歐美公共政策論壇 歐美社會發展與政策

歐盟被遺忘權的概念發展─以歐盟法院Google Spain v. AEPD判決分析為中心

作者:蘇慧婕 助研究員

Release Date:2017/03/13

http://www.ea.sinica.edu.tw/Content_Forum_Page.aspx?pid=16&uid=63&cid=34&lang=c

問題緣起

  在傳統思維框架下,個人資訊的保障主要是在防止未獲當事人同意、欠缺正當事由或是逾越原始目的之必要範圍的個資處理。已合法公開言論的散布並不在管制之列。然而隨著網路永恆記憶成為現實,公開資訊逃脫了由存取成本所制約的生命週期,法學界也開始重新思考,應否擴張個資保障的範圍。

  歐盟近年來一直存在著把被遺忘權實定法化的政治嘗試,因此本文選擇以歐盟的現實脈絡為本,介紹歐盟歐盟個人資訊保護規範的演進,藉此分析歐盟法院在2014年的Google Spain v. AEPD判決中如何把被遺忘權納入現有的歐盟個資保護規範脈絡,並且進而思索被遺忘權的根本難題:如何在「隱私已死」的網路時代中重新理解並界定人格權的保障。由於法規範和管制組織架構的歧異,歐盟對於被遺忘權的認定,不能直接適用於臺灣脈絡,但在資訊社會中的人格權保障議題上,或容有參酌之處。

 

歐盟的個人資訊保障規範

  除了各個成員國的國內法規範之外,涉及個人隱私權保護的歐盟次級法規範,有1995年的《涉及個人資料處理與自由流動之個人保護指令》(下稱「個資指令」),以及2001年的《涉及歐體個資處理與個資自由流動之個人保護規則》(下稱「個資規則」)。另外,2009年里斯本條約生效之後,由於Google Spain v. AEPD判決涉及西班牙資訊保護局的行為,歐盟基本權利憲章(下稱「基本權憲章」或「憲章」)則為個人資訊保護提供了歐盟初級法層次的規範。為了配合Google Spain的案例事實,以下本節僅針對個資指令和基本權憲章進行介紹,而不及於個資規則。

一、歐體《涉及個人資料處理與自由流動之個人保護指令》

  1995年的個資指令確定了個人資訊處理的概念內涵和基本原則,可說是歐盟個資保護制度的基礎。除了「個人資訊」、「個人資訊之處理」和「資訊控制者」的概念定義之外,個資指令也確立了個資處理的基本原則和資訊主體的權利。綜而觀之,個資指令的主要規範目的,是在防止資訊控制者私自蒐集個人資訊、無限期地留存個人資訊,或進行目的之外的濫用。

二、歐盟基本權利憲章第8條

  相對於1995年的個資指令次級法,在2009年里斯本條約生效後的基本權憲章第8條,就對個人資訊提供了歐盟初級法層次的範圍,並藉此把個人資訊保障從歐洲共同市場的歐體法觀點一舉扭轉為個人的基本權利。對於歐盟基本權憲章第8條個人資訊保護權的解釋,可分別析述如下:

 1.基本權的保障領域(第8條第1項)

  歐盟基本權憲章第8條第1項「所有人皆有個人資訊保護之權利」的規定,分別指向於個人資訊保護權在人(所有人)和物(個人資訊)這兩個面向上的保障領域。

(1)人的保障領域:所有人

  本條文在文義上明確規定個資保護的權利主體是自然人,但法人是否完全不受保障,並非毫無爭議。

(2)物的保障領域:個人資訊

  參照歐體個資指令和個資規則的定義,個人資訊包含了所有涉及特定或可特定之自然人的訊息。雖然本條文所保障的是涉及(可)特定個人的資訊,但個人資訊並不必然是隱私或敏感性的資訊,所有與個人相關(如職業、所得和財產)的資訊都在保障範圍之內,公開資訊亦然。

 2.基本權的功能與干預

 (1)基本權的功能(第8條第3項)

  和他種基本權相同,個資保護的首要基本權功能是消極防禦權,其主張對象是各種歐盟機關和執行歐盟法的成員國機關。另外,憲章第8條第2項和個資指令賦予資訊主體的各項請求權,也點出了資訊保護權的程序面向。

(2)基本權的干預

  個資權的主、客觀功能面向,會決定個資權干預行為的概念射程。從防禦權的角度來看,所有個人資訊的處理都會構成對個資保護權利的干預。而所有針對個人資訊而為的處理,包含蒐集、記錄、分類、儲存、改作、檢索、使用、散布、屏蔽、移除或摧毀等在內,都屬於個人資訊的「處理」,而落入個資干預行為的概念範疇之中。此外,所有個人資訊之保護義務以及程序、制度保障的消極未實現,也同樣構成基本權的干預。

3. 基本權干預行為的正當化(第8條第2項)

  在第1項保障領域和第3項基本權制度面向的規範之間,憲章第8條第2項明定了基本權干預的正當性要件:必須有當事人同意或法定正當事由存在,並遵守誠實信用原則,個資處理的干預行為才具有正當性。進而言之,資訊主體對於正當的個資處理仍然保有知情和更正的權利。

(1) 正當目的

  依據基本權利憲章,除了當事人之同意之外,正當目的還包含「歐盟所肯認之一般利益」以及「第三人權利與自由」的保障。此外歐洲人權公約也明定了「國家與公共安全、國家之經濟福祉、秩序維護、犯罪預防、健康與道德之保護以及他人權利與自由之保障」的目的正當性。

(2) 比例原則

  針對歐盟基本權利的干預行為,歐盟基本權利憲章要求基本權的限制必須維持在追求正當目的所「適當且必要的範圍」之內,並且符合歐洲人權公約「為民主社會所必要」的界線。而在個資權的限制上,基本權憲章則特別提出了「為追求原設定目的所適當且必要」的誠信原則要求。基於歐盟法的超國家性質,各成員國在制定轉換措施時,對於基本權衝突的衡量和解決,享有一定的裁量權。

 

歐盟法院Google Spain v. AEPD判決

  本節將聚焦於歐盟法院2014年作成的Google Spain v. AEPD判決,析述歐盟法院如何在現行的個資規範架構下確立歐洲的被遺忘權後,再整體分析本案法院的立場、所遭受的批判,以及所造成的後續影響。

一、案件事實和主要爭點

  本案原告,西班牙國民Mario Costeja González,在1998年因積欠社會安全費用而被強制拍賣不動產的事件,曾兩度登上西班牙主流報紙先鋒報的新聞版面。原告在2009年11月以該報導年代久遠不具現實意義為由,向先鋒報請求移除該報導。先鋒報回覆以該報導合法,所以拒絕原告的移除請求。原告接著在2010年2月向Google的西班牙分部請求從該姓名的搜尋結果列表中移除該報導的連結。Google西班牙分部把該項請求轉呈美國加州的Google Inc.總部。同時,原告也向西班牙資訊保護局(AEPD)提出訴願,請求先鋒報和Google必須提供保護其個人資訊的措施。AEPD在2010年7月同意原告訴願有理由,要求Google Spain和Google Inc.採取必要措施,移除系爭資訊並禁止未來的資訊近用;但同時基於報導的合法性,駁回針對先鋒報的訴願。Google Spain和Google Inc.向西班牙國家法院提起訴訟。

  本案的特殊之處在於:一方面網路搜尋服務並非重新發表言論的二次報導,只是對原報導進行易於取用的定向。但另一方面,這種指向來源網站的連結並不等同於來源網站本身,刪除搜尋結果並不影響原始資訊的繼續存在,所以不必背負篡改歷史的疑慮。為了解決這種特殊爭議,西班牙國家法院請求歐盟法院針對以下三項問題進行先決裁判(preliminary ruling):

1.  歐盟和西班牙的個資保護法規是否適用於總部設在非歐盟區域的法人?

2. 搜尋引擎是否屬於個資指令中從事資訊處理的資訊控制者?

3. .可否從個資指令中的移除權、屏蔽權和異議權導出被遺忘權?

  歐盟法院對於後兩者實體爭議的論證,以下稍作整理:

二、Jääskinen佐審官的意見

  Jääskinen佐審官認為網路搜尋服務乃是單純且如實中介資訊的功能認知,從而反對把搜尋引擎定性為個資指令中的資訊「控制者」(一),並且主張憲章第8條並不保障被遺忘權的保障(二)。

(一)網路搜尋服務提供者作為資訊控制者?

  佐審官意見把涉及個人資訊的網路活動分為三類:

1.刊載個資元素於任何網頁上;

2.網路搜尋引擎提供搜尋結果,將網路使用者指引到來源網頁;

3.在網路使用者利用搜尋引擎時,將其個資自動傳送給網路搜尋引擎服務的提供者。

  本案涉及的是第二種類型。對此該意見詳細分析了搜尋引擎和個資處理的關係:Google搜尋功能的運作,是利用Googlebot持續而系統性地透過網頁間的超連結爬行於不同的網頁之間,並請求造訪網址向Google發送頁面副本(蒐集),Google把副本儲存於Google的快取記憶體(儲存)後,再使用索引功能進行資料分析(取用、分析),然後把關鍵字和搜尋字詞錄入搜尋引擎的索引(記錄)並進行關聯性的演算(組織)。其中關鍵字和含有該關鍵字之URL位址的組合,就構成搜尋引擎的索引。使用者鍵入關鍵字詞後,搜尋引擎會在索引中執行搜尋(搜尋),並將網頁副本的連結呈現在搜尋結果之中(表列) 。一旦網頁包含個人資訊,這一連串過程就屬於個資指令定義下的「個人資訊處理」。

  然而,即便肯定搜尋引擎可能從事個資處理,佐審官仍然反對搜尋引擎的資訊控制者適格。本意見書指出,在當前的科技現實之下,所有網路使用者都可能符合個資指令定義下的資訊控制者。資訊控制者的範圍應該從功能性的角度加以理解,只限於明知所處理之資訊內容和處理目的者。既然網路搜尋引擎只是具有消極中介功能的單純資訊定位工具,資訊主體就無權向網路搜尋服務提供者請求從索引中移除其個人資訊。

 (二)歐盟法對被遺忘權的保障?

基於相同的理由,該意見書也主張歐盟並不保障資訊主體的被遺忘權。

  首先,佐審官對個資指令第12條第b款和第14條第a款採取限縮解釋,主張迫使網路服務提供者放棄單純中介者角色、對第三方網頁內容進行審查的被遺忘權,將侵害內容提供者的言論自由。據此,佐審官認為憲章第7條、第8條並不包含被遺忘權的保障。

三、法院論證

  歐盟法院在本判決裡,罕見地採取了和佐審官針鋒相對的立場。法院不但肯定網路搜尋服務提供者的資訊控制者地位(一),同時也確立歐盟對於資訊主體被遺忘權的保障(二)。

(一)網路搜尋服務提供者作為資訊控制者的行為義務

1. 網路搜尋服務作為個資處理行為

  有別於Google的主張,歐盟法院認為搜尋引擎對於資訊的蒐集、取回、記錄、組織、儲存、揭露和開放使用,都在個資指令的「個資處理」概念範圍之內。

2. 網路搜尋服務提供者作為資訊控制者

  關於網路搜尋服務提供者是否為資訊控制者的問題,歐盟法院從個資指令的文義和目的兩個觀察角度得出了肯定的結論。與Jääskinen佐審官的見解相反,歐盟法院基於搜尋引擎在資訊傳播效果上的決定性地位,以及搜尋結果列表所具有的個資結構性概觀功能,肯定網路搜尋服務在網路資訊流動中的獨立地位和網路搜尋服務提供者的獨立責任。

3. 網路搜尋服務提供者的行為義務

  根據1995年的個資指令,資訊控制者的個資處理行為違反相關規定時,資訊主體有權請求資訊控制者履行一定的行為義務:例如請求更正、移除或屏蔽資訊,或提出異議。而基於網路搜尋服務在資訊流動中的重要地位,本案法院對更正、移除、屏蔽請求權的發動要件進行擴張解釋,主張資訊不完整不精確、違反誠信原則、資訊喪失身分識必要性,都可以觸發更正、移除和屏蔽資訊請求權。此外,本判決也再次強調了搜尋引擎之獨立行為義務對個資有效保障的重要意義:在內容提供者不在歐盟境內,而且內容提供者的言論受到新聞自由高度保護的情況下,資訊主體還可以透過請求移除搜尋結果中的網頁連結而有效實現其個資保護。

(二)歐盟法對被遺忘權的保障

  Google Spain v. AEPD判決最後所要處理的問題是:資訊主體能否基於個資指令第12、14條的規定,向網路搜尋服務提供者請求,從——使用其姓名為關鍵字而產生的——搜尋結果列表中移除包含真實資訊且由第三方合法公開的網頁連結?

  如同前述,歐盟法院認為「不具身分識別必要性」的個資處理也構成個資指令的違反。而就本案事實而言,系爭報導具有敏感性、發表於16年前,且此時又無重大公益存在,所以法院判定被申訴人有請求移除其姓名與該報導之搜尋連結的權利。

四、小結:判決的評析、批判和影響

(一)評 析

1.從行為人責任到個資權有效保障:權利的回歸

  抽象來說,本案的核心在於:當人格權的現實基礎變化甚至消滅時,基本權保障該何去何從。在本案的脈絡下,歐盟法院對此採取了一個關鍵立場,捨棄行為人責任的建構,直接訴諸個人資訊保護權的有效保障。換言之,Google Spain v. AEPD判決是採取「權利回歸」的路徑,對身為歐盟次級法的個資指令進行合時代之合基本權解釋的「創造性操作」,以得出(有限)被遺忘權的時代性判決。

2.搜尋引擎的獨立責任:去列表化

  基於當代個資權有效保障的思維,歐盟法院並不理所當然地將搜尋引擎的網路時代現象視為無關、無害且無辜的第三人。反之,法院肯定了搜尋引擎對於個資侵害的獨立責任,認為不論來源網頁之內容狀態如何,網路搜尋服務提供者都有義務依個資指令的規定,把系爭個資去列表化。

  由此觀之,在本案判決的脈絡之下,「被遺忘權」的用語並不精確。網路數位資訊脈絡所談的被遺忘權,其實是所有人的「訊息刪除權」。單獨針對搜尋引擎所提出的,不涉及來源網頁內容的刪除、僅僅讓它(在某些地區裡)較難被定位,從而限制系爭資訊之近用範圍與程度、提高人格分析成本的「去列表化 」權利,並不適合用「被遺忘權」來加以描述。

(二)批  判

  具有劃時代意義的Google Spain v. AEPD判決,在正面評價之外,也分別受到了理論和現實層次的抨擊。在現實面上,論者認為歐盟法院忽視或低估了本案判決對網路科技和網路經濟的衝擊,以及在判斷標準和財務成本所形成的實踐困難。就理論而言,批評者除了指出言論和資訊自由的不當侵害、內容提供者的救濟管道欠缺、情事變更時的資訊再開放程序,同時也指出,射程有限的被遺忘權,實則無法真正達到個人資訊自主的目的。

(三)影響:兼論歐盟《資訊保護一般規則》草案

  在Google Spain v. AEPD判決賦予資訊主體有針對搜尋引擎的去列表化權利之後,立刻對Google造成了明顯影響,Google持續收到大量的「被遺忘權」請求。不僅如此,基於網路經濟全球化以及多數網路巨頭設籍在美國的現實,本判決的作成就不只是在歐盟法發展上增添一筆判決先例,也同時在歐盟和美國的網路貿易戰中增添一項變數。

  而透過即將於2018年開始適用的資訊保護一般規則(下稱「一般規則」),歐盟被遺忘權對美國企業的境外衝擊,將會比Google Spain判決更形深遠:「一般規則」在第17條第1項明文承認了個人的被遺忘權或刪除請求權。該條文不但明文肯定資訊主體的被遺忘權,而且擴大資訊刪除請求權的對象,把搜尋引擎和刊載系爭個資的原始網頁都納入其中。另外,資訊控制者還負有通知第三方的義務。透過前述的資訊主體移除請求權和資訊控制者第三方通知義務,「一般規則」對於言論自由和跨大西洋資訊經濟的衝擊,將會超越Google Spain判決。為了調和未來的規範衝突,有論者就主張在歐盟端對被遺忘權進行細緻類型化,在美國端採取非立法手段的方案,以降低對言論自由的衝擊。

 

被遺忘權的是與否:網路時代的人格權想像

一、記憶和遺忘的預設倒轉:資訊權力的推移

  在網路數位記憶的時代裡,資訊快速流通和網路數位記憶永恆、無限、易於取用的現實,在經濟效率、政府決策以及民主監督等許多層面上,都具有正面的影響力。但是相同的現象也可能也可能帶來負面的長期效果,在資訊主體無知和有意之間大量流入公私部門的個人資訊,會讓資訊主體嚴重喪失對於涉己資訊的控制力,從而導致資訊權力的推移。對於網路負面訊息,資訊主體既無力消除也無法出走,遺忘和寬恕與否完全取決於資訊控制者和取得者。

  因此,在「網路永不遺忘」的現實背景下討論資訊主體的被遺忘權,其實是在「永恆的過去」和「無知的現在」之間進行價值取捨:要把科技的嶄新實然視為溝通的「自然」進程,並成為人格發展自由的應然,抑或應該修正科技實然在規範應然架構中的定位、強化「現有」的隱私權利

二、網路永恆記憶作為人格發展的現實基礎

(一)社會不應遺忘,亦無義務寬恕

  第一種立場從遺忘和寬恕的概念出發,主張人格發展自由的內涵不得建立在對網路永恆記憶此一現實的否定之上。首先,合法公開的資訊乃是集體歷史的一部分,資訊主體就不得以遺忘個人之名行強迫社會失憶之實。此外,被遺忘權的思維乃是出自對寬恕意涵的根本誤解。所以,把特定事件之記憶線索直接抹除的被遺忘權,並不是真正的寬恕,只是讓資訊主體的形象符合社會期待值的歷史篡改行為。更甚者,權利化的作法也扭曲了寬恕的本質。寬恕是一種請求,而不是權力,寬恕請求並不是法律上的權利-義務關係。根據前述思維,資訊主體必須接受並適應網路擁有完美歷史記憶的現實,其個資保護也必須如斯理解。

(二)理解並接受數位記憶的偏誤

個人應該把科技實然視為個資保護權和人格發展自由出發點的見解,意味著資訊主體必須忍受網路時代的必然缺點。

  首先,經常為人所忽略的是,網路儲存下來的並非現實世界的全貌,而只是被數位記憶所捕捉到,具有系統性偏差的的片段。另外,即使是被納入數位記憶的資訊,也可能因為去脈絡化和再脈絡化的使用而失真。不唯如此,數位記憶的永恆性抹滅了人類存在的時間面向,所以也蘊涵了扭曲的資訊理解。

  針對網路永恆記憶之內容必然存在偏差、失真和扭曲的問題,主張應然規範的論者會認為,與其妄想否定科技的進展,毋寧應該改變自身思維,去認識、理解並且接受科技現實的局限,進而調整網路社會中的行動模式。所有合法公開的資訊都是構築歷史的素材,資訊主體仍然不會因此擁有刪除資訊、篡改歷史的權利。

三、刪除作為網路時代人格權的必要成分

(一)人格發展的社會性:遺忘的必要

  有別於前項從實然出發的立場,第二種見解主張從有效保障個人資訊/人格發展自由的應然角度切入,重新思考網路服務提供者的責任,以及網路在資訊傳播架構中的定位。基於個人人格發展的社會依存性,有限度的被遺忘權乃是資訊主體在社會動態關係中重生再出發的要件之一。由此觀之,看似人類弱點的遺忘,其實是連結過去和未來、個人和社會的人類學必然,而網路「大腦」無法遺忘的「缺陷」,應該透過法律權利的手段來加以矯正。

(二)資訊價值與開放程度的浮動

  依循前段的思維脈絡,要在永不遺忘的網路時代裡有效保障人格發展自由,就必須揚棄傳統個資保護「公開資訊不受保障」的公私二分思維,重新引入資訊價值的生命週期,賦予資訊主體有事後更新或限縮該資訊開放程度的權利。

  進一步來說,在肯定被遺忘權的情況下,該權利的保障範圍會隨著資訊主體的身分和系爭資訊的內容而有所不同。在實際個案中對於衝突法益的衡量,也會隨著各該法院對於人格發展自由和言論、資訊自由的認知而異。但至少可以確定的是:基於網路對於言論自由和民主原則的特殊功能,國家絕不容許全面的「網路封鎖」。

(三)歷史的篡改?網路資訊的再定位

  有別於否定被遺忘權論者的基礎立場,被遺忘權的支持者主張從資訊傳播的體系角度去重新思考各種網路服務的意義和定位。為了在偏差、失真和扭曲的網路資訊流動中有效保障個人資訊和人格發展自由,網路上合法公開資訊的開放性就不能毫無限制。如此一來,網路就不再是把「所有」資訊「完全」開放的終極媒體、最趨近自由理念的言論場域,網路搜尋服務所呈現的資訊內容也不再能如實反映數位記憶的全貌。但至少在Google Spain v. AEPD判決的意義之下,個資開放性的縮減並不及於來源網站原始內容的刪除,從而無須背負篡改歷史的嫌疑。

 

結  論

  本文所想要探討的是:基於網路永不遺忘的科技現實,規範上應否重新省思資訊——特別是已合法公開個資——價值的時間面向?進一步來說,傳統的資訊保護奠基在公私二分的思維基礎之上,已公開的資訊不受保障。但在資訊利益隨時間降低、人格權保障需求隨時間提升時,系爭公開資訊也恰好因為資訊儲存和取用成本的現實門檻而逐漸淡出社會視野之外,為世人所遺忘。但網路永恆記憶的產生顛覆了長久以來的現實條件,和人格權的保障需求出現落差,所以即有必要深入討論這項因科技現實變遷所帶來的規範問題。

  從歐體個資指令的規範觀點來看,雖然Google Spain v. AEPD判決在歐盟次級法的釋義操作上不無可資商榷之處,但大致上仍然承續了內國和歐洲人權法院之判決先例,對於「網路搜尋服務提供者之基本權意義」以及「資訊自主v.資訊自由的保障優位性」這兩個問題作出明確表態。從本判決對於有限度被遺忘權(精確來說,應是去列表化權)的承認可以看出,當科技發展無可避免地引發言論、資訊自由以及個資、人格權保障的激烈衝突時,歐盟法院依然選擇對個資保護權提供高度保障。反映在這種保障優位性選擇之中的,是歐洲法對於人格權的想像,以及——從中導引出的——對於遺忘必要性的認知。歐盟法院以尊嚴和隱私為出發點的價值設定,和高度尊崇言論自由價值的美國法之間存在著相當的矛盾。所以多數設籍於美國的網路巨頭,將如何在全球化的資訊經濟體系下發展出相應的商業模式,亦是我國未來在立法上應予關注的議題。

 

(本文主要整理自作者下篇論文而成:蘇慧婕 (2016)。〈歐盟被遺忘權的概念發展── 以歐盟法院Google Spain v. AEPD判決分析為中心〉,憲政時代,第41卷第4期,頁273-317。)

  • 迴響(0)
  • 人氣(6289)

迴響列表(0)
給個迴響
  • 姓名:

  • 電子郵件:

  • 個人網頁:

  • 留言內容:

  • 驗證碼:

    點擊更新
回到最上面