我國首例「被遺忘權」案件之再思考

2015年，曾被公眾廣泛關注的我國首例「被遺忘權」案件塵埃落定，一審駁回原告任某全部訴訟請求，二審維持原判。原審法院與上訴法院的裁判理由保持一致：即認為「我國現行法律中並無對『被遺忘權』的法律規定，亦無『被遺忘權』的權利類型。」，上訴人（原告）未能證明其訴請之人格利益的正當性和必要性，進而認定訴訟請求缺失侵權成立之必要條件裁決訴請方敗訴。時隔兩年，通過官方公開渠道了解此案一審法官的思辨，不免引發筆者對此案的再思考。

案件簡介

2014年，歐盟法院依據歐盟《數據保護指引》審結首例「被遺忘權」案件，歐盟法院認為，谷歌公司對個人數據的操作屬於「處理個人數據」（processing of personal data）；同時，認定搜索引擎經營者決定了其行為及而其本身所實施的個人信息處理的目的和手段，谷歌公司是處理個人數據的控制者；據此，依據《數據保護指引》裁定谷歌公司敗訴。此案過後，美國谷歌公司在歐洲每年面臨幾十萬件涉及「被遺忘權」的訴訟。

我國首例「被遺忘權」案件的主審法官認為，當時「我國的互聯網產業方興未艾，正是需要大力支持的時候；如果我們的企業也被這些不必要的負擔所累，那麼，國家的經濟發展和產業轉型必然會受到不利影響；相比之下，過分強調個人的「被遺忘權」，並不妥當。」然而，此一時彼一時。

現實問題

根據2017年12月24日，全國人大網公布《全國人民代表大會常務委員會執法檢查組關於檢查實施情況的報告》，當前用戶個人信息保護工作形勢嚴峻。「萬人調查報告」顯示，「一法一決定」關於用戶個人信息保護的多項制度落實得並不理想，主要集中在「過度收集用戶信息」、「利用』霸王條款』條款強制收集用戶信息」、「本人信息被泄露或者被濫用後，舉報難、投訴難、立案難」等現象和問題。

如今，絕大多數個人都曾經或者正在擔憂本人的信息是否已經或者將要面臨泄露、濫用的風險。個人信息（數據）不當處理可能導致物理的、物理的或非物理的物質傷害，在互聯網環境下，類似傷害往往不可逆、不可復原，包括出現歧視、身份盜竊或者欺詐、財務損失、名譽受損，也包括個人情況被非自願地評估、個人敏感信息被泄露等問題。為降低或者儘可能避免此等風險，強調對個人信息處理的合規問題勢在必行，包括認可信息主體（數據主體）對其本人信息的刪除、更正之正當權益。追本溯源，不妨先來了解歐盟關於「被遺忘權」的具體規定，再行思辨現今是否存在移植本土的可行性與必要性問題。

他山之石

根據已經頒布並將於2018年5月25日全面實施的《一般數據保護條例》（General Data Protection Regulation, GDPR）之規定，數據主體（數據指向的個人）有權要求數據控制者（單獨或與他人共同確定個人數據處理的目的和方式的自然人或法人、公共機構、代理機構或其他機構）修改不完整的信息（GDPR Article 16），此項網路環境中的「被遺忘權」進一步擴展為刪除權（GDPR Article 17）與「限制處理權」（GDPR Article 18）。也就是說，歐盟GDPR是把數據主體對個人數據的修改權界定為網路環境中「被遺忘權」，若數據的留存違反GDPR或者控制者應當遵守的歐盟或成員國法律，數據主體應當享有之，特別在以下幾種情況下，數據主體應當有權刪除其個人數據並不再處理該等數據：

同時，GDPR也規定上述權利的適用例外，包括言論自由權和知情權、遵守法定義務，或為公共利益、控制者職務許可權範圍內實施某項義務、以公共衛生領域的公共利益、為科學或歷史研究或統計目的，或為法定求償權的建立、行使或辯護等所必需時，個人數據保留應當具有合法性。

我國立法

隨後，讓我們將視野回歸本土，重新檢視目前我國現行的相關法律，與兩年前的法律規定相比，是否已經產生了實質性的變化，對於個人數據的保護是可以另闢蹊徑，還是依然舉步維艱呢？

2017年6月1日，《中華人民共和國網路安全法》正式施行。為有效應對網路安全威脅和風險、全方位保障網路安全提供了基本法律支撐。這裡，我們首先需要明確《網路安全法》對於幾項基本概念的定義，包括：

鏡中望月

回顧兩年多前的裁決，我國的首例「被遺忘權」的裁定與該案的具體案情、當時的法律規定、與相關群體的利益平衡不無關聯。初審法庭歸納案件核心，即對「相關搜索」技術模式及相應服務模式正當性的法律評價問題，具體涉及事實及法律兩個層面的基礎問題：事實層面，百度公司「相關搜索」服務顯示的涉及任某的檢索詞是否受到了該公司人為干預？法律層面，百度公司「相關搜索」技術模式及相應服務模式提供的搜索服務是否構成對任某的姓名權、名譽權及任某主張的一般人格權中的所謂「被遺忘權」的侵犯？

關於事實層面問題的再思考

一審判決中羅列了大量原被告雙方提供的公證文書，證明百度公司「相關搜索」服務顯示的內容，搜索結果具體有動態性，法庭據此得出的結論是，百度公司所稱相關搜索詞系由過去一定時期內使用頻率較高且與當前搜索詞相關聯的詞條統計而由搜索引擎自動生成，並非由於百度公司人為干預。

但是，如果參照《網路安全法》關於個人數據收集和處理的定義與規定，上述判斷存在商榷之處，類似行為是否由網路運營方人為干預形成，不再是適用法律的本質判斷唯一因素。其一，個人信息本即包括電子方式記錄的信息，對於個人信息的收集和處理應當獲得權利人的同意。本案中，如果將百度公司的「相關搜索」行為界定為收集行為，在信息主體撤銷其同意的情況下，百度公司應當予以更正或者刪除；如果將「相關搜索」行為界定為處理行為，在其違反法律、行政法規規定、雙方約定的情況下，百度公司也應當刪除。

不難發現，《網路安全法》為信息主體掌控個人信息創設了附條件的通道。筆者認為，今後類似的案件，論證「相關搜索」行為是否存在人為干擾是不夠的，至少應當論證該行為是否屬於對個人信息的收集或者處理或者收集和處理，這是適用法律的前提。如果借鑒歐盟GDPR規定，將「相關搜索」定義為「處理個人數據」（processing of personal data）毫無爭議。當然，訴請方需要更為細緻地檢索法律、行政法規；至於網路運營方是否違反雙方的約定，需要結合《合同法》、《消費者權益保護法》綜合考慮。本案中，百度公司對於用戶的諸多事先聲明是否存在「霸王條款」的嫌疑，原告並未反對也沒有提出相反證據證明，法庭據此未加評論。但是，網路運營方收集和處理信息行為本應遵守的國家相關標準和規範等方面，信息主體可以審查網路運營方是否利用「霸王條款」不合理地規避法定義務、限制用戶權利，進而，論證其違反相關法律、行政法規，構築網路運營方可能存在違法行為的事實證據基礎。

關於法律評價層面的問題

本案中，法庭採用網上侵權中「通知—處理」規則判定適用及責任承擔問題。鑒於該項規則熟知度高，本文不再累述。不過根據《網路安全法》，今後類似案件，訴訟方案中還應當考慮可能存在的抗辯因素：其一，如果個人信息因時間推移而造成不正確時，考慮到原始信息（歷史信息）的正確性，將視信息主體行使更證權是否具有正當性而確定其更證權；其二，如果信息涉及價值判斷，鑒於價值判斷的主觀性，該信息不應當成為更正請求權行使的對象。筆者認為，法律評價層面的問題，需要結合具體案情討論，暫時沒有統一適用的規則。

不過，筆者仍然樂觀且謹慎地展望今後信息主體主張「被遺忘權」或可獲得司法裁判的支持。誠如歐盟GPDR的立法初衷，個人數據處理旨在為人類服務。故此，我們有理由期待，司法裁判者有勇氣、有擔當，未來重新權衡保護個人信息的正當權益與其他權益的平衡關係，恰如其分地給通過司法判例為信息主體的「被遺忘權」賦予適當的司法解釋與適用。

（2015）一中民終字第09558號

原文詳見全國人大網，http://www.npc.gov.cn/npc/xinwen/2017-12/24/content_2034836.htm，最後訪問日期2018年2月1日。

「一法一決定」：《中華人民共和國網路安全法》、《全國人民代表大會常務委員會關於加強網路信息保護的決定》。

胡嘉妮、葛明瑜 譯，許多奇 校：《歐盟》，《互聯網金融法律評論》2017年第1輯·總第8輯，第45頁。

例如，《信息安全技術 公共及商用服務系統個人信息保護指南》（GB/Z 28828-2012）。

馬民虎 主編：《網路安全法適用指南》，中國民主法制出版社，2018年1月出版，第180頁。

聯繫作者

呂璇璇 律師

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！