什麼是被遺忘權?

被遺忘權是 GDPR 規定的一項法律權利,允許歐盟境內的人員要求刪除其個人資料。

學習目標

閱讀本文後,您將能夠:

  • 定義被遺忘權(或刪除權)
  • 描述被遺忘權何時適用和不適用
  • 說明如何行使這項權利

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是被遺忘權?

「被遺忘權」是指組織或服務提供者儲存的個人資料必須根據個人的請求刪除。這是根據《一般資料保護規定》 (GDPR) 授予的一項合法權利,該條例保護歐盟 (EU) 個人的個人資料。然而,被遺忘權並不是一項絕對權利:它並不總是適用於歐盟以外的司法管轄區,且在某些其他情況下,個人可能無法刪除其資料。

假設 Alice 訂閱了一份關於法國葡萄酒的月度電子郵件電子報,但後來覺得她更喜歡比利時啤酒而不是法國葡萄酒,因此該電子報與她不再相關。因此,她取消訂閱了葡萄酒電子報。被遺忘權確保除了取消訂閱(根據《電子隱私指令》的要求)外,她還可以要求電子報發布者從他們的記錄中刪除她的姓名、電子郵件地址和所有其他個人資訊。

此權利還被用於從搜尋引擎結果中移除某些類型的個人資訊。例如,個人有權從搜尋結果頁面中移除關於自己的個人資訊(在一定範圍內),要求 Google 等搜尋引擎不顯示出現該資訊之頁面的連結。

被遺忘權與刪除權

這一權利在 GDPR 中實際上被稱為「刪除權」。然而,儘管如此,它通常被稱為被遺忘權。

被遺忘權的概念早於 GDPR,並且在以前的法律案件中已被引用。但是,GDPR 定義的「刪除權」更為精確;它包括權利何時適用和何時不適用的條件,並為組織提供一個月的時間來回應刪除請求。

什麼是 GDPR?

GDPR(一般資料保護規定)是適用於歐盟內部資料收集和處理的資料隱私法律框架。GDPR 包含許多關於資料處理、收集和處置的要求,並定義了「資料主體」(即歐盟的個人)的若干權利。其中一項權利是刪除權,在 GDPR 第 17 條中有描述。

GDPR 被遺忘權是否適用於歐盟以外地區?

最近的法院裁決表明,雖然可以要求線上資訊提供者(例如搜尋引擎)在特定管轄範圍內刪除資訊,但他們不必在全球範圍內刪除這些資訊。個人可以從歐盟內部的搜尋結果中刪除其資料,但非歐盟國家/地區的使用者可能仍會在其搜尋結果中看到這些資料。

人們如何行使被遺忘權?

GDPR 並未定義個人行使被遺忘權的具體流程。只要請求到達資料控制者或處理者處並滿足某些條件,就應被視為有效請求,並且應刪除其個人資料。

個人可以口頭或書面形式提出此類請求。一旦資料控制者或處理者收到請求,他們有一個月的時間做出回應——要么刪除所請求的資料,要么提供無法刪除資料的原因。

通常,個人必須連同他們的請求一起提供某些資訊,例如確認他們的身分、他們想要刪除哪些資料以及刪除的原因。

行使這一權利的原因可能包括:

  • 收集資料的目的已不再適用
  • 個人撤銷其對資料收集的同意
  • 該組織將資料用於行銷,而個人反對這種使用
  • 該組織非法收集或處理資料
  • 該組織有法律義務刪除這些資料
  • 個人反對他們的資料被處理,且處理者沒有處理資料的合法權益

更多資訊請見 GDPR 第 17 條。

被遺忘權何時不適用?

在幾種不同的情況下,個人可能無法刪除他們的資料。例如,刪除權與言論自由權相衝突時不適用——舉個例子,政治家不能使用被遺忘權從網站上刪除批評性報紙文章。該權利不適用的其他情況包括:

  • 資料被用於遵守法律義務
  • 資料用於執行符合公眾利益的任務
  • 資料為了科學、歷史或統計研究的公眾利益而封存,刪除可能會嚴重損害研究
  • 資料是合法抗辯的一部分

還有其他幾種情況。可在 GDPR 第 17 條中找到權利不適用的完整清單。

被遺忘權與《公平資訊慣例》有何關係?

公平資訊慣例》是 20 世紀 70 年代在美國製定的資料收集和使用指南。雖然《公平資訊慣例》不是任何法律框架的一部分,但當今生效的許多資料隱私法規大致與它們保持一致。

其中一個慣例稱為個人參與原則,該原則認為個人擁有多項權利,包括更正或刪除其個人資料的權利。

根據 GDPR,個人還擁有哪些其他權利?

GDPR 賦予個人多項關於個人資料使用的權利,包括:

  • 知情權:必須以易於理解的方式告知個人其資料的收集和處理方式
  • 資料可攜帶權:個人可以將其資料從一個資料控制者處轉移到另一個資料控制者處
  • 存取權:個人有權獲得所收集之個人資料的複本
  • 更正權:個人可以糾正有關自身的不准確資料
  • 限制處理權:在某些情況下,個人可以限制其個人資料的處理方式
  • 反對權:個人可以反對資料收集和處理,資料控制者或處理者必須提供使用資料的正當理由(與直接行銷無關的理由)
  • 反對自動化處理權:個人可以反對基於自動資料處理的、對其有法律影響的決定

閱讀什麼是 GDPR?瞭解更多資訊