什么是被遗忘权?

被遗忘权是 GDPR 定义的一项合法权利,允许欧盟境内的个人要求删除其个人数据。

学习目标

阅读本文后,您将能够:

  • 定义被遗忘权(或删除权)
  • 描述被遗忘权何时适用以及何时不适用
  • 解释人们如何行使这项权利

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是被遗忘权?

“被遗忘权”是指组织或服务提供商存储的个人数据必须根据个人的请求删除。这是根据通用数据保护条例 (GDPR) 授予的一项合法权利,该条例保护欧盟 (EU) 个人的个人数据。然而,被遗忘权并不是一项绝对权利:它并不总是适用于欧盟以外的司法管辖区,且在某些其他情况下,个人可能无法删除其数据。

假设 Alice 订阅了一份关于法国葡萄酒的月度电子邮件通讯,但后来觉得她更喜欢比利时啤酒而不是法国葡萄酒,因此该通讯与她不再相关。因此,她退订了葡萄酒通讯。被遗忘权确保除了取消订阅(根据《电子隐私指令》的要求)外,她还可以要求通讯发布者从他们的记录中删除她的姓名、电子邮件地址和所有其他个人信息。

此权利还被用于从搜索引擎结果中删除某些类型的个人信息。例如,个人有权从搜索结果页面中删除关于自己的个人信息(在一定范围内),要求 Google 等搜索引擎不显示出现该信息的页面的链接。

被遗忘权与删除权

这一权利在 GDPR 中实际上被称为“删除权”。然而,尽管如此,它通常被称为被遗忘权。

被遗忘权的概念早于 GDPR,并且在以前的法律案件中已被引用。但是,GDPR 定义的“删除权”更为精确;它包括权利何时适用和何时不适用的条件,并为组织提供一个月的时间来响应删除请求。

什么是 GDPR?

GDPR(通用数据保护条例)是适用于欧盟内部数据收集和处理的数据隐私法律框架。GDPR 包含许多关于数据处理、收集和处置的要求,并定义了“数据主体”(即欧盟的个人)的若干权利。其中一项权利是删除权,在 GDPR 第 17 条中有描述。

GDPR 被遗忘权是否适用于欧盟以外地区?

最近的法院裁决表明,虽然可以要求在线信息提供者(例如搜索引擎)在特定管辖范围内删除信息,但他们不必在全球范围内删除这些信息。个人可以从欧盟内部的搜索结果中删除其数据,但非欧盟国家/地区的用户可能仍会在其搜索结果中看到这些数据。

人们如何行使被遗忘权?

GDPR 并未定义个人行使被遗忘权的具体流程。只要请求到达数据控制者或处理者处并满足某些条件,就应被视为有效请求,并且应删除其个人数据。

个人可以口头或书面形式提出此类请求。一旦数据控制者或处理者收到请求,他们有一个月的时间做出回应——要么删除所请求的数据,要么提供无法删除数据的原因。

通常,个人必须连同他们的请求一起提供某些信息,例如确认他们的身份、他们想要删除哪些数据以及删除的原因。

行使这一权利的原因可能包括:

  • 收集数据的目的已不再适用
  • 个人撤销其对数据收集的同意
  • 该组织将数据用于营销,而个人反对这种使用
  • 该组织非法收集或处理数据
  • 该组织有法律义务删除这些数据
  • 个人反对他们的数据被处理,且处理者没有处理数据的合法权益

更多信息请见 GDPR 第 17 条。

被遗忘权何时不适用?

在几种不同的情况下,个人可能无法删除他们的数据。例如,删除权与言论自由权相冲突时不适用——举个例子,政治家不能使用被遗忘权从网站上删除批评性报纸文章。该权利不适用的其他情况包括:

  • 数据被用于遵守法律义务
  • 数据用于执行符合公共利益的任务
  • 数据用于科学、历史或统计研究的公共利益存档,删除可能会严重损害研究
  • 数据是合法抗辩的一部分

还有其他几种情况。可在 GDPR 第 17 条中找到权利不适用的完整列表。

被遗忘权与《公平信息惯例》有何关系?

《公平信息惯例》是 20 世纪 70 年代在美国制定的数据收集和使用指南。虽然《公平信息惯例》不是任何法律框架的一部分,但当今生效的许多数据隐私法规大致与它们保持一致。

其中一种实践称为个人参与原则,该原则认为个人拥有多项权利,包括更正或删除其个人数据的权利。

根据 GDPR,个人还有哪些其他权利?

GDPR 赋予个人多项关于个人数据使用的权利,包括:

  • 知情权:必须以易于理解的方式告知个人其数据的收集和处理方式
  • 数据可携带权:个人可以将其数据从一个数据控制者处转移到另一个数据控制者处
  • 访问权:个人有权获得所收集之个人数据的副本
  • 更正权:个人可以纠正有关自身的不准确数据
  • 限制处理权:在某些情况下,个人可以限制其个人数据的处理方式
  • 反对权:个人可以反对数据收集和处理,数据控制者或处理者必须提供使用数据的正当理由(与直接营销无关的理由)
  • 反对自动化决策权:个人可以反对基于自动数据处理的、对其有法律影响的决定

阅读什么是 GDPR?了解更多信息