我国首例“被遗忘权”案件之再思考

2014年,欧盟法院依据欧盟《数据保护指引》审结首例“被遗忘权”案件,欧盟法院认为,谷歌公司对个人数据的操作属于“处理个人数据”(processing of personal data);同时,认定搜索引擎经营者决定了其行为及而其本身所实施的个人信息处理的目的和手段,谷歌公司是处理个人数据的控制者;据此,依据《数据保护指引》裁定谷歌公司败诉。此案过后,美国谷歌公司在欧洲每年面临几十万件涉及“被遗忘权”的诉讼。
作者:吕璇璇
2019-01-16 21:49:48

引子:

       2015年,曾被公众广泛关注的我国首例“被遗忘权”案件尘埃落定,一审驳回原告任某全部诉讼请求,二审维持原判[ (2015)一中民终字第09558号]。原审法院与上诉法院的裁判理由保持一致:即认为“我国现行法律中并无对‘被遗忘权’的法律规定,亦无‘被遗忘权’的权利类型。”,上诉人(原告)未能证明其诉请之人格利益的正当性和必要性,进而认定诉讼请求缺失侵权成立之必要条件裁决诉请方败诉。时隔两年,通过官方公开渠道了解此案一审法官的思辨[ 参见《陈旭屹:我守护的是社会的公正和良知》,见最高人民法院官方微信号(2017年12月18日)。],不免引发笔者对此案的再思考。


案件简介:

       2014年,欧盟法院依据欧盟《数据保护指引》审结首例“被遗忘权”案件,欧盟法院认为,谷歌公司对个人数据的操作属于“处理个人数据”(processing of personal data);同时,认定搜索引擎经营者决定了其行为及而其本身所实施的个人信息处理的目的和手段,谷歌公司是处理个人数据的控制者;据此,依据《数据保护指引》裁定谷歌公司败诉。此案过后,美国谷歌公司在欧洲每年面临几十万件涉及“被遗忘权”的诉讼。

       我国首例“被遗忘权”案件的主审法官认为,当时“我国的互联网产业方兴未艾,正是需要大力支持的时候;如果我们的企业也被这些不必要的负担所累,那么,国家的经济发展和产业转型必然会受到不利影响;相比之下,过分强调个人的“被遗忘权”,并不妥当。”然而,此一时彼一时。


现实问题:

        根据2017年12月24日,全国人大网公布《全国人民代表大会常务委员会执法检查组关于检查<中华人民共和国网络安全法><《全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》[ 原文详见全国人大网,http://www.npc.gov.cn/npc/xinwen/2017-12/24/content_2034836.htm,最后访问日期2018年2月1日。],当前用户个人信息保护工作形势严峻。“万人调查报告”显示,“一法一决定”[ “一法一决定”:《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》。]关于用户个人信息保护的多项制度落实得并不理想,主要集中在“过度收集用户信息”、“利用’霸王条款’条款强制收集用户信息”、“本人信息被泄露或者被滥用后,举报难、投诉难、立案难”等现象和问题。

       如今,绝大多数个人都曾经或者正在担忧本人的信息是否已经或者将要面临泄露、滥用的风险。个人信息(数据)不当处理可能导致物理的、物理的或非物理的物质伤害,在互联网环境下,类似伤害往往不可逆、不可复原,包括出现歧视、身份盗窃或者欺诈、财务损失、名誉受损,也包括个人情况被非自愿地评估、个人敏感信息被泄露等问题。为降低或者尽可能避免此等风险,强调对个人信息处理的合规问题势在必行,包括认可信息主体(数据主体)对其本人信息的删除、更正之正当权益。追本溯源,不妨先来了解欧盟关于“被遗忘权”的具体规定,再行思辨现今是否存在移植本土的可行性与必要性问题。


他山之石:

       根据已经颁布并将于2018年5月25日全面实施的《一般数据保护条例》(General Data Protection Regulation, GDPR)之规定,数据主体(数据指向的个人)有权要求数据控制者(单独或与他人共同确定个人数据处理的目的和方式的自然人或法人、公共机构、代理机构或其他机构)修改不完整的信息(GDPR Article 16),此项网络环境中的“被遗忘权”进一步扩展为删除权(GDPR Article 17)与“限制处理权”(GDPR Article 18)。也就是说,欧盟GDPR是把数据主体对个人数据的修改权界定为网络环境中“被遗忘权”,若数据的留存违反GDPR或者控制者应当遵守的欧盟或成员国法律,数据主体应当享有之,特别在以下几种情况下,数据主体应当有权删除其个人数据并不再处理该等数据:

1.当个人数据依据最初收集或处理时目的,不再需要处理,或者;

2.当数据主体撤销对处理其相关个人数据的同意,或者;

3.当数据主体反对处理其相关个人数据,或者;

4.控制者对个人数据处理不符合GDPR规定。

       同时,GDPR也规定上述权利的适用例外,包括言论自由权和知情权、遵守法定义务,或为公共利益、控制者职务权限范围内实施某项义务、以公共卫生领域的公共利益、为科学或历史研究或统计目的,或为法定求偿权的建立、行使或辩护等所必需时,个人数据保留应当具有合法性。[  胡嘉妮、葛明瑜 译,许多奇 校:《欧盟<一般数据保护条例>》,《互联网金融法律评论》2017年第1辑·总第8辑,第45页。]


我国立法:

       随后,让我们将视野回归本土,重新检视目前我国现行的相关法律,与两年前的法律规定相比,是否已经产生了实质性的变化,对于个人数据的保护是可以另辟蹊径,还是依然举步维艰呢?

       2017年6月1日,《中华人民共和国网络安全法》正式施行。为有效应对网络安全威胁和风险、全方位保障网络安全提供了基本法律支撑。这里,我们首先需要明确《网络安全法》对于几项基本概念的定义,包括:

1.公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。其中“识别”包括“直接识别”与“间接识别”,直接识别是通过个人信息指向本人,例如姓名、身份证号码等确定信息主体;间接识别是通过识别个人中断设备的方式“间接”识别信息主体,例如适用“Cookies”向信息主体的终端设备发送定向广告。

2.信息收集:包括直接收集(从权利人处收集信息)与间接收集(从第三方收集个人信息),除个人的公开信息外,收集权利人的个人信息应采用直接收集方式。

3.信息处理:包括加工、使用、分析利用(数字画像、产品或服务改进计划等),处理个人信息,原则上应征得权利人同意。

4.更正请求权:《网络安全法》第43条规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

5.删除权:个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。网络运营者应当采取措施予以删除或者更正。


镜中望月:

       回顾两年多前的裁决,我国的首例“被遗忘权”的裁定与该案的具体案情、当时的法律规定、与相关群体的利益平衡不无关联。初审法庭归纳案件核心,即对“相关搜索”技术模式及相应服务模式正当性的法律评价问题,具体涉及事实及法律两个层面的基础问题:事实层面,百度公司“相关搜索”服务显示的涉及任某的检索词是否受到了该公司人为干预?法律层面,百度公司“相关搜索”技术模式及相应服务模式提供的搜索服务是否构成对任某的姓名权、名誉权及任某主张的一般人格权中的所谓“被遗忘权”的侵犯?

       关于事实层面问题的再思考。一审判决中罗列了大量原被告双方提供的公证文书,证明百度公司“相关搜索”服务显示的内容,搜索结果具体有动态性,法庭据此得出的结论是,百度公司所称相关搜索词系由过去一定时期内使用频率较高且与当前搜索词相关联的词条统计而由搜索引擎自动生成,并非由于百度公司人为干预。

       但是,如果参照《网络安全法》关于个人数据收集和处理的定义与规定,上述判断存在商榷之处,类似行为是否由网络运营方人为干预形成,不再是适用法律的本质判断唯一因素。其一,个人信息本即包括电子方式记录的信息,对于个人信息的收集和处理应当获得权利人的同意。本案中,如果将百度公司的“相关搜索”行为界定为收集行为,在信息主体撤销其同意的情况下,百度公司应当予以更正或者删除;如果将“相关搜索”行为界定为处理行为,在其违反法律、行政法规规定、双方约定的情况下,百度公司也应当删除。

       不难发现,《网络安全法》为信息主体掌控个人信息创设了附条件的通道。笔者认为,今后类似的案件,论证“相关搜索”行为是否存在人为干扰是不够的,至少应当论证该行为是否属于对个人信息的收集或者处理或者收集和处理,这是适用法律的前提。如果借鉴欧盟GDPR规定,将“相关搜索”定义为“处理个人数据”(processing of personal data)毫无争议。当然,诉请方需要更为细致地检索法律、行政法规;至于网络运营方是否违反双方的约定,需要结合《合同法》、《消费者权益保护法》综合考虑。本案中,百度公司对于用户的诸多事先声明是否存在“霸王条款”的嫌疑,原告并未反对也没有提出相反证据证明,法庭据此未加评论。但是,网络运营方收集和处理信息行为本应遵守的国家相关标准和规范[ 例如,《信息安全技术 公共及商用服务系统个人信息保护指南》(GB/Z 28828-2012)。]等方面,信息主体可以审查网络运营方是否利用“霸王条款”不合理地规避法定义务、限制用户权利,进而,论证其违反相关法律、行政法规,构筑网络运营方可能存在违法行为的事实证据基础。

       关于法律评价层面的问题。本案中,法庭采用网上侵权中“通知—处理”规则判定适用及责任承担问题。鉴于该项规则熟知度高,本文不再累述。不过根据《网络安全法》,今后类似案件,诉讼方案中还应当考虑可能存在的抗辩因素:其一,如果个人信息因时间推移而造成不正确时,考虑到原始信息(历史信息)的正确性,将视信息主体行使更证权是否具有正当性而确定其更证权;其二,如果信息涉及价值判断,鉴于价值判断的主观性,该信息不应当成为更正请求权行使的对象。[ 马民虎 主编:《网络安全法适用指南》,中国民主法制出版社,2018年1月出版,第180页。]笔者认为,法律评价层面的问题,需要结合具体案情讨论,暂时没有统一适用的规则。

       不过,笔者仍然乐观且谨慎地展望今后信息主体主张“被遗忘权”或可获得司法裁判的支持。诚如欧盟GPDR的立法初衷,个人数据处理旨在为人类服务。故此,我们有理由期待,司法裁判者有勇气、有担当,未来重新权衡保护个人信息的正当权益与其他权益的平衡关系,恰如其分地给通过司法判例为信息主体的“被遗忘权”赋予适当的司法解释与适用。


1.(2015)一中民终字第09558号

2.参见《陈旭屹:我守护的是社会的公正和良知》,见最高人民法院官方微信号(2017年12月18日)。

3.原文详见全国人大网,http://www.npc.gov.cn/npc/xinwen/2017-12/24/content_2034836.htm,最后访问日期2018年2月1日。

4.“一法一决定”:《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》。

5. 胡嘉妮、葛明瑜 译,许多奇 校:《欧盟<一般数据保护条例>》,《互联网金融法律评论》2017年第1辑·总第8辑,第45页。

6.例如,《信息安全技术 公共及商用服务系统个人信息保护指南》(GB/Z 28828-2012)。

7.马民虎 主编:《网络安全法适用指南》,中国民主法制出版社,2018年1月出版,第180页。