在一片爭議聲中，「被遺忘權」在歐盟確立和實施

　　歐盟委員會 (European Commission) 近幾年積極推動「被遺忘權」 (the right to be forgotten) 立法，但歐盟內部有截然不同的意見，並受到來自美國的大力反對。直到最近兩年，由於歐盟法院 (Court of Justice of the European Union)和歐洲議會 (European Parliament)分別表態支持「被遺忘權」，這項權利的保障最終在歐盟得到確認，但相關的爭議仍未停止。本文闡述「被遺忘權」在歐盟確立的經過和所引起的爭議，並解釋「被遺忘權」與「刪除權」和「不再顯示個人資料權」的異同。

「被遺忘權」為何受到關注？

　　歐盟委員會於2010年提出大幅修訂歐盟沿用多年的Data Protection Directive (以下簡稱《1995年指令》）以應付數碼年代和全球化帶來的新挑戰，當中包括將「被遺忘權」納入保障範圍。《1995年指令》規定，處理他人的個人資料（內地稱為個人信息）需要有正當理由，而「處理」是指不論是否採用自動方式收集、使用、儲存等。歐盟委員會認為，推動「被遺忘權」立法能夠加強個人資料的保護，因為這項權利的核心內容是：一旦正當理由不復存在，人們有權要求別人不再處理並刪除該些個人資料。

　　「被遺忘權」雖看似簡單和直接，卻引起很大爭議，而且支持和反對的陣營各有一定理據，旗鼓相當。支持者認為，在數碼時代很有必要推動「被遺忘權」成為歐盟法規，因為大量個人資料輕易落入別人手中甚至公眾領域，並長久存放在網上，只需使用搜索引擎就輕易找出來。因此，法律必須加強對個人資料的保障，讓每個人都可以說「不」，並透過行使「被遺忘權」，自主控制個人資料，阻止一些個人資料繼續曝光。其實，「被遺忘權」並非一項嶄新的權利。在歐洲，它可追溯至法國法律傳統上賦予人民的the right to oblivion (遺忘權)，即是隨著時間的消逝，一些不利於個人的往事不再被提及，用以維護個人自主和尊嚴，並讓觸犯輕微罪行的人有機會改過自新。

　　然而，反對者認為 the right to oblivion本身很含糊，而現代的the right to be forgotten也不見得清晰，後者的界限和內涵難以確定。他們更害怕「被遺忘權」一旦成為法律，可用於隱瞞一些人不光彩的過去，甚至有助竄改和否認重要歷史事實，這會剝奪公眾知情權、損害公眾利益。這種擔憂在曾經歷二次大戰的歐洲尤其具說服力。至於美國，一貫強調網絡自由，對個人資料的保護向來不及歐盟嚴格，因此對歐盟推動「被遺忘權」立法很有保留，擔心會增加美國企業的營運成本。互聯網龍頭企業谷歌更極力反對「被遺忘權」，怕不利搜索引擎業務。由此可見，歐盟就「被遺忘權」立法，茲事體大，其影響廣泛而深遠，亦不只限於歐盟成員國。

歐盟就「被遺忘權」立法

　　2016年4月初，歐洲議會通過General Data Protection Regulation (以下簡稱《2016年規例》)，取代《1995年指令》。除少數成員國外，《2016年規例》將於兩年後直接適用於歐盟各國，毋需再經過本地立法才實施。

　　《2016年規例》第十七條的標題為Right to erasure  (right to be forgotten)。這個標題經過多番修改，「被遺忘權」最終用括號放在「刪除權」後面，以表明「被遺忘權」並非全新事物，而是建基於《1995年指令》既有的「刪除權」。不過，《1995年指令》只簡略提及「刪除權」，人們很難依據有關條文要求刪除個人資料。

　　相比之下，《2016年規例》第十七條詳盡得多。首先，第一款規定「資料當事人」 (data subject) 可根據條文列明的任何一個理由，要求「資料控制者」(data controller)及時刪除當事人的個人資料，而「資料控制者」亦有責任及時刪除；而一項新增的理由是：當「資料當事人」撤回同意，不許「資料控制者」繼續處理資料，而「資料控制者」又沒有其他合法理由，便必須刪除有關資料。

　　第二款還規定，假若該「資料控制者」早已公開該些個人資料，則要視乎當時的科技和實施成本而採取合理步驟，包括一些技術措施，將「資料當事人」斷開連結和移除已複製個人資料的要求，告之正在處理該些個人資料的其他「資料控制者」。

　　第三款則規定在五種情況下，上述第一和二款並不適用，包括處理個人資料是為了行使表達自由和資訊自由的權利、為公眾利益的理由而存檔、科學或歷史研究、統計等。換言之，第十七條詳細保障「刪除權」，以體現「被遺忘權」，也顧及反對者的憂慮，盡量減少「被遺忘權」對言論自由和資訊自由帶來的負面影響。

西班牙谷歌案(Google Spain)

　　然而，有個別人士不願坐待歐盟立法和《2016年規例》的實施，希望能盡快行使「被遺忘權」。早於2010年，西班牙公民岡薩雷斯便以《1995年指令》為依據，向當地保護個人資料的規管機構AEPD投訴。岡薩雷斯曾因欠債而被政府下令拍賣資產，兩項有關公告於1998年刊登在一份報章上。十多年後，在搜索引擎輸入他的名字，仍能輕易找到該些資料。

　　岡薩雷斯表示，他早就清還債項，但報社拒絕移除該些個人資料，他再聯絡谷歌要求移除相關搜索結果，亦不得要領。岡薩雷斯於是向AEPD投訴，要求下令：1) 報社移除或更改相關網頁，不再顯示他的個人資料，或使用搜索引擎工具屏蔽網頁；以及2)要求谷歌移除或屏蔽該些個人資料，不再顯示於搜索結果或連結到該份報章。

　　AEPD裁定，該報章受政府部門委託合法刊登公告，因此不需移除相關網頁。至於谷歌，它的搜索引擎業務被歸類為處理個人資料的活動，受到《1995年指令》規管。AEPD表示，如搜尋得到或散播某些個人資料，有損該名人士的尊嚴和保護個人資料的權利，AEPD有權要求搜索引擎營運商不再提供該些個人資料。谷歌不服並上訴。西班牙法庭認為，有必要向歐盟法院尋求指示，釐清多個關鍵問題才正式審理案件。

　　這些問題包括：1)谷歌算不算在歐盟營運？2) a)搜索引擎業務算不算處理個人資料的活動？b)根據《1995年指令》，谷歌是否被歸類為「資料控制者」？c) AEPD可否以《1995年指令》保障「反對權」(right to object)和「刪除權」(right to erasure)為理由，要求谷歌在檢索中移除第三者發佈的個人資料？d) 假若第三者合法發佈個人資料，而該些資料仍放在網上，搜索引擎可否毋需移除該些個人資料？3) 從「被遺忘權」的角度考慮「反對權」和「刪除權」的適用範圍—《1995年指令》的「反對權」和「刪除權」條文，可否擴展為第三者雖合法發表個人資料，但當「資料當事人」認為這對他不利或他想遺忘時，便有權要求搜索引擎不就該些個人資料進行檢索，使其他網絡用戶無法找到。

歐盟法院的判決

　　歐盟法院於2014年5月下達判決，詳細回答上述各項問題，並得出以下的結論：谷歌在歐盟營運，被歸類為「資料控制者」，它的搜索引擎業務屬處理個人資料的活動，受到《1995年指令》規管。AEPD有權下令谷歌移除第三者發佈的個人資料，就算該些資料是合法發佈，且仍放在網上，因為《1995年指令》裡的「反對權」和「刪除權」可延伸為「被遺忘權」。

　　歐盟法院認為，根據《歐盟基本權利憲章》(EU Charter of Fundamental Rights)，「資料當事人」享有隱私權和保護個人資料的權利。一般而言，這兩項權利都高於搜索引擎營運者的經濟利益以及公眾透過輸入「資料當事人」名字從搜索引擎得到該些資料的利益。因此，岡薩雷斯有權要求谷歌移除或屏蔽該些敏感的個人資料，使網民日後在搜索引擎輸入岡薩雷斯的全名，也無法找到他曾欠債的公告。換言之，歐盟法院這個判決令到岡薩雷斯作為「資料當事人」，可享有  the right to delisting (現時有不同的譯名，包括「去表列權」和「除名權」，本文使用「不再顯示個人資料權」)。

　　然而，「不再顯示個人資料權」不是絕對的。「資料當事人」能否行使這項權利，要視乎每宗個案的具體情況，並須權衡各項相互競爭的權益，一方是關乎「資料當事人」，包括資料性質、是否涉及私生活以及敏感程度等，另方面是關乎大眾獲取資料的權益，這會因應當事人是否擔任公職而有所變化。歐盟法院指出，一旦認定公眾獲取資料的權益較為重要，便有理由干預當事人的基本權利。

「刪除權」、「被遺忘權」、「不再顯示個人資料權」

　　綜上，「刪除權」、「被遺忘權」、「不再顯示個人資料權」這三項權利，儘管性質近似，但具體內容不盡相同。首先，「刪除權」早已寫在《1995年指令》，但由於條文太簡略，未足以在數碼時代保護個人資料。2016年初，歐盟終於成功為「被遺忘權」立法，加強「資料當事人」對個人資料的自主控制，包括一旦撤回同意，「資料控制者」一般要刪除該些個人資料，除非例外情況適用。兩年後，當《2016年規例》正式實施，絕大部分歐盟成員國的人們將可行使「被遺忘權」。這項權利不單可用於網絡世界，也可以用於現實生活中。

　　另一邊廂，歐盟法院於2014年初搶先一步，引入「不再顯示個人資料權」，「資料當事人」有權要求搜索引擎營運商移除或屏蔽個人資料，使別人不能再透過關鍵詞找到，即使該些資料是合法發佈並將繼續放在網上，而搜索引擎營運商收到請求後，要具體審視個案的情況，權衡不同的利益，決定是否按當事人的請求屏蔽或移除相關搜索結果。

谷歌兩年來執行「不再顯示個人資料權」的情況

　　根據歐盟法院的裁決，谷歌有責任審視所有行使「不再顯示個人資料權」的請求，並決定是否移除或屏蔽相關的個人資料。為此，谷歌邀請一批專家研究如何落實判決和具體審視「資料當事人」提出的請求。另方面，《1995年指令》下設的專家小組亦發出相關指引。根據谷歌公佈的數字，截至2016年5月，一共收到四十三萬多個請求，涉及一百五十多萬個網址(URL)，而最多的請求依次分別來自法國、德國和英國，而社交網站Facebook 則是最受影響的網站，被谷歌移除的網址為數最多。

　　谷歌這項新增的審視和移除責任，引起廣泛關注，有意見認為谷歌可能變成歐盟境內的首席內容審查官，亦有人擔心谷歌怕麻煩和避免打官司而盡量依照「資料當事人」的請求行事。不過，直到目前，谷歌公佈的數字顯示，移除的網址只佔請求總數百分之四十三。

　　另一方面，就如何刪除資料，谷歌與英、法兩國的保護個人資料規管機構出現一些分歧。當中，較嚴重的是谷歌起初只願意應請求移除歐洲域名的個人資料，例如Google.co.uk和Google.fr，但拒絕移除Google.com上的相關資料，法國和英國規管當局都認為這並不徹底。2016年1月，谷歌作出讓步，改以IP地址作為主要方法核實網絡用戶的位置，如果用戶身處歐盟境內，便無法搜索到已被移除的個人資料。這個安排得到英國規管當局接納，但法國仍堅持谷歌須作全球移除，並於2016年3月處罰谷歌十萬歐元。谷歌決定上訴，估計這個爭端將持續一段日子。

　　值得留意是，自歐盟法院就Google Spain 案下達判決後，陸續有人在歐盟個別成員國打官司，希望爭取更全面的「不再顯示個人資料權」。在比利時，法院應一名公民的要求，並依據該國憲法，判決搜索引擎不能再顯示該名公民牽涉一宗車禍的報道，亦下令報章移除相關的新聞檔案。該報業集團在終極上訴失敗後，批評法院判決形同改寫歷史。