全球傳播下個人數(shù)據(jù)保護(hù)探究

摘要：被遺忘權(quán)是數(shù)字時代解決記憶倫理問題的新方案。在這一項尚未成熟的權(quán)利確立不久后，谷歌訴CNIL一案落下帷幕。歐洲法院對此案的裁決具有里程碑式的意義，影響著未來被遺忘權(quán)在國際上的適用范圍。歐盟的法律實踐表明，在被遺忘權(quán)適用范圍的三種選擇中“全球本土化”最具可操作性，多方利益相關(guān)者的參與需要互相平衡，以實現(xiàn)歐盟和全球范圍內(nèi)個人數(shù)據(jù)保護(hù)的協(xié)調(diào)統(tǒng)一。

關(guān)鍵詞：全球傳播；個人數(shù)據(jù)保護(hù)；谷歌；CNIL

中圖分類號：D912.1 文獻(xiàn)標(biāo)志碼：A 文章編號：1674-8883（2021）10-0027-03

大數(shù)據(jù)時代，人們的生物記憶被數(shù)字記憶無限延伸，網(wǎng)絡(luò)數(shù)據(jù)具有的長期存儲、容易獲得和重復(fù)共享等特點引發(fā)了記憶倫理問題。由此，歐盟最先在法律中確立被遺忘權(quán)（Right to Be Forgotten），數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者修改不完整的信息。這項尚未成熟的權(quán)利在近幾年的司法實踐中不斷摸索邊界，其中谷歌訴CNIL（Commission nationale de l’informatique et des libertés，即法國國家信息與自由委員會）一案由來已久。谷歌在全球“被遺忘權(quán)第一案”——西班牙谷歌案中敗訴后，按法院裁定刪除在歐洲網(wǎng)站上的相關(guān)數(shù)據(jù)信息。但是CNIL以谷歌未在其所有版本的網(wǎng)站（包括谷歌全球域Google. com）上刪除相關(guān)鏈接為由對谷歌進(jìn)行10萬歐元的罰款，谷歌上訴至歐洲法院（European Court of Justice），最終勝訴。

一、谷歌訴CNIL：里程碑式的司法判例

歐洲法院在谷歌訴CNIL一案的判決結(jié)果中支持谷歌公司的上訴，反對將被遺忘權(quán)推行到歐盟以外的范圍。法院判定在歐盟法律下谷歌及其他搜索引擎公司無義務(wù)在全球范圍內(nèi)進(jìn)行數(shù)據(jù)的刪除（Delisting/De-Referencing），歐盟公民的被遺忘權(quán)僅在28個成員國范圍內(nèi)行使。這一裁決綜合考慮了1995年的《數(shù)據(jù)保護(hù)指令》（Data Protection Directive，以下簡稱Directive）和2018年5月25日生效的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱GDPR）。

（一）適用范圍的三種可能

谷歌作為跨國互聯(lián)網(wǎng)企業(yè)，按照地域?qū)⒕W(wǎng)站劃分為不同的域名（如Google.fr，Google.de，Google.com等），在Google.com上進(jìn)行的搜索都會自動跳轉(zhuǎn)到與提供該信息來源的國家相對應(yīng)的域名。在這一前提下，歐洲法院指出被遺忘權(quán)的權(quán)限劃分有三種選擇[1]。第一種選擇提倡被遺忘權(quán)在全球范圍內(nèi)通用，要求搜索引擎公司刪除全球范圍內(nèi)的相關(guān)數(shù)據(jù)，包括全球各國不同版本上的鏈接，這一方式被稱為全球性（Universal）。第二種選擇提倡被遺忘權(quán)僅在歐盟范圍內(nèi)行使，即要求刪除數(shù)據(jù)主體所在成員國乃至整個歐盟所有成員國在搜索引擎網(wǎng)站上對應(yīng)的相關(guān)鏈接，這一方式被稱為區(qū)域性（Regional）。第三種選擇則是谷歌在執(zhí)行歐洲法院裁決時采取的措施，在第二種區(qū)域性方式的基礎(chǔ)上同時對歐盟外的網(wǎng)站使用國家地域封鎖（Geo-Blocking）的方法，即利用互聯(lián)網(wǎng)協(xié)議地址和用戶的其他技術(shù)手段推斷用戶的位置，從而在沒有刪除鏈接的情況下限制用戶在各版本網(wǎng)站上對有關(guān)內(nèi)容的訪問，這一方式被稱為全球本土化（Glocal）。盡管CNIL認(rèn)同全球本土化有所改進(jìn)，但仍要求采用第一種方式。CNIL強(qiáng)調(diào)被遺忘權(quán)執(zhí)行過程中的徹底性、有效性，并指出在全球本土化方式下歐盟內(nèi)的用戶仍有很大可能通過特殊途徑獲取被刪除的信息：定位在法國的互聯(lián)網(wǎng)用戶可以登錄谷歌在歐盟以外其他域名的網(wǎng)站，比如Google.com，而非歐盟的用戶也可以通過虛擬網(wǎng)絡(luò)服務(wù)（Virtual Private Network）繞過國家地域封鎖一類的措施獲取被封鎖的鏈接。但谷歌稱在全球范圍的網(wǎng)站實行被遺忘權(quán)可能會違反國際法的不干涉原則，并且會引發(fā)全面的信息審查，有悖于互聯(lián)網(wǎng)開放平等的精神，對言論自由也有一定程度的侵犯[2]。

歐洲法院需要在兩難局面中進(jìn)行權(quán)衡。如果堅持要求在全球范圍內(nèi)執(zhí)行被遺忘權(quán)以增強(qiáng)數(shù)據(jù)保護(hù)的有效性，那么法院將面臨侵犯歐盟外第三方國家主權(quán)利益的風(fēng)險；若否決被遺忘權(quán)的域外適用轉(zhuǎn)而以歐盟為界劃定范圍，那么將要對被遺忘權(quán)在執(zhí)行中的有限性進(jìn)行妥協(xié)。最終，歐洲最高法院宣布只在歐盟范圍內(nèi)推行這一權(quán)利。

（二）裁決為全球性保留可能

盡管此案中谷歌的勝訴意味著被遺忘權(quán)在國際上仍缺少推行的土壤，但歐洲法院并沒有排除在全球范圍內(nèi)行使被遺忘權(quán)的可能性。法院強(qiáng)調(diào)歐盟的最終目標(biāo)是為公民提供更高水平的個人數(shù)據(jù)保護(hù)，在裁決中明確允許國家和數(shù)據(jù)監(jiān)管機(jī)構(gòu)在適當(dāng)?shù)那闆r下要求互聯(lián)網(wǎng)公司在全球范圍內(nèi)采取刪除措施，并稱相信各國數(shù)據(jù)保護(hù)機(jī)構(gòu)有能力平衡個人隱私、數(shù)據(jù)安全和信息自由三者的關(guān)系。從這一聲明來看，歐盟仍致力于將被遺忘權(quán)的合法性全球化。但對于什么是“適當(dāng)?shù)那闆r”，歐洲法院并沒有作更進(jìn)一步的解釋。

隨著谷歌訴CNIL一案的落幕，這場對被遺忘權(quán)的實施范圍之爭為今后被遺忘權(quán)的實施程度立下了衡量標(biāo)準(zhǔn)，此案也被視作被遺忘權(quán)司法實踐中的里程碑。不能將被遺忘權(quán)延伸到歐盟外的這一裁決，對受到官方嚴(yán)格審查的搜索引擎公司來說是一個好消息。然而也有人認(rèn)為谷歌的勝訴只是表面的勝利，歐洲法院仍然保留了各國在必要情況下在全球范圍內(nèi)實行被遺忘權(quán)的可能性。

二、谷歌訴CNIL案判決對個人數(shù)據(jù)保護(hù)的啟示

（一）全球本土化或成最優(yōu)解

網(wǎng)絡(luò)空間沒有實際的地理位置或具體形態(tài)，人們在互聯(lián)網(wǎng)上獲取來自世界各地的信息，互聯(lián)網(wǎng)即人們所處的環(huán)境。但并不能因此推斷對信息的管轄不需要根據(jù)地域劃分。被遺忘權(quán)的適用范圍在歐盟法規(guī)中有明確的規(guī)定。1995年Directive第28條指出，當(dāng)局沒有在第三國處理此類數(shù)據(jù)的權(quán)力，但是應(yīng)當(dāng)“給相關(guān)國家機(jī)構(gòu)保留較大的自主選擇權(quán)”。在之后的判例中法院補(bǔ)充：被遺忘權(quán)的實踐尊重他國的主權(quán)，根據(jù)合法性原則和法治概念，原則上不能在行政機(jī)構(gòu)允許授權(quán)的法律范圍外實行。而2018年生效的GDPR中規(guī)定應(yīng)“綜合整體考慮并直接應(yīng)用于各成員國”，在一定程度上限制了CNIL這樣的數(shù)據(jù)處理機(jī)構(gòu)。

在全球性和區(qū)域性的選擇上，法院的最終裁決是被遺忘權(quán)的區(qū)域性，并傾向于給被遺忘權(quán)的全球性提供可能。在這場官司中，如果谷歌沒有上訴成功，那么美國的公民將因與他們毫不相關(guān)的法律而被剝奪在本國搜索引擎上獲取信息的權(quán)利。如果所有法庭都聲稱本國的法律在全球適用，將會侵犯別國利益并引起國際法律的混亂。而推行區(qū)域性的優(yōu)勢則在于歐盟內(nèi)部的協(xié)調(diào)統(tǒng)一。被遺忘權(quán)在歐洲起源，經(jīng)歐洲聯(lián)盟法院解釋的判例法中也稱這項權(quán)利并不是一項絕對權(quán)利，被遺忘權(quán)在網(wǎng)絡(luò)上的適用范圍應(yīng)與其實際的地理適用范圍一致，即在歐盟內(nèi)部實行。人們在這一范圍內(nèi)活動，因此搜索引擎的義務(wù)也在這一范圍內(nèi)履行，這一具有協(xié)調(diào)性的邏輯更為合理。

全球本土化這一選擇即在區(qū)域性的基礎(chǔ)上實行國家地域封鎖的方法。CNIL認(rèn)為這一方式具有不徹底性，數(shù)據(jù)主體權(quán)利的落實不應(yīng)取決于數(shù)據(jù)接收者，根據(jù)發(fā)起搜索的IP地址決定被刪除數(shù)據(jù)的保護(hù)水平這一做法在原則上是不能被接受的。但Geo-Blocking這一技術(shù)在很多判決中都是一種常見的、較為適宜的折中辦法，法院甚至?xí)?qiáng)制要求網(wǎng)絡(luò)服務(wù)提供商推行。在這一技術(shù)上雙方的分歧主要在于這種封鎖是否會被避開（Bypassed）。然而，技術(shù)上幾乎不存在不會被避開的封鎖屏蔽，即使存在，不計成本地實施仍然是不可取的。經(jīng)過權(quán)衡，法院認(rèn)定全球本土化這一措施能夠最大限度地滿足被遺忘權(quán)的需要。

然而被遺忘權(quán)的全球性仍然具有更長遠(yuǎn)的意義。國家之間的協(xié)調(diào)程度越高，行使域外管轄權(quán)中產(chǎn)生的問題就越少。因此，被遺忘權(quán)合法性全球化這一議題的解決有賴于國際共識的達(dá)成。如今，在被遺忘權(quán)與所有G20成員數(shù)據(jù)保護(hù)框架的兼容性研究中，20國集團(tuán)的19個國家中有15個國家現(xiàn)在已經(jīng)通過了數(shù)據(jù)保護(hù)法，為大多數(shù)形式的個人數(shù)據(jù)處理建立了總體框架[3]。在未來，被遺忘權(quán)將不再是僅限于歐洲的概念，歐洲法院的這一裁決也為被遺忘權(quán)的普及帶來了希望。

（二）多方利益相關(guān)者的參與需要互相平衡

拋開地域的限制，此案的復(fù)雜之處還在于互聯(lián)網(wǎng)治理包含多方利益相關(guān)者，受到政府、企業(yè)、民間組織、技術(shù)社群和學(xué)術(shù)界等方面的影響。以下對國家數(shù)據(jù)機(jī)構(gòu)、互聯(lián)網(wǎng)服務(wù)提供商和作為數(shù)據(jù)主體的個人三方之間的關(guān)系進(jìn)行討論。

一方面，這場官司是作為法國國家數(shù)據(jù)保護(hù)機(jī)構(gòu)的CNIL和作為最大跨國互聯(lián)網(wǎng)企業(yè)的谷歌之間的一場博弈，較典型地體現(xiàn)出了國家機(jī)構(gòu)和互聯(lián)網(wǎng)公司之間的復(fù)雜關(guān)系。隨著處理大量數(shù)據(jù)信息的互聯(lián)網(wǎng)巨頭國際規(guī)模的不斷擴(kuò)張，互聯(lián)網(wǎng)企業(yè)和國家監(jiān)管機(jī)構(gòu)之間的關(guān)系也更加緊張[4]。路透社在報道中將被遺忘權(quán)的范圍劃定視作歐盟在領(lǐng)土范圍外延伸其數(shù)據(jù)保護(hù)和隱私標(biāo)準(zhǔn)的一次測試，法院也期望在互聯(lián)網(wǎng)的法規(guī)管理方面有更大的影響，尤其是在缺乏國際統(tǒng)一標(biāo)準(zhǔn)的情況下通過擴(kuò)大國際影響延伸本國權(quán)利的范圍，以確保對公民數(shù)據(jù)處理的全面保護(hù)。GDPR起草時歐盟承諾公民這一法案會保障跨國互聯(lián)網(wǎng)企業(yè)掌握著的信息安全，而允許歐盟外的互聯(lián)網(wǎng)用戶有途徑獲取在歐盟內(nèi)被刪除的信息會潛在地削弱被遺忘權(quán)的效力，為公民提供高水平信息安全保障的最終目標(biāo)也難以達(dá)到。而谷歌堅持對數(shù)據(jù)的保護(hù)要符合國際規(guī)范，遵守已確立的地域原則，但同時也鼓勵全球范圍內(nèi)的交互操作，指出允許跨境數(shù)據(jù)流動的機(jī)制對經(jīng)濟(jì)發(fā)展的重要性。結(jié)合雙方的觀點來看，數(shù)據(jù)存儲的地理限制會破壞安全性，也會降低服務(wù)提供商的可靠性和業(yè)務(wù)效率。隱私監(jiān)管應(yīng)支持跨境數(shù)據(jù)傳輸機(jī)制，信息保護(hù)應(yīng)該視數(shù)據(jù)本身的情況而定，而不是僅僅依據(jù)國界來劃定范圍。

另一方面，作為網(wǎng)絡(luò)服務(wù)提供者的互聯(lián)網(wǎng)和提供數(shù)據(jù)價值的用戶之間的關(guān)系也影響著被遺忘權(quán)的范圍。對用戶而言，網(wǎng)絡(luò)服務(wù)提供者只有寥寥幾家，而網(wǎng)絡(luò)服務(wù)提供者面對的是不計其數(shù)的用戶。這無疑會在實施中給網(wǎng)絡(luò)服務(wù)提供者帶來巨額成本和巨大的工作量，在很大程度上打擊其服務(wù)積極性。同時，對于信息制作者、上傳者、傳播者等群體是否應(yīng)承擔(dān)責(zé)任存在爭議[5]。而且，對于搜索引擎服務(wù)商是不是數(shù)據(jù)控制者（Data Controller）仍存在爭議。搜索引擎僅提供信息定位工具，并不會對第三方網(wǎng)頁上的個人資料進(jìn)行控制，在對源網(wǎng)頁進(jìn)行抓取、分析和索引的過程中，個人數(shù)據(jù)不會以任何特定的方式顯示出來。因此許多國家推遲了被遺忘權(quán)的立法并駁回刪除已有網(wǎng)頁鏈接的申請。另外，谷歌的首席隱私官凱斯·恩萊特認(rèn)為互聯(lián)網(wǎng)數(shù)據(jù)信息管理中潛在的碎片化傾向（Fragmentation）對行業(yè)內(nèi)各企業(yè)來說是不可忽視的隱患，為此谷歌公開了一份數(shù)據(jù)保護(hù)法規(guī)框架，提出了所有“負(fù)責(zé)任”的互聯(lián)網(wǎng)企業(yè)應(yīng)遵守的數(shù)據(jù)保護(hù)要求。谷歌倡導(dǎo)讓數(shù)據(jù)主體重新掌握對個人信息的控制權(quán)，主體有權(quán)訪問之前提供的信息并進(jìn)行修改更正，同時要求將煩冗的操作手續(xù)簡單化，數(shù)據(jù)主體無須在每次處理個人信息時都發(fā)出申請。這一措施不僅為個人賦權(quán)，也保證了市場的創(chuàng)新性和競爭性。

身處大數(shù)據(jù)時代，數(shù)據(jù)價值的利用引發(fā)了新的問題。直至今日，被遺忘權(quán)對公眾知情權(quán)、言論自由是否存在侵犯仍存爭議，在數(shù)據(jù)價值被充分挖掘并轉(zhuǎn)化為商業(yè)價值的當(dāng)下，被遺忘權(quán)要求刪除的數(shù)據(jù)可能并不像用戶聲稱的一樣“毫無價值”。單個數(shù)據(jù)因其內(nèi)容的獨特性，產(chǎn)生獨屬于其自身的個體價值，個體數(shù)據(jù)組成了大數(shù)據(jù)的基礎(chǔ)，并以多樣態(tài)組合的形式出現(xiàn)。數(shù)據(jù)能高效、自由地流動是大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的根本，個人數(shù)據(jù)若要充分發(fā)揮價值，就必須使其自由流動。因此也要對被遺忘權(quán)的使用加以約束，避免濫用刪除行為引發(fā)不必要的刪除，進(jìn)而導(dǎo)致信息的封閉[6]。

（三）實現(xiàn)個人數(shù)據(jù)保護(hù)在各國司法實踐中的協(xié)調(diào)統(tǒng)一

在判決中，法院多次強(qiáng)調(diào)實現(xiàn)歐盟內(nèi)個人數(shù)據(jù)保護(hù)的協(xié)調(diào)統(tǒng)一（Harmonised European Data Protection），以達(dá)到對公民更高水平的數(shù)據(jù)保護(hù)，而歐洲法院的裁決可能在一定程度上挫傷了這一目標(biāo)。允許各個成員國的監(jiān)管機(jī)構(gòu)自行實施“平衡測試”（Balancing Test，一種綜合多方因素以求得最公平結(jié)果的司法方法），將會在不同國家的司法實踐上造成差異。正如前文所說，GDPR相較于Directive在更大程度上限制了成員國的自主權(quán)。Directive的實踐證明，被遺忘權(quán)在各國實施過程中產(chǎn)生的差異有悖于歐盟內(nèi)數(shù)據(jù)法的協(xié)調(diào)性，也不利于個人數(shù)據(jù)在歐盟內(nèi)的自由流動。而GDPR更注重法律確定性和透明性，力圖賦予歐洲公民同等級別的數(shù)據(jù)保護(hù)。對于聯(lián)盟內(nèi)跨國界案件的處理，法院強(qiáng)制相關(guān)國家機(jī)構(gòu)達(dá)成同一決策并為搜索引擎提供明確可行的指令，這一合作機(jī)制在解決各國數(shù)據(jù)法之間的碎片化問題上十分關(guān)鍵。然而即使在GDPR的指引下，被遺忘權(quán)的實施仍然沒有達(dá)到統(tǒng)一。目前在歐盟層面，數(shù)據(jù)保護(hù)和公眾知情權(quán)之間始終沒有統(tǒng)一的衡量標(biāo)準(zhǔn)，搜索引擎公司和數(shù)據(jù)主體還將持續(xù)面對被遺忘權(quán)的不確定性和不可預(yù)測性。盡管給予各國的自主權(quán)反而造成法律實踐的不協(xié)調(diào)，法院仍認(rèn)為為成員國保留司法的靈活度是有必要的。總體來說，GDPR作為一項可以直接應(yīng)用于所有成員國的法規(guī)，為實現(xiàn)歐盟數(shù)據(jù)保護(hù)的立法統(tǒng)一提供了更有力的保障，而全球范圍的實踐應(yīng)以歐盟內(nèi)部實現(xiàn)一致性為基礎(chǔ)，進(jìn)一步為國際上的推廣提供經(jīng)驗。

三、結(jié)語

谷歌訴CNIL案的決策顯然并不像媒體報道所稱的是一次“屬于谷歌的勝利”，法院的判決承認(rèn)了被遺忘權(quán)全球化的合法性。在歐盟有關(guān)數(shù)據(jù)隱私和保護(hù)的法律體制生效之際，這一決定吸引了國際的關(guān)注。自從生效以來，GDPR有望為全球的數(shù)據(jù)保護(hù)立下標(biāo)準(zhǔn)，對各國的數(shù)據(jù)保護(hù)機(jī)構(gòu)加強(qiáng)和完善各自的數(shù)據(jù)保護(hù)法規(guī)起到了啟發(fā)作用。同時，全球的互聯(lián)網(wǎng)公司也十分關(guān)心GDPR的生效會如何影響它們的管理和運作。雖然這一案件僅僅聚焦于被遺忘權(quán)，但判決結(jié)果對GDPR整體的適用領(lǐng)域有更深意義的解讀。除了搜索引擎公司，任何被歐盟或國家監(jiān)管機(jī)構(gòu)認(rèn)定為提供個人數(shù)據(jù)處理服務(wù)的公司都被處于GDPR的管轄范圍內(nèi)。

回到本案，裁決結(jié)果在被遺忘權(quán)的治外法上增加了法律確定性，這僅僅是一個開始。歐洲法院在未來將面對更多有關(guān)歐盟數(shù)據(jù)保護(hù)法適用范圍的問題。GDPR顯著地改變了全球被遺忘權(quán)的實踐圖景，這一案證明在全球范圍內(nèi)實施被遺忘權(quán)的關(guān)鍵還在于國際數(shù)據(jù)保護(hù)制度的發(fā)展。無論如何，歐盟在國家、超國家和國際治理層面的有效合作上進(jìn)行的嘗試，對數(shù)字時代被遺忘權(quán)的開拓作出了積極的貢獻(xiàn)。

參考文獻(xiàn)：

[1] 亞恩·帕多瓦.被遺忘權(quán)是一項全球性、地域性還是“全球本土化”的權(quán)利？[J].國際數(shù)據(jù)隱私法，2019（03）：9-1，21-29.

[2] 葛蘭素·奧斯卡爾.被遺忘權(quán)：歐洲數(shù)據(jù)帝國主義、國家特權(quán)還是世界人權(quán)？[J].歐洲行政法論述，2020（01）：125-152.

[3] 大衛(wèi)·鄂爾多斯. G20法定數(shù)據(jù)保護(hù)框架內(nèi)的線上“被遺忘權(quán)”[J].國際數(shù)據(jù)隱私法，2020（04）：78-87.

[4] 瑪麗·薩蒙特.谷歌CNIL案：歐盟法律下的被遺忘權(quán)適用范圍[J].歐洲論壇，2019（04）：839-851.

[5] 王恬.谷歌與CNIL“被遺忘權(quán)”之爭[J].中國審判，2019（06）：86-88.

[6] 令倩，王曉培.尊嚴(yán)、言論與隱私：網(wǎng)絡(luò)時代“被遺忘權(quán)”的多重維度[J].新聞界，2019（7）：74-82.

作者簡介：王楓茹（2000—），女，安徽合肥人，本科在讀，研究方向：廣播電視學(xué)。