首页> 图书频道> 政法> 法学

什么是被遗忘权?

2026年03月16日
版权

13 什么是被遗忘权?

一、中国被遗忘权第一案——任甲玉诉百度案

在欧盟法院宣布冈萨雷斯的胜诉判决后不久,中国也出现了“被遗忘权第一案”。任甲玉曾在无锡陶氏生物科技有限公司从事教育工作,有关“陶氏教育任甲玉”“无锡陶氏教育任甲玉”等信息被公开陈列在百度网站中,严重影响其求职工作。2015年,任甲玉向北京市海淀区人民法院提起诉讼,要求百度立即停止侵犯其姓名权、名誉权以及被遗忘权。一二审法院均未承认我国法律中存在被遗忘权的法定权利类型,而是从一般人格权的角度出发,认为被遗忘权可以划归至“未被类型化但应该受法律保护的正当法益”。法院认为任甲玉必须证明该人格利益“具有利益的正当性及保护的必要性”,才能够受到法律保护。

二、被遗忘权概述

被遗忘权的起源可以追溯到欧盟法院审理的冈萨雷斯起诉谷歌一案。案件原告名为马里奥·冈萨雷斯,其曾于1998年申请破产。为偿还社保债务,冈萨雷斯的物业被公开拍卖,公开拍卖的有关信息被传送在互联网上。2010年2月,冈萨雷斯向西班牙数据保护局(AEPD)向《先锋报》、谷歌公司及谷歌西班牙提起诉讼,认为十二年前所发生的拍卖“在多年之前就已经解决,现在提及完全不具有相关性”。后案件在西班牙高级法院被终止审理,提交至欧盟法院。欧盟法院经过审理后认为,西班牙数据保护局有权在此案中要求谷歌删除和冈萨雷斯相关的个人信息链接,确认作为数据控制者的搜索引擎提供商负有删除“不充分的、无关的或不在相关的、超出处理目的的”个人信息的法律义务,否则将侵犯数据主体的被遗忘权。

于2018年生效的GDPR首次将被遗忘权以法定权利确立在法条中,它规定:“数据主体有权要求控制者删除其个人数据的权利。”但被遗忘权只能在特定情形下行使。GDPR列举七种情况:(1)当个人数据对于实现其被收集或处理的相关目的不再必要。(2)数据处理者以数据主体同意作为其持有个人数据的合法性基础,当数据主体撤回同意且无其他法律依据。(3)数据主体基于合法利益作为数据处理基础,当数据主体行使拒绝权拒绝其处理他们的个人数据,并且再无任何无其他更优法律依据。(4)数据主体反对基于营销而处理个人数据时,数据控制者有义务停止处理并及时删除个人数据。(5)个人数据被非法处理时。(6)数据控制者基于遵守欧盟或欧盟成员国法律规定的强制性义务而删除个人数据。(7)未取得儿童监护人同意而处理儿童数据时,主体享有被遗忘权。

然而正如所有权利行使都有其边界一样,被遗忘权的行使也需要受到一定的限制。在某些情形下,当被遗忘权与其他权利发生冲突时,被遗忘权是不能够适用的。GDPR对这些情形进行了列举,这些情形分别包括:(1)当行使言论表达自由权。(2)履行法定义务。(3)为执行基于公共利益或公权力机关要求的工作。(4)以公共利益、科学研究、历史研究或以统计为目的处理个人数据,删除个人数据将不能或严重阻碍处理过程的完成。(5)设立、行使或者为法定权益辩护的。除以上情形不能行使被遗忘权以外,GDPR还规定了两种豁免情形,当豁免情形出现时,信息处理者可以拒绝删除公民个人信息,两种情形分别为:明显无根据以及过度请求。ICO还对什么叫作明显无根据、过度请求进行了详细解释。这两类豁免情形是为了防止公民以行使删除权为借口,实际上损害处理者利益,或给处理者制造不合理负担的不当行为的出现。

三、被遗忘权与删除权

“被遗忘权第一案”在我国学术与实务界都引起了广泛讨论,对“被遗忘权”的相关研究也逐步深入。在这些讨论之中,不少学者尝试对欧盟被遗忘权进行梳理和解读,被遗忘权和删除权的关系就是其中无法绕开的一环。

立法对被遗忘权和删除权的探索也没有停下脚步。我国有关删除权的规定首次出现在2012年全国人大常委会出台的《关于加强网络信息保护的决定》第8条中,该条赋予了公民要求网络服务提供者删除侵犯其合法权益信息的权利,确认了我国删除权的法定概念。《网络安全法》第43条、《民法典》第1037条后续对删除权的范围进行了扩展和延伸,自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。可以看出,《民法典》出台时,删除权的内容就有了一定变化。从删除权的主体角度出发,负有删除义务的主体从网络服务提供者扩展到了信息处理者;从保护范围角度出发,可以要求删除的情景也由之前的“侵犯其合法权益的网络信息”“受到商业性电子信息侵扰的”拓展到了“违反法律、行政法规规定或者双方约定处理其个人信息的”。可以看出,在《个人信息保护法》出台之前的删除权范围,相对于欧盟被遗忘权的范围更为狭窄。

然而随着云计算、大数据等互联网经济产业的蓬勃发展,个体信息安全风险、隐私泄露风险增加,我国法定删除权的范围在不断适应和调整。我国《个人信息保护法》第47条赋予在特定情形下个人信息处理者删除信息的法定义务以及数据主体的删除权。该条规定的权利范围除保留《民法典》《网络安全法》相关内容外,还吸收了GDPR第17条的相关规定,将“个人撤回同意”,“处理目的实现或为实现目的处理已不再必要”加入其中。与GDPR第17条内容不同的是,我国《个人信息保护法》将删除上述信息作为个人信息处理者的法定义务,并将信息处理者未履行该法定义务作为公民行使删除权的前提。这表明,当第47条情形出现时,即使个人未要求信息处理者删除个人信息,信息处理者也应当主动履行其法定义务,以此可以看出我国对公民个人信息进行保护的决心和力度。