5月28日,国家网信办就《数据安全管理办法》开始为期一个月的征求意见。
这个首次将公众隐私安全搬上法规台面的《办法》规定:网络运营者收集使用个人信息时应突出个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法。网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。
这一《办法》如果实现,将拉开中国人行使“被遗忘权”的序幕。
国家网信办就《数据安全管理办法》征求意见
不要忘记冈萨雷斯与任甲玉
2010年3月,西班牙人Costeja Gonzalez向西班牙资料保护局提出一项申请:命令西班牙媒体《先锋报》关于他的报道移除或更改;命令谷歌移除或者隐藏指向《先锋报》的相关链接。
事情缘起于1998年,《先锋报》刊登了冈萨雷斯因无力偿还债务而遭拍卖物业的公告,当其债务还清后,他希望媒体和谷歌删除这些可能带有误导性的负面信息。2010年7月,西班牙资料保护局批准了冈萨雷斯对谷歌的申请,驳回了对《先锋报》的申请。
4年后,欧盟最高法院于2014年5月裁定,允许用户从搜索引擎结果页面中删除自己的名字或者相关历史事件,即所谓“被遗忘的权利”。
中国也曾发生过类似而结局不同的事件。2016年,任甲玉诉百度一案被称为国内“被遗忘权第一案”。任甲玉因为担心前东家的不良口碑影响到自己的形象,向法院申请要求百度删除与前任东家相关的搜索关键词和链接。法院最后判决认为,由于任某主张的该利益不具有正当性和受法律保护的必要性,不应成为侵权保护的正当法益,故判决驳回了任某的全部诉讼请求。
西班牙冈萨雷斯诉谷歌案和中国的任甲玉诉百度案,事实上并不完全相同。两地判决中的说明也显示出两国法律体系的差异。欧洲法院的法官认为,谷歌在处理其服务器上的数据时扮演的是“监控者”的角色,而百度公司以技术中立作为抗辩理由并最终获得了中国的法院支持。欧盟法院对谷歌案的基本立场是,《欧洲联盟基本权利宪章》将隐私权视为重要的基本人权,有关个人资料处理规制条款的适用,应当从基本人权保护的角度进行判断。中国法院对百度案判断是,任某主张的利益不具有正当性和受法律保护的必要性。
西班牙谷歌案和中国百度案都是“被遗忘权”争议中的孤案。更广阔的环境是,人们对个人隐暴露的担忧越来越强。2001年,有网民在猫扑网贴出一张“自己女朋友”的美女照片,引起网友关注并开始搜索。很快,这位名叫“陈自瑶”的女子大量个人资料被公布于网络。“陈自瑶事件”被视为人肉搜索的第一例,此后,类似事件不绝于耳,诉之于法律而得到判决的都成为个例。
GDPR捍卫被遗忘权
《流量地球》上映后,主演屈楚萧早年间在贴吧的言论被扒出来,这些言论被网民称为“黑料”,以“屈楚萧三观”为噱头至于公众的嘴炮下。民众呼唤被遗忘权,渴行使望形式被遗忘权。
IDC名为《数据时代2025》的报告显示,全球每年产生的数据将从2018年的33ZB增长到2025年的175ZB(1ZB相当于1.1万亿GB)。我们生活在以数据构建的虚拟生活中,就像活在一个巨大的“圆形监狱”之中——所有囚室对着中央监视塔里的数据处理器,监视者可以观察到囚室里的罪犯的一举一动,囚徒却不知是否被监视以及何时被监视,时刻处于忧虑之中。英国哲学家杰里米·边沁(Bentham)把圆形监狱描述为“一种新形式的通用力量 ”(a new mode of obtaining power of mind over mind, in a quantity hitherto without example)。
销毁硬盘,GDPR,一般数据保护条例
在如此庞大的数据监控力量面前,欧盟最早坚决地提出了“被遗忘权”。2018年5月,欧盟颁布了一道了不起的法规——《一般数据保护条例》(GDPR)》。这则法令最重要的原则在于:最大限度的保护个人隐私,严格限定企业、政府对个人信息数据的使用条件,影响涉及27个欧盟国家。GDPR从法律层面正式确立“被遗忘权”。
GDPR明确规定,数据主体有要求数据控制者删除与其相关的个人数据及避免其数据被传播的权利。它的一大特征是,用户对自己数据拥有自主控制权,从产生到携带转移、删除,和司法救济等一系列的程序中,法律都给予了支持。
在我国,目前涉及个人数据保护的法律、行政法规有70多部,地方性立法200部。但这些法律法规的短板在于,不同规范分散于不同法律文件、不同领域,缺乏统一性,不同法律条文之间多有矛盾、冲突,层级混论,执行实践的协同性差。
与欧盟出台《一般数据保护条例》相比,此前国内并没有关于个人数据信息采集、使用的明确监管细则。这又形成了一个所谓数据的“窗口红利期”。金融科技乃至整个互联网行业滥用个人数据的情况触目惊心。法律失落的阴影里,更多的个人数据侵犯、个人隐私泄露行为,都被互联网企业、金融机构假借“风控或征信”之名。
去年3月26日,百度董事长李彦宏的曾发表一番备受争议的言论:中国人愿意用隐私换取便捷、效率、安全。比如,在非持牌现金贷未被禁止、且P2P网贷野蛮生长的时期,未经授权的个人信息与隐私数据买卖在黑市中十分盛行,诸多所谓大数据风控公司以数据买卖为生意。这背后,是大数据营销背后的诸多乱象,如大数据杀熟、过度营销、数据倒卖。
大数据在互联网上对个人信息的过度采集,正在带来另一项更严重的问题:深度滥用。个人信息从黑市买卖,到被用于信贷审核、精准营销、电信诈骗,个人都难以自主,这就是深度滥用的表现。监管曾在过去一年内对多家互联网巨头涉嫌滥用用户数据进行罚款,《数据安全管理办法》(征求意见稿)首次带来了对个人数据采集、应用、安全的全方位规定,可以视为立法之外对个人数据安全保护的缓冲地带。
我们离被遗忘权还有多远
销毁硬盘--被遗忘权
2009 年,奥地利法学家舍恩伯格在《删除:忘记是在数字时代的美德》一书中,曾系统地阐述个人信息在互联网上的被遗忘权——个人用户应有权要求网站和平台从服务器端彻底删除或者限制访问。这是较早系统阐述被遗忘权的书。
在我国,尚未定稿的《数据安全管理办法》可以视为中国人“被遗忘权”的一个引子,但离“被遗忘权”还很远。《数据安全管理办法》第八条规定:收集使用规则应突出个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法。第二十一条又有规定:网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。
上述条文实际上是个人信息的“删除权”,实质上是“使个人信息在信息系统中不再可用”,但并不是全部的“被遗忘权”。GDPR的原则里,“被遗忘权”本质上是“删除权”中的一部分。GDPR第17条规定:满足条件时,数据主体既可以请求数据控制者甲删除“个人数据”的链接,也可以要求数据控制者乙直接删除“个人数据”的网页。与欧盟法律相比,中国的删除权仅限于个人信息,个人信息包括基本信息、设备信息、账户信息、隐私信息、社会关系信息和网络行为信息等。这意味着不能彻底删除(销毁数据)与个人信息有关的报道。
在美国,个人信息可以被收集和处理,除非法律特别禁止,美国因为宪法第一修正案确立了言论自由和出版自由,认为“被遗忘权”与之相冲突而一直持反对态度。而欧盟则将隐私视为公民理应享有的基本人权。2013年,美国加州州长签署《橡皮擦法案》。该法案要求Facebook、Twitter等社交网站巨头允许加州境内未成年人删除自己的上网痕迹,但除未成年人以外的其他人并不包含在内。2015年,“被遗忘权”曾在美国引起辩论,但民意测验显示但仅有35% 的美国人支持,56%的人坚决反对。
从法律体系上看,欧盟GDPR形成了一整套关于保护个人信息与数据安全的网络运营者禁止事项,含个人被遗忘权、删除权、携带转移权保护、个人数据法律救济措施、企业违规惩处体系等。《数据安全管理办法》作为部委规章,与GDPR法律体系的完备性还相去甚远。如果从技术手段来看,“被遗忘权”也不能完全阻挡个人被人肉搜索的命运。按照欧盟法律,个人行使了被遗忘权后,可率先要求删除谷歌搜索结果,而删除源网站(可能是一些小网站,或小的UGC博客)的报道链接则耗时久远,人肉搜索仍能通过这个时间差来操作。除此以外,“被遗忘权”还面临着来自AI时代的挑战。《自然》杂志曾报道,假定要获得对某个人的形象“画像”,通过对该个人Twitter上好友推文数据进行分析而无需查看个人用户数据,即可对个人信息的做精准推测。