评析
本案是欧洲法院近年审理的涉及搜索引擎个人数据保护的里程碑式的案件。如同本案总法律顾问加斯科南(Jääskinen)在其就本案出具的法律意见中所指出的,本案的背景是:当今世界,保护个人数据和个人隐私变得日益重要。任何包含个人数据的内容,不管是文本形式还是视频形式均能够在世界范围内以数据格式即时和永久地获取。互联网已经通过消除有关传播和接收信息的技术和机构壁垒,对我们的生活进行了彻底变革,且已创制了各种信息社会服务的平台。这虽然惠及了消费者、企业和社会,但也导致了无先例可循的情况。在这些情况中,各种基本权利需予以平衡,例如言论自由的权利、信息自由的权利以及自由开展业务的权利,即需与个人数据和个人隐私受保护的权利进行平衡。目前,在互联网环境下,存在着三种与个人数据相关的情况:一是将个人数据刊载于网页之上;二是互联网搜索引擎提供将互联网用户引导至相关网页的搜索结果;三是互联网用户使用搜索引擎进行搜索,该用户的某些数据(例如进行该搜索的IP地址)被自动传输给互联网搜索引擎服务商。[2]本案涉及的是第二种情况。
在本案中,欧洲法院首次被要求就《95/46指令》是否以及如何适用于搜索引擎及其运营商进行解释。经由本案判决,欧洲法院明确,个人对搜索引擎提供的搜索结果列表中包含的相关网页链接享有被遗忘权。同时,欧洲法院的判决还明确了搜索引擎的活动构成个人数据处理,搜索引擎的运营商构成数据控制者等一系列重要的原则。
第一,本案明确了在搜索引擎的活动涉及个人数据的情况下,该搜索引擎的活动构成《95/46指令》以及《一般数据保护条例》规定的“个人数据处理”,该搜索引擎的运营商构成《95/46指令》以及《一般数据保护条例》规定的“控制者”。首先,搜索引擎的活动包括寻找第三方在互联网上刊载或放置的信息、自动对该信息进行索引、临时存储该信息并最终依照特定的偏好顺序提供给互联网用户等。在前述信息包含已识别或可识别的自然人的信息,即个人数据,因此该搜索引擎的活动与个人数据相涉的情况下,由于该搜索引擎“收集”了其之后在其索引程序框架内“检索”“记录”“组织”的个人数据,将这些个人数据存储于其服务器之中,并以搜索结果列表的方式“披露”并“提供”给其用户。因此,该搜索引擎的活动符合《95/46指令》乃至《一般数据保护条例》规定的“个人数据处理”的定义,即“对个人数据或个人数据集合的任何单一或一系列的操作,无论是否通过自动化方式进行,例如对个人数据或个人数据集合的收集、记录、组织、建构、存储、适配或修改、检索、咨询、使用、通过传输披露、传播或通过其他方式提供、排列或组合、限制、删除或销毁”,构成个人数据的处理。
其次,《95/46指令》及《一般数据保护条例》将数据控制者界定为“能单独或共同决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他实体”。在本案中,一是决定搜索引擎活动的目的和方式,以及在搜索引擎活动中实施的个人数据处理的目的和方式的是搜索引擎的运营商。因此,依照《95/46指令》以及《一般数据保护条例》的规定,搜索引擎运营商应视为个人数据处理的控制者。二是以搜索引擎运营商未就第三方网页上刊载的个人数据施以控制为由,而将搜索引擎运营商排除于控制者之外,不仅与《95/46指令》以及《一般数据保护条例》相关规定的文义不符,而且也违反了相关规定的目的,即通过对控制者的概念予以宽泛界定,从而确保对数据主体进行有效和完整的保护。三是互联网刊载者通过相关排除协议或者代码,从而向搜索引擎运营商表明,其希望将其网站上刊载的特定信息全部或部分排除于搜索引擎的自动索引之外这一事实并不意味着,若互联网刊载者未如此表明,则搜索引擎运营商即对其在搜索引擎的活动中进行的个人数据处理免责。上述事实并不能改变个人数据处理的目的和手段均由搜索引擎运营商决定这一状况,且即使上述事实意味着互联网刊载者与搜索引擎运营商共同决定个人数据处理的方式,该事实亦不能免除搜索引擎运营商的任何责任,因为《95/46指令》明确规定,有关个人数据处理的目的和方式的决定可以单独或与其他人共同作出。综上,搜索引擎运营商构成《95/46指令》以及《一般数据保护条例》规定的“控制者”。
第二,本案明确了个人对搜索引擎提供的搜索结果列表中涵盖的个人信息享有被遗忘权。虽然《95/46指令》在第12条(b)项中规定了数据主体更正、删除及屏蔽个人数据的权利,并在第14条第1款(b)项中规定了数据主体拒绝个人数据处理的权利,但是对于该指令规定的这些权利是否应予扩展,以便数据主体能够联系搜索引擎运营商,以阻止对第三方网页刊载的与其有关的信息的检索,数据主体由此可以阻止潜在的不利信息为互联网用户所知,或者可以表达将该信息置诸遗忘的意愿,即使在该信息系第三方合法刊载的情况下也是如此,也就是数据主体是否可以基于《95/46指令》的前述规定,对搜索引擎提供的搜索结果列表中涵盖的个人信息享有被遗忘权这一问题,该指令则囿于其时代背景,未就此作出规定。本案中,欧洲法院基于《宪章》第7、8条以及《95/46指令》的相关规定认定,数据主体对搜索引擎提供的搜索结果列表中涵盖的个人信息享有被遗忘权。
具体而言,一方面,数据主体有权要求相关信息不再通过涵盖于搜索结果之中而为公众所得。该权利可在相关信息就数据处理目的而言不准确、不充分、不相关或过量的情况下行使。但是,该权利并非绝对权利,而是需与其他权利和利益,特别是公众拥有的通过与该数据主体的姓名有关的搜索访问该信息的利益进行平衡。因此,数据主体提出的删除请求应进行个案评估,以便在数据主体享有的被遗忘权以及所有互联网用户(包括互联网刊载者)的合法权益之间寻求平衡。在进行此种平衡所需考量的因素中,案涉信息的性质是一个特别重要的因素。若该信息与个人的私人生活相关,且公众对访问该信息并不拥有相关利益,则数据主体享有的被遗忘权将优先于公众访问该信息的利益;若相关数据主体系公众人物,或者相关信息就其性质而言可为公众访问,则公众访问该信息的权利将优先于数据主体享有的被遗忘权。[3]另一方面,在搜索引擎提供的搜索结果列表中涵盖的个人信息就数据处理目的而言不准确、不充分、不相关或过量,且数据主体就该信息提出删除请求的情况下,搜索引擎运营商有义务从该列表中,删除对第三方刊载且含有该个人相关信息的网页的链接。在该信息之前未从这些网页删除或未同步从这些网页删除,甚至其刊载于这些网页系合法的情况下,搜索引擎运营商亦有此义务。
本案判决之后,欧盟第29条数据保护工作组于2014年11月26日通过了《执行欧洲法院就“谷歌西班牙公司、谷歌公司诉西班牙数据管理局、马里奥·科里哈·冈萨雷斯案”所作判决的指南》,[4]该指南明确了与被遗忘权有关的若干原则。一是数据主体的被遗忘权原则上不仅优先于搜索引擎运营商的经济利益,而且也优先于公众拥有的通过搜索引擎访问相关个人信息的利益。但是,对上述权利和利益应予平衡,该平衡的结果取决于被处理数据的性质、敏感度以及公众拥有的访问该特定信息的利益。若数据主体在公共生活中起到一定作用,则公众拥有的访问其信息的利益将明显增大。
二是从搜索结果列表中删除对第三方刊载且含有相关个人信息的网页的链接,对于个人享有的言论自由和访问信息的权利的影响十分有限。在评估相关情况时,欧盟的数据保护机构将系统考虑公众拥有的访问相关信息的利益。若公众的利益优先于数据主体的权利,则前述删除即非恰当。
三是基于欧洲法院的判决,数据主体的被遗忘权仅影响基于相关个人的姓名进行的搜索所展示的搜索结果列表,并不要求从搜索引擎的索引中删除相关链接。因此,相关信息仍可通过使用其他搜索关键词,或者通过直接访问刊载者的原始载体进行访问。
四是在行使被遗忘权时,数据主体没有义务联系原始网站。
五是为了让数据主体的被遗忘权充分有效,相关删除决定的执行应既能保障对数据主体权利的有效和充分的保护,也能令欧盟法律无法被规避。就此而言,基于互联网用户倾向于通过其本国域名访问搜索引擎这一理由,从而将相关删除限于欧盟的域名,不能视为保障数据主体权利的充分措施。实践中,这意味着相关删除应适用于所有相关域名,包括com域名。[5]
六是告知搜索引擎用户基于其搜索而展示的搜索结果列表因删除了特定链接而不完整这一做法并非法定要求,该做法仅在相关信息以以下方式,即互联网用户无法断定特定个人是否已请求删除与其有关的搜索结果的方式呈现的情况下才是可接受的。
七是搜索引擎不应将告知受到相关删除影响的网站的管理员,该网站的某些网页将无法通过该搜索引擎访问这一操作作为其通常操作。此类沟通联络缺乏欧盟数据保护法上的依据。在某些情形下,搜索引擎可能希望在删除决定作出之前,就特定请求联系原始编辑,以便获取评估该请求的相关情况所需的额外信息。考虑到搜索引擎在发布于互联网上的信息之传播和访问方面所起的重要作用,以及网站管理者就以下信息,即基于互联网用户的相关搜索而索引和展示的信息所拥有的合法预期,欧盟第29条数据保护工作组鼓励搜索引擎提供其使用的删除标准以及更为详尽的统计数据。
在本案的推动下,欧洲议会及欧盟理事会于2016年4月27日制定的《一般数据保护条例》以法律形式正式规定了数据主体的被遗忘权。《一般数据保护条例》第17条“删除权(被遗忘权)”在第1款中规定,数据主体有权要求控制者对其个人数据进行删除,并且在下列情形下,控制者有义务及时删除个人数据:①就收集或以其他方式处理个人数据的目的而言,该个人数据已非必要;②数据主体根据该条例的相关规定撤回同意,并且没有其他有关数据处理的法律依据;③数据主体根据该条例的相关规定反对对数据进行处理,并且没有有关数据处理的更重要的合法依据;④个人数据被非法处理;⑤为遵守欧盟或控制者所属欧盟成员国法律规定的法定义务,个人数据必须被删除;⑥个人数据是为儿童提供信息社会服务而收集的。(https://www.daowen.com)
同时,考虑到“被遗忘权”在互联网环境下具有特别重要的意义,《一般数据保护条例》第17条第2款规定,如果数据主体已经要求控制者删除其个人数据的任何链接、副本或复制件,但控制者已将个人数据公开,并且根据第1款有义务删除这些个人数据,控制者在考虑现有技术及实施成本后,应当采取包括技术措施在内的合理步骤,通知正在处理个人数据的控制者。该款规定通过要求控制者承担以下义务,即将数据主体提出的删除要求通知其他控制者的义务,从而对第1款规定的删除权进行了扩展。数据主体的删除要求由此可视为适用于其他控制者制作的任何链接、副本或复制件。在此情形下,其他控制者亦须基于本条规定的标准,评估其是否应同意数据主体提出的删除要求。[6]
此外,《一般数据保护条例》第17条第3款还规定了不适用被遗忘权的例外情形:①为了行使言论和信息自由的权利;②为了遵守欧盟或者控制者所属欧盟成员国法律规定的数据处理的法定义务、为了执行符合公共利益的任务或行使控制者被赋予的官方权限;③为了公共卫生领域的公共利益;④为了实现公共利益、科学或历史研究或统计目的,而第1款规定的权利可能导致上述目的无法实现或严重损害上述目的的实现;⑤为了提出、行使法律请求或对法律请求进行抗辩。
第三,本案明确了搜索引擎在欧盟成员国设立的分支机构或子公司原则上应受《95/46指令》和《一般数据保护条例》的规制。《95/46指令》作为欧洲议会和欧盟理事会制定的、对欧盟所有成员国具有拘束力的指令,须由所有欧盟成员国通过国内程序将其内容转换为国内立法而予以实施。为此,《95/46指令》第4条第1款(a)项规定,在个人数据处理系在相关欧盟成员国境内的控制者的机构的活动中进行的情况下,该欧盟成员国应将其依照本指令制定的相关规定适用于该个人数据处理。
本案中,谷歌西班牙公司和谷歌公司主张,在搜索引擎运营商于一个欧盟成员国境内设立分支机构或子公司,该分支机构或子公司的活动限于向该欧盟成员国居民推广和销售该搜索引擎提供的广告位的情况下,相关个人数据处理并非在搜索引擎运营商的“机构”,即分支机构或子公司的活动中进行,而是由搜索引擎运营商进行。因此,《95/46指令》的前述规定在本案中并不适用。对此,欧洲法院认为,一是《95/46指令》并未要求案涉个人数据处理由机构自身进行,其仅要求个人数据处理在该机构的活动中进行。此外,根据《95/46指令》的目的,即在个人数据处理方面确保对自然人的基本权利和自由,特别是对其隐私权的有效和完整保护,“在欧盟成员国境内的控制者的机构的活动中进行”不能被限缩解释。从《95/46指令》的相关规定可以清楚地看出,欧盟立法机关意图通过规定一个特别广泛的地域范围,来防止个人无法享有该指令所保障的保护,同时防止该保护被规避。
二是基于《95/46指令》的目的以及该指令第4条第1款(a)项的规定,在搜索引擎运营商于一个欧盟成员国境内设立“机构”即分支机构或子公司,而该机构意图在该欧盟成员国促销和销售该搜索引擎提供的、令该搜索引擎在经济上能够获利的广告位的情况下,应认定该机构出于为搜索引擎提供相关服务之目的而进行的个人数据处理,系在该机构的活动中进行,理由是:此情形下搜索引擎运营商的活动与位于相关欧盟成员国的该运营商机构的活动紧密相连,因为一方面,与广告位相关的活动构成令相关搜索引擎在经济上获利的方式;另一方面,该搜索引擎构成令上述活动能够被履行的方式。基于在搜索结果页中展示个人数据构成对个人数据的处理,而该结果的展示与搜索关键词广告的展示在同一页面上相伴,由此可以清楚地看出,案涉个人数据处理系在欧盟成员国境内的搜索引擎运营商机构的商业和广告活动中进行。
三是为搜索引擎运营的目的而进行的个人数据处理不应规避《95/46指令》规定的义务和保障,因为这将损害该指令的有效性以及该指令意图确保的对自然人基本权利和自由的完整保护,特别是对自然人在个人数据处理方面的隐私权的保护。
【注释】
[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&page Index=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=2023183.
[2]Opinion of Advocate General Jaaskinen,delivered on 25 June 2013.
[3]European Union Agency for Fundamental Rights and Council of Europe[M].Handbook on European Data Protection Law,2018:225.
[4]Article 29 Data Protection Working Party,Guidelines on the Implementation of the Court of Justice of the European Union Judgment on“Google Spain and Inc v.Agencia Española de Protección de Datos(AEPD)and Mario Costeja Gonzalez”C-131/12[EB/OL].[2020-08-16].https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2014/wp225_en.pdf.
[5]此观点未被欧洲法院采纳,参见欧洲法院就“谷歌公司诉法国数据保护局案”所作的判决。
[6]Serge Gijrath,Simone van der Hof,Arno R.Lodder&Gerrit-Jan Zwenne.Concise European Data Protection,E-Commerce and IT Law[M].Wolters Kluwer,2018:114.