• +86 188-0018-6806
  • harveyyan@zhongyinlawyer.com

欧盟对搜索引擎语境下适用被遗忘权的最新限制性解读

欧盟对搜索引擎语境下适用被遗忘权的最新限制性解读

北大法律信息网 今天

问题的提出:数据不是石油,是可再生能源。大数据时代的核心特点在于通过算法对海量数据进行计算从而实现人工智能。搜索引擎为数据的收集和处理以及信息传播提供辅助工具。同时,数字经济和个人信息保护以及网络用户信息访问权同生共存,个人信息主体是否有权要求搜索引擎清除网络中和自己相关的信息,尽管该信息可能是客观和真实的?搜索引擎是否可以以保障网络用户信息访问权等理由反对清除个人主体的信息?

研究背景:2019年12月2日,欧盟数据保护委员会(下文简称“EDPB“)发布了《关于GDPR中搜索引擎语境下被遗忘权标准的准则(第一部分)》(Guidelines 5/2019)(下文简称“搜索引擎被遗忘权标准准则”或“准则“)征求意见稿,意见收集的截止日期为2020年2月5日。准则对被遗忘权适用于搜索引擎的情形进行了限制性解释。

本文结构:本文第一部分结合欧盟、美国和中国的立法及判例,综述针对搜索引擎的“清除权(被遗忘权)”;本文第二部分对“清除权erase”(“被遗忘权forgotten”)、“删除权delete”、“更正权rectify”、“撤回权withdraw”、“反对权object”、“请求从列表移除权delist”等互相交叠的权利的中英文进行了辨析;本文第三部分重点介绍及评析欧盟搜索引擎被遗忘权标准准则这一新规。

欧盟、美国和中国被遗忘权的介绍

(一)被遗忘权在欧盟的产生和发展

网络语境下被遗忘权的立法起源于欧盟。1995年10月24日,欧盟发布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令( Directive 95/46/EC)》(下文简称“1995年指令”)。该1995指令第12条(b)规定,各成员国必须保证数据主体享有要求数据控制者对不符合本指令的数据作出适当修改、删除或者拦截,特别是对那些不完整、不准确的数据。此时,该指令没有对能够行使该权利的情形作出具体规定,这一条也没有真正运用到实践中。

以著名的“冈萨雷斯案”为契机,被遗忘权广泛进入人们视野。西班牙《先锋报》曾于1998年刊登了有关冈萨雷斯因拖欠保险费用而被强制拍卖房产的信息,并且谷歌收录了该信息的网页链接。在2010年,冈萨雷斯发现在谷歌搜索引擎上输入自己的名字,会出现上述网页链接。他认为1998年被强制拍卖财产的事件已经结束了,现在这条信息已经与其无关,于是要求《先锋报》删除或者修改该信息,并且要求谷歌删除或者隐藏该网页链接,使其不会出现在搜索结果中。西班牙数据保护局(下文简称“AEPD”)以《先锋报》具有出版的合法根据驳回了第一个请求,而支持了第二个请求,其理由是该链接出现在搜索结果中有损数据保护的基本权利和人格尊严。谷歌不服,诉求法院撤销AEPD的决定。最后,法院于2014年驳回了谷歌的诉求。法院认为,如果数据变得不恰当、不相关或者不再相关,或者已经超出了原始目的时,搜索引擎就应该将其从搜索结果中删除。考虑到数据主体的隐私生活以及公众对16年前发布的数据不再享有绝对的知情权,该数据主体应该享有将该数据从搜索结果中删除的权利。最后法官总结道,一般而言,个人基于第7条和第8条的规定要求删除相关搜索结果的权利高于搜索引擎控制者的经济利益和公众知情权。但是也要综合考虑其他原因,比如该数据主体在社会中扮演的角色。该判决第一次将被遗忘权运用于实践。同时,该案实际是针对企业商誉受损,但是被遗忘权在个人信息保护领域被广泛运用和讨论。

在该案审理过程中,欧盟于2012年制定了《通用数据保护条例(草案)》(下文简称“GDPR”),其中第17条规定了被遗忘和清除权(right to be forgotten and to erasure),列举了四种适用情形、五种例外情形,并且对该权利的实施作了详细规定。2014年欧洲议会议员领导的GDPR草案修订组,又对其进一步修订,最直接的修改将第17 条的名称变成了“Right to erasure”,仅命名为清除权,去掉了被遗忘权,清除个人数据的情形还是四种,只是更加明晰化和更具落地性。2018年5月,欧盟GDPR正式生效。该条例第17条规定了清除权(被遗忘权)(right to erasure(‘right to be forgotten’)),将适用情形增加至六种。

(二)美国对被遗忘权的规定

在美国,被遗忘权也有相应的发展。2013年,美国加利福尼亚州通过了第568号法案。该法案明确未成年人有权要求网络公司清除自己在网络上发布的信息,除非该信息是由第三方发布的,或者州或联邦法律要求运营商或第三方保留信息,或者运营商将信息匿名化。该法案的宗旨在于防止未成年人因为思想不成熟而在网络上留下对未来发展可能产生负面影响的信息数据。这就类似于给未成年人提供了一个可擦去其上网痕迹的橡皮擦,因而第568号法案被形象地称为“橡皮擦法案”。

(三)中国关于被遗忘权的立法和判例

中国虽然没有明确规定被遗忘权,但是也存在相关案例。任甲玉于 2014在无锡陶氏生物科技有限公司从事相关教育工作,离职后,任甲玉在百度中将其姓名作为关键词进行检索时,发现许多类似“陶氏教育任甲玉”等包含其名字和陶氏教育的搜索结果。任甲玉认为无锡陶氏教育在业内的口碑不好,这些链接严重影响了其工作,至少造成了每月五万元的经济损失。任甲玉在要求百度公司删除链接失败后,向北京市海淀区人民法院提起诉讼,要求在百度搜索界面中输入“任甲玉”进行搜索时,屏蔽“无锡陶氏教育”和“陶氏教育”等字段。二审法院认为“我国现行法律中并无对“被遗忘权”的法律规定,亦无“被遗忘权”的权利类型。任甲玉依据一般人格权主张其被遗忘权应属一种人格利益,该人格利益若想获得保护,任甲玉必须证明其在本案中的正当性和应予保护的必要性,但任甲玉并不能证明上述正当性和必要性。因此驳回了其诉讼请求。

中国立法层面来看,《网络安全法》和《侵权责任法》均规定,在违法违约或者侵权的前提下,个人主体可以请求更正、删除、屏蔽、断开连接相关信息。《全国人民代表大会常务委员会关于加强网络信息保护的决定》也规定,个人发现合法权益被侵害的前提下,可以要求删除或者采取其他必要阻止措施。有望2020年出台的《数据安全管理办法》目前的版本中也有规定,网络运营者应当删除假冒、仿冒、盗用他人名义发布的信息并停止传播。从行业规定来看,最新的中国人民银行《金融消费者权益保护实施办法(征求意见稿)》规定违法违约收集信息或者信息错误,金融消费者有权要求删除或者更正。中国法律没有规定被遗忘权,仅规定了在信息违法或者错误等前提下才可以要求删除。但是,对于某类信息,例如因为时间流逝而不再准确,则有可能转换为错误的信息,同样也可以主张删除权。

清除权(被遗忘权)、删除权、更正权、撤回权、反对权、从列表移除权等概念辨析

     为了避免混淆,本文使用的“清除”对应英文“erasure”,删除对应英文“deletion”,除辨析清除权和被遗忘权本身区别时,清除权和被遗忘权混用,意思相同。搜索引擎语境下的清除权(被遗忘权)对应从列表移除(delist)权。

中国法下的删除权和欧盟以及美国的清除权(被遗忘权)并不相同,因为中国法下目前删除权行使的前提为:信息的收集和处理涉及违法、违约、侵权、错误、假冒、盗用等情形。如果没有这些非法或者不当情形存在,立法和司法层面均不支持删除权。欧盟GDPR语境下的清除权(被遗忘权)并不要求该等非法或者不当前提条件存在,尽管违法是适用清除权的6个条件之一。

欧盟GDPR在序言第39条中亦有明确提及,即数据控制者应当修改和删除不正确的个人数据,这和中国法下行使删除权的必须有违法、违约、侵权、错误、假冒、盗用等情形的思路是一致的。从这个角度讲,中国和欧盟GDPR均规定了基于违法的删除(deletion)权,但仅在欧盟GDPR中有并非基于违法的清除(erasure)权。

对于被遗忘权和清除权本身的关系,主要有两种的观点。一种认为被遗忘权是清除权的补充,被遗忘权最重要的一个特征就是个人信息在被收集和利用时具有正当性,即信息主体是明示同意或默许同意,属于合法行为;而狭义的清除权的特征是个人信息在被处理时就违反法律规定或当事人的约定,是侵权行为或违约行为;上述狭义的清除权实际和本文讨论的删除权同义。对于这种观点,欧盟曾于2018年11月发布了一个规定(REGULATION (EU) 2018/1725),其中第39段写道,为了加强网络环境中的被遗忘权的保护,清除权应该得到扩展。另一种认为被遗忘权和清除权在内容上完全重合,被遗忘是权利行使的目的,而清除则是实现权利的手段;对于这种观点,在2019年9月,欧盟法院在一个判决中写道GDPR第17条的清除权也称作被遗忘权。并且,不少欧洲国家的组织(如英国的Information Commissioner’s Office)在介绍清除权时,把被遗忘权作为其别称。

中国法律赋予信息主体更正权,而且往往和删除权并列,在信息有错误的情形下,信息主体可以选择更正或者要求删除。欧盟GDPR中多处将更正、清除、被遗忘权并列使用,保证信息准确性,更正权行使的前提同为不准确的信息。但是,在准则中又明确提及,“冈萨雷斯案”确立了更正权、清除权和反对权这三大权利同为搜索引擎语境下请求移除列表(delist)权的基础。换句话说,在搜索引擎语境下,准则扩大了适用GDPR清除权的基础,即GDPR不包括更正权,但准则包括更正权。

欧盟GDPR同时规定了撤回权,撤回权是行使清除权的6种情形之一。即数据主体可以要求随时撤回收集或者处理个人信息所做出的同意。数据控制者应当以适当的方式告知这一权利,撤回不会影响撤回之前根据同意而进行处理的合法性。

关于反对权,欧盟GDPR亦明确规定数据主体“可以要求控制者提供对个人数据的访问、更正或清除,或者限制或反对相关处理的权利”。例如,数据主体有权随时反对为了营销而处理相关个人数据,包括反对和此类直接营销相关的用户画像。反对权也是行使清除权的6种情形之一。

在法律、法规和规范性文件层面,中国法下规定了删除权和更正权,仅《儿童个人信息网络保护规定》规定了监护人可以撤回同意,目前并没有反对权的规定。

搜索引擎被遗忘权标准准则的重要信息介绍及评析

欧盟GDPR第17条关于被遗忘权的规定分为三个部分。该准则仅涉及两个部分:第一是对数据主体请求从搜索引擎列表中移除的条件(GDPR第17条第1款)进行解释,第二是不能请求从搜索引擎列表移除的情形(GDPR第17条第3款)。

该准则不适用于GDPR第17条第2款,即不要求其他数据控制者在响应数据主体清除权的要求时,通知搜索引擎清除信息(尽管有义务通知除搜索引擎外的掌握信息的第三方);也不要求搜索引擎在响应数据主体清除权要求时,通知其他第三方清除信息。这是为了防止通知清除信息义务的无限扩大。

该准则仅适用于搜索引擎语境下的被遗忘权(清除权),因此在该准则中被遗忘权(清除权)又被具体细化称为请求从列表中移除(delist)的权利。同时,该准则还明确规定,请求从列表中移除的权利包括反对权和清除权。也就是说,通过该准则,数据主体请求从列表中移除信息的法律依据不仅包括GDPR第17条规定的清除权,还扩展至包括GDPR第21条规定的反对权。

根据准则,在有的情形下,并不要求搜索引擎确保信息内容(content)彻底从网络删除,甚至不要求删除索引(index)或者缓存(cache)。特别强调,搜索引擎语境下被遗忘权不同与其他语境下被遗忘权,例如不同于发布信息内容的网站。也就是说,只要确保通过数据主体姓名不能再搜索到相关信息,即履行完成义务,尽管该等信息的内容仍然存在于发布信息的其他网页上,通过别的方法(例如其他关键词)仍然可以看到该能信息内容。准则的规定实际上降低了搜索引擎的合规成本,不要求无限制的对清除内容负责。但是,准则同时又规定,在另外一些情形下,搜索引擎负有彻底删除的义务。例如,如果最初的信息发布者请求执行robots.txt文件,搜索引擎有义务彻底删除URL。

(一)搜索引擎被遗忘权标准准则对GDPR第17条第一部分规定的6项行使清除权(被遗忘权)的条件解释如下:

1.第17条第1款a项:搜索引擎在收集或者处理目的不再必要时清除数据

GDPR原文规定:个人数据对于被收集或处理的目的不再必要。

准则的解释:该准则认为在考虑请求从列表移除权是否能够行使时,必须衡量隐私保护与网络用户获取信息的权利,特别是要注意该个人数据是否过时或者没有更新,以及是否过了保留期间。例如,已经注销的公司中的个人信息,已经不在某公司工作的前员工信息,超过必须公布的法定年限的信息,均为可以清除的信息。

目的限制是GDPR下收集和处理信息的原则之一,数据的收集必需具备特定、明示和合法目的。如果信息与当时收集的目的不符,可以要求清除。这和其他两项准确性以及存储期限限制原则是一致的,如果和目的不符,信息准确性受影响,不应当再存储。搜索引擎语境下,需要确保使用特定关键词(例如个人姓名)不能再搜索到与该关键词相关的信息。

2.第17条第1款b项:搜索引擎在数据主体撤回同意时清除数据

GDPR原文规定:【数据主体撤回其同意,且该处理无其他法律基础。】

准则的解释:该准则认为数据主体一般是同意网页发布者使用其数据,而不会对搜索引擎作出同意的意思表示,所以数据主体也无从向搜索引擎撤回同意。对此,该准则引用了“冈萨雷斯案”的判决,即至少在数据主体请求删除相关搜索结果时,就视为是撤回同意。此外,如果数据主体对网页发布者撤回同意,那么根据第17条第2款的规定,该网页发布者应当通知缓存了该数据的搜索引擎提供者。在这种情况下,数据主体是根据第17条第1款c项(反对权)来行使权利。

告知-同意是目前世界范围内收集个人信息的前提条件,如果个人撤回同意,则不能再收集和处理。搜索引擎的技术特点决定了其不会事先征得同意再提供搜索,因此撤回也就无从谈起,个人只能向原始信息发布者请求撤回,相当于个人在搜索引擎语境下行使了反对权。

3.第17条第1款c项:搜索引擎基于反对权进行的清除

GDPR原文规定:该项GDPR原文的核心意思为:数据主体可以随时反对数据控制者以公共利益和正当利益两项理由所做的处理,但如果数据控制者能举出理由压倒这种反对,则反对无效;数据主体可以随时反对用于营销和用户画像为目的的处理,没有例外。该条为GDPR规定的反对权。

准则的解释:该准则进一步说明:1. 数据主体可以列举多项理由行使清除权,依据该反对权请求清除实际上比上述第1项和第2项理由更加有利于数据主体,因为不需要特别理由,反对即可。2. 基于该反对权请求清除的举证责任在被请求方搜索引擎,如果搜索引擎无法举出压倒性的理由,就必须清除信息。3. 此外,该准则还强调需要纳入考虑数据主体的个体情况,如该数据主体是否是公众人物,该信息与主体的职业是否有关和影响其隐私,是否构成报复性言论、口头和文字诽谤,是否仅为别人的评论和看法而不是基于事实的描述,未成年人犯罪等。4. 最后,它还提到如果搜索引擎没有抗辩,就不需要审查上述第3点因素。

该条主要对早期的《数据保护指引》(Directive 95/46/CE)中规定的举证责任与GDPR进行了比较,即GDPR下发生了举证责任转移。以前个人可以主张被遗忘权的理由为“和个人处境相关的迫切的法定理由(compelling legitimate grounds)”,现在只需要“和个人处境相关的理由(grounds)”。EDPB认为,文字叙述方式的改变使得举证责任转移。

4.第17条第1款d项:搜索引擎清除被非法处理的数据

GDPR原文规定:GDPR第6条列举了6项对个人数据进行处理的合法性基础,包括同意、合同、法定义务、数据主体核心利益、公共利益、数据控制者的正当利益。根据GDPR第17条第1款d项原文规定,如果个人数据被非法处理了,可以请求清除。

准则的解释:该准则强调判断是否非法,首先应该考虑第6条有关合法处理的规定,其次再考虑是否违反GDPR以外的法律。如果搜索引擎无法举出合法处理的事由,则可以依据条要求搜索引擎删除信息。最后还强调在此种情形下,数据主体也可以根据c项行使权利。

该项权利实际上和其他主张被遗忘权的理由有交叠,是一项概括性的规定,如果因搜索引擎违反同意原则或者违法违约,个人均可主张被遗忘权。

5.第17条第1款e项:搜索引擎根据法定义务清除数据

GDPR原文规定:根据适用于数据控制者的欧盟或者成员国法律所规定的法定义务必须进行清除。

准则的解释:项规定的情形是个人数据根据数据控制人应遵守的欧盟或者其成员国的法律义务应当清除。该准则列举了几个具体情形,例如法院禁令也属于法定义务的一种。

6.第17条第1款f项:搜索引擎清除为提供信息社会服务所收集的儿童数据

GDPR原文规定:与提供信息社会服务相关而收集的儿童个人数据。

准则的解释:该项规定的情形是个人数据是基于GDPR第8条第1 款规定的为信息社会服务(information society services)所提供、经其监护人同意而处理儿童个人数据。该准则强调该项只针对信息社会服务,同时对于信息社会服务的定义需要结合其他法律理解,但搜索引擎应当被视为提供社会信息服务。搜索引擎本身不需要考虑其索引的数据是否与儿童有关,但是考虑到搜索引擎的特殊责任并且结合上述第3项基于反对权要求清除的宽泛规定,再加上最初收集信息的控制者最初收集行为也应纳入一并考虑,所以,该f项情形也适用于搜索引擎,当出现该f项规定的情形时,搜索引擎也应当将此类数据从列表中移除。

世界各国均对儿童信息保护做出特殊规定,该条的关键在于看起来并非所有儿童信息均为主张被遗忘权的对象。而是提供信息社会服务(information society services)产生的儿童信息。但是,实际上该“信息社会服务”的含义并不明确,看起来比较宽泛,似乎针对所有在线提供的服务,需要援引其他欧盟解释和法院个案考虑。但搜索引擎无论如何应该属于社会信息服务。

(二)搜索引擎被遗忘权标准准则对GDPR第17条第三部分规定的5项行使清除权(被遗忘权)的例外解释如下:

1.搜索引擎可以以维护网络用户表达和信息自由为由拒绝清除数据

GDPR原文规定:行使表达和信息自由权。

准则的解释:准则特别强调使用数据主体姓名进行搜索所造成的重要影响,且需要平衡数据主体权利和网络用户信息查询的权利,应当考虑清除对于数据主体根本(fundamental)权利造成的影响。同时应当考虑最初发布信息的发布者的核心诉求在于发布,而搜索引擎的核心诉求在于搜索,这将影响清除权的行使。准则最后总结:根据个案情形,如果搜索引擎能够显示搜索为保护网络用户信息自由所必需(strictly necessary),则可以拒绝清除。

虽然,GDPR提供了五项例外,但是搜索引擎实际可以援引的例外可能仅仅限于该条,即平衡个人请求主体的被遗忘权和其他个人的信息访问权。保障基本(fundamental)权利是欧盟立法核心关注点,也是GDPR立法之初衷。《欧洲人权公约》和《欧盟基本权利宪章》即规定了个人享有隐私受尊重和个人信息保护的权利,又规定了接受传播信息的权利,在二者可能发生冲突时,则需要平衡和选择性适用。

2.搜索引擎很难以履行公共利益和政府权威为由拒绝清除数据

GDPR原文规定:遵守欧盟或者成员国要求处理的法定义务,在该等义务下,数据控制者将履行因公共利益产生的任务或者执行赋予数据控制者的官方权威。

准则的解释:关于公共利益,准则首先认为适用这一例外的可能性非常低。因为,很少见有法律要求搜索引擎必需因为公共利益发布某类数据,即使需要,在正常情况下,成员国法律应该是规定信息直接发布到其他网页,搜索引擎提供链接访问该网页,而不是规定搜索引擎提供者发布该信息。此外即使有强制性要求,法律一般也会设置时限和特定目的。搜索引擎也不能引用法律要求一般网络信息发布者发布个人信息这一规定来豁免清除数据,因为该等规定不是针对搜索引擎的,仅针对一般网络信息发布者。适用于网络信息发布者的例外并不必然适用于搜索引擎,即使网络信息发布者可以援引例外拒绝清除,但搜索引擎不一定能援引同样例外从而拒绝清除。准则再次强调平衡数据主体和网络用户访问信息的权利。

关于政府权威,政府很少赋予搜索引擎政府权威,如果确实有这种赋权,也要注意在赋权的目的范围内,搜索引擎才可以援引该例外拒绝清除。

3.搜索引擎很难以公众健康为由拒绝清除数据

GDPR原文规定:以公众健康为由拒绝清除数据。

准则的解释:准则首先指出公众健康为公共利益的一种,必需建立在欧盟有成员国法律有明确规定的基础之上。适用于上述第3点公共利益的分析也适用于此。而且,关注搜索引擎的焦点在于清除通过个人姓名可以搜索到相关信息,这和公众健康为由要求清除没有太大关联,即很难因为公众健康为由要求删除某个数据主体姓名。

4.搜索引擎可以以妨碍科研历史文献归档为由拒绝清除数据

GDPR原文规定:行使清除权使得因公共利益、科学历史研究或者为统计目进行文件存档变得不可能,或者严重影响以归档为目的的数据处理。

准则的解释:准则从严解释援引该项例外作为拒绝清除数据的理由,包括必需符合“严重或者完全阻碍(serious obstacle or completely prevents)”、“客观进行(objectively pursued)”和“显著影响(significantly affect)”一些关键词和必需平衡数据主体权利和网络用户信息访问权。

5.搜索引擎很难以提起、行使或者抗辩法律诉求为由拒绝清除数据

GDPR原文规定:为提起、行使或者抗辩法律诉求。

准则的解释:没有过多解释,认为原则上不太可能援引该条作为拒绝清除数据的理由。还强调,搜索引擎的清除权关键在于消除通常通过数据主体姓名可以搜索到相关信息的情形,并不要求搜索引擎清除通过其他关键词从而完全避免收集到与数据主体相关的信息。但是,笔者认为,并不能认为准则仅仅要求清除姓名作为关键词,虽然姓名是准则中反复提到的通常(normally)最能通过搜索引擎联系到的个人的搜索方式。

综上,在搜索引擎语境下,清除权(被遗忘权)的核心意义在于个人信息主体有权要求清除客观真实的和自身相关信息。按照准则,搜索引擎清除义务在于确保主要通过个人姓名(当然不限于姓名)不会搜索到与该个人相关的信息,不需要清除所有关键词和清除信息本身,不要求搜索引擎必需通知网络信息发布者。主要的例外规定在于平衡个人被遗忘权和其他网络用户访问信息的权利。中国法律条文中没有支持清除权(被遗忘权)的直接或者间接规定,仅有基于违法或者有误要求更正和删除的权利,而欧盟的立法也是倾向于对这一权利至少在搜索引擎场景下进行限制性解释。

点击“阅读原文”查看:《关于GDPR中搜索引擎语境下被遗忘权标准的准则(第一部分)》(Guidelines 5/2019)原文

作者:王源,律师,从业方向为大数据和个人信息保护;张晓怡,广州大学学生(大四)。

责任编辑:富敬

审核人员:张文硕

来源:作者授权发布

阅读全文 →
Harvey Yan

您有什么想法?

%d 博主赞过: