吴沈括，北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长。

李书云，北京师范大学网络法治国际中心研究助理。

近期，瑞典数据保护机关（DPA）对谷歌违反GDPR的规定处以7500万瑞典克朗（约700万欧元）的罚款，因为作为搜索引擎运营商的谷歌在要求删除权方面没有履行其相关义务。

2017年，瑞典数据保护机关完成了一项审查，审查涉及谷歌如何处理个人的权利，即在缺乏准确性、相关性或被视为冗余的情况下，从谷歌搜索引擎中删除包含其姓名的搜索结果列表。 DPA在其决定中得出结论，应删除许多搜索结果列表，并随后命令谷歌予以删除。  

在2018年，由于有迹象表明谷歌没有完全遵守先前发布的命令，瑞典DPA发起了后续审核，该审核现已完成，DPA对谷歌处以罚款。

欧盟GDPR提高了收集和处理个人数据的组织的责任水平，并增强了个人的权利。 这些权利的重要组成部分是个人可以将其搜索结果从清单中予以删除。瑞典DPA总干事Lena Lindgren Schelin强调谷歌并未完全履行与该数据保护权有关的义务。

瑞典DPA认为谷歌未能正确删除DPA于2017年命令予以删除的两个搜索结果列表这一事实至为重要。在一个案件中，谷歌对需要从搜索结果列表中删除哪些网址的解释过于狭窄，而在另一个案件中，谷歌未能及时删除搜索结果列表。

当谷歌删除搜索结果列表时，它会以某种方式告知链接指向的网站，从而使网站所有者知道删除了哪个网页链接以及谁是请求删除权的主张者。 这使网站所有者可以将有问题的网页重新发布到另一个网址上，然后将其显示在谷歌搜索中，但这实际上使得请求删除权陷于无效。事实上，删除搜索结果列表时，谷歌没有法律依据来告知网站所有者，此外还通过请求表中的声明给予个人误导性信息。这就是DPA命令Google停止并放弃这种做法的原因。

谷歌可能会在该处罚决定后三周内对瑞典DPA的决定提出上诉。如果谷歌决定不提起上诉，该决定将在该时期限结束后生效。该决定生效后，将移交给法律、金融和行政服务局（Kammarkollegiet），由该机关根据GDPR办理罚款手续。

本次处罚涉及的个人数据处理是谷歌作为搜索引擎运营商开展的数据处理业务的一部分。该部分谷歌业务，由在美国成立的Google LLC（谷歌集团的母公司）决定处理的目的和方式。由于针对该部分谷歌业务，其在欧盟境内不存在主营业地，因此欧盟境内的每个监管机构都有权调查其领土内可能存在的违反GDPR的行为。

需要补充的是，对于删除搜索结果列表的权利，欧盟法院于2014年5月的裁判指出，如果搜索结果列表缺乏准确性、相关性或被视为冗余的，则个人可以要求搜索引擎提供商（例如谷歌）删除包含该个人姓名的搜索结果列表。2018年5月25日GDPR生效后此权利得到了加强，但是该权利不是绝对的，并不能要求删除所有搜索结果，并且希望行使其权利要求的个人应当直接与搜索引擎提供商取得联系。