“我们的过去就像文身一样,镌刻在我们的数字皮肤上。”——过去的数据随时可能被挖掘出来,一个人要想“被遗忘”似乎已经没有可能。
欧洲正在行动。以立法形式清理个人“数字足迹”、保障信息安全,让网络使用者拥有“被遗忘权”,这已是不少欧洲国家的共识与实践。
英国政府最近又做了一件应对数据隐私及安全的事,宣布将修改相关法律条文,让个人对自己的数据拥有更大掌控权,比如可要求“脸谱”等社交媒体平台删除一些以前发布的个人信息。此外,机构收集个人数据的过程也会被更严格地监管。
这一做法被认为是一石二鸟:一方面,英国在“脱欧”的大背景下为退出欧盟后国内法律衔接做准备,此次修法是在《数据保护通用条例》基础上,对个人信息界定、数据保护力度等方面的内容进行扩充和增强,拟定更严厉的国内法措施保护个人隐私。
另一方面,此举是为了应对日益严重的数据隐私及安全问题。今年以来,包括“全民医疗服务体系”(NHS)在内的一些英国大机构均遭受不同程度黑客袭击,这让政府在加强数据保护方面承受巨大压力,而网络上对个人数据的挖掘与滥用也早已成为众矢之的。
事实上,此次修法的基础《数据保护通用条例》特别指出“被遗忘权”:当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。
“被遗忘权”作为一种新型人权在欧洲发展已有些时日。1983年,德国立法确立了“个人数据自决权”,并在2008年又对这一权利进行扩充,保障个人数据的私密性和完整性、个人自主决定个人数据的公开和使用,成为欧洲个人信息保护的一面旗帜。
1995年,欧盟通过《个人数据保护指令》,这部在全欧实行的个人信息保护立法,涉及范围广,执行机制清晰,成为全球个人信息保护的经典。欧盟委员会正是在这份法律文件中首次提出“被遗忘权”这一新型权利,引人注目。
欧洲法院在2014年的一次司法审判中做出了有利于一家西班牙数据保护机构的判决,互联网公司被要求承担消除数据的责任,这被认为是“被遗忘权”的重大胜利。正是在那次审判后,欧洲公民申请消除个人数据的处理机制得以建立。
有专家指出,在欧洲立法保障“被遗忘权”的进程中,网络用户的诉求与国家安全战略紧密相连,共同制衡强大的数据控制者,将消弭网络时代数据主体和数据控制者的不平等。“被遗忘权”概念产生后,始终伴随争议。支持者认为,它是调整网络用户与网络公司悬殊力量的重要砝码,是对人权的及时扩充;反对者则坚称,这一权利带来“如何平衡数据保护与言论自由”的问题,在技术上也难以实现。