个人数据应当有“被遗忘权”

随着数据安全保护的国际立法实践不断拓深，以及大数据时代对于数据保护的需求层次不断递进，各国立法者和学者都在反思如何更新立法以使之更好地适应网络信息时代个人数据的变革。

随着5月25日的临近，欧洲议会于2016年通过的《一般数据保护条例》（以下简称GDPR）即将生效实施。虽然GDPR已经给予了各方两年的过渡期，但是由于其适用范围的扩展以及更为严厉的处罚机制，使得一些在原本未受欧盟监管的企业纷纷加入到GDPR的研究中来，以期规避合规风险。在GDPR中，最值得关注的条款之一就是首次明确的“被遗忘权”条款。

虽然我国的数据安全保护以2017年《网络安全法》的颁布为标志才进入系统发展阶段，但欧美发达国家及国际组织早在上世纪70年代已开启制定关于个人数据保护方面法规的探索与实践。1970年，德国黑森州颁布了世界上第一部专门针对个人数据保护的法律。1973年，美国健康、教育与福利部设立的顾问委员会发布了一份名为《电脑、记录和公民权利》的政府报告，提出所有数据系统应当遵守的《正当信息通则》。这不仅成为美国许多国内立法的基础，还促进了许多国际规则的形成，世界经济合作与发展组织1980年《隐私保护与个人数据跨国流通指南》确立的八项基本原则就是对这一《通则》的继承和发展。

即将生效的欧洲GDPR草案将“被遗忘权”定义为“公民在其个人数据信息不再有合法之需时要求将其删除或不再使用的权利”，例如，当时使用其数据信息是基于该公民的同意，而此时他/她撤回了同意或存储期限已到，则其可以要求删除或不再使用该数据信息。

在我国，2016年11月7日发布、2017年6月1日起实施的《网络安全法》第四十三条规定：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息。”不难看出，该条款规定与“被遗忘权”存在明显区别，被学界称为“删除权”，仅对违法收集和使用个人信息情况予以禁止，但对于合法且在收集、使用方面并不违约的个人数据，并没有要求删除和被遗忘的权利。

简单来说，传统的“删除权”是一对一的，即用户个人对于企业（数据控制者）提出的要求，当数据主体认为数据控制者违法或违约收集、使用其个人信息的情况下，有权要求企业删除其个人数据。而目前GDPR在传统“删除权”基础上进一步扩展提出的“被遗忘权”是一对多的，不仅包含传统的删除权的权利要求，还包括要求数据控制者负责将其已经扩散出去的个人数据，采取必要的措施予以消除。

从“删除权”到“被遗忘权”的演进与企业运营特别是互联网大潮下的个人数据应用密切相关。欧洲的这项条例很大程度上源于经典判决——2014年5月的冈萨雷斯诉谷歌案。

2010年2月，西班牙公民冈萨雷斯向西班牙数据保护局申诉。冈萨雷斯的房产因进入追缴社保欠费的扣押程序曾被公告要强制拍卖，公告刊载于1998年1月和3月发行商发行的报纸，且因此被谷歌搜索引擎收录。冈萨雷斯认为上述扣押程序早在很多年前已被彻底解决，要求发行商删除该处或修改有关页面，并要求谷歌公司删除或屏蔽与之有关的个人信息。欧洲法院认为，“数据控制者在整个数据处理过程中都承担着保证数据质量的义务，随着时间的推移，如果数据对于收集或处理数据的目的而言不再是必须的，数据控制者应当采取所有合理措施确保不符合要求的数据被删除或者修改”。

此后在欧盟法院裁判先例的基础上，GDPR提出了一系列更为严格的数据保护规则，将提供跨境服务的企业纳入规制范围，扩大了对数据跨境流动的监管范围。该条例进一步明确了“删除权”，还开创性地引入“被遗忘权”。

笔者认为，大数据给各方带来便利的同时，还需考量到个人隐私等个人信息的保护以及信息披露的衡平。在一定期限内，有些必要的公开（如由于证券法、公司法对公司和法定代表人信息核查的需要）不可避免，但是，对于过期信息，个人应当有理由也有权利要求将其删除。另一方面，相对于现在的数据控制者来说，大部分的个人往往无法理解其提供的标准隐私条款，或者即使理解了也并没有可修改该协议的渠道，此时，赋予个人一定时间后不再同意信息被记录和使用的“被遗忘权”是对处于劣势地位的个人的保护。基于上述，建议就我国《网络安全法》中的“删除权”进行一定程度的扩展，在对国内数据安全保护法律体系进一步修订时，将“被遗忘权”尽快法律化、制度化。

（作者系上海市锦天城律师事务所高级合伙人）