大數據時代下被遺忘權的理論思辨與本土構建

張 弛,羅穎昕

(1.中國人民公安大學 法學院,北京 100038;2.廣州市公安局 越秀區分局,廣東 廣州 510120)

大數據時代,網絡技術的發展極大提升了人類社會存儲和處理個人信息的能力,信息傳播的速度和范圍都在前所未有地變快、變廣。當前,人們在享受數據便捷的同時,也不得不面對信息非法使用、隱私無端泄露等數據問題。在用戶畫像、算法推薦成為常態的當下,大數據收集、分析與存儲的程度已經大大超越了我們的想象——不僅是姓名、電話號碼、家庭住址等個人基本信息,行動軌跡、使用偏好、關系網等信息也以數據的形式存儲在云端。正如舍恩伯格所指出的:“如今,往事正像刺青一樣刻在我們的數字皮膚上,遺忘已經變成了例外,而記憶卻成了常態?！盵1]6大數據時代下,人類對個人信息控制權減弱的擔憂,推動了被遺忘權這一概念的誕生與研究。我國作為互聯網大國,應當如何回應數據時代對個人信息保護所提出的問題?習近平總書記在一系列全國網絡安全和信息化工作會議中強調,要堅持網絡安全為人民、網絡安全靠人民,保障個人信息安全,維護公民在網絡空間的合法權益。我國《民法典》將“隱私權與個人信息保護”列為人格權編中獨立的一章,同時于2021年出臺《個人信息保護法》(下稱《個保法》),專門針對公民個人信息進行具體傾斜性的保護,彰顯了我國對個人信息與數據安全的充分尊重。在現實與立法背景下,被遺忘權制度的法律定位、是否應在本土建立被遺忘權制度以及如何構建,成為大數據時代所面臨的重要問題。

一、被遺忘權的概念厘定

(一)被遺忘權的基本界定

1．被遺忘權的產生

被遺忘權的概念有傳統和現代之分。傳統語境下的被遺忘作為現代被遺忘權的概念雛形,指的是類似于法國法或意大利法中對前科犯的規定(1)法國法稱“le droit à l’oubli”,指罪犯在服刑之后有權要求淡出公眾視野,新聞媒體不得再對其過往犯罪或服刑事實進行報道。。但這種意義上的被遺忘權因為針對特定情形,因此不具有普適性[2]。本文所討論的被遺忘權是現代意義上的被遺忘權,即數字被遺忘權。

歐盟最早構建被遺忘權制度,對被遺忘權的態度也較為積極開放。從20世紀70年代起,隨著數據與信息技術的發展,歐洲掀起了制定數據保護法的浪潮。1995年歐盟頒布了《數據保護指令》,其中有關“刪除權”“目的性限制原則”等條文和內容被理解為“稀釋后(Diluted)”[3]的被遺忘權,為其制度化提供了法理上的淵源。不過,上述條款在內容上存在很大的局限性,不被認為是真正意義上的被遺忘權(2)如條款6(1)(e)的適用,除了某些特別情形,個人數據在互聯網上被收集、處理和存儲時間的模糊(indeterminate)與目的的繁多(myriad)使目的限制原則在實踐中趨于無效;條款7的同意規定中并未提及當個人撤回同意時應如何處理個人資料;對于條款 29,工作組在最近關于同意的意見中強調,應始終允許個人撤回其同意。但是,這種撤回只會影響到以后的數據處理,即在提出異議之后,因此對于以前發生的數據處理行為是無效的。。一般來說,“谷歌訴岡薩雷斯”一案被認為是被遺忘權首次得到法律承認和保護的標志性事件(3)西班牙人岡薩雷斯在使用谷歌搜索其姓名時發現了《先鋒報》刊登的其于1998年因拖欠保險費用被拍賣房產的拍賣公告及保險費追償公示,并向歐盟法院提出刪除網頁相關個人信息的訴求,法院支持了岡薩雷斯的請求,并要求谷歌作為“控制者(controller)”應當刪除有關信息主體的“不當的、不相關的、過時的”搜索結果。,這一案件以司法判例的形式確立了數據主體享有被遺忘權。隨后,在經歷“被遺忘和刪除權——刪除權——刪除權(被遺忘權)”的歷程后,歐洲法院最終通過《通用數據保護條例》(General Data Protection Regulation,下稱“GDPR”)將被遺忘權以成文法的形式確立起來,并深刻影響了世界各國數據立法的進程。

與之相比,我國《個保法》是在《民法典》的立法經驗基礎上,借鑒了GDPR等比較法的經驗所制定,其中頗具亮點的內容就是增加了個人刪除權主張的具體情形。本文認為,雖然《個保法》中所明確規定的刪除權與被遺忘權在內容和適用上有相似之處,但二者并不完全等同,也就是說,在對被遺忘權的保護上,我國現有立法仍存在有待完善和發展的空間。

2．被遺忘權的界定

被遺忘權概念的界定至今在學界尚未形成統一的觀點。有學者認為,被遺忘權是個人信息的擁有主體基于隱私自主而要求個人信息收集者、發布者、索引者等隨時刪除遺留在信息網絡當中的各種有關個人的數字痕跡,從而使其被其他人所“忘記”的權利[4]。也有學者認為,被遺忘權是指權利主體要求刪除網絡上他人所發布的有關他過去不當行為信息的權利[5]。還有學者認為,如果權利人不希望其個人數據繼續被數據控制者進行處理或存儲,并且維持此種狀態不存在任何正當理由,則該數據不應當允許公眾隨意查詢[6]23。

這些觀點從某些角度而言是存在沖突的。比如對被遺忘權客體的界定,分別采取了“各種有關個人信息”及“不當行為信息”兩類表述,其中的原因可能與不同學者對被遺忘權權利本源的認識不同,分別從刪除權或隱私權的基礎上進行擴充解釋有關。再比如對被遺忘權實現手段的界定,有“不允許公眾隨意查詢”和“刪除”兩種類型。而實際上,上述第一和第二種觀點中的“刪除”在概念上也不是等同的,前者意味著實現信息的徹底滅失,而后者采取的是廣義上的“刪除”,即降低信息訪問的便利性。通過文獻的閱讀,我們發現,不同學者往往在不同的語境下來使用“被遺忘權”這一概念,有的從廣義上理解被遺忘權,有的從狹義上定義被遺忘權,還有的在傳統被遺忘權與現代數字被遺忘權之間來回穿梭,不加區別地予以論述[7]。但同時,也不應忽視不同觀點間存在的共性。其一,行使被遺忘權的目的是讓公眾實現對相關個人信息的“遺忘”,使數據主體享有獲得新生活的權利。其二,不論其所界定的實現手段是刪除還是不允許隨意查詢,被遺忘權的核心意涵都是通過嘗試模擬一種數字化社會的遺忘機制將已經公開的個人信息重新歸于隱私領域[8]26-27,從而解決互聯網永久記憶給人類尊嚴所帶來的問題。其三,無論是狹義還是廣義的被遺忘權,都體現了信息自主的理念,即數據主體有權決定個人信息在何時、何地、以何種方式進行公開。

綜上所述,本文認為,被遺忘權是指數據主體基于信息自主而采取特定手段將其已經公開的個人信息重新歸于隱私領域,從而使公眾遺忘的權利。

(二)被遺忘權的法律性質

《民法典》首次編入個人信息保護的內容,并將其納入人格權的保護框架內,隨后《個保法》進一步確立了“個人信息權”的理念,為個人信息權益保護提供了專門化的法律依據。在對被遺忘權法律性質的爭論中,有一種較為統一的觀點認為被遺忘權屬于個人信息權,本文也贊同這一觀點。首先,被遺忘權客體所涉及的信息只有在能夠單獨或與其他信息結合并指向權利主體時,才具有“被遺忘”的必要性,因此被遺忘權能夠體現數據主體的人格特征,是一種人格權[9];其次,此類個人信息背后保護的人格利益顯然不具有獨立性,因此被遺忘權應當附屬于某項具體人格權,考慮到被遺忘權與個人信息的密切聯系,既然不能將其納入隱私權的范疇,那么應當將其放入個人信息權的保護體系內(4)隱私權制度的重心在于防范個人的私密信息不被披露,而并不在于保護這種私密信息的控制與利用;且隱私權的客體為公開領域的私人信息。從這兩個層面而言,不能將被遺忘權放入隱私權的框架中。。

其一,被遺忘權契合個人信息權的本質屬性。個人信息體現一個人的人格特征,國家確立個人對其信息的自主支配,就是要維護個人的人格尊嚴[10],而被遺忘權正是通過特定手段,將已經在網上發布的不恰當的、過時的、不必要的或其他繼續保留會降低數據主體社會評價的數據重新歸于私人領域,使人格尊嚴不受侵犯,符合個人信息權的精神特征。其二,個人信息權的實現手段涵蓋被遺忘權的實現手段?！秱€保法》規定,個人在個人信息處理活動中享有查閱、復制、更正、補充、請求刪除個人信息等具體權利,有權按照自身意志決定個人信息的占有與使用,是一種支配權。有學者也將個人信息權定義為“信息主體依法對個人信息享有的支配、并排除他人侵害的權利”[11]。而被遺忘權的實現手段是隱藏、刪除、限制傳播等能夠實現信息與其關聯主體脫鉤的方式,其范圍遠遠小于個人信息權的支配、控制權能。其三,個人信息權的客體涵蓋被遺忘權的客體?！秱€保法》對個人信息的界定相當寬泛。與此相比,被遺忘權指向的客體僅為已公開的、數字化形式的不恰當的、過時的、不必要的或其他繼續保留會降低數據主體社會評價的信息,在信息類型、披露情況、存在形式等方面進行了限定。

因此,被遺忘權就是個人信息權的權利內容,其權利本源關系是:人格權→個人信息權→被遺忘權。

(三)被遺忘權與刪除權之爭

既然探討被遺忘權的概念與性質,就無法離開與刪除權的關系爭論。兩種權利的關系一直是學界爭議的熱點,觀點眾多,尤其在《個保法》出臺后,討論更為激烈?？傮w來看,存在兩種觀點:一種觀點是“包容說”,即認為《個保法》所規定的刪除權含義廣泛,足以將被遺忘權涵蓋[12]371;另一種則是“區別說”,認為兩者有所區別[13]。本文認為,應當辯證地看待這兩種觀點,明確兩者之間既存在聯系又有區別。

從命名方式而言,被遺忘權實際上包含了兩層意思:一是對個人信息的刪除,二是實現個人不當信息被遺忘的結果。GDPR在其序章中也指出,“刪除”是權利行使的手段,而“被遺忘”則是權利行使的目的[14]。相比刪除權僅能反映第一層意思,被遺忘權更能體現出行使這一權利的目的和效果。

從權利主體而言,《個保法》中有關刪除權的規定是在《民法典》第1037條第2款規定的基礎上產生的,也就決定了其權利主體是自然人。被遺忘權的權利主體同樣是自然人,這是因為自然人有著法人所沒有的情感機制,會導致精神損失的產生。而確立被遺忘權的目的,就是為了防止不當數據的產生與傳播對個人精神、名譽與未來發展可能帶來的負面影響。

從客體范圍而言,被遺忘權表現為個人請求個人信息處理者“遺忘”自身已公開或半公開的個人數據;而在刪除權語境下,無論是未公開信息還是已公開信息,只要涉及法定情形,都屬于刪除權的客體范圍。

從適用條件而言,《個保法》第47條規定了刪除權及其適用情形。從條文中可以看出,刪除權只有在條款所列舉的特定情形下才可以行使,對于條款外的情形則無法生效,因此采取的是以不刪除為原則,刪除為例外的立法方式;對于滿足適用條件的信息,以處理者主動刪除為主,個人請求刪除為補充。被遺忘權則與之相反,采取的是以“遺忘”為原則,“不遺忘”為例外,處理者只能基于條款列舉的特定情形進行抗辯;而且被遺忘權的行使以個人請求為前提,沒有請求便沒有“被遺忘”。

從行使模式而言,我國《個保法》規定的刪除權是“個人—企業”的“一對一”模式,即無論在何種情形下,實施刪除的主體都是個人信息處理者。而被遺忘權的行使不僅包括上述“一對一”模式,還包括“一對多”模式,要求個人信息處理者負責對其已經傳播出去的個人數據采取必要的措施予以消除,也就是說,處理者還有義務通知第三方處理者一同刪除,即在這一模式下,實施刪除的主體既包括處理者,也包括傳播者。

從實現手段而言,刪除是實現刪除權的唯一方式;而修正、限制傳播、隱藏等能夠實現個人信息與關聯主體脫鉤的方式都可以成為被遺忘權的行使手段,非必要時無須刪除。因為刪除是信息的徹底滅失,但是人類很難確定哪些信息在未來仍具有價值,也很難確定未來是否會產生比刪除更適當的方式,因此只有在信息被確定已經不再具有任何價值時才可進行刪除,具有終極性與謙抑性[13]。

綜上,被遺忘權與刪除權在界定和適用上都存在區別,二者不能簡單畫上等號,這就為本文探討被遺忘權制度的構建提供了理論辨析的空間。

二、被遺忘權制度的理論性思辨

大數據時代下,是否有必要實現被遺忘權制度在我國的本土化構建,首先應對該制度的理論性基礎進行辨析。目前,學界在被遺忘權制度價值的話題上存在較多不同的聲音,不少學者從立法必要性、實踐可行性、制度沖突性等方面對被遺忘權制度提出了質疑。在現有反對意見下,本文將逐一進行辨析和回應,從而明確被遺忘權的制度價值。

(一)質疑:對被遺忘權制度的反對意見

1．對立法必要性的質疑:增加額外成本

一方面,反對者認為現有法律框架已經涵蓋了被遺忘權,再設置被遺忘權制度只會增加立法與實施成本。如我國有學者指出,《個保法》第47條實質上已經規定了我國本土化的被遺忘權[15]。還有外國學者指出,如果通過行業自律和市場調節等非立法手段或隱私權擴張便可解決被遺忘權帶來的問題,那么被遺忘權在是否存在的必要性上是值得考量的[16]。另一方面,反對者認為被遺忘權制度將極大增加企業的經營成本,該制度的確立會使擦除信息的請求蜂擁而至,企業將不得不花費大量的精力分辨并審核信息的關聯性與合理性,導致不必要的負擔增加,并對數字經濟的發展帶來巨大沖擊。

2．對實踐可行性的質疑:存在適用難題

從理論層面來說,被遺忘權尚存在諸多爭議,大多數國家還沒發展出成熟的概念體系和權利理論,因此反對者認為,其并未成為一個實證法上真正的問題。更重要的是,從實踐層面來看,無法刪除用戶使用其他關鍵詞搜索或垂直搜索獲得的結果,也無法阻止網絡用戶未經授權地復制數據和登錄他國網站[17],也就是說,當用戶發布的信息開始傳播,就基本不可能對其進行刪除。而更糟糕的是,行使被遺忘權有很大可能產生“史翠珊效應”——數據主體將此項權利作為自己爭取重獲新生的有力武器,反而將自己的“黑歷史”放置于聚光燈下(5)2003年,美國歌手、演員芭芭拉·史翠珊狀告攝影師肯尼思·阿德爾曼和網站Pictopia.com,令其移除阿德爾曼所拍攝1.2萬張加州海岸攝影中含有的對史翠珊住所的空中攝影,以保護史翠珊的隱私。結果史翠珊敗訴,次月,有多達42萬人前來瀏覽阿德爾曼的網站。2005年,美國博客作家麥克·麥斯尼克首先提出“史翠珊效應”一詞,意指“試圖阻止大眾了解某些內容,或壓制特定的網絡信息,結果反而使該事件為更多的人所了解,造成免費宣傳的反效果”現象。。如“谷歌訴岡薩雷斯案”中,當事人岡薩雷斯希望公眾遺忘其個人信息,反而使本案成為全球公共事件,岡薩雷斯因此聞名全球。

3．對制度平衡性的質疑:與其他制度相沖突

關于被遺忘權與其他制度的平衡問題,反對聲最大的意見是被遺忘權制度威脅言論自由。大數據時代,信息流通是必然的發展趨勢,被遺忘權給予個人在數據空間更大的支配與控制權時,也面臨著侵害他人表達自由的問題。因此有觀點指出,我國引入被遺忘權制度可能使其淪為言論審查的工具。也有學者指出,在對言論過于寬泛的限制下,社交媒體為規避可能遭受的嚴厲處罰,會刪除一些“模棱兩可”的言論,引發“寒蟬效應”[18]。另一個較大的反對意見是,被遺忘權制度可能侵犯公眾知情權。如果這一制度遭人利用,尤其是遭到一些職業性質特殊的人群的利用,那么可能會成為其隱瞞重要信息甚至篡改公眾記憶的工具。反對者認為,實際上被遺忘權確立的是一種絕對化的個人信息權,其混淆了私人信息與公共信息的邊界,將本該由個人所承擔的信息曝光的責任變為國家的正式法律來承擔,嚴重影響信息的合理流通與公眾的知情權[19]。

(二)分析:對質疑的回應

基于對以上反對意見的分析,本文認為,上述反對意見均有一定的道理,如我國的數字刪除權在一定程度上借鑒了GDPR的被遺忘權,二者確實有相似之處。其肯定了行業自律等非立法手段在個人信息保護上的重要作用,指出了權利間的緊張關系等。但從全球范圍內的數據立法趨勢而言,反對者的意見難免顯得悲觀,忽視了被遺忘權在現實世界中的成功實踐與迫切需求。

1．被遺忘權制度構建的必要性

其一,如前文所述,被遺忘權與《個保法》所規定的刪除權雖然有部分重合的地方,但區別也較為顯著,也就是說,刪除權并不能完全涵蓋被遺忘權的內容。而且,通過隱私權擴張的方式進行保護也不符合實際,持有這種觀點的學者很大程度上是受到美國立法實踐的影響。但美國法主張的是廣義隱私權,即“信息隱私權”,相當于我國立法中的個人信息權[20],而大部分國家在其立法上主張的是狹義隱私權,狹義隱私權與被遺忘權的保護重心截然不同,也就導致無法采用隱私權擴張的方法。再者,在立法空白的前提下,被遺忘權的立法仍是主基調,行業自律與市場調節更多應作為輔助手段使用,過度強調發揮非立法手段的功能無疑是本末倒置。其二,被遺忘權制度的構建不會制約經濟的發展。大數據時代背景下,個人數據相當于數字市場中的貨幣,相比于為了審查用戶“被遺忘”申請所付出的成本,個人數據對企業而言更具價值,但它的獲取與流通同樣需要穩定和信任。被遺忘權讓用戶相信他們的數據是可自決且受保護的,并得以繼續接受企業提供的服務,從而有力推動全球大型數據分析市場的發展。

2．被遺忘權制度實施的可行性

首先,不應混淆廣義與狹義上的刪除以及“刪除”與實現“遺忘”的手段。被遺忘權承認合法信息公開后較難銷毀的客觀事實,也不以銷毀為目的,而是在個案中根據權利客體的情況采取不同的、降低信息訪問便利性的手段。這不僅需要國家機構的介入,更需要數據公司的努力,如研發相關算法、改進審核機制等。其次,必須明確事物的發展不是一蹴而就,而是曲折前進的。被遺忘權真正付諸實踐不過短短幾年,權利行使的規范性有待提高,實施機制甚至是法條本身也不完善,反對者提出的“史翠珊效應”不過是這種“不規范”“不完善”的外在體現?！肮雀柙V岡薩雷斯”一案一方面是因為該案是歐盟確立被遺忘權的司法判例,在此之前并無被遺忘權;另一方面是因為該案公開信息的方式存在不當之處,所以才產生了“越想被遺忘、越會被記住”的悖論。反觀英國在公開被遺忘權的司法判例時,對當事人采取了匿名化手段,則很好地規避了“史翠珊效應”。

3．被遺忘權制度與其他制度的平衡性

因為被遺忘權與其他權利存在價值沖突就否定被遺忘權是不可取的。其一,被遺忘權與言論自由、公眾知情權不是絕對對立的。追溯被遺忘權產生的歷史,被遺忘權是在大數據、算法技術迅速發展的背景下對言論自由、隱私權問題的回應:一方面,數字社會的記憶機制使人類“住進了數字圓形監獄”[1]16-18,而被遺忘權可以給人“享有清白歷史”的機會,讓公眾不再因為時間流逝產生對已公布信息的不可預期感與不安全感,有利于言論自由的發展;另一方面,在數據信息化背景下,被遺忘權可以充當“過濾器”的作用,篩除過時的、不相關的或不再相關的信息,為公眾提供一種高效獲取有價值信息的方式,反而有利于保障公眾知情權[8]55。其二,比例原則的適用能夠解決價值沖突問題。以歐盟為例,從立法上看,GDPR將“不必要的信息”納入被遺忘權的客體范圍中,并規定行使權利的例外情形都需體現比例原則。從司法上看,“谷歌訴岡薩雷斯”一案中,歐洲法院在要求谷歌刪除鏈接的同時,并未要求《先鋒報》刪除信息,恰恰實現了個人隱私與新聞自由間的平衡。

(三)總結:被遺忘權制度的獨特價值

結合前文的反對意見及對其的回應,本文認為,被遺忘權雖然在理論和實踐上存在爭議,但總體而言還是有構建的法律價值與現實意義的。

1．立法意義:覆蓋刪除權無法觸及之處

通過前文對被遺忘權與刪除權的對比分析,尤其是對兩者適用條件、行使模式的比較我們可以發現,刪除權相較于被遺忘權仍有許多無法觸及之處。一方面,被遺忘權彌補了刪除權在人格尊嚴保護上的未竟之功。刪除權僅適用于條款規定的特定情形,而對過時的、不準確、不恰當的個人信息無法生效,這有可能導致個人信息在不存在違法違規的情況下,因為脫離原有語境,使得公眾對其關聯主體作出存在偏差的評價,有損數據主體名譽,而被遺忘權能夠覆蓋這些過時、不必要的信息,并致力于向公眾展現“現時的自我”,大大提高了個人尊嚴的保護力度。另一方面,被遺忘權強化了處理者在信息傳播過程中的責任。在刪除權的語境下,平臺并不承擔限制他人傳播個人信息的責任,這正是最難完成且對數據主體最重要的功能,而被遺忘權“一對多”的行使模式壓實了信息傳播平臺作為處理者的連帶責任,體現了被遺忘權對刪除權功能的擴張與彌補[21]。

此外,被遺忘權的構建還可應對某些不可刪除的敏感信息如前科、病歷、出身等。在我國,經常出現被刑事或行政處罰的當事人在處罰結束后發現自己的不良記錄出現在公開的互聯網記錄中,導致后續日常生活中的諸多不便。我國立法雖然沒有明令禁止互聯網平臺或其他民事主體私自披露法院判決書或行政機關決定書中所載明的內容,但該行為確然會對當事人造成額外的困擾,有可能會使當事人在承擔刑事或行政上所確定的責任之外長時間面對一系列的隱形懲罰。實際上,判決書或決定書的公開應當由作出機關統一為之,即便是依法可以公開的判決書或決定書,在公開時也應當采取一定的隱名化措施,給予經受過處罰的當事人一次重新生活、二次做人的機會。這種隱名化措施實質上就是對于敏感信息的限制或者禁止使用而非直接刪除,從而通過信息的“被遺忘”,保護當事人正常的生活自由與空間[22]。

2．司法意義:彌補當前司法實踐漏洞

在我國被遺忘權第一案“任某訴百度”一案中,原告任某首次向法院主張享有被遺忘權,但法院認為,我國現行法律中并無對“被遺忘權”的法律規定,亦無“被遺忘權”的權利類型。任某依據一般人格權主張其被遺忘權應屬一種人格利益,該人格利益若想獲得保護,任某必須證明其在本案中的正當性和應予保護的必要性,但任某并不能證明上述正當性和必要性(6)原告任甲玉曾在陶氏教育上班,后與該機構解除勞動合同關系,但其在百度搜索發現仍有“陶氏教育任甲玉”等將兩者關聯起來的信息,在要求刪除相關內容后未得到回應。由于陶氏教育在業界名聲不好,因此任甲玉訴稱,上述侵權信息使其聲譽下降、工作受阻,同時讓公眾產生誤解?；诖?任甲玉主張百度公司停止侵權、賠禮道歉、消除影響、賠償損失,同時采取“屏蔽”手段,即在搜索界面輸入其姓名時,結果頁面不得出現陶氏與其相關聯的內容。參見北京市第一中級人民法院:《任甲玉與北京百度網訊科技有限公司名譽權糾紛二審民事判決書》。。雖然任某的訴求并未獲得法院支持,但此案也啟示我們,我國不以判例為法律淵源,而法官的自由裁量權又極其有限。如果法官冒險突破法條進行解釋,不僅有可能遭到處分,還有造成公眾不滿、引發輿情、損失法律公信力的風險,因此在沒有法律條文或司法解釋明確規定的情況下,法官只能采取謹慎的態度,不對概念進行擴張性解釋,而僅根據尚無法律規定判決原告敗訴。類似的,如前文所述,發現自己的刑事記錄出現在公開互聯網記錄中的當事人,如果起訴信息發布者侵犯自身隱私權或個人信息權,法院會以“損害公共利益、違反實體法的強制性規定或違反重要的公共道德的隱私,不應受到法律保護”為由,認定原告被處罰的信息不屬于“依法可以受到法律保護的個人信息”(7)參見杭州市拱墅區人民法院(2014)杭拱民初字第281號民事判決書。。

總體來看,在沒有明確立法的情形下,當前我國法院針對個人信息被過度披露和使用的情形更傾向于采取保守的立場,缺乏擴展和解釋個人信息保護對象的動機。實際上,對于信息處理來說,“刪除”只是其中之一的方式,被遺忘權制度的缺失導致限制信息的獲取和使用存在空白,為當前司法的適用帶來了障礙,對國家與個人都存在潛在的風險,因此亟須構建被遺忘權制度,彌補當前司法實踐中存在的漏洞。

3．現實意義:規范企業實務操作

當前,在我國部分互聯網公司的運營實踐中,有些做法已暗合被遺忘權的實踐。如微信朋友圈推出“僅某一時間段可見”功能,該功能并非徹底刪除過往信息,而是將其隱藏,隨著好友不可查閱而逐漸被“遺忘”,一旦發布者取消該功能,過往信息又從隱藏狀態恢復,隨著好友能夠查閱而被“回憶”。同樣,百度、360等公司也都針對其搜索引擎推出了“快照刪除與更新”服務,根據提示填寫快照鏈接與聯系郵箱,寫明申請原因并上傳相關圖片即可申請刪除,發布者無須為過去的“黑歷史”遭受不必要的詰難與非議。不過,這些操作均屬于個別企業的自律行為,不具有普遍性與強制性?，F實中更普遍的情況是,用戶行使刪除權時往往遭遇平臺設置的各種阻礙,導致其訴求只能在“尋尋覓覓”中“不了了之”,嚴重損害了個人信息權益[23]。構建本土被遺忘權制度,一方面有利于規范企業尤其是互聯網公司的運營,另一方面也能有效普及契合“被遺忘”內核的操作,進而提升用戶體驗。

三、被遺忘權制度的域外比較分析

(一)域外被遺忘權制度的總體概況

各國受本土歷史文化傳統、數據信息發展程度等因素的影響,在立法上對被遺忘權采取了不同的態度,本文選取了十個主要國家或地區的被遺忘權制度進行考察,總體情況如表1所示。

表1 被遺忘權制度的國別概況(8)“√”代表“是”或“支持”,“×”代表“否”或“反對,“○”代表“中立“,“/”代表“無相關規定”。

通過表1可得,在這十個主要國家和地區中,對于被遺忘權制度持支持態度的有六個,持反對態度的有兩個,持中立觀望的有兩個,形成了三個主要派別。

1．以歐盟、俄羅斯為代表的支持派

歐盟在數據立法上比較激進,不僅率先確立了被遺忘權的合法性,還致力于推進這一權利在世界范圍內的保護。俄羅斯對被遺忘權的態度也比較樂觀。在“谷歌訴岡薩雷斯”一案后,俄羅斯于2015年完成了被遺忘權立法,其在實體法上采用了民法典與單行法并行的二元立法模式,并兼顧實體法規范與程序法規范的設計[24]。

2．以美國、英國為代表的反對派

與歐盟和俄羅斯相反,美國對被遺忘權采取了比較保守的態度。美國的聯邦法中并未確立被遺忘權制度,但在未成年人隱私安全問題突出的背景下,基于對這一弱勢群體的保護,美國部分中央政府部門及地方政府進行了限縮性立法的探索。如,美國聯邦貿易委員會制定了《2011兒童防追蹤法案》(Do Not Track Kids Act of 2011),創設了“橡皮擦按鈕”(Eraser Buttons) ;2013年加州第568號法案(Senate Bill No.568),也被稱為“橡皮擦法案”,規定未成年人有要求刪除其在社交網站發表內容的權利。而英國雖然身為曾經的歐盟成員國,卻堅定地與美國一同站在反對被遺忘權的陣營(9)英國獨特的地理位置造就了其文化的保守性,這種保守性也體現在其立法進程上:當歐洲被遺忘權的立法趨勢勢不可當之時,英國即便持有保守反對的立場,也不得不對這種趨勢作出回應,但這種回應也注定是“和緩、平穩、漸進”的。。即便后來其態度逐漸轉變,但被遺忘權制度在英國的發展仍呈現出被動性的特點[25]。2018年,英國通過“NT1、NT2訴谷歌”一案,首先以判例形式確認了被遺忘權的存在(10)作為原告的NT1與NT2是多年前因涉嫌商業犯罪而被判處刑罰的兩名商人,被告為谷歌公司。原告以谷歌搜索引擎的檢索結果“陳舊、過時,而且與公共利益也不存在任何關聯”為由,認為繼續披露只會侵犯他們的合法權利并主張應當立即予以刪除并賠償損失。最終,法院在衡量各方利益的基礎上,駁回了NT1的訴訟請求,而對NT2主張的被遺忘權予以認可。,隨后在新修訂的《數據保護法》中確立了英國本土的被遺忘權——“擦除權”。

3．以日本為代表的中立派

日本認可被遺忘權的重要性,并先后通過三起案件從司法層面承認了被遺忘權[26]。而且,日本在被遺忘權的司法實踐中也參照和借鑒了歐盟被遺忘權的部分內容,這可能與日本是典型的繼受法國家有關[27]79。但其對歐盟所提出的保護路徑并不完全認同,也沒有完全移植歐盟的被遺忘權概念,而是援引本國《個人信息保護法》進行相應解釋。

(二)被遺忘權制度的具體比較分析

作為支持派、反對派、中立派的典型代表,歐盟、美國、日本個人信息保護的法律實踐豐富,且互聯網發展基礎較好,能為我國提供更多經驗借鑒。另外,從我國立法實際來看,《個保法》在立法體例、適用范圍等方面又主要借鑒了歐盟GDPR的模式。因此在表1所示的十個主要國家和地區中,本文將具體比較和分析歐盟、美國、日本的相關制度,同時穿插介紹其他國家的經驗。

1．多元立法路徑選擇

隨著世界各國數據立法進程的推進,被遺忘權制度構建路徑選擇的多元化屬性逐漸顯現。其中一種比較典型的就是以歐盟為代表的統一立法模式,即歐盟通過制定GDPR,對數據主體適用被遺忘權使用統一標準。這種模式強調政府公權力的作用,一方面能通過發揮國家強制力、加大被遺忘權的保護力度,另一方面也有利于統一管理。但同時也存在監督管理容易僵化、抑制企業創新活力、阻礙信息自由流動等問題[28]。還有一種比較典型的是以美國為代表的分散立法模式,具體指美國各個部門或州政府根據不同需求在公法領域、私法領域進行被遺忘權立法。為了追求信息流通的價值與效率,美國更多依靠行業自律與市場調節等非立法手段回應被遺忘權提出的問題。這樣做的優點是能夠激發企業的積極性,促進信息的自由流動,但缺點也十分突出——完全依靠市場進行調控,容易引發企業間的不當競爭,最終危害的是作為數據主體的公民。在這一背景下,將兩種主流模式融合、加入本土特色的統分結合模式應運而生,即政府在法律上采用統一立法形式,并根據各個行業的特點引導行業協會制定行業規范,推行適當的行業自律,既能保證法律實施的有效性,又能充分發揮企業的自律作用[29]。日本便是這種模式的典型代表,雖然其在被遺忘權立法這一微觀層面上秉持著中立觀望的態度,卻能在個人信息安全整體立法的宏觀方向上為我們提供路徑借鑒。

2．強調比例(必要)原則

比例原則,也稱“必要原則”,包括目的正當性、適當性、必要性、均衡性四個子原則。被遺忘權并非可以無限擴張的超級權利(Super Right),如果不引入比例原則對這一權利進行限制,就會嚴重威脅公眾知情權、言論自由等權利的行使。實際上,GDPR所規定的實現被遺忘權的例外情形,即控制者可以基于表達自由、社會利益、公共健康等事由進行抗辯,正是立法上比例原則的具體化。其中,適用“表達自由”事由時,應注意與公眾知情權相平衡;適用“基于官方權威”事由時,應注意與個人保護相和諧;適用“公共健康”事由時,應注重手段的適當、持續、明確,并在必要時采取匿名或去識別化手段;適用“歷史、科學與統計研究目的”事由時,須以“數據處理是達成此目的的唯一方式”為前提,且與其他數據區分,并采用去識別化手段[30]。GDPR在被遺忘權適用的一般情況外規定了例外情形,又為例外設置了適用的前提條件,通過這樣一環一環的對抗實現了被遺忘權與其他基本權利的平衡。

3．區分權利主體

被遺忘權的權利主體是自然人,但是自然人中也有很多群體因其職業性質、智力水平等因素處于天然強勢或弱勢,因此很多國家在進行數據立法時都會尤其注意權利主體的區分。

一方面,區分公眾人物與普通公民。歐陸國家大多選擇限制公眾人物的被遺忘權,如GDPR規定,在申請主體為公眾人物的情況下,其申請刪除的信息通常不認為是個人隱私信息,除非存在有力證據表明相應信息為隱私信息。也就是說,在申請主體為普通公民的情況下,被遺忘權以“遺忘”為原則,以不刪除為例外,數據控制者須基于特定事由抗辯,即舉證責任倒置,這體現的是在信息不對稱鴻溝下對處于弱勢一方的普通公民的社會化保護,而公眾人物則相反,他們普遍具有公共性,這不僅代表著其言行品德對公眾有著示范效應,關系著社會公共利益,也意味著他們更容易控制媒體,取得強勢地位。也就是說,在個人隱私權與公眾知情權的天然沖突中,為了維系兩者的平衡,必須對公眾人物的某些隱私權進行限制,嚴格規制公眾人物被遺忘權的適用條件,因此規定了區別于普通公民的“誰主張、誰舉證”的舉證模式。另一方面,區分成年人與未成年人。在對未成年人的特別保護上,各國也有所不同,從現有已考察的各國來看,特別保護年齡的設置大多集中在13—18周歲。其中,2012年GDPR草案中創設的被遺忘和刪除的權利,正是重點強調未滿18周歲者所享有的刪除其過往不利信息的權利(11)GDPR草案第17條規定,當出現下列情況之一時,數據主體享有從控制者處刪除及避免進一步傳播與其有關的個人資料的權利,特別是提供個人資料的數據主體為兒童時……(The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data,especially in relation to personal data which are made available by the data subject while he or she was a child,where one of the following grounds applies……);同時,GDPR草案的說明中提到,兒童的個人數據應得到特別保護,因為他們可能不太了解與處理個人資料有關的風險、后果、保障措施和權利。本條例對“兒童”的定義應采取《聯合國兒童權利公約》的定義,即18歲以下的任何人(Children deserve specific protection of their personal data,as they may be less aware of risks,consequences,safeguards and their rights in relation to the processing of personal data.To determine when an individual is a child,this Regulation should take over the definition laid down by the UN Convention on the Rights of the Child)。,而GDPR的最終文本則規定其成員國可以根據本國情況設置特別保護年齡,但須在13周歲以上16周歲以下,對此,法、德均作出了不同回應。部分國家(如俄、澳)則并未對未成年人享有被遺忘權給予特別保護。加州第568號法案將未滿18周歲的未成年人全部納入保護范圍中,大大拓寬了《兒童在線隱私保護法》所保護的主體范圍;同時,加強了未成年人“橡皮擦按鈕”的刪除力度,使其可以永久刪除。

4．建設專門數據保護機構

在專門機構設置上,除阿根廷外,本文所考察的國家基本上設置了數據監管機構,如法國國家信息與自由委員會、英國信息委員辦公室等。個人信息保護監管機構的設置有兩種模式,一種是以歐盟為代表的跨行業統一監管模式。歐盟規定,其成員國須設立至少一個獨立的監管機構來監督和促進被遺忘權的實施,該機構被賦予調查權、矯正權、授權與建議權、處罰權等諸多權力。對于違法處理個人信息的行為,監管機構可以采取警告、申誡或責令整改以及巨額行政罰款等處罰措施。這種“一刀切”的模式有利于實現執法尺度的統一,但也因為各行業跨度較大、學習門檻不一,容易在行業專業問題上力不從心。另一種則是以美國為代表的行業主管監管模式,解決了前者模式的弊端,但是又出現監管要求有差異、執法尺度不統一的問題。

5．重視行業自律

各國以美國和日本為代表,可以分為兩種不同的自律模式:一種是以行業自律為主甚至基本依賴行業自律的美國模式,一種則是以行業自律為輔助的日本模式。

有學者將美國模式細分為四種形態,即自律組織制定建議性的行業指引,組織成員承諾遵守;網絡認證組織為被許可的網站張貼認證標志,網站必須遵守在線資料收集的行為規則,并服從多種形式的監督管理;提供個人隱私選擇平臺,根據用戶設定的偏好選擇是否進入站點;企業設立首席隱私官與安全官[31]。這些形態都非常重視發揮行業組織與數據使用者的作用。同時,為了在美歐被遺忘權差異下維持雙邊貿易的正常進行,美國與歐盟達成了“安全港協議”,即美國企業可以自愿申請加入該協議,以此獲得歐盟個人信息傳輸批準,而加入的企業若有違規行為則會遭受被要求刪除個人信息或暫停身份認證的處罰?！鞍踩蹍f議”歸根結底是一種以行業自律為主、法律制裁為輔的約束性機制[32]。而日本模式以《個人信息保護法》確定政府與非政府組織的權利義務,并創設“自律認證制度”,即政府適用統一的評價體系對企業的保護情況進行評估。同時,在行業協會外設立具有實權的個人信息審查會進行監督[33]。

當然,行業自律是把雙刃劍。一方面,它是自發的、“柔軟”的、具有針對性的;另一方面,它也是冗長費解、強制力缺乏、普遍性不足的[34]。因此,在進行被遺忘權行業自律模式的構建時,要權衡利弊進行取舍。

四、被遺忘權制度的本土化構建

(一)被遺忘權制度的立法路徑

對被遺忘權進行理論辨析的深層目標乃是探索實現被遺忘權制度本土化的可能性。對此,不少學者均提出過自己的想法。一種觀點是,可以依托侵權責任進行規制,但其所遵循的“通知—刪除”規則須基于網絡侵權事實,而被遺忘權的主張卻不以侵權為前提,它還涵蓋了因時間流逝變為失效或者不當等情形。另一種觀點則是以《民法典》的修訂為路徑。本文認為,不應將被遺忘權的保護納入其中。作為民事領域的基本法,《民法典》的內容必須高度抽象且具有普適性、一般性,而被遺忘權作為一個龐雜的權利體系,不是簡單一兩句話就能說清的。從世界范圍而言,被遺忘權的理論體系也尚不成熟,它具有太強烈的技術性與時代性色彩,對于我國當前的《民法典》而言,被遺忘權還是太過于短暫并超前[35]。

呼聲最大的無疑是將被遺忘權納入《個保法》的框架進行保護。本文也認同這種觀點。其一,在這一路徑選擇下最大的優勢是,無須過度斟酌《民法典》已有框架,也無須擔心被遺忘權的具體制度會與已有的其他權利規則相沖突,而可以從個人數據保護的整體架構進行設計。其二,個人信息保護法并非單純的民事特別法,而是一部運用綜合手段對個人信息加以保護,對于自然人個人信息權益、信息自由、公共利益等多重利益關系加以協調的法律。被遺忘權屬于個人信息權,將被遺忘權置于《個保法》中,不僅能實現被遺忘權的綜合性保護,也能更好地平衡權利之間的價值沖突。其三,我國立法講究具象化思維,若法條存在缺失或過于抽象,只會讓法官在適用時采取消極拒絕態度[8]119,相比于選擇《民法典》路徑,依托《個保法》路徑有利于更加全面系統地闡釋被遺忘權的框架體系,為司法實踐提供具體的裁量標準。

(二)被遺忘權制度的具體設計

結合前文對被遺忘權制度的分析,本文認為《個保法》中關于被遺忘權的規定應當表述為:

個人對個人信息的處理享有被遺忘權。除下列情形以外,個人對已經在網上發布的不恰當的、過時的、不必要的個人信息,有權請求個人信息處理者采取適當措施以消滅個人信息與其關聯主體的關聯:

(一)基于國家利益、社會公共利益的需要;

(二)基于國家機關依法行使職權的需要;

(三)基于合理的言論自由的需要;

(四)基于科學研究、學術研究的需要且對數據主體無害,但研究人員須采取必要的去識別化手段;

(五)其他需要保存個人信息的必要情形。

前款規定的“不恰當”,是指個人信息處理者違反法律、行政法規或者違反約定處理個人信息;“過時”,是指個人信息因脫離原有語境導致不準確、不恰當;“不必要”,是指個人信息的保存不具有滿足社會需要的緊迫性或理由不相關、充分;“適當措施”,是指個人信息處理者根據信息的不同類型,采取隱藏、限制傳播、斷開鏈接等不同程度的方式降低信息訪問的便利性。

在收到個人被遺忘權請求后,個人信息處理者應當通知第三方停止利用、刪除從信息處理者處獲得的用戶信息。個人信息處理者對未滿18周歲的未成年人及被害人等弱勢群體所享有的被遺忘權,應當制定專門的處理規則。

針對以上條款,本文認為應作如下解釋:

1．明晰權利邊界

(1)區分權利主體。被遺忘權的權利主體是能在活動中產生個人信息的自然人,同時根據自然人身份的不同,分為普通主體、弱勢群體進行區別化保護。弱勢群體包括未成年人與被害人。其中,未成年人指未滿18周歲的我國公民;被害人指生命、身體等個人法益受到犯罪活動直接危害的人。未成年人因為自身認知水平、社會經驗的不足,無法完全認識到接受網絡服務所帶來的風險,因而處于弱勢地位;被害人則容易因為新聞媒體、公眾輿論對犯罪事實的夸大與渲染遭到二次傷害。因此,應對未成年人與被害人的被遺忘權進行特殊保護,如對未成年人需要“被遺忘”的個人信息給予更大的“遺忘”力度,對被害人的個人信息進行去識別化處理、采用化名或保留姓氏等。

(2)統一義務主體。我國《個保法》將個人信息權的義務主體表述為“處理者”,這是因為在我國的個人信息保護體系中,“信息處理論”吸收了“信息控制論”,有決定能力的控制者的一系列行為可以通過體系解釋涵蓋于內[36]。也就是說,《個保法》中的“處理者”也就相當于GDPR中的“控制者+處理者”。因此,為了保證基本概念在保護框架中的貫穿性,被遺忘權的義務主體應確定為個人信息處理者,并作廣義理解,既包括搜索引擎、互聯網公司等機構,也包括國家機關。對于后者,若《個保法》第三節有特別規定的,適用該節規定。

(3)明確權利內容。被遺忘權的行使以“遺忘”為原則,“不遺忘”為例外。只要符合不必要、過時或不恰當三項要件之一,數據主體便有權對其個人信息提出“被遺忘”申請;個人信息處理者只能基于特定情形進行抗辯,體現了在信息不對稱下對作為弱勢方的數據主體更加傾斜的保護。同時,對處理者在個人信息傳播規制活動中的義務進行了更加嚴格的規定,明確了“一對多”的行使模式,互聯網平臺不僅要對發布在平臺上的信息采取相應措施,而且也應當通知信息傳播到的其他平臺進行刪除。通過以上兩款規定,刪除權無法觸及之處被被遺忘權較好地覆蓋,對個人尊嚴的實現、人格權框架的完善都能產生積極作用。

2．貫徹必要原則

(1)落實目的正當性原則。實現目的正當性是貫徹必要原則的首要步驟。被遺忘權的理論基礎在于信息自決權,旨在保護個人在信息控制和處理層面的尊嚴和自由。但是信息的控制和處理不能被理解為完全的物權支配行為,從信息的收集環節開始就與國家利益、社會公共利益等存在關聯性,也存在著與言論自由的沖突。從正面講,被遺忘權的適用應當具備特定的目的;從反面講,應當排除無目的、不正當的行為。這就要求立法在規定被遺忘權適用的一般情況時,也應當設置涉及公共利益的例外情形,并注意其與新聞自由、公眾知情權等價值間的平衡。公共利益不僅具有法律上的合法性,也具有道德上的合理性,為了實現社會的集體利益,個人權利是可以被適度壓倒的。綜合域外立法經驗與我國實際情況,個人信息處理者可以基于以下事由提出抗辯:其一,基于公共利益的需要,包括維護國家安全與公共安全;其二,基于合理的言論自由的需要;其三,基于國家機關合法行使職權的需要;其四,基于科學研究、學術研究的需要且對數據主體無害,但研究人員須采取必要的去識別化手段;其五,兜底條款。

(2)貫徹均衡性原則。均衡性在必要原則中居于核心地位,指的是權利實現的手段與目的須成比例。在被遺忘權相關的案件中,權利類型化或許能為均衡性原則審查提供具體化的判斷標準[37]。我國被遺忘權的權利客體應當是已公開的、具有身份識別性的個人信息,既包括能單獨識別的個人信息,也包括能夠與其他信息結合識別的個人信息。被遺忘權所指向的客體首先是要區分普通信息與敏感信息。當然,將被遺忘權納入《個保法》的保護框架中,也代表該法所規定的敏感個人信息標準對被遺忘權同樣適用(12)根據《個保法》的規定,敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。。對于個人信息處理者所收集的敏感個人信息,除涉及必須收集的法定事由外,應當立即刪除。

另外,也要注意區分普通信息可能涉及的不同情境,可初步分為四種情形:數據主體自己發布的個人信息、數據主體發布后經他人轉載的個人信息、他人發布的與數據主體相關聯的個人信息及他人發布后經第三人轉載的與數據主體相關聯的個人信息。

(3)明確必要性原則。被遺忘權的必要性原則是指應當采取代價最小的手段實現數據主體“被遺忘”的訴求,具體而言,是在實現手段的選擇中,要嚴格限制刪除的使用。正如舍恩伯格所言,“不是用技術刪除,而是讓遺忘復活”[1]216,被遺忘權的權利本質并非刪除,而是實現數據主體對個人信息的支配與控制,表現為數據主體有權決定個人信息是否與本人關聯。因此,基于這一點的都可以成為被遺忘權的實現手段,比如隱藏、限制傳播、斷開鏈接等。如果窮盡其他手段仍無法實現“被遺忘”的目標,才可以使用刪除。

(4)堅持適當性原則。被遺忘權中的適當性原則是指,為行使被遺忘權而采取的“遺忘”手段必須有助于“被遺忘”目的的實現。對此,在實務中需要明確每種情形適用何種手段。針對在權利客體部分中提到的四種情形,可以將“遺忘”分為四種類型。在僅僅存在圖1所述①的情況下,可以根據信息的價值,選擇適用隱藏或刪除的功能。②的情況則稍顯復雜:如果他人是在原有信息的基礎上運用平臺機制進行的轉載,那么數據主體可以直接隱藏或刪除,平臺會斷開與初始信息的鏈接并顯示“消息已不可見”或“消息已刪除”;如果他人是通過復制文字、圖片或直接截圖進行轉載,那么數據主體向平臺提出申請,由平臺根據制定的管理細則進行決斷,撤回數據主體申請或自行隱藏、刪除。③與④的情形比較常見的是出現在“人肉搜索”中,往往涉及被遺忘權與言論自由、公眾知情權的平衡問題。對此,與之關聯的數據主體可以提出“被遺忘”申請,平臺則要結合涉事的信息內容與公眾利益的關聯程度采取適當的措施。

圖1 被遺忘權的客體類型

(三)被遺忘權制度的實施機制

1．完善專門數據監管體系

大數據時代,數據已成為一種獨立的市場生產要素?；诖?國務院在2023年3月的機構改革中專門組建國家數據局,負責統籌推進數據建設,從宏觀層面上負責數字建設的頂層設計和統籌協調。但在具體監管中,我國目前還實施分散治理的機制,數據監管部門涉及網信部門、工信部門、發改委、公安部等,導致數據監管分散在不同的部門和環節。從體系上看,有必要依托國家數據局成立專門的數據監管機構,分國家與地方不同的層級專門負責數據監管與執法工作,其職能包括但不限于調查權、監督與指導權、行政處罰權、國際談判權。調查權指數據監管機構有權訪問一切查明案件事實所必要的個人數據以及調查與之相關的經營場所、處理設備、工具、人員。監督與指導權指數據監管機構應當指導個人信息處理者貫徹落實《個保法》對被遺忘權的規定,并監督處理者對被遺忘權的執行情況,確保其采取必要措施通知第三方。行政處罰權指數據監管機構應當接受數據主體關于被遺忘權的舉報、投訴,并組織聽證會,在事實清楚、證據確實充分的前提下作出行政處罰決定,并接受申訴。國際談判權指數據監管機構可以在簽訂數據跨國流轉協議時提供建議及代表國家參加國際上關于個人信息保護的談判。

2．推動行業自律

在完善《個保法》框架的同時,也要積極通過非立法手段對被遺忘權進行保護。其一,企業應強化自律意識?；ヂ摼W的虛擬性與數字技術的復雜性使得個人信息處理者和數據主體間存在嚴重的信息不對等,因此大數據時代在要求企業遵守《個保法》的基礎上履行道德義務,即提高自律意識。企業應當秉持誠信、審慎的原則,在提供服務前明確告知數據主體其處理數據的方式與可能存在的風險;以用戶為中心,為數據主體提供“被遺忘”的選擇,尊重其信息自主權。其二,發揮行業協會作用。一方面,企業可以聯合建立管理委員會,制定與被遺忘權精神內核相契合的行業規范,并對違反規范的企業進行聯合抵制;另一方面,行業協會應暢通與互聯網用戶間的溝通渠道,積極聽取意見,研判與預防侵犯被遺忘權的情況。其三,完善行業規范。如前文所述,目前部分互聯網公司的實務操作已暗合被遺忘權實踐,如“被遺忘”申請表格、快照刪除或更新表格等,都是互聯網行業在個人信息保護上的有益嘗試,也為規范行業標準、緊隨國際趨勢提供了經驗借鑒。因此,可以在收集上述信息的基礎上,制定被遺忘權保護的聲明與政策模板。