1、论网络信息时代的“被遗忘权”以欧盟个人数据保护改革为视角 伍艳 华南农业大学人文法学学院 摘 要: 伴随着新信息技术的广泛应用, 滥用个人数据的现象频繁出现, 如何合理利用和有效保护个人数据已成为全社会关注的热点。“被遗忘权” (又称“数据删除权”) 作为 2012 年欧盟数据保护法改革的重点之一备受各方的关注和争议。探讨“被遗忘权”的具体内容和争议焦点, 对构建我国个人数据保护法中的删除权有重要借鉴意义。关键词: 欧盟数据保护改革; 个人数据; 被遗忘权; 删除权; 作者简介:伍艳, 华南农业大学, 讲师, 研究方向:个人信息保护法、国际经济法。收稿日期:2013-03-30Received
2、: 2013-03-301“被遗忘权”的概念和构成个人数据保护问题随着新信息时代的来临日渐突出。针对层出不穷的个人数据泄露和滥用事件, 2012 年 1 月 25 日欧盟委员会公布关于涉及个人数据处理的个人保护以及此类数据自由流动的第 2012/72、73 号草案 (下简称2012年欧盟草案) , 拟对实施了近 17 年的关于涉及个人数据处理的个人保护以及此类数据自由流动的第 95/46/EC 号指令 (下简称1995 年欧盟指令) 进行修订。2012 年欧盟草案中最具争议性的议案是提出数据主体应享有“被遗忘的权利” (right to be forgotten1) 。“被遗忘权”, 又称为“
3、删除权” (right to erasure) , 指数据主体有权要求数据控制者永久删除有关数据主体的个人数据, 有权被互联网所遗忘, 除非数据的保留有合法的理由。这意味着, 只要用户想终止或避免自己的个人数据在互联网或其他领域被使用、传播或泄露, 就有权要求数据收集方和使用方彻底删除其数据, 但这项权利并非绝对的权利, 不能践踏言论自由和损害公共利益等。“被遗忘权”的提出是欧盟数据保护法改革的一大亮点, 2012 年欧盟草案对被遗忘权的构成进行了较为详细的阐述。1.1“被遗忘权”的权利主体被遗忘权的权利主体是数据主体。1995 年欧盟指令和2012 年欧盟草案均规定, 数据主体是指身份已被识
4、别或身份可被识别的自然人, 但对于“身份可被识别的人”的界定, 2012 年欧盟草案对1995 年欧盟指令进行了扩展。1995 年欧盟指令第 2 条第 a 款规定, 身份可被识别的人是指其身份可以直接或间接, 特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确定的自然人。而2012 年欧盟草案第 4 条第 1 款在可以确认数据主体身份的因素类型中明确增加了“定位数据” (location data) 和“网上标识” (online identifier) 两项。这种界定的扩展的目的在于反映互联网技术发展的要求。“当使用在线服务时, 个人可与他们的信息
5、设备 (如智能手机或计算机) 、应用软件、工具和协议所提供的网上标识符 (如互联网协议地址或者 cookie 标识符) 发生关联。”11.2“被遗忘权”的客体“被遗忘权”的客体是个人数据。根据2012 年欧盟草案第 4 条第 2 款的规定, 个人数据是指与数据主体相关的任何信息。理解这个概念, 最关键在于, 能成为“个人数据”的信息必须与“身份已被识别或身份可被识别的自然人” (即特定的自然人) 相匹配起来。这是个非常宽泛的定义, 从表现形式看, 个人数据不仅可以是数字、文字, 还可能是图像、声音等信息;从数据内容上看, 个人数据不只是个人生活数据, 还包括了与经济、职业、社会地位等相关的数据
6、;从是否公开来看, 个人数据包括了已公开的信息和未公开的信息;从数据来源看, 个人数据不仅包括数据主体自己提供的数据, 也包括其他人提供的关于数据主体的任何信息;从数据的准确性来看, 个人数据包括与数据主体相关的准确或不准确的所有信息;从数据性质看, 作为“被遗忘权”客体的个人数据既包括一般数据, 也包括敏感数据。1.3“被遗忘权”的义务主体“被遗忘权”的义务主体是数据控制者。数据控制者 (data controller) , 指单独或者与他人共同确定个人数据处理的目的、条件和方法的自然人或法人、政府机构或其他机构。关于这个定义需要注意以下几点。首先, 数据控制者是信息处理的决定者。凡不能决定
7、数据处理的目的、条件或方式, 但参与了个人数据处理的个人或机构通常被认为是数据控制者的代理人, 而非数据控制者本身。其次, 1995 年欧盟指令和2012 年欧盟草案所建立的数据保护规则适用于私人 (或商业) 生活以及公共事务的一切领域。因此, 数据控制者包括了私人性质的控制者和行使国家权力的数据控制者。第三, 所有面向欧盟消费者的数据控制者都应遵守欧盟数据保护规则, 不管数据控制者的服务器是否设在欧盟境内。2这意味着无论美国的谷歌还是中国的阿里巴巴, 只要为欧盟用户提供产品或服务, 就必须尊重用户的“被遗忘权”。1.4“被遗忘权”的具体权利义务按照2012 年欧盟草案的规定, 数据主体不但有
8、权要求数据控制者删除控制者直接控制的数据信息, 还有权要求数据控制者删除经第三方转载、复制后的所有数据。2012 年欧盟草案第 17 条第 2 款规定, 已经公开了该个人数据的数据控制者采取一切合理的措施, 包括技术性的手段, 通知正在处理这些数据的第三方删除关于这些数据的任何连接、副本或复制。如果第三方当初公开个人数据是得到数据控制者授权的话, 则控制者需对该数据的公开负责。同时, 数据控制者应建立和执行时限机制以确保及时删除个人信息和定期审查数据保留的必要性。1.5 行使“被遗忘权”的情形与例外2012 年欧盟草案第 17 条第 1 款规定, 当出现下列情形之一, 数据主体有权要求数据控制
9、者删除有关数据主体的个人数据, 避免这些数据进一步传播: (1) 当这些数据不再与数据收集和其他处理的目的有关时; (2) 数据主体撤回数据处理的同意时, 或者当同意的保留期限已满, 而且处理数据没有其他合法依据; (3) 数据主体反对处理其个人数据时; (4) 数据处理与2012 年欧盟草案不符的其他情形。与此同时, 2012 年欧盟草案第 17 条第 3 款规定, 行使被遗忘权的例外情形, “数据控制者应毫不迟疑地删除数据, 除非数据保留符合以下情形之一: (1) 专为新闻的、艺术的或文学的表达所必需的; (2) 在公共健康方面基于公众利益所必需的; (3) 基于历史的、统计的或科学研究的
10、目的所必需的; (4) 遵守欧盟或成员国法律中的法定义务所必需的; (5) 限制数据处理的情形。所谓限制数据处理, 是指除了对数据进行单纯保存外, 只能以出于作为证据的目的, 或出于公共利益的目的, 或经数据主体的同意, 或出于为了保护另一个自然人或法人的权利的目的进行有限处理。2012 年欧盟草案第 17 条第 4 款规定了限制数据处理的情形: (1) 当数据主体对数据的准确性提出异议, 数据控制者需要一定时间以证明数据准确性的情形; (2) 尽管数据控制者为完成特定任务已不再需要该个人数据, 但出于证据保存的目的必须保留该数据的情形; (3) 当数据被非法处理, 数据主体反对删除数据而要求
11、限制数据使用的情形 (如数据主体要求保留被非法处理的数据以作为证据) ; (4) 数据主体要求将数据传输到另一个自动处理系统的情形。2012 年欧盟草案第 17 条第 6 款进一步明确数据控制者应在限制处理前告知数据主体。值得注意的是, 如果数据控制器需要保留数据就必须证明保留数据的必要性, 即证明存在上述例外情形之一, 而不是由数据主体来举证数据的保留没有必要。31.6 侵犯“被遗忘权”的法律责任2012 年欧盟草案第 79 条第 5 款规定了侵犯被遗忘权所承担的行政责任。如果数据控制者没有按照第 17 条的规定删除相关个人数据, 或者没有落实机制保证遵守时限, 或者没有采取所有必要的措施来
12、告知第三方数据主体要求其删除个人数据的所有链接、副本或复制, 并存在主观上的故意或过失的, 监管机构可对数据控制者课以最高 50 万欧元的处罚;如果数据控制者是企业的话, 则可能面临该企业全球年营业额的 1%的罚款。2“被遗忘权”的评论“被遗忘权”的提出在欧盟和美国之间引发了巨大的争议和激烈的辩论, 支持者认为确立“被遗忘权”有利于保护隐私;而反对者则认为会损害言论自由、阻碍公共信息传播, 并严重伤害信息经济的商业活力, 争议的背后反映着利益矛盾和立法取向的冲突。2.1“被遗忘权”的意义和实践作为 2012 年欧盟数据保护法改革的亮点和重点之一, 被遗忘权被欧盟区国家 (除英国外) 寄予厚望。
13、支持的观点认为在社交媒体和云计算无处不在的时代里, 被遗忘权有利于强化隐私的保护。民调显示, 高达 75%的欧洲民众愿意选择删除他们留在网上的个人数据。4同时, 被遗忘权对保护未成年人权益尤为重要。未成年人是社会中最脆弱的成员, 但其使用社交网站的现象却十分普遍, 他们在披露个人数据时往往并不十分清楚可能带来的风险。因此, 未成年人应当有机会删除过往留下的信息以保护自己的声誉, 孩子的隐私不应该成为数字经济的货币。再者, 被遗忘权有利于增加民众对数字经济的信任, 从而刺激经济增长。数据是数字经济的货币, 正如真正的货币, 数据这种货币也需要稳定性和信心。只有当消费者相信能掌握自己的数据, 他们
14、才会继续接受网上服务。但目前超过 72%的欧洲民众对于企业如何使用自己的个人数据心存忧虑。5对隐私的担忧使很多人将在线消费拒之门外, 严重阻碍数字经济的扩容。如果说被遗忘权在欧盟议会还只是立法提案的话, 那么阿根廷和西班牙则已经开始了关于被遗忘权的司法实践。2011 年 4 月, 西班牙数据保护当局以“被遗忘权”为由下令谷歌在一个月内删除关于 90 名原告在互联网上的相关链接。6而在阿根廷, 超过 130 个个案裁定搜索引擎删除或限制相关个人数据。7最早的个案涉及一位名为弗吉尼亚达库尼亚 (Virginia da Cunha) 的阿根廷流行歌手。该歌手曾在网上发布了自己的不雅照片, 随后她认为
15、这些照片有损她的尊严, 并向法院主张被遗忘的权利。法院支持了她的主张, 判决谷歌和雅虎支付 5 万比索的赔偿, 并删除在谷歌阿根廷和雅虎阿根廷上的所有这些图片的链接以及原告的名字。82.2“被遗忘权”的负面影响在过去的几年里, “被遗忘权”在欧洲经过了激烈的辩论, 并最终编入 2012 年数据保护草案。但争论并未因此而停止, 反而引起更大范围的质疑, 特别是来自美国方面反对的声音, 认为确立被遗忘权如同打开潘多拉的盒子, 其带来的负面影响远大于其存在价值。首先, 被遗忘权损害言论自由。谷歌首席隐私顾问彼得弗莱舍指出, 尽管2012 年欧盟草案提出“专为新闻、艺术或文学的目的的自由表达”可成为行
16、使被遗忘权的例外, 但2012 年欧盟草案对该例外的界定过于模糊。这会导致当数据主体要求互联网公司删除信息, 互联网公司在决定是否删除时实际上充当了审判官的角色, 而不再是一个中立的平台。9同时, 由于害怕面临巨额罚款或起诉, 互联网公司很可能会不得不大量删除本该公开的信息, 特别是在判断模棱两可的情况下。强制性的“被遗忘权”将导致大规模的互联网审查, 产生严重的寒蝉效应。其次, 被遗忘权阻碍数字经济的发展。谷歌律师希门尼斯认为, 被遗忘权的遵约成本非常高, 要求数据控制者删除数据的所有链接和副本 (特别是经第三方转载、链接的数据) 几乎是不可能的, 被遗忘权只是欧盟对所有企业持有电子客户记录
17、的额外税收。同时, 在数字经济环境下公司和营销机构依靠数据来定位客户, 允许用户删除数据, 其商业优势不复存在。更有学者认为, 欧盟提出的被遗忘权旨在对抗美国的爱国者法案, 并扶持欧盟的互联网企业, 人为制造贸易领域的“数据保护壁垒”。美国商务部已向欧盟提交了长达 15 页的抗议书, 认为被遗忘权的实施将有碍商业的操作性, 而无意强化消费者的隐私保护。第三, 被遗忘权会导致研究数据丢失、历史数据被删除。社交媒体的研究和历史价值正在被挖掘, 社交用户生成的内容已经成为研究历史的丰富源材料。美国国会图书馆在 2010 年收购了整个 Twitter 存档作为研究数据。纽约时报报道语言学家使用 Twi
18、tter 的数据来分析美式英语的地域分布;研究人员通过Ok Cupid (在线约会网站) 数据分析黑人妇女在与陌生人初次联系中的受认可度。10许多分析家担心, 被遗忘权不利于科研与历史数据的保留。第四, 被遗忘权不利于打击犯罪, 维护社会安全。英国司法大臣肯克拉克警告, 承认被遗忘权的合法性将会影响政府打击恐怖主义及严重罪行的力度。数据的储存是有效掌握恐怖主义分子与重大犯罪人的行踪以及取证的重要工具, 在当今非常复杂的国际社会环境下, 被遗忘权将会削弱政府的执法能力。2.3 小结围绕“被遗忘权”的争论与质疑反映了在个人数据保护问题上的若干分歧和冲突。一是欧盟与美国关于数据保护在传统观念、监管模
19、式乃至国家利益方面的分歧。从历史观念上看, 欧洲数据保护法根源于欧洲人对国家监控个人数据的恐惧。许多欧洲人认为, 二战期间的国家登记系统为纳粹的屠杀提供了便利, 因为通过该系统, 政府掌握了公民的广泛的个人数据。因而在今天的欧洲各国, 个人数据保护被普遍认为是欧洲人的一项基本人权。而在美国的法律传统中, 在隐私保护和言论自由之间作抉择的时候, 其政策更倾向于言论与信息的自由。8从监管模式上看, 美国采取以行业自律为主导的数据保护模式。这是由于美国在经济方面, 特别对于新兴的产业 (如网络经济及电子商务) 一直倾向自由放任的政策。而欧盟法律以成文法为传统, 倾向于制定完善的法律体系来规范经济行为
20、。从国家利益层面上看, 美国拥有一大批互联网商业巨头, 在全球信息经济中占有绝对优势;同时美国还积极通过互联网掌握其他国家用户的个人数据甚至国家机密以巩固其世界霸权。而欧盟电子商务的发展慢于美国, 同时也受到美国网络霸权的威胁, 基于国家安全与经济发展的考虑, 欧盟率先制定个人数据保护的一系列法律法规, 并希望将这些规范上升为全球标准, 以此赶超美国。11二是个人数据保护中若干立法价值取向的冲突。法的价值冲突源于利益主体的多元性、社会需要的多层次性。从质疑被遗忘权的观点可知, 在个人数据保护法的价值体系中, 数据保护与言论自由、数据保护与经济发展、数据保护与科研历史、数据保护与公共安全之间的冲
21、突表现得最为突出。如何在这些不同立法需求之间取得适当的平衡是决定立法质量的关键。客观而言, 2012 年欧盟草案对被遗忘权的构架并非没有在价值冲突中努力寻找平衡。例如, 第 17 条第 3 款就规定了数据删除的例外情形, 除了规定为新闻艺术文学表达、公共健康以及历史统计科研目的可以保留数据外, 还设置了兜底性的条款 (即“为遵守欧盟或成员国法律中的强制性义务可以保留数据”) , 以满足不同成员国不同的国情需求。同时, 第 2 条第 2 款还规定了该草案 (包括被遗忘权的规定) 不适用于与国家安全、刑事领域有关的数据处理活动。我们不仅会问, “被遗忘权”为何仍受到如此多的质疑。如果剔除掉欧美两大
22、经济体国家利益较量的因素, 单纯从草案的条文来看, 不难发现2012 年欧盟草案对例外情形的规定比较模糊, 对涉及的关键词 (如“新闻”、“艺术”、“科研”等) 没有进一步明确的界定, 兜底性的规定虽然照顾了各成员国的国情, 但在实践中却增大了法律适用的不确定性。在不同的法律传统的背景下, 这种不确定性所带来的不可预测性引发行业和学界的担忧乃至恐慌。“被遗忘权”要想在数据保护领域成功发挥作用还需要更多、更谨慎的思考, 其中之一就是如何在各价值冲突中设置相对确定的、适当的平衡点。3“被遗忘权”对我国立法的启示目前我国涉及个人数据保护的法律法规内容分散、层次整体偏低, 缺乏一部专门针对个人数据保护
23、的基本立法。但是我国的社会科研机构和相关部门在多年前已开始对个人数据保护问题展开研究, 并取得了较为成熟的研究成果, 如齐爱民教授编著的中华人民共和国个人信息保护法示范法草案 (学者建议稿) (下简称学者建议稿) 以及 2013 年 2 月 1 日正式实施的信息安全技术、公共及商用服务信息系统个人信息保护指南 (下称指南) 。学者建议稿第 19 条对个人数据的删除问题作了规定, 而指南更将“数据删除”作为个人数据处理的四个关键环节之一。由此可推断, 在我国正在进行的个人数据专门立法中, 数据删除权将是不容回避的问题。因此, 下面将结合2012 年欧盟草案以及我国上述两个示范文本的经验和不足,
24、提出我国设立数据删除权需注意的几大问题。3.1 关于行使数据删除权的条件总体而言, 我国目前的示范文本对行使数据删除权的条件规定较为简单。指南第 5.4.4 条规定, 个人信息主体有正当理由要求删除其个人信息时, 个人信息管理者应及时删除。至于何为正当理由, 指南无进一步规定, 容易造成适用上的混乱。学者建议稿第 19 条第 1 款规定, 有以下情形之一的, 数据应当被删除: (1) 非法储存的; (2) 信息处理主体执行职责已无知悉该个人信息的必要的。对于该条规定, 笔者认为, 对数据主体可以行使删除权的条件规定得过窄。首先, 关于“非法储存”。根据学者建议稿的规定, “储存”仅是“数据处理
25、”的其中一种方式, 仅指个人数据收集后被保存于磁带、卡片、硬盘、纸张或其他媒介之上的保存行为, 不包括数据的收集、编辑、变更、检索、传输、封锁以及其他操作。因此, 非法储存的表述无法涵盖其他非法处理数据的行为, 界定范围过窄, 因此, 建议将该项修改成一项兜底性的条款, 即“与本法不符的其他数据处理行为”。其次, 对于数据主体撤回数据处理的同意或反对处理数据的情形缺乏规定。建议借鉴2012 年欧盟草案, 明确规定行使数据删除权的条件, 增加“数据主体撤回数据处理的同意或反对数据处理时, 或者同意的保留期限已满, 而且处理数据没有其他合法依据, 数据应当被删除”的规定。3.2 关于行使数据删除权
26、的例外关于行使数据删除权的例外, 指南仅第 5.5.1 条规定“删除个人信息可能会影响执法机构调查取证时, 采取适当的存储和屏蔽措施”。其例外情形的范围明显过窄。而学者建议稿对行使数据删除权的规定较为详细。学者建议稿第 19 条第 3 款规定, 有以下情形之一的, 应当以封锁代替删除: (1) 因法律法规规定的或合同约定的保管期限, 不得删除的; (2) 有理由认为删除将损害信息主体 (即数据主体) 的合法利益的; (3) 因储存方式特殊不能删除或需要过多费用才能删除的; (4) 根据个人性质不宜删除的; (5) 信息主体对个人信息的正确性有争议, 而无法确认其正确与否的, 应当予于封锁。尽管
27、学者建议稿对例外情形的规定比较细致, 但仍存在以下不足:第 (4) 种的例外情形中的“个人性质”缺乏进一步的明确, 容易导致操作性不强;缺乏对个人数据保护法中若干价值取向冲突的充分思考, 没有考虑言论自由、科研历史、公共安全等因素对于数据删除权的限制。2012 年欧盟草案对被遗忘权的例外规定, 虽然已考虑到了数据保护与言论自由、数据保护与经济发展、数据保护与科研历史、数据保护与公共安全之间的价值冲突问题, 但由于对关键词缺乏明确界定、具体的实施细则尚未出台等原因导致各价值冲突的平衡点仍难以确定从而引发担忧和争议。因此, 笔者认为, 在我国个人数据专门立法中规定行使数据删除权的例外情形时, 应充
28、分考虑如何在各价值冲突中设置适当的平衡点。尽管权利之间的边界不可能绝对的泾渭分明, 但是以一般规则引导利益衡量, 并借助个案平衡的方式, 或许是在各价值冲突间设置相对确定的平衡点的有益尝试。“数据保护不只是为个人设定一项权利, 而更旨在构建一个平衡个人与社会整体利益的法律框架。”12因此, 在个人数据保护法的价值体系中, 数据保护与言论自由、数据保护与经济发展、数据保护与科研历史、数据保护与公共安全之间的冲突都可归结于“个体利益”与“公共利益”的关系上。按照庞德的观点, 被法律所保护利益可以进行层次划分与位阶排序, 具有可共享性与受益主体广泛性等特征的公共利益较之于私益应适当受到偏重保护。13
29、因此, 在确立利益平衡的一般规则时可遵循以下的原则:科研历史、公共安全属于公益的范畴, 应优先于数据主体对其信息的控制权 (如数据删除权) 。而言论自由则需视情况而言。如果是为新闻目的的言论需要借助个案分析:若新闻内容涉及公共利益, 则该新闻言论属于公益范畴, 优先于数据主体的数据删除权;若新闻内容不涉及公共利益, 则该新闻言论属于私益范畴;而对于从事文学艺术创作的言论, 由于其直接目的在于实现创造者自我价值, 因此虽然可间接影响公益但仍属于私益范畴。另外, 涉及经济发展的商业利益, 在促进就业进而稳定社会方面似乎与公共利益交织于一体, 但商业利益与公共利益仍然是有界限的, 商业利益由于不具备
30、公共利益所特有的“不为特定人获取利益的共享性”以及“非营利性”的特征, 仍属于私益范畴。因此, 不涉及公共利益的新闻言论、文学艺术言论和商业利益与数据主体的数据删除权均属于私益范畴, 可依私法 (民法) 的原则和规范调整彼此的关系。3.3 关于经第三方复制、链接的数据副本的删除问题关于经第三方复制、链接的数据副本的删除问题, 指南学者建议稿均未涉及;而2012 年欧盟草案虽有涉及, 但因规定的较为简单且模糊导致较大的争议。实践中经第三方公开有关数据主体的数据并对数据主体造成影响的情况比较普遍, 比如某人在自己的新浪微博上上传了自己的照片, 而其他一些微博用户在自己微博上转发了这些照片, 现在该
31、人能否有权要求新浪删除其他微博用户上转发的这些照片呢?新浪是否有权直接删除在其他微博用户上转发的这些照片?因此, 笔者认为, 我国立法应对此类问题作出具体的回应。首先, 应明确当数据主体要求删除经第三方复制、链接的数据副本时, 数据控制者的具体义务主要有两项;一是通知义务, 即数据控制者应及时通知第三方, 数据主体要求其删除数据;二是删除义务, 即数据控制者通过技术手段删除由第三方直接控制的数据。其次, 明确数据控制者承担通知和 (或) 删除义务的前提条件或限制条件。一是只有当第三方是经过数据控制者的授权才得以复制、链接、公开相关数据的情况下, 数据控制者才负有通知和 (或) 删除的义务;二是
32、明确数据控制者履行其通知和 (或) 删除义务是以技术可行和成本合理为限;三是明确规定数据控制者的删除义务只有在下列情况之一才需要承担: (1) 数据控制者与第三方约定, 数据控制者有权删除由第三方直接控制的数据; (2) 依据数据保护当局的决定。当数据控制者与第三方没有约定或约定不明时, 数据主体或数据控制者有权申请数据保护当局做出删除由第三方直接控制的数据的裁决, 依据数据保护当局的裁决, 数据控制者可以直接删除第三方复制、链接、公开的数据。3.4 关于举证问题关于数据删除权的举证问题, 指南学者建议稿亦未涉及。笔者建议借鉴2012 年欧盟草案, 采用举证责任倒置的方式, 规定由数据控制者负
33、有证明保留数据有合法理由的责任。因为与数据主体相比, 数据控制者具有技术上、信息控制上以及经济上的优势, 并在收集、调查、提供证据方面享有便利条件, 同时数据控制者通常是数据处理的最大获益者, 因此, 由数据控制者负举证责任符合公平原则。参考文献1European Commission.Proposal for a regulation of the Eupopean Parliamentand of the Councilon the protection of individuals with regard to the processing of personal data and on
34、 the free movement of such dataEB/OL. (2012-01-25) .http:/ec.europa.eu/justice/data-pro tection/document/review2012/com_2012_11_en.pdf. 2VivianeReding.Yourdata, yourrights:safeguarding your privacy in a connected world BrusselsEB/OL. (2011-03-16) .http:/europa.eu/rapid/press Releases Action.do?refer
35、ence=SPEECH/11/183. 3European Commission.How will the dataprotection reform affectsocial networks?EB/OL. (2012-01-25) .http:/ec.europa.eu/justice/data-protection/document/review2012/factsheets/3_en.pdf. 4European Commission.Data Protection:Europeans share data online, but privacy concerns remain new
36、 surveyEB/OL. (2012-06-16) .http:/europa.eu/rapid/pressReleasesAction.do?reference=IP/11/742但对于个人敏感数据, 则需要建立在明示同意的基础上 (即在收集和利用之前, 必须首先获得个人信息主体明确的授权) 。2012 年数据保护草案修订为, 无论一般数据还是敏感数据的处理都必须建立在明示同意的基础上。 ()“谷歌教育应用软件” (Google Apps for Education) 的系统已经为美国3000 多所学校免费采用, 但是正如谷歌的政策所表明的, 谷歌有意将学生校内活动的数据与该公司其他所有数
37、字服务的数据进行集成, 并且永久性地利用这些数据赚钱。这意味着学校接受了基于云的信息服务的短期价值, 而这项服务得到用户数据长期货币化的补贴。 ()美国爱国者法案 (USA PATRIOT Act 2001) , 2001 年 10 月 26 日签署颁布。该法案以防止恐怖主义的目的扩张美国当局对个人信息搜查的权限。根据该法案, 任何一家美国公司, 不论是谷歌、微软、亚马逊、苹果或任何其他服务供应商, 有义务将其欧洲用户的信息交由美国情报机构检查。 ()目前美国除了在涉及政府机关及某些如儿童信息、医疗档案以及金融数据高度敏感的领域进行立法保护外, 并没有设定个人数据保护最低要求的综合性联邦法律。 ()使用“个人数据”概念的以欧盟及其成员国为主;在日本、韩国、俄罗斯等国, 则使用个人信息的提法。目前我国相关立法和示范法均采用“个人信息”一词。为保证文中用语的连贯性, 除了直接引述我国相关规范的名称或条文外, 均采用个人数据这一表述。 ()“数据删除权”与“被遗忘权”两个概念本质相同。目前我国相关立法和示范文本均采用“删除”一词, 因此, 在论述我国立法建议部分, 采用数据删除权替代被遗忘权的表述。
