大數(shù)據(jù)時代個人信息被遺忘權(quán)法理辨析
——基于歐美隱私自主與言論自由博弈視角

劉利平

(澳門科技大學(xué) 法學(xué)院，澳門 999078；鹽城師范學(xué)院 法政學(xué)院，江蘇 鹽城 224007)

“個人信息被遺忘權(quán)”(personal data right to erasure or right to be forgotten)的概念最早見歐盟《關(guān)于涉及個人信息處理的個人保護以及此類數(shù)據(jù)自由流動的第2012/72號草案》(簡稱《GDPR草案》)。該文件附件四對“個人信息被遺忘權(quán)”定義如下：“被遺忘權(quán)是指公民在其個人數(shù)據(jù)信息不再有合法之需時，有要求將其刪除或不再使用的權(quán)利，如當(dāng)時使用其數(shù)據(jù)信息是基于該公民的同意，而此時他/她撤回同意或存儲期限已到，則其可以要求刪除或不再使用該數(shù)據(jù)信息?！盵1]雖然“個人信息被遺忘權(quán)”的提出引發(fā)了主張隱私自主與言論自由陣營的激烈辯論，但歐盟并沒有停止進(jìn)一步確立“個人信息被遺忘權(quán)”的步伐，2014年歐盟通過“馬里奧·考斯特加·岡薩雷斯(Mario Costeja Gonzalez)訴谷歌(Google)公司被遺忘權(quán)案”(簡稱“岡薩雷斯訴谷歌公司案”)使“個人信息被遺忘權(quán)”成為一項在司法實務(wù)中具有可操作性的民事權(quán)利[2]。歐洲議會和歐盟理事會2016年4月27日公布并于2018年5月25日在歐盟成員國生效實施的《關(guān)于涉及個人信息處理的自然人保護和此類信息自由流動以及廢除歐共體95/46號指令的第2016/679號條例》(《通用數(shù)據(jù)保護條例》簡稱《GDPR條例》)第17條具體規(guī)定了“個人信息被遺忘權(quán)”及其行使條件[3]。2016年4月27日公布的《關(guān)于有權(quán)機構(gòu)在預(yù)防、調(diào)查、偵查或者批捕犯罪嫌疑人或者執(zhí)行刑事處罰中涉及個人信息處理的自然人保護和有關(guān)信息自由流動以及廢除歐盟委員會2008/977/JHA框架決定的第2016/680號指令》(簡稱《2016/680號指令》)第16條也對“個人信息被遺忘權(quán)”作了明確規(guī)定[4]。然而，與歐盟對個人信息權(quán)保護日趨嚴(yán)苛形成鮮明對比的是“個人信息被遺忘權(quán)”在美國卻舉步維艱。因為“個人信息被遺忘權(quán)”與美國憲法第一修正案第一條相悖，該條所規(guī)定的“國會不得制定剝奪言論自由或出版自由的法律”直接制約著“個人信息被遺忘權(quán)”的制度空間，因而美國并未將“個人信息被遺忘權(quán)”認(rèn)同為普遍法律權(quán)利，只是在部分州或者針對特定群體實踐了“個人信息被遺忘權(quán)”?？梢?，歐美“個人信息被遺忘權(quán)”的不同境況與隱私保護至上或言論自由至上的法理邏輯取向一脈相承。

一、歐美“個人信息被遺忘權(quán)”法理邏輯的歷史考察

“被遺忘權(quán)”最早可追溯到20世紀(jì)70年代法國的“忘卻權(quán)”，此權(quán)利主要用于保障犯罪人服刑完畢后回歸社會的利益，罪犯在刑滿釋放后應(yīng)當(dāng)享有免于公開其罪行以及監(jiān)禁情況的權(quán)利。隨著互聯(lián)網(wǎng)時代的到來，此項權(quán)利逐漸擴大至對個人信息的保護。歐盟“個人信息被遺忘權(quán)”立法肇始于1995年7月24日歐盟部長會議制定的《關(guān)于涉及個人信息處理的個人保護以及此類信息自由流動的第95/46號指令》(簡稱《個人信息保護指令》)[5]。雖然《個人信息保護指令》中沒有明確提出“被遺忘權(quán)”的概念，但該指令第12(b)條規(guī)定了在信息處理不符合指令的規(guī)定時，特別是信息不完整或者不準(zhǔn)確時，成員國應(yīng)當(dāng)保證信息主體能從信息控制者處獲得對信息的修改、刪除或者屏蔽的信息。《個人信息保護指令》第14條規(guī)定“信息主體的拒絕權(quán)”時，明確了信息主體除非在國內(nèi)立法另有規(guī)定的情況下，否則隨時有權(quán)根據(jù)其自身特定情況以正當(dāng)理由拒絕信息控制者對其相關(guān)信息的處理，有權(quán)經(jīng)要求且無須支付任何費用拒絕信息控制者旨在用于直銷目的與信息主體相關(guān)的信息處理，或者在個人信息首次向第三方披露以及在代表第三方為直銷目的而使用之前，信息主體享有被告知的權(quán)利。而且該指令第26(1)(a)條還明確規(guī)定，在向未能對個人信息提供充分保護水平的非歐盟第三國單次轉(zhuǎn)移或者多批次轉(zhuǎn)移個人信息時，必須得到信息主體對于將要進(jìn)行的信息轉(zhuǎn)移所作的明示同意。

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，數(shù)據(jù)處理和儲存的方式發(fā)生了翻天覆地的變化，加之其他社會及政治變遷的原因惡化了數(shù)據(jù)保護的境況，信息主體及信息控制者之間的利益不平衡隨之加劇。鑒于《個人信息保護指令》已經(jīng)難以繼續(xù)有效調(diào)整二者的關(guān)系，2012年1月25日歐盟委員會公布了“GDPR草案”，對實施了近17年的《個人信息保護指令》進(jìn)行了修訂，明確提出了“個人信息被遺忘權(quán)”概念。2012年11月歐盟委員會第29屆年會通過的《個人信息處理中的個人保護公約》第8(e)條也對“個人信息被遺忘權(quán)”予以明確[6]?！癎DPR草案”和《個人信息處理中的個人保護公約》明確了“個人信息被遺忘權(quán)”，為司法實踐中保護個人信息奠定了基礎(chǔ)。歐盟在司法上對“個人信息被遺忘權(quán)”的確認(rèn)是通過制裁谷歌公司的不作為而實現(xiàn)的。2014年“岡薩雷斯訴谷歌公司案”以谷歌公司敗訴而告終。該案初審程序中西班牙法院駁回了岡薩雷斯對報社的訴求，理由是報社新聞報道的內(nèi)容屬于新聞自由，支持谷歌公司關(guān)于涉及個人信息保護的訴求。但在上訴程序中歐盟法院最終做出支持岡薩雷斯對谷歌公司訴求的裁決，認(rèn)為信息主體在用自己姓名進(jìn)行網(wǎng)絡(luò)搜索所獲得的信息如果屬于“不足夠、無關(guān)系或已過時”，則有權(quán)要求營運商將搜尋結(jié)果的鏈接予以刪除。該案中盡管谷歌公司聲稱其基于美國新聞及言論自由應(yīng)當(dāng)被豁免，但歐盟法院仍然基于谷歌公司不尊重個人隱私權(quán)而裁定谷歌公司敗訴。該案件爭議的焦點集中于“個人信息被遺忘權(quán)”與言論自由的沖突以及在實踐中的模糊地帶如何澄清，其爭端解決過程中的“反復(fù)”也昭示了歐盟出臺的“個人信息被遺忘權(quán)”制度尚有不夠成熟之處，具體規(guī)定仍然有進(jìn)一步完善的空間。

為了進(jìn)一步明確“個人信息被遺忘權(quán)”的權(quán)利空間及其行使條件，被稱為歐盟史上最嚴(yán)苛信息保護的《GDPR條例》第17條明確規(guī)定，信息控制者在收到信息主體的要求時有義務(wù)刪除與其相關(guān)的個人信息，或者斷開與該信息的鏈接，如果存在信息控制者已經(jīng)公開此類信息的情形，則信息控制者有義務(wù)及時通知相關(guān)第三方刪除此類信息，并且應(yīng)當(dāng)采取包括技術(shù)手段在內(nèi)的合理措施，將信息主體要求刪除的有關(guān)個人信息的鏈接、副本和備份等告知正在處理該個人信息的第三方信息控制者。與《個人信息保護指令》相比，《GDPR條例》的明顯進(jìn)步在于明確賦予信息主體要求回溯刪除個人信息的權(quán)利，強調(diào)了《GDPR條例》具有拘束全體歐盟成員國的效力。不過《GDPR條例》第17條所規(guī)定的“個人信息被遺忘權(quán)”并非不附任何條件的絕對權(quán)利，該權(quán)利的行使必須符合以下條件：一是個人信息對于搜集或處理信息時的目的已經(jīng)不具必要性；二是信息主體撤銷對基于一個或多個具體目的而處理個人信息行為的同意以及撤銷有關(guān)禁止對健康生活、宗教信仰、性取向、基因數(shù)據(jù)等特殊類型個人信息處理的十種例外情形的個人信息處理的同意，并且不存在其他支持個人信息處理的法律依據(jù)；三是信息主體依據(jù)《GDPR條例》第21條(1)行使拒絕權(quán)且信息處理沒有其他更優(yōu)先的法律依據(jù)，或者信息主體拒絕為直銷目的而處理個人信息；四是個人信息被非法處理；五是信息控制者為了遵守歐盟或者成員國法定義務(wù)而不得不刪除個人信息；六是個人信息的搜集涉及“信息社會服務(wù)中兒童同意適用條件”規(guī)定的提供社會服務(wù)信息。同時，《GDPR條例》所規(guī)定的“個人信息被遺忘權(quán)”不適用于下列確有必要的情形：一是行使言論和信息自由權(quán)；二是信息控制者為了遵守歐盟或者成員國法定義務(wù)處理個人信息，或信息控制者為公共利益而履行義務(wù)或者為行使其職務(wù)權(quán)限而進(jìn)行的信息處理；三是為了遵守《GDPR條例》第9條規(guī)定的公共健康領(lǐng)域的公共利益而進(jìn)行的信息處理；四是為了實現(xiàn)公共利益目的、科學(xué)研究及歷史研究目的或者統(tǒng)計目的而進(jìn)行的信息處理，并且對于上述“個人信息被遺忘權(quán)”的行使會導(dǎo)致這些處理的目的變得不可能或者被嚴(yán)重?fù)p害；五是信息處理是為了提起訴訟或者應(yīng)訴之需要。

與《GDPR條例》同日公布的“2016/680號指令”第16條關(guān)于個人信息更正或刪除權(quán)及限制處理的規(guī)定中，對歐盟成員國保障“個人信息被遺忘權(quán)”及其信息控制者的義務(wù)提出了明確要求。當(dāng)信息控制者依據(jù)法定義務(wù)必須刪除個人信息，或者信息處理違反本指令第4條、第8條或第10條時，成員國應(yīng)當(dāng)要求信息控制者毫不延遲地刪除個人信息，并毫不延遲地提供應(yīng)該從信息控制者處獲得有關(guān)他或她個人信息刪除的信息權(quán)利保障。作為刪除個人信息的替代，信息控制者應(yīng)當(dāng)嚴(yán)格遵守信息處理程序：基于證據(jù)目的個人信息必須被保持；或者個人信息的準(zhǔn)確性被信息主體質(zhì)疑，并且其準(zhǔn)確性或不準(zhǔn)確性不能被查明時，當(dāng)依據(jù)該程序?qū)€人信息限制處理時必須事先通知信息主體。成員國應(yīng)當(dāng)規(guī)定信息控制者書面通知信息主體任何有關(guān)拒絕更正或刪除個人信息、或者限制處理的事實及理由。當(dāng)個人信息已經(jīng)被更正或刪除，或者根據(jù)本指令第16條第1、2、3段的規(guī)定已經(jīng)被限制處理，成員國應(yīng)當(dāng)規(guī)定信息控制者必須通知收件人(recipients)，并且收件人應(yīng)該更正或刪除個人信息，或者根據(jù)他們的義務(wù)限制對個人信息的處理。

以上分析表明，《GDPR條例》和《2016/680號指令》所規(guī)定的“個人信息被遺忘權(quán)”盡管十分前衛(wèi)，但仍然較好地關(guān)注了信息主體權(quán)利與信息控制者權(quán)利空間的合理布局，考慮了個人信息保護與言論自由之間的適當(dāng)平衡，對于大數(shù)據(jù)時代個人信息保護與公共利益保護的權(quán)利邊界進(jìn)行了契合實際的界分。

比較而言，美國在“個人信息被遺忘權(quán)”的態(tài)度上比歐盟要保守得多，美國的隱私保護傳統(tǒng)通常將保護個人的“合理隱私期待”成為公共政策的主旨，美國在聯(lián)邦法律層面上并未肯定“個人信息被遺忘權(quán)”。究其原因，一是美國言論自由的價值觀念根深蒂固，隱私權(quán)在與媒體出版自由產(chǎn)生沖突時言論自由總能大獲全勝，隱私權(quán)僅能取得次要地位，從法律依據(jù)上看，言論自由有以美國《聯(lián)邦憲法》第一修正案第一條為統(tǒng)帥的法律體系的強烈捍衛(wèi)，而作為隱私權(quán)延伸權(quán)利的“個人信息被遺忘權(quán)”在遭遇言論自由的沖突時自然勢單力薄。二是依照美國法的思維，對于歐盟個人數(shù)據(jù)保護指令存在兩方面質(zhì)疑，其一是該指令要保護何種利益，個人信息是不是一種財產(chǎn)，其二是如何限制個人信息權(quán)以便與相關(guān)團體利益相調(diào)和。之所以有如此疑問，是因為美國法要求每個人都應(yīng)有自由從他人公開或半公開的信息中搜集數(shù)據(jù)并對此發(fā)表意見的權(quán)利，而且這種搜集與散布并不一定會觸及別人的權(quán)利。與歐洲國家對“個人信息被遺忘權(quán)”的熱衷相反，美國對“個人信息被遺忘權(quán)”態(tài)度冷淡，并沒有普遍性對其進(jìn)行立法的推進(jìn)。如果實踐中發(fā)生個人信息保護方面的糾紛，當(dāng)事人訴諸美國法院的法律依據(jù)主要是《侵權(quán)行為法重述》，其中規(guī)定的侵權(quán)責(zé)任要件十分嚴(yán)格，必須具備可歸責(zé)性、嚴(yán)重侵犯“理性人”公認(rèn)的權(quán)益標(biāo)準(zhǔn)、揭露的內(nèi)容必須是非公眾關(guān)注的信息等條件，而且即使在具備上述條件的情況下進(jìn)入訴訟程序，只要觸碰到言論自由其成功概率仍然較低。所以，在美國聯(lián)邦立法層面尋求“個人信息被遺忘權(quán)”的制度空間顯然存在相當(dāng)大的難度。

盡管美國聯(lián)邦層面沒有通過立法承認(rèn)“個人信息被遺忘權(quán)”，但是已有個別州開始接受“個人信息被遺忘權(quán)”保護的立法傾向，如加利福尼亞州于2013年頒布了第568號法案(亦稱為“橡皮擦法案”)，該法案要求自2015年1月1日起，互聯(lián)網(wǎng)網(wǎng)站運營商、在線服務(wù)商、在線應(yīng)用商或移動應(yīng)用商必須允許未成年人自行刪除或要求其刪除由未成年人自己提供的數(shù)據(jù)信息[7]。該法案適用范圍顯然窄于歐盟的規(guī)定，權(quán)利主體僅限于作為加州居民的未成年人，在內(nèi)容上僅限于未成年人自己提供的信息，但畢竟是美國在“個人信息被遺忘權(quán)”立法上的正式嘗試。

在司法層面引起美國人對“個人信息被遺忘權(quán)”關(guān)注的典型案例是“沃爾夫?qū)の掷?Wolfgang Werlé)及曼弗萊德·勞勃(Manfred Lauber)”案[8]，該案涉及兩名德國兇手在有期徒刑執(zhí)行完畢釋放后，以“個人信息被遺忘權(quán)”為由要求包括維基百科等網(wǎng)站隱匿其姓名，雖然他們在歐洲“大有斬獲”，但在美國也要求比照辦理的企圖沒有實現(xiàn)。具有代表性的“貝爾·斯泰亞特(bev stayart)訴谷歌(Google)公司案”[9]，原告斯泰亞特由于其姓名“bev stayart”輸入谷歌后會連接到“bev stayart levitra”網(wǎng)站，此為廣告治療男性性功能藥物之網(wǎng)站，因而起訴谷歌公司違反威斯康星州關(guān)于在線交易及廣告不當(dāng)使用其姓名而獲取利益的法律，原告在其訴求被駁回后提起上訴，美國第七巡回上訴法院認(rèn)為，威斯康星州雖然承認(rèn)隱私權(quán)，而且也有禁止不當(dāng)使用他人姓名的相關(guān)法律規(guī)定，但法律對此設(shè)定了限制，即只要存在正當(dāng)?shù)墓怖婢碗y以構(gòu)成對隱私的侵害，并且原告亦無法提出谷歌公司在使用其姓名與產(chǎn)生廣告效益間有何實質(zhì)關(guān)聯(lián)，因而維持了原判。2010年末發(fā)生的“哈維·庫爾茨(Harvey Purtz)訴施里尼·華森(Rajesh Srinivasan)案”[10]，原告庫爾茨要求《加利福尼亞日報》從在線檔案庫中刪除關(guān)于他兒子死亡的文章，法官并未支持其訴求，法官認(rèn)為如果其訴求得到支持，將會與允許公眾獲得信息的權(quán)利相沖突?？梢姡绹痉▽嵺`中對“個人信息被遺忘權(quán)”總體上持否定態(tài)度，認(rèn)為已經(jīng)公開的信息不能再回到私密狀態(tài)?！皞€人信息被遺忘權(quán)”旨在通過不再允許信息主體以外的第三人獲取已經(jīng)公開的個人信息，實質(zhì)上是將一定時期內(nèi)的公共信息轉(zhuǎn)向私人信息[11]。美國法庭傾向于支持“個人信息被遺忘權(quán)”對言論自由權(quán)的限制將會導(dǎo)致“膽小和自我審查，并且導(dǎo)致五花八門的鎮(zhèn)壓……”[注]Cox Broadcasting v.Cohn，420 U.S.469，493-496(1975)；Gris-world v.Connnecticut，381 U.S.479，482-486.1965.

盡管美國在保護“個人信息被遺忘權(quán)”的態(tài)度上較為保守，但由于美國和歐盟互為重要貿(mào)易伙伴，美國作為信息產(chǎn)業(yè)大國絕不愿意失去歐洲的個人信息業(yè)務(wù)，迫于歐盟的壓力，美國和歐盟通過談判達(dá)成了旨在打破美歐之間隱私保護壁壘的“安全港框架”(safe-harbor framework)，美國的商業(yè)機構(gòu)只要能夠制定并遵守符合安全港原則的隱私保護政策就可以加入“安全港”，并被認(rèn)定為達(dá)到“指令”所要求的“充分保護水平”，進(jìn)而可以接收和處理來自歐盟的個人數(shù)據(jù)[12]。不過“安全港”在冊的5 500多家美國企業(yè)如有違規(guī)行為則會遭受被要求刪除個人信息以及暫停其身份認(rèn)證等懲罰。由于“安全港”是以行業(yè)自律為主、以行政處罰和法律制裁為輔的一種約束機制，難以達(dá)到歐盟《GDPR條例》保護的新要求，歐盟法院于2015年10月6日宣布?xì)W盟“2000/520號有關(guān)安全港協(xié)議的決定”即告失效，歐盟隨即敦促美國出臺新的“安全港”計劃，否則歐盟將對美國輸出個人信息的業(yè)務(wù)實施全面禁止。2016年7月，美國和歐盟經(jīng)過艱難談判達(dá)成了對歐盟個人信息保障力度明顯大于“安全港”的歐美“隱私盾框架”(Privacy Shield Framework)[13]，要求美國企業(yè)在處理涉及歐盟的個人信息和加強自然人信息權(quán)利保障方面嚴(yán)格履行義務(wù)。

二、歐美“個人信息被遺忘權(quán)”法理邏輯差異的原因分析

首先，歐美對于涉及個人信息隱私權(quán)的屬性是權(quán)利還是自由的認(rèn)識不同。歐洲對個人信息保護的重視有其深刻的歷史根源，“二戰(zhàn)”期間納粹利用國家登記系統(tǒng)掌握了公民廣泛的個人信息，為其屠殺提供了便利，歐洲人對此深為恐懼，所以個人信息保護在歐洲被普遍認(rèn)為是基本人權(quán)有其深刻的歷史原因。事實上，歐洲早在20世紀(jì)50年代就有了隱私及家庭生活權(quán)利保護的相關(guān)規(guī)定，體現(xiàn)在《歐洲人權(quán)公約》第8條的規(guī)定中。2007年的《歐盟基本權(quán)利憲章》第7條也規(guī)定了對隱私及家庭生活的保護，其第8條還明確規(guī)定了對個人信息的保護，并將其確認(rèn)為個人的基本權(quán)利，要求成員國建立行政的、獨立的法律機制來保護個人信息的處理。前述1995年歐盟《個人信息保護指令》中的“信息保護”亦被稱為“e化隱私指令”(e Privacy Directive)，要求成員國從國家層面保護個人信息，并且須經(jīng)過本人同意后才能使用個人信息。正是基于上述立法基礎(chǔ)，才最終促進(jìn)了2016年4月《GDPR條例》的通過。

歐盟個人信息保護立法進(jìn)程表明，歐盟對個人隱私保護推行的是一種“權(quán)利至上”模式的保護方式，歐盟成員國政府都承認(rèn)個人信息權(quán)是公民的一項基本權(quán)利，其中以德國最為典型，德國法律規(guī)定的公民信息自決權(quán)實質(zhì)上來源于《德國基本法》中的個人尊嚴(yán)權(quán)。在歐盟統(tǒng)一立法的促進(jìn)下，歐盟成員國紛紛將個人信息保護內(nèi)化為本國國內(nèi)法直接規(guī)定的內(nèi)容，而且歐盟成員國關(guān)于個人信息保護立法不僅適用于私法部門，還適用于公法部門，由政府課以保障義務(wù)，涵蓋范圍極其廣泛，包括搜集、使用、散布個人信息，且不限制信息類型，只要屬于個人信息都一概加以保護。

美國對個人信息隱私的保護相對消極，最初僅局限于個人信息不被揭露的要求，逐步擴大到當(dāng)下的個人事務(wù)自主權(quán)。美國憲法并未明文規(guī)定信息隱私權(quán)的保護，只是在其中第一、第三、第四、第九修正案中有“免于國家侵害之自由”的相關(guān)規(guī)定。美國對隱私權(quán)的立法之所以沒有歐盟系統(tǒng)，根本原因在于立法理念與歐盟截然不同，其對于隱私權(quán)的保護是從個案判例基于市場導(dǎo)向及自律的角度展開的。由于美國以憲法第一修正案的“言論自由權(quán)”為其首要自由，所以在涉及保護信息隱私權(quán)時總是首先提出信息自由流通的保障，因而在美國并沒有將隱私權(quán)提高到與言論自由權(quán)同等的地位，反而認(rèn)為市場也可以提供更為有效及靈敏的手段來保護個人隱私。至于自律則體現(xiàn)在防止企業(yè)泄露個人信息的規(guī)定上，美國的信息隱私保護規(guī)則事實上更偏向于建議層面。美國對隱私權(quán)消極保護的態(tài)度受到其國內(nèi)學(xué)者的抨擊，福特翰姆大學(xué)(Fordham University)法學(xué)院喬爾·雷登伯格教授(Joel Reidenberg)認(rèn)為，美國之自律模式不足以保護隱私權(quán)，美國應(yīng)借鑒歐盟對隱私權(quán)的相關(guān)立法[14]。加州柏克萊大學(xué)法學(xué)院保羅·施瓦茨教授(Paul Schwartz)則提出信息使用、改變的限制，只有在本人允許時才能使用、改變個人信息[15]。

上述分析表明，歐盟與美國對隱私權(quán)立法保護態(tài)度的迥異源自于雙方法律文化和理念的不同，因而二者對隱私權(quán)之定位有所不同。歐盟認(rèn)為隱私權(quán)是一種“尊嚴(yán)”，是主張個人形象、姓名、聲譽的權(quán)利，其核心是“個人尊嚴(yán)”。以德國為例，德國將自我數(shù)據(jù)決定權(quán)與掌控個人的自我形象、保障個人選擇在公眾出現(xiàn)方式及避免個人不愿意在公眾面前曝光以免除尷尬、羞辱的權(quán)利聯(lián)系在一起。所以，歐盟國家非常重視隱私權(quán)的保護，不僅認(rèn)為新聞媒體是隱私保護最主要的敵人，而且搜集及散布信息之媒介也會給隱私保護帶來威脅。美國則將隱私權(quán)視為對抗國家的一種“自由價值”，其核心內(nèi)容是“免于國家侵害之自由”。與歐盟對媒體的防范態(tài)度相比，美國對媒體的忌憚程度要低得多，只是側(cè)重于維護個人居住范圍內(nèi)的隱私權(quán)。因此，耶魯大學(xué)法學(xué)院詹姆士·惠特曼教授(James Q.Whitman)曾以宇宙論之隱喻來比較歐美隱私法的不同：歐洲之隱私法運行在尊嚴(yán)之軌道上，美國則為自由價值所環(huán)繞[16]。這句話非常形象地說明了歐美在隱私權(quán)立法理念上的差異，這種差異伴隨歐盟《GDPR條例》的產(chǎn)生而轉(zhuǎn)化為沖突，形成了歐盟與美國在全球信息流通中的“剪不斷、理還亂”的矛盾。

其次，歐美在言論自由與隱私權(quán)沖突時最終確定的價值位階也不相同。“個人信息被遺忘權(quán)”在歐美的差異除了法律文化和理念之外，一個重要原因是美國言論自由權(quán)的強大影響，隱私權(quán)的價值位階明顯低于言論自由。在前述“岡薩雷斯訴谷歌公司案”中，谷歌公司聲稱正是因為美國尊重新聞及言論自由，才要求像谷歌公司這樣的網(wǎng)絡(luò)服務(wù)中間商不得對信息進(jìn)行審查，因此自己也應(yīng)當(dāng)基于“新聞及言論自由”在本案中被豁免。從美國立法與司法現(xiàn)狀看，谷歌公司的理由是可能成立的，因為美國的隱私文化一直以自由為價值導(dǎo)向，并深刻影響著大數(shù)據(jù)時代的網(wǎng)絡(luò)隱私與言論自由之間的關(guān)系。由于將新聞自由及市場自由的價值定位在隱私權(quán)之上，所以當(dāng)新聞自由與隱私權(quán)保護發(fā)生沖突時，司法實務(wù)上隱私權(quán)總是退居其次。同時美國學(xué)界也有不少學(xué)者認(rèn)為“個人信息被遺忘權(quán)”構(gòu)成了對言論自由的莫大威脅，并質(zhì)疑“個人信息被遺忘權(quán)”將遭到濫用，喬治城大學(xué)法學(xué)院弗朗茲·維勒教授(Franz Werro)曾大膽預(yù)測，若美國實定法采用“個人信息被遺忘權(quán)”，恐怕難以通過合憲性檢驗，更遑論將對言論自由造成寒蟬效應(yīng)(chilling effect)[17]。可見，即使在大數(shù)據(jù)時代潛藏著巨大的個人隱私威脅，還有歐盟如火如荼通過立法和司法判例來推動“個人信息被遺忘權(quán)”的確立，美國商界和學(xué)界仍然近乎本能地排斥“個人信息被遺忘權(quán)”。但是，大數(shù)據(jù)時代隱私權(quán)危機確實存在，不容回避，有不少民眾對此深感擔(dān)憂，一些學(xué)者甚至向世人發(fā)出了社交網(wǎng)絡(luò)時代隱私權(quán)已經(jīng)死亡的警告[18]?；诖?，美國立法者也試圖進(jìn)行化解危機的努力，加州“橡皮擦法案”在某種意義上可以被認(rèn)為是美國“個人信息被遺忘權(quán)”立法的開始。不過加州立法確立的這項權(quán)利與歐盟“個人信息被遺忘權(quán)”還不可同日而語，它的行使如同一場“戴著鐐銬的舞蹈”，而這個“鐐銬”就是美國《憲法》第一修正案言論自由及其本國自由至上的理念。

歐盟在隱私權(quán)與言論自由的價值位階定位上更加重視對“人的尊嚴(yán)”的保障，尤其在德國，將“人的尊嚴(yán)”價值作為《德國基本法》的最高立法理念，“人的尊嚴(yán)”在德國的地位如同美國的“言論自由權(quán)”一樣崇高。鑒于對“二戰(zhàn)”納粹極權(quán)統(tǒng)治和殘酷戰(zhàn)爭根源的反思，歐洲人民更加珍視對“人的尊嚴(yán)”的保障，德國立法者更是將“人的尊嚴(yán)”價值作為德國第一大權(quán)利。事實上，“人的尊嚴(yán)”價值理念在歐洲大陸有深厚的理性哲學(xué)傳統(tǒng)，這與康德的哲學(xué)思想休戚相關(guān)，康德理性哲學(xué)的精髓“人只能作為目的而不能作為手段”，反映了對“人的尊嚴(yán)”這一最高價值的尊重。德國學(xué)者默勒斯也認(rèn)為，“人的尊嚴(yán)被議會理事會提升為基本法不可修改的部分，因此，它獲得了一種準(zhǔn)道德的地位。憲法學(xué)將人的尊嚴(yán)與康德哲學(xué)聯(lián)系起來，有趣的是，不是與康德的法概念，而是與他的道德哲學(xué)采用的尊嚴(yán)觀念聯(lián)系在一起”[19]?？梢?，“人的尊嚴(yán)”已成為德國，乃至整個歐盟隱私權(quán)立法的基礎(chǔ)。尊重“人的尊嚴(yán)”的立法意味著人能夠自主決定自己的行為，從個人信息保護角度而言，意味著人享有決定、控制、處理自己個人信息的權(quán)利，就是所謂的“個人信息自決權(quán)”。大數(shù)據(jù)時代人們對個人信息的自主控制是“個人信息被遺忘權(quán)”立法的內(nèi)在動因之一，充分體現(xiàn)了對“個人尊嚴(yán)”價值的尊重。

三、“個人信息被遺忘權(quán)”法理邏輯再定位的原則

歐美“個人信息被遺忘權(quán)”立法及司法實踐的差異表明，大數(shù)據(jù)時代“個人信息被遺忘權(quán)”能否從制度層面得到真正的確立，實質(zhì)上取決于對言論自由與隱私權(quán)發(fā)生沖突時如何從法律層面予以妥善處理。法理上，隱私自主與言論自由之博弈既涉及私權(quán)之間權(quán)利邊界的劃分，又事關(guān)公權(quán)與私權(quán)關(guān)系的合理定位。從大數(shù)據(jù)時代“個人信息被遺忘權(quán)”的現(xiàn)實價值和未來前景看，應(yīng)當(dāng)在言論自由與隱私權(quán)沖突的平衡中完善其法理邏輯的再定位。

(一)探尋隱私自主與言論自由在價值理念上的交集

在現(xiàn)代法治社會，強調(diào)言論自由的重要性自不待言，而隱私權(quán)之保護也不容忽視。從信息社會的未來趨勢及隱私權(quán)保護的角度看，確立“個人信息被遺忘權(quán)”這個新型權(quán)利甚為必要，但是從保護言論自由的角度看，又必須對“個人信息被遺忘權(quán)”這個“新型隱私權(quán)”進(jìn)行限制。所以，如何調(diào)節(jié)和平衡隱私自主與言論自由之間的關(guān)系是確立“個人信息被遺忘權(quán)”制度亟待解決的問題。從博弈論的角度看，雖然隱私自主與言論自由是相互沖突的，但在一個權(quán)利至上的時代，任何一種權(quán)利都不應(yīng)當(dāng)絕對化，隱私自主與言論自由的博弈不應(yīng)是你死我活的結(jié)果，應(yīng)當(dāng)確立調(diào)和兩者沖突的理念，積極探尋二者在某些價值理念上存在的交集點。

客觀而言，隱私自主與言論自由都有利于促進(jìn)個人自主。言論自由的價值基礎(chǔ)是“個人自主”，即公民自由自主地發(fā)表言論，表達(dá)思想、主張、見解和觀點，這種權(quán)利不僅包括“說”的權(quán)利，而且也應(yīng)當(dāng)包括“知”的權(quán)利，“對他人個人信息的揭露”屬于“說”的范疇，而是否能“說”又是“知”的前提，對隱私權(quán)的保護似乎遏制了“說”和“知”的權(quán)利。但從另一角度看，隱私自主保障了“說”者的自由，因為如果每個人都要對自己曾經(jīng)講過的話負(fù)責(zé)到底，那么他可能會因為畏懼遭到揭露而不敢“說”，因而可能會嚴(yán)重抑制個人自主及自我發(fā)展，進(jìn)而可能壓抑人們探索自己的喜好。另外，隱私權(quán)的保護還可以使人們能夠匿名發(fā)表言論，無須恐懼他人的報復(fù)，可以最大限度參與討論政治問題、批判社會問題，同時這些言論也可以讓他人通過閱讀而知曉，這實質(zhì)上都屬于自主及自我決定的核心問題。所以，言論自由及隱私保護均具有促進(jìn)個人自主的功能，只不過方式不同而已。從“言論自由權(quán)”廣義的內(nèi)涵看，不僅包括“說的權(quán)利”，而且也應(yīng)當(dāng)包括“不說的權(quán)利”，信息主體應(yīng)當(dāng)擁有“收回自己以前說的話的權(quán)利”，也就是要求刪除其不想繼續(xù)公開的信息，如此看來，言論自由權(quán)似乎不應(yīng)排斥“刪除權(quán)”，與“刪除權(quán)”同日而語的“個人信息被遺忘權(quán)”可以被認(rèn)為是廣義言論自由權(quán)的應(yīng)有之意。

宏觀上看，隱私自主與言論自由都是實現(xiàn)民主政治的必要條件。民主政治有兩個要件，即公民參與和權(quán)力監(jiān)督，而言論自由既是公民參與的工具也是權(quán)力監(jiān)督的工具，要表達(dá)政見、充分交流、對當(dāng)權(quán)者提出批評都離不開言論自由。然而，言論自由并不是毫無限制的，如揭露他人與公益無關(guān)的隱私則是法律所不允許的。隱私對于民主社會非常重要，甚至保護隱私也應(yīng)當(dāng)構(gòu)成民主政治的一部分，如投票、集會以及公民參與對權(quán)力的監(jiān)督，為免于受到報復(fù)，一般都采取匿名的方式，如果此時不對隱私加以保護，必然會使民眾無法暢所欲言。所以，言論自由與隱私保護都是實現(xiàn)民主政治不可缺少的條件，“個人信息被遺忘權(quán)”在共同推進(jìn)民主政治的進(jìn)程中也可以尋找到必然的交集。

(二)衡平隱私自主與言論自由博弈中的“公益”與“私益”

言論自由作為一項憲法性權(quán)利，其背后所代表的利益更多層面屬于“公益”的范疇，正因為言論自由可以保障公民批評監(jiān)督政府和公權(quán)力，防止權(quán)力的濫用導(dǎo)致對公民權(quán)利產(chǎn)生侵害，所以言論自由可以間接保障公民的私權(quán)利，譬如對“警察非法侵入他人住宅”的行為提出批評，實際上就間接保障了公民的住宅權(quán)。同理，雖然隱私自主直接對應(yīng)的是“私益”保護，但憲法作為“一張寫著人民權(quán)利的紙”，作為公法的憲法不能回避諸如“被遺忘權(quán)”等新型私權(quán)的保護。任何借口“私益”服從“公益”而隨意侵害諸如“被遺忘權(quán)”等私權(quán)利的做法都是對權(quán)利平等原則的褻瀆。

隱私自主與言論自由的博弈必須圍繞“公益”與“私益”的衡平。在大數(shù)據(jù)時代，盡最大可能保障公共信息有效傳播的同時，必須保障公民信息自主的權(quán)利，在保護言論自由的同時必須考慮對隱私自主的保障。近年來，美國在強調(diào)言論自由的同時也逐漸開始關(guān)注隱私權(quán)立法保護，如2010年12月聯(lián)邦交易委員會公布了一份有關(guān)保護消費者隱私的初步報告，目的是為相關(guān)政策制定者提供制定隱私概括性保護的指導(dǎo)[20]。不久后，美國商務(wù)部公布了有關(guān)“網(wǎng)絡(luò)經(jīng)濟下商業(yè)數(shù)據(jù)隱私暨創(chuàng)新”報告，報告中設(shè)定美國隱私保護政策有四個主要目標(biāo)：透過信息合理使用原則以促進(jìn)消費者聯(lián)機操作、通過與政府之合作以鼓勵自愿性且可執(zhí)行的隱私規(guī)范發(fā)展、鼓勵全球性信息互通、確保國家一致的隱私規(guī)范[21]。

事實上美國也在逐漸加強對隱私權(quán)的保護，雖不能在短期內(nèi)與歐盟在諸如“個人信息被遺忘權(quán)”等新型私權(quán)的立法上達(dá)成共識，但美國與歐盟就信息保護的相關(guān)法治合作領(lǐng)域仍然可以在實務(wù)上尋求契合點。由于“個人信息被遺忘權(quán)”的法定化必須建立在隱私自主與言論自由衡平、厘定的基礎(chǔ)上，在歐盟隱私權(quán)保護與美國捍衛(wèi)言論自由“針鋒相對”的形勢下，歐盟其實并未忽視衡平隱私權(quán)與言論自由之間的沖突，而美國的司法也在逐漸增強對隱私權(quán)的保護。大數(shù)據(jù)時代歐盟“個人信息被遺忘權(quán)”等新型私權(quán)立法某種程度上加速了全球數(shù)據(jù)信息保護標(biāo)準(zhǔn)一致性的推進(jìn)步伐，歐美逐步趨同的認(rèn)識是強調(diào)隱私權(quán)利保護時不能忽視言論自由和公共信息的有效傳播，強調(diào)言論自由與鼓勵公共信息傳播優(yōu)先的同時也不能忽視對隱私權(quán)的保護。

(三)“目的和約定優(yōu)先”原則是衡平隱私自主與言論自由的關(guān)鍵

“個人信息被遺忘權(quán)”等新型私權(quán)的確立是大數(shù)據(jù)時代人權(quán)保護的必然要求，但是任何權(quán)利都有其邊界，“個人信息被遺忘權(quán)”的行使同樣需要法定的限制條件。筆者認(rèn)為，“目的和約定優(yōu)先”是推動隱私自主與言論自由博弈達(dá)到協(xié)調(diào)的關(guān)鍵，“個人信息被遺忘權(quán)”也只有堅持“目的和約定優(yōu)先”原則才能在保障言論自由的框架下不斷拓展其生存空間。

所謂“目的優(yōu)先原則”，是指信息收集主體在收集儲存某種信息的目的已經(jīng)實現(xiàn)的情況下，就不應(yīng)當(dāng)再對被收集信息對象的其他信息進(jìn)行收集，也就是在目的實現(xiàn)后其他信息應(yīng)當(dāng)被刪除或“被遺忘”。另外，“目的優(yōu)先原則”的題中之意還包括信息收集主體在收集儲存某種信息的目的無法實現(xiàn)的情況下，也不應(yīng)當(dāng)再對被收集信息對象的其他信息進(jìn)行收集。盡管對被收集信息對象的其他信息進(jìn)行收集可能是為了進(jìn)一步佐證或者實現(xiàn)最初的目的，但在收集目的已經(jīng)實現(xiàn)或者目的無法實現(xiàn)的情況下，對其收集的不能證明其目的的所有信息都應(yīng)當(dāng)刪除或“被遺忘”。需要強調(diào)的是，如果收集信息的主體懷有非法目的和動機而收集他人信息，則會觸犯法律明令禁止的條文，法律應(yīng)當(dāng)禁止其借口言論自由而將這些信息上傳網(wǎng)絡(luò)。

“約定優(yōu)先原則”是指信息收集主體與被收集信息者之間存在約定的情形下，信息收集主體只能對在約定范圍內(nèi)的信息進(jìn)行收集，超范圍的信息則應(yīng)當(dāng)刪除；或者信息收集主體與被收集信息者之間雖然不存在約定，但是在被收集信息者對已經(jīng)被收集的信息以聲明或其他合法的方式明確提出刪除、修改或更正，或者明令禁止信息收集者繼續(xù)收集使用其信息的情況下，信息收集者(包括網(wǎng)絡(luò)服務(wù)提供者、用戶和社會組織)應(yīng)當(dāng)尊重其決定，將相關(guān)信息設(shè)置于“被遺忘”狀態(tài)。上述第二種情形類似于美國保護網(wǎng)絡(luò)知識產(chǎn)權(quán)中的“紅旗規(guī)則”，即未經(jīng)權(quán)利人許可，任何上傳知識產(chǎn)權(quán)保護的信息到網(wǎng)絡(luò)空間的行為并不當(dāng)然違法，除非在權(quán)利人發(fā)布申明、通知刪除或者申請禁令后信息傳播者仍不改正。

(四)規(guī)范隱私自主與言論自由的權(quán)利空間布局

從權(quán)利空間布局的角度看，確立“個人信息被遺忘權(quán)”實質(zhì)上是在網(wǎng)絡(luò)“公共空間”中劃分出“私密空間”作為隱私信息的載體。盡管在網(wǎng)絡(luò)上個人或者其他私法主體可以建立“私密空間”，但是基于現(xiàn)代網(wǎng)絡(luò)信息的特點，“私密空間”即使有密碼保護等手段來保障其“私密性”，也可能無法保證該“私密空間”不受他人窺探或傳播。所以，只有賦予信息主體可以自主刪除或“個人信息被遺忘”的權(quán)利，這樣的“私密空間”才是法律意義上的“權(quán)利空間”。另外，雖然在網(wǎng)絡(luò)“公共空間”中應(yīng)優(yōu)先保障公共信息的安全和有效傳播，但公共信息的傳播不可避免會涉及個人信息的保護問題，如果在這個“公共空間”完全不考慮個人信息保護，那么在網(wǎng)絡(luò)空間保護個人隱私極有可能成為一句空話。所以，在網(wǎng)絡(luò)“公共空間”中必須根據(jù)嚴(yán)格的條件劃分出“私密空間”，在特定的情形下也必須賦予信息主體“被遺忘權(quán)”，隱私自主與言論自由的權(quán)利空間布局才能得到規(guī)范，其權(quán)利行使的合理性才能得到保證。

基于優(yōu)化國家管理和保障公民基本權(quán)利的需要，法律必然要在“公共空間”和“私密空間”之間的布局上實現(xiàn)恰當(dāng)?shù)钠胶?，從而實現(xiàn)隱私自主與言論自由的協(xié)調(diào)統(tǒng)一，最終保證公民既積極參與公共事務(wù)，又能對自身的隱私權(quán)利進(jìn)行必要保護。國家在網(wǎng)絡(luò)環(huán)境下劃分“公共空間”與“私密空間”界限的一個重要方式就是賦予信息主體“被遺忘權(quán)”，從而為權(quán)利和權(quán)力之間劃清邊界。以反恐為例，“公共安全至上”使得“私密空間”的個人信息權(quán)利受到擠壓，尤其在廣場、街道、商場、賓館等線下的“公共空間”采集的個人信息以及網(wǎng)絡(luò)公共空間存儲的個人信息，個人在何種情形和條件下有多大權(quán)利要求相關(guān)信息“被遺忘”，取決于國家對“私密空間”權(quán)利和“公共空間”給予多大程度的隱私權(quán)利的法律界定，特別是在推崇言論自由和堅持公共利益至上的條件下，規(guī)范隱私自主與言論自由的權(quán)利空間布局顯得尤為重要。