第 3 章 关于遗忘权的法案及其启示
欧盟现有的法律框架并没有提供一个完整意义上的遗忘权。但是,在数据保护指令中一些现有的规定可以视为与遗忘权相关的规定。2009 年法国议员的提案,使遗忘权成为数据保护框架修改的一个内容进行讨论。2012 年,欧盟数据保护条例中正式加入了遗忘权的规定。本章重点剖析后两者中与遗忘权有关的内容。
3.1 法国议员提案
在搜索引擎时代,人们通过在线搜索引擎获取一个人的信息,并依此对其进行评判。大学、雇主和潜在的合作伙伴通过搜索引擎搜索信息,发掘最开始不了解的信息。也许是这种新的信息获取方式使得 94%的家长和 94%的成年人认为,一段时间后,一个人应该能够删除被搜索引擎、社交网站,或营销公司掌握的个人信息。
搜索引擎的结果改变了了解一个人的过去的方式,这种新的方式可能限制个人的成长和发展,影响个人能够获得的机会以及他的名誉。
为应对通过互联网可以访问个人信息的威胁,2009 年 11 月,法国负责数字经济战略计划和发展的国务卿Nathalie Kosciusko Morizet发起了一场广泛的倡议活动,向议会提出了一个新的法律概念:"数字遗忘权",以确保互联网上的遗忘权。倡议的主要目标是:(1)教育网络用户他们在互联网上的隐私风险;(2)鼓励专家采取更好的实践规范,发展注重保护隐私的工具;(3) 在国家和欧盟层面促进数据保护和遗忘权。简而言之,数字遗忘权是指一个人拥有的被网络和数字媒介遗忘的权利,个人可以依此要求从网络上删除有关本人的某些行为和言论记录,而不必事无巨细地被永远"网"住。Nathalie Kosciusko-Morizet 提出了两个数字遗忘权议案,一个是针对行为广告,另一个是针对社交网络和搜索引擎,等待行业领导者签署。
2010 年 9 月 30 日,10 个专业协会签署了关于针对性的广告和保护网络用户的数字遗忘权的实践规范(公约)。这个规范针对个人数据在个人没有意识到的情况下被动收集的情况。规范包括八个提议,旨在加强关于定向广告中的数据保护和和网络用户的权利。其中包括通知用户,使用户能够有效地行使自己的权利,并限制 cookies 的保留,用来实现行为广告的目的。10 个签约的协会,代表了营销专家,包括广告、直接营销公司、搜索引擎、移动电话运营商、网上商家和电子服务编辑器。
2010 年 10 月 13 日,来自社交网络、内容服务提供商和搜索引擎运营商的代表,和未成年人保护协会,签署了在社交网络和搜索引擎中的数字遗忘权的实践规范(公约),这个规范针对个人数据主动公开的情况,旨在保障网民控制他们的个人数据什么时候在互联网上发布的权利。这个规范要求行业专业人士提高利用网民公布的数据的透明度,便利个人管理网络上公开的个人数据,教育和保护未成年网民,尊重个人同意数据处理,在处理前事先被通知和拒绝使用他们的数据的权利。公约鼓励签署者在其主页提供其隐私政策,包括个人数据一般使用条件、使用者的权利,以及如何设定隐私保护的途径,方便用户了解。还应说明,在收集数据方面,保存个人数据的期限,行使反对权利的方式。
但是,Facebook 和谷歌尚未签署这两个公约。通过吸收更多成员的加入,这两个公约能进一步加强网络用户权利保护。这些实践规范中的承诺能够成为将来国际协议的起点。
3.2 欧盟数据保护条例提案
在法国的发动下,欧盟委员会也在讨论在欧盟的数据保护框架下引入遗忘权。2012 年 1 月,欧盟委员会提交了对欧洲数据保护框架进行修改的数据保护条例提案。提案第 17 条第 1 款描述了在下面四种情况下,一个人应该可以从控制者获得删除有关他们的个人数据和阻止这些数据进一步传播的权利:(a)数据处理违反目的限制原则;(b)处理数据的许可被撤回或超过合法的存储时间;(c)数据主体拒绝数据处理;(d)数据处理是非法的(即不符合规定)。
第 2 款规定数据控制者已经使个人数据公开的,需要采取一切合理措施,包括技术措施,针对其对公开有责任的数据,通知处理这些数据的第三方,数据主体要求他们删除这些个人数据的任何链接、复本,控制者已经授权第三方出版这些个人数据的,控制者要对出版负责任。
虽然提案第 17 条规定的遗忘权的适用范围有限,但其滥用的风险仍然存在。因此,为了防止这个问题,提案第 17 条第 3 款规定了一些例外情况。据此,必要时在下列情况中数据控制者和第三方可以选择保留数据:(a)保护言论自由的权利;(b)在公共卫生领域出于公共利益的原因;(c)历史、统计和科学研究的目的;(d)为遵循联邦或成员国保留个人数据的法律义务。
第 17 条第 4 款规定,下列情况下,个人数据可以保留,但控制者必须限制其处理:(a)它们的准确性受到数据主体的争议(保留一段时间内以使控制者来验证数据的准确性);(b)为证据的目的;(c)数据主体反对删除(即使处理是非法的)而只是限制它们的使用;(d)数据可携权目的。这些情况下,根据第 5款,数据的使用和处理仅限于证据目的,或是有数据主体的许可,或是为了保护其他自然人或法人的权利,或是为公共利益的目的。
根据提案,遗忘权的权利主体是数据主体,义务主体是数据控制者,权利客体是个人数据。其中数据主体被定义为"通过身份证号码,位置数据,在线账号,一个或多个物理、生理、遗传、心理、经济、文化或社会身份因素"能够被识别的自然人。数据控制者被定义为"能够单独或与他人共同决定个人数据处理的目的,条件和方式的自然或法人,公共权力机关,组织机构或任何其他实体".个人数据被广泛地定义为"与数据主体相关的任何信息".
3.3 欧盟法案评析
数据保护条例提案一经提出,关于遗忘权的规定就引起了很多争议,包括遗忘权使用的术语、义务主体和内容问题。
第一就是其中关于遗忘权(the right to be forgotten)的术语问题。考虑当前规定的范围和意义,术语"the right to be forgotten"似乎不是很恰当,会产生不切实际的期望。自从迈尔·舍恩伯格创造了这个词,它成为了一个引起政策上热烈辩论的概念。这个术语过度地强调限制或对他人的义务,因此比一个更为合适的定义引发了更多的抗议。学者们认为,相比试图人为地重现"忘记"的自然现象,将责任强加于别人"忘记",条例最好使用更准确的"删除权",专注于数据主体的权利。提案第 2 条第 2 款 d 项的个人使用豁免也清楚地表明条例不会干预个人的生活。换句话说,这种权利不是而且不应该是表现为控制其他人接受和传播信息的自由,而是旨在使数据主体有效地控制他们的数据。
条例存在的第二个问题是,数据保护条例提案规定遗忘权的义务主体是数据控制者。这就意味着数据主体并不能调用遗忘权针对所有人。根据数据保护指令,数据控制者是决定个人数据处理的目的和手段的个人或实体。数据处理者是代表控制者,执行数据处理的个人或实体。这种区别是很重要的,因为数据控制者是具有数据保护义务,若违反了则负有责任的一方,而不是数据处理者。控制者和处理者之间的关系和后者的义务,由合同进行规定,而合同关系只是对合同各方有约束力,因此,不会给数据主体提供权利。
根据数据保护指令定义的数据控制者和数据处理者之间的区别,一直受到争议,因为在云计算、社交网络或搜索引擎的数据处理关系中,无论在事实上还是法律上,谁决定是否处理数据以及如何处理数据,难以区分,数据控制者的概念难以界定。因此,可能造成数据处理中的各方推脱逃避责任。在前面提到的 MarioCosteja González 告谷歌一案中,谷歌就以不是数据控制者为由,认为其不应当承担责任,上传数据的网站应该承担责任。所以,欧盟将遗忘权的义务主体规定为数据控制者是存在问题的。
第 29 工作小组"关于控制者和处理者的概念的意见"通过澄清两者的角色,在一定程度上解决了这个问题,意见中最为重要的是,指出应根据实际情况进行区分和评估,不仅要考虑正式合同和法律规定,而且要考虑各方对数据处理事实的影响。这个意见明确表明存在多个数据控制者的情况。根据个案中个人或实体对数据处理的控制的实际分布评估是控制者还是处理者,也并不简单。在大数据时代,全球化的网络环境下,即使大型组织要确定个人数据存放在哪里、其托管者是谁都有困难,没有相关专业知识或访问相关数据途径的个人就更不可能做到。
欧盟委员会的提案保留了这种区别,很大程度上与数据保护指令第 4 条第 5款和第 6 款同样地定义了控制者和处理者。虽然数据保护条例中新引入的数据保护权利是针对数据控制者的,但是也意识到了存在多个数据控制者的情况。如第26 条第 4 款规定,如果处理者处理数据超出了控制者的指令,成为决定数据处理的目的和方式的一方,这样数据处理者应视为共同的控制者。
提案中规定的遗忘权的内容也存在问题。第 17 条第 1 款(a)项规定,允许数据主体在当他们的数据不再需要用于收集时的目的时要求删除。在日益个性化的互联网时代,目的限制原则相当模糊,几乎所有的个人数据可以被认为是相关的。第 1 款(b)项也值得引起注意,在数据主体撤回其许可,或最开始协商好的存储期限(有效期)已过的情况下的"遗忘权",这给予了个人单方面结束他们与数据控制者/处理者关系的可能性,解决了当前数据权利不平衡的问题。在实践中,基于许可的数据处理往往未能给数据主体提供真正的选择和控制权。由于这个原因,该提案强调了许可的重要性,例如通过显式地允许数据主体撤回许可(第 7 条第 3 款)。遗忘权规定基于这种方式,让数据主体撤回的影响追溯到在过去依法处理个人数据。提案也要求数据主体被告知他们有删除的权利,而且有方式来实现它。
第 2 款进一步规定,当数据控制者使个人数据公开(如通过网站发布)或授权第三方出版时,数据上附随有遗忘权。在使个人数据公开的情况下,原控制者只需要采取所有合理的手段告知第三方数据删除的请求。在授权第三方出版的情况下,原来的控制者无论怎样都是有责任的。虽然这条背后的想法(要求当数据转手的时候,遗忘权应该附随在数据上)肯定有价值,需要重新对它作出解释。
就其目前的形式来看,可以认为,该条款的范围既严厉又宽松。作为一般原则,数据控制者不应该为他们没有参与或不知道的第三方对个人数据的使用承担责任。从这个角度来看,当这样一个权利行使时,采取所有合理的手段通知第三方的义务的模糊性,是令人担忧的。此外,这样一个义务可能带来欧盟互联网使用的寒蝉效应,尤其是考虑到条例规定的新的和严厉得多的惩罚。同样,数据控制者应当对授权第三方出版个人数据负责,具有潜在的复杂性。什么时候出版能认定为"授权"?"负责"具体又是指什么样的职责或责任?在这些点上,当前的草案留下了很多空白,太宽泛了。从另一个角度来看,这个规定又太宽松了。条例第 17 条第 2 款的规定只对数据被公开的情况进行了规定,不论是直接公开或通过第三方公开。在这个意义上,这个条款类似于传统遗忘权(droit à l'oubli )的应用。但是数据在公众视野之外被保留和处理的情况下,遗忘权同样重要,甚至更加重要,例如在商业分析的背景下。如果数据主体行使遗忘权,可以合理的预计数据控制者必须删除所有数据,不管它是用于什么目的,即使在没有出版或公开的背景下。这样一个更宽的范围才能确保数据主体不会基于他们没有意识到的信息被秘密分析。
对于提案中规定的豁免情况,根据条例第 2 条第 2 款(d)项,个人之间的信息共享可以落于"个人使用豁免"的范围,即若个人数据的处理是由自然人在没有任何经济利益的个人或家庭活动情况下进行时,则不属于数据保护条例的管辖范围。这一豁免使社交网站上很大一部分的数据不在遗忘权的保护范围之内。
在 web2.0 时代,很多的数据足迹和数字阴影都是由数据主体或第三方在社交网站上产生的,如果这些数据因为落入"家庭豁免"的范围而不能被要求适用遗忘权,这对数据主体的权利保护是一个很大的缺陷。
3.4 启示
欧盟数据保护条例提案的提出,旨在弥补 1995 年数据保护指令 95/46 的不足,加强个人对个人数据的控制。数据保护作为一项基本权利,在 2000 年欧盟基本权利宪章的第 8 条第 1 款和欧盟公约的第 16 条第 1 款均作出了规定,但是在整个欧盟地区缺乏对欧盟公民有效的和一致的权利保护。由于信息技术的发展,使得每天产生越来越多的数据流,以及数据流通的全球化,欧盟不同国家的数据保护立法差异,减弱了其数据保护的有效性。这种情况也阻碍了欧盟内部市场的运作,不利于公共机构之间的合作,也给数据控制者遵从法律方面造成了混乱和不确定性。此外,欧盟政策缺乏全面协调,削弱了欧盟在国际层面上的话语权。为了确保在所有的欧盟成员国给欧盟公民提供一个完全一致的和高水平的保护,并增强信息时代欧盟在全球的话语权,欧盟以可以直接在欧盟国家适用的条例的形式对数据保护权利作出了规定。欧盟数据保护条例规定了其管辖范围:第一,第 3 条明确规定,条例适用于在欧盟设有机构的控制者或处理者处理个人数据的活动,不论上述处理是否发生在联盟境内。第二,如果一个控制者或处理者没有在欧盟境内设立机构,但其处理活动与提供商品或服务有关,条例同样适用,不论数据主体是否需要付款。所以欧盟数据保护的管辖原则包括属地管辖和属人管辖。对于个人数据跨境传输的问题,欧盟条例提案要求它的数据保护框架不能因为跨境传输而破坏,其第 40 条规定,参与数据传输的数据控制者和数据处理者必须遵守数据保护条例中的条款。总之,欧盟条例的出台,能够很好地保护成员国公民的利益。
而在我国,目前缺乏完整的数据保护立法。频繁曝出的数据泄露事件、2013年曝光的棱镜门事件、美国为阻止我国信息设备提供商进入美国市场而屡屡对我国信息设备提供商提出的 337 调查,都警示我国信息技术带来的风险,必须加强个人的数据保护,以保护个人隐私、企业商业秘密和国家安全。目前我国涉及个人信息保护的法律法规内容分散,有效性不强。齐爱民教授编著的《中华人民共和国个人信息保护法示范法草案(学者建议稿)》和 2013 年 2 月 1 日开始实施的《信息安全技术、公共及商用服务信息系统个人信息保护指南》,都对个人数据的删除问题作出了规定,但是并不完善,而且这两个文件仅仅能作为一种企业行为准则及社会价值规范,没有法律的强制力和可执行性,显然不足以形成有力的保护。在大数据的社会和技术背景下,欧盟数据保护条例草案的提出,对我国的个人数据保护立法有借鉴作用。
