第 2 章 遗忘权的制度需求与法律属性
2.1 遗忘权的制度需求
在大数据时代,个人数据被海量地收集和处理,数据的控制已成为一个日益重要的问题。个人逐渐意识到自己对谁在处理他们的数据以及如何利用他们的数据缺乏深入的了解,收集和使用个人数据往往在数据主体的控制之外,甚至在他们没有意识到的情况下。个人在进行网络活动时,也几乎不可能预测他们的行为可能带来的所有负面影响。即使一个人能够想到可能的负面影响,这种意识可能也不足以改变他或她的行为。为了保护个人的在线数据,人们能做的努力有限,而且所做的努力也往往被忽略或很容易被规避。个人数据保护法律的缺失,会造成对个人隐私的侵害,甚至通过个人数据的分析挖掘,泄露企业的商业秘密和国家机密。
目前,我国没有系统的个人数据保护立法,个人无法对其个人数据进行有效的控制和保护。我国宪法第 38 条规定,保护公民的人格尊严不受侵犯,禁止对公民进行侮辱、诽谤和诬告陷害;第 39 条规定,保护公民住宅不受侵犯;第 40条规定,保护公民的通信自由和通信秘密。民法通则规定了保护公民的姓名权、肖像权和名誉权。侵权责任法规定了对侵害民事权利的行为,应该承担侵权责任,并进一步规定民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。可见,无论在宪法和民法通则中,都没有提供全面的个人数据权益的保护。从文义上理解,涉及的个人数据类型仅限于侮辱、诽谤和诬告陷害信息、住宅、通信信息。其保护范围非常有限,禁止侮辱、诽谤和诬告陷害不包括对个人生活真实的信息的保护。
而对个人隐私的保护在宪法和民法通则中都没有明确规定,侵权责任法规定了民事权益包括隐私权,但个人隐私一般是指私密信息,如宪法规定的住宅和通信秘密,对于个人网上的活动踪迹等数据难以纳入隐私权的保护范围。而且虽然规定了隐私权保护,但是属于一种事后救济,效力有限。
尽管对什么构成侵权责任法中的"隐私",观念差别很大,但是能够控制个人数据的处理已经被大多数网民视为一个价值规范。这种趋势表明个人寻求更强大的数据权利,尤其是在数字时代。遗忘权的基本思想(有权删除个人数据)是个人希望更好地控制他们的个人数据的一个表现。大规模公众呼吁和拥有更多控制的希望,表明数据主体担心他们留下的数字痕迹,而且仍然希望忘记作为一个有效和有价值的社会规范。但是,这种社会规范单独不能对市场主体和和数据控制者形成约束。
互联网正在从一个几乎完全"免费"的网络演变成一个商业环境。个人数据已经成为主要商品。对数据的需求和现代科技无限的数据收集能力,造成数据使用者和数据主体之间力量的偏移。在互联网上,后者对前者几乎没有对抗能力。
即使一个人知道他或她的数据被收集或使用,通常也没有办法阻止这种行为。欧盟数据保护指令中通知和删除的规定可能能够使数据使用者将内容撤出公共视野,但通常不会使数据使用者将内容从服务器中删除。公众抗议和很多媒体报道并没有引起改进。市场主体很少对此作出真正的努力,因为他们的商业模式通常依赖于收集和使用个人数据。简而言之,市场上的服务提供商是倾向于反对"忘记"它最有价值的货币。
总之,不能仅仅依靠社会规范和市场来给与个人控制权,因为服务提供商没有足够的市场驱动来给消费者这样的控制。消费者因为缺乏透明性和市场力量也不能改变这种局面。通过在法律中规定遗忘权,可以使数据主体对其个人数据拥有更多的控制权,不仅能作为对不可预见的隐私问题的一种安全保障,而且在大数据时代,企业商业秘密和国家机密可能被大量数据的分析、挖掘泄露,因此遗忘权的建立对于保护企业商业秘密和国家信息安全也是至关重要的。
2.2 遗忘权的法律属性
遗忘权的目的,是赋予数据主体将其不再需要的数据删除,使之不再被处理的权利,其法律属性可以是一种新的隐私权,或者一种新型的财产权。
2.2.1 隐私权
很多学者认为,数字时代的遗忘权源于传统的遗忘权。但是,数字时代的遗忘权和传统的遗忘权是不同的。从根本上讲,传统的遗忘权是基本隐私权的一部分(欧盟基本权利宪章第七条)。而数字时代的遗忘权是保护个人数据的一个方面(欧盟基本权利宪章第八条):它根本上涉及的是通过适当的个人数据控制机制创建和维护一个合理水平的信息隐私。
欧盟基本权利宪章明确指出:"每个人都有权保护有关他或她的个人信息。"欧洲认为隐私是一个基于尊严的人格权利,它是一种人身权,而不是财产权。
换句话说,欧洲人认为隐私是必要的个人尊严,尽管美国人将隐私视为自由。因此,控制一个人的个人数据类似于控制权衡一个人的身份的权利。欧洲还区分"信息隐私"和"个人隐私",前者是指控制使用个人信息的权利,后者是一个涉及尊严的概念,基于欧洲人权公约保护。
隐私利益在欧洲被认为是一个基础性的权利,他们能够成为反对一个人信息传播的理由。
这种区别也反映在另一个方面:传统的遗忘权往往被运用来对抗主流媒体(如报纸,新闻广播等等)对公众人物的私人生活的不正当侵犯,数字时代的遗忘权却没有这样的传统和内涵。在公共网站上发布轻率的或不适当的图像、视频或评论的人可能会因此很长一段时间陷入困境,即使没有任何主流媒体参与策划或进行特别的关注。因为他或她的名字通过网络搜索引擎链接到这些材料,就足够造成严重的尴尬、歧视或伤害。因此,数字时代的遗忘权是为解决此类问题产生的。
在某些公共政策领域,遗忘不仅被认为是可接受的、对社会有益的,甚至被认为是至关重要的。在刑法中,轻微违法的人通常一段时间后可以消除官方记录,像许多未成年人犯罪。理由很简单:年轻的判断错误和轻微违规行为并不能阻碍一个人未来重新融入到社会中。在某种程度上,在官方记录上擦除小概率事件,不保留公开的记录,能使犯罪者在就业市场或在其他社会领域获得第二次机会。
以此看来,期待中的遗忘已经在某些背景下进行了规定,通过法律管理官方记录的维护和定期清除。基于隐私法或人格权利,法律不仅应用于公共记录的情况,还已经应用于其他记忆的情况。这种情况经常是,暂时进入了公众的关注的人,发现自己无法摆脱不想要的关注时,行使这种权利。在法国,这样的人的主张被称为行使遗忘权。
遗忘权主要应用在一个人的过去被不情愿地暴露在公众面前时,被暴露的主体认为这违反了他的基本隐私或者人格权利,且没有牵涉任何合法的公共利益。当然,隐私仍然是一个受到严重争议的概念,许多学者都提出了自己理解的隐私意义和范围。欧洲过去的判例法对隐私和言论自由之间的冲突,主要考虑因素包括牵涉的公共利益、涉及的人的声誉、他/她的先前行为,发布的内容,形式和后果。
在美国,与遗忘权最为类似的权利应该是 1974 年的隐私法案。该法案控制联邦机构必须如何对待个人身份信息。特别是禁止政府未经个人同意披露其个人信息,同时个人有权访问关于他们自己的记录,并在有错误的时候进行更改。但是隐私法案只适用于联邦政府机构,而不适用于像谷歌一样的私人公司。
2.2.2 财产权
在美国,对于隐私的保护较弱,它更重视言论自由、市场自由等价值。因此,在美国,通过制定一种财产制度来保护数据隐私更加现实。尽管美国和欧盟都没有建立财产制度来达到隐私保护的目的。美国法律和欧盟法律都不认为数据主体对自己的个人数据拥有财产利益。
在数据处理过程中隐私被侵害时,消费者只能通过一些责任规定来索赔。在美国,这些"责任规定"都只是基于普通的侵权法、合同法或针对特定主体的法规(如视频保护隐私法案,只针对泄露消费者隐私的视频租赁公司)。尽管数据隐私通过责任规定保护,处理个人数据的公司越来越多地把个人数据当作一种商品。公司从消费者收集信息(通常作为销售货物或服务的交换条件),进行编译,甚至经常出售这些数据集给其他公司。
美国法庭也偶尔承认数据作为一种财产,但只是在它被一个公司收集之后。而财产法律制度的发展正是法律实用主义的一个有效例证:尽管法律哲学家研究的是财产存在的规范理由,但实际的财产权体现了了在特定社会中出现的某种实践需要。财产概念的一个显著特征就表现为其易变性。财产权的演化具有灵活性和动态性,涉及不同的客体和权利种类,而且它们随着时空的变化而变化,并由社会经济现实所决定。
财产权所包含的客体范围并非静态的,当然也可以包括个人数据。即使当前没有认可某种客体上存在财产权,但这不意味着这种情况将来不会改变。知识产权的例子表明了财产演化的另一种趋势--非物质化。作为非物质化的结果,财产权从与有形物体有关的权利转变为包括无形物体的权利,像商业秘密等,以及在网络世界中构成虚拟客体的数据节等信息。
关于财产权新客体的争论经常意味着在某个领域寻求新的管理方案,而不是单纯地是争论某一客体可不可以成为财产权的客体。不论这些争论的参与者是否认识到了这一点,他们谈论财产权都是以之作为实现管理目标的法律手段。财产权的客体并非只是随着时间的变化而变化,而且还会因司法管辖区的不同而不同。同样的物品在一国被视为财产,而在另一国可能就不属于财产。一个例子就是所谓的"虚拟财产"--网络空间中的商品,包括与现实世界物品等同的虚拟物品、社交网站账号等。目前,在韩国和中国的台湾和香港地区,网络资源被明确赋予财产权保护,但是在美国和欧洲地区,对虚拟财产的法律认可尚还处于争议之中。
只要财产权是由国家负责保护和执行,那么财产的种类和客体就具有政治性,因此其也就由特定国家的政治环境所决定。总之,法律上财产的概念是非常灵活的。因此,法律上财产的本质决定,如果当前的法律制度需要,并且符合政治意志,财产权可以转变为其客体包含个人数据在内。
主张个人数据财产化的观点大部分是由普通法学者提出来的。普通法上的财产概念更具有灵活性,对于接受新客体和财产权种类也更加开放。而基于旧有模式的大陆法,对于财产概念则显得更为保守。但是现代欧洲财产法的研究表明,某些大陆法体系正在逐渐适应普通法财产中的一部分因素,因而对个人数据财产化的观点变得更为开放了。
2. 3 数据保护指令中的遗忘权
欧盟的数据保护条例提案第 1 条提到,其目的是保护个人的基本权利和自由,尤其是他们的数据保护权利。所以,欧盟数字时代的遗忘权是欧洲数据保护法律框架的一部分,在个人数据处理和流动时,为公民提供更大程度地控制他们的个人数据可用性的法律依据。欧盟 1995 年的数据保护指令在一定程度上已经呈现了一种遗忘权。
数据保护指令中的适当性原则也能达到与遗忘权相似的效果。适当性原则贯穿数据保护指令,但关于遗忘权的时间要素方面,最清楚的是第 6 条 1 款(e)项:个人数据"以能够识别数据主体的形式保存,不得超过为数据收集的目的或进一步处理目的的必要时间".第 6 条 1 款(d)项规定"不准确或不完整的数据,考虑到他们收集或进一步处理的目的,应该删除或纠正".总的来说,这些规则要求数据控制者,在个人数据不再为数据处理的合法目的需要时删除。实际上,这种义务可以认为是创建了一个被动的遗忘权,以数据控制者证明责任的形式:如果他们不能提供保留个人数据的合法理由,他们需要删除这些个人数据。
然而,这种被动权利的重要性不能高估:在实践中,这一规则的可执行性非常小。此外,数据控制者有一个显著的优势,决定个人数据保留多长时间仍然是为合法目的服务。例如,社交网络运营商,可能会说无限期地保留其用户提供的所有个人数据都是合法的,因为它属于社交网络的合法目的。
更积极的权利框架,在一定程度上体现在现有的数据主体的权利。数据保护指令第 12 条(a)款允许数据主体要求数据控制者说明哪些与他们有关的个人资料在被处理。第 12 条(b)款规定每个数据主体可以"从控制者获得删除或屏蔽数据"的权利。但是这个条款的适用范围很有限,因为仅适用于"当处理不符合本指令的规定,特别是因为数据的不完整或不准确的本质。"比如,数据存储超过合理的期限。第 12 条(c)款规定,数据控制者必须"通知数据已经传播到的第三方,数据主体的修改、删除或屏蔽请求,除非这是不可能的或需要不成比例的付出。"随后第 14 条,为数据主体提供了一个拒绝数据处理的权利,但也有一个有限的范围。这个条款只要求成员国制定国内法时至少提供在第 7 条(e)款和(f)款的情况下拒绝数据处理的权利,第 7 条(e)款规定的是为公共利益的需要进行的数据处理,(f)款规定的是为数据控制者的合法利益需要进行的数据处理。这意味着成员国在第 7 条(a)-(d)款规定的数据处理的情况下,即数据主体已经明确同意的数据处理,执行合同必要的数据处理,依法律义务的数据处理或为保护数据主体重要利益的数据处理,没有义务引入一个"拒绝权".然而,第 14 条(b)款规定,如果数据将被用于直接商业目的或与第三方共享,个人有权拒绝数据处理而无需提供任何理由。
欧盟数据保护条例提案中的遗忘权,从目的上来说不同于传统的隐私权,为个人尊严和人格提供保护,而是一种新型的数据保护权利,兼具人格权和财产权的属性。其采用了一种类似于财产保护的制度,但也没有明确将个人数据财产化,而且财产化个人数据也存在很多问题。欧盟的遗忘权应该是属于其数据保护框架的一部分,其目的给个人提供一种保护其个人数据的权利。
