對被遺忘權作出明確規定的是 2012年1月25日歐盟委員會在布魯塞爾公佈的 GDPR 第 17 條[25]。該條共9款，使用的是「被遺忘和刪除權( Right to be forgotten and to erasure) 」的概念; 具體規定了被遺忘和刪除權的適用條件、具體例外情形、用限制數據處理替代數據刪除的事由以及如何具體執行等問題。

所謂被遺忘&刪除權，是指數據主體從控制者處獲得的刪除與其有關的個人數據和避免這些個人 數據進一步傳播的權利，特別是當數據主體是兒童時。

有如下理由之一，數據主體即可行使該權利:

(1) 就數據收集或者其它處理目的而言，該數據不再必要;

(2) 數據主體根據第6條1款第1項規定，撤銷數據處理的 同意，或者當同意的存儲期限屆滿時，數據處理又沒有其它合法依據;

(3) 根據第19條規定，數據主體反對處理其個人數據;

(4) 數據處理未遵守 GDPR 的其他情形。

第17條第2款規定，已經公開了該個人數據的數據控制者應採取一切合理的措施，包括技術性的手段，通知正在處理這些數據的第三方，數據主體要求其刪除關於這些數據的任何鏈接、副本或複製。

如果第三方當初公開個人數據是得到數據控制者授權的話，則控制者需對該數據的公開負責。同時，數據控制者應確立和執行時限機制，以確保及時刪除個人數據和或定期審查數據存儲的必要性。如果數據被刪除，則數據控制者對該個人數據不得再進行處理。

歐盟對個人數據保護法的改革重點之一，是加強實施和落實「被遺忘權」，應對網路時代的發展，更高地保護個人數據和網路隱私。但是數字時代「被遺忘權」在實施中面臨的挑戰

（一）數據蒐集和處理的挑戰

數據保護的核心，就是經數據主體的同意，對數據進行合法的收集和處理。但是在具體的執行中，各網站對信息蒐集的目的往往進行寬泛的、含糊的說明。同事相關數據被蒐集後，關於數據的處理，各個網站的數據政策都各有不同，大多數並沒有直接表明何種信息是他人必要的？存儲的期限是多長？

（二）數據控制者的挑戰

比如你朋友將你的照片發布在社交媒體上，你的朋友就成為數據的控制者，如果你要求刪除照片，你的朋友不答應，相應的社交媒體也不會把你的照片刪除，只有當你證明你的隱私權是受到侵犯的時候，社交媒體才會保護你的「被遺忘權」

（三）試用範圍的挑戰 對於「被遺忘權」的保護來說，歐盟的相關法律是最為完善的，但是在歐洲境外，這項權利是否被承認和實施，又是另外一番景象。

科技的發展讓個人數據的使用權和控制權旁落他人，被遺忘權加強的初衷，即是希望數據主體能重掌控制許可權，強調對個人信息的自我控制，從而保障數據主體可以自由處分其個人信息，並能合理對抗他人對其信息的收集、處理或使用。

在日益發達的數字時代，網路隱私的保護不僅需要政府部門的監管和法律的保障， 還需要個體提高隱私保護意識，加強自我約束與管理，減少數字時代網路體驗對個人隱私信息的窺探。

整理編輯 | 胖達愛奶茶

參考文獻：

[1]周麗娜.大數據背景下的網路隱私法律保護:搜索引擎、社交媒體與被遺忘權[J].國際新聞界,2015,37(08):136-153.

推薦閱讀：