摘要：隨著互聯(lián)網(wǎng)行業(yè)的發(fā)展，信息永久記憶帶來的諸多問題亟需法律予以規(guī)范，歐盟于《一般數(shù)據(jù)保護條例》（GDPR）第十七條規(guī)定了被遺忘權，我國于《個人信息保護法》第四十七條規(guī)定了個人信息刪除權。被遺忘權與個人信息刪除權雖存在相似之處，但本質(zhì)上不能等同。通過對比可以發(fā)現(xiàn)：在名稱內(nèi)涵上，權利命名體現(xiàn)的人文情感與法律余地不盡相同；在適用條件上，被遺忘權與個人信息刪除權的主客觀要件規(guī)定和權利義務分配有較大差別；在主體關系上，兩項權利涉及的主體內(nèi)容因信息處理過程的差異存在不同界定；在抗辯事由的規(guī)定上，二者法律條文的內(nèi)容存在較大差異。

關鍵詞：被遺忘權；個人信息刪除權；信息保護

中圖分類號：D922.16文獻標識碼：A文章編號：2095-6916（2024）15-0081-04

On the Difference Between the Right to be Forgotten and

the Right to Delete Personal Information

Li Zhiyu

（School of Law， Tiangong University， Tianjin 300387）

Abstract： With the development of the Internet industry， many problems caused by permanent memory of information urgently need to be regulated by law， the European Union provides the right to be forgotten in Article 17 of the General Data Protection Regulation （GDPR）， and China stipulates the right to delete personal information in Article 47 of the Personal Information Protection Law. Although there are similarities between the right to be forgotten and the right to delete personal information， they are not essentially equivalent. Through comparison， it can be found that， in terms of the connotation of the name， the humanistic sentiment and legal scope embodied in the naming of the right are different; in terms of the applicable conditions， there are quite different provisions on the subjective and objective elements and the distribution of rights and obligations between the right to be forgotten and the right to delete personal information; in terms of subject relationship， the subject content involved in the two rights is differently defined due to the difference in the information processing process; and there is a big difference in the content of the legal provisions of the two rights in terms of the provisions of the cause of defense.

Keywords： the right to be forgotten; the right to delete personal information; information protection

隨著互聯(lián)網(wǎng)的持續(xù)發(fā)展，信息存儲脫離了傳統(tǒng)意義上的紙面記載，從而轉(zhuǎn)向數(shù)字化的記憶，信息永久儲存在為生活帶來便利的同時，也產(chǎn)生了不容忽視的問題。歐盟對于個人信息自決性的保護十分重視，在認識到信息永久儲存可能會侵害到個人權益時便開始采取了相應措施。著名的“岡薩雷斯訴谷歌”一案就是圍繞著被遺忘權展開的。2018年歐盟《一般數(shù)據(jù)保護條例》（GDPR）正式生效，在第十七條明文規(guī)定了被遺忘權。我國《個人信息保護法》第四十七條設置了個人信息刪除權，對信息存儲產(chǎn)生的一系列問題進行規(guī)制。歐盟被遺忘權和我國個人信息刪除權二者是否本質(zhì)上相同，學界對此展開了一系列討論。有學者認為我國個人信息刪除權等同于歐盟被遺忘權，如楊立新教授認為我國《個人信息保護法》第四十七條第一款規(guī)定的刪除權，就規(guī)定了本土化的被遺忘權［1］；有學者則認為二者不能一概而論，如王利明教授認為刪除權與遺忘權在適用條件和功能、行使對象、例外情形等方面存在諸多不同；滿宏杰教授認為二者在權能、適用信息范圍以及受克減性上存在區(qū)別［2］。筆者認為被遺忘權與個人信息刪除權并不能完全等同，GDPR規(guī)定的被遺忘權，實質(zhì)上是基于“目的性限制原則”要求信息處理者采取刪除、斷開鏈接、屏蔽等多種方式維護信息主體個人信息的權利，與我國個人信息刪除權在名稱內(nèi)涵、適用條件、主體關系及抗辯事由上均存在差異。

一、名稱內(nèi)涵的差異

（一）體現(xiàn)的人文情感不同

被遺忘權采用被動語態(tài)，“遺忘”動作的發(fā)出者是社會，而承受者是信息主體，被遺忘權是一項賦予權利主體可以改過自新機會的權利。個人信息刪除權采用主動語態(tài)，“刪除”是權利主體發(fā)出的請求，請求的承受者是信息處理者。“被遺忘”允許權利人再次改過的內(nèi)涵并不能為“刪除”所完全涵蓋，因而被遺忘權與個人信息刪除權體現(xiàn)的人文情感不能完全重合。

（二）包括的目的不同

被遺忘權的目的是忘卻，側(cè)重于消除對信息主體的負面影響，所包含的深層次含義是基于信息主體的請求無法被公眾所隨意知曉，既可以刪除信息，也可以采取其他手段，只要實現(xiàn)被遺忘的結(jié)果即可，如通過斷開鏈接、將信息匿名化或是屏蔽處理。確定個人信息刪除權的目的從命名上看來是將信息從相關儲存空間當中抹除痕跡。此外，個人信息刪除權是人格權請求權的組成部分，被遺忘權則不屬于傳統(tǒng)的人格權，被遺忘權調(diào)整的是信息主體展現(xiàn)在外的、曾經(jīng)與當下不符合的形象。

（三）體現(xiàn)出的法律余地不盡相同

刪除權側(cè)重于將信息徹底清除，司法實踐過程中的任何一次決斷都需要經(jīng)過反復的考量，被遺忘權由于既可通過徹底刪除，也可以采取相關技術手段使公眾無法檢索到或者將信息匿名化實現(xiàn)維護權利的目的，這也就意味著如果采取后者來實現(xiàn)“被遺忘”的目的，當被遺忘權所指向的信息需要恢復時，是可以采取補救措施恢復的。在現(xiàn)實生活當中，如果某購物網(wǎng)站用戶為保護自身權利要求信息處理者屏蔽或匿名化信息，即使用戶日后對過往行為反悔需要恢復時，也留有相應余地。對于個人信息刪除權而言，有學者認為既可適用于違法違規(guī)的數(shù)據(jù)也可以適用于不必要不相關的數(shù)據(jù)，違法違規(guī)數(shù)據(jù)相對來說易于判斷，而不必要、不相關的數(shù)據(jù)的界限較為模糊，在個案判斷中容易產(chǎn)生誤區(qū)［3］。信息如果被徹底清除，在出現(xiàn)需要恢復的情況時，則不具有復原這一余地。

二、適用條件的差異

（一）權利與義務的分配不同

GDPR第十七條規(guī)定信息主體有權請求信息控制者對其個人信息采取屏蔽、斷開鏈接等方式達到被遺忘的目的，并且在滿足相應的法定情形時，信息控制者負有采取上述行動的義務。這一規(guī)定包含了信息主體行使權利和信息處理者被賦予義務的過程。換而言之，當某一法定情形發(fā)生時，GDPR呼吁信息主體主動行使請求權，要求信息處理者對其個人數(shù)據(jù)進行刪除，此時信息處理者才會被賦予要采取相應措施的義務。

我國《個人信息保護法》第四十七條第一款體現(xiàn)了信息處理者被賦予義務的兩種情況：第一種情況是在法定情形出現(xiàn)時，信息處理者被自然而然地賦予刪除義務，應當采取相應措施刪除相關信息。第二種情況是在第一種情況未實現(xiàn)的狀態(tài)下，亦即“個人信息處理者應當刪除相關信息卻未刪除”的情形下，經(jīng)信息主體請求，信息處理者再次被賦予義務。第一種情形屬于法律直接賦予信息處理者義務，并且法律沒有在此時要求信息主體要積極行使人格請求權。第二種情形雖然與GDPR當中關于被遺忘權的行權方式相類似，但實際上是第一種情形未實現(xiàn)時的補充。

（二）主客觀要件規(guī)定不同

根據(jù)王利明教授的觀點，被遺忘權法律效果發(fā)生需要同時滿足客觀條件和主觀條件，而刪除權的實現(xiàn)需要滿足客觀條件即可。從我國《個人信息保護法》第四十七條來看，一旦滿足法律所規(guī)定的相關信息處理情形，即符合了客觀要件，即便信息主體沒有向信息處理者提出請求，亦即不滿足主觀要件，信息處理者也應當實施相應的刪除行為［4］。換言之，刪除權的實現(xiàn)是可以在僅滿足客觀條件下實現(xiàn)的，只有在個人信息處理者不配合時，信息主體才可以主動行權，通過同時具備主客觀雙重要求使權利發(fā)生效果。

對于被遺忘權的實現(xiàn)，從GDPR第十七條來看，信息處理者沒有主動刪除的義務，只有在滿足法律規(guī)定的情形下，主觀上信息主體有請求信息處理者以一定的方式刪除或匿名化相關信息的意圖，客觀上具有請求信息處理者采取手段的行為，此時信息處理者才會被賦予刪除相關數(shù)據(jù)的義務。這就是說，信息主體行使被遺忘權需要同時滿足主客觀條件。

三、主體關系的差異

在被遺忘權與個人信息刪除權的適用過程中，義務主體包括最初信息處理者、第三方主體與搜索引擎，二者對權利主體與義務主體之間的關系規(guī)制存在如下差異。

（一）信息主體與信息處理者的關系之差異

就被遺忘權而言，根據(jù)GDPR第十七條第二款規(guī)定，“如果數(shù)據(jù)主體已經(jīng)要求控制者刪除其個人數(shù)據(jù)的任何鏈接副本或復制件，但控制者已將個人數(shù)據(jù)公開，并且根據(jù)第1款有義務刪除這些個人數(shù)據(jù)，控制者在考慮現(xiàn)有技術及實施成本后，應當采取包括技術措施在內(nèi)的合理步驟，通知正在處理個人數(shù)據(jù)的控制者?！保?］由此可以得知，信息主體請求刪除相關信息時，信息處理者不但需要刪除相關個人信息，同時在考量相關現(xiàn)實條件后，應當通知正在處理該信息的第三方處理者同樣采取相關措施。被遺忘權在提出伊始并不針對第三方發(fā)布的個人信息，而是主要解決用戶退出社交網(wǎng)站時個人數(shù)據(jù)無法刪除的問題［6］。2018年GDPR問世之后，歐盟將被遺忘權的義務主體拓展至第三方。在這種情況下，信息最初的控制者需要承擔通知第三方的責任，第三方也因此需要履行相應的義務，此種模式不僅涉及信息處理者，同時還涉及第三方主體，屬于“一對多”的關系。

就個人信息刪除權而言，我國《個人信息保護法》第四十七條沒有涉及有關第三方主體的內(nèi)容，僅規(guī)定了個人信息處理者應當主動刪除個人信息，但對于個人信息處理者是否有通知其他主體的義務，以及第三方處理者是否應當采取相應的措施，則并未進行明確。換言之，刪除權是指信息主體在法定情形下，有權要求信息處理者刪除相關的個人信息，并且只有被提出請求的信息處理者才需要承擔刪除義務，行權的對象不包括任何其他正在處理該信息第三方主體，因此可以說是“一對一”的形式。

（二）基于主體關系差異而產(chǎn)生的調(diào)整信息范圍之差異

由于被遺忘權與個人信息刪除權在信息的發(fā)布、處理過程當中所涉及的義務主體主要在于信息處理者以及第三方主體，因此二者調(diào)整的信息范圍也基于義務主體的差異而存在區(qū)別。對于信息主體自行發(fā)布但未被轉(zhuǎn)發(fā)的信息，以及這一過程中信息處理者被動收集到的信息，前者基于信息主體的撤銷同意或期限屆滿可以刪除，如微信朋友圈發(fā)布設置僅三天可見；后者的收集獲得了信息主體的授權，如各類APP在登錄時對于位置權限的授權。這兩類信息所涉及的權利主體是信息主體，義務主體為信息處理者，而不包括第三方主體，因此可以成為個人信息刪除權的調(diào)整信息范圍，信息主體可以基于“一對一”的關系請求相關主體刪除。對于被信息主體發(fā)布再由他人所轉(zhuǎn)載的信息，如被轉(zhuǎn)發(fā)的公開的微博，以及第三方來源的信息，如某些APP經(jīng)用戶授權允許第三方獲取信息，此兩類權利客體超出了信息主體與信息處理者之間“一對一”的關系，擴展到了“一對多”的關系，屬于被遺忘權的調(diào)整范圍，因此只能由被遺忘權予以調(diào)整而并非個人信息刪除權。

（三）對于搜索引擎是否屬于信息處理者的規(guī)定不同

在“岡薩雷斯訴谷歌”一案中，歐洲法院在1995年《數(shù)據(jù)保護指令》（95/46/EC）的基礎上，裁決指出如果基于一個人的名字的搜索結(jié)果包括存在問題的個人信息相關鏈接，數(shù)據(jù)主體可以要求搜索引擎經(jīng)營者予以刪除［7］。由此可見，在歐盟被遺忘權的適用過程中，搜索引擎并非作為第三方責任主體，而是作為直接的信息處理者，也即被遺忘權的直接義務主體。

我國個人信息刪除權當中搜索引擎是否作為義務主體而存在，則需要視不同情況而定。由于搜索引擎本質(zhì)是根據(jù)一定的計算機程序從相關網(wǎng)頁上采集信息，進行整合后，為用戶提供相關網(wǎng)頁鏈接的一項技術。因此，在信息處理過程中，搜索引擎對于信息的內(nèi)容主要在于匯集信息，而不是加工或修改。從我國《個人信息保護法》第十七條第一款第六項規(guī)定可以知道的是：信息處理者能夠在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息［4］。搜索引擎作為信息收集者，并不是最初的信息發(fā)布者，也不是第三方處理者，因此在符合《個人信息保護法》第十三條第一款第六項的情形下，對已公開信息進行整合，則無需相關信息主體的同意。這也就意味著在符合該規(guī)定的情況下，搜索引擎不會成為刪除權的義務主體。但在收集信息過程中，如果超出了合理范圍或者個人信息已不再是合法公開的狀態(tài)，此時搜索引擎仍然在處理，則違反了《個人信息保護法》上述法條的規(guī)定，此時搜索引擎便成為刪除權的義務主體，需要承擔刪除義務。

四、抗辯事由的差異

從GDPR與我國《個人信息保護法》的相關規(guī)定來看，被遺忘權與個人信息刪除權在抗辯事由的設置上存在差異。

（一）GDPR對被遺忘權抗辯事由的設置

GDPR第十七條第三款當中規(guī)定了被遺忘權適用的5種例外情形，在涉及言論自由以及與公共利益相關等情形時，基于第三款規(guī)定可以對被遺忘權進行抗辯。第一種情形是為了行使言論和信息自由的權利，信息處理是必要的，處理者可以提出抗辯。第二、三、四種情形均是在涉及信息主體的個人信息處理與公共利益發(fā)生沖突的情形下，信息處理者對于信息主體提出的刪除、屏蔽信息等請求的抗辯事由。最后一種情形則是為了捍衛(wèi)法律訴求，信息處理者可以抗辯信息主體的請求。在這幾種情形當中有關比例原則的適用，GDPR則是交由法官衡量。如在“岡薩雷斯訴谷歌”案當中，歐盟法院在衡量信息主體個人利益與搜索引擎的利益時，認為搜索引擎處理相關數(shù)據(jù)僅僅具有經(jīng)濟價值，而沒有公共價值。經(jīng)濟利益與信息主體的私人利益相比較而言，顯然后者更為重要，因此歐盟法院要求谷歌刪除相關信息。

（二）《個人信息保護法》對個人信息刪除權抗辯事由的設置

《個人信息保護法》第四十七條第二款規(guī)定了刪除權的兩種抗辯事由。第一種抗辯事由指在法律、行政法規(guī)規(guī)定的保存期限未屆滿的情形下，倘若信息主體要求信息處理者刪除數(shù)據(jù)，信息處理者可以此為由而拒絕刪除。如《網(wǎng)絡安全法》第二十一條對網(wǎng)絡日志的存儲期限限定為不少于六個月，《電子商務法》第三十一條對電子交易完成后的相關交易紀錄的保存期限規(guī)定為不少于三年；也正如未到期的債權視為無債權，在儲存期限未屆滿之前，信息處理者可以以此進行抗辯。第二種抗辯事由指“刪除個人信息從技術上難以實現(xiàn)的”，這種技術上的難以實現(xiàn)涵蓋了“技術”與“代價”兩個方面的內(nèi)容。一方面包含對信息處理者技術本身的要求，信息處理者的技術應當以行業(yè)的一般標準為基礎，倘若信息處理者未能達到，而以技術難以實現(xiàn)為由進行抗辯是不合理的。另一方面包含實現(xiàn)該項技術所需要付出的代價和成本要求，其中包括信息處理者的技術達到了行業(yè)標準，但處理相關信息所需要耗費的代價著實太大的情況。因此，有學者指出，信息處理者以技術上難以實現(xiàn)為由拒絕信息主體的刪除請求時，要么證明自身處理技術不弱于行業(yè)一般水平，基于自身技術難以刪除個人信息，要么證明基于自身技術能夠刪除，但需要付出不合理的成本［8］。

與被遺忘權不同的是，一方面，在被遺忘權的案件中，歐盟法院負有對公益與私益之間的衡平問題進行裁量的職責，《個人信息保護法》并沒有明確對此進行規(guī)定。另一方面，被遺忘權的抗辯事由通常是基于與該權利相沖突的權利，如言論自由權，是從反面對被遺忘權進行的一種規(guī)制。我國個人信息刪除權的兩種例外情形是基于法律行政法規(guī)規(guī)定和客觀情況難以實現(xiàn)，并非是從與之相沖突的權利反面進行制約。

五、結(jié)語

歐盟《一般數(shù)據(jù)保護條例》第十七條規(guī)定的被遺忘權，與我國《個人信息保護法》第四十七條規(guī)定的個人信息刪除權存在名稱內(nèi)涵、適用條件、主體關系以及抗辯事由四個方面的差異。隨著大數(shù)據(jù)時代來臨，個人信息保護問題日益增多，信息的永久記憶雖然為人類生活帶來了便捷，但也存在諸多問題，亟需法律予以保障。被遺忘權與個人信息刪除權雖均旨在解決信息過度儲存問題，保障信息主體的個人權益，但并不能將二者簡單等同。

參考文獻：

［1］楊立新，趙鑫.《個人信息保護法》規(guī)定的本土被遺忘權及其保護［J］.河南財經(jīng)政法大學學報，2022（1）：60-71.

［2］薛麗.GDPR生效背景下我國被遺忘權確立研究［J］.法學論壇，2019（2）：10-109.

［3］宋丁博男，張家豪.中外數(shù)據(jù)被遺忘權制度比較研究［J］.情報理論與實踐，2023（3）：98-105.

［4］王利明.論個人信息刪除權［J］.東方法學，2022（1）：38-52.

［5］瑞栢律師事務所.歐盟《一般數(shù)據(jù)保護條例》GDRP：漢英對照［M］.北京：法律出版社，2018：55.

［6］蔡培如.被遺忘權制度的反思與再建構(gòu)［J］.清華法學，2019（5）：168-185.

［7］張里安，韓旭至.“被遺忘權”：大數(shù)據(jù)時代下的新問題［J］.河北法學，2017（3）：35-51.

［8］郭春鎮(zhèn)，王海洋.個人信息保護中刪除權的規(guī)范構(gòu)造［J］.學術月刊，2022（10）：92-106.

作者簡介：李至鈺（1998—），女，漢族，湖南岳陽人，單位為天津工業(yè)大學法學院，研究方向為法學。

（責任編輯：王寶林）