被遗忘权
出自 MBA智库百科(https://wiki.mbalib.com/)
被遗忘权(Right To Be Forgotten)
目录 |
被遗忘权是指数据主体有要求数据控制者删除关于其个人数据的权利,控制者有责任在特定情况下及时删除个人数据。简单来讲,如果一个人想被世界遗忘,相关主体应该删除有关此人在网上的个人信息。
被遗忘权是在互联网技术的催生下产生的。过去漫漫几千年,世界上从来没有人要求诉诸法律让自己的无害负面历史被遗忘,这是因为人类无法拥有如此好的记忆力,法律无需专设条款。但是互联网完全剥夺了上网内容被遗忘的可能性,在人们并不主动甚至是不想看到的情况下,互联网能让过去的历史又翻动起来。“遗忘成为奢侈品,一个‘永久记忆’的时代已经到来” 。[1]
“被遗忘权”是互联网语境下一种新的隐私权主张。其基本含义是,当用户对曾经的某次互联网上的张贴信息行为后悔,希望撤下它;或者对其他人发布的关于自己的信息持有异议时,互联网应该允许其删除这些信息。“如果一个人不再希望他的个人信息被信息控制者掌握,而且如果没有保存这些信息的正当理由,这些信息应该被删除。” 或者说,如果一个人不再想让他的个人信息被信息控制者加工或者存储,并且如果没有保持这些信息的合法基础,这些信息应该从他们的系统中被删除。 因此,“被遗忘权”也称为“删除权”(the right to erasure),这一权利对于网络用户控制能获取他们的个人信息至关重要。这-权利被归类为一种隐私主张,即使它被应用于至少在某种程度上公开的信息。它代表着“信息的自我决定”和以控制为基础的隐私定义,并且试图将个人信息从公共领域转移到私人领域。 这一权利暗示着个人对自己的个人信息的控制权利。“个人决定这些信息将会怎样,并且即使“离开其掌控’,也保持着对它的控制”。
被遗忘权的产生[2]
被遗忘权的雏形最早产生于欧洲,这与欧洲国家普遍重视信息保护密切相关,如1984年英国出台的《数据保护法》第24条就有关于公民要求删除其个人信息的规定。欧盟在1995年制定统一的《欧洲数据保护指令》,其中也有关于被遗忘权的规范,这可被视为欧洲范围内关于被遗忘权形态的较早保护规定。被遗忘权成为欧洲司法实践中的正式法律用语,得益于欧盟法院对“冈萨雷斯诉谷歌公司案”的终审判决。2014年5月13日,欧盟法院针对该案作出最终裁决,认为被告谷歌搜索引擎运营商作为信息控制者,应当删除有关信息主体的“不当的、不相关的、过时的”搜索结果,原告冈萨雷斯的删除请求依法予以支持。该判决是欧盟法院对欧盟2012年出台的《一般数据保护条例》所规定的被遗忘权的首次法律解读与适用,它使得被遗忘权的规定具有了实践可能性,被遗忘权由此获得了突破性的发展。
被遗忘权的主要功能[2]
在于有效避免保存在网络上的已经过时的信息继续侵扰信息主体当前的生活状态,其主要是通过删除“不当的、不相关的、过时的”个人信息从而实现被遗忘的目标。个人信息权,是指信息主体对自己的个人信息所享有的进行支配并排除他人非法利用的权利,该权利的一个重要权能就是删除。因此,可将被遗忘权归属于个人信息权范畴。鉴于被遗忘权的产生与互联网服务的发展、自媒体的普及等密切相关,可以将被遗忘权视为个人信息权在互联网时代的一种特殊表现形态,被遗忘权的保护范围、权能行使均可为个人信息权所涵盖。首先,被遗忘权的保护范围仅限于网络上出现的与己有关“不当的、不相关的、过时的”信息内容,而个人信息权的保护范围非常广泛,包含姓名、性别、学历、联系方式、婚姻状况和财产状况等各方面的资讯,显然,被遗忘权的保护范围可涵盖在个人信息权之内。其次,被遗忘权的主要权能是删除信息,即删除对信息主体具有不利影响的过往信息,个人信息权更强调“自主控制权”,这种控制权表现在对信息的搜集、管理、使用、处分等各个方面,删除信息也理应包含其中。综上,被遗忘权不应作为一种独立的权利形态,它应当归属于个人信息权的范畴。
被遗忘权的权利结构[2]
依据民事权利的通常结构,即一方当事人依据何种请求向另一方当事人主张何种权利,被遗忘权的具体内容应包括四个方面:
(1)权利主体。
在具体构造被遗忘权的权利主体时,应注意区分不同信息主体所享有权利的限制问题。对于公众人物与一般公民,应赋予其不同的被遗忘权行使条件:一般公民应享有完整意义上的被遗忘权,不应当受到其他过多的限制;鉴于公众人物的特殊地位,为满足公众兴趣、保障公众知情权以及舆论监督权,对受到普遍关注的公众人物的被遗忘权应当进行必要的限制。
(2)义务主体。
被遗忘权的义务主体应为网络信息的控制者。在大数据时代背景下,各种搜索引擎运营商和自媒体不断涌现,这都为个人信息的永久记忆提供了媒介,留下了个人信息“不被遗忘”的隐患。因此,应当规定网络服务中个人信息控制者负有使信息主体实现“被遗忘”的义务,对符合信息主体删除要求的请求应及时采取技术措施予以保障。
(3)适用范围。
被遗忘权的适用范围应为能够识别信息主体身份的各类信息。在网络服务中,信息主体对自己曾经公开的信息资料是否继续保留拥有决定权,不管该类信息是否会对信息主体造成不良的社会评价,其都应当有权要求删除该类信息,这也符合私法自治理念的要求。但是被遗忘权并非是一项绝对权,对涉及言论自由、公众利益和历史科学研究需要的信息资料,不得请求删除,以此作为被遗忘权适用的例外情形。
(4)权利行使。
被遗忘权的行使应按照“申请—审查—删除”的程序进行。当信息主体对网络上有关于个人的信息提出删除要求时,应当以书面形式向信息控制者提供删除的申请,并注明删除信息的内容及理由。信息控制者应当设置专门的审查机构,在收到信息主体的删除申请后进行必要的审查,对符合删除条件的网络信息,应当及时给予删除,以实现信息主体的“被遗忘”目的。
在大数据时代,隐私不仅是一个规范性概念,而且是一个技术性的概念。在技术方面,隐私保护技术有一系列的设计理念。例如,匿名化可以通过将个人信息与个人身份脱钩来保护隐私。相反,“被遗忘权”是一个体现规范性隐私概念的法律框架,不能够直接对应技术概念以及实际操作。要在人工智能中实施“被遗忘权”,则必须首先对“遗忘”以及“记忆”对人工智能的含义有技术上的了解。
“被遗忘权”在本质上是基于人类大脑记忆的概念, 删除信息以免于公众访问的做法类似于人类“忘记信息”的过程。但对于人工智能而言,“忘记”或“数据删除”的过程极其的复杂。2017年的一项研究指出,当前使用的所有主要数据库均符合ACID原则(包含原子性、一致性、隔离性、持久性),而因此提高了“数据删除”的难度。具体来说,每条数据都可能位于内部数据库机制的不同位置,包括不同的复制型数据库、日志文件和备份中。完全的数据删除需要找到该数据所在的所有位置并用随机信息覆盖它们。在目前“被遗忘权”的法律框架下,删除数据的确切范围并没有准确的定义。如果满足“被遗忘权”需要将数据从所有内部机制中删除,这将为人工智能中“被遗忘权”的实际可行性带来进一步的阻碍。
被遗忘权的困境[1]
1. 被遗忘权是否能够被划进隐私权?
被遗忘权的权利性质划分几乎成了各国学者意见最为分歧的一点。有人认为是人格权,有人认为是财产权,有人认为是隐私权,有人认为是个人信息权 。不论怎么说,被遗忘权的独立属性已经无法忽视了。
对于自身活动所产生的数据所拥有的支配权,我们称为个人信息权。个人信息权不仅被归为民事权利,而且有学者认为,个人信息权是公民的基本民事权利。隐私权却不是这样,隐私权应当是人权重要的部分。
在竞争中,人们自然产生了隐私信息利益。竞争与合作使得人们开始仔细区分“独占信息利益”和“共享信息利益”。如果独占信息能给人带来更多好处,那么他/她就重视隐私信息利益;如果共享信息能带来更多好处,那么他/她就不那么重视隐私信息利益。“隐私利益的本质就是社会成员在某一特定社会群体中应当享有的独占信息利益,是个人独占信息利益与该社会群体所需要的共享信息利益之间的恰当分配。”经过物理性阶段后,隐私利益的信息性阶段到来。
2. 被遗忘意味着信息被删除吗?
删除是一个十分敏感的话题,因为一旦可以凭信息所有者的申请就删除数据,那么公众关于媒体寒蝉效应以及知情权受损的担心就会出现。举两个极端的例子:其一,如果总统候选人能够申请删除媒体对他的负面报道(不管是不是假新闻),那么他/她是不是存在蒙蔽选民的嫌疑?其二,如果某明星的肖像被恶意处理,传播甚广(譬如用AI识别换头技术将其头部嫁接在成人影片中并上传区块链平台),造成了毁灭性的影响,如果不删除这张照片,那么被遗忘能否实现?
所以,分类讨论十分必要。从信息发布主体来讲,新闻媒体作为公共事业的重要部分,它们生产的报道是绝不可删除的。另外,政府公布的文件、NGO发布的报告是不可抹去的。从信息性质来讲,真实、目前或今后将涉及公共利益的信息是不可删除的,虚假、目前和将来都不涉公共利益的信息是可以抹去的,而在光谱中间的信息,我认为需要赋予法官一定的自由裁量权。
3. 被遗忘的过程需要被遗忘吗?
将遗忘的过程遗忘听起来很拗口且滑稽,但是却很重要。比如,如果公民申请自己的过往雇用经历被遗忘,那么这个申请记录保不保留?如果保留且可以被公司访问,是不是就失去了申请的意义?基于公司的逐利心理,我非常相信他们会竭尽所有渠道这么做。如果不公开,那么会不会存在一个“信息黑洞”,即人们无法知道某些信息失踪以及为什么失踪,而知情权被把握在政府一方的手里?这会不会引起腐败,诱使主管部门权力寻租?如果不保留,那么谁能成为监管这一过程的力量?
一个重要的原则是,被遗忘权只能保证信息被注意的可能性被削弱而不能消亡。由此,我认为建立档案是必需的,当事人进一步的利益诉求不能成为法律“助纣为虐”的理由。如果有进一步需要保护的必要,那么责任也应当转移到信息需求方身上,就像乙肝歧视和同性恋恐惧一样,公司可以获取你的传染病信息和性取向,但是不能以此为理由而拒绝聘用。信息的本质功能是互动,在立法规制信息流动时也要调整接收方的责任。
4. 抓取范围需要设限吗?
搜索引擎的本职工作是什么?是抓取公开信息,而且是尽可能高效地抓取以提高服务质量。这是自由市场带给消费者的好处。但有一个非常现实的例子摆在我们面前:美国猎头公司hiQ Labs出于业务需求,为了解许多人的职业信息,抓取了著名职业平台LinkedIn的数据以建立算法。2017年8月,LinkedIn发现后,依据自身的反抓取禁令屏蔽了hiQ Labs。hiQ Labs随即指控LinkedIn。加州北区的地方法院判决hiQ Labs胜诉,LinkedIn上诉至第九巡回法院 。
事情没有那么简单。如果抓取能力不设限,那么对于首先收集数据的公司来说便是损失,毕竟收集二手信息的比一个个吸引用户注册简单多了。这会损害原始数据采集公司的动力,或许会激发它们立起收费墙的反应。这样的后果,各方都是不愿看到的。如果抓取能力设限,那么信息的公开度又受损,原始数据采集企业的霸权也不受约束。这样看来,问题便非常复杂。
5. UGC内容属不属于被遗忘权保护的范围?
这是社交媒体时代给隐私保护最大的挑战之一。用户生产的内容,上传至平台后并没有失去所有权,但是将管理的权力与访问的权力赋予了平台和平台用户。在最初签订的契约——注册用户时勾选同意的须知里——自然是没有被遗忘权的。
不过这个问题给我们的思考时,社交媒体平台和新媒体的特性使得信息的发布变得随意起来。当人们放松警惕的时候,法律就需要严阵以待。