文/许可 中国人民大学互联网金融与网络安全研究中心副主任

被遗忘权（righttobeforgotten）形象反映了网络空间的困境。“遗忘”，这一传统上再自然不过的记忆机制，在数字生存的当下却开始失灵，反倒是“我们永远铭记”（weremember）——美剧《权力的游戏》中罗伊斯家族的族语一语成真，我们过往的一切正像刺青，刻在我们的“数字皮肤”上，让人一望即知。这是因为，凭借大数据技术、廉价的存储器和互联网全覆盖，人的一举一动、一言一行均可以且已经被数字化，而数据一旦被生成，就能低成本、无限制、跨地域的传输、复制和存储。“遗忘”由此成为这个时代的奢侈品，“永不遗忘”的时代来临了。

为了应对这一困境，以个人尊严和自由为最高价值的欧盟于2012年11月发布《一般数据保护条例（草案）》，率先增设“被遗忘和擦去权”（righttobeforgottenanderasure），赋予人们删除那些不充分、不相关或过时不再相关的数字信息的权利，帮助人们摆脱尴尬的过去。2014年5月，“谷歌诉冈萨雷斯被遗忘权案”尘埃落定，欧盟法院最终判决谷歌公司败诉，必须移除相关搜索链接。毫无疑问，该案在社会公众间激活了被遗忘权，截至2016年3月3日，谷歌公司共收到1，189，990条链接删除请求，共移除506，915条链接。

“被遗忘权”的争论

不过，“通往地狱之路，往往是由善意铺就。”被遗忘权固然意图纯良，但因其实效和价值上的双重缺陷，或许无法成为良法。

一方面，被遗忘权的操作性饱受质疑。首先，在相关信息主体存在多人时，由谁来决定该等信息是否“被遗忘”，难有确定的答案。其次，正如“谷歌诉冈萨雷斯被遗忘权案”所示，被遗忘权主要针对的是谷歌等搜索引擎，要求删除的只是基于特定名字的搜索链接，当人们用其他关键词进行搜索或直接进入网站进行垂直搜索时，相关信息依旧存在。最后，被遗忘权不可能阻止网络用户未经授权地复制数据，也不能他们阻止登录他国网站。所以，与其说被遗忘权是一项测地遗忘的措施，毋宁说是一项“抑制和删除信息获取渠道的权利”。

另一方面，被遗忘权的价值上分歧重重。其首当其冲的就是言论自由，美国学者杰弗里·罗森教授直言：“被遗忘权是互联网言论自由接下来十年最大的威胁。”被遗忘权给网络服务提供者增加了巨量的审查和删除义务，可以预见，为了避免高额赔偿或罚款，后者不得不从中立服务方变成了审查者，而过于宽泛的限制，最终对言论自由产生寒蝉效应，戕害了意见市场。

其二，被遗忘权可能损及公共知情权。由于信息所具有“部分之和大于整体”的“涌现性”（Emergentproperties），信息流动、汇聚以及由此带来的信息透明对于公共利益意义重大。被遗忘权不但减少了信息的总量，甚至“助纣为虐”地帮助公众人物抹去不光彩的经历，导致蓄意“改写历史”，而这正是人们对俄罗斯《关于信息、信息技术和信息保护法》普遍忧虑的原因。

其三，被遗忘权影响了企业的经营能力，这反过来影响了用户作为消费者的利益。出于信息沟通、身份验证、欺诈防控、网络安全等考虑，个人信息对于消费者接受服务而言，往往必不可少。而在更深层次上，作为数字经济的核心生产要素，信息不断催生新业态，它不仅是业务创新增值的驱动力，也是经济发展的重要动力。实践中，网络服务提供者可以在用户同意的前提下，对用户信息进行搜集、加工和挖掘，在促成用户使用便利化、产品定制化、服务精准化的同时，实现了企业利益的最大化。

以此观之，不管是从事个人信息保管的Personal.com网站，还是亚马逊的预期递送（anticipatoryshipping）业务，都是消费者和企业双赢的例证。而被遗忘权则可能导致上述两者之间天平的失衡。

中国的务实选择

基于上述原因，我国采取了一个折中的进路，使用“删除权”取代了“被遗忘权”。2017年6月1日实施的《网络安全法》43条明确规定：“个人发现网络服务提供者违反法律、行政法规的规定或双方约定收集、使用个人信息的，有权要求删除其个人信息，发现有错误的有权要求网络运营中更正。网络服务提供者应采取措施删除或更正。”区别于被遗忘权，第43条确立的“删除权”行使条件有限（违反法律法规或约定），义务承担者明确（信息收集、使用者），义务承担方式适当（不要求避免搜索引擎或被第三方使用），同时将权利的客体拓展到所有的个人信息，力图给用户提供保障的同时尽可能化解潜在的权利之争。

“删除权”是我国既有立法的延续。早在2005年，《中华人民共和国个人信息保护法示范法草案学者建议稿》就将“删除”上升为一项权利。2010年的《侵权责任法》第36条规定：“网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。”其实质上赋予了个人对侵权信息予以删除的权利。2013年2月实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》不仅明确了“删除”的内涵，第5.5.1条还进一步规定：“当个人信息主体有正当理由要求删除其个人信息时，及时删除个人信息。”在某种意义上，这可视为《网络安全法》中个人删除权的雏形。

“删除权”有着深刻的理论依据。尽管我国《民法总则》第111条首次将个人信息纳入保护体系，但其能否成为具有排他控制的绝对权，目前仍聚讼纷纭。作为一项重要的积极权利，“删除权”的采纳，在某种意义上表明我国拒绝了“被遗忘权”背后的“信息自决权”，即“个人基于其内心、自由地决定其自身信息何时、何地、以何种方式被收集、储存、处理以及利用的控制权。”这亦表明，个人对其信息的权利不但是法定的，而且是有限的。正因如此，《民法总则》第111条并未一概禁止“收集、使用、加工、传输、买卖、提供、公开个人信息”，而以“违反法律”为前提。无独有偶，《消费者权益保护法》第14条也将“个人信息”冠以“依法保护”的字样，从而与该条中的“人格尊严、民族风俗习惯”保护形成鲜明对照。

上述思路与我国司法实践相吻合。2015年，在被称为“中国被遗忘权第一案”的“任甲玉诉北京百度网讯科技有限公司案”中，针对原告主张搜索“任某”之时屏蔽掉“某教育公司”等关键词网页的请求，法院认为：我国法律中并无被遗忘权的权利类型，个人无权删除由他人控制的全部个人信息，其保护必须具有“利益正当性”和“保护必要性”的双重要件。

“删除权”的最佳实践（bestpractice）

根据《网络安全法》，删除权与网络服务提供者个人信息收集和使用的合法、正当、必要义务一脉相承。由此，删除权可以从网络服务提供者的视角出发，在“删除事由”和“删除程序”两个层面上展开：

1. 删除权的行使事由：（1）收集、使用信息未获得用户同意且无法律依据。（2）用户的同意为无效或已撤销。（3）信息的收集、使用超出约定或法定的范围。这里的“使用”既包括向向第三方共享、转让，也包括向不特定第三方的披露行为。（4）收集、使用信息的特定目的消失。这里的“特定目的”，是指在收集、使用个人信息之初，向当事人明示的目的。在相关目的实现后，或者因网络服务提供者终止、解散、营业变更，或者因用户和网络服务提供者之间的用户协议、隐私条款终止导致特定目的不存在时，当事人有权请求删除。

2. 删除权的行使程序：在满足上述条件的情形下，用户可以书面或口头形式向网络服务提供者提出删除请求，并列明理由。网络服务提供者应及时删除，并要求其所转让、共享以及接受其披露的任何第三方及时删除。删除应以“不能复认”为标准，其既可以通过直接销毁原件和副本的方式进行，也可通过匿名化技术，令个人信息主体无法被识别，且处理后的信息不能被复原的方式进行。

显而易见，删除权的内涵丰富、情景多样，其落实必须依赖于更细致的规则解释和操作指引。在此，我们以《网络安全法》、《信息安全技术个人信息安全规范》（报批稿）为基础，以京东集团2017年8月27版《京东隐私政策》为蓝本，发现删除权在运行中的最佳机制，使得用户在对后果充分知情的情形下，作出审慎决策，从而为个人信息提供充分的保护，又不至于重蹈被遗忘权有悖于公共价值，甚至是消费者自身权益的覆辙。我们期待，删除权的下述规则设计能为网络服务提供者的自我评估和自我管理竖立标杆，并能在条件成熟时，成为推广适用的行业标准。

1. 删除权的一般告知义务

网络服务提供者应尽全力保护用户对于个人信息访问、更正、删除以及撤回同意的权利，以使用户拥有充分的能力保障隐私和安全。（参见《京东隐私政策》第五条）

2. 删除权的行使事由（参见《京东隐私政策》第五条第2款、第3款）

（1）处理个人信息的行为违反法律法规；

（2）收集、使用个人信息，却未征得用户的同意；

（3）处理个人信息的行为违反了与用户的约定；

（4）用户撤回授权；

（5）注销了账户；

（6）终止服务及运营。

3. 删除权的行使程序

3.1 服务存续期内的删除权：

（1）用户可以在产品与/或服务页面中可以直接清除或删除的信息，包括订单信息、浏览信息、收货地址等信息。（参见《京东隐私政策》第五条第2款）

（2）提交个人信息删除请求。用户可以发送电子邮件或通过协议约定的其他方式与我们联系。为了保障安全，用户可能需要提供书面请求，或以其他方式证明身份，网络服务提供者将在收到反馈并验证身份后的30天内答复请求。（参见《京东隐私政策》第五条第6款）

3.2 注销账户的删除权

用户可以在产品中直接申请注销账户。注销账户的方式以及用户应满足的条件应当尽量明确和必要。（参见《京东账户注销须知》）

4. 删除权的行使效果（参见《京东隐私政策》第五条第2款）

4.1 一旦网络服务提供者响应删除请求，相关个人信息只会在前台系统中去除，使其保持不可被检索、访问的状态，或对其进行匿名化处理。根据法律法规规定，相关交易记录可能须在后台保存5年甚至更长的时间。

4.2 网络服务提供者应同时通知从他们处获得个人信息的实体，要求其及时删除，除非法律法规另有规定，或这些实体获得独立授权。

5. 删除权的风险提示（参见《京东隐私政策》第五条第4款）

5.1 每个业务功能需要一些基本的个人信息才能得以完成，用户要求相关信息后，网络服务提供商无法继续为提供所对应的服务，也不再处理相应的个人信息。但该等撤回同意或授权的决定，不会影响此前基于授权而开展的个人信息处理。

5.2 一旦注销账户，用户将无法找回账户中及与账户相关的任何内容或个人信息。

6. 删除权的后悔期（参见《京东隐私政策》第四条（二））

6.1 当用户成功申请注销账户后，网络服务提供者应自注销之日起一个月的“后悔期”，在这个期间内用户可以随时申请恢复已经注销的京东账户。为了实现恢复账户的功能，网络服务提供者将不会在“后悔期”内对个人信息进行删除或匿名化处理。

6.2 除非法律法规另有规定，个人信息将保存至账号注销之日后的一个月。当个人信息超出所保存的期限后，网络服务提供者会对个人信息进行删除或匿名化处理。

7. 未成年人的删除权（参见《京东隐私政策》第六条）

如果网络服务提供者发现在未事先获得可证实的父母或法定监护人同意的情况下收集了未成年人的个人信息，则会设法尽快删除相关数据。

编排/吴瑜

责编/孙亚超  微信号：elesun724