大数据时代的隐私保护与被遗忘权

个人数据保护法解决的问题就是借用信息技术来处理个人数据可能会带来的危害，被遗忘权正是解决该问题的一种手段和措施。欧盟立法的经验是把按法律调整的对象只限定成“形成文件系统”或“自动化”的个人数据“处理”。

（一）处理

欧盟法律在定义个人数据处理这一问题时，将所有可能对个人进行的操作几乎都包括在内，具有较强的宽泛性。时代在不断地向前发展，人类的自我保护意识也在不断增强。除个人数据的使用外，个人数据的大量采集、深度分析和高速传播，都已经威胁到了个人权利与自由。除此之外，对隐私、尊严、人格等的威胁不只与数据的使用方法有关，也与数据的采集、加工方法相关。

（二）自动化

欧盟1995年指令仅适用于其中的一部分，并不能适用于所有的个人数据处理。指令的第三条第一款明文规定：本指令适用于通过自动化方式处理个人数据的全部或部分情形以及通过除自动化方式以外的其他方式对意图形成或已经形成文件系统之一部分的个人数据进行有效处理的情形。

“自动化”主要是指要使用能根据命令而自动运行的设备。有些成员国的数据保护法，如德国数据保护法明确指出，自动化处理即指要运用数据处理系统。电脑当然是最典型的自动化数据处理设备，自动化个人数据处理便是通过电脑来处理个人数据的。这不仅是建立个人数据库般复杂的行为，即使不对数据做出其他任何处理，只是在磁盘、光盘、硬盘、服务器或者在其他的媒介上存储个人数据，也能构成“处理”。网络是另外一种最常见的自动化数据处理设备，只需要将个人数据上传网络，依据欧盟法的标准，也可以构成自动化的个人数据处理。(www.xing528.com)

目前，存在一种观点：仅在网页上的某一个文件中提到某人的姓名或者提到他人数据，不应该被视为对这些数据的自动化处理。在网页的“数据标签”上使用关键词提到这些数据，以便达到可能创建目录并使用搜索引擎找到该页的目的，才有可能构成“自动化处理”。但事实上，“个人数据”包括个人姓名、电话、工作或爱好等相关的信息，“处理”包括数据的披露、传播等，因此也毫无疑问包括将数据上传到网页上。对于“自动化处理”，将信息上传到网页上后，依据当前的技术条件和计算机程序，务必要修改网页后上传到服务器。这样的行为至少只有一部分是自动化的。

其实，自动化数据处理设备还包括复印机、扫描仪、录音机、录像机等，但不限制于此。利用录音、录像设备记录他人的言行，利用cookie等软件在网络上进行自动追踪访问者等，这些行为都属于自动化个人数据处理的范畴。而使用自动化数据处理结果，如咨询、信息互联、比对、传输等，也属于自动化个人数据处理的范畴。

（三）形成文件系统

个人数据“文件系统”即指依据一定标准可以获得的任何一组结构化的个人数据，无论其在功能上或地域上是否集中或完全分散，都可以在“自动化”标准之外再加上一个其他“文件系统”，主要目的是避免过于强调设备的使用而采用非自动化方式来处理数据以规避法律。因此，文件系统要做出限制性解释。然而，并不是所有包含个人数据的书面文件都符合“文件系统”的标准，而应该与自动化处理的数据具有相似之处。英国法院曾经在一起典型的案例中提出：要做到符合英国1998年《数据保护法》中规定的“相关文件系统”，必须满足三个条件：第一，资料是与个人相关的一组信息；第二，资料是依据个人与个人有关的标准组织的；第三，资料的组织方式与特定个人相关的特定信息很容易得到。

本法中的大多数规定都与计算机信息处理有关。如果有人以非计算机的形式组织材料，又模仿计算机的处理，则信息就很有可能性会被包括在该定义中。手写文件系统纳入数据保护范围的前提是：手写文件系统与计算机系统在获取构成“个人数据”的相关信息方面达到一定的方便程度。让搜索者翻阅查看这些文件，以确认它或者它们是否包括与提出信息要求有关之人的信息以及这些信息是否属于《信息保护法》中的数据时，可能要耗费很长时间和高额费用，但结果却一无所获。这与计算机化的搜索并无类同之处。因此，一个封面上按日期顺序放置的有姓名的文档，很有可能不会被认为是“相关文件系统”。相比之下，一个封面上按教育、健康、收入或家庭关系分类放置的有姓名的文档，则更有可能会构成一个“相关文件系统”。