数据被遗忘权的权利内容、属性及案例,行政法论文

数据被遗忘权的权利内容、属性及案例,行政法论文摘要：在网络化时代，互联网的发展使得人们的生活日新月异，互通分享的机制使得信息的公开成为了人们的生活常态。数据被遗忘权是数据主体在特定情形下删除不及时、无关或不再相关的个人数据的权利。该权利既具有物权属性，也具有人格权属性,“中国被遗忘权第一案〞引发了对该权利必要性与正当性的思考，从数据被遗忘权的一般规定、个人信息处理规则以及十分规定提出部分立法建议。本文关键词语:数据被遗忘权:个人信息保卫，R;在网络化时代，数据主体在互联网上留下的个人印迹或者与其他数据主体的结合信息很容易被其他数据主体或者数据控制者私自占有、使用、收益和处分，此时需要一种新型民事权利来对数据主体的合法权益加以维护。欧盟法院于2020年5月13日作出了“谷歌诉冈萨雷斯被遗忘权案〞这一案件的判决,数据被遗忘权这项新型民事权利正式问世。2021年5月25日致力于保卫数据主体的相关数据权利和规制市场的(一般数据保卫条例〕〔GeneralDataProtectionRegulation，后文称R〕正式生效，数据被遗忘权规定于华而不实。当前，我们国家的(中国个人信息保卫法〕尚在制定中，对数据被遗忘权的探究也逐步开场系统化。该权利的详细内容是什么？怎样界定其权利属性？我们国家数据被遗忘权第一案“任甲玉与百度公司声誉权纠纷案〞遭到司法否决的原因[1]为何？我们国家立法究竟该怎样应对？本文试对这些问题展开研究，期冀推动正在制定的(中国个人信息保卫法〕关于数据被遗忘权的立法研究的深化。一、数据被遗忘权的权利内容数据被遗忘权是指数据主体在特定情形下要求数据控制者无障碍地、及时地删除不适当、无关或不再相关的合法颁布的个人数据以及与多个数据主体的共有数据中的本身数据部分的权利。在网络化时代，海量的数字化记忆唾手可得，但同样庞大的数据主体不得不面对的是个人数据的泄露以及丧失支配个人数据的主动权的难题。近年来国外“数据威胁〞事件层出不穷，比方五角大楼配置错误泄露信息案件、Uber大规模数据泄露案件、美国信誉机构Equifax遭入侵用户信息泄露事件无一不在讲明，大数据时代的到来在带给人们生活和工作便利的同时，潜在的隐私和安全问题也日渐凸显[2]。在我们国家，此类事件也屡见不鲜，甚至有了成熟的倒卖数据产业链。作为维护数据主体隐私、声誉以及生活安定的重要权利，数据被遗忘权诞生的必要性不言而喻。〔一〕个人数据的特征数据被遗忘权的客体是个人数据，具有特殊的身份辨别功能。认定海量数据中哪些属于个人数据，需要知足如下特征。1.构造化构造化数据为计算机用语，指存储在数据库里，能够用二维表构造来逻辑表示出实现的关系模型数据。在处理构造化数据时，并不只是单单的一个数据，而是一个数据集合体，那么作为数据群这个大集合中的数据元素，互相之间必然应存在某种密切的联络，个人数据群中的单元同样如此。个人信息的冗杂使个人数据的多样性得以呈现，将其构造化便是对其进行合理组织与布局，使其以适当的方式构成一定的组织规律，通过该规律能够对个人数据做出快速且准确的定位。数据主体将个人数据以及共有数据的个人部分构造化是准确处分个人数据并将其提供应数据控制者的前提条件，相应地也是“遗忘〞的必要的前提条件。若省去这一步，冗杂的数据池足够使数据主体眼花缭乱，错误百出。2.独特化独特化是指单独具有、与众不同。个人数据在一定程度上能够被称为个人身份，独特性应是其最根本的特点。维特根斯坦曾在研究怎样成为一个“形而上学的自我〞中提出“我便是世界〞这样的哲学观点[3]。那么，在个人数据这个纷繁复杂的世界中，每个人又可独立出一个小世界，这个世界便是每个人所特有的。假如讲个人数据的构造化是数据内部的关系性与作用性具体表现出，独特化便是数据外部的互相独立性具体表现出。数据主体将提供的个人数据以及共有数据的个人部分独特化是精准处分的必要的前提条件。3.机读化机读化，是指以代码形式和特定构造记录在计算机存储载体上使计算机能够辨别处理。在产业构造由制造经济向信息经济转化的网络化时代下，机读化极大地优化了个人数据的呈现方式，为数据主体便捷地通过网络判定能否应当行使被遗忘权以及何时行使被遗忘权提供了有利条件。〔二〕行使数据被遗忘权的特定情形数据主体能否应当行使被遗忘权？何时行使被遗忘权？厘清这些问题对于界定数据被遗忘权的权利内容有着重要的作用。尚在制定中的(中国个人信息保卫法〕〔草案〕汲取了R以及(网络安全保卫法〕等数据立法的精华要髓并结合司法实践经历体验规定了数据被遗忘权的适用情形，该适用情形大致分为两类：一类是数据主体主动对其个人数据行使所有权；一类是基于数据控制者的违法或者违约行为使得数据主体被动地选择“遗忘〞。R在规定数据被遗忘权的同时也规定了限制这一权利的几种情形，如为了信息自由或言论自由，为了遵守欧盟或成员国的法律，为了公共利益或被委托行使公权利时，为了公共卫生领域的公共利益，出于公共利益的存档目的、科学或历史研究目的或统计目的等。(中国个人信息保卫法〕〔草案〕同样也规定了“法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息〞的限制情形。从条文的规定来看，这几种情形能够分成两个部分：一部分是基于公共利益的权衡所设置的情形；一部分属于技术难题所设置的情形。数据具有双重角色，既是个人权利和尊严的具体表现出，又是具有经济价值的资源。信息流动能够提高生产效率，保证数据的合理流动是信息保卫法的立法目的。为了平衡两种价值目的，不管是R，还是(个人信息保卫法〕〔草案〕都规定了数据被遗忘权的适用情形与例外情形，既不因信息流动损害数据主体的“遗忘〞权益，也不因过于保卫其权益而丧失推动网络经济发展的时机。因而，准确把握数据被遗忘权的权利内容对于我们国家数据立法具有重要的理论意义和实践价值。二、数据被遗忘权的权利属性〔一〕数据被遗忘权具备人格权属性民法上的人格权是指权利主体所享有的各种各样的详细人格权和由于人身自由和人格尊严而产生的一般人格权[4]。(民法典〕将人格权独立成编，是对宪法保障人权原则的详细落实，也是对民法人格自由、人格尊严保卫的深化，利于促进隐私权和个人信息的司法保卫。R在第一章一般规定中的主题与目的中就提出了：“本法保卫自然人的基本权利和自由，尤其是自然人的个人数据保卫权。〞在R所规定的六种情形下保证数据主体的“自由遗忘〞便是出于对数据主体人格尊严的保卫。固然部分商业信息以及数据库的数据信息确实具备财产属性，世贸组织的(知识产权协定〕将商业机密纳入了财产权的保卫范围，欧盟的相关法律也规定应当投入大量财力来保卫数据库[5]，但数据被遗忘权与其他财产权明显的不同点是其具有极强的人身依附性和辨别性，既不能转让继承也不能从中获得直接的经济利益，故数据被遗忘权是人格权。那么数据被遗忘权作为人格权究竟该侧重保卫什么人格利益呢？(民法典〕将被遗忘权的权利内容规定到了人格权编的“隐私权与个人信息权〞中，这具体表现出了立法者的立法态度，即侧重保卫的人格利益为“隐私〞。美国法学家布兰蒂斯和沃伦在1890年第四期的(哈fo法学评论〕发表论文，初次将隐私权作为一个法律概念提出，而在这里之前法国法官已援引(法国民法典〕相关规定审理了部分侵犯隐私利益的案件。在我们国家，学术界对于“隐私权〞的概念也没有达成一致的共鸣。笔者较为赞成杨立新教授的观点：“隐私权是由信息私密、活动私人和空间私立的与公共利益无涉的私生活安定这一权利主体自主进行支配和控制的权利，不受别人侵犯、打搅的详细人格权。〞[6]网络化时代中的个人隐私应被以为是传统隐私的延伸，是从私人个体和生活不被打搅到个人信息和私人空间的自我选择的转变。享有了数据被遗忘权，数据主体便享有了自主选择、自由分辨“遗忘数据〞的基本保障，便拥有了当今保持互联网经济发展和保障公民信息、公众知情权和个人隐私权动态平衡的一剂良药[7]。立足网络化时代，数据已成为界定一个人网络属性的细胞，它早已不再是“身外之物〞。数据主体自然拥有相当一部分个人数据不希望被任何其他数据主体知晓或者不希望被大范围公开，这便成为了数据隐私的组成部分。〔二〕数据被遗忘权具备物权属性民法上的物，是指存在于人身以外,能够被民事主体所支配和利用，并能知足人类生活需要，具有财产利益的一部分的物质财富。数据信息显然吻合上述特征[8]，理应成为物权法律关系的客体。R第十七条的规定指出：“数据主体有权要求控制者无不当延误地删除与其有关的个人数据〞“假如控制者已将个人数据公开，并且根据第1款有义务删除这些个人数据，控制者在考虑现有技术及施行成本后，应当采取合理步骤，包括技术措施，通知正在处理个人数据的控制者，数据主体已经要求这些控制者删除该个人数据的任何链接、副本或复制件〞。笔者以为欧盟已默认将个人数据作为“物〞，并赋予数据主体支配权、对世权，能够不经别人控制支配自个的个人数据，而“遗忘〞便是行使该项权利的处分方式。当然，数据被遗忘权也会遭到一定的限制。R并没有赋予数据主体完好的自由交易权，而是在传统财产权框架之下又提出了部分限制性条件。如“为了行使言论和信息自由的权利，为了遵守需要由控制者所受制的欧盟或成员国法律处理的法定义务，或为了公共利益或在行使被授予控制者的官方权限时执行的任务〞。所以，数据主体还应必须遵守严格的限制性规定，不能完全将个人数据作为普通的物进行处分。三、“中国被遗忘权第一案———任甲玉案〞评析〔一〕案情简介任甲玉是一名管理学领域的工作者，曾于2020年7月1日起在无锡陶氏生物科技有限公司从事教育工作，在工作四个月后于11月26日解除与陶氏教育的劳动关系。从2021年起，任甲玉陆续在百度的网站中发现“陶氏教育任甲玉〞“无锡陶氏教育任甲玉〞等内容。陶氏教育的名声在业内颇有争议，故任甲玉以为该内容严重影响了自个的声誉。任甲玉表示自个已经与陶氏解除劳动关系，不应在其名字之前冠以陶氏，故要求百度删除相关内容与链接，但是百度在任甲玉的多封邮件催促之下并未行使删除或者停止侵权的举措。任甲玉以百度公司侵犯其声誉权、姓名权、“被遗忘权〞等权利为由将百度公司诉上法院。该案件发生时，我们国家法律尚未将“被遗忘权〞纳入立法，故本案又被称为“中国被遗忘权第一案〞。〔二〕案例评析该案件最终以一审、二审法院驳回任甲玉的诉讼请求结案。正如一审、二审讯决所言，固然该权利在欧盟法院通过判决正式予以确立，同时在我们国家学术界内对此进行讨论研究，但是我们国家并没有法律明文规定这一权利类型。本案中任甲玉主张从一般人格权的角度对被遗忘权进行保卫，就需要证明该权利具有保卫的必要性及其正当性。在本案中，百度公司能否侵犯了任甲玉一般人格权中的“被遗忘权〞？这一问题归根结底是在为“数据被遗忘权〞寻找其应正当存在的理由。科尔曼曾讲：“从本质上看,‘权利’存在于社会共鸣之中,即只要人们就权利能否存在构成一致肯定意见,权利才能存在。〞[9]故欲作为新型民事权利调整介入网络关系的数据主体的权利义务关系，数据被遗忘权需要存在于社会共鸣中，其保卫的客体价值足以获得正常理性人的认可。笔者以为，数据被遗忘权的存在是必要且正当的。信息革命的深切进入使大数据的“持久记忆〞逐步演变成使用网络的痛点，数据主体普遍想要将对己不利的个人数据“遗忘〞。我们国家互联网产业发展伊始，网络服务者所提供的大量免费商业服务以数据主体的个人数据被网络服务提供者获取为代价。在本案中，任甲玉在陶氏教育初期可能是为了提升知名度将个人信息相关内容与链接挂在了网页上，但其仅仅在陶氏工作了几个月便解除劳动合同，使得社会评价度不高的陶氏成为其不愿提起的过去的“记忆〞。百度公司的相关搜索固然没有人工干涉的成分，但这种结果不合理地将任甲玉与一些不良名声联络在一起，既是对其人格利益的损害，又是对其他消费者选择教育机构的知情权的一种损害，故数据被遗忘权具有存在的必要性。如前文所述，数据主体进行“遗忘〞的对象是不恰当的、过时的数据，这些数据并不能对数据主体的身份进行精准的定位，具有负面性的过时数据反而会对数据主体的声誉、荣誉等详细人格权造成一定程度的损害，故引入数据被遗忘权能够赋予数据主体对负面信息的控制能力，同时也遏制了具有不当动机的网络服务提供者通过删除链接、去除评论甚至招徕“网络水军〞刷好评等方式，有偿让不利评价“消失〞于网络的完好产业链的构成[10]，很好地净化了网络风气，保卫了数据主体相应的人格权与人格利益，故数据被遗忘权具有存在的正当性。为规范数据收集使用行为，维护个人数据保卫的基本权利，R在数据权利的适用范围、数据使用、数据主体权利、数据控制者和处理者责任义务、数据监管,以及法律责任等方面都作出了具体的规定。笔者以为R的详细立法规定对于(中国个人信息保卫法〕的立法具有明确的指引方向。当前(中国个人信息保卫法〕〔草案〕第四章第四十七条明确规定：“有以下情形之一的，个人信息处理者应当主动或者根据个人的请求，删除个人信息：(一)约定的保存期限已届满或者处理目的已实现；(二)个人信息处理者停止提供产品或者服务；(三)个人撤回同意；(四)个人信息处理者违背法律、行政法规或者违背约定处理个人信息；(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，信息处理者应当停止处理个人信息。〞该条规定了数据被遗忘权的适用情形与限制情形。笔者以为，对于该权利的规定还应予以完善。当前，(中国个人信息保卫法〕〔草案〕第四章个人信息处理活动权利包括第44—第49条，分别规定了数据知情权、数据访问权、数据擦除更正权、数据被遗忘权、个人信息处理规则知情权以及数据受理请求权。数据权利化能够令数据主体最大限度地实现数据权益保卫进而真正实现个人信息保卫立法的价值目的，故(中国个人信息保卫法〕需在第四章作出更为细致的规定，如实行各项重要数据权利设章，章下设节等立法技术操作。笔者单从数据被遗忘权单独设章谈述制度设想。该章应设三节，分别为一般规定节、个人信息处理规则节、数据被遗忘权的十分规定节。在实行个人信息保卫法的初期，为了使人们准确理解数据被遗忘权的精神本质和内容，来保证该法的准确性，真正到达网络化时代立法预期的效果，还可制定相关司法解释。〔一〕一般规定节部分条款设想第一节一般规定应在总则编的立法精神指引下，对于数据被遗忘权的数据主体、数据相对方———即网络服务提供者的总体的权利和义务进行较为系统化的规定。在实践中，个人数据经常性地被商业主体〔部分网络服务提供者〕收集、处理、加工、集聚构成一种经营性资产，而对这些数据的争相利用既有可能违犯数据主体的意志，也有可能为某些领域留下不正当竞争的潜在可能。因而，在个人数据保卫法律框架下，R提出的“被遗忘权〞是欧洲个人数据保卫中“本人数据自决〞理念的延续，相比于数据主体的访问权(rightofaccess)下数据控制者(如银行)提供纸质的或无搜索功能的数据查询服务[11]，被遗忘权更多地是赋予数据主体能够要求网络服务提供者将本人的构造化数据进行删除与遗忘的权利，进而提高个人数据资产在大数据经济中的活泼踊跃度，使本身在网络化时代处于主动地位，改善未经数据主体许可而对其数据进行自由利用，直接或者间接损害数据主体声誉等人格权或者人格利益的情形。我们国家立法应对网络服务提供者的义务条文进行完善，使其扮演好“守门人〞的角色。如可作出如下规定：数据主体行使数据被遗忘权时能够要求网络服务提供者提供必要通道、空间以及技术资源接收数据和处理数据，技术上难以实现的除外。在一般规定中，还需要就数据被遗忘权中公共利益与个人权利的冲突进行分析。R的第17条规定了数据被遗忘权的限制情形：“在为了公共利益或被委托行使公权利时、为了公共卫生领域的公共利益、出于公共利益的存档目的、科学或历史研究目的或统计目的的情形下，该项权利将不再适用。〞很明显，欧盟成认公共利益的存在，并将公共利益本位论贯彻到R的相关规定中，这与我们国家的立法精神不谋而合。以(民法典〕为例，在“保卫民事主体的合法权益，调整民事关系〞之外，专门强调了“维护社会和经济秩序，适应中华特点社会发展要求，弘扬社会核心价值观〞，即(民法典〕的立法目的就是要确认、保障和维护公共利益，明确公共利益先于个人权利。第117条又确认，“为了公共利益的需要，按照法律规定的权限和程序征收、征用不动产或者动产的，应当给予公平、合理的补偿〞。该条协调了公共利益与个人权利之间的冲突关系。这样的立法思想同样也具体表现出在了我们国家的(宪法〕中，地位至高[12]。在利益位阶上，(中国个人信息保卫法〕应当成认公共利益的优先性。当然，正如美国现代着名国际法学家、人权法学家路易斯·亨金所讲“在特定的时间和特定的环境下，每项权利实际上都可能让步于某种公共利益〞，但“假如这种平衡的到达乃是通过忽视个人权利或者过分强调公共利益来实现的话，那么我们就违犯了忠于诸宪政原则的许诺〞[13]。我们国家(宪法〕第10条规定：“国家为了公共利益的需要，能够按照法律规定对公民的私有财产实行征收或者征用给予补偿。〞因而，公共利益的优先性应当遵循公平、合理补偿的原则。因而，借鉴欧盟立法，结合我们国家立法实践可作出如下规定：“在基于公共利益或官方受权的执行任务以及损害别人正常行使数据被遗忘权的情况下，数据主体的该项权利将不再适用。国家为了公共利益需要获取数据主体欲行使遗忘权的个人数据时应给予数据主体补偿。〞〔二〕个人信息处理规则节部分条款设想个人信息处理规则是数据主体行使数据被遗忘权需要遵守的规范，是网络服务提供者为数据主体明示的个人数据的去向指示。中国的个人信息处理规则存在四个特征：一是强调“告知-同意〞；二是区分不同类型的个人信息；三是区分不同的个人信息处理行为；四是区分不同的个人信息处理者。这四个特征中，“告知-同意〞作为个人信息处理的基本规则，本质上是为了维护人格尊严和人身自由。因而，确立个人信息处理规则是数据主体行使数据被遗忘权的前提条件。在网络化时代，网络服务提供者必须提供良好透明的网络信息环境以便数据主体随时能够登录、访问自个的数据来进行接收与处理[14]。在“Facebook数据泄露〞事件中，始作俑者科辛斯基和史迪威尔意识到海量行为数据建模能够精准地预测用户性别、年龄、职业、家庭状况、性取向、政治倾向、购买意愿等个人数据，得到该结论的手段是通过第三方APP获取Facebook的用户数据，看似以科研为目的，实则或无意或有意为广告商们开拓了一个崭新的思路，即行为广告的产生带来的利益是非常可观的。部分用户对于行为广告可能持肯定的态度，肯定其为自个带来的生活上的便利，但是也有大部分用户对于在未经过自个同意或未明晰较为模糊的个人信息处理规则无法进行数据遗忘的情况而感到愤怒与恐慌。因而针对该项权利，笔者设想出如下规定：“数据主体对个人信息处理规则有知情权。网络服务提供者应当进行解释和讲明。〞〔三〕数据被遗忘权十分规定节部分条款设想R概括和明确了对“个人数据〞的定义：但凡用作个人身份辨别的独立数据或者能够实现对特定个人身份辨别的数据集合，都属于“个人数据〞。这打破了传统视野下的“个人数据〞认识观，使数据被遗忘权“遗忘〞的数据范围得以丰富。那么该节便可对数据主体的个人数据牵涉到的一些特殊领域做出十分规定，例如，个人数据牵涉到着作权、专利权、商标权等相关权利时，应明确：“数据主体行使数据被遗忘权时不得侵犯着作权法、专利法以及商标法保卫的客体，严格禁止对个人数据的滥用。〞在跨境数据传输的问题上，数据被遗忘权相关规则应该与国际贸易投资战略相协调。数据传输牵涉“权利经济化〞的问题，需要遭到数据本地化和隐私权监管等限制。当前(中国个人信息保卫法〕〔草案〕其他章节对于跨境传输的限制固然外表上较为严格，但网信部门的安全评估豁免权可能使跨境信息流动实际上愈加自由。基于利益协调的考虑，笔者提出完善建议：第一，将维护数据安全作为基本要求，在数据安全条件下进行“遗忘〞，避免数据侵权事件频发；第二，重视双边投资协定，提出定制化的解决方案，避免“多国一规则〞的僵化局面，真正使数据被遗忘权发挥其应