GDPR被遗忘权:第17条删除权详解(2026)

GDPR被遗忘权允许您在符合第17条第1款规定的六项具体情形之一时,要求某机构删除有关您的个人数据,除非该控制者可依第17条第3款规定的五项例外之一予以拒绝。该权利于2014年由欧盟法院确立为一项法律权利,并被编入《条例(EU)2016/679》,既涵盖企业数据库中的直接删除,也涵盖搜索引擎结果中的去索引(去链接)处理。控制者必须在一个月内作出回应。
有关GDPR全部八项数据主体权利的整体概述,请参阅GDPR数据主体权利。有关该条例整体背景的介绍,请参阅什么是GDPR。若想在决定是否申请删除之前,先了解控制者掌握了您的哪些数据,请参阅配套权利指南GDPR访问请求。本页是关于第17条删除权的完整指南。
GDPR被遗忘权:第17条删除权详解(2026)
GDPR第17条究竟规定了什么
《条例(EU)2016/679》第17条第1款规定:在符合六项情形之一时,数据主体有权要求控制者不得无故拖延地删除有关其本人的个人数据。"不得无故拖延"这一表述,由第12条第3款规定的一个月回应期限赋予了具体含义。
该条例序言第65段阐明了立法目的。其规定,当个人数据已不再是收集或以其他方式处理该数据的原始目的所必需,或同意已被撤回,且不存在其他合法处理依据时,数据主体应有权要求删除其个人数据并停止处理。序言第65段将网络环境认定为该项权利最为重要的适用场景,并明确将童年时期分享的数据列为优先关注事项。
序言第66段补充了网络环境下的连锁扩展维度:被遗忘权的适用范围应进一步扩展,使已公开个人数据的控制者负有义务,告知正在处理该数据的其他控制者删除任何指向该数据、或该数据副本或复制件的链接。该序言段落是第17条第2款项下通知第三方控制者义务的直接结构性基础,也为将该权利适用于搜索引擎去索引提供了立法依据,即便原始网页依然在线发布。
这些序言本身并非具有约束力的法律条款,但它们是理解立法机关意图的权威解释依据。欧盟法院及各监管机构在解决正文条款中存在歧义时,均会援引序言内容。
第17条第1款项下的六项删除情形
只有当您的情形符合第17条第1款(a)项至(f)项所列六项情形之一时,删除请求方可触发第17条的适用。下表提供快速参考;后续各节将逐一说明各项情形。
| 情形 | 条款 | 触发条件 |
|---|---|---|
| 数据已不再必要 | 第17条第1款(a)项 | 原始处理目的已经结束 |
| 同意已撤回 | 第17条第1款(b)项 | 同意为唯一合法依据且您已撤回同意 |
| 异议成功 | 第17条第1款(c)项 | 依第21条提出的异议成功,或对直接营销提出异议 |
| 处理不合法 | 第17条第1款(d)项 | 数据的收集或留存缺乏有效合法依据 |
| 法定删除义务 | 第17条第1款(e)项 | 欧盟或成员国法律明确要求删除 |
| 未成年人数字服务数据 | 第17条第1款(f)项 | 数据系在您未成年时因使用信息社会服务而被收集 |
(a) 数据已不再为原始目的所必需
如果某机构收集有关您的数据是为了实现某一特定、明确的目的,而该目的已经结束,那么该机构依第5条第1款(e)项(存储限制原则)已不再具有继续持有该数据的合法依据。例如,某零售商仍保留您数年前一次购物所产生的详细行为画像,却不存在任何持续的合同或法律关系可以证成该留存,即为典型例证。关键问题在于该数据是否仍然为其收集时的特定目的所需要,而非控制者能否设想某种假设性的未来用途。
该情形在实践中最常被援引,因为它适用于最广泛的处理活动。它并不要求您证明控制者存在过错或违法行为,只需证明原始正当理由已经失效即可。
(b) 同意已撤回且不存在其他合法依据
如果处理您个人数据的唯一合法依据是您依第6条第1款(a)项作出的同意,而您撤回了该同意,控制者必须删除该数据。关键限定词是"不存在其他合法依据":如果控制者能够援引另一项依据,例如第6条第1款(b)项的合同依据、第6条第1款(c)项的法律义务依据,或第6条第1款(f)项的合法利益依据,则可仅以同意撤回为由拒绝该删除请求。
实践中有两点值得注意。第一,同意撤回具有前瞻效力:它不会使撤回之前发生的处理行为溯及既往地变为非法。第二,识别替代合法依据的举证责任由控制者承担。控制者不能仅笼统主张存在替代依据,而必须具体说明适用哪一项依据及理由。
(c) 依第21条提出的异议成功
第21条第1款赋予您对基于合法利益或公共利益任务的处理提出异议的权利。控制者只有在能够证明存在压倒您利益、权利和自由的令人信服的合法理由时,方可驳回您的异议。若控制者不存在此类理由,该异议即告成功,触发第17条第1款(c)项:删除随异议成功而来。
第21条第2款创设了一条无条件路径:针对直接营销目的的处理提出异议,不适用任何权衡测试。收到直接营销异议的控制者不能援引公共利益理由,也不能援引任何独立适用于该数据本身以外的第17条第3款例外。第21条第2款的异议构成对直接营销处理的完全阻却,专为该目的持有的数据必须随之删除。
(d) 处理不合法
凡数据处理违反GDPR规定(收集时缺乏有效合法依据、留存超过合法期限、处理方式与原始目的不符,或通过欺骗手段获取),无论控制者是否仍对该数据存在某种技术层面的"目的",均可申请删除。该情形既涵盖初始违法(数据本就不应被收集),也涵盖事后违法留存(数据收集时合法,但留存超过了允许的期限)。
一个常见适用场景是:控制者以同意作为合法依据,但该同意表单本身无效(预先勾选的选项、捆绑同意、缺乏具体目的说明),因此该处理自始即属违法。即便控制者事后想要追溯主张合法利益依据,情形(d)依然适用。
(e) 欧盟或成员国法律要求删除
部分欧盟法规及各国法律规定了强制留存期限,期满后须强制删除。当此类法律义务明确要求在特定期限后删除数据,该义务本身即触发第17条第1款(e)项情形。多个成员国的医疗记录留存法律即为一例:它们要求记录在法定期限内保存,期满后予以销毁。
该情形相对狭窄:相关法律义务必须明确要求删除,而非仅仅是允许删除或对此保持沉默。
(f) 数据系因未成年人使用信息社会服务而被收集
第17条第1款(f)项是关于未成年人数据的情形,也是控制者最难以抗辩的一项。依GDPR第8条第1款,信息社会服务(社交媒体平台、应用程序、网络游戏及类似数字产品)默认的最低同意年龄为16岁。成员国可将该门槛降至不低于13岁,许多成员国已经这样做。
凡在您未达到适用的本国年龄门槛、且未获得父母或监护人有效同意的情况下收集的有关您的数据,均属依第8条规定的非法处理。该项非法收集同时触发第17条第1款(d)项及第17条第1款(f)项。序言第65段对此明确加以强调,指出当数据主体在数据收集时尚为未成年人时,被遗忘权尤为重要。
关键在于,即便您现已成年,该情形依然适用。相关的判断依据是数据收集时您的年龄,而非您目前的年龄。如果您在某成员国14岁时创建了一个社交媒体账户,而该国规定的同意年龄为16岁,您成年后仍可同时援引第17条第1款(f)项和(d)项,要求删除该未成年时期所收集的全部数据。平台不能以其目前与您作为成年人之间的合法关系为由,来对抗针对未成年时期所收集数据提出的删除请求。
唯一的实际限制来自第17条第3款的例外情形。若某些数据须依法律义务留存(例如税法要求保留的财务交易记录),该特定部分数据可予以保留。但行为画像、广告数据、您未成年时发布的内容,以及纯粹用于运营目的的记录,不太可能落入第17条第3款的任何例外范围。
五项例外:第17条第3款下何时可拒绝删除
即便第17条第1款所列六项情形之一适用,若继续处理对实现第17条第3款(a)项至(e)项所列五项目的之一属必要,控制者仍可合法拒绝删除。下表先行汇总这些例外情形,随后逐一说明。
| 例外 | 条款 | 典型适用场景 |
|---|---|---|
| 表达自由与信息自由 | 第17条第3款(a)项 | 新闻报道、新闻档案、公共利益评论 |
| 法律义务或公共利益任务 | 第17条第3款(b)项 | 税务记录、医疗记录、监管合规 |
| 公共卫生 | 第17条第3款(c)项 | 疾病监测、医学研究 |
| 存档、研究、统计 | 第17条第3款(d)项 | 公共利益档案、科学研究数据集 |
| 法律诉求 | 第17条第3款(e)项 | 诉讼、监管调查、仲裁 |
识别适用哪一项例外情形的举证责任由控制者承担,且控制者在拒绝请求时必须以书面形式向您说明。未援引第17条第3款任何具体依据的笼统拒绝,本身即构成对GDPR的违反。
(a) 表达自由与信息自由
新闻报道、评论、观点、公共利益报道,以及对真正具有公共关切价值的信息进行存档,均可能落入该例外范围。在搜索引擎场景下,该例外被援引最为频繁且争议最多,运营商常以此为由,主张保留指向涉及个人的新闻文章的链接。
该例外并非没有限度。天平在以下情形下倾向隐私一方:事件已经久远;当事人未曾扮演公共角色;该信息已不再具有现实公共意义;或当事人在事发时尚为未成年人。而在以下情形下则倾向表达自由一方:当事人为公众人物;信息涉及其公共职务的履行;事件发生时间较近;或公众对该信息确实存在持续的关切。欧洲数据保护委员会《指南5/2019》(关于搜索引擎场景下被遗忘权的判断标准)列出了一份非穷尽性的评估标准清单,包括数据主体在公共生活中所扮演的角色、信息的性质、事件经过的时间,以及任何有关当事人已获改过自新的考量因素。
(b) 法律义务、公共利益任务或官方职权的行使
若欧盟或成员国法律要求控制者留存数据,控制者不能仅因收到请求便予以删除。劳动法、税法、社会保障法、反洗钱要求以及医疗记录留存规则,是强制留存期限最常见的法律来源。当处理行为为履行第6条第1款(e)项规定的公共利益任务或行使官方职权所必需时,行使官方职能的公共机构和团体也适用该例外。
该例外要求留存对履行该法律义务或公共利益任务确属真实必要。控制者不得以某项仅有间接关联的法律规则为借口,为其出于商业原因希望保留数据的做法进行掩饰。
(c) 公共卫生
为公共卫生领域的公共利益目的(疾病监测、流行病学研究、药物警戒、跨境卫生威胁应对)所必需的处理,可能会否决删除请求,对第9条项下的特殊类别健康数据尤为如此。该例外较少被私营企业援引,而更常被公共卫生机构和医疗服务提供者援引。
(d) 公共利益存档、科学研究、历史研究或统计目的
若数据正用于公共利益存档目的,或用于科学、历史研究或统计目的,且满足该删除请求将严重妨碍上述目标实现,则可拒绝删除请求。国家档案馆、纵向学术研究项目及官方统计数据集,是该例外最常见的受益对象。
关键限定词是"严重妨碍":控制者不能将该例外作为对任何可能对未来研究有潜在用处的数据集的笼统保护伞。该妨碍必须能够被证明确属严重,且该研究目的必须真正符合公共利益。
(e) 确立、行使或抗辩法律诉求
若某机构需要留存数据以提起、进行或抗辩诉讼、仲裁、监管程序或类似法律程序,可援引该例外。该例外在劳动争议(可能需要人力资源记录以抗辩不当解雇索赔)、金融服务领域(交易记录用于监管调查)、保险理赔以及职业过失事务中最为常见。
该例外仅涵盖特定法律诉求或程序所需的数据,而非控制者的全部记录。一旦程序终结,依该例外继续留存数据的正当理由即告消失。
向其他控制者的连锁扩展:第17条第2款
第17条第2款处理的是控制者已将您的个人数据公开的情形,例如将其发布于网站、与广告合作伙伴共享,或通过数据交易平台分发。当该控制者依第17条第1款须删除其已公开的数据时,第17条第2款要求其考虑现有技术及实施成本,采取包括技术措施在内的合理步骤,告知正在处理该数据的其他控制者,您已请求删除任何指向该数据的链接、副本或复制件。
正是这一条款,使被遗忘权在结构上区别于针对单一公司的简单删除请求。发布该数据的控制者负有告知下游控制者该删除请求的义务。而这些下游控制者随后须独立负责在其自身系统内履行删除义务。
在搜索引擎场景下,第17条第2款为直接向搜索引擎运营商提交去索引请求提供了独立依据,该请求与向原始发布方提出的任何请求相互独立。当某网站持有关于您的合法公开发布内容时,您可以向搜索引擎请求去索引,因为搜索引擎本身即属于处理了该公开数据的控制者,符合第17条第2款的含义。您无需先行使原始网页被删除,才能提出去索引请求。
删除权与访问请求权的区别
第17条项下的删除权与第15条项下的访问权(即访问请求,SAR)是服务于不同目的的独立权利,尽管二者在实践中常被依序结合使用。
第15条项下的访问请求赋予您获得确认(某控制者是否持有关于您的个人数据)、获取该数据副本,以及了解其处理方式相关信息的权利。这些信息涵盖处理目的、合法依据、任何接收方,以及留存期限。访问请求属于信息获取权。它使您能够在决定如何处置这些信息之前,先行了解控制者掌握了哪些内容。
第17条项下的删除权属于行为权:它指示控制者删除数据。这两项权利在逻辑上相互关联,但在程序上彼此独立:访问请求并不会触发删除义务,删除请求也不会使您有权在数据被删除之前获得其副本。
在实践中,许多隐私顾问建议先提交访问请求,以准确了解控制者持有哪些数据、其合法依据及留存政策。掌握这些信息后,您将更容易判断适用第17条第1款的哪一项情形,并预测控制者可能援引第17条第3款的哪些例外。
依第12条第3款,这两项权利均适用相同的一个月回应期限;依第12条第5款,二者均为免费。
该权利的起源:谷歌诉西班牙案(C-131/12号案,2014年)
适用于搜索引擎的被遗忘权早于GDPR便已存在。它由欧盟法院于2014年5月13日在C-131/12号案(谷歌西班牙有限公司及谷歌公司诉西班牙数据保护局(AEPD)及Mario Costeja Gonzalez,大法庭判决)中确立。该案是在当时适用的95/46/EC号数据保护指令下提出的;GDPR随后在第17条中将这一原则予以编纂并强化。
案情如下:西班牙公民Mario Costeja Gonzalez要求谷歌移除搜索结果,该结果在输入其姓名时,会显示一则1998年刊登的、有关一起早已解决的债务相关房产拍卖的报纸公告。原始报纸文章的发布本身是合法的。争议焦点在于:谷歌通过对该结果进行索引并返回,是否自身也须承担数据保护义务。
法院在判决第33段认定,搜索引擎的活动(查找第三方发布或放置于互联网上的信息,对其进行自动索引、临时存储,并按特定优先顺序向互联网用户提供)如果所涉信息包含个人数据,应被定性为个人数据处理。这解决了一个基础性问题:搜索引擎并非被动的信息通道。
法院在判决第34段认定,搜索引擎运营商必须被视为该处理活动的控制者(依95/46/EC指令第2条(d)项,现为GDPR第4条第7款),因为其决定了该处理的目的和方式。这是使去索引权在法律上得以成立的门槛性认定:搜索引擎属于负有数据保护义务的数据控制者。
就删除权的实体内容而言,法院在判决第88段认定,搜索引擎运营商有义务从以某人姓名进行搜索所显示的结果列表中,移除指向包含该人相关信息的第三方发布网页的链接,即便该信息在这些网页上的发布本身是合法的。因此,从搜索结果中移除的权利,独立于原始网页发布是否合法。
判决第81段的权衡测试提供了指导性标准:依《欧盟基本权利宪章》第7条和第8条,数据主体享有的隐私权及数据保护权,"原则上不仅超越搜索引擎运营商的经济利益,也超越公众获取该信息的一般利益。"例外情形是,基于数据主体在公共生活中所扮演的角色等特殊原因,公众获取该信息的优势利益确实证成对基本权利的干预。这正是公众人物区分标准的基础,至今仍是所有去索引裁决的核心考量。
去索引的效力范围:谷歌诉CNIL案(C-507/17号案,2019年)
GDPR于2018年5月生效后,法国数据保护机构(国家信息与自由委员会,CNIL)责令谷歌在其全球所有版本的搜索引擎上实施去索引,而不仅限于面向欧盟成员国的域名。CNIL的理由是,若仅限于面向欧盟的域名进行去索引则无实际效果,因为任何欧盟用户都能轻易通过google.com或其他非欧盟域名访问到已被移除的搜索结果。
谷歌对该全球范围要求提出了异议。在C-507/17号案(谷歌有限责任公司诉CNIL案,大法庭,2019年9月24日判决)中,欧盟法院裁定,欧盟法律并不要求实施全球性去索引。
该案主要裁决认定,搜索引擎运营商无需在其搜索引擎的全部全球版本上实施去索引,而只需在与所有成员国相对应的版本上实施。这一结论基于两项理由:第一,GDPR第3条规定的地域适用范围及第17条规定的被遗忘权,依欧盟立法意图,并不要求施加超出欧盟境外的义务。第二,众多第三国并不承认去索引权,或采取实质不同的处理方式,若将欧盟标准施加于全球,实际上等同于要求欧盟法律凌驾于这些司法辖区自身的法律选择之上。
然而,该判决并未使欧盟用户在实际访问层面失去保护。法院认定,在欧盟境内,负责去索引的运营商必须实施足够有效的措施,防止欧盟用户通过搜索引擎的非欧盟版本访问已被移除的链接。实践中,这意味着地理限制:当法国用户访问google.com而非google.fr时,基于其经地理定位确认的欧盟境内身份,该已被移除的结果仍须对该用户予以屏蔽。
实际效果是:成功的去索引请求会从google.fr、google.de、google.it及所有其他欧盟域名版本中移除相关链接。地理限制应能防止身处欧盟的用户在google.com上看到该已被移除的结果。而对于身在美国或日本、在欧盟境外访问google.com的用户而言,同一链接仍然可见。
欧洲数据保护委员会的执法与2025年协调行动
欧洲数据保护委员会已发布《指南5/2019》,就GDPR项下搜索引擎场景中被遗忘权的判断标准作出规定,该指南于2020年7月经公众咨询后正式定稿。该指南列出了十三类案件情形(涵盖曾涉刑事诉讼的数据主体、犯罪受害者到公众人物等),并明确了监管机构在评估是否应批准或拒绝去索引请求时应权衡的因素。
2026年2月,欧洲数据保护委员会公布了其关于删除权的协调执法行动(2025年协调执法框架,CEF 2025)结果,该行动考察了全欧盟各控制者在实践中落实删除请求的情况。该协调行动发现了普遍存在的问题:回应不完整,即确认收到请求但未确认是否已实际完成删除;援引例外情形但未充分说明具体适用哪一项例外;以及在未启用允许的两个月延期的情况下,超过一个月期限仍未回应。该报告要求各参与成员国的监管机构对存在系统性合规问题的控制者进行后续跟进。
该协调执法机制反映出欧洲数据保护委员会在应对系统性问题方面已日趋成熟。委员会不再任由各国数据保护机构各自独立发现违规情况,而是针对高优先级权利,在多个司法辖区协调开展同步执法行动。删除权之所以被选为2025年重点行动对象,正是因为相关"回应不完整"和"无理由拒绝"的投诉数量众多。
如何向控制者提交删除请求
第12条第3款要求控制者在收到请求后一个自然月内作出回应。法律并未规定固定的提交格式。您可通过电子邮件、在线隐私权利门户或邮寄信函提交请求。目前,大多数在GDPR框架下运营的大型机构均设有专门的隐私权利门户,通常可在其网站页脚以"隐私权利"、"数据主体请求"或"我的隐私选择"等标签链接找到。
请求应包含哪些内容
您的请求应足够具体,使控制者能够识别您的身份并理解您的诉求。请包含以下内容:
- 您的全名,以及该机构用于识别您的任何标识信息:电子邮件地址、账户用户名、客户编号或参考编号。
- 您希望删除的具体数据或数据类别。您描述得越精确越好。如果您已先行提交访问请求,将能更清楚地了解控制者持有哪些数据。
- 您所依赖的第17条第1款情形。法律并不强制要求指明该情形,但这样做能引起控制者的重视,并使其更难以模糊回应。例如:"本人依GDPR第17条第1款(a)项请求删除,因为该数据已不再为其收集目的所必需",或"依第17条第1款(b)项请求删除,因为本人在此撤回同意,且不存在其他合法依据"。
- 要求以书面形式确认删除已经完成,并列明已删除的数据类别。
- 用于接收回复的联系方式。
依第12条第5款,该回应应为免费。若请求明显缺乏依据或过度频繁(尤其因其重复性质),控制者可收取合理费用或拒绝处理,但证明达到该门槛的举证责任完全由控制者承担。单次表述清晰的删除请求不能被认定为过度。
身份核实
若控制者无法通过商业上合理的手段核实您的身份,可要求您提供补充信息。控制者不得以此为借口彻底拒绝处理请求,也不得借机延长回应期限而不作通知。第12条第6款允许控制者请求确认数据主体身份所需的补充信息,但控制者必须及时进行核实,不得利用该核实步骤拖延一个月回应期限的时钟。
提交之后会发生什么:时间线与升级途径
第12条第3款给予控制者自收到请求之日起一个自然月的回应期限。对于复杂案件或同时收到大量请求的情形,第12条第3款允许最多再延长两个月,但控制者必须在第一个月内将延期决定及理由通知您。无论何种情形,您至少应在一个月内收到一份实质性的确认回复;保持沉默不构成有效回应。
如果控制者依请求采取行动,必须确认删除已经完成,并说明哪些数据或数据类别已被删除。仅回复"我们已收到您的请求"而未确认已采取行动,不符合第12条的要求。
如果控制者决定不采取行动,第12条第4款要求其立即通知您,最迟不得晚于收到请求后一个月,并说明不予处理的理由,同时告知两条升级途径:向监管机构(您所在国的数据保护机构)提出投诉的权利,以及直接在控制者所在成员国法院对该控制者寻求司法救济的权利。
违反第17条的行为(包括未能及时回应或无理由拒绝),依GDPR第83条第5款(b)项被认定为侵犯数据主体权利,适用最高罚款档次。最高行政罚款为2000万欧元,若为企业,则为其上一财政年度全球年营业额4%,以较高者为准。
如何提交搜索引擎去索引请求
对于依第17条第1款及第17条第2款要求从搜索结果中去索引,应直接向搜索引擎运营商提交请求,而非向承载该内容的网站提交。搜索引擎属于独立的控制者。
您的请求应载明:
- 您希望从搜索结果中移除的具体网址(请直接从搜索结果页面复制确切链接)。
- 导致这些网址与您的姓名关联出现的具体搜索查询词。
- 您所依赖的第17条第1款情形。
- 说明该结果为何与您的隐私利益相比属于不相关、过时、过度或缺乏正当理由,例如事件已经久远、您并非公众人物、该事项已经解决,或事发时您尚为未成年人。
搜索引擎运营商会对去索引请求逐一审查。若其认定第17条第3款(a)项的公共利益例外适用,尤其涉及公众人物、近期或正在进行的新闻事件,或确实涉及公共利益的职业行为信息时,可能会拒绝该请求。如果搜索引擎拒绝您的请求,您可将其升级至本国数据保护机构,该机构可展开调查,若认定该拒绝缺乏正当理由,可责令运营商予以遵守。您也可以直接在该运营商欧盟机构所在成员国的法院对该拒绝提出异议。
英国GDPR:脱欧后的对应制度
英国脱欧后,依据《2018年欧盟(脱欧)法》,将GDPR以《英国GDPR》的形式予以保留,并与《2018年数据保护法》并行适用。英国GDPR项下的删除权在核心结构上与欧盟GDPR第17条相同:同样的第17条第1款六项情形、同样的第17条第3款五项例外,以及同样的第12条第3款一个月回应期限。
与欧盟GDPR的主要区别如下:
英国GDPR由信息专员办公室(ICO)负责执法,而非由欧盟成员国监管机构或欧洲数据保护委员会负责。如果您身处英国,且您的删除请求被拒绝,您应向ICO投诉,而非向欧洲大陆的数据保护机构投诉。
ICO已针对个人和机构分别发布了有关删除权的详细指南,涵盖如何评估删除是否属必要、如何处理未成年人提出的请求,以及例外情形何时适用。该指南以相同的第17条框架为基础,但随着脱欧后两套法律体系各自独立发展,其内容可能会与欧洲数据保护委员会的指南逐渐产生差异。
对个人而言:英国居民针对在英国设立的控制者行使删除权时,应向ICO投诉。英国居民若针对依欧盟GDPR处理英国居民数据、且设立于欧盟的控制者行使权利,出于欧盟法律执法目的,仍须与相关欧盟成员国数据保护机构进行沟通,尽管实际解决过程往往会涉及两方监管机构。
美国不存在联邦层面的对应制度
美国并不存在与GDPR被遗忘权对应的全面联邦立法。美国没有一部普遍适用的联邦数据隐私法规,赋予消费者要求私营机构删除个人数据的普遍性权利。
美国州一级最接近的对应制度,是经《加州隐私权利法》(CPRA)修订后的《加州消费者隐私法》(CCPA)项下的删除权,该权利编入《加州民法典》第1798.105条。该权利仅适用于加州居民与达到特定营收或数据量门槛的受管辖企业之间的关系,且该法本身也附有大量的例外情形清单。
在联邦层面,《儿童在线隐私保护法》(COPPA,《美国法典》第15编第6501条)赋予家长权利,要求受COPPA管辖的运营商删除在线收集自13岁以下儿童的个人数据。COPPA的年龄门槛固定为13岁,不存在州级自由裁量空间;该法仅适用于面向儿童的运营商,或明知正在收集儿童数据的运营商;且该权利归属于家长,而非个人本人。
美国法院普遍拒绝承认强制搜索引擎移除合法内容的权利,理由是《宪法第一修正案》以及《通信规范法》第230条。在现行联邦法律下,美国居民无法复制第17条项下的删除请求。
实用步骤:清单总结
无论您是提出请求的个人,还是需要决定如何处理请求的机构,以下步骤均体现了第17条框架的要求。
针对提出删除请求的个人:
- 确定第17条第1款六项情形中哪一项适用于您的情况。
- 如果您不确定情形(a)(数据已不再必要)是否适用,可考虑先依第15条提交访问请求,以准确确定控制者持有哪些数据及其合法依据。
- 以书面形式提交删除请求,写明所依据的情形、具体数据及您的联系方式。该请求应为免费。
- 记录提交日期:一个月的期限从控制者收到请求之日起计算。
- 如果控制者在一个月内未予回应,或在拒绝时未援引第17条第3款的具体例外情形,可向您所在国的数据保护机构投诉(在英国为ICO)。
- 对于搜索引擎去索引,可直接通过运营商的隐私权利表单提交请求,列明具体网址及理由。
针对处理删除请求的机构:
- 以相称的方式核实请求人身份,并及时回应。
- 评估六项情形中是否有适用者。
- 如某一情形适用,须评估是否存在第17条第3款例外可证成继续留存,并对该评估予以记录。
- 如决定删除,须以书面形式确认已删除的具体数据。
- 如决定拒绝,须在拒绝函中明确指出所适用的第17条第3款具体例外,并告知请求人有权向监管机构投诉及寻求司法救济。
- 如该数据已被公开,须履行第17条第2款的连锁通知义务,将删除请求告知下游控制者。
- 须在一个月内回应;如需延期,须在第一个月期满前将延期决定及理由通知请求人。
免责声明: 本页面提供有关GDPR删除权的一般性法律信息,不构成法律意见。数据保护法涉及复杂的具体事实评估,且在欧盟各成员国之间存在重要差异。如果您作为数据主体或控制者正面临具体的删除情形,请咨询具备相应资质的数据保护律师或您所在国的数据保护机构。
相关指南
Frequently Asked Questions
GDPR项下的被遗忘权是什么?
被遗忘权是《条例(EU)2016/679》(GDPR)第17条项下删除权的通俗说法。它赋予个人权利,要求控制者(任何处理其个人数据的机构)在符合六项具体情形之一时,不得无故拖延地删除该数据。这些情形包括:数据已不再为收集目的所需要;同意已被撤回;个人已成功对处理提出异议;处理不合法;法律义务要求删除;或数据系在该个人未成年时因使用数字服务而被收集。该权利并非绝对:第17条第3款规定的五项例外允许控制者在继续处理为表达自由、法律义务、公共卫生、研究目的或抗辩法律诉求所必需时予以拒绝。
如何依GDPR申请删除?
向控制者的数据保护联系人或隐私权利门户(通常可在该机构网站页脚找到链接)提交书面删除请求。请写明您的姓名及账户标识信息,说明您希望删除的具体数据或数据类别,注明您所依赖的第17条第1款情形,并要求以书面形式确认已完成删除。该请求免费提出。控制者必须在一个自然月内作出回应。如拒绝,须说明理由并告知您如何向本国数据保护机构投诉。如果控制者在一个月内完全未作回应,这本身即构成对GDPR的违反,您可向本国数据保护机构投诉。
GDPR被遗忘权有哪些例外情形?
第17条第3款规定了五项例外情形,即便符合第17条第1款六项情形之一,控制者仍可据此拒绝删除请求。这些例外分别为:(a)表达自由与信息自由,涵盖新闻报道、评论及公共利益档案;(b)履行法律义务或执行公共利益任务,涵盖劳动法、税法、医疗法及金融法项下的强制留存期限;(c)公共卫生,涵盖疾病监测及医学研究;(d)公共利益存档、科学或历史研究,或统计目的,若删除将严重妨碍该研究;以及(e)确立、行使或抗辩法律诉求,涵盖诉讼及监管程序。控制者必须明确指出所适用的具体例外情形,并以书面形式告知您。未援引任何依据的笼统拒绝本身即构成对GDPR的违反。
被遗忘权是否适用于谷歌搜索结果?
适用。欧盟法院在谷歌诉西班牙案(C-131/12号案,2014年)中裁定,搜索引擎属于数据控制者,在符合第17条第1款情形之一时,必须依请求从结果中移除相关链接,即便底层网页仍属合法发布。您可直接向搜索引擎运营商提交去索引请求。然而,谷歌诉CNIL案(C-507/17号案,2019年)确认,欧盟法律并不要求全球性去除:该义务仅限于面向欧盟成员国的搜索引擎版本(google.fr、google.de等),不过须通过地理限制,防止欧盟用户经由google.com等非欧盟域名访问被移除的结果。
我提出删除请求后,公司须在多长时间内删除我的数据?
依GDPR第12条第3款,控制者必须在收到您的请求后一个自然月内采取行动并确认已采取的行动。该一个月的期限从收到请求之日起计算,而非从任何确认收悉之日起计算。对于复杂案件或同时收到大量请求的情形,控制者可将该期限最多再延长两个月,但必须在第一个月内将延期决定及理由通知您。超过一个月保持沉默即构成对GDPR的违反。如果您在一个月内未收到任何回应,可向您所在国的数据保护机构投诉。
我可以要求删除在我未成年时被收集的数据吗?
可以,而且这是现有最有力的删除依据之一。GDPR第17条第1款(f)项赋予您权利,要求删除在您未成年时因使用信息社会服务(社交媒体平台、应用程序、游戏或类似数字服务)而被收集的个人数据。GDPR将此类服务的最低同意年龄默认设定为16岁,不过成员国可将该门槛降至不低于13岁。如果数据是在您未达到适用年龄门槛时被收集,该收集行为即属非法,您可同时依据第17条第1款(d)项(处理不合法)和第17条第1款(f)项主张权利。您可在成年后提出该请求;重要的是数据收集时您的年龄,而非您目前的年龄。
GDPR删除请求与访问请求有何区别?
依GDPR第15条提出的访问请求属于信息获取权:它使您能够了解控制者持有哪些关于您的个人数据、持有原因及处理方式。依第17条提出的删除请求属于行为权:它指示控制者删除该数据。这两项权利常被依序结合使用,先通过访问请求了解存在哪些数据及其合法依据,再据此提出删除请求。二者均为免费,且依第12条均适用一个月的回应期限。提出访问请求不会自动触发删除,提出删除请求也不会使您有权在数据被删除前获得其副本。
被遗忘权是全球适用,还是仅在欧盟境内适用?
GDPR删除权适用于身处欧盟的数据主体,以及在欧盟设立或以欧盟居民为目标的控制者。它并不自动扩展至涵盖非欧盟公司对非欧盟个人的处理行为。就搜索引擎去索引而言,欧盟法院在谷歌诉CNIL案(C-507/17号案,2019年)中裁定,欧盟法律仅要求从面向欧盟成员国的搜索引擎版本中移除,而非全球范围。美国居民不享有依GDPR要求某美国公司删除数据的权利,不过其可能依美国州法律(例如加州CCPA的删除权)享有相应权利。
如果公司拒绝我的删除请求,我该怎么办?
如果控制者拒绝您的删除请求,必须以书面形式向您说明理由,并援引第17条第3款的具体例外情形,同时告知您如何升级处理。您主要有两条途径:第一,向本国监管机构投诉(在英国为ICO;在法国为CNIL;在德国为相关州数据保护机构或联邦数据保护专员;在爱尔兰为DPC),该机构可展开调查并责令控制者履行合规义务;第二,依GDPR第79条,直接在控制者所在成员国法院对该控制者寻求司法救济。无理由拒绝及完全不予回应,均可能导致最高2000万欧元或全球年营业额4%(以较高者为准)的行政罚款。
美国是否存在被遗忘权?
美国不存在与GDPR被遗忘权对应的联邦层面制度。最接近的对应制度是加州CCPA/CPRA项下的删除权,编入《加州民法典》第1798.105条,仅适用于加州居民与受管辖企业之间的关系,且附有广泛的例外情形。在联邦层面,COPPA赋予家长要求删除13岁以下儿童数据的权利,但其适用范围较窄,仅限于面向儿童的服务运营商。美国法院普遍拒绝要求搜索引擎移除合法内容,理由是《宪法第一修正案》及《通信规范法》第230条。
Sources and References
- 《条例(EU)2016/679》(GDPR),欧盟官方公报全文,含第12、17、21条及序言第65-66段(eur-lex.europa.eu)
- 欧盟法院C-131/12号案,谷歌西班牙有限公司及谷歌公司诉AEPD及Mario Costeja Gonzalez,大法庭,2014年5月13日(eur-lex.europa.eu)
- 欧盟法院C-507/17号案,谷歌有限责任公司诉法国国家信息与自由委员会(CNIL),大法庭,2019年9月24日(eur-lex.europa.eu)
- 欧洲数据保护委员会《指南5/2019》(GDPR项下搜索引擎场景被遗忘权判断标准),经公众咨询后于2020年7月7日通过(edpb.europa.eu)
- 欧洲数据保护委员会协调执法行动:控制者删除权落实情况(2025年协调执法框架报告,2026年2月18日)(edpb.europa.eu)
- 《加州民法典》第1798.105条(CCPA/CPRA删除权),加州立法信息网(leginfo.legislature.ca.gov)