擦除权的非诉救济机制研究
张丽昕
(重庆邮电大学网络空间安全与信息法学院 重庆 400065)
(564821634@qq.com)
摘 要 信息社会对个人数据的广泛搜集与使用,给数据主体的权利带来威胁和损害,急需一种权利来加强数据主体的地位以及个人对数据的自主性.欧盟«通用数据保护条例»赋予数据主体一系列的数据权利,其中,擦除权的设立引起了法律界和互联网领域的广泛关注,数据主体在一定条件下可以申请删除相关的个人数据链接.无论是基于我国个人数据保护寻求借鉴,还是为了在涉及处理欧盟领域数据时的合法、合理性,对擦除权的深入认识以及权利救济途径的梳理都十分必要.主要探讨擦除权的非诉救济机制,数据主体可通过网络平台以及行政机构得到及时和充分的权利救济,引入擦除权的相关规定要做到明确权利行使的条件和范围,以及与言论自由、数据产业保护之间的利益衡量.
关键词 个人数据权利;网络平台;行政机构;权利救济;利益衡量
1 擦除权的由来与内涵
人类的生理结构使大脑拥有遗忘机制,而社会的遗忘让犯错误、失败的人有第2次开始的机会.但在大数据时代,网络数据被永久地存储在数据中心的服务器和硬件上,合理的遗忘机制被打破.欧盟的«通用数据保护条例»(GDPR)第17条所确立的擦除权让社会重新拾起“遗忘的美德”,使人们面对网络上个人数据带来的困扰时,拥有有效的救济途径.擦除权在欧盟有着由最早的“删除——通知”的权利雏形,到经历权利名称由被遗忘权到擦除权的修改,以及“冈萨雷斯诉谷歌案”中的“被遗忘权”被全球法律界及科技领域广泛关注的历程(笔者认为,被遗忘权和擦除权是同一种权利的不同阶段,为了回归法条,本文探讨的权利名称为擦除权);美国«橡皮擦法案»中有着与欧盟擦除权相似的法律规定,允许加州的未成年人在特定情况下删除相关个人数据.美国加州2018年6月28日颁布了被认为是美国国内最严格的隐私立法——«2018年加州消费者隐私法案»(“CCPA”),该法案第1798.105节明确规定了消费者有权要求企业删除从该消费者处收集的个人信息.
陆游常常自觉不自觉地以一个越人之眼,比较着、衡量着梁益地区的各个方面,而他的比较与衡量中总带着一些政治、经济、文化各方面的优越感。这种与生俱来的优越感,让陆游在远离政治文化中心的梁益地区生活以及书写时,时常具有一种有意无意地居高临下式的审视与判断,将原本可以更加客观的比较衡量,变成带有明显偏爱色彩的俯视性考量。
权利的理论基础和性质是救济机制建立的条件和依据,欧盟法律将擦除权作为人格权中的个人数据权利的一部分,美国将擦除权纳入隐私的范围来进行保护.此外,学术界对擦除权究竟属于隐私权的民事权利性质还是一般人格权的宪法权利性质一直存在争议,笔者认为,可以结合欧盟和美国的做法,打破公私法的界限,使擦除权得到全面的救济.
2 擦除权的平台救济
2.1 平台救济的立法规定
互联网的一个主要吸引力是它能够促进人与人之间的联系和商业交流,在网络购物环境中,消费者会留下许多信息,这提供了他们是谁的线索,根据美国的法律,互联网公司没有义务删除这些信息,即使这些储存对消费者来说早就没有了任何意义.消费者和销售者之间存在着利益冲突,网络平台通过对用户进行网络追踪,利用网络数据来对用户的消费行为进行分析,可以了解客户的喜好和需求,他们就能更加精准地进行广告投放,并让用户更愿意去买这些广告产品[1].为了避免网络平台为获取较大经济利益而滥用网络用户的个人数据,侵犯数据主体的权益,必须对数据控制者和数据处理者的行为进行规制,擦除权的义务主体是数据的控制者和数据处理者.
数据控制者是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织[2].当数据主体申请删除相关数据链接的请求被支持时,如果控制者已经公开数据主体的个人数据,则应及时采取合理步骤,包括一定的技术措施,并通知正在处理个人数据的处理者,根据数据主体的要求,删除有关其个人数据的任何链接、副本或者复制件[3].数据处理者是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织[4].为了保护数据主体的权利和自由,对数据的处理必须具有合法性.数据的处理必须经过数据主体的同意,或数据处理是为了公共利益或者是为了履行法律的规定.数据的处理者应当对处理活动进行记录,例如对控制者、处理者的相关信息以及处理目的记录,对数据主体和数据分类的记录.在谷歌诉冈萨雷斯案之后,谷歌宣布提供一种投诉机制,欧洲范围内的任何人可以向谷歌提交屏蔽有关链接的申请,并解释要求屏蔽的理由.申请者需要提交个人身份的证明资料,谷歌对申请采取评估机制,以审核是否通过.
戈载在《词林正韵·发凡》中说道:“词之谐不谐,恃乎韵之合不合。韵各有其类,亦各有其音,用之不紊,始能融入本调,收足本音耳”[6]65。他主要强调了用韵对词的音韵和谐的重要性。所以,词调的声情,不仅与该词牌所属宫调相配合,也有用韵相关。
同时,根据北京消费者协会作出的手机APP个人信息安全调查报告显示,消费者对个人信息有关权利的维权意识薄弱,当个人信息权利受到侵害时,选择向消费者协会或者通信管理局等有关机构进行举报投诉的仅占35%[12].如若擦除权适当地被引入我国,有效的行政机构救济需要相关部门做好普法宣传工作,加强公民有关互联网个人信息的维权意识,畅通维权渠道.
2.2 平台救济的实践操作
为了保护数据主体的权利和自由,促进数据在欧盟境内的流通,«通用数据保护条例»规定各成员国必须建立至少一个监管机构,负责监督条例的实施.监管机构独立地行使职权,不受任何外部的影响.监管机构在执行任务时有权从数据控制者和处理者那里获取相关信息,对可能涉嫌违反条例规定,侵犯数据主体权利的数据控制者或处理者给予警告;对数据处理行为已经违反条例的控制者或处理者予以训诫.数据主体有权利向监管机构申诉,特别是向其居住国、工作地或者数据侵犯发生地的监管机构申诉[10].监管机构根据数据主体的请求对申请审核通过后,要求数据控制者或处理者对个人数据进行删除.行政监管机构可以对侵犯数据主体擦除权的数据控制者和处理者实施行政罚款,行政监管机构应当确保针对违反条例的行为,行政罚款是有效的、适当的、具有说服力的.监管机构根据个案情况,如侵权行为的性质、损害的结果等因素,决定是否实施行政罚款以及具体的罚款数额.根据«通用数据保护条例»第83条有关行政罚款的一般条件,对数据主体的违规行为,可以处以2 000万欧元或者企业年度全球营业额4%的罚款,并在两者之间取最高值.在决定是否同意数据删除的声明时,监管机构需要考虑涉及的各种权利因素——对言论自由、获取信息的权利——的保护以及对于私人生活的尊重.
个人行使擦除权申请删除有关链接,必须通过搜索引擎的网站填写申请表格.谷歌的移除请求程序要求申请人填写其居住国、个人信息以及简短的说明.之后,申请人会收到谷歌发送的确认该请求的电子邮件,但该请求必须经过谷歌移除团队的评估才能获得批准.谷歌的移除团队会根据欧盟2018年5月25日生效的«通用数据保护条例»相关规定审查请求,衡量数据主体的隐私与大众的知情权,决定申请被删除的网页内容是否为“不好的、不相关的、过分的”(inadequate,irrelevant,excessive)信息内容[7].此外,谷歌已组建了来自欧洲各地的教授、律师和政府官员组成的咨询委员会,为这些决定提供指导,他们主要考察申请人是否是公众人物;申请人是否是最初的信息发布者;该消息是否涉及政治言论和刑事指控等.如果请求获得批准,则在使用个人姓名进行搜索时,搜索结果中不会再出现相应的内容,但这些内容仍保持在线状态,不会被删除.但是如果搜索引擎公司认为在某件事件中,对公众利益的考量高于对于个人隐私的保护时,他们可以拒绝删除请求.当谷歌拒绝移除链接的请求时,数据主体可以向其当地的数据保护机构申诉.如果谷歌反对数据保护机构的决定,它可能会面临行政处罚和法律诉讼.
然而有学者对平台的这种审核模式提出质疑,谷歌的审核结果是由人作出的,因此他们的决定有可能不一致或者不可靠.我们从认知科学研究中知道,人们可能会根据他们的主观信念对类似的案件作出不同的判断.尽管谷歌基于在搜索算法方面的专业知识已经开发了使用人工智能作出这些决定,虽然这可以提供更高的可靠性和一致性,但事实上作出的决定并不会得到正确性的保障,机器的技术模仿人类行为,包括我们的歧视和偏见.例如:我们如何确保非白人的数据请求被拒绝的频率不会比白人高;在谷歌透明度报告未发布前的情况下我们怎么知道作出决定时不存在歧视[9].除了平台不断提高对申请的审查标准的明确化,后续的上诉和复审程序显得尤为必要.根据«通用数据保护条例»,当删除不被批准时,数据主体可以向任何成员国的监督机构对该决定提出上诉(第52条),如果仍然未获批准,他∕她可以要求法院进行复审(第74条).由于法院的程序更加透明,且不存在平台潜在的利益冲突,因此作出的决定会更加公平.
在进入行政审查程序和司法程序之前,网络平台对于数据主体的删除请求具有极大的“自由裁量权”,网络平台越来越多地承担原本由行政机关肩负的义务和责任,却又避开了传统上与公权力行使相伴的严格审查.针对责任担忧,有必要对网络平台施加正当程序和信息公开等公法义务[8].
3 擦除权的行政机构救济
3.1 行政机构救济的立法规定
自欧盟法院在2014年首次将有关擦除权的法律应用于搜索引擎以来,谷歌一直遵守此法规.在2014—2017年间,谷歌收到了大约240万次请求,最终被同意的只占43%.在这些删除搜索结果的请求中,有大约1∕3的申请是有关个人要求谷歌删除其社交媒体历史记录等个人信息的,另外还有20%的请求是个人想移除犯罪记录的请求,即请求删除那些自己被政府网站或犯罪报告提到的页面[6].
如何保障擦除权行政机构救济的有效性,当谷歌等搜索引擎在受理擦除数据的申请后,如果认为申请不符合条件,那么申请人可以向当地数据保护局进行申诉,这时谷歌的决定将会受到行政机构甚至司法机构的进一步审查.但是这仅仅发生在申请被拒绝时,若平台同意数据主体的申请而将相关链接删除,那么外界将无法知晓谷歌是如何衡量其中的利益,以及判断的结果是否正确.互联网搜索引擎可能会存在滥用审查功能,因为谷歌可能为了避免拒绝申请而可能面临的行政审查或司法审查给企业造成的负担,倾向于同意申请者的删除请求,从而损害公共的言论自由、知情权或者其他公共利益.因此相关行政机构需要对网络平台的审查作出全面的监督管理.此外,加强行政机构内部的监督管理也尤为重要.为了行政机构对互联网平台的有效监管,需要建立防御机制,加强互联网平台行使权力、履行义务的透明度,预防其滥用审查权利以及删除链接的权利.
化合物 3B09:质谱 ESI/MS(negative mode),m/z 234,[M-H]-。 1H NMR(500 MHz,CDCl3,TMS),δ为7.87(d,J=3.5 Hz,1H),7.62(d,J=4.5 Hz,1H),7.29~7.32(m,2H),7.13(t,J=4.5 Hz,1H),7.02(t,J=8.5Hz,2H),6.41(br.s,1H,NH),4.58(d,J=6.0 Hz,2H)。
3.2 行政机构救济的难点及解决措施
自2003年《中华人民共和国政府采购法》正式实施以来,随着国内形势发展和政府采购监管工作的需要,政府采购监管工作内容也在不断修正和完善。特别是党的十八大以来,国家各级各部门转变政府职能,进一步简政放权,深化行政审批制度改革,政府采购监管部门监管理念也得以创新,放管结合,减少审批环节,各方当事人的自主权得到了很大提高。
在美国,擦除权的平台救济集中体现在«橡皮擦法案»中,2013年10月,美国加州出台了橡皮擦法案,该法案于2015年1月1日正式实施.法案要求Facebook,Twitter等互联网平台允许未成年人擦除自己的上网痕迹,以避免未成年人因缺乏理智,各种观念尚不成熟而发布的各种生活内容和不当言论,对现在的特别是以后的生活造成无限困扰.但是该法案规定,仅未成年人自己发布的内容才能删除,而针对第三人发布的相关信息则无法要求被删除,这造成了橡皮擦法案对他人约束力的缺失,大大降低了保护未成年人相关权利的实际作用.此外,当未成年人擦除自己的上网信息时,该信息附带的评论、转载内容也会被相应删除,这可能会损害公众的言论自由和新闻自由.笔者认为,这是一个利弊权衡的问题,同时,橡皮擦法案是基于对弱势者权利的重视而出台的,是美国重视实质正义的体现.尽管当前该法案的规定还存在一定弊端,但它体现了美国对公民基本权利与自由的保护中,隐私权和言论自由的博弈,体现了美国向欧盟对个人数据保护立法的靠拢.除了学术界的讨论之外,社会上的一般民众似乎对是否采纳被遗忘权,也仍有不同的意见,在美国SoftG ware Advice网站针对这个议题进行的调查显示,在受访的500位美国成年民众中,有61%的人认为有必要承认某种形式的被遗忘权,其中有39%的人希望引进欧洲被遗忘权的全面的保障,而且有将近一半的受访者认为无关的网络搜索结果可能会损害个人的信誉等,也就是他们认同被遗忘权所保护的法益[5].深入探讨擦除权,既有理论意义,又有现实的迫切性.
4 比较与借鉴:关于中国引入擦除权的思考
4.1 我国对公民网络个人信息保护之现状
在中国,现行法律是否提供了一项可以适当援引用来保护个人信息相关权利的原则,如果有,这种保护的性质和范围是什么.关于个人信息保护的模式选择,学理界有学者主张采用在一般人格权的框架内创设信息自主权来保护自然人的个人信息的模式,或是通过保护隐私来保护个人信息.我国目前还没有出台专门的个人信息保护法,长期通过对隐私权的保护来保护个人信息,在我国«侵权责任法»第2条明文规定了隐私权,而信息自主权或者个人信息权目前还没有明确的法律依据.2017年6月1日正式实施的«中华人民共和国网络安全法»中,规定了当个人发现网络运营者违法或者违约收集和处理个人信息时,有权要求删除其个人信息;当发现网络运营者收集或存储的个人信息有错误时,有权要求更正[13].我国通过立法明示对公民个人信息的适用必须经过信息主体的同意,而在欧盟只是将“同意”作为收集和处理个人数据的合法性基础之一.此外,根据工信部2011年出台的«规范互联网信息服务市场秩序若干规定»第13条,应当加强系统安全防护,依法维护用户上载信息的安全,保障用户对上载信息的使用、修改和删除.综上所述,我国初步建立了个人信息保护的相关规则,但是仅对侵犯个人信息的行为进行规制,并未将个人信息权利化,这可能造成保护不彻底的结果.
此外,欧洲还成立了数据保护委员会,监督和确保条例的正确适用,并提出个人数据保护的有关建议.在特定情形下,数据控制者和处理者应当委派数据保护官[11],数据保护官可以是数据控制者或者数据处理者的职员,或者是基于服务合同而完成一定的任务.数据保护官和监管机构合作,监督条例的实施并提出相关建议,充当监管机构的联系人,保障数据主体的权利.数据主体可以就处理其个人数据的所有事项和条例赋予的权利,直接联系数据保护官.
4.2 如何引入擦除权——结合国内现状对2种典型保护模式的借鉴
4.2.1 欧盟:一般人格权领域的擦除权
竹编工艺流程的首要步骤是对竹子进行严格的筛选。不同的地域和气候,会孕育出不同类型的竹子,不同种类的竹材有不同的特点。在选料中应注意3个方面:首先,选择生长在背面阴山的竹子,一般竹龄以3年生为好,1年生的竹子材质太嫩,4年生以上的竹子质地变脆易断;其次,竹秆通直,节间长,头尾粗细相差不大;最后,采伐应避开春分至芒种这段时间,此期竹子含糖分较多,容易生虫[1]。
个人信息保护,体现了个人权利、自由以及促进经济发展等多元化的价值.但不同的国家和地区其具体立场的确定并不完全一致,并且往往是取其一个方面加以突出[14].欧盟更加注重公民基本权利与自由,保护公民的个人数据权利;美国则更加注重言论自由,以及保护互联网产业的发展.欧盟是个人信息保护的发祥地,基于保护人的尊严而保护个人数据;美国是基于人的自由保护隐私权,从而对隐私领域的个人数据进行保护.这2种不同的个人信息保护的理论基础,形成了2种不同的司法救济模式.在欧洲,采用统一立法模式保护个人信息,通过宪法法院、欧洲人权法院对个人数据进行司法保护和救济.在不影响任何其他行政或司法救济的前提下,欧盟赋予每个数据主体向监管机构进行申诉的权利,当监管机构没有受理投诉或处理申诉,或在3个月内没有通知数据主体相关的受理进程、投诉或者申诉的结果,数据主体可以提请司法救济.1983年,德国联邦宪法法院认定«人口普查法»违宪,以判例的形式确立了个人信息自决权这一宪法性权利,在当下对个人信息的大量收集与处理的网络环境下,对于个人信息完全决定和控制的权利,有利于对数据主体人格自由和尊严的真正保护.«通用数据保护条例»所设立的擦除权、更正权等数据权利都强调数据主体对数据的控制,强化数据主体的地位.人格权保护模式也许会存在一定弊端,但人格权或许能为数据主体提供较为宽泛的保护,而且能够适应时代而不断发展出新的权利类型,但对于企业和其他实体来说,这就意味着他们必须不断提供新的保护责任,并为此承担并不轻松的人力与资金负担[15].
我国在引入欧盟擦除权时,应当明确擦除权的行使条件与适用范围,在撤回处理信息的同意、或是存在非法处理个人数据的情况下,公民可以行使数据权利.但是在涉及重大公共利益的范围内,如表达自由、言论自由,或是为了履行法定义务,并且此时对数据的处理是合法的,那么擦除权的行使便受到限制.
4.2.2 美国:隐私权范围的擦除权
广东省作为改革开放的先行省份,按照习近平书记2012年视察广东时提出的“三个定位、两个率先”要求,需发展成为中国特色社会主义的排头兵、深化改革开放的先行地,率先全面建成小康社会、率先基本实现社会主义现代化。预计到2020年全省人均生产总值比2010年再翻一番,基本实现广东省经济发展目标;预计2020年GDP总量将达到7.60万亿元,“十三五”年均增长率约为7.0%;“十四五”、“十五五”年均增长率分别为6.2%、4.7%。广东能源需求预测结果如表1所示。
美国的普通法救济,本质上是以个人利益受到侵害为前提,是对擦除权进行民事侵权的救济.美国有信息隐私的概念,1974年的«隐私法案»赋予公民访问个人信息、修改个人信息以及决定是否同意公开个人信息的权利.美国将个人信息纳入到个人隐私权的保护范围,美国对非隐私一般信息几乎不予保护[16],而在2018年6月28日,为了加强消费者的隐私权和数据安全保护,美国加利福尼亚州颁布了«2018年加州消费者隐私法案»(“CCPA”),该法案将于2020年1月1日生效,该法案明确规定了消费者拥有数据删除权,除特别情况,应消费者的需求,企业必须删除其收集的任何个人信息[17].在美国隐私权保护的救济模式下,美国法律一直认为已经公开的信息难以再进入隐私领域,因此也很难通过隐私权保护得到救济,美国宪法规定公司在获取、利用和传播数据方面有很大的自由,对信息的保留没有时间限制.
我国在个人信息保护救济途径方面或许也可借鉴美国对个人信息进行分类的做法,降低对非隐私的个人信息的保护标准,以此来平衡“擦除权”与言论自由等公共利益的关系.
参考文献
[1]Hoeren T.Big Data In Context Legal,Social and Technological Insights[M].Berlin:Springer,2017
[2]General Data Protection Regulation,Art 4[OL].[2018G 11G01].https:∕∕eurGlex.europa.eu∕legalGcontent∕EN∕TXT∕PDF∕?uri=CELEX:02016R0679G20160504﹠from=EN
[3]General Data Protection Regulation,Art 17[OL].[2018G 11G01].https:∕∕eurGlex.europa.eu∕legalGcontent∕EN∕TXT∕PDF∕?uri=CELEX:02016R0679G20160504﹠from=EN
[4]General Data Protection Regulation,Art 4[OL].[2018G 11G01].https:∕∕eurGlex.europa.eu∕legalGcontent∕EN∕TXT∕PDF∕?uri=CELEX:02016R0679G20160504﹠from=EN
[5] 颜于嘉.由美国资讯隐私法制观察被遗忘权在美国发展[J].万国法律,2017,211(2):25- 25
[6] 谷歌透明度报告:收到过240万次移除搜索结果的请求[OL].[2018G05G01].http:∕∕tech.sina.com.cn∕i∕2018G02G28∕docGifyrwsqk0599951.shtml
[7]Brindle B.How can Google forget you?[OL].[2019G01G 12].https:∕∕computer.howstuffworks.com∕howGcanGgoogleG forgetGyou.htm
[8] 解志勇,修青华.互联网治理视域中的平台责任研究[J].国家行政学院学报,2017(5):105-105
[9]GarciaGMurillo M,MacInnes I.A better approach than the right to be forgotten[J].Telecommunications Policy,2018(42):227-240
[10]General Data Protection Regulation,Art 77[OL].[2018G 09G01].https:∕∕eurGlex.europa.eu∕legalGcontent∕EN∕TXT∕PDF∕?uri=CELEX:02016R0679G20160504﹠from=EN
[11]General Data Protection Regulation,Art 37[OL].[2018G 09G01].https:∕∕eurGlex.europa.eu∕legalGcontent∕EN∕TXT∕PDF∕?uri=CELEX:02016R0679G20160504﹠from=EN
[12] 北京消协:部分手机APP过度收集违规使用个人信息[OL].[2018G06G02].https:∕∕news.sina.cn∕2018G03G07∕detailGifyaxmas4045312.d.html?oid=3789528260818255﹠vt=4﹠pos=3
[13] 中华人民共和国网络安全法:第四十一条、四十二条、四十三 条 [OL].[2019G02G11].https:∕∕baike.so.com∕doc∕24210940G24838928.html
[14] 齐爱民.拯救信息社会中的人格[M].北京:北京大学出版社,2009
[15] 丁晓东.什么是数据权利?——从欧洲«一般数据保护条例»看数据隐私的保护[J].华东政法大学学报,2018(4):49-49
[16] 叶名怡.个人信息的侵权法保护[J].法学研究,2018(4):83-102
[17]2018年加州消费者隐私法案:第1798.105节(a)消费者有权要求企业删除从该消费者处收集的个人信息[OL].[2018G12G02]. https:∕∕baijiahao.baidu.com∕s?id =1605603104056463611
Research on NonGLitigation Remedy Mechanism of Erasure Right
Zhang Lixin
(School of Cyberspace Security and Information Law ,Chongqing University of Posts and Telecommunications ,Chongqing 400065)
Abstract The extensive collection and use of personal data in the information society has threatened and damaged the rights of data subjects,and a right is urgently needed to strengthen the status of data subjects and the autonomy of individuals to data.The European Union s General Data Protection Regulations give data subjects a series of data rights,among which the establishment of right to erasure has attracted extensive attention from the legal profession and the Internet.Data subjects can apply for deletion of relevant personal data links under certain conditions.Whether it is based on the personal data protection in China,or in order to deal with the EU data legally and reasonably,it is necessary to have a thorough understanding of right to erasure and to sort out the ways of right remedy.This paper mainly discusses the nonGlitigation remedy mechanism of right to erasure.Data subjects can get timely and adequate remedy of rights through the network platform and administrative agencies.The introduction of the relevant provisions of right to erasure should clearly define the conditions and scope of the exercise of rights,as well as the benefit measurement with freedom of speech and the protection of the data industry.
Key words personal data rights;network platform;administrative agencies;rights remedy;interest measurement
中图法分类号 TP309
收稿日期: 2019-02-26
基金项目: 重庆市人文社科项目(2016skj0)
张丽昕
硕士研究生,主要研究方向为网络立法.
564821634@qq.com
标签:个人数据权利论文; 网络平台论文; 行政机构论文; 权利救济论文; 利益衡量论文; 重庆邮电大学网络空间安全与信息法学院论文;