個人信息保護中被遺忘權制度的構建和適用問題研究

西南科技大學法學院 陸寧

一、問題的提出

在數字化高度發(fā)展的今天，個人信息保護問題已經成為一項新的挑戰(zhàn)。傳統(tǒng)信息時代的舊格局已經被逐漸打破，大數據時代已經來臨。大數據時代各項信息呈現出“高度網絡記憶性”“高度共享性”“高度流動性”的特點，而個人信息的隱私屬性和高度財產關聯性導致個人信息本身并不能很快地契合大數據時代所帶來的改變，其更傾向于“最小使用”“可匿名化”“可遺忘和低流動性”的特點，這一矛盾的出現也成為了解決個人信息保護所必須面對的重要問題[1]。而在法學界討論已久的被遺忘權可以很好地緩和這一矛盾。首先，被遺忘權的使用并不會在個人信息收集階段帶來過多的干擾，其對于個人信息的收集使用并未設置單獨的門檻，不會過度干涉“知情同意”的權能，這在一定程度上符合大數據時代所追求的數據收集使用的追求；其次，被遺忘權很好地滿足了個人信息主體所追求的可遺忘性要求，其賦予個人信息主體一個獨立的被遺忘權來應對新信息時代所帶來的信息風險，在很大程度上滿足了信息主體的訴求；最后，被遺忘權并非橫空出世的新型權利種類，其具有正當的法理來源和現實需求（如《中華人民共和國網絡安全法》《數據安全管理辦法》等），對于緩和個人信息使用和保護的矛盾具有重要意義。但被遺忘權制度的構建和適用仍存在概念不統(tǒng)一、權力行使范圍和條件不明晰等問題，本文將從被遺忘權的概念界定、被遺忘權引入的合理化論證和現行法律體系下被遺忘權的缺陷進行分析并得出相應結論和建議。

二、被遺忘權的概念及界定

我國法學界目前對于被遺忘權概念的討論和界定很多，其中，部分學者將“被遺忘權”定義為“個人信息的擁有主體基于隱私自主而擁有向個人信息收集者、發(fā)布者、索引者等，隨時要求刪除遺留在網絡當中的各種有關個人的數字痕跡，從而使其被其他人所忘記的權利”。有學者僅以刪除權為內容將被遺忘權定義為“數據主體有權要求數據控制者永久刪除有關數據主體的個人數據，以使該數據被互聯網所遺忘的權利”。也有小部分學者主張照搬《歐盟通用數據保護條例》中關于被遺忘權（刪除權）的概念進行界定[2]。但討論和概念界定大都圍繞并集中在個人信息刪除權這一權利進行展開，對于權利主體義務主體等均未進行過多討論，而權利主體和相對的義務主體及權利行使的禁止實際上均應在此加以討論，以求在界定概念的同時明確其內涵及外延。

首先，應從被遺忘權的權利主體和義務主體出發(fā)進行界定。被遺忘權的主體為適格的個人信息主體；相較而言，被遺忘權的義務主體是為達到合法目的而采取法定手段對信息主體的個人信息進行收集、存儲、使用的個人、單位或其他組織。其次，被遺忘權行使的范圍應加以限定，被遺忘權的行使范圍應限定在經合理手段發(fā)布于網絡或現實之中的、可被其他主體獲取和知悉的個人信息或由個人信息衍生出具有可識別性的信息范疇[3]。同時，對于已經收集和獲取的個人信息和授權，信息主體有權隨時撤銷授權。最后，被遺忘權的行使不能排除一般個人信息中的合理使用規(guī)則。

綜上所述，被遺忘權是指信息主體對于經合理手段獲取，發(fā)布于網絡或現實之中的、可被其他主體獲取或知悉的個人信息或由個人信息衍生出的具有可識別性的個人信息，及已經合理授權存儲使用的個人信息，可要求信息收集、發(fā)布和管理者徹底刪除和撤銷其授權的權利。

三、被遺忘權引入的合理化論證

被遺忘權引入我國個人信息保護范疇是否合適的討論一直處于進行之中，雖未有定論但其中大部分是傾向于引入被遺忘權并進行本土化構建的聲音和建議，也有部分學者主張被遺忘權實際上是對公眾言論自由權和知情權的傷害。早在2015年，楊立新教授就于《被遺忘權的中國本土化及法律適用》一文中表示被遺忘權的引入具有正當化的請求權基礎并主張進行本土化的適用，丁曉東教授認為我國被遺忘權應當建立在信息的合理流通以及具體場景的合理預期之上，根據不同的場景賦予當事人不同的請求刪除的權利。相較于基于公眾言論自由和知情權考慮而發(fā)出的反對聲音，我更傾向于楊立新教授等人提出的引入并進行本土化制度構建的見解[4]，理由如下：

首先，從現實背景來看，大數據時代到來之后出現的種種信息亂象和個人信息泄露、非法使用問題屢見不鮮，證明了傳統(tǒng)的權利種類已不足以面對和解決當下的個人信息保護問題，個人信息主體相較于掌握更多資源的信息收集、使用、處理者處于完全不對等的地位，此種不對等無異于將個人信息赤裸裸地暴露在非法使用的亂象之內；其次，從權利來源看，被遺忘權來自于外國民法體系之中且起到了很好的約束作用，此種引入也并非完全的移植，而是像楊立新教授等人論文所述一樣，結合我國司法實踐出現的問題而進行的被遺忘權本土化之后的制度構建[5]；同時，從引入方式加以考慮，在大數據時代相較于具備更大能量的個人信息收集使用方，個人信息主體處于完全不對等的地位，賦權形式的引入給予了信息主體一個個人信息自我保護的權利行使途徑，賦權的形式也符合民法保護的形式；最后，從具體的效果來看，被遺忘權能夠很好地平衡信息收集使用方和信息主體之間的固有矛盾，在有效做到個人信息保護的前提之下充分發(fā)揮了個人信息的作用，這是之前的個人信息保護體系中沒有任何一項權力可以做到的。

綜上所述，被遺忘權的引入是合理且必要的，其在很好的緩和個人信息主體和相對方固有矛盾的同時還考慮到了個人信息本身價值的發(fā)揮，我們所面臨的主要問題是如何構建滿足被遺忘權本土化引入和適用的制度。

四、現行法律體制下被遺忘權的缺陷

（一）《中華人民共和國個人信息保護法》第四十七條：未明確范圍

有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：（一）處理目的已實現、無法實現或者為實現處理目的不再必要；（二）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；（三）個人撤回同意；（四）個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；（五）法律、行政法規(guī)規(guī)定的其他情形。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

第四十七條以列舉式授權的方式授予了個人信息主體一個未顯名化的被遺忘權：一方面，個人信息處理者應主動刪除個人信息的表達直接賦予了信息處理者一個明確的民事義務，要求在上述情況發(fā)生時信息處理者應主動刪除已經收集處理的個人信息；另一方面，在前述個人信息處理使用者未遵循義務性規(guī)定履行刪除義務的前提之下，還賦予了個人信息主體一個可直接行使的刪除個人信息的請求權，這一請求權不僅是對處理者刪除義務的反饋，還表現出了對被遺忘權整體的填補，當個人信息處理者未發(fā)現或對法律規(guī)定情形未發(fā)覺，而信息主體發(fā)現上述問題時，可以先以刪除義務為主張要求信息處理者刪除個人信息，在信息處理者不履行刪除義務時，則可以法律賦予的“被遺忘請求權”請求信息處理者或相關機構對所涉?zhèn)€人信息進行刪除處理，基于此種設計方式被遺忘權可以通過兩條不同的路徑主張，保證權利行使的可能性。但《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）并未對權利適用范圍和權利行使的邊界進行明確化規(guī)定。

（二）《中華人民共和國網絡安全法》第四十三條：邊界過窄

根據《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第四十三條的規(guī)定：個人發(fā)現網絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發(fā)現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。

《網絡安全法》第四十三條從兩個方面規(guī)定了信息主體的刪除權和信息收集使用者的相對義務。首先，與《個人信息保護法》相比，《網絡安全法》將刪除權限定在了網絡運營商收集的個人信息這一范疇之內，盡管這一限制凸顯出了網絡安全法的特點，但從目前個人信息保護的現狀和問題來看，僅僅將被遺忘權（刪除權）限定在網絡運營商和經網絡所收集的個人信息范疇之內明顯屬于限定過窄。在大數據時代，個人信息的存儲和存在介質是多元化的，并非只有網絡運營商所收集使用的個人信息才具有被侵害的可能，相較于其他形式收集的個人信息，網絡侵權只是具有更高的侵害可能性和可操作性，其對于被遺忘權行使領域的界定過窄[6]。其次，《網絡安全法》對于被遺忘權的權力類型的規(guī)定實際上和《個人信息保護法》的規(guī)定有部分重合和共通，對于個人信息收集有錯誤或違反雙方約定的情況，《網絡安全法》也賦予了個人信息主體相應的刪除權；但從賦權手段上來說，《個人信息保護法》的列舉式授權手段能為司法實踐提供更明確的參考依據，不足之處是無法涵蓋越來越多的新侵權手段；相比較而言《網絡安全法》模糊范圍授權的方式僅僅將侵權作為參考要素而非一一列舉，其賦予了法官更大的自由裁量權的同時可以為將來層出不窮的新侵權手段作參考，缺點則在于不具有高度確定性。

綜上所述，無論是《個人信息保護法》列舉式授權的方式還是《網絡安全法》限定領域授權的規(guī)定方式均未很好地對被遺忘權的適用范圍進行明確化界定，但可以從二者的共同之處入手，在授權的基礎上進行明確化規(guī)定，使得被遺忘權更好地發(fā)揮其緩和個人信息保護和信息開放共享之間矛盾的作用。

五、思考與建議

（一）結合現行法規(guī)進行統(tǒng)一概念界定

結合前述學界對被遺忘權“信息主體基于隱私自主權而擁有的要求對應主體刪除個人信息的權利”和《個人信息保護法》中列舉式授權和《網絡安全法》中限定領域授權的優(yōu)勢與不足不難看出，被遺忘權擁有以下特點：首先，被遺忘權的權利主體為被收集使用個人信息的信息主體；其次，被遺忘權的權利客體為經合理途徑收集、存儲、加工使用個人信息的收集、處理、使用者；最后，被遺忘權的權利內容為在法律規(guī)定的情形之下，權利指向的信息收集、處理、使用者有義務對個人信息進行刪除或匿名化處理，否則，權利主體有權直接要求信息收集、處理、使用者對已經合理收集使用的個人信息進行刪除。故被遺忘權應界定為：被遺忘權是指個人信息主體對于經合理手段收集、處理、使用或發(fā)布于網絡、現實之中的、可被其他主體獲取或知悉的個人信息或由個人信息衍生出的具有可識別性的個人信息，及已經合理授權存儲使用的個人信息，當發(fā)生法定情形時，個人信息主體可要求信息收集、發(fā)布和管理者徹底刪除和撤銷其授權的權利[7]。

（二）明確被遺忘權的適用范圍

關于被遺忘權的適用范圍，可結合《個人信息保護法》和《網絡安全法》二者的列舉式授權和專項授權形式加以明確化：首先，被遺忘權的權利基礎來源于信息主體對其合法個人信息享有的支配權（需排除法定的合理使用情形），其具有正當化的法源基礎；其次，被遺忘權適用的個人信息使用領域和范圍不僅限定于互聯網領域，還包括日常生活中各個可能發(fā)生個人信息侵權的領域；最后，被遺忘權適用的情形可參考《個人信息保護法》中所規(guī)定的達到合理使用目的、主體撤銷同意、期限屆滿、違法違規(guī)處理、法定其他情形等。通過以上三方面可以更好地對被遺忘權的范圍加以明確化規(guī)定。

（三）圍繞現行法律法規(guī)構

建完整規(guī)范的被遺忘權制度

從被遺忘權的權利屬性和功能來看，其能很好地緩和個人信息保護和開放共享之間的矛盾，但目前我國并未對被遺忘權進行顯名化界定，存在諸如概念不清、范圍不明等問題，我們應當從以上兩方面出發(fā)，結合個人信息所面臨的特定場景空間，對被遺忘權適用的法律規(guī)則和權利主張以及個人信息收集適用處理平臺的責任承擔形式進行完善，以現有的《個人信息保護法》《網絡安全法》等法律文件為依托，構建更加完善的被遺忘權制度，為加強個人信息保護及緩和個人信息保護和開放共享之間的矛盾起到應有的作用。

六、結語

大數據時代的來臨為經濟社會的發(fā)展帶來了新的機遇和挑戰(zhàn)，與此同時，對具有高度經濟價值的個人信息來說卻出現了越來越多的新問題。為應對越來越多的個人信息侵權現象和解決個人信息保護與開放共享之間的矛盾，我們應從被遺忘權的概念界定出發(fā)，圍繞現行《個人信息保護法》的相關規(guī)定對其進行更加寬泛的適用和顯名化的界定。在此基礎上圍繞司法實踐中出現的新問題進行完善，解決其適用范圍不明和適用條件不具有客觀參考性的問題。進而結合個人信息的基礎屬性進行特定場景的構造，完善個人信息侵權主體的責任承擔形式和個人信息主體的追責路徑，最后明確個人信息合理使用的范圍和條件，構建出概念-適用-追責路徑下完整規(guī)范的被遺忘權制度，從而更好地緩和個人信息保護和個人信息開放共享之間的矛盾，在保證個人信息能得到良好保護的前提之下最大程度發(fā)揮其經濟價值，為大數據時代的來臨構建一個良好的法治環(huán)境。