首页> 图书频道> 政法> 法学

欧盟及其成员国的“被遗忘”相关立法

2026年02月09日
版权

一、欧盟及其成员国的“被遗忘”相关立法

“被遗忘权”的概念最早源自法国刑法,即罪犯刑满释放一段时间之后,可以要求将自己的犯罪档案封存起来,不为他人知晓。法国法律中认为“被遗忘权”是保护公民人格权的一种表现,因为没有人会不犯错,需要第二次机会。而对现代人来说,只要进入互联网,就一定会留下“痕迹”,难保一些不好的记录,多年之后仍然被搜索到,为了保证网络公民的人格权利,给予网络公民改过自新的机会,自1995年开始,欧盟不断推进“被遗忘权”立法。

1989年,法国学者首次将被遗忘权与互联网隐私结合到一起,之后,欧盟于1995年颁布了《关于保护个人数据和此类数据的自由流动的指令,95/46/EC》,该指令虽然没有规定被遗忘权,但其中的目的性限制原则(第6条)、删除权(第12条b)等条文,成为探讨被遗忘权的源头。2012年,欧洲议会和欧盟理事会公布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第2012/72、73号草案》,其中包含了被遗忘权。2014年,欧盟法院在Google Spain SL and Google Inc.诉Agencia Espanola de Proteccion de Datos(AEPD)and Mario Costeja Gonzalez一案中的判决对《数据保护指令》进行了扩展性解释,以确认信息主体享有被遗忘权,法院认为:“数据主体可以要求搜索引擎删除那些不完整的、没必要、不再相关的、多余的数据。”其中包括儿童。2016年4月,欧洲议会和欧盟理事会通过了《欧盟议会和欧盟理事会2016/678号2016年4月27日关于保护自然人处理个人数据和此类信息的自由流动,以取代95/46/EC指令的条例》,其第17条首次明确以立法形式规定了被遗忘权。

GDPR原文将第17条称为被遗忘权,该条包含了删除权和被遗忘权两种权利。在2014年欧盟首个案例的基础上作了进一步的阐释。第17条不仅在第1款规定了数据主体可以在某种情况下要求数据控制者删除自己的数据[1],同时在第2款还规定只要数据主体提出被遗忘的要求,数据控制者必须在不会造成延误的情况下删除数据主体的个人信息,同时停止与第三方的分享。已公开的数据必须在考虑技术和成本的基础上,采用合理的方法,将删除的要求发送给其他处理该数据的第三方控制者,确保其删除所有数据副本和相关链接。成人或者儿童都可以要求数据控制者删除他们的信息,无论之前的保存和使用是否符合GDPR的规定,都可以根据其意愿进行删除。

前文讲到“被遗忘权”的概念最早源自法国,法国在被遗忘权的发展方面要快于其他国家,法国甚至提出了“逝后遗忘权”,即公民死后被遗忘的权利。早在2016年10月7日,法国1321号《数字共和国法》(Digital Republic Law)生效,但是在GDPR生效后,2018年6月22日该法又进行了修改,于同年8月17日生效。该法第63条第2款对一种新的隐私权进行了规定,即数据主体去世后,其数据将被如何使用和披露,这就是“逝后隐私权”(post-mortem right to privacy)[2]由此而生。该法允许数据主体在生前对死后自己数据的保存、删除和传播建立意愿。这些意愿将会被独立可信赖的第三方数据管理机构登记,将由法国国家委员会托管。所有的在线服务提供商都要提醒用户,一旦他们去世,他们的数据将会怎样被处理,允许用户选择是否允许他们的数据被转移到第三方机构。如果用户主体没有提出意愿,则由数据主体的继承人继承其数据和账号,来决定数据的去留。虽然这条规定是针对所有公民的,尚未分别未成年人和成年人,但是显示出了法国对于逝者数据权的尊重。(https://www.daowen.com)

另一个是对于未成年人的“被遗忘权”的延伸。该法第63条规定,如果数据主体虽是成年人,但是其数据收集时仍为未成年人,则该数据主体可以要求删除其个人数据。这一条规定尤其在互联网环境下适用。但是删除的权利并非绝对,有一定限制,即不能违反表达和数据自由及其他法律规范。一旦数据被提供给第三方数据处理者,原数据处理者收到删除数据的请求,必须提供合理的措施,包括技术措施,通知第三方数据处理者。该法规定此仅为提供合理关心,而非必要的义务。[3]

[1]数据主体在下列情况下可以要求删除或清除个人数据:出于收集或处理数据的目的,有关信息已经非必要;数据主体撤回了处理数据的同意,且没有其他处理该数据的依据;数据主体依法反对有关处理;相关数据被非法处理;为遵守欧盟或成员国法律必须进行删除的数据;收集的数据与向儿童提供信息社会服务有关。有三个例外:一是企业或组织因言论自由而持有的个人数据;为遵守某项法定义务;为公共利益而持有数据。

[2]黄忠.隐私是阻碍网络虚拟财产继承的理由吗[J].财经法学,2019(4):62.

[3]RICHARD A.GDPR: France updates data protection laws[EB/OL].(2018-06-28)[2020-01-12].https://www.pinsentmasons.com/out-law/analysis/gdpr-france-dataprotection-laws-.