2012 年初欧盟建议其成为一项根本权利。它的思想基础主要来源于法国法律中的“遗忘的权利(le droit à l’oubli),”司法实践中关于这一权利最主要的例子是,一些被审判定罪的罪犯,经过一定期限后,希望与曾经犯罪的信息消失的权利。[142]
法国法律中的“遗忘的权利”允许人们忘记有前科的人的犯罪史,给予他们重新被社会接纳,洗心革面的机会。追随这一传统,2010 年欧盟(European Union)提出了一种个人信息保护的更全面的方法,它将包含一种“被遗忘权”,这一权利延伸至所有人的个人信息,而不仅仅是犯罪者的犯罪前科。这一权利被定义为“个人有权利使它们的个人信息……被删除,当已经没有保存它们的正当理由时。”[143]
这一定义来自于欧盟《隐私保护指令》(European Union Privacy Directive)第6 条,它规定,成员国的法律必须保证,个人信息被保存的形式是允许信息当事人的身份不能超越信息被收集的目的之外。该条约第12 条规定,如果对个人信息的使用与第6 条不符的话,每一个信息主体都有权利要求信息控制者对信息进行删除或抑制。
为了更有效地应对互联网时代的个人信息保护问题,2012 年1 月25 日,欧盟委员会发布了《有关“1995 年个人数据保护指令”的立法建议》(简称《数据保护框架法规》草案),对1995 年《个人数据保护指令》着手进行全面修订。与现存的1995 年的《个人数据保护指令》相比,该方案一个主要的特点是增设了在线的“被遗忘权”。
但是,这并不说,1995 年的《个人数据保护指令》中完全没有“被遗忘权”的影子。相反的,虽然它没有提出一种普遍的和明确的“被遗忘权,”但包含着一种形式上的或机械的“被遗忘权”,其中的某些现存条款可以被解释为“被遗忘权”的引申含义。比如,该指令第6 条(1)(e)规定如果超越信息被收集或进一步处理的目的的必要性之外,信息不能再被保存。但是,除了一些个别的例子之外,互联网个人信息被以无数个目的无限期地收集、处理和存储,这导致目的限制原则在实践中很无力。而且,第7 条所要求的同意,并没有回答当一个人撤销其同意时,个人信息应该怎样。
《个人数据保护指令》与被遗忘权最相关的是第12 条(b)和第14 条。前者主张每一个信息主体都有权利“要求控制者消除或抑制信息。”但是,这个条款应用的范围很有限,它只能应用于“对信息的处理与这一指令的条款不相符,尤其是由于信息的不完整或不准确”的情况。第14 条,为信息主体提供了反对信息处理的普遍权利,但是也是有限范围内适用。这一条款只要求成员国在该指令第7 条(e)和(f)规定的情况下为当事人提供反对的权利(第7 条e 款:为“公共利益”进行的处理,第7 条f 款:为信息控制者的合法利益所需要进行的处理)。这就意味着像第7 条(a)至(d)款所规定的一样,在数据主体已经做出明确同意的情况下,当这种处理是为履行合同、履行法定义务,或者保护信息主体的关键利益所必需的情况下,成员国没有义务引入反对的权利。但是,14 条(b)规定,如果信息是将会被用于直接营销的目的或者将会与第三方共享,个人总是有权利提出反对,无需给出任何正当性理由。
2012 年欧盟《有关“1995 年个人数据保护指令”的立法建议》中明确增设的“被遗忘权”是针对互联网上这种个人信息被无限滥用而且不可消除的现象而提。欧盟将“被遗忘权”定义为“当个人信息不再为正当目的所需,个人使其……被删除。”[144]
《有关“1995 年个人数据保护指令”的立法建议》第17 条是对“被遗忘和删除权”的具体规定。第17 条第1 款描述了可以援引此权利的情况。第17条第2 款包含着在信息已经公开情况下的额外义务。第17 条第3 款提供了一些例外。第17 条第4 款和第5 款规定了信息不必被消除,但是对它们的处理需要加以限制的一些情况。第17 条第7 和第8 款包含着一种为信息的存储和消除施加时间限制的义务,以及信息被消除后不做其他处理的一种义务。第17 条第9 款为欧盟提供了采取授权行为的可能性。其具体规定如下:
第17 条 被遗忘和删除权
1.信息主体应该有从控制者那里获取清除与他们有关的个人信息的权利,以及限制进一步散布这些信息的权利,尤其是与当信息主体在孩提时代自己发布的个人信息有关,并满足以下条件之一时:
(a)这些信息已经不再为收集或做其他处理之时的目的所必需;
(b)信息主体撤回了根据第6 条第1 款(a)项的规定为基础对信息处理做出的同意,或者当同意的存储期限到期,而且处理这些信息已经没有其他的合法基础的时候;
(c)信息主体根据第19 条反对对个人信息的处理;
(d)对信息的处理因其他原因与该方案不符。
因此,能够援用此权利的情况共分为以下4 种:
违反了目的限制原则;
同意被撤回或者合法的存储期限已经到期;
合法行使了对信息处理的反对权;
对信息的处理是非法的(比如,与这个方案不相符合)。
目的限制原则并不是一个新的概念,而且能在当前的1995 年的《个人数据保护指令》第6 条中找到。第三和第四种情况也能在当前的框架中找到原型。显然,当信息被非法处理的时候,控制应该移除它们,并且当一个人行使了他的反对权时,也会使进一步的信息处理(或移除)变成违法行为。但是,第二个条件更加新颖:同意撤回和期满。
现在的同意制度不能满足互联网时代提出的新要求。一种“被遗忘权”可能能帮助弥补现存同意制度的缺陷。这一新的规定试图弱化这种一次性同意框架的重要性,比如,通过明确允许撤回其同意。“这种权利还试图在永久性同意和重新评估其同意之间建立一种平衡的环境。”[145]
2.第1 条中提到的控制者已经将信息进行公开的情况下,它应该采取所有合理的措施,包括技术方法,与对公开负有责任的控制者有关的信息,告知处理这些信息的第三方,一个信息主体要求他们消除任何那些个人信息的链接和副本以及复制形式。在控制者授权第三方公开个人信息的情况下,应认为控制者对那一公开负有责任。(www.daowen.com)
这一段将信息主体的权利延伸至了信息控制者已经将可识别的个人信息向公众公开(比如,将它们在网站上公开),或者当授权第三方公开的情况,因此成为分歧的重要来源,加剧了欧洲和美国之间有关信息隐私的法律和文化背景之间的激烈冲突。
3.控制者应该立即清除这些信息,除非这些信息的保留是必要的:
(a)为践行根据第80 条的言论自由权利;
(c)根据第83 条,为满足历史、统计和科学研究的目的;
(d)为遵循一项由欧盟或成员国法律设定的保留个人信息的法定义务,根据它,控制者就是主体;成员国法律应该满足公共利益的目标,尊重个人信息保护的权利的本质,并且与所追求的法定目的相称;
(e)在第4 段提到的情况下。
4.在以下情况中,控制者应该限制对个人信息的处理,而不是消除它们:
(a)信息主体对其准确性提出异议,控制者有时间修正这些信息的准确性;
(b)控制者需要这些个人信息,已经不再是为了实现其任务,而是为了作为证据使用的目的;
(c)对这些信息的处理是不合法的,并且信息主体反对它们的消除,反而要求对它们的使用加以限制;
(d)信息主体要求将个人信息传递给与第18 条第(二)款相符的另一个自动化处理系统。
5.在第4 段中提到的个人信息,除了存储之外,只能被以作为证据为目的加以处理,或者经过信息主体的同意,或者为保护另一个自然人或法人的权利或是为公共利益的目的。
6.在根据第4 段对个人信息的处理进行限制的情况下,控制者在对处理解除限制之前应该告知信息主体。
7.控制者应该实施措施保障为消除个人信息建立的时间限度和/或者定期检查数据被存储的必要性。
8.在实施消除的情况下,控制者不能再对这些信息进行处理。
9.委员会应该有权采取遵循第86 条的被授权的行动,为了以下具体目的:
(a)具体的部门和在具体的数据处理情况下,实施第1 段的标准和要求;
(b)从第2 段所提到的可为公众获取的沟通服务中删除链接,个人信息的副本或复制件的条件;
(c)第4 段提到的限制对个人信息的处理的标准和条件。
根据这一规定,信息主体提出要求后,网站操作者被要求“不加延迟地实施删除”,除非对数据的保存为践行欧盟成员国的法律规定的“言论自由”所必需。负责司法、基本权利和公民的欧盟专员维维安·雷丁说,这一条款的目的是为了“保证当一个人不再想让它的个人信息被处理,并且组织机构没有合法理由再保留它的时候,它应该被移除……一个人不再想让她的个人信息被一个信息控制者处理或者存储,而且如果没有保存它的合理理由,信息就应该被从它们的系统中移除。”[146]“被遗忘权”意味着用户能够促使掌握着个人信息的公司删除它们。像Facebook 或者Twitter 这样的社交网站将不得不遵循用户的要求删除他们曾经在网上发布的关于自身的信息,即使这些信息已经广泛传播,否则将要面临金钱处罚。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。