江 溯

一、 歐盟被遺忘權制度的淵源

互聯(lián)網(wǎng)時代的“遺忘”價值不言而喻，但法律的發(fā)展卻是一個緩慢的過程。歐盟被遺忘權制度的設立源自歐盟法院判決，隨后經(jīng)由一系列立法細化，最終造就了今日的被遺忘權制度。歐洲的立法者早就將蘊含遺忘價值的文本前瞻性地寫入法條。早在1978年，《法國隱私法》第40條就規(guī)定了數(shù)據(jù)主體享有要求控制者刪除與其相關的“不準確、不完整、模糊、過期”或被非法處理的信息。(1)Loi No.78-17 du 6 janvier 1978 relative à l’informatique，aux fichiers et aux libertés[Law 78-17 of January 6，1978 on Information Technology，Data Files and Civil Liberties]，JOURNAL OFFICIEL DE LA REPUBLIQUE FRAN?AISE[J.O.][OFFICIAL GAZETTE OF FRANCE]，Jan.7，1978，art.40.這實際上已經(jīng)很接近今天的被遺忘權制度。1995年歐洲《95/46/EC號指令》規(guī)定了數(shù)據(jù)處理的目的限制，還規(guī)定了數(shù)據(jù)主體有權刪除違規(guī)處理的數(shù)據(jù)。(2)Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data，1995 O.J.(L 281)31(EC).2005年，《歐盟基本權利憲章》第8條將個人數(shù)據(jù)保護上升到人權高度，規(guī)定個人數(shù)據(jù)應“以特定目的”“被公平處理”。(3)Charter of Fundamental Rights of the European Union art.8，December 7，2000，2000 O.J.(C 364)1，10.這構成了“谷歌西班牙案”之前的數(shù)據(jù)隱私保護的基礎。

在“谷歌西班牙案”之前，“被遺忘權”的幽靈就已經(jīng)在歐洲上空飄蕩。歐盟在2012年的立法提案中曾經(jīng)提出“被遺忘權”，并引發(fā)了第一次爭議。此后在2013年的立法提案表決中，“被遺忘權”被“刪除權”所替代。有學者認為，盡管這項權利采用了《95/46/EC號指令》的“刪除權”表述，但實際上它要求“數(shù)據(jù)控制者消除數(shù)據(jù)如此盡力，以至于這個數(shù)據(jù)必須在網(wǎng)絡世界中被遺忘”。(4)夏燕：《“被遺忘權”之爭——基于歐盟個人數(shù)據(jù)保護立法改革的考察》，《北京理工大學學報》(社會科學版)2015年第2期。

盡管在這一時期，就有學者指出數(shù)據(jù)保護法對互聯(lián)網(wǎng)媒體乃至搜索服務可能的影響。(5)D.Erdos，“Systematically Handicapped:Social Research in the Data Protection Framework”，Information and Communication Technology Law，Vol.20，No.2，2011，pp.83-101;“Data Protection Confronts Freedom of Expression on the ‘New Media’ Internet:The Stance of European Regulatory Authorities”，European Law Review，Vol.40，No.4，2015，pp.531-562.但這種危機仍然潛藏在水底。真正使得“被遺忘權”以及相關爭議浮出水面的是2014年5月歐盟法院對“谷歌西班牙案”的裁決。(6)R.C.Post，“Data Privacy and Dignitary Privacy:Google Spain，the Right to Be Forgotten，and the Construction of the Public Sphere”，Duke Law Journal，Vol.67，No.5，2018，pp.961-983.在該案中，馬里奧·格斯蒂亞·岡薩雷斯(Mario Costeja González)訴稱，當運用谷歌檢索其姓名時，結果中顯著地展示了一份《先鋒報》的公告，內(nèi)容是其十二年前因未償還社會保險債務而被拍賣房產(chǎn)。岡薩雷斯認為，此事已經(jīng)結束多年，不再具有相關性，應予以刪除，遂投訴至西班牙數(shù)據(jù)保護局。西班牙數(shù)據(jù)保護局認為，《先鋒報》不應當被要求刪除其數(shù)字化文件，因為“其對涉案信息的公開在法律上有正當理由”，它是應勞動和社會事務部的命令發(fā)布的。但谷歌應當將此項信息的鏈接從結果列表中移除，因為“數(shù)據(jù)保護的基本權利和人類尊嚴”包括哪怕“只是涉案個人不想讓第三方知道該數(shù)據(jù)的愿望”。谷歌就此上訴至西班牙高等法院，該法院要求歐盟法院解釋《95/46/EC號指令》，而歐盟法院在解釋中支持了西班牙數(shù)據(jù)保護局的處理方式，并明確將谷歌定性為數(shù)據(jù)“控制者”。(7)Case C-131/12，Google Spain SL v.Agencia Espaola de Protección de Datos，2014 E.C.R.317.這就使得該案之前的各種數(shù)據(jù)保護文本的適用范圍，特別是刪除權的范圍擴張至搜索引擎。該案裁決將這樣的權利創(chuàng)設為“被遺忘權”。

該案裁決結果一經(jīng)宣布，便引發(fā)了大量爭議。支持者一再強調(diào)遺忘對隱私保護的價值，并認為這是歐盟個人數(shù)據(jù)自決權的延伸。(8)對歐盟個人數(shù)據(jù)自決權的介紹，參見孔令杰：《個人資料隱私的法律保護》，武漢大學出版社，2009年；楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體》，《比較法研究》2015年第6期。調(diào)查數(shù)據(jù)也顯示，網(wǎng)民希望通過隱私保護法對抗大型網(wǎng)絡公司。(9)歐洲調(diào)查公司Big Brother Watch于2013年2月在9個國家進行的調(diào)查數(shù)據(jù)表明：79%的用戶對自己在網(wǎng)絡上的隱私感到擔憂，其中41%的用戶認為大型網(wǎng)絡公司對個人數(shù)據(jù)的使用正在對用戶造成侵害，65%的用戶認為國家的法律規(guī)則應該迫使Google等大公司遵守網(wǎng)絡隱私規(guī)則和保護個人權利。New research:Global attitudes to privacy online,http://www.bigbrotherwatch.org.uk/home/2013/06/new-research-global-attitudes-to-privacy-online.html.但詰難者則認為這可能增加商業(yè)機構的運營成本，還產(chǎn)生了言論自由、抹除歷史等方面的風險。

出于對“被遺忘權”裁決引發(fā)的爭議的平衡，同時為了讓搜索引擎運營商、數(shù)據(jù)保護機構在審查被遺忘權請求時的標準更加統(tǒng)一，歐盟第29條數(shù)據(jù)保護工作組于2014年11月迅速頒布了《關于執(zhí)行歐盟法院對“谷歌西班牙、谷歌公司訴西班牙數(shù)據(jù)保護局、馬里奧·格斯蒂亞·岡薩雷斯”案裁決的指南》。(10)GUIDELINES ON THE IMPLEMENTATION OF THE COURT OF JUSTICE OF THE EUROPEAN UNION JUDGMENT ON “GOOGLE SPAIN AND INC V.AGENCIA ESPAOLA DE PROTECCIN DE DATOS(AEPD)AND MARIO COSTEJA GONZLEZ” C-131/12.載：https://www.dataprotection.ro/servlet/ViewDocument?id=1080，2020年4月21日。該指南列舉了13項因素作為審查標準，這13項因素進一步分成五個類別，即關聯(lián)關系、數(shù)據(jù)主體特殊性、數(shù)據(jù)屬性、數(shù)據(jù)公開原因、損害結果。

在“谷歌西班牙案”之后，2016年，歐盟在《一般數(shù)據(jù)保護條例》(General Data Protection Regulations，“GDPR”)第17條明確將“被遺忘權”成文化，并設置了體系化的規(guī)則。根據(jù)該條，數(shù)據(jù)主體享有“要求控制者移除關于其個人數(shù)據(jù)的權利”。數(shù)據(jù)控制者不僅負有“及時移除”的義務，還負有告知義務，即“應當考慮可行技術與執(zhí)行成本，采取包括技術措施在內(nèi)的合理措施告知正在處理個人數(shù)據(jù)的控制者們，數(shù)據(jù)主體已經(jīng)要求他們移除那些和個人數(shù)據(jù)相關的鏈接、備份或復制”。其適用范圍具體包括目的不再必要、數(shù)據(jù)主體撤回同意、數(shù)據(jù)主體反對處理、已經(jīng)存在非法處理、履行法律責任、已經(jīng)收集了提供信息社會服務相關數(shù)據(jù)等六種情形。該條還設有除外條款，主要包括表達自由/信息自由、執(zhí)行公共任務(基于公共利益或法律授權)、公共健康、科研/統(tǒng)計目的、法律主張需要等五種情形。(11)Regulation(EU)2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data，and Repealing Directive 95/46/EC(General Data Protection Regulation)，2016 O.J.(L 119).由此可見，GDPR第17條規(guī)定的被遺忘權范圍更為寬泛，義務主體從搜索引擎運營商擴大到所有的個人數(shù)據(jù)控制者。

后GDPR時代的一項重要成文規(guī)范是2019年11月歐洲數(shù)據(jù)保護委員會(EDPB，其前身即第29條數(shù)據(jù)保護工作組)發(fā)布的《關于GDPR中搜索引擎案件被遺忘權標準的5/2019號指南》。(12)Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR，載：https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201905_rtbfsearchengines_forpublicconsultation.pdf，2020年4月22日。該指南對第17.1條和第17.3條項下的每一點均根據(jù)搜索引擎運營商可能遇到的場景展開解釋。該指南強調(diào)，要“在保護隱私和網(wǎng)絡用戶獲取信息的利益之間取得平衡，特別是必須評估個人數(shù)據(jù)是否在一段時間內(nèi)過時或沒有更新”，要求由數(shù)據(jù)控制者就第17.1.c條規(guī)定的“處理合法性的令人信服的理由”承擔舉證責任，還說明了搜索引擎運營商的活動可能屬于“直接提供信息社會服務”的范疇。對于除外條款，該指南著重闡述了第17.3.a條的適用情形，要求搜索引擎運營商能夠證明“將某一內(nèi)容列入搜索結果列表對于保護互聯(lián)網(wǎng)用戶的信息自由具有嚴格的必要性”。從內(nèi)容上看，這些解釋無疑承襲了實踐中的兩個重要司法裁決的主旨，即后文將要介紹的歐盟法院C-136/17號、C-507/17號案例。

盡管歐盟不斷通過立法試圖兼顧各方利益，特別是化解被遺忘權包含的對言論與信息自由的風險。但是，直到今日，社會各界對被遺忘權制度的爭議仍不絕于耳。被遺忘權在制度運行中也出現(xiàn)了許多有爭議的案例。因此，在借鑒被遺忘權制度之前，必須深入地了解被遺忘權的實際運行狀況，以期對其收益與風險獲得全面的了解。

二、 歐盟被遺忘權制度的實際運行

從被遺忘權的實施鏈條上看，這項權利的運行涉及多個主體。首先是網(wǎng)絡服務運營商，在被定性為數(shù)據(jù)控制者之后，它既是移除義務人，又是被遺忘權請求的審查義務人。被遺忘權制度的實施無疑對網(wǎng)絡服務提供商的運營方式產(chǎn)生了重大影響。例如，谷歌已經(jīng)處理了大量被遺忘權請求，截至2020年4月22日，它共收到918863條移除請求，要求移除3611926條網(wǎng)址。(13)《Google透明度報告》，載：https://transparencyreport.google.com/eu-privacy/overview，2020年5月4日。谷歌還為此成立了專門顧問委員會，設置審查標準。這些數(shù)據(jù)本身就意味著，被遺忘權的實施過程很難一帆風順，可能充滿對爭議解決程序的尋求。事實上，歐盟執(zhí)法機構和司法機構對相關案例的處理構成了被遺忘權制度運行的重要部分。

(一) 歐盟成員國數(shù)據(jù)保護機構的執(zhí)法情況

在執(zhí)法主體方面，GDPR要求各成員國建立獨立監(jiān)管機構，第58條賦予其調(diào)查、矯正、授權和建議等權力，第83條規(guī)定了這些監(jiān)管機構進行行政罰款的一般條件。GDPR第68條設立了歐盟數(shù)據(jù)保護委員會，以確保各成員國監(jiān)管機構對GDPR的一致性適用。目前，歐盟各成員國的數(shù)據(jù)保護機構已經(jīng)在實踐中處理了若干被遺忘權案件。EDPB官網(wǎng)上公布了兩則典型的處罰案例。

1.典型處罰一：2019年拉脫維亞國家數(shù)據(jù)督察署對在線零售商的處罰(14)“Data State Inspectorate of Latvia imposes a financial penalty of 7000 euros against online retailer”，https://edpb.europa.eu/news/national-news/2019/data-state-inspectorate-latvia-imposes-financial-penalty-7000-euros-against_en，2020年4月22日。

2019年8月26日，拉脫維亞國家數(shù)據(jù)督察署(Data State Inspectorate of Latvia，以下簡稱“DSI”)干事對在線零售商處以7000歐元的罰款。理由是該零售商沒有履行數(shù)據(jù)控制者執(zhí)行數(shù)據(jù)主體請求的責任，拒絕與DSI合作。針對有關在線零售商未遵守GDPR第17條規(guī)定的數(shù)據(jù)主體權利的投訴，DSI展開了調(diào)查。DSI在調(diào)查此案時確定，請求者在2018年多次要求零售商刪除其包括手機號碼在內(nèi)的所有個人數(shù)據(jù)。零售商沒有遵守數(shù)據(jù)主體刪除數(shù)據(jù)的要求，而是繼續(xù)處理有爭議的個人數(shù)據(jù)(包括請求者的電話號碼)。在確定罰款金額時，DSI考慮了如下因素：侵權的性質、嚴重程度和持續(xù)時間、與監(jiān)管機構的合作程度、受影響的數(shù)據(jù)主體數(shù)量、零售商上一財年的年度總營業(yè)額(GDPR第83.5.b和e條)。

2.典型處罰二：2020年瑞典數(shù)據(jù)保護局對谷歌的處罰(15)“The Swedish Data Protection Authority imposes administrative fine on Google”，https://edpb.europa.eu/news/national-news/2020/swedish-data-protection-authority-imposes-administrative-fine-google_en，2020年4月22日。

2020年3月10日，瑞典數(shù)據(jù)保護局(Swedish Data Protection Authority，以下簡稱“DPA”)對谷歌違反GDPR的行為處以7500萬瑞典克朗(約700萬歐元)的罰款。2017年，DPA對谷歌如何處理被遺忘權進行審查，認為許多搜索結果列表本應被移除，隨后命令谷歌予以移除。2018年，由于有跡象表明谷歌沒有完全遵守先前發(fā)布的命令，DPA發(fā)起了后續(xù)審查。審查結果表明，谷歌的問題有三：一是谷歌對移除范圍的解釋過于狹窄，二是谷歌未能及時移除搜索結果列表，三是谷歌的移除方式不當。在移除方式的問題上，谷歌的做法是：當移除搜索結果列表時，它會以某種方式告知鏈接指向的網(wǎng)站，從而使網(wǎng)站所有者知道移除了哪個網(wǎng)頁鏈接以及誰是移除請求背后的主張者。這使網(wǎng)站所有者可以將有爭議的網(wǎng)頁重新發(fā)布到另一個網(wǎng)址上，然后將其顯示在谷歌搜索中，但這實際上使得移除請求權陷于無效。谷歌在刪除搜索結果列表時對網(wǎng)站所有者的告知行為缺乏法律依據(jù)。此外，谷歌還通過請求表中的聲明給予個人誤導性信息。本案的罰款數(shù)額是谷歌由于違反GDPR而被罰款的第二大數(shù)額。目前谷歌表示將對該案提起上訴。(16)“Google to appeal Swedish data watchdog 7M fine”，https://www.politico.com/news/2020/03/11/google-to-appeal-swedish-data-watchdog-7m-fine-125460，2020年4月22日。

(二) 歐盟及成員國法院的司法判例

從成員國的層面看，根據(jù)GDPR第78.3項和第79.2項，歐盟各成員國的法院屬于有權審理被遺忘權案件的機構。從歐盟的層面看，根據(jù)《歐洲憲法條約》第29條(17)歐共體官方出版局：《歐洲聯(lián)盟法典》(第三卷)，蘇明忠譯，北京：國際文化出版公司，2005年，第21頁。和《歐洲保護人權和基本自由公約》第32條(18)白桂梅、劉驍：《人權法教學參考資料選編》，北京：北京大學出版社，2012年，第275頁。的規(guī)定，歐盟法院和歐洲人權法院都可以處理被遺忘權案件。以下是兩則有代表性的司法判例。

1.典型案例一：谷歌訴法國國家信息與自由委員會案(C-507/17號)(19)https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1587555637341&uri=CELEX:62017CJ0507，2020年4月22日。

2019年9月24日，歐盟法院對谷歌公司訴法國國家信息與自由委員會(Commission nationale de l’informatique et des libertés，以下簡稱“CNIL”)案件(C-507/17號)做出了初審裁定。在這個案件中，法官對廣受矚目的“被遺忘權是否在全球范圍內(nèi)適用”這一問題做出了回應。

2015年5月21日，CNIL要求谷歌在實施被遺忘權請求時，必須將對鏈接的移除應用于其搜索引擎的所有域名擴展名。谷歌對此表示拒絕，并提出了“地域封鎖”建議，即無論使用哪個版本的搜索引擎對數(shù)據(jù)主體姓名進行檢索，只要其IP地址被認為位于數(shù)據(jù)主體居住國，其對爭議顯示結果的訪問都會被拒絕。但CNIL認為這項建議是不充分的，并對其處以100000歐元罰款。谷歌向法國最高行政法院(Conseil d’état)申請撤銷該決定。隨后，法國最高行政法院請求歐盟法院就“斷鏈權”(right to de-referencing)的實施范圍以及具體方式(如“地理封鎖”的合規(guī)性)進行初步裁定。

法院首先明確，對個人數(shù)據(jù)的保護并非一項絕對的權利，而是應當考慮其社會功能，并與其他基本權利相平衡，以符合比例原則。從文義解釋上看，包括GDPR在內(nèi)的歐盟法沒有為被遺忘權設定超越成員國領土的范圍。法院認為，為了保證歐盟數(shù)據(jù)保護的一致性和高水平，并減少歐盟內(nèi)部個人數(shù)據(jù)流動的障礙，原則上應當在所有成員國內(nèi)實施斷鏈。如有必要，搜索引擎運營商應采取足夠有效的措施，以確保有效保護數(shù)據(jù)主體的基本權利。這些措施本身必須符合所有的法律要求，并具有防止或至少非常不鼓勵成員國互聯(lián)網(wǎng)用戶使用基于該數(shù)據(jù)主體名稱進行的搜索來訪問相關鏈接的作用。應當由移交法院確定，谷歌采用或建議的措施是否符合這些要求。法院最后強調(diào)，盡管歐盟法律目前不要求在搜索引擎的所有版本上實施移除，但它也不禁止這種做法。因此，一個成員國的監(jiān)管機構或司法機關仍有權根據(jù)保護基本權利的國家標準進行權衡，權衡之后可以適當?shù)孛钸\營商對該搜索引擎的所有版本進行斷鏈。

2.典型案例二：GC等訴法國國家信息與自由委員會案(C-136/17號)(20)https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1587604566663&uri=CELEX:62017CJ0136，2020年4月22日。

2019年9月24日，歐盟法院對GC等訴法國國家信息與自由委員會(簡稱“CNIL”)案件(C-136/17號)做出了初審裁定。在這個案件中，法官對一些用戶提出的涉及特殊個人數(shù)據(jù)的斷鏈請求進行了分析，試圖在個人數(shù)據(jù)保護與公共利益之間取得平衡。

在本案中，四位原告分別向谷歌提出被遺忘權申請，內(nèi)容主要包括與原告有關的政治諷刺視頻、司法程序調(diào)查、刑事聽證報道、教會成員自殺事件報道等，但谷歌予以拒絕。原告向CNIL申訴失敗，遂向法國最高行政法院起訴。法國最高行政法院隨后要求歐盟法院解釋被遺忘權規(guī)則。

首先，法院明確了被遺忘權適用于搜索引擎運營商。應根據(jù)運營商的責任、權力和能力，將相關條款適用于作為搜索引擎活動中實施處理的控制者的搜索引擎運營商，適用的前提是在數(shù)據(jù)主體申請之后，在適格國家機構的監(jiān)督下，由運營商加以驗證。

其次，法院對搜索引擎運營商對斷鏈請求的審查標準進行了分析。原則上要求搜索引擎運營商遵守指令第8.1和8.5條以及該指令規(guī)定的例外，它們應當同意針對包含這些規(guī)定所指特殊類別個人數(shù)據(jù)的網(wǎng)頁的斷鏈請求。如果運營商確定，爭議鏈接所指向的內(nèi)容盡管包含屬于第8.1條所列特殊類別的數(shù)據(jù)，但也包含第8.2.e條所規(guī)定的例外，并且其處理符合指令規(guī)定的所有其他合法條件，則可以拒絕同意斷鏈請求，除非該數(shù)據(jù)主體有權根據(jù)該指令的第14.a條以其特定情況下令人信服的合法理由反對該處理。當搜索引擎運營商收到要求其移除發(fā)布了該指令第8.1和8.5條所指特殊類別個人數(shù)據(jù)的網(wǎng)頁的斷鏈請求時，應當根據(jù)特定案例的所有相關因素，考慮到對《歐盟基本權利憲章》第7條和第8條規(guī)定的數(shù)據(jù)主體的基本隱私權和個人數(shù)據(jù)保護的侵犯嚴重程度，關注到指令第8.4條規(guī)定的重大公共利益理由以及該條所列條件，來確定為了實現(xiàn)《憲章》第11條所保障的互聯(lián)網(wǎng)用戶可能通過檢索數(shù)據(jù)主體姓名而訪問該網(wǎng)頁的信息自由權，根據(jù)這種檢索方式而在結果列表中顯示該鏈接是否具有嚴格必要性。

最后，法院還就一些特殊的數(shù)據(jù)的斷鏈權問題做出了解釋。與針對個人提起的法律程序有關的信息，以及視情況可以是與定罪有關的信息，屬于指令第8.5條所指的“犯罪”和“刑事定罪”相關的數(shù)據(jù)；如果此類信息與所涉法律程序的較早階段有關，并且考慮到法律程序的進程，該信息不再符合當前情況，根據(jù)指令第8.4條規(guī)定的重大公共利益理由，考慮到該案所有情形能夠確定，《歐盟基本權利憲章》第7條和第8條所保障的數(shù)據(jù)主體的基本權利優(yōu)先于《憲章》第11條所保護的潛在感興趣的互聯(lián)網(wǎng)用戶的權利，那么，搜索引擎運營商必須同意對顯示此類信息網(wǎng)頁的鏈接的斷鏈請求。

(三) 被遺忘權運行現(xiàn)狀的基本特征

從上述四則案例，我們可以歸納出歐盟被遺忘權實際運行的一些基本特點：

第一，被遺忘權在運行過程中爭議最大的是涉及搜索引擎運營商的案件。這與被遺忘權的特性有關，雖然GDPR將被遺忘權的適用對象規(guī)定為所有“數(shù)據(jù)控制者”，但具有被遺忘需求的主要還是那些更容易被發(fā)現(xiàn)的個人數(shù)據(jù)。通常情況下，搜索引擎運營商處理的數(shù)據(jù)都以某種形式在網(wǎng)上公開，它的處理提升了這些數(shù)據(jù)被發(fā)現(xiàn)的可能。歐盟發(fā)布的兩個指南都是針對搜索引擎運營商的案件，這一點也可以佐證我們的判斷。

第二，被遺忘權所涉及的被“處理”的數(shù)據(jù)主要是公開的數(shù)據(jù)。盡管GDPR并未限制數(shù)據(jù)處理的形態(tài)，但那些未被公開的數(shù)據(jù)很難被數(shù)據(jù)主體發(fā)現(xiàn)，從而難以得到救濟。拉脫維亞的處罰案例從反面證明了這一點，該案中的在線商店在獲得數(shù)據(jù)主體的手機號之后，不斷發(fā)送商業(yè)短信，(21)拉脫維亞數(shù)據(jù)督察署(Datu valsts inspekcija)網(wǎng)站：https://www.dvi.gov.lv/lv/zinas/datu-valsts-inspekcija-piemero-7000-eiro-lielu-naudas-sodu-internetveikalam-par-personas-datu-apstrades-parkapumiem/，2020年5月3日。才導致數(shù)據(jù)主體不甘受擾，尋求救濟。

第三，被遺忘權涉及的利益平衡問題尚未得到徹底解決，有待于判例的發(fā)展。被遺忘權產(chǎn)生伊始就伴隨著強烈的利益沖突，競爭的一方是數(shù)據(jù)主體的隱私與數(shù)據(jù)保護權益，而另一方是具有公共性的知情權、言論自由與信息自由等權益。盡管歐盟在2014年的指南中就已經(jīng)列舉了種種因素，以謀求這兩項權益的平衡，但在實踐中卻猶如走鋼絲。這里的困難既表現(xiàn)為審查標準的不確定(例如C-136/17號案件)，也表現(xiàn)為技術細節(jié)上的非難(例如瑞典數(shù)據(jù)保護局在處罰中對谷歌的申請表和通知發(fā)布者都進行了攻擊)。雖然歐盟在2019年的指南中繼續(xù)強調(diào)平衡的重要性，但顯然這個問題并非成文法所能解決，只能通過判例給出情境化的參考標準。

第四，被遺忘權的技術標準有待于完善，其效力困境反映出法律協(xié)調(diào)方面的挑戰(zhàn)。被遺忘權的實施不僅需要進行法學上的利益考量，更關鍵的是如何運用互聯(lián)網(wǎng)技術來加以實現(xiàn)。在這個“代碼即法律”(22)[美]勞倫斯·萊斯格：《代碼2.0：網(wǎng)絡空間中的法律》，李旭、沈偉偉譯，北京：清華大學出版社，2009年，第1頁。的時代，技術實現(xiàn)方案可能比法律文本更為重要。瑞典的處罰案例表明，通知的技術細節(jié)正在受到質疑。法律協(xié)調(diào)的難題不僅體現(xiàn)在歐盟內(nèi)部，C-507/17號案例還體現(xiàn)了域外法協(xié)調(diào)的困難。盡管法官努力尋求各成員國之間數(shù)據(jù)保護的一致性，但顯然對于可以自由訪問的其他國家域名擴展版，GDPR是無能為力的。

三、 歐盟被遺忘權運行的核心難題

歐盟被遺忘權在實際運行中不斷涌現(xiàn)出新的問題，這顯示了僅僅依靠成文法還不足以定分止爭。筆者將被遺忘權實踐中的主要問題歸為以下三點：(1)如何在隱私及個人信息保護和公共利益之間取得平衡？(2)在將被遺忘權首要審查責任交給數(shù)據(jù)控制者之后，如何保障其實施的正當程序？(3)面對各國互聯(lián)網(wǎng)價值的不平衡，如何在不同的法域間相協(xié)調(diào)？

(一) 如何平衡個人數(shù)據(jù)權利與公共利益

被遺忘權制度天然存在著個人數(shù)據(jù)保護與公共利益之間的矛盾。如何解決這一平衡引發(fā)的矛盾是至關重要的，它可能影響到公眾的知情權，(23)See D.Sidhu，“We Don’t Need a ‘Right to Be Forgotten’，We Need a Right to Evolve”，The New Republic，available at https://newrepublic.com/article/120181/america-shouldnt-even-need-right-be-forgotten，2020年5月4日。進而影響到構成民主社會基石的言論自由。(24)R.G.Larson III，“Forgetting the First Amendment:How Obscurity-Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech”，Commercial Law and Policy，Vol.18，No.1，2013，pp.91-120.羅伯特·波斯特教授認為，被遺忘權與言論自由之間存在著緊張關系，“谷歌西班牙案”確立的被遺忘權會對哈貝馬斯提出的“社會交往行為”造成侵蝕。被遺忘權制度內(nèi)含著數(shù)據(jù)因“特定目的”而被收集和使用的工具理性邏輯，但是公共領域的特征是交往行為，而非工具理性。只有在公共領域中允許主體性而非工具性的公共商談，才能形成民主制度所必需的言論自由。(25)R.C.Post，“Data Privacy and Dignitary Privacy:Google Spain，the Right to Be Forgotten，and the Construction of the Public Sphere”.

歐盟法已經(jīng)注意到這一問題并努力協(xié)調(diào)這種矛盾。GDPR序言第65段規(guī)定：“如果保留數(shù)據(jù)違反了控制者所應遵循的本條例或歐盟或成員國法律，則數(shù)據(jù)主體享有……被遺忘權。……但是，為了行使表達和信息自由權，在必要的情況下進一步保留個人數(shù)據(jù)是合法的?！钡?.2.g條規(guī)定了在“出于重大公共利益考慮有必要進行處理時”對處理特殊類別個人數(shù)據(jù)的豁免。第17.3.a條規(guī)定被遺忘權的例外情形時，提到了“表達自由和信息自由”“執(zhí)行基于公共利益的任務”“公共健康”等多種涉及公共利益的情形。歐盟法院在C-507/17號裁定和C-136/17號裁定中再三強調(diào)，要注意“個人數(shù)據(jù)保護并非一項絕對的權利，而是應當考慮其社會功能，并與其他基本權利相平衡，以符合比例原則”，要“在隱私權和個人數(shù)據(jù)保護與互聯(lián)網(wǎng)用戶的信息自由之間進行平衡”。

但是，如何設置可以平衡這兩種利益的被遺忘權制度并非易事。即使是專門處理這一問題的C-136/17號裁定，歐盟法院也只是列舉了若干項需要考慮的因素，將審查義務又推給了作為數(shù)據(jù)控制者的搜索引擎運營商。事實上，如何才算考慮到“特定案例的所有相關因素”，歐盟法院也不可能進行窮盡式的列舉。2020年瑞典數(shù)據(jù)保護局對谷歌的處罰案例也反映出執(zhí)法機構進行權衡的困境，是否將處理結果告知第三方發(fā)布者不僅涉及發(fā)布者知情權，也涉及被遺忘權制度運行的彈性?；蛟S，無法通過立法設置統(tǒng)一規(guī)則解決這一矛盾，而是需要對其實施細則進行更詳細的場景化界定，(26)丁曉東：《被遺忘權的基本原理與場景化界定》，《清華法學》2018年第6期。并且通過判例法提供更多可供借鑒的思路。

(二) 如何保障被遺忘權實施的正當程序

正當程序原則與被遺忘權制度發(fā)生齟齬的根本原因在于，在法律規(guī)則不甚明確的情況下，歐盟法實際上將審查權交給了谷歌這樣的私人主體?！芭袥Q把搜索引擎變成了法官，讓其負責去衡量一個主體的隱私權是否高于另一個主體的言論自由?！?27)鄭志峰：《網(wǎng)絡社會的被遺忘權研究》，《法商研究》2015年第6期。但是，私人主體不受行政法規(guī)制，GDPR也并未對私人主體審查被遺忘權的程序性要求提供充分的規(guī)則供給。

因此，正當程序的首要問題是明確被遺忘權審查義務主體及其性質。杰克·保爾金教授指出，目前的權力配置模式改變了既有的言論規(guī)制二元模式，在原有的政府和發(fā)言者之間出現(xiàn)了提供基礎設置的私人企業(yè)。(28)J.M.Balkin，“Free Speech in the Algorithmic Society:Big Data，Private Governance，and New School Speech Regulation”，U.C.Davis Law Review，Vol.51，2018，pp.1149-1210.盡管將這一審查義務賦予谷歌這樣的搜索引擎運營商在制度運行效率方面更為便捷，但是如何將搜索引擎運營商的審查權力關進制度的籠子里，還需要更加精細的設計。凱特·科洛尼科教授認為，應當將這些私人公司登記為“公益公司”并在其章程中加以限制。(29)K.Klonick，“The New Governor:The People，Rules，and Processes Governing Online Speech”，Harvard Law Review，Vol.131，2018，pp.1598-1670.

除主體性質外，正當程序還要求增加更多的細則，以保障網(wǎng)絡用戶的程序性權利。目前，由于歐盟法將第一步的審查權賦予私人主體，在規(guī)則透明度、申訴機制、外部監(jiān)督等方面都有許多不足。盡管我們在新聞首頁上常?？吹降氖菍雀柽@樣的大公司的報道，但并不意味著所有數(shù)據(jù)處理者都能像谷歌那樣設立專門的網(wǎng)頁發(fā)布透明度報告，更難像谷歌那樣有足夠的財力和人力專門發(fā)表論文，對過往數(shù)據(jù)進行分析?，F(xiàn)實中更多的私人主體可能更像2019年拉脫維亞處罰案例中的在線零售商一樣，不僅對被遺忘權請求不聞不問，而且根本無法建立內(nèi)部的審查機制。即使像谷歌這樣更有能力在實施過程中貫徹正當程序的私人主體，在具體技術方案的設計上也不乏充滿爭議之處。因此，我國有學者建議，應當通過規(guī)則公開、給予被請求刪除的原始網(wǎng)頁抗辯機會、公共利益代表、個案決定透明化以及政府監(jiān)督等要求促進正當程序，以彌補私主體裁決的正當性不足問題。(30)蔡培如：《被遺忘權制度的反思與再建構》，《清華法學》2019年第5期。

(三) 如何在不同法域間協(xié)調(diào)被遺忘權制度

被遺忘權實施的另一個重大困境在于，很難徹底實現(xiàn)對某個數(shù)據(jù)的遺忘。一方面，從技術上看，互聯(lián)網(wǎng)從誕生以來就是開放的，數(shù)據(jù)的復制和傳播極為便捷，信息分享的方式也十分多元化，信息一旦開始傳播就基本不可能將其刪除。(31)Gregory Ferenstein，On California’s Bizarre Internet Eraser Law for Teenagers，https://techcrunch.com/2013/09/24/on-californias-bizarre-internet-eraser-law-for-teenagers/，2020年4月22日。另一方面，技術上難以實現(xiàn)徹底移除的背后，也反映出全球不同法律之間的障礙。正如谷歌訴法國國家信息與自由委員會案(C-507/17號)所顯示的那樣，即使在申請者所在的成員國的域名上移除鏈接，任何人依然可以通過其他國家的域名在互聯(lián)網(wǎng)上搜索訪問該網(wǎng)頁。這是因為，不同國家對互聯(lián)網(wǎng)的價值有著不同的理解，從而對隱私權和數(shù)據(jù)主體權利的保護程度有所區(qū)別。

不同法域的個人數(shù)據(jù)保護規(guī)則對互聯(lián)網(wǎng)世界造成了巨大的影響。一方面，數(shù)據(jù)保護法律的不統(tǒng)一阻礙了數(shù)據(jù)的跨境流動，給互聯(lián)網(wǎng)企業(yè)帶來了更高的合規(guī)成本，也使得處于同一個網(wǎng)絡世界的公民們因地理位置的差別而享有不平等的保護。另一方面，不同國家和地區(qū)數(shù)據(jù)保護規(guī)則的差異使得被遺忘權的實施效果大打折扣，即便是在歐盟這樣具有較高數(shù)據(jù)保護傾向的地區(qū)，被遺忘權的效力范圍仍然模糊不清。

在不同法域之間協(xié)調(diào)被遺忘權制度的困難，表面上在于各國的數(shù)據(jù)保護規(guī)則不同，例如被遺忘權制度在很多法域并無規(guī)定，但更實質性的問題在于不同國家和地區(qū)對被遺忘權制度的價值位階理解不同。例如，美國許多學者都對被遺忘權持抗拒態(tài)度，就是因為這會沖擊第一修正案所保護的言論自由價值。(32)R.G.Larson III，“Forgetting the First Amendment:How Obscurity-Based Privacy and a Right to Be Forgotten Are Incompatible with Free Speech”，Commercial Law & Policy，Vol.18，No.1，2013，pp.91-120;J.Rosen，“The Right to Be Forgotten”，Stanford Law Review，Vol.64，2012，pp.88-92.有學者則認為，被遺忘權制度可能會引發(fā)對大西洋兩岸數(shù)據(jù)跨境流動的阻礙，并提議參照美國判例法上對不同主體的隱私保護“三分法”規(guī)則，建立相應的被遺忘權制度，以調(diào)和歐美之間在言論自由與個人信息保護之間的差異。(33)M.L.Rustad & S.Kulevska，“Reconceptualizing the Right to Be Forgotten to Enable Transatlantic Data Flow”，Harvard Journal of Law and Technology，Vol.28，No.2，pp.349-417.

四、 結論

經(jīng)過一系列立法，被遺忘權已經(jīng)成為歐盟個人數(shù)據(jù)保護法上的重要制度。目前，谷歌等網(wǎng)絡服務運營商已經(jīng)處理了大量被遺忘權請求。但是，從歐盟執(zhí)法和司法的典型案例來看，如何平衡數(shù)據(jù)主體權利與公共利益仍屬難題，被遺忘權實施過程中正當程序原則正在經(jīng)受挑戰(zhàn)，不同法域之間的規(guī)則沖突也為被遺忘權實踐帶來諸多問題。我國在引入被遺忘權制度時，應當借鑒歐盟法的運行得失，在立法時做好價值衡量，設計更為精細且兼顧程序正義的規(guī)則，并借助司法積累案例發(fā)展場景化規(guī)則。