被遺忘權(quán)的概念分析

鄭遠(yuǎn)民，李志春

(湖南師范大學(xué)法學(xué)院，湖南長沙410006)

2014年6月26日，谷歌開始根據(jù)歐盟法院的裁定而在搜索結(jié)果中刪除一些特定內(nèi)容，以符合“被遺忘權(quán)”新規(guī):個人有權(quán)請求刪除指向“不適當(dāng)、無關(guān)或不再相關(guān)的”個人數(shù)據(jù)的搜索結(jié)果，即便信息是被合法公布的。從此，在谷歌上搜索一個名字時，結(jié)果頁面會包含以下聲明:“根據(jù)歐洲數(shù)據(jù)保護(hù)法，一些結(jié)果可能已被刪除”。這是法律上第一次對隱私和尊嚴(yán)與版權(quán)等其它方面一視同仁。[1]在歐洲，每天有2.5億人使用互聯(lián)網(wǎng)，但75%的用戶希望刪除個人信息，24%的用戶認(rèn)為當(dāng)其停止使用網(wǎng)站時應(yīng)該刪除個人信息。顯然，歐洲大多數(shù)網(wǎng)民都主張擁有被遺忘權(quán)。[2]截至2014年10月，谷歌已經(jīng)收到144907條要求被遺忘的申請，要求評估近5億條鏈接;谷歌已經(jīng)刪除了其中41.8%的信息。[3]那么到底何為被遺忘權(quán)?其適用的范圍為何?本文擬就此問題進(jìn)行探討。

一、西方學(xué)者的定義

在歐洲，被遺忘權(quán)最早源于法國法中的“l(fā)e droit à l’oubli”，但英文也有不同的表述，如“right to forget”“right to be forgotten”“right to forget/be forgotten”“right to delete”“right to oblivion”。意大利稱為“dirito a l＇oblio”[4]。Flaherty在1989年首次提到數(shù)字世界中與隱私數(shù)據(jù)有關(guān)的被遺忘權(quán)，被認(rèn)為是有關(guān)被遺忘權(quán)的最早學(xué)術(shù)文獻(xiàn)記載。但第一次提到何謂被遺忘權(quán)是在有關(guān)釋囚權(quán)利的案件中，一般是指在某種情形下刪除其過去犯罪記錄的權(quán)利或者在某種特定條件下要求第三方不公開其過去不幸事件細(xì)節(jié)的權(quán)利。[5]

關(guān)于遺忘權(quán)/被遺忘權(quán)，有學(xué)者不作網(wǎng)上(數(shù)字)與網(wǎng)下(非數(shù)字)、傳統(tǒng)和現(xiàn)代的區(qū)分，認(rèn)為其是指對過往生活中不再發(fā)生的事件保持沉默的權(quán)利。[6]遺忘權(quán)指有過犯罪記錄的人在其刑期執(zhí)行完畢之后，有權(quán)利要求他人不公開自己的犯罪記錄，讓自己的名譽(yù)免于犯罪記錄公開的損害。[7]它有可能在下列三種情形之一下展開:(1)“我有權(quán)刪除在公共領(lǐng)域共享的任何內(nèi)容?！?2)“我有權(quán)要求轉(zhuǎn)發(fā)我共享信息的人刪除它。”(3)“如果任何人未經(jīng)我允許共享與我有關(guān)的任何內(nèi)容，我有權(quán)刪除它。”

但大多數(shù)學(xué)者認(rèn)為其應(yīng)該是數(shù)字被遺忘權(quán)，而且可分為一元說、兩層含義說和三層含義說。一元說主張被遺忘權(quán)即數(shù)字刪除權(quán)。如Werro等認(rèn)為，被遺忘權(quán)是個人享有的控制和刪除個人自己留在網(wǎng)上信息的權(quán)利。[8]兩層含義說認(rèn)為，被遺忘權(quán)一是指歷史上的遺忘權(quán)(droit a l’oubli)，即有過犯罪記錄的人在其刑期執(zhí)行完畢之后，有權(quán)利要求他人不公開自己的犯罪記錄;二是指刪除權(quán)，即數(shù)據(jù)主體享有的刪除自己被動泄漏的信息的權(quán)利。[9]但Koops認(rèn)為數(shù)字被遺忘權(quán)包括三層含義:最主要的含義是指一種要求他人及時刪除關(guān)涉自己信息的權(quán)利;其二，是指一種向社會主張“清白歷史(clean slate)”的請求，即過時的負(fù)面信息不應(yīng)該被用來針對請求人;其三，是指一種不受限制地表達(dá)而不用擔(dān)心后果的個人權(quán)益。這三種含義之間并非相互排斥。[10]229，236，254

也有學(xué)者將遺忘權(quán)和被遺忘權(quán)區(qū)分開來加以定義。如日本的K.Murata和Y.Orito認(rèn)為遺忘權(quán)是指個人有免受被迫記憶那些他/她決不愿記起之事的權(quán)利;被遺忘權(quán)是指個人享有免受任何利用他/她的信息，給他/她造成有害影響的權(quán)利。當(dāng)然，遺忘權(quán)/被遺忘權(quán)不應(yīng)該是一種絕對權(quán);決不能接受遺忘的濫用;其有時還可能與網(wǎng)絡(luò)言論自由權(quán)和公眾知情權(quán)相沖突。就這一點(diǎn)而言，該權(quán)利的定義必須謹(jǐn)慎，不至于給社會造成傷害。[11]192而Koops認(rèn)為，遺忘權(quán)似乎是站在個人或用戶的角度考慮，認(rèn)為某人不得不面對自身的過去，而這對其至關(guān)重要。在這種情形下，為保護(hù)其這一利益，就有必要引入:(1)允許個人“控制過去”的權(quán)利。例如，對其不希望想起的某些過去之事予以刪除(積極的遺忘權(quán));(2)第三方有義務(wù)不使用/提醒個人希望忘記之事或信息(消極的遺忘權(quán))。另一方面，被遺忘權(quán)似乎站在第三方的立場，要求其采取措施，從而能遺忘或不涉及個人過去的某些方面。這是一項(xiàng)消極的權(quán)利或者說是“一項(xiàng)不要記住個人過去的義務(wù)”[10]229。

可見，遺忘作為一個傘狀概念，能夠涵蓋“遺忘/被遺忘權(quán)”的內(nèi)容，以至于Xanthoulis認(rèn)為“被忘卻(Oblivion)”似乎是一個更為合適的概念，而主張“忘卻權(quán)(right to oblivion)”。其理由是:從歷史淵源看，其可代表20世紀(jì)70年代底法國的“l(fā)e droit à l’oublie”概念;它可囊括前述遺忘權(quán)和被遺忘權(quán)的概念;它沒有從一開始就限定概念的范圍，因此可以與其未來的潛在發(fā)展相適應(yīng)。[12]87但西方也有學(xué)者反對將遺忘/被遺忘權(quán)利化的觀點(diǎn)，主張其本質(zhì)上不過是一種行為美德[13]235、政策目標(biāo)或利益[10]231。例如，Mayes認(rèn)為，“我們不可能真正遺忘。將遺忘上升為權(quán)利是權(quán)利的退化。被遺忘權(quán)僅是我們頭腦中的臆造之物。被遺忘權(quán)意味著對社會的徹底退出，在其糟糕的偽裝下，可能是反社會的、虛無主義的行為。其如果被實(shí)施，將意味著我們在這世界上行為權(quán)利的被閹割?！盵14]

二、中國學(xué)者的定義

在中國，關(guān)于被遺忘權(quán)的討論，基本上圍繞歐盟2012年的《一般數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)展開。因此，大多數(shù)學(xué)者有關(guān)被遺忘權(quán)的定義基本與 GDPR 的規(guī)定相同。如伍艷[15]4、邵國松[16]104、彭支援[17]36－40、何治樂及黃道麗[18]172等都認(rèn)為，被遺忘權(quán)又稱刪除權(quán)，指數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者永久刪除有關(guān)數(shù)據(jù)主體的個人數(shù)據(jù)，除非數(shù)據(jù)的保留有合法的理由。其權(quán)利主體就是數(shù)據(jù)主體，包括一切在互聯(lián)網(wǎng)上存儲數(shù)據(jù)的個人;義務(wù)主體是控制者，指獲得個人信息并且對之進(jìn)行收集與使用的企業(yè)或機(jī)構(gòu)等;其客體就是與數(shù)據(jù)主體有關(guān)的任何信息;但其不能踐踏言論自由和損害公共利益等。

有的學(xué)者則認(rèn)為被遺忘權(quán)僅僅是“數(shù)字遺忘權(quán)”，簡言之，它是一個人應(yīng)該擁有的被網(wǎng)絡(luò)和數(shù)字媒介遺忘的權(quán)利。具體來說，即個人可以依法要求從網(wǎng)絡(luò)上刪除有關(guān)本人的某些行為和言論記錄，而不應(yīng)該事無巨細(xì)地被永遠(yuǎn)“網(wǎng)”住。[19]1其為較現(xiàn)代但也較為狹義的被遺忘權(quán)。

有的學(xué)者往往將被遺忘權(quán)與隱私聯(lián)系，認(rèn)為其是隱私權(quán)在網(wǎng)絡(luò)信息時代的新發(fā)展。如王東賓認(rèn)為，“被遺忘權(quán)”賦予個人要求社會組織恰當(dāng)使用或刪除個人數(shù)據(jù)的權(quán)利，體現(xiàn)的是個人(信息主體)對于個人信息和隱私的主導(dǎo)權(quán)和控制權(quán)。[20]“被遺忘權(quán)”是“隱私自主權(quán)”或“個人信息自主權(quán)”的分支，大致的含義是個人信息的擁有主體基于隱私自主而擁有向個人信息收集者、發(fā)布者、索引者等隨時要求刪除遺留在信息網(wǎng)絡(luò)當(dāng)中的各種有關(guān)個人的數(shù)字痕跡，從而使其被其他人“忘記”的權(quán)利。[21]可見其范圍更窄。

但也有學(xué)者認(rèn)為應(yīng)將數(shù)字遺忘權(quán)作廣義與狹義之分。狹義的數(shù)字遺忘權(quán)僅指數(shù)字或互聯(lián)網(wǎng)時代的遺忘權(quán)，是數(shù)據(jù)主體享有的要求數(shù)據(jù)控制者刪除關(guān)涉自己的個人信息，以防止其進(jìn)一步傳播的權(quán)利。狹義的數(shù)字遺忘權(quán)等同于刪除權(quán)，是為了應(yīng)對計算機(jī)與信息技術(shù)發(fā)展所帶來的互聯(lián)網(wǎng)記住了所有人的所有數(shù)字信息，遺忘變得不可能，從而可能會損害個人信息、隱私與尊嚴(yán)的后果而產(chǎn)生的一種權(quán)利。廣義的數(shù)字遺忘權(quán)則包括傳統(tǒng)的遺忘權(quán)和狹義的數(shù)字遺忘權(quán)。[22]58

綜上可知，中國學(xué)者從廣義—狹義—最狹義三個層次來對被遺忘權(quán)進(jìn)行定義。最狹義的被遺忘權(quán)是指與自然人的隱私有關(guān)的個人數(shù)據(jù)的被遺忘的權(quán)利;狹義的被遺忘權(quán)則指與自然人有關(guān)的一切數(shù)據(jù)，不管是否關(guān)涉隱私，都有被遺忘的權(quán)利;而廣義的被遺忘權(quán)包括傳統(tǒng)和狹義的數(shù)字遺忘權(quán)。其共同點(diǎn)是都將被遺忘權(quán)理解為刪除權(quán)。但通過分析中外學(xué)者的論述可知，“被遺忘權(quán)”或者“遺忘權(quán)”或“刪除權(quán)”這些術(shù)語，即同名而異義，易引起歧義;但其也構(gòu)成同名同義，因?yàn)樵S多作者交替使用上述術(shù)語。這些術(shù)語似乎都涉及遺忘或被遺忘的概念;即使是“刪除權(quán)”這一術(shù)語，也限定為對數(shù)據(jù)的刪除，暗指信息刪除，而這些信息最終會被遺忘。[12]86－87

三、立法上的被遺忘權(quán)

在立法上，GDPR第17條出臺前，被遺忘權(quán)就獲得了承認(rèn)。為此，萊斯格還提出了對被遺忘權(quán)進(jìn)行規(guī)范的四種因素:規(guī)范、市場、編碼和法律。[23]就法律言，《歐盟1995年數(shù)據(jù)保護(hù)指令》在一定程度上已能滿足其被遺忘權(quán)的需要;其規(guī)定盡管不是很詳細(xì)，但通過適當(dāng)原則和數(shù)據(jù)主體權(quán)利兩個機(jī)制可以產(chǎn)生相似的效果。指令第6條(e)規(guī)定，除基于歷史的、統(tǒng)計或科學(xué)使用目的外，各成員國應(yīng)規(guī)定個人數(shù)據(jù)應(yīng)以某種形式被存儲，該存儲形式所允許的數(shù)據(jù)主體身份鑒定時間不得長于為實(shí)現(xiàn)數(shù)據(jù)收集或進(jìn)一步處理數(shù)據(jù)之目的所必需的時間;而指令第6條(d)規(guī)定，“考慮到收集或者隨后處理個人數(shù)據(jù)的目的，必須采取一切合理的措施以確保那些不準(zhǔn)確或不完整的數(shù)據(jù)被刪除或者予以更正?！睂W(xué)者認(rèn)為其實(shí)際上創(chuàng)設(shè)了一個消極的被遺忘權(quán)，即數(shù)據(jù)控制者對數(shù)據(jù)的保留如果不再備有正當(dāng)理由，那么數(shù)據(jù)主體就有權(quán)要求其刪除這些數(shù)據(jù)。但這種消極的被遺忘權(quán)的重要性不應(yīng)被過高估計，其實(shí)際上也很少被執(zhí)行，因?yàn)閭€人數(shù)據(jù)的控制者可以游走于正當(dāng)和非正當(dāng)?shù)倪吘墶＠?，社交網(wǎng)站認(rèn)為其無限期保留用戶數(shù)據(jù)是為了網(wǎng)絡(luò)活動的正當(dāng)需要，具有正當(dāng)理由。在《歐盟1995年數(shù)據(jù)保護(hù)指令》第12條規(guī)定的數(shù)據(jù)主體的數(shù)據(jù)獲取權(quán)利體系中，數(shù)據(jù)主體有從數(shù)據(jù)控制者處獲得對數(shù)據(jù)作出適當(dāng)?shù)男薷?、刪除或者限制的權(quán)利，特別是當(dāng)數(shù)據(jù)的不完整或不準(zhǔn)確導(dǎo)致該數(shù)據(jù)的處理不符合指令的規(guī)定時。但這一理論的規(guī)定在現(xiàn)實(shí)中不大可能，特別是在數(shù)據(jù)主體同意某一目的的數(shù)據(jù)處理時，因?yàn)閿?shù)據(jù)控制者可以以數(shù)據(jù)仍準(zhǔn)確、與同意的目的相關(guān)或在保留的合理范圍內(nèi)為理由進(jìn)行辯護(hù)。在這種情形下，數(shù)據(jù)主體不可能依靠指令規(guī)定的刪除權(quán)獲得救濟(jì)。[24]10

對被遺忘權(quán)作出明確規(guī)定的是2012年1月25日歐盟委員會在布魯塞爾公布的GDPR第17條[25]。該條共9款，使用的是“被遺忘和刪除權(quán)(Right to be forgotten and to erasure)”的概念;具體規(guī)定了被遺忘和刪除權(quán)的適用條件、具體例外情形、用限制數(shù)據(jù)處理替代數(shù)據(jù)刪除的事由以及如何具體執(zhí)行等問題。根據(jù)第17條第1款規(guī)定，所謂被遺忘和刪除權(quán)，是指數(shù)據(jù)主體從控制者處獲得的刪除與其有關(guān)的個人數(shù)據(jù)和避免這些個人數(shù)據(jù)進(jìn)一步傳播的權(quán)利，特別是當(dāng)數(shù)據(jù)主體是兒童時。有如下理由之一，數(shù)據(jù)主體即可行使該權(quán)利:(1)就數(shù)據(jù)收集或者其它處理目的而言，該數(shù)據(jù)不再必要;(2)數(shù)據(jù)主體根據(jù)第6條1款第1項(xiàng)規(guī)定，撤銷數(shù)據(jù)處理的同意，或者當(dāng)同意的存儲期限屆滿時，數(shù)據(jù)處理又沒有其它合法依據(jù);(3)根據(jù)第19條規(guī)定，數(shù)據(jù)主體反對處理其個人數(shù)據(jù);(4)數(shù)據(jù)處理未遵守GDPR的其他情形。第17條第2款規(guī)定，已經(jīng)公開了該個人數(shù)據(jù)的數(shù)據(jù)控制者應(yīng)采取一切合理的措施，包括技術(shù)性的手段，通知正在處理這些數(shù)據(jù)的第三方，數(shù)據(jù)主體要求其刪除關(guān)于這些數(shù)據(jù)的任何鏈接、副本或復(fù)制。如果第三方當(dāng)初公開個人數(shù)據(jù)是得到數(shù)據(jù)控制者授權(quán)的話，則控制者需對該數(shù)據(jù)的公開負(fù)責(zé)。同時，數(shù)據(jù)控制者應(yīng)確立和執(zhí)行時限機(jī)制，以確保及時刪除個人數(shù)據(jù)和/或定期審查數(shù)據(jù)存儲的必要性。如果數(shù)據(jù)被刪除，則數(shù)據(jù)控制者對該個人數(shù)據(jù)不得再進(jìn)行處理。

但GDPR第17條第3款規(guī)定，基于表達(dá)(言論)自由、公共健康領(lǐng)域公共利益、歷史的、統(tǒng)計的和科學(xué)研究的目的，遵守控制者應(yīng)服從的歐盟或成員國法律規(guī)定的個人數(shù)據(jù)保留的法定義務(wù)及第4款所提及的情形，數(shù)據(jù)控制者可保留個人數(shù)據(jù)。這明確了被遺忘和刪除權(quán)行使的例外。第17條第4款規(guī)定了數(shù)據(jù)控制者可用限制個人數(shù)據(jù)處理替代刪除的情形:數(shù)據(jù)主體對數(shù)據(jù)的準(zhǔn)確性有異議，需要一定期限供數(shù)據(jù)控制者證明數(shù)據(jù)的準(zhǔn)確性;數(shù)據(jù)控制者不再需要個人數(shù)據(jù)以完成特定任務(wù)，但作為證據(jù)必須予以保留;數(shù)據(jù)處理不合法，但數(shù)據(jù)主體反對刪除，要求以限制數(shù)據(jù)使用作為替代。第18條第2款規(guī)定，數(shù)據(jù)主體要求將個人數(shù)據(jù)傳遞給另一個自動處理系統(tǒng);第4款涉及的個人數(shù)據(jù)，除存儲外，僅能出于證據(jù)目的或經(jīng)數(shù)據(jù)主體的同意，或出于保護(hù)另一自然人或法人的權(quán)利，或出于公共利益的目的進(jìn)行處理;并且，數(shù)據(jù)控制者在解除對個人數(shù)據(jù)處理的限制之前，應(yīng)通知數(shù)據(jù)主體。第17條第9款明確規(guī)定，歐盟委員會可授權(quán)各成員國通過立法明確被遺忘和刪除權(quán)行使的具體部門、具體情形、條件以及個人數(shù)據(jù)替代性處理的具體限制標(biāo)準(zhǔn)、條件。第79條第5款則規(guī)定了侵犯被遺忘權(quán)所應(yīng)承擔(dān)的行政責(zé)任，即監(jiān)管機(jī)構(gòu)可對數(shù)據(jù)控制者課以最高50萬歐元的處罰;如果數(shù)據(jù)控制者是企業(yè)，則可處以其全球年營業(yè)額1%的罰款。[25]79

四、被遺忘權(quán)涵義的理解

其實(shí)，被遺忘權(quán)與droitàl’oubli這一權(quán)利并不完全一致。從根本上說，前者屬于《歐盟基本權(quán)利憲章》第7條規(guī)定的個人基本隱私權(quán)的一部分;后者則屬于《歐盟基本權(quán)利憲章》第8條規(guī)定的個人數(shù)據(jù)保護(hù)的一個方面，是對歐盟憲章第8條第2款關(guān)于“人人均有權(quán)了解其個人信息，并有權(quán)要求銷毀其個人信息”規(guī)定的具體化。被遺忘權(quán)從根本上涉及通過個人數(shù)據(jù)的適當(dāng)控制機(jī)制，建立和維持信息隱私的合理水平。其次，二者的側(cè)重點(diǎn)不同:droitàl’oubli傾向于防止報紙、新聞廣播、廣播劇等主流媒體對進(jìn)入公眾視線的個人私生活的過度侵犯，但被遺忘權(quán)沒有這樣的傳統(tǒng)和內(nèi)涵。即使缺乏主流媒體的針對性安排和關(guān)注，個人輕率或不適當(dāng)?shù)貙D像、視頻或陳述發(fā)布于公網(wǎng)上，也可能會遭致長時間的受害。潛在的被遺忘權(quán)似乎更適合于對這類及其他問題的處理。就其本身而論，被遺忘權(quán)是寬泛意義上的歐盟數(shù)據(jù)保護(hù)法律框架的一部分，具體目的是便于國民對其個人數(shù)據(jù)的有用性和使用實(shí)施更高程度的控制。[24]5

同時，在GDPR中，被遺忘權(quán)和刪除權(quán)也是兩個不同的概念。盡管GDPR沒有提供一個清楚或描述性的被遺忘權(quán)的定義[5]15，但歐盟有關(guān)書信中提到在線環(huán)境下的被遺忘權(quán)，是指個人撤銷同意并沒有保留數(shù)據(jù)的法律依據(jù)時有權(quán)要求刪除其數(shù)據(jù)。如采納這種解釋，那么被遺忘權(quán)與刪除權(quán)則為同義反復(fù)，構(gòu)成亞里士多德所說的同名同義。從語法上來說，被遺忘和刪除既然同義反復(fù)，則只保留一個即可。而GDPR第54條認(rèn)為，被遺忘權(quán)僅是刪除權(quán)的延伸。其實(shí)際的規(guī)定是:“為加強(qiáng)在線環(huán)境中的被遺忘權(quán)，刪除權(quán)也應(yīng)以這種方式擴(kuò)展，已公開個人數(shù)據(jù)的控制者有義務(wù)告知第三方……”然而，如果我們閱讀GDPR的備忘錄，歐盟所說的刪除權(quán)的延伸似乎僅是第17條中被遺忘權(quán)的適用條件之一。“第17條……規(guī)定，被遺忘權(quán)的適用條件包括已公開個人數(shù)據(jù)的數(shù)據(jù)控制者通知第三方要求其刪除關(guān)于這些數(shù)據(jù)的任何鏈接、副本或復(fù)制的義務(wù)?！焙翢o疑問，如果我們采信這一觀點(diǎn)來思考刪除權(quán)條款的其他規(guī)定，那就可以合理回答“被遺忘權(quán)適用的其他條件是哪些?其應(yīng)該在第17條的規(guī)定中嗎”等問題其實(shí)真正創(chuàng)設(shè)被遺忘權(quán)的是第17條第1款第2項(xiàng)的規(guī)定，即數(shù)據(jù)主體撤銷了數(shù)據(jù)處理的同意，或者原同意的存儲期限已過又沒有其它合法依據(jù)這兩種情形，才是被遺忘權(quán)行使的條件。[24]13因?yàn)樵诂F(xiàn)實(shí)中，基于同意的數(shù)據(jù)處理經(jīng)常未給數(shù)據(jù)主體提供真正的選擇，甚至對數(shù)據(jù)主體加以控制。所以GDPR降低了同意的重要性，明確了允許數(shù)據(jù)主體撤回其同意的情形，便于數(shù)據(jù)主體行使被遺忘權(quán)。

GDPR第17條第2款更進(jìn)一步規(guī)定，當(dāng)數(shù)據(jù)控制者將個人數(shù)據(jù)予以公開(例如在網(wǎng)上發(fā)布)，或者公開被授權(quán)給第三方時，可以實(shí)施被遺忘權(quán)。在第一種情形下，原數(shù)據(jù)控制者僅需要采取一切合理步驟告知第三方，數(shù)據(jù)主體要求其刪除數(shù)據(jù);而在第二種情形下，原數(shù)據(jù)控制者不管怎樣都要擔(dān)責(zé)。其對經(jīng)第三方鏈接、復(fù)制和副本的刪除問題雖有涉及，但規(guī)定較為簡單模糊。實(shí)踐中這種情況比較普遍，如甲在自己的網(wǎng)易微博上傳了自身的照片，而其他微博用戶將甲的照片轉(zhuǎn)發(fā)到了自己的微博上，現(xiàn)在甲是否有權(quán)要求網(wǎng)易刪除和網(wǎng)易是否有權(quán)直接刪除在其他微博用戶上轉(zhuǎn)發(fā)的甲的照片?如果第三方公開是經(jīng)數(shù)據(jù)控制者授權(quán)的，則無論如何控制者都應(yīng)負(fù)責(zé)，這里的負(fù)責(zé)到底是一種義務(wù)還是一種責(zé)任并不明確。因此，首先應(yīng)明確當(dāng)數(shù)據(jù)主體要求刪除經(jīng)第三方鏈接、復(fù)制和副本時，數(shù)據(jù)控制者有兩項(xiàng)具體義務(wù):一是及時通知第三方數(shù)據(jù)主體要求其刪除數(shù)據(jù);二是通過技術(shù)手段刪除由第三方直接控制的數(shù)據(jù)。其次，明確數(shù)據(jù)控制者承擔(dān)通知和/或刪除義務(wù)的限制條件，即明確以數(shù)據(jù)控制者履行的技術(shù)可行和成本合理為限。

五、結(jié)論及對中國的啟示

在大數(shù)據(jù)時代，被遺忘權(quán)對不可預(yù)見的隱私問題具有安全閥的作用，我們要記得遺忘的美德，不管學(xué)者將其分為早期(傳統(tǒng))與現(xiàn)代(數(shù)字)、廣義和狹義還是主動(積極)和被動(消極)的被遺忘權(quán)。GDPR盡管將被遺忘權(quán)和刪除權(quán)規(guī)定在同一法條下，但二者的適用范圍和條件還是有所區(qū)別的。對被遺忘權(quán)的例外條款，歐盟各國將如何適用，目前還不十分清楚。但歐盟法院對西班牙公民以被遺忘權(quán)起訴谷歌，要求刪除與其有關(guān)信息的判決，就被遺忘權(quán)范圍的確定言，極具指導(dǎo)意義。

中國目前有近40部法律、30余部法規(guī)以及近200部規(guī)章涉及個人信息保護(hù)，但基本都未涉及被遺忘權(quán)。2013年的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》明確了信息主體的禁止權(quán)，與歐盟被遺忘權(quán)最為接近，但其法律效力值得考量。中國《個人信息保護(hù)法示范法草案(學(xué)者建議稿)》對個人數(shù)據(jù)的刪除問題作了規(guī)定，但較為簡單。我們可參照GDPR關(guān)于被遺忘和刪除權(quán)的規(guī)定，以明確行使數(shù)據(jù)刪除權(quán)的條件、例外，以及經(jīng)第三方鏈接、復(fù)制和副本的刪除、舉證責(zé)任和處罰等問題;更要通過完善立法，明確數(shù)據(jù)保護(hù)與言論自由、經(jīng)濟(jì)發(fā)展、科研歷史、公共安全等之間的價值沖突。另外，被遺忘權(quán)的數(shù)據(jù)主體是否可以參照奧地利、意大利、盧森堡等國將其由自然人擴(kuò)展到法人，也值得我們進(jìn)一步研究。

[1]羅伯特·庫克森理查德德·沃特斯.谷歌開始執(zhí)行“被遺忘權(quán)”新規(guī)[N].英國金融時報2014－06－27(2).

[2]Attitudes on Data Protection and Electronic Identity in the European Union[EB/OL].(2011－06－16)[2014－10－15].http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[3]Lance Whitney .Google hit by more than 144，000‘right to be forgotten’requests[EB/OL].(2014－10－10)[2014－10－20].http://www.cnet.com/news/google－h(huán)it－by－more－than－144000－right－to－be－forgotten－request.

[4]Conley C.The Right to Delete[C]∥Staddon.AAAI Spring Symposium:Intelligent Information Privacy Management，2010.

[5]Xanthoulis N.Conceptualising a Right to Oblivion in the Digital World:A Human Rights－ Based Approach[J].Available at SSRN 2064503，2012.

[6]Bernal，P.A.A Right to Delete?[J].European Journal of Law and Technology，2011(2).

[7]Robert Kirk Walker.The Right to Be Forgotten[J].Hastings Law Journal，2012(64):7.

[8]Franz Werro.The right to inform v.the right to be forgotten:A transatlantic clash[EB/OL].(2009－05－10)[2014－10－20].http://ssrn.com/abstract=1401357.

[9]Ambrose M，Ausloos J.The right to be forgotten across the pond[J].Journal of Information Policy，2013(3):1－23.

[10]Koops B J.Forgetting footprints，shunning shadows:A critical analysis of the‘right to be forgotten’in big data practice[J].SCRIPTed，2011(3).

[11]Murata K，Orito Y.The right to forget/be forgotten[J].CEPE:Crossing Boundaries，2011.

[12]Xanthoulis N.The Right to Oblivion in the Information Age:A Human－Rights Based Approach[J].US－China Law Review，2013(1):84.

[13]維克托·邁耶－肖恩伯格.刪除——數(shù)字時代里遺忘的美德[M].袁杰，譯.杭州:浙江人民出版社，2013:235.

[14]Mayes T.We have no right to be forgotten online[J].The Guardian，2011(18).

[15]伍艷.論網(wǎng)絡(luò)信息時代的“被遺忘權(quán)”——以歐盟個人數(shù)據(jù)保護(hù)改革為視角[J].圖書館理論與實(shí)踐，2013(11).

[16]邵國松.“被遺忘的權(quán)利”:個人信息保護(hù)的新問題及對策[J].南京社會科學(xué)，2013(2).

[17]彭支援.被遺忘權(quán)初探[J].中北大學(xué)學(xué)報:社會科學(xué)版，2014(1):36－40.

[18]何治樂，黃道麗.大數(shù)據(jù)環(huán)境下我國被遺忘權(quán)之立法構(gòu)建——?dú)W盟《一般數(shù)據(jù)保護(hù)條例》被遺忘權(quán)之借鑒[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014(5).

[19]廖先旺.網(wǎng)絡(luò)時代應(yīng)有“遺忘權(quán)”[J].新聞世界，2009(12).

[20]王東賓.信息社會，個人隱私保護(hù)任重道遠(yuǎn)[J].社會觀察，2013(2).

[21]陳昶屹.“被遺忘權(quán)”背后的法律博弈[N].北京日報，2014－5－21(14).

[22]鄭文明.互聯(lián)網(wǎng)時代的“數(shù)字遺忘權(quán)”[J].新聞界，2014(3).

[23]勞倫斯·萊斯格著.代碼2.0:網(wǎng)絡(luò)空間中的法律[M].李旭，沈偉偉，譯.北京:清華大學(xué)出版社，2009.

[24]Graux H，Ausloos J，Valcke P.The Right to Be Forgotten in the Internet Era[J].ICRI Working Paper，2012(11).

[25]General Data Protection Regulation，COM(2012)11 final[EB/OL].(2012－01－25)[2014－10－20].http://ec.europa.eu/justice/data－protection/document/review2012/com_2012_11_en.pdf.