昨日已逝，忘了它吧中国网络空间治理体制中的被遗忘权*

欧盟《通用数据保护条例》[General Data Protection Regulation，GDPR]所定义的“被遗忘权”（或称“删除权”）是一个法律概念，赋予了个人在某些情况下——例如，当数据所有者撤回处理同意时——从互联网上删除其个人数据的权利。1European Commission,Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC,2016,https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016 R0679&qid=1573394131021&from=EN.承认被遗忘权的法律地位的本质是允许个人以自主的方式管理其数字身份——随着互联网越来越深入生活，数字身份与人们现实生活中身份的边界也变得越来越模糊。在这种情况下，赋予个人被遗忘权可以让人们不会因其过去所做的、以数字足迹的形式存在于互联网中的行为而被污名化或贴上标签。2Alessandro Mantelero,“The EU Proposal for a General Data Protection Regulation and the roots of the ‘right to be forgotten’”,Computer Law & Security Review,Vol.29,No.3 (Jun,2013),pp.229-235.自这一概念于2014年在备受关注的“谷歌西班牙诉冈萨雷斯案”[Google Spain v.González，2014]3Article 29 Data Protection Working Party,Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google Spain and inc v.Agencia Española de Protección de Datos (AEPD) and Mario Costeja González”,2014,https://www.pdpjournals.com/docs/88502.pdf.中首次提出并得到确认以来，世界各地的法院都对其进行了审议和讨论，包括德国、阿根廷、美国、巴西和韩国的下级法院和高等法院。尽管各国法院的判决和理由可能多种多样，并非完全一致，但毋庸置疑，被遗忘权以及隐私权的潜在含义，正受到世界各国的高度关注，逐渐被确认为一项基本人权。支持者称赞引入被遗忘权是朝着正确方向迈出的一步，认为承认被遗忘权可以制止大型科技公司无限度地将个人数据用于商业目的以及政府对个人隐私的侵犯，从而促进、补足今天网络空间里缺乏的数字治理和民主。然而，这一想法也引发了广泛的批评。一些人担心，这一权利很难与大多数西方国家通过某种形式的立法所确定的言论和表达自由相调和。更糟糕的是，被遗忘权可以被别有用心之人利用来合理删除公开信息，从而为内容审查打开大门。

中国北京市海淀区人民法院2015年审理的“任甲玉诉百度一案”4北京市海淀区人民法院海民初字第17417号民事判决书，2015年。北京市第一中级人民法院一中民终字第09558号民事判决书，2015年。，首次提出了“被遗忘权”在中国语境中的适用性问题。这起案件也通常被称为“中国‘被遗忘权’第一案”。在本案中，原告主张搜索引擎提供商百度侵犯了其姓名权、名誉权和一般人格权下的被遗忘权，并要求百度从搜索结果中删除与其前公司相关的链接。法院驳回了原告关于姓名权和名誉权的前两项诉讼请求，并对是否可以在中国法律规定的一般人格权框架内设立新的被遗忘权这一问题进行了讨论。法院注意到，原告所涉的利益指向不能归入现有类型化的人格权保护范畴，因此认为，要使该法益得到法院的承认，它必须：（1）具有正当性，（2）具有受法律保护的必要性。尽管二审法院最终驳回了任甲玉对百度的起诉，但这无疑为支持被遗忘权属于中国侵权责任法中的人格权范围这一立场树立了一个有说服力的先例。

然而，如何正确解读中国法院的判决标准，以及在中国承认和行使这一权利有什么障碍，这些问题仍然有待回答。本文将从各国关于被遗忘权的判例和立法出发，对任甲玉诉百度一案的案件事实进和法庭判决进行深入分析，最后探讨在中国引入被遗忘权所面临的挑战。

背景

被遗忘权的起源和《通用数据保护条例》

被遗忘权的概念可以追溯到西方国家的许多现有立法和判决之前，主要体现在对前科人员的个人权利保护中。欧洲各国都制定了一些法律，防止因“坏人”的污名化和泛化问题而将刑满释放人员排除在劳动者大军之外。例如，英国议会1974年的《罪犯改造法》[Rehabilitation of Offenders Act 1974]5Gerald Dworkin,“Rehabilitation of Offenders Act 1974”,The Modern Law Review,Vol.34,No.4 (Jan,1975),pp.429-435.允许被处以刑事罪但在一定的改造期内没有再次犯罪的人员“封存”这些犯罪历史，因此，在申请工作或参加保险时，这些刑满释放人员可以不用披露其犯罪历史。这项立法的目的是防止“越过越糟”[living it down]的问题，即刑满释放人员因其记录在案的旧罪而无法重返社会，如无法获得体面的工作、合适的住房和公共福利等等。可悲的是，几十年前只有违法者才会面临的困难，现在已经成为生活在数字时代的人们普遍面临的问题：你几乎不可能摆脱你的过去，因为所有的一切都存储在服务器的某处，随时可能浮出水面。

早在20世纪80年代，欧洲各国就已认识到：需要有一种更普遍的保护形式，来防止可能伴随着对数据的日益依赖和数据交易的急剧增长而出现的侵权行为。作为对《欧洲人权公约》第8条6Council of Europe,The European Convention on Human Rights,1953,https://www.echr.coe.int/Documents/Convention_ENG.pdf.在数据隐私方面的延伸，欧洲委员会[European Commission]内的一个政府专家委员会在欧洲法律合作委员会[European Committee on Legal Co-operation,CDCJ]的授权下起草了《关于个人数据自动化处理的个人保护公约》[Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data]7Council of Europe,Convention for the protection of individuals with regard to automatic processing of personal data,1981,https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTM Content?documentId=0900001680078b37.，并于1981年1月28日在法国斯特拉斯堡市由欧共体成员国和非成员国签署通过。作为数据隐私保护方面第一个也是唯一具有约束力的国际法律文书，该公约在第8条中简要提到，如果数据处理者对个人数据的处理违反了国内法，其应“视情况而定”对该个人数据进行更正或删除，如该项更正或删除的要求未获遵从，则可获得法律救济。由于该公约早在世界进入互联网时代甚至个人电脑问世之前就已通过，因此可以合理假设，当时的立法者并没有预见到当今社交网络和搜索引擎的普及带来的大规模数据泄露问题，因此该公约的适用背景与《通用数据保护条例》并不相同。1995年，欧盟又出台了另一项重要的立法，即《通用数据保护条例》的前身——《数据保护指令》[Data Protection Directive]8European Commission,Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data,1995,https://eurlex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31995L0046&from=en.，其中进一步详细规定了个人数据在欧盟的收集和处理方式，而“被遗忘权/删除权”的概念则贯穿了该指令全文。在该指令颁布约十年后，欧盟批准确认了《欧盟基本人权宪章》第8条“个人资料受保护的权利”9European Convention,Charter of Fundamental Rights of the European Union,2000,https://www.europarl.europa.eu/charter/pdf/text_en.pdf，进一步推动了其对数据隐私的承诺，并于2009年随着《里斯本条约》的签署正式生效。10European Convention,Treaty of Lisbon amending the Treaty on European Union and the Treaty establishing the European Community,2007,http://publications.europa.eu/resource/cellar/688a7a98-3110-4ffe-a6b3-8972d8445325.0007.01/DOC_19.

直到2010年，随着法国政府通过了《关于定向广告和保护互联网用户的良好实践守则》[Charte sur la publicité ciblée et la protection des internautes]11Secrétariat d'Etat chargé de la Prospective et du Développement de l'économie numérique,Charte sur la publicité ciblée et la protection des internautes,2010,https://assiste.com/Assiste/ftp/Charte_ Publicite_Ciblee_du-30-sept-2010.pdf.和《关于在社交网络和搜索引擎上被遗忘的权利的良好实践守则》[Charte du Droit à l’oubli dansles sitescollaboratifs et les moteurs de recherche]12Secrétariat d'Etat chargé de la Prospective et du Développement de l'économie numérique,Charte du Droit à l’oubli dans les sites collaboratifs et les moteurs de recherche,2010,https://www.huntonak.com/files/webupload/PrivacyLaw_Charte_du_Droit.pdf.两项倡议，互联网上“遗忘权”[le droit à l'oubli]的理念，即《通用数据保护条例》中被遗忘权的雏形，才正式被提出。尽管这些守则不具有法律约束力，但其要求互联网从业者，包括广告商、数字营销机构、社交网络、内容服务提供商和搜索引擎运营商等等，尊重个人在互联网上的隐私权，以及同意数据处理/反对使用其数据的权利。继法国之后，欧盟委员会也宣布，其会在2010年晚些时候推出一个全面的法律框架，以规范欧盟境内个人数据收集和处理业务的流程。13European Commission,European Commission sets out strategy to strengthen EU data protection rules,November 4,2010,https://europa.eu/rapid/press-release_IP-10-1462_en.htm?locale=fr,Nov.10,2019.在公告和与公告同时发布的白皮书中14European Commission,Communication from the Commission to the European Par- liament,the Council,The Economic and Social Committee and the Committee on the Regions,A Comprehensive Approach on Personal Data Protection in the European Union,2010,https://eur-lex.europa.eu/legalcontent/EN/TXT/PDF/?uri=CELEX:52010DC060 9&from=GA.，委员会明确指出，它将研究如何解释所谓的被遗忘权，即“个人在其数据不再用于合理目的时，拥有对其进行处理和删除的权利”。随着委员会向前迈出了第一步，一系列有关隐私权的重要案件也被提交给了法院15John Hooper,“Google executives convicted in Italy over abuse video”,The Guardian (Feb.24,2010),https://www.theguardian.com/technology/2010/feb/24/google-video-italy-privacy-convictions,Oct.10,2019.，公众对被遗忘权的讨论也随之扩大。这些努力最终导致了欧盟最高法院[Court of Justice of the European Union,CJEU]在2014年冈萨雷斯一案中的裁决，以及2016年《通用数据保护条例》的通过，使得欧洲成为第一个在司法和立法层面明确规定了数据主体的被遗忘权和删除权的地区。《通用数据保护条例》第17条题为“删除权（‘被遗忘权’）”，对该项权利的实施条件和范围作了具体明确的规定。

《通用数据保护条例》第17条16同注1。首先对被遗忘权的权利主体和义务主体进行了界定。权利主体为数据主体（即拥有已识别或可识别个人数据的自然人），其有权要求数据控制者、自然人、法人和其他决定个人数据处理目的和方式的实体，在特殊情况下立即删除个人资料。除了应数据主体的要求立即删除相关个人数据的责任外，数据控制者在法律上也有义务采取合理步骤通知正在处理相关数据的其他数据控制者。

《通用数据保护条例》第17条还概述了被遗忘权的适用情形，即：（a）“个人数据对于实现其被收集或处理的相关目的来说不再必要”；（b）“数据主体撤回在此类处理中的同意”，“并且没有其他法律依据处理这些数据”；（c）数据主体行使异议权，且“没有压倒性的正当理由”让数据控制者继续进行处理，或者数据主体反对以直效行销[Direct Marketing]为目的处理数据；（d）“个人数据被非法处理”；（e）数据控制者根据欧盟或成员国法律规定的强制性义务删除个人数据；（f）对数据进行处理的目的是为十六岁以下儿童提供“信息社会服务”（如网购、直播等）。

然而，无论是《通用数据保护条例》的文本还是欧洲最高法院的判决，对其所确立的权利都远未明确，且仍有一些问题需要解决。例如，对于如何协调个人的删除权和公众获取信息的权利，判决书和条例都没有提供详尽的指导。在这方面，欧盟委员会第29条数据保护工作组在1995年的《数据保护指令》中制定的一套准则可能具有启发性。17Article 29 Data Protection Working Party，2014.例如，它列出了欧洲数据保护机构在处理数据主体删除某些网上信息的请求时应考虑的一些常见因素，例如搜索结果是否与自然人有关，数据主体是否为公众人物，数据主体是否为未成年人，数据是否相关且不过度，数据是否最新，数据发布者是否有法律权力或法律义务公开个人数据等。官方权威机构的解释可以为遗忘权的适用提供帮助，从而带来更多的执法行动和法院判决。

谷歌西班牙诉冈萨雷斯案：被遗忘权第一案

正是在大众对互联网的意识形态发生转变之际，被遗忘权的概念也开始脱离学术讨论，正式进入公众视野。第一个承认被遗忘权的案例发生在谷歌西班牙公司和西班牙公民马里奥·科斯特贾·冈萨雷斯[Mario Costja Gonzalez]之间，这一案例目前仍是这一问题上的先例。1998年，西班牙的一家综合性日报——《先锋报》[La Vanguardia]——在其网站公布了冈萨雷斯因无力偿还社保债务而被政府拍卖房地产的细节。这些网页后来被谷歌的网络爬虫索引，并显示在了其搜索结果中。因此，任何在谷歌上输入冈萨雷斯名字的人都可以访问指向《先锋报》公告的链接。为了删除这些页面和链接，冈萨雷斯向西班牙数据保护局[AEPD]投诉了《先锋报》、谷歌和谷歌西班牙，声称针对他的（财产）查封和冻结程序“早已成为过去”，“现在这些信息已经毫不相关”。西班牙数据保护机构于2010年7月30日作出决定，驳回冈萨雷斯对该报的投诉，理由是《先锋报》的公告是根据劳动和社会保障部的行政命令作出的，因此是完全合法的。但是，西班牙数据保护机构对冈萨雷斯对谷歌和谷歌西班牙的投诉表示了支持，要求谷歌采取必要措施，从搜索结果中删除相关链接，并确保今后不再提供此类数据。

为了推翻这一决定，谷歌和谷歌西班牙向西班牙国家高等法院提出上诉。西班牙高等法院裁定，如果一个人的个人资料已在第三方网站公布，而且数据主体不希望其他人访问该数据，搜索引擎运营商的法律义务应取决于对《数据保护指令》的理解和适用。因此，西班牙法院中止了诉讼程序，并将案件移交给欧盟最高法院，由其就若干问题作出初步裁决，包括指令的实质适用范围、适用的地域范围以及数据主体根据指令删除此类信息的权利。

2014年5月13日，欧盟最高法院作出了裁决，确认谷歌在西班牙的运营足以使其遵守《数据保护指令》。并且，搜索引擎作为“数据控制者”，有法定义务删除某些不充分、不相关或不再相关的个人信息，或超出数据处理目的、或随着时间的流逝已经失效的信息，即使这些信息最初是以合法方式公布的，而且是真实无害的。法院指出，《指令》要求法院需要对以下几点进行权衡：即数据主体的“根据《宪章》第七条和第八条享有的基本权利”、“搜索引擎运营商的经济利益”以及“一般公众获取该信息的利益”。其结果可能因个案而异，并且可能取决于“所涉信息的性质及其对数据主体私人生活的敏感程度”，以及数据主体在公众生活中所扮演的角色。在法院做出裁决后，大量个人和实体出于隐私原因申请从谷歌搜索结果中删除网址。根据谷歌透明度报告18Google,Requests to delist content under European privacy law,https://transparencyreport.google.com/eu-privacy/overview,Nov.10,2019.，截至目前，公司已收到来自全球用户的约862358 份删除3415801个网址的申请，其中绝大多数（88.4%）是私人用户。

最近，由于欧盟最高法院于2019年9月25日作出的裁决19Court of Justice of the European Union,The operator of a search engine is not required to carry out a de-referencing on all versions of its search engine,2019,https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-09/cp190112en.pdf,Nov.10,2019.，冈萨雷斯一案再次成为了新闻头条。此案起因于谷歌与法国全国信息与自由保护委员会[CNIL]之间的纠纷，该委员会对谷歌处以10万欧元（88376英镑）的罚款，原因是谷歌未能将搜索结果从除欧盟成员国以外的世界其他地区的谷歌域名中删除。欧盟法院支持了谷歌的主张，认为“根据欧盟法律，即使搜索引擎运营商同意数据主体提出的数据删除请求[……]该运营商没有义务对其搜索引擎的所有版本都进行数据删除”。虽然这一结果可能会让隐私倡导者和互联网无政府主义者失望，但从某种意义上说，这一判决的意义十分重大，因为它在一定程度上表明了法院在地理上扩大遗忘权这一概念的适用范围的意愿。

中国被遗忘权第一案：任甲玉诉北京百度网讯科技有限公司

案件背景

原告任甲玉是行政教育领域的从业者。从2014年7月1日开始，他开始在无锡陶氏教育公司做讲师，这家公司备受争议，名声可疑，被一些人认为是邪教，在任甲玉接到公司的“劳动关系自动终止通知”后，于2014年11月26日终止了雇佣关系。2015年3月12日，北京道亚轩商贸有限公司与任甲玉协商自愿正式解除劳动协议关系，原因是该公司在百度上发现任甲玉与陶氏教育有关联。具体来说，当用户在百度搜索栏中输入搜索词“任甲玉”时，关键词“陶氏教育任甲玉”、“无锡陶氏教育任甲玉”、“陶氏任甲玉”等都会出现在“关键词相关搜索”建议列表中。为了维护自己的权益，任甲玉花费时间、金钱和精力寻找律师维护权益，自费到无锡、北京等地维护权益，并联系百度删除搜索结果，但他的努力均未奏效。因此，任甲玉于2015年向北京市海淀区法院提起诉讼，要求百度立即停止一切侵犯其姓名权、名誉权和被遗忘权的行为。特别是，任甲玉希望百度从他认为损害了他的声誉并导致他失去工作的六个相关搜索建议中删除他的名字。

一审法院

海淀区人民法院指出，本案的法律争议之核心在于对“相关搜索”技术模式及相应服务模式正当性的法律评价问题，具体涉及事实及法律两个层面的基础问题：其一是事实问题，即百度公司“相关搜索”服务显示的涉及任甲玉的检索词是否受到了该公司人为干预？其二是法律问题，即百度公司“相关搜索”技术模式及相应服务模式提供的搜索服务是否构成对任甲玉的姓名权、名誉权及任甲玉主张的一般人格权中的所谓“被遗忘权”的侵犯？

百度公司“相关搜索”服务显示的涉及任甲玉的检索词是否受到了该公司人为干预？

海淀区人民法院认为，在任甲玉无其他相反证据的情况下，可以假定有争议的六个关键词系由过去一定时期内使用频率较高且与当前搜索词相关联的词条统计而由搜索引擎自动生成，并非受到百度方面人为干预。法院补充称，任甲玉的证言、当事人提供的公证书以及法院的现场调查都表明，当一个人在百度搜索栏中输入关键词“任甲玉”时，在“相关搜索”中都会显示出不同的排序及内容的词条，而且任甲玉主张的六个检索词也呈现出时有时无的动态及不规律的显示状态。这与搜索引擎“相关搜索”功能的一般状态是一致的，并未呈现出人为干预的异常情况，为“相关搜索”功能不受百度公司人为干预提供了明确而令人信服的证据。

百度提供的“相关搜索”技术模式及相应服务模式是否侵犯了任甲玉的“被遗忘权”？

一审法院认为，任甲玉想要删除（或“去除索引”）的是百度“关键词相关搜索”中与他曾在“陶氏教育”任职的相关信息，任甲玉认为，这些信息对他在业内的声誉有负面影响，阻碍了他找到一份体面的工作。由于与信息相关的人格利益不属于中国法律规定的权利范围，因此，中国民法能否对其进行保护，取决于该利益是否具有正当性以及是否具有受法律保护的必要性。在本案中，法院事实上为中国法律中未被类型化但应受法律保护的正当法益是否作为人格权的一部分受到保护确立了三个前提条件：

（1）该利益指向不能归入现有类型化的人格权保护范畴；

（2）该利益具有正当性；

（3）该利益具有受法律保护的必要性。

不过，法院在仔细考虑案件事实后，驳回了任甲玉要求从搜索结果中删除关键词的请求。法院首先考虑的问题是，一个人的声誉是否会因与某家公司的联系产生负面影响。由于不同个人对企业商誉的评价往往是一种主观判断，而企业客观上的商誉也会随着经营状况的好坏而发生动态变化，因此不宜抽象地评价商誉好坏及商誉产生后果的因果联系，因此法院不宜评价任甲玉的遭遇及其与陶氏教育经历的因果关系。此外，任某仍在同一个行业工作，包括其工作经历在内的个人资历信息正是客户借以判断的重要信息依据，这些信息的保留对于包括任甲玉所谓潜在客户在内的公众知悉任甲玉的相关情况具有客观的必要性。任甲玉在与陶氏相关企业从事教育业务合作时并非未成年人或限制行为能力人、无行为能力人，其并不存在法律上对特殊人群予以特殊保护的法理基础。因此，任甲玉在本案中主张的被遗忘权的利益不具有正当性和受法律保护的必要性，不应成为侵权保护的正当法益。

二审法院

北京市第一中级人民法院的分析和理由与海淀区人民法院的分析和理由基本一致。例如，双方法院都认为，争议的问题在于，百度的关键词“相关搜索”服务是否侵犯了任甲玉所主张的一般人格权中的姓名权、名誉权和被遗忘权。北京市第一中级人民法院首先指出，“被遗忘权”是欧盟法院在冈萨雷斯案判决中正式确立的概念，虽然中国法学界对被遗忘权的本土化问题进行过探讨，但我国现行法律中并无对被遗忘权的法律规定，亦无被遗忘权的权利类型。法院接着指出，“尽管当事人依据一般人格权主张其被遗忘权应属一种人格利益，该人格利益若想获得保护，任甲玉必须证明其在本案中的正当性和应予保护的必要性，但任甲玉并不能证明上述正当性和必要性”。由于任甲玉无法满足前文所述的三者兼备的要求，北京市第一中级人民法院驳回了任甲玉对百度的诉讼请求。

被遗忘权在中国语境中的适用性

作为中国第一个被遗忘权案，这起案例与冈萨雷斯一案的类似之处在于，这两起案件都涉及个人就其个人信息保护问题向法院提起诉讼，要求搜索引擎提供商提供救济，而两个法院分别对隐私保护法中的一个重要概念——被遗忘权——进行了解释。虽然中国法院不支持原告提出的保护所谓“被遗忘权”的主张，但它仍然是大数据时代中国互联网隐私保护史的一个重要里程碑，并通过确立“不能归入现有类型化的人格权保护范畴”、“利益的正当性”和“保护的必要性”三方面的检验为将来承认被遗忘权作为“一般人格权”的一部分铺平了道路。然而，尽管本案为个人隐私相关利益的司法保护提供了有意义的参考，并对此进行了广泛的讨论，但中国通过立法或司法判决形式正式引入或确立被遗忘权制度的前景并不乐观。其原因可归纳如下。

《通用数据保护条例》与欧盟法院判决的模糊性

欧洲的立法和法院的判决在中国并不容易适用，因为这些立法和判决本身就不够清晰、充分、全面。正如英国上议院司法任命委员会主席乌莎·普拉沙尔[Usha Prashar]女士所描述的那样，“很明显，1995年的指令和欧盟法院对指令的解释都没有反映出我们今天看到的令人难以置信的技术进步，毕竟指令已经起草20多年了”。20许多学者都曾批评欧盟法院在冈萨雷斯一案中的判决在数据主体有权删除哪些内容以及删除标准等问题上极为模糊。21Susanna Lindroos-Hovinheimo,“Legal Subjectivity and the ‘Right to be Forgotten’:A Rancièrean Analysis of Google”,Law and Critique,Vol.27,No.3 (May,2016),pp.289-301.Baijramovic Sanjin,“Issues of uniform application of General Data Protection Regulation (Unpublished master's thesis)”,Lund University(Spring,2017),http://lup.lub.lu.se/luur/download?func=downloadFile&rec ordOId=8926008&ffileOI=8926009,Nov.10,2019.Beata Sobkow,“Forget Me,Forget Me Not-Redefining the Boundaries of the Right to Be Forgotten to Address Current Problems and Areas of Criticism”,Privacy Technologies and Policy:5th Annual Privacy Forum,APF 2017,Vienna,Austria,June 7-8,2017,Revised Selected Papers (Lecture Notes in Computer Science),Spring,Cham,2017,pp.34-51.例如，尽管法院要求谷歌删除指向冈萨雷斯的房屋法拍诉讼的两个链接，但谷歌所做的和所能做的仅仅是对网页进行去索引，也就是说，将网页与搜索词、原告姓名或包含原告姓名的关键字分离。因此，原始信息实际上仍保留在互联网上，而且人们也仍然可以通过其他方式访问原网页，例如输入不同的搜索词，或在地址栏中键入原始地址等等。如果一个人真的想从互联网上永久地删除一些信息，最有效的方法就是删除或屏蔽信息源，即《先锋报》最初在其网站上发布的公告。但是，由于法院认为，《先锋报》作为出版商，可以免于删除原始内容的义务，这就产生了一个问题，即在被遗忘权的适用范围仅限于搜索引擎而非在线出版商的情况下，该权利是否能够得到有效地执行。同时，鉴于欧盟最高法院针对谷歌公司诉法国全国信息与自由保护委员会一案的判决，谷歌因此被免于在欧盟以外的区域删除某些指向敏感个人信息的搜索结果的责任。也就是说，欧盟国家以外的人仍能够在世界其他20 Owen Bowcott,“Right to be forgotten is unworkable,say peers”,The Guardian(July 29,2014),https://www.theguardian.com/technology/2014/jul/30/right-to-be-forgottenunworkable-peers,Nov.10,2019.地区看到那些本应该删除的链接，甚至，欧盟成员国的居民也可以利用虚拟私人网络[VPN]等服务绕过谷歌的地理定位从而轻松获得被屏蔽的信息。因此，被遗忘权是否形同虚设，是否能真正起到保护公民隐私的作用，基于欧盟法院目前确定的效力范围，这一点仍然有待商榷。另一方面，尽管第29条工作组在其建议中针对那些信息需要删除这一问题提供了指导，欧盟法院似乎仍将是否删除信息的决定权留给谷歌等搜索引擎运营商以及其他收到此类请求的实体进行逐案决定。作为准“立法者”和行业规则执行者，这些科技巨头可以轻松改变衡量标准，使之对自己有利，因而难免会导致“监守自盗”的局面。

此外，在新通过的《通用数据保护条例》中，模棱两可的问题没有得到纠正。根据德勤会计师事务所[Deloitte]于2019年1月发布的一份研究《通用数据保护条例》在营销人员和媒体公司的实施情况的白皮书所述，所有受访者一致认为：“由于法规文本不明确，参考案例或判例缺失，关于《通用数据保护条例》仍存在很多不确定性。”22Deloitte,After GDPR - Lessons and consequences from the advertiser perspective,2019,https://www2.deloitte.com/content/dam/Deloitte/de/Documents/technology/DDeloitt_DSGVO_im_Marketing.pdf,Nov.10,2019.这种感觉上的模棱两可也使从业者无法采取有效措施执行《通用数据保护条例》的要求和判断监管的执行力度。因此，全盘照搬欧洲模式不会给中国刚刚起步的数据隐私保护制度带来任何好处。相反，这只会导致混乱和滥用，因为欧洲模式的有效性没有受到太多的考验，需要更多的判例法和指导文件来填补立法者在现有法律中留下的空白。

执行被遗忘权的技术难点

数据隐私权的保护不仅需要法律上的支持，更需要技术上的进步。为了实现被遗忘权，必须有一些技术解决方案或工具帮助数据主体清理其数字足迹和在线身份，或者帮助数据控制者和数据处理者管理收集和处理的数据，检测敏感的数据，以及根据数据主体的要求删除或销毁数据。尽管这个过程听起来很简单，似乎也很容易实现，但在当今这个连未曾使用过互联网的过世之人的信息都可以出现在谷歌搜索结果里的数字世界中23Joe Tuscano,“Google Has My Dead Grandpa’s Data and He Never Used The Internet”,Forbes(Sept.3,2019),https://www.forbes.com/sites/joetoscano1/2019/09/03/google-has-my-dead-grandpas-data-andhe-never-used-the-internet/#75dc2ef22b0c,Nov.10,2019.，这几乎是不可能完成的任务。值得庆幸的是，随着公众对数据保护和隐私意识的增强，数据删除服务提供商也应运而生。比如DeleteMe、PrivacyDuck和OneRep 等等，这些公司会帮助个人监控和删除主要数据收集网站（如Itelius、Spokeo、TruthFinder和Whitepaper）中的个人数据，而这些服务的收费价格从每年100美元到每年1000美元不等。此外，像DuckDuckGo这样选择主动改变的搜索引擎提供商——即不收集用户的搜索内容或访问记录——亦获得了具有隐私意识用户的欢迎。但是，大多数现有的服务提供商只针对个人用户，向商业用户提供符合《通用数据保护条例》的数据管理解决方案的公司却是寥寥无几，其一部分原因也是因为该条例的模糊性所致。

一种可以大大提高隐私的强大武器是加密。24Paul A.Bernal,“A right to delete?”,European Journal of Law and Technology,Vol.2,No.2 (2011).加密是将一段信息转换成乱码的过程，而转换后的信息无法用不匹配的密钥解码。当涉及到删除权或被遗忘权时，加密数据可能是对用户来说最方便、最有效的方式，因为加密解决了主动备份的问题。例如，如果一个人删除了他/她在脸书[Facebook]上发布的某张图片，他/她可能之后还会在某个第三方网站上看到这张图片，因为脸书可以将被删除图片的副本保存在其服务器中（无论有意或无意），并且脸书还可以与第三方共享这些图片。但是，如果用户加密了图片，并在本地保存密钥，脸书是否保留副本就变得无关紧要，因为在没有密钥的情况下，脸书根本无法解读这些数据。从本质上讲，加密通过使数据在没有相对应的密钥的情况下无法访问，从而让用户对其数据拥有了完全的控制权。因此，是否删除信息将由用户自行决定，而不是由服务提供商决定。正如密码朋克[Cypherpunk]运动发起人和技术作家、《加密无政府主义宣言》[The Crypto Anarchist Manifesto]作者蒂莫西·梅[Timothy C.May]在〈赛博经济学〉一文中所说，加密是对个人来说是一种“先发制人的保护”25Timothy C.May,“The Cyphernomicon”,Sept.10,1994,https://nakamotoinstitute.org/static/docs/cyphernomicon.txt,Nov.10,2019.。尽管有这些优点，加密也有其自身的问题。首先，加密这个概念往往与犯罪分子和恐怖分子联系在一起，因为很多人仍然相信“好人不需要隐私”[Nothing to hide]的谬论：如果你无事可藏，你就无事可惧，这意味着你不必使用加密等隐私保护工具。同时，澳大利亚等的国家甚至通过立法手段强制要求在该国运行的通信企业为政府在其产品中安装后门或植入恶意软件，从而使加密数据对于普通人来说变成了不可能。此外，加密与许多现有平台并不兼容，包括谷歌和亚马逊等，这将使它们的服务无法使用。

被遗忘权在中国法律中的现状

虽然北京市海淀区人民法院和北京市第一中级人民法院都表示，中国法律中不存在被遗忘权，但事实上，类似的概念在中国的法律法规、立法建议或司法判决中已有先例。例如，中国《侵权责任法》第三十六条规定：“网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。”26《中华人民共和国侵权责任法》，第三十六条，2010年。。此外，工信部于2012年11月发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》27GBZ 28828-2012，《信息安全技术公共及商用服务信息系统个人信息保护指南》，2012年。也在其5.5节对信息的删除阶段进行了详细的说明。因此，简单地认为中国法律中并没有被遗忘权（删除权）是不准确的。作为两者的延续，2017年出台的中国《网络安全法》第四十三条明确要求：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”28《中华人民共和国网络安全法》，第四十三条，2017年。。而同期发布的《信息安全技术个人信息安全规范》29GB/T 35273-2017，《信息安全技术个人信息安全规范》，2017年。更是就信息控制者的删除义务做出了完整的规定。确切地说，中国法律中的被遗忘权更加温和，也更有限制性，而不是像欧盟国家采用的更激进、更直截了当的形式。但是，这并不意味着我国现有的“删除权”无法为个人提供有效的法律救济。例如，2018年8月，上海市通信管理局就对上海80余家互联网企业及其260 余项互联网业务的用户账号可注销情况进行了抽查，并对其中20余家存在账号无法注销或注销困难等情况的企业进行了约谈和通报，勒令其在约定期限内进行整改。30上海市通信管理局，上海市通信管理局就用户账号注销难等问题约谈通报20 家企业，2018年，http://shca.miit.gov.cn/html/Item_174/info_2542.html，2019年1月27日。

在决定是否将被遗忘权纳入本国的法律体系时，除了欧盟高度重视个人隐私的做法之外，美国的经验与实践也许值得我们好好思考。虽然近来国内的数据泄露事件层出不穷，美国曾经也可以说是隐私保护方面的先驱者。美国法律体系中隐私权的概念最早可以追溯到宪法第四修正案，即“任何人的人身、住宅、文件和财产不受无理搜查和查封”。以美国宪法为指导，美国颁布了多部个人信息保护法律，如1996年的《健康保险隐私及责任法案》[Health Insurance Portability and Accountability Act]、1974年的《美国隐私法》[Privacy Act]、1986年的《电子通信隐私法》[Electronic Communications Privacy Act]等等。甚至，早在19世纪80年代，美国的法律学者路易斯·布兰代斯[Louis D.Brandeis]和塞缪·华伦[Samuel D.Warren]就曾在其发表的名为〈隐私权〉的论文中预言：“无数的机械设备预示着，将来有一天，我们在密室中的低语，将会如同在屋顶大声宣告一般。”31Samuel D.Warren & Louis D.Brandeis,“The right to privacy”,Harvard law review,Vol.4,No.5 (Dec.15,1890),pp.193-220.但是，与欧洲国家不同的是，美国更重视言论自由和信息自由流通的价值，而这一点也在美国各级法院的判决和立法中得到了体现。32Chelsea E.Carbone,“To be or not to be Forgotten:Balancing the Right to Know with the Right to Privacy in the Digital Age”,Virginia Journal of Social Policy & the Law,Vol.22,No.3 (2015),pp.525-560.Irma Spahiu,“Between the right to know and the right to forget:looking beyond the Google case”,European Journal of Law and Technology,Vol.6,No.2 (2015).Brittany Wolf,“Free Speech versus Human Dignity:Comparative Perspectives on Internet Privacy”,Tulane Journal of International and Comparative Law,Vol.23 (2014),p.251.例如，在《纽约时报》公司诉沙利文案（1964）、考克斯广播公司诉科恩案（1975），以及巴特尼基诉沃珀（2001）等案件中，法院几乎无一例外地认定公开披露私人信息，即使是如强奸受害人的名字这样的敏感信息，或是虚假性、诽谤性的信息，在某些特定的情况下，也无需受到民事处罚。与此同时，诸如美国的《通信规范法》[Communications Decency Act]第230（c）（1）条（即“避风港原则”）这样的法律法规也为发布他人创作和发表的言论的网络服务提供者提供了额外的豁免权，深化了平台对个人信息的开发利用。这样宽松的政策环境虽然带来了互联网行业的蓬勃发展，但也加剧了大型科技公司对公民信息的侵犯。如今，虽然被公认为美国版《通用数据保护条例》的《加州消费者保护法》[California Consumer Protection Act，CCPA]已经正式生效，但联邦层面的立法进度仍然缓慢。即使这些草案有幸顺利通过，鉴于科技巨头的反对，也未必会引入欧盟的被遗忘权这样严苛的规定。事实上，纽约州议会曾在2018年推出了一项名为“就制定《被遗忘权利法》，修订《公民权利法》和《民事实践法和规则》”的法案，其内容与欧盟最高法院的判决十分相似，但该法案离已如石沉大海，不知下文了。33A5323,Assemb.Reg.Sess.2017-2018,2017.同样，中国也需要平衡现有法律、法规和规章所提供的法律救济的充分性、用户的切实需要以及引入这种权利可能产生的消极和积极影响等因素，在不影响互联网企业发展的同时，为公民的隐私信息提供充分的保护。

结论

冈萨雷斯一案是普罗大众为公民隐私权而战的过程中的一个虽小却至关重要的部分——尤其是在这个谷歌、苹果、推特[Twitter]和脸书等科技巨头对我们了如指掌的数字时代。此案有效地为用户提供了一个抵御互联网上无休止的隐私泄露和传播的屏障，而这一屏障目前也通过诸如《通用数据保护条例》等立法手段得到了进一步的加强。本文从被遗忘权权/删除权的起源出发，回顾了促使被遗忘权在法律条文中正式落地的一系列重要历史事件，包括司法判决和立法进程等等。本文特别深入研究了《通用数据保护条例》的第17条“被遗忘权”，探讨了哪些领域会由于该条的实施和适用范围受到影响。接着，本文将焦点转移到了中国第一个被遗忘权案件：任甲玉诉百度案，并分析了一、二审法院为何作出驳回原告被遗忘权诉讼请求的决定。在赞扬中国法院的勇气和创造性的同时，本文也探讨了将被遗忘权这一由欧洲最高法院确定的概念进行本土化所面临的现实挑战：第一，欧盟法院判决和立法总体上仍然模棱两可，因此草率照搬欧洲模式将增加中国数据保护制度被滥用的可能性；第二，在中国法律中引入被遗忘权/删除权将给中国的互联网公司带来额外的负担，因为开发一个符合《通用数据保护条例》的数据管理系统在技术上存在困难，而中小公司将遭受的损失最大，因为它们可能没有足够预算来实现这样的系统；第三，中国的法律体系中的某些条文实质上已经赋予了网络用户类似于《通用数据保护条例》和欧盟法院确立的被遗忘权的权利，因此特地为被遗忘权单独增加一个条款可能毫无意义。本文建议立法者和监管者在保护个人信息的需要、中国的现状、欧盟模式的参考价值等不同利益之间进行谨慎的权衡，以便在是否引入这一权利的问题上做出合理、明智的决定。