信息隐私保护制度研究：平台责任

与搜索引擎相关的信息隐私纠纷，大都是源于个人信息在互联网上的长期滞留。这种滞留就像是一枚定时炸弹，随时可能引发个人信息的泄露。也正是这种滞留，为其他有意识的信息利用提供了充足的信息源，是各种信息利用活动的基础。于是，谁来删除这些信息，按照什么样的标准来删除，就成为追求“被遗忘权”的人们迫切想要找到的答案。在发生于2014年的“谷歌诉西班牙数据保护局案”中，欧洲法院揭示了谷歌服务中的信息编辑活动和广告运营模式，指出搜索引擎在信息控制中的权力，并针对这种权力的限制确立了“直接责任原则”，在一定程度上构建了互联网信息平台的权力界限。

2014年5月13日，位于卢森堡的欧洲法院对“谷歌诉西班牙数据保护局案”（以下简称谷歌案）做出判决^[18]，认定谷歌作为“数据控制者”在事实上实施了“数据处理”活动，要求由谷歌直接承担删除所涉个人数据的责任。尽管谷歌方面提出了诸如“转载无责”

“自动操作无控制”以及总公司设立地不在欧盟范围内等抗辩，但欧洲法院对此逐一进行了驳斥，并判令谷歌独立承担信息删除责任。

在键盘上敲入某人的姓名便可得到一连串档案清单的现象已不陌生。在搜索引擎被广泛利用的时代，对个人隐私的保护正变得越来越脆弱，如果说无数存储器中保存的海量信息是一个无边无际的信息库，那么搜索引擎就是指引人们精准定位某一个人的有效工具。长期遭受这种隐私侵犯的人们，正在愤怒与不安中寻求出路，西班牙公民冈萨雷斯就是将这种寻求付诸行动的代表。

1.信息主体向行政机关投诉媒体和搜索引擎

2010年3月5日，冈萨雷斯向西班牙数据保护局（简称AEPD）投诉了当地一家发行量较大的新闻媒体（西班牙文：La Vanguardia Ediciones SL，以下称《先锋报》）和谷歌的西班牙公司（以下简称谷歌西班牙）及其位于美国的母公司谷歌公司。投诉事件是当互联网用户在谷歌的搜索引擎中键入冈萨雷斯的名字后，将获得《先锋报》网页的链接，而这些网页上刊登着若干年前冈萨雷斯因债务问题导致房产被拍卖的信息。他首先要求媒体删除或变更那些网页以使自己的个人信息不再出现，或者采用针对搜索引擎的技术手段来保护个人信息；接着他要求谷歌西班牙及谷歌公司删除或隐藏相关个人信息以保证它们不再出现在搜索结果中，也不再出现在通向那家媒体的链接中。冈萨雷斯认为那份拍卖公告已经过去很多年了，这件事情现在与他“不再相关”。

作为信息主体的冈萨雷斯在一开始并没有把握让谷歌公司承担主要责任，而是根据既有经验沿袭了传统的做法，即把媒体放在主要侵权者的位置，从他的投诉中可以看出这位受害者认为媒体的信息刊发及保存行为是其遭受侵犯的根源。然而，在西班牙数据保护局于2010年7月30日做出的决定中，出现了对各方来说皆有些意外的变化。这一次，西班牙数据保护局驳回了冈萨雷斯对《先锋报》网站的投诉请求，因为西班牙数据保护局认为该媒体当时的新闻信息刊发行为是基于该国劳动与社会事务部的规定做出的，刊发是为了对尽可能多的投标者提供最大化的信息披露，所以媒体的行为是合法的，所以媒体在此无须承担责任。但谷歌的情况并不乐观，西班牙数据保护局支持了冈萨雷斯对谷歌西班牙以及谷歌公司的投诉请求。西班牙数据保护局认为谷歌公司作为信息社会中的“中介商”对个人数据进行了“处理”，而且谷歌公司因定位和传播个人数据而确有撤回个人数据以及保护接触特定数据之渠道的责任，所以谷歌公司应该负有保护那些数据和个人尊严的责任。西班牙数据保护局还进一步指出，如果刊发在第三者网站上的相关信息是于法有据的，那么引擎服务商（以下简称引擎商）的责任与第三方是否在其网站上删除信息无关。

责任顺序的重置立刻激起谷歌方面的强烈反应，他们将西班牙数据保护局和冈萨雷斯一起诉至西班牙国家高等法院（National High Court，以下简称西班牙法院），反对西班牙数据保护局的上述决定。这的确是一件颇有争议的案件，西班牙法院并没有独自审理此案，而是向欧洲法院提交了一系列尚待确定的问题，从而把引擎商在个人数据之诉中的责任认定问题摆在了欧盟最高司法机关的面前。

2.西班牙法院提请欧洲法院先行审理

西班牙法院指出：“当发表在第三方网站上的信息包含个人数据，而信息主体不愿这些信息被任意链接、定位、指引和呈现给互联网用户时，引擎商对保护相关个人数据负有何种责任这一问题，取决于如何在新技术背景下解释欧盟95指令的内容。”这是对案件审理之关键问题的准确归纳，围绕这一问题，西班牙法院提请欧洲法院针对几个具体问题做出先行审理，包括：

第一，关于（欧盟）成员国法律的适用问题。如何解释欧盟95指令中的“建立地”（establishment）、“控制者（controller）”“设备所在地”标准以及特殊信息条款？

第二，关于谷歌行为的法律性质问题。如谷歌的行为是否构成指令中的“处理”（processing）？谷歌是不是指令中的数据“控制者”？西班牙数据保护局可否依据指令中的权利条款直接要求谷歌从引擎中撤回已经在第三方网站上发表的信息而不用提前或同时联系存有信息的网站？当包含个人数据的信息在第三方网站上合法发表并保存于这些原始网站时，可否免除搜索引擎关于保护个人基本权利的责任？

第三，关于个人是否拥有“被遗忘权”的问题。当个人在认为互联网用户通过搜索引擎获知那些个人信息有失公正或仅仅希望那些信息被遗忘时，即使争议信息已经在第三方合法发表，是否仍然应当对指令中的权利条款做延伸性解释，使个人有权直接要求引擎商禁止他人通过搜索引擎获得那些发表在第三方网站上的个人信息？

欧洲法院并没有完全按照西班牙法院“先程序后实体”的提问顺序进行解答，而是将重点放在如何在搜索引擎这一新技术背景下对欧盟95指令进行解释的问题上，他们把数据“处理”和“控制者”这个实体问题提至第一位，而把程序上的管辖权问题移至第二位，搜索引擎的责任规则以及数据主体的权利范围问题则以更多的篇幅置于之后。这意味着欧洲法院非常重视对引擎服务性质的界定，并做出了“数据处理—控制者”的认定，这实际上是否定了谷歌自称的“转载者”身份，明确其作为“处理者”和“控制者”的角色，从而顺利地将20年前制定的欧盟95指令应用于新技术条件下的新型服务。迈出这坚实的第一步之后，欧洲法院又尖锐地指出谷歌搜索服务免费性背后的广告运营模式，揭示出搜索服务与广告业务的真实联系，从而宣告了“关联业务发生地管辖权”，巧妙地绕开了母公司——谷歌公司远在美国所造成的管辖障碍。

时空上的两个障碍得到解决之后，欧洲法院一鼓作气又对责任主体和个人具体权利的范围进行了全面论证，形成了对欧盟95指令的权威解释。“搜索引擎直接责任原则”的确立彻底否定了谷歌方面关于“转载无责”和“原始发表者首责”的辩护，开辟了引擎商作为独立责任主体的先例。对“个人基本权利优先”的认定进一步从价值比较的角度厘清了个人基本权利与服务商经济利益以及公众知情权之间的关系，在承认言论自由的基础上明确了个人基本权利优先于商业利益和公众兴趣的价值排序。谷歌最终以直接承担个人数据删除责任败诉。

在审理过程中，欧洲法院组织原告、被告，部分成员国政府以及欧盟委员会各方就争议问题逐一发表意见，然后由欧洲法院做总结论述，针对搜索引擎的法律原则和重要结论也由此确立。其中，“搜索引擎直接责任原则”是核心，对“数据处理—控制者”的性质认定和“一般情况下个人基本权利优先”的价值排序是基础，宣告“关联业务发生地管辖权”则为以上实体问题的审理扫清了程序上的障碍。着眼于判决的一般性影响，本章主要围绕三个实体问题展开。

1.对“数据处理—控制者”的性质认定

欧洲法院首先提出的是“（数据）处理”和“（数据）控制者”的认定问题。谷歌认为他们提供已在第三方发表的信息的行为不构成欧盟95指令中关于个人数据的“处理”。因为引擎服务针对所有存在于互联网上的信息，并没有对个人信息和其他信息进行选择性对待。退一步说，即便被归为“数据处理”活动，引擎商也不能被称作指令中的“控制者”，因为他们根本不知道那些个人数据在哪里，也无从控制。在这里，谷歌抛出了第一组抗辩理由，即“转载无责”和“自动搜索无控制”。

与之针锋相对的是，由冈萨雷斯、西班牙政府、意大利政府、奥地利政府、波兰政府以及欧盟委员会组成的一方认为，引擎服务明显归于“数据处理”的范畴，这种“处理”不同于网站发行者的处理，他们追求着自己的不同目的。同时，引擎商也应该是“控制者”，因为信息处理活动的确由他们实施，并由他们决定这些活动的目的和方法。显而易见，反对意见认为引擎商的行为和责任都是独立的，不能与第三方网站捆绑讨论，引擎商对其服务存在事实上的决定权和控制权，这是一种权力。

作为相对中立的观点方，希腊政府支持谷歌行为属于“处理”活动的意见，但它认为引擎商不构成“控制者”。因为他们只是提供了信息的中介服务，难以根据这种活动将他们认定为“控制者”，除非引擎商在“中介存储器”或“缓存”中存放这些信息超过了技术上的必要。

充满争议的观点等待欧洲法院的裁决。根据欧盟95指令第2（b）条关于“数据处理”的规定，欧洲法院提出了三点意见：其一，搜索引擎使个人数据能够被寻找、指引、存储并呈现在互联网用户面前，这是一个无可辩驳的事实。其二，引擎商对信息进行收集、记录、编辑、存储以及披露和呈现的行为在该指令第2（b）条中有明确规定，其行为构成“数据处理”。其三，即使引擎商对所有信息未加区别地对待，并且对象信息已经在互联网上发表而引擎服务并没有改变这些信息，也并不影响上述结论的成立，法律规定的操作形式并不要求个人信息必须被改变才构成“处理”。

针对“控制者”问题，法院态度也没有丝毫缓和，其根据欧盟95指令第2（d）条的规定提出了四点意见：其一，引擎商决定着引擎使用的目的和方式，所以属于“控制者”。其二，反对以未控制第三方网站上的信息为由将引擎商排除在“控制者”的范围之外，引擎商的活动是有别于网站发表行为的另一种“控制”活动。其三，引擎商在整个信息传播活动中起着决定性作用，因为是引擎服务将个人数据呈现在网络用户面前，包括那些或许并未看到公开发表个人数据的网站的用户，而且网上发表的信息集合是在搜索引擎的作用下产生影响的，当用户通过输入他人姓名搜索时就会得到与个人数据有关的清单，使他们能够在网络发表的信息中建立一个关于某个人的详细档案，引擎正是有目的地为其用户提供了接触个人数据的便利条件，所以与其他发表信息的网站相比，搜索引擎对个人基本权利的侵害更为严重。引擎商作为决定搜索目的和方式的人应当在自己的责任、权力和能力范围内确保这些活动符合欧盟95指令的要求以保证相关权利尤其是个人隐私保护规定的有效实施。其四，虽然网络出版商拥有向引擎商指明希望具体信息不被引擎的自动搜索活动捕捉到的选择，但这并不意味着引擎商就可以因此免除其关于信息处理的责任，也不会改变引擎商作为搜索目的及方式决定者的角色，即使网络出版商与引擎商共同决定了信息处理的方式，根据欧盟95指令关于“单独或联合”的规定也不会免除后者的责任。

欧洲法院最后总结道：搜索引擎的活动包括寻找发表在第三方网站上的信息，自动搜索、暂时存储并根据某种挑选规则最终呈现给网络用户，这些活动应被归为“对个人信息的处理”，引擎商也应该被认作“控制者”。至此，该案阐明了第一组观点：提供搜索服务是一种数据处理活动，引擎商是数据“控制者”。

2.搜索引擎直接责任原则

接着案件进入错综复杂的阶段——当搜索结果包含个人数据，而这个搜索结果的内容来自已经在第三方网站合法发表的信息时，由谁承担删除责任？搜索引擎还是第三方网站？搜索引擎可否因“转载”第三方网站上的信息而免除或减轻责任？

谷歌方面认为，根据责行相称原则，任何关于信息删除的要求只能指向发表信息的网站，因为是这些网站的发表行为使案涉信息公开化，也正是这些网站处于估量这种发表行为是否合法的位置，而且也只有他们才拥有最有效、最不受限制的办法让人们接触不到这些信息。

谷歌的这番陈述似乎争取到了一定的支持，奥地利政府主张，只有当争议中的数据被发现是不合法的或不正确的或数据主体已经向网站成功提出异议时，（成员国）国家监管机构才可以命令引擎商从自己的档案系统中删除已发表在第三方网站上的信息。

冈萨雷斯一方则坚持认为，国家监管机构可以直接命令引擎商从自己的索引系统和存储器中删除包含已经发表在第三方网站上的个人信息，而不必事先或同时联系第三方网站。而且，根据冈萨雷斯团队中的大部分成员的观点，信息已经在第三方网站上合法发表以及信息仍然存在于第三方网站上的事实并不影响引擎商所应承担的责任，只有波兰政府认为这些事实可以使引擎商免责。

虽然谷歌和奥地利政府都忽略了网站的公共信息发表与搜索引擎直接呈现个人数据的行为之间的本质区别，但这仍然是一个颇受争议的问题。欧洲法院在应对这些分歧时谨慎且坚定，它再次强调了欧盟95指令第1条和前言第10条所反映的关于为个人基本权利和自由提供高水平保护的立法宗旨，尤其是对个人数据处理中所涉及隐私权保护的重视，并用23个段落的篇幅论述了这一问题。

欧洲法院首先指出，该指令前言前10条都在强调对个人基本权利，尤其是对隐私权的高水平保护。根据前言第25条关于数据处理者责任和数据主体权利的列举，欧洲法院认为，当数据处理侵害到个人的时候有必要从有利于保护个人基本权利的角度解释指令条款。

接着话题回到能否从法律条款中找到让搜索引擎承担直接责任的切实依据的问题上。该指令正文第12（b）条明确了数据主体对个人数据的更正、删除和阻止权，条件是数据处理不符合指令的规定，尤其是那些在质量上不完全、不准确的数据。而指令第6（1）（d）条指出“更新（不过时）”也是数据质量的要求之一。该指令第6条规定了“公正且合法地处理数据”“符合收集目的且不在目的之外进一步处理”“数据完整、相关且不超出收集或处理的目的”“准确、必要地更新，否则应删除或更正”等数据质量要求，据此，案涉过时数据应当被删除。

接着，欧洲法院排除了第三方网站的责任，理由主要是依据欧盟95指令第9条得出的新闻机构表达自由。欧洲法院指出，网页信息发表者的信息处理活动在某些情形下可能因单纯的“新闻目的”而实施，该指令第9条关于表达自由的规定保护了这种行为，而对于搜索引擎来说却没有这种例外。而且，鉴于互联网上信息复制的便利性以及遍布全球的信息发表者不一定受欧盟法律保护的事实，如果对第三方网站加以在引擎商之前或同时删除信息的义务，将不利于数据权利的保护。

案件审理到此已经可以认定搜索引擎的直接责任了。欧洲法院在判决第80段对谷歌承担直接责任的理由做了精辟总结：“必须指出的是，对争议个人数据的处理行为由搜索引擎商实施，当这种搜索活动基于输入个人姓名而进行时，很容易对个人隐私的基本权利和个人数据的保护产生重要影响，因为数据处理使任何互联网用户都能够通过结构化的搜索结果清单获得与某个人相关的所有网络数据，而这些数据可能潜在地承载着与个人私生活有关的大量信息。如果没有搜索引擎，这些潜在信息很可能不会被聚集起来，或者在聚集时遇到很大困难，从而难以建立起一套详细的个人档案。”^[19]这段论述一语道破了搜索引擎在个人数据泄露中所扮演的独立角色和产生的重要影响，正是这种以个人姓名为条件的信息搜索活动使分散、潜在的个人信息数据化、档案化，直接造成了个人数据的泄露。所以，谷歌应直接承担争议数据的删除责任，无须第三方网站提前或同时删除相关信息，转载信息不会免除或减轻引擎商的责任。至此，在责任主体问题上，引擎商直接责任原则确立。

3.“数据主体基本权利优先”的价值排序及其例外

紧随责任主体问题之后的是各种利益之间的排序和平衡。早在为自己做免责辩护时谷歌就提出，要求引擎商从索引系统中撤回那些已经发表在互联网上的信息，没有充分考虑到信息发表者、其他互联网用户以及引擎商的基本权利。欧洲法院重视这里提到的各方权利，并分别从引擎商和互联网用户的角度做了评述。

欧洲法院指出，欧盟95指令第7（f）条规定了个人数据合法处理的情形之一，即“当（数据）处理是为实现（数据）控制者或获得数据的第三方的合法利益之必要时”，个人数据可以被处理，“但数据主体要求保护的基本权利（尤其是隐私权）高于上述利益时除外”。如果说立法在第7（f）条安排了一个个人基本权利与其他利益的平衡问题，那么该指令第14（a）条则是对个人权利保护的加强。该条明确规定数据主体有权至少在第7（e）17（f）条规定的情形下反对关涉自己特殊处境的个人数据处理活动，而且只要反对合理，数据控制者不得再涉及这些数据。本案中谷歌服务呈现的过时数据关系到数据主体冈萨雷斯的荣誉，属于“关涉自己特殊处境”的个人数据处理活动。欧洲法院认定，数据主体可以根据该指令第12（b）条（要求更正权、删除权及阻止权）和第14（a）条（反对关涉特殊处境的数据处理权）的规定直接要求数据控制者检查自己的行为，停止争议数据的处理，如果控制者不履行义务数据主体可以诉至监管机构或司法机构。在这里，欧洲法院通过对两个条款的解释和应用明确了数据主体的基本权利高于引擎商经济利益的态度。

对于个人权利与公众兴趣的矛盾，欧洲法院强调利益保护的公平性。该法院指出，欧盟95指令第7条（合法处理标准条款）和第8条（特殊数据处理条款）保护的个人基本权利仍然高于互联网用户获取他人信息的兴趣是一般规则，但是需要考虑相关个人数据的性质和对个人私生活的敏感度，同时也要考虑公众兴趣，在某些情况下，个人数据的性质可能随着数据主体在公共生活中的角色而发生变化。作为“数据主体基本权利优先”的例外，公众人物被单独讨论，对他们而言，让公众利益（如公众兴趣或知情权）高于数据主体的基本权利是正当的，他们的部分个人数据可以被包含在搜索引擎的搜索结果清单中呈现给公众。这实际上是有条件地确立了一般数据主体基本权利高于公众兴趣的规则。

从总体上来看，数据主体的基本权利，尤其是与个人数据处理相关的隐私权，受到了欧洲立法和司法的高水平保护，在一般情况下都优先于信息服务商的经济利益，除特殊情况外甚至优先于公众兴趣。“被遗忘权”是本案中数据主体基本权利的一个具体体现。欧洲法院在回答西班牙法院提出的这个问题时说道：“（数据控制者）应当检查在自己的搜索结果中（过时的）数据在此时是否已经不再与（数据主体）的姓名联系在一起，无须证明这些数据已构成对数据主体的偏见。而数据主体可以直接要求那些（过时的）数据不再以搜索清单的形式呈现给公众。（数据主体的）这种权利不仅优先于引擎商的经济利益，也优先于公众通过搜索引擎获得与他人姓名相联系的个人数据的利益。”^[20]“数据主体基本权利优先”的价值排序再一次得到确认。

在既有法律还未对互联网上的新情况做出明确规定时，谷歌案的意义不仅在于从欧盟最高司法权力层面明确了搜索引擎在个人数据问题上的直接责任，而且为划定包括搜索引擎、门户网站、微博和微信公众号等应用在内的整个信息平台的权力边界提供了法理论证和判例示范。

1.信息分发是一种权力

信息平台的出现是互联网信息传播模式区别于传统信息传播模式的最主要特征。在前互联网环境中，信息传播的权力多掌握在公共传播机构手中，信息内容产出之后经由固定的信息传播渠道（如报刊发行网络、电视台分级网络）定向传播至接收终端，这种传统传播模式是单向的、瞬时的。而在互联网环境中，随着商业和个人传播机构的兴起，信息内容首先经由互联网渠道被传送并存储于各个平台（“盒子”），再根据不同的用户需求以不同的形式呈现于各种终端，互联网传播模式具有多向传播、信息集成的特点。

这里的信息平台主要具有几个特征：第一，在物质载体上，信息平台都有物理形态的服务器，用来捕捉和存储信息，也有软件形态的数据库，用来处理和呈现信息；第二，在行为性质上，都是信息的“处理者”和“控制者”，他们对信息的存储和呈现都是按照一定的价值排序做出的选择性行为，类似于报纸的编辑活动；第三，在影响上，容易导致个人信息的泄露和滥用，威胁个人基本权利，而且网上侵权具有迅速传播且难以控制的特点，这种危害后果比真实空间更加严重。以信息平台为中枢的新模式至少在客观上导致两个后果，一是海量信息在互联网上的长期滞留，二是滞留信息的任意呈现。当搜索引擎的用户键入某个人的姓名时，关于这个人的信息档案即呈现于眼前；当微博用户发起“人肉搜索”时，某个“公审”对象的个人信息即一目了然；当某个机构看中门户网站的用户数据库时，若干个人信息的泄露也是轻而易举……长期滞留为信息呈现提供了丰富的信息源，任意呈现又为滞留信息的泄露提供了便利。

“随着互联网经济的发展，平台模式逐渐成为当代信息产业的一种新型主导模式。”^[21]信息获取、处理和呈现的权力也正在向信息平台转移或分化。欧洲法院明确指出，平台商作为信息控制者决定着信息处理的方式和目的，这是一种容易被忽视的权力。哈贝马斯说：“公共领域由于深受社会势力的影响，因而享有权力。”^[22]而平台商拥有着决定让哪些数据进入公共领域的权力。

2.谷歌删除责任的主要依据

作为对这种强大权力的约束，确立平台管理者的直接责任是必要的，符合责权相称原则。尽管谷歌方面提出了诸如“转载无责”“自动操作无控制”等抗辩，但欧洲法院对此逐一进行了驳斥，并判令谷歌独立承担信息删除责任。

首先，直接责任原则否定了“转载无责”说。长期以来，信息平台习惯于站在自己的立场上认为自己只是转载信息的中介，并不直接生产信息，也不直接享受信息传播带来的利益，是不应承担责任的“第三方”。但事实上，信息平台并非“无辜”的“第三方”，也非如其所说的只是“单纯转载”和“自动操作”，这里的信息存储及呈现活动都是依据一定的价值顺序实施的，并为一定的商业目标所驱动。“搜索引擎依托信息入口优势和营销价值优势，对第三方网站的付费收录与竞价排名进行信息呈现：整合其他网站的服务应用，如百度阿拉丁平台；建立以搜索引擎为中心的广告联盟，为其他网站提供搜索服务和基于关键词的广告投放服务；开发多种服务提升平台竞争力，如地图、贴吧、求职服务、团购导引服务、移动端搜索和应用等。这些商业实践扩充和沉淀了大量的、广泛的消费者搜索行为数据，同时借助联盟和综合平台能力，实现跨平台的数据获取。”^[23]“从愿望出发，企业总是希望每条被用户分享或评论、转发的消息给自己带来四种结果，这四种结果分别是：带来高质量的转发互动、带来口碑、吸引目标用户群（追求更多粉丝）、吸引用户点击链接或购买。”^[24]信息平台实施了信息处理，类似于报纸的编辑活动。

其次，欧洲法院对谷歌服务做出了“数据处理”的定性。根据欧盟95指令第2（b）条关于“数据处理”的规定，欧洲法院提出了三点意见：其一，搜索引擎使个人数据能够被寻找、指引、存储并呈现在互联网用户面前，这是一个无可辩驳的事实。其二，引擎商对信息进行收集、记录、编辑、存储以及披露和呈现的行为在指令第2（b）条中有明确规定，其行为构成“数据处理”。其三，即使引擎商对所有信息未加区别地对待，并且对象信息已经在互联网上发表而引擎服务并没有改变这些信息，也并不影响上述结论的成立，法律规定的操作形式并不要求个人信息必须被改变才构成“处理”。亦即是说，虽然谷歌并未对已发表信息进行改变，但个人数据存储于谷歌的存储器中，这些个人数据可以通过搜索引擎被寻找、指引并呈现在互联网用户面前，怕就是一种“数据处理”行为。其法律依据在于欧盟95指令第2（b）条的规定：“个人数据处理是指任何在个人数据上实施的操作或操作集合，而不论是否通过自动的方式，比如，收集、记录、组织、存储、修改或变更、检索、咨询、使用、披露，传播或以其他方式提供，排列或组合，阻断、删除或销毁。”

最后，欧洲法院对谷歌做出了“数据控制者”的定位。在论述了搜索引擎服务属于数据处理行为的性质认定之后，欧洲法院又顺势引用欧盟95指令第2（d）条的规定，对谷歌做出了“数据控制者”的角色认定。因为谷歌在事实上“决定着个人数据处理的目的和方法”。这就为欧盟95指令第12（b）条和第6（1）（d）条的适用提供了条件。第12（b）条明确了数据主体应当从“数据控制者”那里获得对个人数据的更正、删除和阻止权，条件是数据处理不符合指令的规定，尤其是那些在质量上不完全、不准确的数据，而欧盟95指令第6（1）（d）条指出“更新（不过时）”就是数据质量的要求之一。

这样，欧洲法院就完成了对搜索引擎承担直接责任的法律依据的论证。同时，也为信息平台的事实性权力划出了明确的边界，即作为数据控制者的平台，进行了数据处理活动，用户享有要求其删除个人数据的权利，平台应当承担相应的义务和责任。

1.保护言论自由

作为个人信息原始发布者的新闻媒体是否要承担责任，也是谷歌案中的一个焦点问题。在事件一开始，当事人西班牙公民冈萨雷斯就是将新闻媒体放在了谷歌的前面，向西班牙数据保护局进行投诉的。冈萨雷斯做出这种排序的原因应该是基于一种认知习惯，谁发布谁承担主要责任。但是在具有专业理性的西班牙数据保护局以及欧洲法院看来，新闻媒体合法发布新闻报道是行使言论自由的正当行为，不用承担责任。冈萨雷斯在多年前欠下债务是事实，媒体的活动并无不妥。而谷歌则不同，其提供的搜索服务使若干年前本已过去的事情，又以信息的形式在许多年后重新回到用户面前，给信息主体冈萨雷斯带来了困扰。

欧洲法院在审理过程中落实了具体的责任主体。独立责任是直接责任原则的题中之义。谷歌曾要求原始发表网站事先或同时删除信息，以免除或减轻自己责任的履行。但欧洲法院明确排除了原始发表网站的责任。因为新闻网站依法发表公共信息受到保护，是新闻网站的职责所在，这种新闻信息发表活动并不造成对他人权利的侵害，与信息网站为某种商业目的进行信息处理及呈现的行为在性质上存在差别，正因为后者的信息处理活动往往带有目的性，信息删除责任应由信息平台独立承担。

2.个人基本权利优于商业利益

欧洲法院在直接责任原则的确立过程中明确肯定了个人基本权利的优先地位。个人基本权利与服务商经济利益以及公众兴趣之间存在的矛盾，在一定程度上增加了解决互联网个人信息滥用问题的难度。当提出异议的信息主体越来越多时，删除大量的个人信息以及因此带来的对相关信息重新编辑的工作对信息平台来说意味着不小的成本，这也是他们极力强调自身处境并常常拉上公众兴趣一并“维权”的原因之一。在欧洲法院审理谷歌案的过程中，谷歌方面就提出，“要求搜索引擎从其索引中删除已发表在互联网上的信息没有足够考虑到新闻网站、其他互联网用户以及引擎商的基本权利”。对此，法院做出了在一般情况下“个人基本权利优先于服务商经济利益和公众兴趣”的价值认定。

直接责任原则为无序的互联网信息利用活动树立了一种规制模式，但这种模式的应用也需要具备一定的条件。这个条件就是个人数据的处理活动不符合数据质量标准的要求。欧盟95指令列举了“充分、相关、不超出收集目的，准确、不过时，存储时间在必要范围内”等情况作为数据的质量标准。那么不符合数据质量标准的情况可以包括“不充分”

“不相关”“不准确”“超出收集目的”以及“过时”等。欧洲法院判定冈萨雷斯有权要求搜索引擎删除多年前的公告信息，针对的即是其中的“过时”信息。这项权利被直译过来叫作“被遗忘的权利”（right to be forgotten^[25]），有的文献中将其称为“信息遗忘权”^[26]或“数字遗忘权”^[27]，为论述方便，本书将其称作“被遗忘权”。

随着互联网对个人生活影响的深入，尤其是信息平台海量存储信息和任意呈现信息的问题日益突出，如何帮助人们从“过时”信息中逃离成为最受关注的问题之一。人们越来越多地从各个角度提出了被遗忘的要求：“被遗忘权无疑成为人们应对数字化记忆重要的法律手段。”^[28]直到2012年年初，欧盟公布《一般数据保护条例（草案）》，被遗忘权进入数据保护立法程序，意味着信息平台的行为将受到进一步规范，谷歌案中对被遗忘权的承认也体现了这种趋势。2016年，该草案获得正式通过，新公布的《一般数据保护条例》将数据主体从数据控制者那里获得的“删除权”（right to erasure）称作“被遗忘权”（right to be forgotten）。从被遗忘权的产生来看，这项权利源于20世纪70年代法国或意大利的法律概念，其对应的英文为“right to oblivion”（笔者注：遗忘、淹没、豁免）。^[29]这原本是用来保护有过犯罪记录的人的隐私的一项权利，^[30]而个人信息在互联网上的长久滞留和任意呈现使这项权利从特殊主体扩展至普通个人成为必要，可以说扩大后的被遗忘权在很大程度上是针对信息平台的无序行为而产生的。当一件事情过去很久，有的在后来已经发生了变化（比如，以前出现财务危机后来已经还清债务），有的则已经被人们逐渐淡忘（比如，多年前一个未成年女孩发表了一张让自己后悔的照片），而信息平台却将其再度呈现，给信息主体带来了不必要的困扰或损失。有文章这样描述道：“理论上，被遗忘的权利可以解决数字时代的紧急问题：由于照片（发布）、状态更新以及微博长期存在于‘云’中，（人们）很难从过去逃离。”^[31]被遗忘权承载着对人性中“羞耻心”的深切关怀，是追究信息平台直接责任的一个正当性依据。

尽管谷歌案的判决曾一度被誉为“欧洲个人数据保护的里程碑”，但判决做出后也引起了一些争议。(www.xing528.com)

“自2014年5月欧洲法院做出判决之后，谷歌为了执行该判决，于5月29日开通了‘被遗忘’服务的申请网页，允许欧洲地区网民在线填表，提交删除申请。申请者需提供希望删除的链接、删除理由以及个人身份证件。这些删除申请将由谷歌专门成立的内部审查小组进行审查。对于那些通过审核的请求，谷歌将在28个欧盟成员国的谷歌网站搜索结果中删除相关链接，并通过电子邮件的方式通知申请人。谷歌公司已经接收到数万条的删除申请。如此巨大数量的申请需要花费内部审查小组大量人力与时间进行处理。在删除申请中，除了真正有需求的申请之外，还充斥着大量出于其他目的的申请。同时，因为审查过程缺乏透明度和公正性，没有统一的审查标准，审查小组的工作方式也遭到一些诟病。在每起申请中，用户希望将一些数据进行隐藏，但又有一些人认为这些数据应该公开。对于新闻报道链接的删除，也遭到新闻媒体的反对，认为此举不利于传媒业的发展。”^[32]

这些结果也许是欧洲法院在审理案件时并未预料到的。但欧洲法院作为司法机关，依据法律的规定和法理的要求，判令谷歌承担删除责任，来为脆弱的个人数据权利提供保护，是无可厚非的。只不过，互联网环境中的信息传播秩序问题的复杂性，常常超出人们的预期。这里的争议直到今天，仍然未能达成统一。

被遗忘权作为一项新权利也受到威胁言论自由的质疑。对此有学者曾写道：“强制性的被遗忘权将导致大规模的互联网审查，产生严重的寒蝉效应。”^[33]欧洲法院对新闻网站因言论自由免责的判定在一定程度上回应了这类质疑。言论自由的重要性毋庸赘述，但含义常常被误解。

今人说起美国宪法中的“言论自由条款”，多以为它巨细靡遗，对形形色色的言论一视同仁，施以保护。然而，根据历史学家的考证，美国建国之初，制宪者之所以在第一修正案中规定“不得立法侵犯……言论自由或出版自由”，更多只是针对英国殖民者的“事前限制”措施，也即出版许可制度。这一观点，受到早期大法官的普遍认同，在司法个案中也有所体现。直到1907年，大名鼎鼎的小奥利弗·温德尔·霍姆斯大法官在审理“帕特森诉科罗拉多州案”时，仍坚持认为，宪法“并不禁止对那些危害社会安全的言论进行事后惩戒”^[34]。

法律不能允许他们用伤害公民私人感情的方式表达意愿。^[35]

以言论自由为滥用他人个人信息的行为辩护只能说是对言论自由的误读。

互联网上的言论自由主要应当在两种情况下受到尊重和保护。第一，新闻内容即便包含有个人信息，其存在的意义也主要是作为新闻事件中的一个要素而非全部，新闻发表并不以披露这些个人信息为直接目的。新闻发表也有自己的一套规则，如果涉及诽谤、侮辱等也可能进入司法程序，但如果仅仅是包含了某个人的一些真实信息，而且这些信息的发表又是合法的，那么就不能以保护个人信息为由加以限制。第二，在个人信息利用活动中，公众人物的个人权利应当受到适当限制。对公职人员来说，这种限制在法理上可以是基于委托人对公共权力受托人的监督，公职人员有义务向公众披露必要的个人信息以接受监督；对明星式人物来说，则是基于向公众开放部分个人信息以满足公众兴趣是他们的职业要求。但即便是对这些公众人物个人信息的利用也应当遵循必要、合法的原则。欧洲法院判决中对新闻网站责任的免除体现了对言论自由的审慎保护，被遗忘权与言论自由并不矛盾。

“舆情的生命周期可以归结为：开始、扩散、振荡和衰减。”^[36]但信息的长期滞留改变了这种传统环境里的传播规律：随时都可能旧事重提。如果要解决这种“记忆与遗忘的斗争”^[37]，就需要建立信息删除的责任机制。

对于在全球互联网公司排行榜上占得近半席位的中国来说，信息平台在搜索服务中承担何种责任，自然也是一个相当重要的问题。

1.案例：刘某某诉百度公司隐私权纠纷案^[38]

该案原告刘某某就是明星黄某某事件里的女主角。原告以百度公司侵犯隐私权为由，于2015年向北京市海淀区人民法院提起诉讼。原告诉称，从2014年5月起，北京百度网讯科技有限公司（以下简称百度公司）在其经营的百度网站上公开原告的真实姓名、籍贯、年龄，并配发多张照片，还配有文字称原告是“变性人”等。原告认为，百度公司的行为严重侵犯了自己的隐私权等相关权利，对原告的生活、工作造成了极大的困扰和无法挽回的社会影响。原告强调，百度公司侵犯隐私权，不考虑和顾及原告作为一个普通公民的个人感受，只考虑其网站的影响力和点击率以获取最大的经济利益。百度公司的行为导致其精神崩溃，多次想结束自己的生命。原告要求百度公司在其网站上删除自己的名字和照片等与原告相关的所有信息，并要求百度公司在其网站首页位置上发表致歉声明以及承担相应的损失赔偿。

百度公司则辩称：首先，百度公司并未接到原告通知，并不存在对原告所主张信息呈现的“应知和明知”，无法进行删除；其次，刘某某与黄某某的事件曾经受到了刑事处罚，是社会公众关心的新闻热点，与百度公司没有关系，不应承担责任。

一审法院审理查明，百度公司系www.baidu.com网站的经营者。原告委托公证处所做的公证书载明，2014年5月21日，原告的代理人使用公证处的电脑登录互联网在网页浏览器地址栏中输入www.baidu.com，进入百度网站首页，在百度网站首页搜索栏中输入“刘某某黄某某”，点击“百度一下”，进入搜索结果的第一页，有10个搜索结果项。使用“刘某某黄某某”关键词在百度“图片”中搜索，进入的搜索结果页面显示多张排列的图片，对其中的部分图片进行点击，被点击的图片旁都有图片信息，图片信息中有文字信息。

一审法院认为，百度公司在本案中实施的系搜索、链接服务行为。在无证据证明百度公司对被链接网站存在侵权内容主观上的应知或明知，且原告未能提交充分证据证明其在起诉前曾就侵权内容向百度公司发送过符合法律规定的有效通知。所以百度公司不应承担侵犯隐私权的责任。判决驳回了原告的全部诉讼请求。

原告刘某某不服一审判决，向北京市第一中级人民法院提起上诉。二审法院认为，刘某某提供的证据表明在百度公司网站上可以搜索到与其有关的相关链接结果，但不能证明相关链接指向的网站即为百度公司经营的网站，即不能证明有关其信息的内容为百度公司发布。百度公司主要以其搜索引擎为广大用户提供相关信息的搜索服务，在没有证据证明搜索到的链接内容是百度公司发布且百度公司对被链接网站存在侵权应知或明知的情况下，不能认定百度公司存在侵权行为。另外，刘某某亦未提交证据证明其诉前已向百度公司发出有效通知，其在二审中提及的百度百科词条中的内容，在原审中并未涉及，不属于二审的审理范围。如若有侵权行为，侵权人亦应是有关刘某某信息的发布者。据此，二审法院于2016年7月做出终审判决，驳回上诉，维持原判。

2.案例评析

发生在我国的这一案例，与欧洲法院审理的谷歌诉西班牙数据保护局案，无论在责任主体的认定还是在最终判决内容上，都存在着明显的反差。如前文所述，欧洲法院在谷歌案中明确认定搜索引擎服务属于个人数据的处理行为，而且作为服务商的谷歌公司因决定着个人数据处理的目的和方式而扮演“数据控制者”的角色，从而应当承担个人数据的删除责任。而在我国的这起刘某某诉百度公司隐私权纠纷案中，两级法院都否定了百度公司的数据删除责任，对其提供的搜索服务是否属于数据处理，以及百度公司是否具有数据控制者的身份，更是只字未提。尤其值得注意的是，二审法院在判决书中明确表示，“如若有侵权行为，侵权人亦应是有关刘某某信息的发布者”。这与欧洲法院和西班牙数据保护局将信息发布者排除于责任主体之外的做法，可谓迥然不同。

其实，从两个案件所依据的法律来看，欧盟95指令和我国《侵权责任法》都规定了平台的数据删除责任。对于由平台之外的第三方发布的侵权信息，数据主体都有权利通知数据控制者（网络服务提供者）采取删除等措施。只不过我国《侵权责任法》明确网络服务者在接到删除通知后未采取措施的只对损害的扩大部分与信息发布者承担连带责任。在刘某某诉百度公司隐私权纠纷案中，法院仅以原告不能证明百度公司已收到其委托律师发送的律师函为由，认为原告不能证明自己对百度公司进行了有效通知，所以百度公司就不承担责任。

事实上，与此案相似的审判路径还有前面介绍的“任某某诉百度名誉权纠纷案”。针对该案中的争议焦点，一审法院认为，在原告个人信息被呈现的过程中，作为搜索引擎服务提供商的百度公司并未进行人为干预，所以不承担责任。为了证明这些个人信息的呈现是一种“自动化”的结果，法院对百度引擎的“相关搜索”功能做了很多描述。法院指出，在百度公司搜索页面的搜索框中输入“任某某”这一检索词，在“相关搜索”中都会显示出不同的排序及内容的词条，而且任某某主张的6个检索词也呈现出时有时无的动态及不规律的显示状态，这与搜索引擎“相关搜索”功能的一般状态是一致的，并未呈现出人为干预的异常情况，足以印证百度公司所称相关检索词系由过去一定时期内使用频率较高且与当前检索词相关联的词条统计而由搜索引擎自动生成，并非由于百度公司人为干预。然而，词条的排序和内容出现变化，并不代表任某某的个人信息就不会呈现了；搜索引擎自动生成，也并不意味着公民在发现自己个人信息被公开时就只能自认倒霉。

[1] 辞海编辑委员会.辞海（缩印本）［M］.上海：上海辞书出版社，2010：1443.

[2] 互联网信息服务管理办法［Z］.2011：第十一条。

[3] 消费者权益保护法［Z］.2013：第四十四条。

[4] 网络安全法［Z］.2016：第七十六条。

[5] EVANS D S，SCHMALENSEE R.Matchmakers：The New Economics of Multisided Platforms［M］.Boston：Harvard Business Review Press，2016：11.

[6] 《全国人民代表大会常务委员会关于加强网络信息保护的决定》［Z］.2012：第二条。

[7] 《全国人民代表大会常务委员会关于加强网络信息保护的决定》［Z］.2012：第七条。

[8] 《网络安全法》［Z］.2016：第二十一条，第二十五条。

[9] 《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）［Z］.2013：第十五条，第十六条。

[10] 案情参见北大法宝案例数据库。

[11] 魏则西整个事件过程［EB/OL］.（2016-05-03）［2017-03-09］.http：//www.sohu.com/a/73038639_393515.

[12] 国家网信办联合调查组公布进驻百度调查结果［EB/OL］.（2016-05-09）［2017-03-09］.http：//news.xinhuanet.com/2016-05/09/c_1118833546.htm.

[13] 中国青年政治学院互联网法治研究中心，封面智库.中国个人信息安全和隐私保护报告［R/OL］.（2016-11-23）［2017-08-09］.http：//www.zuinow.com/n3346558.html.

[14] 沈宗灵.法理学［M］.北京：高等教育出版社，1994：404.

[15] 洛克林.公法与政治理论［M］.郑戈，译.北京：商务印书馆，2013：151.

[16] 莱斯格.代码［M］.李旭，姜丽楼，王文英，译.北京：中信出版社，2004：8.

[17] 莱斯格.代码［M］.李旭，姜丽楼，王文英，译.北京：中信出版社，2004：42.

[18] Judgement of Case C-131/12［Z/OL］.（2014-05-13）［2014-06-05］.http：//curia.europa.eu/juris/document/document.jsf；jsessionid=9ea7d2dc30d5eaee0505a98a44268719aa0ff2e2d7df.e34KaxiLc3qMb40Rch0SaxuNbhj0？text=&docid=152065&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=157645.

[19] Judgement of Case C-131/12［Z/OL］.（2014-05-13）［2014-06-05］.http：//curia.europa.eu/juris/document/document.jsf；jsessionid=9ea7d2dc30d5eaee0505a98a44268719aa0ff2e2d7df.e34KaxiLc3qMb40Rch0SaxuNbhj0？text=&docid=152065&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=157645.

[20] Judgement of Case C-131/12［Z/OL］.（2014-05-13）［2014-06-05］.http：//curia.europa.eu/juris/document/document.jsf；jsessionid=9ea7d2dc30d5eaee0505a98a44268719aa0ff2e2d7df.e34KaxiLc3qMb40Rch0SaxuNbhj0？text=&docid=152065&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=157645.

[21] 宋建武，等.中国媒体融合发展存在的问题及对策与建议［J］.中国媒体融合发展报告（2013），2014：90.

[22] 哈贝马斯.公共领域的结构转型［M］.曹卫东，等，译.上海：学林出版社，1999：224.

[23] 孙璐.企业互联网数据收集的个人信息保护［J］.新闻传播，2013（12）：289.

[24] 徐志斌.社交红利［M］.北京：北京联合出版公司，2013：61.

[25] Judgement of Case C-131/12［Z/OL］.（2014-05-13）［2014-06-05］.http：//curia.europa.eu/juris/document/document.jsf；jsessionid=9ea7d2dc30d5eaee0505a98a44268719aa0ff2e2d7df.e34KaxiLc3qMb40Rch0SaxuNbhj0？text=&docid=152065&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=157645.

[26] 王融，沈玲.个人信息保护立法前沿问题研究［J］.互联网前沿，2014（3）：74.

[27] 郑文明.互联网时代的“数字遗忘权”［J］.新闻界，2014（3）：55.

[28] 何治乐，黄道丽.大数据环境下我国被遗忘权之立法构建——欧盟《一般数据保护条例》被遗忘权之借鉴［J］.网络安全技术与应用，2014（5）：172.

[29] 郑文明.互联网时代的“数字遗忘权”［J］.新闻界，2014（3）：57.

[30] 王融，沈玲.个人信息保护立法前沿问题研究［J］.互联网前沿，2014（3）：74.

[31] ROSEN J. The Right to be Forgotten［EB/OL］.（2012-04-02）［2013-06-05］.http：//thehealthcareblog.com/blog/2012/04/02/the-right-to-be-forgotten/.

[32] 石静霞，张舵.从欧洲法院承认“被遗忘权”的判决看个人信息保护［J］.中国信息安全，2014（11）：114.

[33] 伍艳.论网络信息时代的“被遗忘权”——以欧盟个人数据保护改革为视角［J］.图书馆理论与实践，2013（11）：6.

[34] 何帆.批评的限度就是民主的尺度（译者序）［M］//刘易斯.批评官员的尺度.北京：北京大学出版社，2011：7.

[35] 何帆.批评的限度就是民主的尺度（译者序）［M］//刘易斯.批评官员的尺度.北京：北京大学出版社，2011：6.

[36] 刘雅绮，张扬.个人信息泄密的损失分级估算方法［J］.统计与决策，2012（8）：6.

[37] 舍恩伯格.删除：大数据取舍之道［M］.袁杰，译.杭州：浙江人民出版社，2013：2.

[38] 案情参见北大法宝案例数据库。