在一片爭議聲中,「被遺忘權」在歐盟確立和實施

2016-06-16

  歐盟委員會 (European Commission) 近幾年積極推動「被遺忘權」 (the right to be forgotten) 立法,但歐盟內部有截然不同的意見,並受到來自美國的大力反對。直到最近兩年,由於歐盟法院 (Court of Justice of the European Union)和歐洲議會 (European Parliament)分別表態支持「被遺忘權」,這項權利的保障最終在歐盟得到確認,但相關的爭議仍未停止。本文闡述「被遺忘權」在歐盟確立的經過和所引起的爭議,並解釋「被遺忘權」與「刪除權」和「不再顯示個人資料權」的異同。


「被遺忘權」為何受到關注?

  歐盟委員會於2010年提出大幅修訂歐盟沿用多年的Data Protection Directive (以下簡稱《1995年指令》)以應付數碼年代和全球化帶來的新挑戰,當中包括將「被遺忘權」納入保障範圍。《1995年指令》規定,處理他人的個人資料(內地稱為個人信息)需要有正當理由,而「處理」是指不論是否採用自動方式收集、使用、儲存等。歐盟委員會認為,推動「被遺忘權」立法能夠加強個人資料的保護,因為這項權利的核心內容是:一旦正當理由不復存在,人們有權要求別人不再處理並刪除該些個人資料。

  「被遺忘權」雖看似簡單和直接,卻引起很大爭議,而且支持和反對的陣營各有一定理據,旗鼓相當。支持者認為,在數碼時代很有必要推動「被遺忘權」成為歐盟法規,因為大量個人資料輕易落入別人手中甚至公眾領域,並長久存放在網上,只需使用搜索引擎就輕易找出來。因此,法律必須加強對個人資料的保障,讓每個人都可以說「不」,並透過行使「被遺忘權」,自主控制個人資料,阻止一些個人資料繼續曝光。其實,「被遺忘權」並非一項嶄新的權利。在歐洲,它可追溯至法國法律傳統上賦予人民的the right to oblivion (遺忘權),即是隨著時間的消逝,一些不利於個人的往事不再被提及,用以維護個人自主和尊嚴,並讓觸犯輕微罪行的人有機會改過自新。

  然而,反對者認為 the right to oblivion本身很含糊,而現代的the right to be forgotten也不見得清晰,後者的界限和內涵難以確定。他們更害怕「被遺忘權」一旦成為法律,可用於隱瞞一些人不光彩的過去,甚至有助竄改和否認重要歷史事實,這會剝奪公眾知情權、損害公眾利益。這種擔憂在曾經歷二次大戰的歐洲尤其具說服力。至於美國,一貫強調網絡自由,對個人資料的保護向來不及歐盟嚴格,因此對歐盟推動「被遺忘權」立法很有保留,擔心會增加美國企業的營運成本。互聯網龍頭企業谷歌更極力反對「被遺忘權」,怕不利搜索引擎業務。由此可見,歐盟就「被遺忘權」立法,茲事體大,其影響廣泛而深遠,亦不只限於歐盟成員國。


歐盟就「被遺忘權」立法

  2016年4月初,歐洲議會通過General Data Protection Regulation (以下簡稱《2016年規例》),取代《1995年指令》。除少數成員國外,《2016年規例》將於兩年後直接適用於歐盟各國,毋需再經過本地立法才實施。

  《2016年規例》第十七條的標題為Right to erasure  (right to be forgotten)。這個標題經過多番修改,「被遺忘權」最終用括號放在「刪除權」後面,以表明「被遺忘權」並非全新事物,而是建基於《1995年指令》既有的「刪除權」。不過,《1995年指令》只簡略提及「刪除權」,人們很難依據有關條文要求刪除個人資料。

  相比之下,《2016年規例》第十七條詳盡得多。首先,第一款規定「資料當事人」 (data subject) 可根據條文列明的任何一個理由,要求「資料控制者」(data controller)及時刪除當事人的個人資料,而「資料控制者」亦有責任及時刪除;而一項新增的理由是:當「資料當事人」撤回同意,不許「資料控制者」繼續處理資料,而「資料控制者」又沒有其他合法理由,便必須刪除有關資料。

  第二款還規定,假若該「資料控制者」早已公開該些個人資料,則要視乎當時的科技和實施成本而採取合理步驟,包括一些技術措施,將「資料當事人」斷開連結和移除已複製個人資料的要求,告之正在處理該些個人資料的其他「資料控制者」。

  第三款則規定在五種情況下,上述第一和二款並不適用,包括處理個人資料是為了行使表達自由和資訊自由的權利、為公眾利益的理由而存檔、科學或歷史研究、統計等。換言之,第十七條詳細保障「刪除權」,以體現「被遺忘權」,也顧及反對者的憂慮,盡量減少「被遺忘權」對言論自由和資訊自由帶來的負面影響。


西班牙谷歌案(Google Spain)

  然而,有個別人士不願坐待歐盟立法和《2016年規例》的實施,希望能盡快行使「被遺忘權」。早於2010年,西班牙公民岡薩雷斯便以《1995年指令》為依據,向當地保護個人資料的規管機構AEPD投訴。岡薩雷斯曾因欠債而被政府下令拍賣資產,兩項有關公告於1998年刊登在一份報章上。十多年後,在搜索引擎輸入他的名字,仍能輕易找到該些資料。

  岡薩雷斯表示,他早就清還債項,但報社拒絕移除該些個人資料,他再聯絡谷歌要求移除相關搜索結果,亦不得要領。岡薩雷斯於是向AEPD投訴,要求下令:1) 報社移除或更改相關網頁,不再顯示他的個人資料,或使用搜索引擎工具屏蔽網頁;以及2)要求谷歌移除或屏蔽該些個人資料,不再顯示於搜索結果或連結到該份報章。

  AEPD裁定,該報章受政府部門委託合法刊登公告,因此不需移除相關網頁。至於谷歌,它的搜索引擎業務被歸類為處理個人資料的活動,受到《1995年指令》規管。AEPD表示,如搜尋得到或散播某些個人資料,有損該名人士的尊嚴和保護個人資料的權利,AEPD有權要求搜索引擎營運商不再提供該些個人資料。谷歌不服並上訴。西班牙法庭認為,有必要向歐盟法院尋求指示,釐清多個關鍵問題才正式審理案件。

  這些問題包括:1)谷歌算不算在歐盟營運?2) a)搜索引擎業務算不算處理個人資料的活動?b)根據《1995年指令》,谷歌是否被歸類為「資料控制者」?c) AEPD可否以《1995年指令》保障「反對權」(right to object)和「刪除權」(right to erasure)為理由,要求谷歌在檢索中移除第三者發佈的個人資料?d) 假若第三者合法發佈個人資料,而該些資料仍放在網上,搜索引擎可否毋需移除該些個人資料?3) 從「被遺忘權」的角度考慮「反對權」和「刪除權」的適用範圍—《1995年指令》的「反對權」和「刪除權」條文,可否擴展為第三者雖合法發表個人資料,但當「資料當事人」認為這對他不利或他想遺忘時,便有權要求搜索引擎不就該些個人資料進行檢索,使其他網絡用戶無法找到。


歐盟法院的判決

  歐盟法院於2014年5月下達判決,詳細回答上述各項問題,並得出以下的結論:谷歌在歐盟營運,被歸類為「資料控制者」,它的搜索引擎業務屬處理個人資料的活動,受到《1995年指令》規管。AEPD有權下令谷歌移除第三者發佈的個人資料,就算該些資料是合法發佈,且仍放在網上,因為《1995年指令》裡的「反對權」和「刪除權」可延伸為「被遺忘權」。

  歐盟法院認為,根據《歐盟基本權利憲章》(EU Charter of Fundamental Rights),「資料當事人」享有隱私權和保護個人資料的權利。一般而言,這兩項權利都高於搜索引擎營運者的經濟利益以及公眾透過輸入「資料當事人」名字從搜索引擎得到該些資料的利益。因此,岡薩雷斯有權要求谷歌移除或屏蔽該些敏感的個人資料,使網民日後在搜索引擎輸入岡薩雷斯的全名,也無法找到他曾欠債的公告。換言之,歐盟法院這個判決令到岡薩雷斯作為「資料當事人」,可享有  the right to delisting (現時有不同的譯名,包括「去表列權」和「除名權」,本文使用「不再顯示個人資料權」)。

  然而,「不再顯示個人資料權」不是絕對的。「資料當事人」能否行使這項權利,要視乎每宗個案的具體情況,並須權衡各項相互競爭的權益,一方是關乎「資料當事人」,包括資料性質、是否涉及私生活以及敏感程度等,另方面是關乎大眾獲取資料的權益,這會因應當事人是否擔任公職而有所變化。歐盟法院指出,一旦認定公眾獲取資料的權益較為重要,便有理由干預當事人的基本權利。


刪除權」、「被遺忘權」、「不再顯示個人資料權」

  綜上,「刪除權」、「被遺忘權」、「不再顯示個人資料權」這三項權利,儘管性質近似,但具體內容不盡相同。首先,「刪除權」早已寫在《1995年指令》,但由於條文太簡略,未足以在數碼時代保護個人資料。2016年初,歐盟終於成功為「被遺忘權」立法,加強「資料當事人」對個人資料的自主控制,包括一旦撤回同意,「資料控制者」一般要刪除該些個人資料,除非例外情況適用。兩年後,當《2016年規例》正式實施,絕大部分歐盟成員國的人們將可行使「被遺忘權」。這項權利不單可用於網絡世界,也可以用於現實生活中。

  另一邊廂,歐盟法院於2014年初搶先一步,引入「不再顯示個人資料權」,「資料當事人」有權要求搜索引擎營運商移除或屏蔽個人資料,使別人不能再透過關鍵詞找到,即使該些資料是合法發佈並將繼續放在網上,而搜索引擎營運商收到請求後,要具體審視個案的情況,權衡不同的利益,決定是否按當事人的請求屏蔽或移除相關搜索結果。


谷歌兩年來執行「不再顯示個人資料權」的情況

  根據歐盟法院的裁決,谷歌有責任審視所有行使「不再顯示個人資料權」的請求,並決定是否移除或屏蔽相關的個人資料。為此,谷歌邀請一批專家研究如何落實判決和具體審視「資料當事人」提出的請求。另方面,《1995年指令》下設的專家小組亦發出相關指引。根據谷歌公佈的數字,截至2016年5月,一共收到四十三萬多個請求,涉及一百五十多萬個網址(URL),而最多的請求依次分別來自法國、德國和英國,而社交網站Facebook 則是最受影響的網站,被谷歌移除的網址為數最多。

  谷歌這項新增的審視和移除責任,引起廣泛關注,有意見認為谷歌可能變成歐盟境內的首席內容審查官,亦有人擔心谷歌怕麻煩和避免打官司而盡量依照「資料當事人」的請求行事。不過,直到目前,谷歌公佈的數字顯示,移除的網址只佔請求總數百分之四十三。

  另一方面,就如何刪除資料,谷歌與英、法兩國的保護個人資料規管機構出現一些分歧。當中,較嚴重的是谷歌起初只願意應請求移除歐洲域名的個人資料,例如Google.co.uk和Google.fr,但拒絕移除Google.com上的相關資料,法國和英國規管當局都認為這並不徹底。2016年1月,谷歌作出讓步,改以IP地址作為主要方法核實網絡用戶的位置,如果用戶身處歐盟境內,便無法搜索到已被移除的個人資料。這個安排得到英國規管當局接納,但法國仍堅持谷歌須作全球移除,並於2016年3月處罰谷歌十萬歐元。谷歌決定上訴,估計這個爭端將持續一段日子。

  值得留意是,自歐盟法院就Google Spain 案下達判決後,陸續有人在歐盟個別成員國打官司,希望爭取更全面的「不再顯示個人資料權」。在比利時,法院應一名公民的要求,並依據該國憲法,判決搜索引擎不能再顯示該名公民牽涉一宗車禍的報道,亦下令報章移除相關的新聞檔案。該報業集團在終極上訴失敗後,批評法院判決形同改寫歷史。

下載
相關文章 / Related Articles

英國新修誹謗法述評

白淨
2013-06-14