可以免于删除原始内容的义务,这就产生了一个问题,即在被遗忘权的适用范围仅限于搜索引擎而非在线出版商的情况下,该权利是否能够得到有效地执行。更糟糕的是,尽管第29条工作组在其建议中针对那些信息需要删除这一问题提供了指导,欧盟法院似乎仍将是否删除信息的决定权留给谷歌等搜索引擎运营商以及其他收到此类请求的实体进行逐案决定。作为准“立法者”和行业规则执行者,这些科技巨头可以轻松改变标准,使之对自己有利。

此外,在新通过的通用数据保护条例中,模棱两可的问题没有得到纠正。根据德勤(Deloitte)于2019年1月发布的一份研究通用数据保护条例在营销人员和媒体公司的实施情况的白皮书所述,所有受访者一致认为:“由于法规文本不明确,参考案例或判例缺失,关于通用数据保护条例仍存在很多不确定性。”这种感觉上的模棱两可也使从业者无法采取有效措施执行通用数据保护条例的要求和判断监管的执行力度。因此,全盘照搬欧洲模式不会给中国刚刚起步的数据隐私保护制度带来任何好处。相反,这只会导致混乱和滥用,因为欧洲模式的有效性没有受到太多的考验,需要更多的判例法和指导文件来填补立法者在现有法律中留下的空白。

执行被遗忘权的技术难点 

数据隐私权的保护不仅需要法律上的支持,更需要技术上的进步。为了实现被遗忘权,必须有一些技术解决方案或工具帮助数据主体清理其数字足迹和在线身份,或者帮助数据控制者和数据处理者管理收集和处理的数据,检测敏感的数据,以及根据数据主体的要求删除或销毁数据。尽管这个过程听起来很简单,似乎也很容易实现,但在当今这个连未曾使用过互联网的过世之人的信息都可以出现在谷歌搜索结果里的数字世界中,这几乎是不可能完成的任务。值得庆幸的是,随着公众对数据保护和隐私意识的增强,数据删除服务提供商也应运而生。比如DeleteMe、PrivacyDuck和OneRep等等,这些公司会帮助个人监控和删除主要数据收集网站(如Itelius、Spokeo、TruthFinder和Whitepaper)中的个人数据,而这些服务的收费价格从每年100美元到每年1000美元不等。此外,如DuckDuckGo这样选择主动改变的搜索引擎提供商——即不收集用户的搜索内容或访问记录——亦获得了具有隐私意识用户的欢迎。但是,大多数现有的服务提供商只针对个人用户,向商业用户提供符合通用数据保护条例的数据管理解决方案的公司却是寥寥无几,其一部分原因也是因为该条例的模糊性所致。

一种可以大大提高隐私的强大武器是加密。加密是将一段信息转换成乱码的过程,而转换后的信息无法用不匹配的密钥解码。当涉及到删除权或被遗忘权时,加密数据可能是对用户来说最方便、最有效的方式,因为加密解决了主动备份的问题。例如,如果一个人删除了他在Facebook上发布的某张图片,他可能之后还会在某个第三方网站上看到这张图片,因为Facebook可以将被删除图片的副本保存在其服务器中(无论有意或无意),并且Facebook还可以与第三方共享这些图片。但是,如果用户加密了图片,并在本地保存密钥,Facebook是否保留副本就变得无关紧要,因为在没有密钥的情况下,Facebook根本无法解读这些数据。从本质上讲,加密通过使数据在没有相对应的密钥的情况下无法访问,从而让用户对其数据拥有了完全的控制权。因此,是否删除信息将由用户自行决定,而不是由服务提供商决定。正如密码朋克(Cypherpunk)运动发起人和技术作家、《加密无政府主义宣言》作者蒂莫西·梅(TimothyC.May)在《赛博经济学》一文中所说,加密是对个人来说是一种“先发制人的保护”。尽管有这些优点,加密也有其自身的问题。首先,加密这个概念往往与犯罪分子和恐怖分子联系在一起,因为很多人仍然相信“好人不需要隐私”(Nothing to hide)的谬论:如果你无事可藏,你就无事可惧,这意味着你不必使用加密等隐私保护工具。同时,澳大利亚等的国家甚至通过立法手段强制要求在该国运行的通信企业为政府在其产品中安装后门或植入恶意软件,从而使加密数据对于普通人来说变成了不可能。此外,加密与许多现有平台并不兼容,包括Google和Amazon等,这将使它们的服务无法使用。

被遗忘权在中国法律中的现状

虽然北京市海淀区人民法院和北京市第一中级人民法院都表示,中国法律中并不存在遗忘权,但事实上,类似的概念在中国的法律法规、立法建议或司法判决中随处可见。例如,中国《侵权责任法》第三十六条规定:“网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。”;中国《网络安全法》第四十三条也规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”因此,说中国法律中没有被遗忘权(删除权)是不准确的,更确切地说,中国法律中的被遗忘权更加温和,也更有限制性,而不是像欧盟国家采用的更激进、更直截了当的形式。在将被遗忘权纳入其法律体系的过程中,中国的做法在某种程度上和美国更为相似。虽然美国法官早在20世纪40年代的西迪斯诉法国出版公司案(Sidis v.FR Publishing Corp.)一案中就曾讨论过被遗忘权的概念,但是,如今,即使在被公认为美国版通用数据保护条例的《加州消费者保护法》(California Consumer Protection Act,CCPA)中,甚至在其他联邦和和州一级颁布的与隐私相关的法律法规中,被遗忘权并没有得到正式的确立。事实上,纽约州议会曾在2018年推出了一项被遗忘权法案,但该法案离通过尚且非常遥远。当然,这并不是说美国人不重视数据隐私。美国法律体系中隐私权的概念最早可以追溯到宪法第四修正案,即“任何人的人身、住宅、文件和财产不受无理搜查和查封。”以第四修正案等修正案为指导,美国颁布了多部个人信息保护法律,如1996年的《健康保险隐私及责任法案》(Health InsurancePortability and Accountability Act)、1974年的《美国隐私法》(Privacy Act)、1986年的《电子通信隐私法》(Electronic Communications Privacy Act)等等,几乎在每一项立法中都可以找到删除权/被遗忘权的痕迹。但是,与欧洲国家不同的是,美国更重视言论自由和信息自由流通的价值,因此,为了防止删除权/被遗忘权的滥用,美国政府对将这一权利直接纳入立法中还存在着犹豫。同样,中国也需要平衡现有法律、法规和规章所提供的法律救济的充分性、个人的需要以及引入这种权利可能产生的消极和积极影响等因素,以避免通过一项实用价值不大的立法。

结论

冈萨雷斯一案是普罗大众为公民隐私权而战的过程中的一个虽小却至关重要的部分——尤其是在这个谷歌、苹果、Twitter和Facebook等科技巨头对我们了如指掌的数字时代。此案有效地为用户提供了一个抵御互联网上无休止的隐私泄露和传播的屏障,而这一屏障目前也通过诸如通用数据保护条例等立法手段得到了进一步的加强。本文从被遗忘权权/删除权的起源出发,回顾了促使被遗忘权在法律条文中正式落地的一系列重要历史事件,包括司法判决和立法进程等等。本文特别深入研究了通用数据保护条例的第17条“被遗忘权”,探讨了哪些领域会由于该条的实施和适用范围受到影响。接着,本文将焦点转移到了中国第一个被遗忘权案件:任甲玉诉百度案,并分析了一、二审法院为何作出驳回原告被遗忘权诉讼请求的决定。在赞扬中国法院的勇气和创造性的同时,本文也探讨了将被遗忘权这一由欧洲最高法院确定的概念进行本土化所面临的现实挑战:第一,欧盟法院判决和立法总体上仍然模棱两可,因此草率照搬欧洲模式将增加中国数据保护制度被滥用的可能性;第二,在中国法律中引入被遗忘权/删除权将给中国的互联网公司带来额外的负担,因为开发一个符合通用数据保护条例的数据管理系统在技术上存在困难,而中小公司将遭受的损失最大,因为他们可能没有足够预算来实现这样的系统;第三,中国的法律体系中的某些条文实质上已经赋予了网络用户类似于通用数据保护条例和欧盟法院确立的被遗忘权的权利,因此特地为被遗忘权单独增加一个条款可能毫无意义。本文建议立法者和监管者在保护个人信息的需要、中国的现状、欧盟模式的参考价值等不同利益之间进行谨慎的权衡,以便在是否引入这一权利的问题上做出合理、明智的决定。 

参考文献


A5323. Assemb. Reg. Sess. 2017-2018. (N.Y. 2017)
Article 29 Data Protection Working Party. (2014).Guidelines on the implementation of the Court of Justice of the European Unionjudgment on “Google Spain and inc v. Agencia Española de Protección de Datos(AEPD) and Mario Costeja González”. Retrieved fromhttps://www.pdpjournals.com/docs/88502.pdf
Bernal, P. A. (2011). A right to delete?. EuropeanJournal of Law and Technology, 2(2).
Bowcott O. (2014, July 30). Right to be forgottenis unworkable, say peers. The Guardian. Retrieved November 10, 2019, fromhttps://www.theguardian.com/technology/2014/jul/30/right-to-be-forgotten-unworkable-peers
Case C-131/12 Google Spain SL, Google Inc. vAgencia Española de Protección de Datos and Mario Costeja González,ECLI:EU:C:2014:317 (2014).
Council of Europe. (1981). Convention for theprotection of individuals with regard to automatic processing of personal data.Retrieved fromhttps://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680078b37
Council of Europe. (1953). The European Conventionon Human Rights. Retrieved from https://www.echr.coe.int/Documents/Convention_ENG.pdf
Court of Justice of the European Union. (2019,September 24). The operator of a search engine is not required to carryout a de-referencing on all versions of its search engine [Press release].Retrieved November 10, 2019, fromhttps://curia.europa.eu/jcms/upload/docs/application/pdf/2019-09/cp190112en.pdf
Cyber Security Law of the People’s Republic ofChina, art. 43 (2017) Zhonghua Renmin Gongheguo Wangluo Anquan Fa.
Deloitte. (2019, Feburuary). After GDPR – Lessonsand consequences from the advertiser perspective. Retrieved November 10, 2019,fromhttps://www2.deloitte.com/content/dam/Deloitte/de/Documents/technology/Deloitte_DSGVO_im_Marketing.pdf
Dworkin, G. (1975). Rehabilitation of Offenders Act1974. The Modern Law Review, 38(4), 429-435.
European Commission. (2010). Communication from theCommission to the European Par- liament, the Council, The Economic and SocialCommittee and the Committee on the Regions, A Comprehensive Approach onPersonal Data Protection in the European Union. Retrieved fromhttps://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52010DC0609&from=GA
European Commission (2010). European Commissionsets out strategy to strengthen EU data protection rules [Press release].Retrieved November 10, 2019, fromhttps://europa.eu/rapid/press-release_IP-10-1462_en.htm?locale=fr
European Commission. (2015). Directive 95/46/EC ofthe European Parliament and of the Council of 24 October 1995 on the protectionof individuals with regard to the processing of personal data and on the freemovement of such data. Retrieved fromhttps://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31995L0046&from=en
European Commission. (2016). Regulation (EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on theprotection of natural persons with regard to the processing of personal dataand on the free movement of such data, and repealing Directive 95/46/EC. Retrievedfromhttps://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1573394131021&from=EN
European Convention. (2000). Charter of FundamentalRights of the European Union. Retrieved fromhttps://www.europarl.europa.eu/charter/pdf/text_en.pdf
European Convention. (2007). Treaty of Lisbonamending the Treaty on European Union and the Treaty establishing the EuropeanCommunity, signed at Lisbon, 13 December 2007. Retrieved fromhttp://publications.europa.eu/resource/cellar/688a7a98-3110-4ffe-a6b3-8972d8445325.0007.01/DOC_19
Google. (n.d.). Requests to delist content under Europeanprivacy law. (n.d.). Retrieved November 10, 2019, fromhttps://transparencyreport.google.com/eu-privacy/overview
Hooper J. (2010, February 24). Google executivesconvicted in Italy over abuse video. The Guardian. Retrieved October 10, 2019,from https://www.theguardian.com/technology/2010/feb/24/google-video-italy-privacy-convictions
Lindroos-Hovinheimo, S. (2016). Legal Subjectivityand the ‘Right to be Forgotten’: A Rancièrean Analysis of Google. Law andCritique, 27(3), 289-301.
Mantelero, A. (2013). The EU Proposal for a GeneralData Protection Regulation and the roots of the ‘right to beforgotten.’ Computer Law & Security Review, 29(3), 229–235. doi:10.1016/j.clsr.2013.03.010
Ren Jiayu v. Beijing Baidu Netcom Science& Technology Co., Ltd., CLI.C.8614731(EN) (2015)
Sanjin B. (2017). Issues of uniformapplication of General Data Protection Regulation(Unpublished master’s thesis).Lund University. Retrieved November 10, 2019, fromhttp://lup.lub.lu.se/luur/download?func=downloadFile&recordOId=8926008&fileOId=8926009
Sobkow, B. (2017, June). Forget Me, Forget MeNot-Redefining the Boundaries of the Right to Be Forgotten to Address CurrentProblems and Areas of Criticism. In Annual Privacy Forum (pp. 34-51).Springer, Cham.
Schwartz J. (2009, November 12). Two German KillersDemanding Anonymity Sue Wikipedia’s Parent. New York Times. RetrievedOctober 10, 2019, from http://www.nytimes.com/2009/11/13/us/13wiki.html
Secrétariat d’Etat chargé de la Prospective et duDéveloppement de l’économie numérique (2010). Charte sur la publicité ciblée etla protection des internautes. Retrieved fromhttps://assiste.com/Assiste/ftp/Charte_Publicite_Ciblee_du-30-sept-2010.pdf
Secrétariat d’Etat chargé de la Prospective et duDéveloppement de l’économie numérique (2010). Charte du Droit à l’oubli dansles sites collaboratifs et les moteurs de recherche. Retrieved fromhttps://www.huntonak.com/files/webupload/PrivacyLaw_Charte_du_Droit.pdf
May T. (1994, September 10). The Cyphernomicon [Weblog post]. Retrieved November 10, 2019, fromhttps://nakamotoinstitute.org/static/docs/cyphernomicon.txt
Tort Liability Law of the People’s Republic ofChina, art. 36 (2010) Zhonghua Renmin Gongheguo Qinquan Fa.
Tuscano, J. (2019, September 3). Google Has My DeadGrandpa’s Data And He Never Used The Internet. Forbes. Retrieved November10, 2019, fromhttps://www.forbes.com/sites/joetoscano1/2019/09/03/google-has-my-dead-grandpas-data-and-he-never-used-the-internet/#75dc2ef22b0c
Anderson, Charles & Johnson (2003). Theimpressive psychology paper. Chicago: Lucerne Publishing.
Smith, M. (2001). Writing a successful paper. TheTrey Research Monthly, 53, 149-150.

X