遗忘权保障制度的构建

　　第4章 遗忘权保障制度的构建

　　在大数据时代，个人数据的产生、收集、存储、利用和传输，呈现爆炸性增长，欧盟各国已经开始制定法律应对技术发展给个人数据保护权利保护带来的挑战。我国目前没有完整的数据保护立法，在新技术环境下，随着我国网络用户的急剧增长，个人乃至企业数据保护的需求日益迫切，欧盟率先在这方面进行探索，为我们制度建设提供了很好的参考和借鉴。关于一种权利的保障制度，往往涉及所属权利体系、主体、客体、内容、限制和法律责任，因此本章将重点探讨遗忘权所属权利体系、主体、客体、内容、限制和法律责任。

　　4.1 遗忘权所属权利体系

　　根据遗忘权的法律属性及欧盟数据保护条例草案的启示，遗忘权兼具有人身和财产双重属性，根据其性质和内容，很难将其归于现有的权利体系。把它规定为一种隐私权或者财产权各有优劣。

　　首先，各国对隐私权的范围、保护强度不同，基于隐私权建立遗忘权在全球化的大数据环境下难以协调统一。对传统隐私和数据隐私权利美国和欧洲持有截然不同的观点。欧洲认为隐私权是一项基本权利，政府需要高程度地参与它的保护，而美国传统上认为隐私是一个基本的价值而不是权利，其隐私法除了对联邦政府机构对个人数据的收集、处理有所限制外，对谷歌这类市场主体几乎没有约束，对于企业，美国倾向于行业自律，而且相比隐私更重视言论自由。这种差异可能是由于各自的历史文化和哲学差异引起。

　　在美国，当涉及到隐私，最高法院认为，有新闻价值的和真实的故事受新闻自由保护，尽管它对对故事的主体可能带来尴尬或伤害。如果报纸依法获得有关公共利益的，或更进一步第关乎国家利益的真实信息，那么州政府官员没有理由惩罚信息的出版。

　　欧洲数据保护的主要迄今为止主要针对搜索引擎。

　　其次，通过将数据主体对他们的数据的控制权利规定为一种财产权，有一定的优势。第一，尽管财产化个人数据乍一看似乎与欧洲数据保护方法不兼容，但通过仔细区分财产不同的元素和目的的，规定数据保护利益作为财产权利是很有意义的和有效的一种数据保护途径。特别在大数据时代，全球很多国家使用美国的信息服务提供商，大量的数据都掌握在美国公司的手里，要实现真正意义上的遗忘权，必须有美国公司的认可，国家的法律要得到美国公司的遵从，考虑美国的法律政策考虑是非常必要的。从财产的角度考虑遗忘权的另一个优势的是由于财产权的"绝对权"效应（即财产权对任何人都可以调用，而不只是双边法律关系），它能够更好地解决互联网上无穷的数据复本，例如镜像站点问题。

　　但是，与此同时，必须谨慎对待遗忘权的财产化，因为删除权是所有财产权种类（占有，使用，收益和处分）中影响最深远的一种。针对数据保护问题的财产化解决方案的吸引力之一是立法机关可以分情况对待，不一定要对个人数据引进所有种类的财产权。然而，如果遗忘权是数据主体删除形式的财产权，这是效力最强的财产权，然后可能整个财产利益都必须分配给数据主体，这可能意味着数据主体必须拥有完整的财产权。

　　从遗忘权的法律属性来看，其兼具人格权和财产权的双重属性。如果将遗忘权规定在隐私法中，难以得到国际性的协调，而且隐私保护范围有限，有很多类型的个人数据不能被认为是个人隐私，而不能得到有效保护。如果将个人数据视为数据主体的财产，在财产制度中规定遗忘权虽然有一定优势，但是个人数据财产化目前在世界各国都没有得到明确的认可，其实现的难度较大。在大数据环境下，要解决亟待解决的个人数据安全问题，有效保护个人、企业甚至国家的安全和利益，借鉴欧盟的模式，制定单独的数据保护法并对遗忘权予以规定是一种更为有效和可行的方式。

　　遗忘权不仅涉及人身权的内容，也涉及财产权，其法律性质不同与现有的任何一种权利，在我国的法律体系下，并结合时代背景，最好的方法是建立个人数据保护法，并在其中规定遗忘权。

　　4.2 遗忘权的主体

　　遗忘权的目的是保护个人权利，遗忘权的主体包括两类，即权利主体与义务主体。遗忘权的权利主体应该规定为数据主体，数据主体应该是能够通过个人数据单独或结合其它数据被识别的自然人。自然人死亡后，其近亲属应该可以行使遗忘权。

　　遗忘权的目的是给与更多的权利给数据主体，这种权力的调整，能够改变当前关于个人数据权利的不平衡，帮助个人重新获得一些控制权。遗忘权可以促使隐私成为一种默认情况而非例外，因为数据主体拥有选择权而非商业或政府机构。比如，对于浏览互联网，它意味着浏览器会默认地没有跟踪记录，而保存跟踪记录是例外。在欧洲和美国已经开始有解决这一问题的初步进展，如美国的"不跟踪"倡议和欧洲备受争议的"cookie 指令",虽然它们到目前为止没有带来具体的结果，但是意味着欧美都意识到这是一个需要解决的问题。我国赋予自然人遗忘权，能够更好地保护个人权利。

　　遗忘权的义务主体应该是数据持有者，包括个人数据的收集、处理、使用和传播的主体。包括国家机关、事业单位、企业和个人。欧盟条例草案中将义务主体规定为数据控制者，存在很大缺陷。首先，难以明确数据控制者的范围及其与数据处理者的区分。在传统的个人数据处理方案中，通过单一的实体--数据控制者决定数据主体的个人数据处理过程，要么通过自己的方式进行处理，要么承包给第三方--数据处理者进行处理。这样数据控制者和数据处理者是可识别和区分的，数据处理者只是被动地代理数据控制者执行某些功能。但是，在现代的技术环境下，据此区分数据控制者和数据处理者，对于保护个人数据存在很大的风险和漏洞。数据控制者仍旧是对个人数据的处理起核心作用的，但他们可能会在各种形式。例如，Web 2.0 服务提供商只提供执行个人数据处理的平台，并不一定他们自己参与这种处理。同样对于云计算，服务（平台）提供者是否可以被视为数据控制者，是不清楚的。其次，不仅是数据控制者，数据处理者同样应该承担遗忘权的义务。因此，在我国借鉴欧盟立法规定遗忘权时，不需要使用数据控制者和数据处理者的概念，而应该进行统一的规定，任何收集、处理、使用和传播的主体都承担遗忘权的义务。

　　4.3 遗忘权的客体

　　遗忘权的客体是个人数据。个人数据的定义应该明确。我国对个人数据的定义可以参照欧盟的模式，采取概括性定义和列举式定义结合的方法。如欧盟的数据保护条例第 3 条规定"个人数据是指与数据主体有关的任何个人数据".并以列举的方式表明"身份证号码，位置数据，在线账号，一个或多个物理、生理、遗传、心理、经济、文化或社会身份因素"属于个人数据。个人数据不仅包括姓名、年龄、身份证号码、电话号码、银行账号这些能够直接标志个人的数据，在数字时代，还应该包括个人的上网痕迹，如 cookies,服务器上保留的个人使用网络时产生的服务日志数据。

　　个人数据应该包括三类：第一类是数据主体自己产生的数据，如发表的微博，上传的照片；第二类是服务提供商在数据主体使用服务时自动产生的数据，如用户的网上活动踪迹；第三类是第三人在使用服务提供商提供的服务时产生的数据，如第三人在使用社交网络服务时上传的照片，而其中包括了数据主体的头像。

　　有些数据本身似乎不会对个人造成影响，如一条网上浏览记录的匿名数据，但是通过多条数据的整合分析，则可能暴露一个人的兴趣爱好，或者工作内容，对个人生活工作造成影响。数据主体应该对这些数据拥有删除权。需要引起注意的是，有一个类别的数据，应该同样属于遗忘权的客体，需要特别进行强调，也就是说，不仅数据主体有权删除它们，而且必须引起注意，必须能够简单、直接和明确地知道如何删除它们。最直接的例子，是"分析"或"派生"数据，使一个人能够删除来源于他们各种行为的关于他们信息。强调这类数据的原因是双重的：首先，因为这种类型的数据可以代表对个人权利最直接威胁，其次因为分析或派生数据可能是一个数据采集者试图规避数据简化规则与数据保留时间的方式。比如，如果有人于 2012 年 6 月搜索或者查看了一个特定的网站，然后按照法律规定，或者网站隐私条款或服务协议中规定的数据保留期限，搜索历史只能保留 6 个月，也就是到 2012 年 12 月。如果在在删除搜索日志数据的同时，搜索引擎提供者创建一些新的分析数据，将用户归类为网站 2012 年中的访客，这些分析数据就可以界定为 2012 年 12 月产生的"新"数据，然后继续保存 6 个月。

　　如果按照这种方式持续下去，分析数据可以将数据保留时间有效地无限扩展，因此需要做出特别的规定，将这类数据纳入遗忘权的保护客体。

　　另一个是敏感性数据问题。在现有的数据保护制度中，对敏感的数据有一定的保护，但是忽略了非敏感性数据。数据聚合、分析和挖掘技术的发展，通过建立更加明显和直观的联系，敏感数据可以从看似不敏感数据推断出来。大规模数据聚合，使得即使看似最无关紧要的数据，都变得非常有用。单个数据本身可能不是敏感的个人数据，但是能够揭示出敏感的个人数据。这说明看似不敏感的数据的最小化也需要严肃对待，遗忘权的客体应该同样包括非敏感数据。

　　4.4 遗忘权的内容

　　考虑到遗忘权具有人身属性和财产属性，它至少包括两方面内容，一个是保持干净记录的权利，一个是删除权。前者基于个人的人身利益，规定个人以往的数据，与当前无关的，不能用于做出对数据主体不利的决策；后者从财产权的角度，个人应该有删除其个人数据的权利。

　　4.4.1 保持完好记录的权利

　　遗忘权的一个目的是个人能够在工作和其他场合能不被以往的数据影响其将来的发展，为实现这个目的，遗忘权的内容包括保持完好记录的权利。在这种权利的保障下，个人可以要求不被过时的负面信息影响。因为人们和环境都会发生变化，如果人们有机会从头开始，会使社会更加良性地发展下去。法律的某些领域已经采用一些机制使"社会遗忘"成为可能，如破产规定、未成年人司法中清除犯罪记录的措施、限制信用报告中消极事实可以影响人们的信用记录的期间。在不断增加数据保留的世界，在为各种数据设置法律的、政治的或自我规定的保留期间时，决策者和市场主体应该更加意识到遗忘的社会价值。遗忘权在这个意义上是个人有权要求媒体不要发布关于他们过去的负面事实。

　　在这种形式下，遗忘权更多的是基于更抽象的人格权，而不是具体的数据保护权来删除数据，特别是以"在身份建设过程中免受不合理限制"的形式。人们必须能够塑造自己的生活，不应该被别人对他们过去的看法固定。

　　在这种形式下，遗忘权可以被个人调用来对抗对他们过去的数据进行处理的一方，特别是那些打算发布这些数据或根据这些数据作出决定的人。它通常是一种事后权，会在发布或决定后被使用，来寻求救济，尽管它的潜在影响可能必然会对媒体或决策者有预防效果。它也可以被个人调用来针对国家，当法定保留时间过长而侵犯他们的隐私权，但是实现起来很来。对遏制立法保留时间，遗忘权更多的是政策指导，作为一种重要的价值被立法机构考虑，不仅是一个个人的权利。

　　对实现这种形式的遗忘权，可能不必要修改法律，因为遗忘权的利益已经包含在普通的隐私权以及一些部门法的条款中，来保护弱势群体不过度遭受过去事件的影响。但是，数字足迹和数字阴影留下的无法预料的记忆似乎在不同程度地导致更多的人被伤害。遗忘权因此需要从当前破产法和未成年人司法等领域扩展到其他领域，当人们遭遇被他们的过去固定，而不是根据现在的优劣判断的时候。

　　例如，劳动法、消费者法律、行政法和刑事司法，预防限制强势的一方如何使用数据来对弱者作出决定。

　　这可以通过制定措施限制对个人潜在有害数据可以保存多长时间，也可以通过其他的形式实现。在某些方面，遗忘权也可以与刑事证据中证据排除规则相比：一些数据在司法决策必须被排除在外，因为他们会导致一个不公平的决定。正如证据排除法则迫使法院忘记他们已经看到的证据，遗忘权可以构造成一种规则迫使决策者忘记个人过去不利的数据影响他们的决定。例如，如果张三申请一份工作，他希望未来的雇主无视李四的博客文章和王五的照片标记。排除规则，嵌入在行为准则或劳动法中，保障雇主不能因为网上与工作无关的信息拒绝给个人工作的机会。当然，雇主可以说另一个应聘者比张三更适合这份工作，这种情况在实际生活中并不新鲜：排除规则，就像反歧视需求，主要是作为决定时的一种义务，它允许数据主体被本应该忽略的信息影响的时候，对依其所做的决定提出异议。因此，遗忘权也可以理解为特定部门和特定环境下的规范，规定哪些网上的信息能够在作决策时考虑，哪些不能考虑。这可以通过现有的机制实现。

　　总之，遗忘权中保持完好记录的权利，重点不在于个人能够控制哪些信息存在的全面的措施，而是在微观方面，特定情况下，控制其他各方如何在作对个体有影响的决策时使用信息。它可以部分地通过现有法律权利如隐私权和一些其它部门法来实现，但可能需要扩展到覆盖更多的，人们特别容易过度受到关于他们的过去的不利信息影响的领域。这可以通过限制有害数据可以保留的时间实现，但也可以通过类似于证据排除规则和反歧视监督法律机制实现，加强公平决策。

　　4.4.2 删除权

　　遗忘权的另一项内容是删除权，即数据主体有权要求数据持有人删除与他们有关的个人数据，在数据持有者使得个人数据公开的情况下，它必须采取一切合理的措施，包括技术措施，通知处理这些数据的第三方个人要求删除这些数据，数据主体也有权直接要求第三方删除数据。当个人数据因为法律规定的原因需要保留时，数据主体可以要求限制它们的传播和使用。

　　关于如何实现删除权的一个方法是"有效期".它有一个很大的优点是一个人不必再担心个人数据流通和共享。通过添加元数据的方法，个人数据能够被"标记"上一个截止日期，到期后自动被删除。但是是否采用这种技术措施依赖于数据使用者的意愿，所以这种理论的实用性并不清楚。在遗忘权的制度保障下，可以一定程度上迫使数据使用者采用这种技术措施以符合法律规定。设定数据保留期限的方法，不仅可以防止用户的隐私泄露，也能防止服务提供商将一个企业的员工数据进行收集、整合和分析，挖掘出企业的商业秘密，或者外国的政府机构，通过对一个国家的网民数据进行统计分析，威胁国家的安全。

　　4.5 遗忘权的限制

　　为避免遗忘权的滥用及与其它正当利益的冲突，应该规定遗忘权使用的限制情况。

　　第一是国家或公共利益的需要的限制。有些数据，虽然属于个人数据，但是出于历史、经济、统计和行政等需求，需要保存。如犯罪记录、税务记录、报纸档案等等。这些数据的保留是非常重要的，但是可以通过一个建立一个系统，规定哪些数据库可以"存档"而不被删除，在这种情况下，数据主体可以要求限制它们的使用和公开。

　　遗忘权是否适用，不仅取决于数据的性质，也取决于它被包含的服务或数据库的性质。例如，某个人上学，学校本身或有关地方当局持有的记录可以利用上述豁免，但是社交网站或相似的系统不能适用，因为类似于 Facebook 数据库的功能不是维护一个精确的，有用的历史记录，而是当前和潜在的盈利性的社交网络服务。这些限制不会导致医疗数据或用于信用记录等合法数据被删除。但是，它们能够使用户从 Facebook 等商业系统中删除那些可能会被潜在的雇主、保险公司不当使用，而对他们产生不利影响的数据。

　　第二是个人或家庭活动的限制。如果数据持有人保留个人数据是个人或家庭学习、研究或娱乐的需要，不会对个人权利造成影响，数据主体无权对此行使遗忘权。但是对于个人网站，如果其能够被不特定的多数人访问，则不属于个人或家庭活动的豁免。

　　从权利的角度来看，设置限制情况是一种协调措施，使遗忘权能够和其他领域的法律或规范保持一致。

　　4.6 法律责任

　　明确侵害遗忘权的法律责任，才能迫使市场主体积极地采取更好的保护用户数据隐私的策略和技术措施，使遗忘权得以真正实现。侵害遗忘权的法律责任应当以民事责任为主，以行政责任和刑事责任为辅。其民事责任的形式包括停止侵害、赔偿损失、消除影响、恢复名誉和赔礼道歉等。

　　为了避免侵权行为的进一步影响，权利主体可以直接或通过法院要求义务主体及时删除或不再使用侵犯其遗忘权的数据，防止这些数据扩大影响。为补偿权利主体的损失，包括物质损失和精神损失，权利人可以要求赔偿损失。因为遗忘权兼具人格权的属性，权利人可以要求行为人消除影响、恢复名誉和赔礼道歉，在一定范围内消除不良后果。如果同时损害公共利益的，可以由相关部门责令停止侵害行为，并可处以罚款。构成犯罪的，应该依法追究刑事责任。关于遗忘权的行政责任和刑事责任，需要在行政法规和刑法中进行规定或完善。