Quyền được lãng quên từ thực tiễn phán quyết trong phạm vi Liên minh Châu Âu

08/03/2021

Tóm tắt: Liên minh châu Âu là khu vực tiên phong trên thế giới trong việc ban hành pháp luật liên quan đến quyền được lãng quên (Right to be forgotten) trong các đạo luật bảo vệ dữ liệu cá nhân (Data protection law). Kể từ năm 2014, quyền được lãng quên đã trở thành một trọng tâm tranh luận trên toàn thế giới về làn ranh giữa quyền riêng tư và quyền tự do ngôn luận, bắt nguồn từ một phán quyết của Tòa án công lý Liên minh châu Âu. Năm năm sau đó, vào năm 2019, Tòa án này tiếp tục đưa ra thêm hai phán quyết liên quan đến quyền được lãng quên. Những phán quyết này đã tạo ra các thực tiễn áp dụng và giải thích pháp luật quan trọng trong phạm vi Liên minh châu Âu liên quan đến quyền riêng tư và quyền bảo vệ dữ liệu cá nhân.
Từ khóa: Quyền được lãng quên, đạo luật bảo vệ dữ liệu cá nhân, quyền riêng tư, Liên minh châu Âu.
Abstract: The European Union is a worldwide pioneer in the enactment of legislation regarding the right to be forgotten in the Data Protection Laws. Since 2014, the right to be forgotten has been a focus of debate around the world about the line between privacy and freedom of speech, rooted in one judgment of the European Union Justice Court. Five years later, in 2019, the Court continued to make two more rulings regarding the right to be forgotten. These judgments have created legal practices in the law application and interpretation within the European Union regarding privacy and personal data protection. The article discusses the legislative conception of the right to be forgotten and its codification in the European Union’s legislation. At the same time, the article provides an analysis of the legal implications of the above decisions in the context of the global impacts on Internet users.
Keywords: Right to be forgotten, data protection law, privacy, European Union.
 
 
Quyen-dươc-lãng-quên.jpg1. Ý tưởng lập pháp về quyền được lãng quên và việc pháp điển hóa quyền được lãng quên trong không gian mạng Internet
Quyền đượclãng quên trong không gian mạng Internet được hiểu là quyền đảm bảo những thông tin riêng tư về cá nhân mình sẽ bị xóa khỏi các kết quả tìm kiếm trên Internet và các nền tảng lưu trữ khác trong một số trường hợp nhất định tại một thời điểm nhất định nhằm mục đích không cho phép bên thứ ba truy cập thông tin.
Cách tiếp cận về quyền được lãng quên của Liên minh châu Âu (EU) dựa trên nền tảng quyền bảo vệ dữ liệu cá nhân[1], được xem là một phần của quyền riêng tư[2]. Một cách dễ hiểu, mọi người đều có quyền được tôn trọng đời sống riêng tư[3] và quyền mở rộng bao gồm cả những thông tin về cá nhân; do đó, các quy định của pháp luật EU về bảo vệ dữ liệu nhằm hướng đến bảo mật thông tin cá nhân, đặc biệt những thông tin có khả năng gây tổn hại đến đời sống riêng tư của cá nhân.
Việc ban hành và áp dụng pháp luật về bảo vệ dữ liệu ở châu Âu bắt đầu vào những năm 1970 nhằm kiểm soát việc xử lý thông tin cá nhân của các cơ quan công quyền và các công ty lớn[4]. Ở khu vực EU, lần đầu tiên vào năm 1981, Công ước 108 đã được thông qua liên quan đến bảo vệ cá nhân trong việc xử lý tự động dữ liệu cá nhân. Năm 1995, EU đã thông qua một Chỉ thị liên quan đến việc xử lý dữ liệu cá nhân và di chuyển tự do của dữ liệu - Chỉ thị 95/46/EC (Chỉ thị bảo vệ dữ liệu cá nhân 1995)[5]. Hệ thống các chuẩn mực pháp lý về bảo vệ dữ liệu của EU ngày nay bao gồm Công ước 108 của Hội đồng EU[6], hệ thống các nguồn pháp luật khác của EU[7] - bao gồm Quy định bảo vệ dữ liệu chung (GDPR), các Chỉ thị bảo vệ dữ liệu cho cơ quan cảnh sát và cơ quan tư pháp hình sự cũng như các án lệ liên quan của Tòa án Nhân quyền châu Âu (ECHR) và Tòa án Công lý Liên minh châu Âu (CJEU)[8].
Quyền được lãng quên bắt nguồn từ nhiều ý tưởng đã xuất hiện trước đó trong lĩnh vực pháp luật hình sự, pháp luật dân sự ở châu Âu[9]. Lập luận cơ bản để xuất hiện quyền được lãng quên là thông tin có thể mất tầm quan trọng theo thời gian và do đó việc truy cập vào thông tin đó nên bị hạn chế. Cụ thể, trong pháp luật hình sự ở nhiều quốc gia, có một nguyên tắc về xóa án tích hình sự đã tồn tại lâu đời rằng, sau một thời gian nhất định, cá nhân bị tuyên án hình sự đã thực hiện cải tạo, cá nhân sẽ được xóa án tích này khỏi hồ sơ hình sự của cá nhân[10]. Trên thực tế, điều này có nghĩa là hồ sơ tội phạm những cá nhân này đã hết hạn lưu trữ hoặc được coi là “xóa sạch”. Quyền được lãng quên thông tin trong quá khứ của cá nhân được xem là nảy sinh từ các mong muốn cơ bản của cá nhân được "phát triển cuộc sống của họ theo cách tự quản trị, không bị kỳ thị vĩnh viễn suốt đời hay bị kỳ thị trong một khoảng thời gian nhất định nào đó do hậu quả của một hành động cụ thể được thực hiện trong quá khứ”[11].
Ngoài ra, trong các lĩnh vực pháp luật khác như bảo vệ quyền riêng tư hay danh dự, nhân phẩm cá nhân, các quốc gia ở châu Âu đã ban hành quy định, sau một thời gian, dừng công bố những thông tin đã xâm phạm quyền riêng tư hoặc làm tổn hại danh dự cá nhân. Ở các nước theo hệ thống thông luật, quy định này được gọi là “khoảng thời gian hạn chế” (a limitation period/hay Đạo luật hạn chế - Statue of limitations’; ở các nước theo hệ thống dân luật, quy định này thường được gọi là “thời hiệu”(prescription)[12]. Trong các đơn kiện phản đối việc vẫn tiếp tục đưa tin công khai hành vi lỗi lầm trong quá khứ của cá nhân, nguyên đơn lập luận rằng, đối với những hành vi sai lầm trong quá khứ (được đưa tin công khai), cá nhân phạm tội đã phải trả giá bằng việc cải tạo, chấp hành án phạt và hoàn thành trong một khoảng thời gian trước đó lâu rồi; do đó, xã hội từ lâu không còn gánh chịu tác hại từ những hành vi sai lầm này. Vì vậy, xã hội hãy lãng quên và hướng đến những điều tích cực hơn[13]. Mặc dù pháp luật ghi nhận một số thông tin có thể mất đi ý nghĩa quan trọng theo thời gian, nhưng một số loại thông tin nhất định phải được thu thập và vẫn có thể truy cập để lưu giữ hồ sơ theo thời gian, nhằm khắc phục hậu quả của những hành vi xâm phạm nhân quyền trong quá khứ và đảm bảo quyền tiếp cận thông tin của công chúng[14].
Một cách chính thức, quyền được lãng quên (Right to be forgotten) lần đầu tiên được đề cập trong Quy định bảo vệ dữ liệu của Liên minh châu Âu - European General Data Protection Regulation (GDPR)[15], có hiệu lực áp dụng ngày 25/05/2018, mặc dù quyền này đã được CJEU tuyên bố trong một phán quyết[16] trước đó chống lại Google vào ngày 13/05/2014 rằng quyền được lãng quên là một quyền cơ bản (của con người).
Quyền được lãng quên được pháp điển hóa tại Điều 17 GDPR, bao gồm hai nội dung: một là quyền xóa dữ liệu (right to erasure); hai là quyền hủy niêm yết hoặc là quyền hủy tham chiếu (right to de-list/right to de-refer)kểtừ sau phán quyết của CJEU[17].
Quyền xóa dữ liệu (right to erasure) trên không gian mạng đã được nêu ra trong Chỉ thị bảo vệ dữ liệu 1995[18]. Trên thực tiễn, quyền xóa dữ liệu đối với mọi nền tảng lưu trữ được áp dụng tương đối lâu đời, kể từ phán quyết đầu tiên của ECHR vào 1985[19] dựa trên cơ sở pháp lý là bảo vệ quyền riêng tư và bảo vệ dữ liệu cá nhân được nêu ra trong Hiến chương châu Âu về các quyền cơ bản[20], hay Công ước châu Âu về nhân quyền[21].
Quyền xóa dữ liệu trong Chỉ thị bảo vệ dữ liệu năm 1995 (Chỉ thị năm 1995) vẫn được giữ lại trong GDPR tại điều khoản “Quyền được lãng quên”[22]. Việc chủ thể dữ liệu có quyền xóa dữ liệu của riêng họ đảm bảo áp dụng các nguyên tắc bảo vệ dữ liệu một cách hiệu quả, đáng chú ý là nguyên tắc giảm thiểu dữ liệu[23], việc xử lý dữ liệu chỉ được áp dụng với các dữ liệu mang tính chất “đầy đủ, tương thích, và không vượt quá mục đích mà dữ liệu được thu thập và/hoặc xử lý nữa”[24].
Quyền hủy niêm yết, khác với quyền xóa dữ liệu, cho phép người dùng yêu cầu công cụ tìm kiếm xóa địa chỉ web (đường dẫn) trong các kết quả hiển thị khi tìm kiếm được thực hiện bằng cách sử dụng tên của họ. Quyền hủy niêm yết có đời sống thực tiễn phán quyết còn non trẻ hơn quyền xóa dữ liệu. Bắt nguồn từ vụ án Google Tây Ban Nha 2014[25], CJEU tuyên rằng, nếu một cá nhân đưa ra yêu cầu hủy niêm yết, Google và các công cụ tìm kiếm khác không được niêm yết một số địa chỉ web nhất định, nếu việc tiến hành tìm kiếm sử dụng tên của người đưa ra yêu cầu hủy niêm yết. Quyền hủy niêm yết đảm bảo rằng, người dùng Internet có thể yêu cầu Google hoặc nhà cung cấp công cụ tìm kiếm khác xóa liên kết đến dữ liệu liên quan đến họ, trong một số điều kiện nhất định. Tuy nhiên, thông tin sẽ không bị xóa khỏi trang web gốc và có thể được truy cập trực tiếp hoặc bằng cách sử dụng các thuật ngữ tìm kiếm khác.
Đáng lưu ý là việc việc xóa thông tin khỏi các trang web (tức là tại nguồn), về nguyên tắc có nghĩa là thông tin không còn có sẵn thông qua bất kỳ tìm kiếm nào, trong khi quyền hủy niêm yết sẽ hạn chế hơn các tìm kiếm về thông tin đó. Tuy nhiên, cũng có nhiều lập luận cho rằng, quyền hủy niêm yết trên thực tiễn sẽ được đảm bảo hiệu quả hơn quyền xóa dữ liệu vì các lý do sau[26]:
Thứ nhất, phạm vi thông tin có thể bị xóa trên cơ sở pháp lý bảo vệ quyền riêng tư hoặc chống lại các hành động xúc phạm danh dự, nhân phẩm thường hẹp hơn so với khả năng áp dụng pháp luật về bảo vệ dữ liệu cá nhân;
Thứ hai, quá trình tìm kiếm hủy niêm yết kết quả tìm kiếm của các công cụ tìm kiếm nói chung nhanh chóng và dễ dàng hơn so với việc theo đuổi yêu cầu bảo mật thông tin;
Thứ ba, rất khó để đạt được đầy đủ thông tin về việc gỡ bỏ thông tin ngay cả khi có phán quyết của Tòa án do tính đa dạng của các trang web có thể liên quan và vấn đề thẩm quyền bị giới hạn do phạm vi lãnh thổ.
2. Thực tiễn phán quyết của CJEU liên quan đến quyền được lãng quên
- Vụ án Google Tây Ban Nha SL, Tập đoàn Google Inc. và Agencia Española de Protección de Datos, Mario Costeja González (hay được gọi là vụ án Google Tây Ban Nha 2014).
Nội dung vụ án[27]: Vào năm 2010, một công dân Tây Ban Nha - Mario Costeja González đã gửi đơn kiện một tờ báo Tây Ban Nha và Google Tây Ban Nha SL, Tập đoàn Google Inc lên Cơ quan Bảo vệ dữ liệu quốc gia Tây Ban Nha.
Năm 2010, Mario Costeja González phát hiện ra, thông tin hiển thị trên kết quả tìm kiếm của công cụ tìm kiếm của Google có đường dẫn đến một bài báo đăng trên ấn bản trực tuyến của tờ báo La Vanguardia, tờ báo giấy hàng ngày tiếng Tây Ban Nha. Trong bài báo này, có thông tin lỗi thời, không còn liên quan đến ông González. Cụ thể, đó là thông tin về thông báo đấu giá ngôi nhà bị thu hồi của ông González, theo một thủ tục tố tụng chính thức liên quan đến ông. Tuy nhiên, nội dung của bài viết này đã lỗi thời tại thời điểm thực hiện tìm kiếm, vì vụ việc đã được ông giải quyết trong một số năm trước đó. Nguyên đơn cho rằng, thông tin hiển thị trong kết quả tìm kiếm của Google Tây Ban Nha đã vi phạm quyền riêng tư, vì những kết quả tìm kiếm trên Google đã tham chiếu đến những thông tin lỗi thời đăng tải trên ấn bản trực tuyến của La Vanguardia. Ông yêu cầu: tờ báo Tiếng Tây Ban Nha phải xóa hoặc thay đổi các trang được đề cập dữ liệu liên quan đến ông ta không còn xuất hiện nữa; Google Tây Ban Nha hoặc Google Inc. (Google) phải xóa dữ liệu cá nhân liên quan đến ông ta, để các thông tin đó không còn xuất hiện trong các kết quả tìm kiếm thông qua công cụ tìm kiếm Google. Sau đó, Tòa án Tây Ban Nha đã chuyển vụ án lên Tóa án Công lý châu Âu - CJEU đề cập các vấn đề pháp lý sau:
(a) Liệu Chỉ thị năm 1995 có được áp dụng điều chỉnh đối với các công cụ tìm kiếm như Google hay không?
(b) Liệu pháp luật EU (bao gồm Chỉ thị năm 1995) có áp dụng cho Google Tây Ban Nha hay không, biết rằng máy chủ xử lý dữ liệu của công ty này đặt tại Hoa Kỳ?
(c) Liệu một cá nhân có quyền yêu cầu xóa dữ liệu cá nhân của mình khỏi các kết quả tìm kiếm thông qua một công cụ tìm kiếm hay không (áp dụng quyền được lãng quên)?
Tóm tắt nội dung phán quyết
Trong phán quyết tuyên ngày 13/05/2014, CJEU cho rằng:
- Về khả năng áp dụng các quy định của EU về bảo vệ dữ liệu đối với công cụ tìm kiếm, công cụ tìm kiếm Google đã thực hiện kiểm soát dữ liệu cá nhân vì Google là một công cụ tìm kiếm. Do đó, Google không thể thoát khỏi trách nhiệm pháp lý của mình trước pháp luật EU khi tiến hành xử lý dữ liệu cá nhân.
- Về phạm vi lãnh thổ áp dụng pháp luật của EU, ngay cả khi sự hiện diện máy chủ của công ty xử lý dữ liệu nằm bên ngoài EU, pháp luật của của EU vẫn áp dụng cho các nhà khai thác công cụ tìm kiếm này khi họ có chi nhánh hoặc công ty con tại một quốc gia thành viên của EU.
CJEU lập luận rằng, vì Google Inc. có một công ty con (Google Tây Ban Nha) hoạt động trong lãnh thổ của Tây Ban Nha (là một quốc gia thành viên của EU), và Google Inc. có trụ sở tại một quốc gia không phải là thành viên EU (Hoa Kỳ), nhưng Chỉ thị năm 1995 hoàn toàn áp dụng hợp pháp đối với Google và Google đã thiết lập một "cơ sở" theo đúng ý nghĩa về phạm vi áp dụng của Chỉ thị. Mặc dù Google khẳng định rằng dữ liệu không được xử lý ở Tây Ban Nha, nhưng vì Google có ý định "xúc tiến thương mại và bán không gian quảng cáo được cung cấp bởi công cụ tìm kiếm để làm phát sinh lợi nhuận tại các quốc gia thành viên EU này…". Vì vậy, theo Tòa án, trong một số trường hợp nhất định, Google có nghĩa vụ phải xóa các đường dẫn đến các trang được hiển thị bởi các bên thứ ba, thậm chí ngay cả khi thông tin được công bố bởi các bên thứ ba đó là hợp pháp[28].
- Về quyền được lãng quên, CJEU cho rằng, cá nhân có quyền được lãng quên trong những điều kiện nhất định, cá nhân có quyền yêu cầu các công cụ tìm kiếm xóa các đường dẫn đến thông tin cá nhân về họ. Điều này áp dụng khi thông tin về cá nhân “không chính xác, không đầy đủ, không còn liên quan hoặc thông tin vượt quá các mục đích xử lý dữ liệu cần thiết”[29].
Căn cứ Điều 12 (b) của Chỉ thị năm 1995, các cá nhân có quyền yêu cầu các nhà điều hành công cụ tìm kiếm xóa các kết quả tìm kiếm không phù hợp với Điều 6, Điều 12 (b) của Chỉ thị cho phép các chủ thể dữ liệu quyền yêu cầu "cải chính, xóa hoặc chặn dữ liệu mà việc xử lý dữ liệu không tuân thủ các quy định của [Chỉ thị]".
Điều 6 Chỉ thị năm 1995 yêu cầu dữ liệu "đầy đủ, phù hợp và không đi quá xa so với các mục đích mà chúng được thu thập", "chính xác, cần thiết, được cập nhật" và "được giữ ở định dạng cho phép không tốn nhiều thời gian hơn cần thiết để nhận dạng dữ liệu"[30].
Các tiêu chí về tính chính xác và mức độ phù hợp có thể phụ thuộc rất nhiều vào khoảng thời gian đã trôi qua kể từ khi thông tin ban đầu về cá nhân đó được đăng tải. Khi thông tin không còn chính xác và không liên quan, cá nhân có quyền pháp lý để yêu cầu các nhà xử lý dữ liệu xóa thông tin lỗi thời đó một cách hợp pháp. Do đó, CJEU cho rằng, ông González có quyền được lãng quên trên mạng Internet trong tình huống này và cụ thể, Google phải xóa những thông tin không chính xác liên quan đến ông González cũng như việc loại khỏi kết quả tìm kiếm của Google những đường dẫn không còn phù hợp.
      Đồng thời, Tòa án làm rõ quyền được lãng quên không phải là quyền tuyệt đối, cần phải được cân bằng với các quyền cơ bản khác, như quyền tự do ngôn luận và quyền tự do truyền thông[31]. Tòa án cho rằng, "cần phải tìm kiếm sự cân bằng hợp lý đặc biệt giữa lợi ích đó và các quyền cơ bản của chủ thể dữ liệu"[32]. Sự cân bằng này sẽ khác biệt tùy theo từng trường hợp cụ thể và có thể phụ thuộc vào "bản chất của thông tin được đề cập và mức độ nhạy cảm của nó đối với đời sống riêng tư của chủ thể dữ liệu" và “sự quan tâm của công chúng đối với thông tin”. Sự quan tâm của công chúng có thể thay đổi tùy thuộc vào việc cá nhân đó có phải là người của công chúng hay không, vai trò, sự ảnh hưởng của người yêu cầu xóa thông tin trong cuộc sống của cộng đồng cũng có thể là các yếu tố được xem xét để hạn chế áp dụng quyền được lãng quên. Theo Tòa án, lợi ích kinh tế của Google và sự quan tâm của công chúng đối với các đường dẫn đến thông báo đấu giá của González không lớn hơn việc phải ngăn chặn sự xâm phạm nghiêm trọng đến các quyền cơ bản về đời sống riêng tư của González[33].
- Vụ án giữa bốn công dân GC, AF, BH, ED với CNIL - Ủy ban Quốc gia Pháp về thông tin và quyền tự do - (CNIL) và Google LLC (gọi tắt là vụ án GC 2019).
Nội dung vụ án: Bốn công dân Pháp đã yêu cầu Google ngừng hiển thị trong kết quả tìm kiếm (dựa trên tên của mình) những đường dẫn đến các trang web có chứa các bài viết hoặc nội dung mà bên thứ ba đã đăng tải về họ. Google từ chối tuân thủ các yêu cầu hủy niêm yết này và cho rằng, dữ liệu cá nhân của bốn cá nhân, mặc dù nhạy cảm, nhưng rất quan trọng đối với lợi ích công cộng. Do đó, Google vẫn giữ nguyên kết quả niêm yết cho người dùng trực tuyến. Sau khi nhận được khởi kiện của các cá nhân trên, CNIL ủng hộ quyết định của Google, các cá nhân này đã đưa vụ việc lên Hội đồng Nhà nước Pháp (Conseil d’Etat), từ đó các câu hỏi pháp lý cụ thể được gửi đến CJEU.
Vấn đề pháp lý đặt ra: Google có được đối xử khác biệt, hưởng miễn trừ áp dụng quy định cấm nhà quản lý dữ liệu (data controller) trong việc xử lý dữ liệu cá nhân nhạy cảm như ý kiến chính trị, tín ngưỡng hay triết lý và đời sống tình dục hay không, vì Google chỉ là một công cụ tìm kiếm? Một câu hỏi khác liên quan đến những giải thích về các trường hợp ngoại lệ của việc cấm xử lý dữ liệu cá nhân nhạy cảm.
Tóm tắt nội dung phán quyết
CJEU cho rằng, Google là một nhà quản lý dữ liệu[34]. Các nhà điều hành công cụ tìm kiếm như Google phải chịu trách nhiệm pháp lý giống như các nhà quản lý dữ liệu khác khi xử lý các dữ liệu nhạy cảm của cá nhân, dù các dữ liệu cá nhân được đề cập xuất hiện trên trang web do bên thứ ba đăng tải, vì các công cụ tìm kiếm đã niêm yết đường dẫn đến các trang web đó trong danh sách kết quả tìm kiếm[35]. Vì nếu áp dụng quy định lỏng lẻo hơn đối với các nhà điều hành công cụ tìm kiếm trong việc xử lý dữ liệu nhạy cảm sẽ đi ngược lại mục đích của GDPR, có thể tạo ra sự can thiệp đặc biệt nghiêm trọng đối với quyền riêng tư và quyền bảo vệ dữ liệu cá nhân. Tòa án cũng nhấn mạnh các trường hợp ngoại lệ đối với việc xử lý dữ liệu cá nhân nhạy cảm của một công cụ tìm kiếm có thể được tiến hành nếu có sự đồng ý của chủ thể dữ liệu; nếu dữ liệu được công khai rõ ràng bởi chủ thể dữ liệu; hoặc khi việc xử lý là cần thiết vì lý do lợi ích công cộng đáng kể trên cơ sở pháp luật của EU hoặc của quốc gia thành viên[36].
Trong việc xem xét yếu tố lợi ích công cộng, CJEU đã đề cập đến các phán quyết của ECHR (dựa trên Điều 8, và Điều 10 Công ước nhân quyền châu Âu liên quan đến quyền riêng tư và quyền tự do ngôn luận) trong trường hợp tự do báo chí bị đe dọa. Ngoài ra, CJEU nhấn mạnh quyền của công chúng trong việc tiếp cận thông tin[37]. Tòa án trích dẫn phán quyết của ECHR rằng, cộng đồng không chỉ quan tâm đến việc được thông báo về một sự kiện thời sự, mà còn có thể tiến hành nghiên cứu về các sự kiện trong quá khứ. CJEU cũng thừa nhận rằng, lợi ích của cộng đồng liên quan đến thông tin tố tụng hình sự là khác nhau về mức độ và có thể phát triển theo thời gian, đặc biệt là tùy từng trường hợp vụ án hình sự khác nhau (ví dụ như bản chất và mức độ nghiêm trọng của hành vi phạm tội, quá trình thực hiện hoạt động tố tụng và kết quả của quá trình tố tụng, thời gian trôi qua kể từ thời điểm xảy ra vụ việc, sự quan tâm của cộng đồng tại thời điểm tìm kiếm thông tin, nội dung và hình thức của việc đăng tải thông tin cá nhân…)[38].
- Vụ án Google Inc. và Ủy ban quốc gia Pháp về thông tin và quyền tự do - Commission nationale de l’informatique et des libertés (CNIL) (gọi tắt vụ án Google - CNIL 2019).
Nội dung vụ án[39]: Đây là tranh chấp giữa Google Inc. và CNIL - Ủy ban Quốc gia Pháp về thông tin và quyền tự do, liên quan đến phạm vi lãnh thổ áp dụng quyền hủy niêm yết đối với các kết quả tìm kiếm trên Google. Vào năm 2015, CNIL đã thông báo và yêu cầu Google phải xóa một số niêm yết (đường dẫn) liên quan đến một số cá nhân cư trú tại Pháp khỏi tất cả các phiên bản của công cụ tìm kiếm Google trên toàn thế giới, cụ thể đối với tất cả các tên miền, bao gồm cả google.com. CNIL lập luận rằng, với việc hủy niêm yết trên toàn cầu mới có thể đảm bảo hiệu quả tuân thủ quyền được lãng quên của cá nhân, vì nếu một niêm yết về một cá nhân sống ở Pháp được Google hủy bỏ, thông tin về người đó sẽ không thể truy cập được nữa, bất kể việc tìm kiếm được thực hiện trên tên miền tìm kiếm ở quốc gia nào[40].
Tuy nhiên, Google cho rằng, CNIL chỉ có quyền yêu cầu Google thực hiện hủy niêm yết đối với kết quả tìm kiếm thực hiện trên tên miền google.fr, Google từ chối thực hiện yêu cầu của CNIL. Sau khoảng thời gian quy định gỡ bỏ của CNIL nhưng Google không thực hiện, CNIL đã tuyên phạt 100.000 EUR đối với Google[41]. Google tiến hành kháng cáo quyết định xử phạt này lên Hội đồng Nhà nước Pháp (Conseil d’État)[42] nhằm hủy quyết định xử phạt 100.000 EUR của CNIL[43]. Hội đồng Nhà nước Pháp nhận thấy một số khó khăn liên quan đến việc giải thích Chỉ thị năm 1995[44], nên đã đưa những vấn đề pháp lý của vụ án này lên CJEU, yêu cầu Tòa án xem xét phạm vi áp dụng Điều 12 (b) và 14 (a) của Chỉ thị năm 1995.
Vấn đề pháp lý đặt ra: CJEU xem xét phạm vi lãnh thổ áp dụng pháp luật bảo vệ dữ liệu của EU (bao gồm cả Chỉ thị năm 1995) và Quy định bảo vệ dữ liệu chung (GDPR)). Cụ thể, các nhà điều hành công cụ tìm kiếm (như Google) có buộc thực hiện quyền hủy niêm yết (xóa các đường dẫn trong kết quả tìm kiếm thực hiện trên công cụ tìm kiếm của Google) khi được yêu cầu: (1) Trên tất cả các phiên bản của công cụ tìm kiếm (trên toàn thế giới) hoặc (2) Chỉ trên các phiên bản tương ứng với tất cả các quốc gia thành viên (trong EU), hoặc (3) Chỉ trên phiên bản tương ứng với quốc gia thành viên của người yêu cầu hủy tham chiếu cư trú[45].
Tóm tắt nội dung phán quyết: CJEU đã phán quyết rằng: i) Việc hủy niêm yết (đường dẫn) của Google nên được giới hạn ở các phiên bản của công cụ tìm kiếm này ở các quốc gia thành viên EU khi đáp ứng những điều kiện nhất định; ii) khi Google nhận được yêu cầu hủy đường dẫn đến trang web có dữ liệu nhạy cảm được công bố, Google phải xem xét lợi ích cân bằng giữa các quyền riêng tư và bảo vệ dữ liệu của người yêu cầu hủy niêm yết đó và lợi ích hợp pháp của những người dùng internet khác quan tâm đến thông tin đó. CJEU cũng cho rằng, các nhà khai thác công cụ tìm kiếm được yêu cầu bổ sung việc hủy đường dẫn thông qua các biện pháp kỹ thuật công nghệ nhằm ngăn chặn chặt chẽ người dùng internet ở EU truy cập vào các đường dẫn khi sử dụng phiên bản công cụ tìm kiếm bên ngoài EU (có tên miền không phải là các quốc gia thành viên EU).
3. Nhận xét về các phán quyết liên quan đến quyền được lãng quên
Các phán quyết trên đã tạo ra thực tiễn pháp lý quan trọng ở châu Âu trong việc bảo vệ dữ liệu cá nhân trên mạng Internet.
Trước hết, các phán quyết đã góp phần nâng cao nhận thức cá nhân trong việc tiến hành yêu cầu các nhà quản lý dữ liệu tuân thủ quyền được lãng quên. Sau phán quyết vụ án Google Tây Ban Nha năm 2014 này của CJEU, các nhà điều hành công cụ tìm kiếm như Google (dù máy chủ của công ty xử lý dữ liệu này được đặt ngoài châu Âu) đã phải tuân thủ nghiêm túc việc đảm bảo quyền được lãng quên theo pháp luật EU và xử lý một số lượng lớn yêu cầu từ các cá nhân để xóa các đường dẫn trong các kết quả tìm kiếm Google[46].
Đối với phán quyết vụ án Google - CNIL 2019, đây được đánh giá là bước lùi trong mục tiêu thiết lập một tiêu chuẩn bảo vệ dữ liệu cá nhân ở mức độ toàn diện cho cư dân EU.Bằng cách giới hạn rõ ràng phạm vi lãnh thổ của quyền được lãng quên, phán quyết này giúp minh thị phạm vi áp dụng các quy định bảo vệ dữ liệu và quyền riêng tư chỉ trong phạm vi lãnh thổ EU. Điều này phản ánh sự hạn chế của khung pháp lý hiện tại chưa bảo vệ đầy đủ quyền riêng tư và dữ liệu cá nhân cho cư dân EU. Trong bối cảnh mạng Internet được sử dụng trên phạm vi toàn cầu, những người dùng internet ngoài EU có thể truy cập và sử dụng đường dẫn đề cập đến thông tin liên quan đến một cư dân ở EU, và tác động từ việc sử dụng thông tin này ngay lập tức và nghiêm trọng đối với cư dân đó[47].
Tuy nhiên, cũng trong phán quyết vụ án Google - CNIL 2019, CJEU đã để mở khả năng các quốc gia thành viên tự thiết lập tiêu chuẩn quốc tế về bảo vệ dữ liệu cá nhân trong nội luật, không trái với pháp luật của EU[48]. Qua đó, có thể nhận thấy, CJEU đã tuyên phán quyết có lợi cho Google trong vụ kiện này, nhưng đồng thời lại khẳng định tính hợp pháp của việc áp đặt lệnh gỡ bỏ niêm yết ở phạm vi toàn cầu trong tương lai. CJEU cho rằng, các Tòa án quốc gia thành viên và các cơ quan bảo vệ dữ liệu quốc gia (DPA) hoàn toàn có thể dựa trên những tiêu chuẩn của nội luật để áp đặt lệnh gỡ bỏ niêm yết đối với các nhà điều hành công cụ tìm kiếm trên phạm vi toàn cầu trong những trường hợp thích đáng[49]. Trong bối cảnh các công ty xử lý dữ liệu cá nhân tiếp tục mở rộng phạm vi của họ trên phạm vi toàn cầu, điều này sẽ làm gia tăng căng thẳng giữa các cơ quan quản lý dữ liệu quốc gia và các công ty khai thác, xử lý dữ liệu cá nhân. Nếu không có các tiêu chuẩn quốc tế về việc xử lý thông tin cá nhân được thiết lập trên phạm vi toàn cầu, các cơ quan tài phán quốc gia sẽ cố gắng mở rộng các tiêu chuẩn bảo mật dữ liệu cá nhân trong pháp luật nội địa, và thực hiện các quy định trên phạm vi toàn cầu nhằm đảm bảo việc bảo vệ dữ liệu cá nhân của các công dân của họ.
Điều cuối cùng là áp lực cho các nhà khai thác công cụ tìm kiếm khi nhận được yêu cầu gỡ bỏ niêm yết trong kết quả tìm kiếm. Họ phải thực hiện việc phân xử bài toán lợi ích cân bằng của người yêu cầu quyền được lãng quên và các lợi ích công cộng khác. Để quyền được lãng quên được áp dụng hiệu quả hơn đối với các cá nhân, Ủy ban châu Âu đã đề xuất đảo ngược nghĩa vụ chứng minh: đó là nghĩa vụ công ty quản lý dữ liệu chứng minh rằng dữ liệu không thể bị xóa vì vẫn còn cần thiết hoặc là vẫn có liên quan đến cá nhân, chứ không phải nghĩa vụ của cá nhân để chứng minh rằng thông tin về cá nhân mình không phù hợp, không liên quan, hay lỗi thời… Những tiêu chí dù được chỉ ra trong các phán quyết, nhưng vẫn còn khá mờ nhạt. Do đó, các phán quyết trong tương lai của CJEU và ECHR cần giải thích rõ hơn những tiêu chí này nhằm đảm bảo việc thực hiện quyền được lãng quên trên mạng Internet hiệu quả và minh bạch hơn[50]./.

 


[1]Theo pháp luật của EU, quyền bảo vệ dữ liệu đã được thừa nhận là một quyền cơ bản riêng biệt của con người. Điều này được khẳng định tại Điều 16 của Hiệp ước về chức năng của EU, cũng như tại Điều 8 của Hiến chương về các quyền cơ bản của EU. Quyền bảo vệ dữ liệu đã được quy định chi tiết lần đầu tiên trong Chỉ thị bảo vệ dữ liệu 1995 của EU.
[2]Theo Điều 8 của Công ước châu Âu về nhân quyền - ECHR: Một người có quyền được bảo vệ đối với việc xử lý dữ liệu cá nhân, được xem là một phần của quyền tôn trọng cuộc sống riêng tư và gia đình, nhà ở và thư từ”. Xem toàn văn Công ước châu Âu về nhân quyền tại https://www.echr.coe.int/Documents/Convention_ENG.pdf, truy cập ngày 26/04/2020. Tuy nhiên, quyền bảo vệ dữ liệu ở châu Âu về sau đã được ghi nhận những giá trị khác biệt với quyền riêng tư, quyền bảo vệ dữ liệu mang nhiều giá trị hiện đại và chủ động hơn, xem thêm hai phán quyết của CJEU, số hiệu phán quyết C-92/09 và C-93/02, tuyên ngày 17/6/2010, trong vụ án Volker und Markus Schecke GbR và Land Hessen, Ý kiến của luật sư trưởng Sharpston, đoạn 71.
[3] Riêng tư (Privacy) là một khái niệm rộng liên quan đến bảo vệ quyền tự chủ cá nhân và mối quan hệ giữa cá nhân và xã hội (bao gồm chính phủ, công ty và các cá nhân khác). Nó bao gồm một loạt các quyền, kể cả sự bảo vệ khỏi bất cứ sự xâm nhập vào cuộc sống gia đình của cá nhân, sự bảo vệ khỏi bất kỳ sự kiểm soát nào liên quan đến quyền tình dục và quyền sinh sản, và quyền bí mật thông tin liên lạc. Xem thêm khái niệm được đề cập trong phán quyết ECHR trong vụ án Niemietz v. Germany, tuyên 16/12/ 1992, đăng trên https://hudoc.echr.coe.int/rus?i=001-57887.
[4] Cơ quan Liên minh châu Âu về quyền cơ bản của con người và Hội đồng châu Âu (2018), Tlđd, tr.18.
[5] Chỉ thị bảo vệ dữ liệu cá nhân số hiệu95/46/EC của Nghị viện châu Âu và Hội đồng châu Âu ban hành ngày 24/10/1995 về bảo vệ các cá nhân liên quan đến việc xử lý dữ liệu cá nhân và di chuyển tự do dữ liệu" (Chỉ thị bảo vệ dữ liệu 1995). Chỉ thị có hiệu lực vào tháng 10 năm 1998. Chỉ thị bảo vệ dữ liệu 1995 được ban hành nhằm cung cấp khung pháp lý để đảm bảo việc chuyển dữ liệu cá nhân an toàn và tự do qua biên giới của các quốc gia thành viên EU, và việc thiết lập cơ sở bảo mật xung quanh thông tin cá nhân bất cứ nơi nào được lưu trữ, truyền dẫn hoặc xử lý (Điều 1.1 của Chỉ thị bảo vệ dữ liệu 1995). Toàn văn Chỉ thị bảo vệ dữ liệu 1995 xem trên https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A31995L0046, truy cập ngày 26/04/2020.
[6] Công ước 108 là ràng buộc pháp lý quốc tế đầu tiên và duy nhất cho đến nay đề cập việc bảo vệ dữ liệu. Công ước đã trải qua quá trình hiện đại hóa, hoàn thành việc thông qua sửa đổi Nghị định thư CETS số 223. Xem toàn văn Công ước 108 và hệ thống các Nghị định thư trên https://www.coe.int/en/web/data-protection/convention108-and-protocol, truy cập ngày 26/04/2020.

[7] Nguồn pháp luật của EU bao gồm hai nguồn, nguồn chính và nguồn bổ sung. Trong đó nguồn pháp luật quan trọng, cơ bản là các hiệp ước EU, ví dụ như Hiệp ước về Liên minh châu Âu (TEU) và Hiệp ước về chức năng của EU (TFEU), được tất cả các quốc gia thành viên EU phê chuẩn; chúng tạo thành nguồn pháp luật cơ bản của EU. Các quy định (Regulations), chỉ thị (Directives) và quyết định (Decisions) của EU đã được thông qua bởi các cơ quan của EU được trao thẩm quyền ban hành văn bản theo các hiệp ước; chúng tạo nên nguồn pháp luật bổ sung của EU.

[8] Cơ quan Liên minh châu Âu về quyền cơ bản con người và Hội đồng châu Âu (2018). Sổ tay pháp luật về quy định chung bảo vệ dữ liệu liên minh châu Âu, tr.3. Tài liệu có thể xem trên https://op.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1/language-en/format-PDF/source-125986132, truy cập ngày 26/04/2020.
[9] Nhóm 19 (2016), The “Right to be Forgotten”: Remembering Freedom of Expression, đăng tải trên
https://www.article19.org/data/files/The_right_to_be_forgotten_A5_EHH_HYPERLINKS.pdf, truy cập ngày 26/04/2020. Nhóm 19 là tên một tổ chức hoạt động vì quyền tự do ngôn luận và đấu tranh chống phân biệt đối xử.
[10] Ví dụ như ở Pháp, xem những điều từ Điều 133 đến Điều 112, Bộ luật Hình sự của Pháp. Hay ở Anh, xem Đạo luật cải tạo người phạm tội 1974 - Rehabilitation of Offenders Act 1974. Về cơ bản, các đạo luật này cho phép một số tiền án hình sự nhất định của cá nhân sẽ được xóa khỏi hồ sơ hình sự của cá nhân sau một thời gian cá nhân đã tiến hành cải tạo. Mục đích của quy định xóa án tích này không nhằm để lại dấu vết suốt đời trong hồ sơ của một cá nhân liên quan đến một vi phạm tương đối nhỏ trong quá khứ của họ. Thời gian cải tạo được tự động xác định trong bản án. Sau giai đoạn cải tạo, nếu không bị kết án nào khác nữa thì tiền án đã tuyên xem như đã được xóa khỏi hồ sơ hình sự cá nhân, cá nhân đó không cần phải tiết lộ về tiền án cá nhân trong bất kỳ hoàn cảnh nào như khi đi xin việc, hay trong các thủ tục tố tụng dân sự khác vì rõ ràng sự tồn tại thông tin về tiền án quá khứ của cá nhân trên các công cụ tìm kiếm sẽ có khả năng gây ảnh hưởng đến cuộc sống tương lai của cá nhân như khả năng xin việc làm… Quy định này dường như khá tương đồng với quy định tại Điều 70 về xóa án tích trong Bộ luật Hình sự Việt Nam năm 2015 đã được sửa đổi, bổ sung 2017.
[11] Mantelero, Alessandro (2013), "The EU Proposal for a General Data Protection Regulation and the roots of the 'right to be forgotten'", Computer Law & Security Review, 29 (3), 229–235 (doi:10.1016/j.clsr.2013.03.010).
[12] Tham khảo khoản 1 Điều 149 Bộ luật Dân sự năm 2015 của Việt Nam quy định thời hiệu là thời hạn do luật quy định mà khi kết thúc thời hạn đó thì phát sinh hậu quả pháp lý đối với chủ thể theo điều kiện do luật quy định.
[13] Ở một số nước, điều này còn áp dụng đối với việc đưa tin tức của các hãng truyền thông liên quan đến bản án hình sự đã được người phạm tội chấp hành án phạt xong, cá nhân đó có quyền yêu cầu xóa thông tin cá nhân liên quan đến bản án hình sự khỏi kho lưu trữ tin tức của hãng. Ví dụ như năm 2009 ở Đức, đã có vụ Wikipedia bị kiện bởi một người đàn ông Đức vì đưa tin về vụ án hình sự giết hại diễn viên mà ông ta đã hoàn thành xong việc chấp hành án phạt 15 năm tù, https://www.theregister.co.uk/2009/11/12/wikipedia_sued_by_convicted_murderer.
[14] Nhóm 19 (2016), Tlđd, tr.11. Một ví dụ điển hình là sự phát triển của khái niệm “Quyền được biết sự thật” - “Right to truth” ở châu Mỹ trong lĩnh vực nhân quyền, xem thêm Ủy ban liên quốc gia về con người, quyền được biết sự thật trong châu Mỹ (13/8/2014), http://www.oas.org/en/iachr/reports/pdfs/Right-to-Truth-en.pdf, truy cập ngày 26/04/2020. Một số quốc gia nam Mỹ như Argentina, Chile, Peru, El Salvador, Uruguay, Brazil và Guatemala đã thành lập Ủy ban Sự thật nhằm điều tra các hành vi lạm dụng nhân quyền trong quá khứ.
[15] GDPR là một văn bản pháp luật quan trọng và toàn diện trong lĩnh vực luật riêng tư (privacy law) nhằm bảo vệ các quyền cơ bản của con người trong phạm vi các nước thành viên EU. Quy định bảo vệ dữ liệu chung - GDPR là văn bản pháp luật cập nhật và thay thế cho Chỉ thị bảo vệ dữ liệu 1995. GDPR cập nhật và tăng cường bảo vệ dữ liệu cá nhân trên cơ sở quy định của pháp luật chặt chẽ hơn, nhằm tăng cường quyền bảo vệ dữ liệu cho các cá nhân, và quy định trách nhiệm pháp lý đối với các chủ thể xử lý dữ liệu cá nhân (data controllers). Phạm vi áp dụng của GDPR đối với tất cả các chủ thể tiến hành xử lý dữ liệu cá nhân của người tiêu dùng ở châu Âu. Toàn văn của Quy định bảo vệ dữ liệu chung của Liên minh châu Âu - GDPR được đăng tải trên https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN, truy cập ngày 26/04/2020.
[16] Xem thêm Phán quyết vụ Google Tây Ban Nha 2014 trong phần tiếp theo của bài viết.
[17] Xem Thông cáo báo chí của Tòa án Công lý Liên minh châu Âu - CJEU về phán quyết Google Tây Ban Nha 2014 có số hiệu C-131/12 trên https://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070en.pdf, truy cập ngày 26/04/2020.
[18] Dựa trên các điều khoản bảo vệ quyền lợi của chủ thể dữ liệu như Điều 6, Điều 12.b…
[19] Phán quyết của ECHR trong vụ án X và Y (Nguyên đơn) và Hà Lan (Bị đơn), trên https://hudoc.echr.coe.int/eng#{%22dmdocnumber%22:[%22695480%22],%22itemid%22:[%22001-57603%22]}, truy cập ngày 26/4/2020.
[20] Xem thêm Điều 7 về bảo vệ cuộc sống riêng tư và Điều 8 về bảo vệ dữ liệu cá nhân (Điều 8), và toàn văn Hiến chương châu Âu về quyền cơ bản trên https://www.europarl.europa.eu/charter/pdf/text_en.pdf, truy cập ngày 26/4/2020.
[21] Xem Điều 8 Công ước châu Âu về nhân quyền về bảo vệ quyền riêng tư và dữ liệu cá nhân. Có rất nhiều phán quyết của ECHR liên quan đến việc cá nhân yêu cầu cơ quan nhà nước của các nước thành viên EU thực hiện xóa dữ liệu cá nhân trong hệ thống lưu trữ dữ liệu quốc gia, và rất nhiều phán quyết khác liên quan đến bảo vệ dữ liệu cá nhân trên mạng Internet trong báo cáo của ECHR trên https://www.echr.coe.int/Documents/Research_report_internet_ENG.pdf, truy cập ngày 26/04/2020.
[22] Xem toàn văn Điều 17 - Right to erasure (‘Right to be forgotten’), trên https://gdpr-info.eu/art-17-gdpr/, truy cập ngày 26/04/2020. Tác giả cho rằng quyền xóa dữ liệu mang ý nghĩa truyền thống, được áp dụng không chỉ trong không gian mạng Internet mà còn cả trong các hệ thống lưu trữ dữ liệu khác.
[23] Nguyên tắc này gồm ba nội dung cơ bản: i)Xử lý dữ liệu cá nhân phải được giới hạn ở mức độ cần thiết để thực hiện một mục đích hợp pháp; ii) Việc xử lý dữ liệu cá nhân chỉ nên diễn ra khi mục đích xử lý dữ liệu không thể được thực hiện một cách hợp lý bằng các phương tiện khác; iii) Xử lý dữ liệu không thể được tiến hành một cách không tương xứng can thiệp đến các quyền và lợi ích hợp pháp, và đe dọa các quyền tự do. Xem Cơ quan Liên minh châu Âu về quyền cơ bản con người và Hội đồng châu Âu (2018), Tlđd, tr.125.
[24] Xem thêm Công ước hiện đại 108, Điều.5 (4) (c); Quy định bảo vệ dữ liệu chung, Điều 5 (1) (c).
[25] Xem toàn văn Phán quyết Google Tây Ban Nha 2014 số hiệu C-131/12 trên https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62012CJ0131, truy cập ngày 26/04/2020.
[26] Nhóm 19 (2016), Tlđd, tr.13.
[27] Xem thêm toàn văn Phán quyết vụ án Google Tây Ban Nha 2014, số hiệu C-131/12 tuyên ngày 13/05/2014, trên https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62012CJ0131, truy cập ngày 26/04/2020.
[29] Đoạn 93 của Phán quyết vụ án Google Tây Ban Nha 2014. Toàn văn Phán quyết vụ án Google Tây Ban Nha 2014 số hiệu C-131/12 đăng tải trên https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62012CJ0131, truy cập ngày 13/04/2020.
[30] Nguyên văn tiếng Anh: …data is "adequate, relevant and not excessive in relation to the purposes for which they are collected", "accurate and, where necessary, kept up to date", and "kept in a form which permits identification of data subjects for no longer than necessary".
[31] Đoạn 85 của Phán quyết vụ án Google Tây Ban Nha 2014. Toàn văn Phán quyết số hiệu C-131/12, trên https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62012CJ0131, truy cập ngày 13/04/2020.
[32] Đoạn 81 của Phán quyết vụ án Google Tây Ban Nha 2014.
[33] Điều 12 (b) của Chỉ thị cho phép các cá nhân có quyền yêu cầu các nhà điều hành công cụ tìm kiếm xóa các kết quả tìm kiếm không phù hợp với Điều 6. Điều 12 (b) của Chỉ thị trao cho các chủ thể dữ liệu quyền "cải chính, xóa hoặc chặn dữ liệu mà việc xử lý không tuân thủ các quy định của [Chỉ thị]. "Điều 6 của Chỉ thị yêu cầu dữ liệu "đầy đủ, phù hợp và không quá liên quan đến các mục đích mà chúng được thu thập", "chính xác và, khi cần thiết phải được cập nhật" và phải được giữ ở trạng thái cho phép nhận dạng chủ thể dữ liệu không lâu hơn cần thiết”.
[34] Xem đoạn 35, 36, 37 của Phán quyết vụ án GC 2019.
[35] Xem đoạn 44, 45, 46 của Phán quyết vụ án GC 2019.
[36] Xem từ đoạn 61 đến đoạn 66 của Phán quyết vụ án GC 2019.
[37] Xem đoạn 76 của Phán quyết vụ án GC 2019.
[38] Xem đoạn 77 của Phán quyết vụ án GC 2019.
[39] Toàn văn Phán quyết vụ án Google - CNIL 2019, số hiệu C-507/17, tuyên ngày 24/09/2019, đăng tải trên http://curia.europa.eu/juris/document/document.jsf?docid=218105&text=&dir=&doclang=EN&part=1&occ=first&mode=DOC&pageIndex=0&cid=969325, truy cập ngày 26/04/2020. Xem thêm vụ án khác có liên quan Vụ án giữa bốn công dân GC, AF, BH, ED với CNIL - Ủy ban quốc gia Pháp về thông tin và quyền tự do - (CNIL) và Google LLC (gọi tắt là vụ án GC 2019),Toàn văn phán quyết vụ án giữa bốn công dân GC, AF, BH, ED với CNIL - Ủy ban quốc gia Pháp về thông tin và quyền tự do - (CNIL) và Google LLC (gọi tắt là vụ án GC 2019), số hiệu C-136/17, tuyên ngày 24/09/2019, đăng tải trên http://curia.europa.eu/juris/document/document.jsf?docid=218106&text=&dir=&doclang=EN&part=1&occ=first&mode=DOC&pageIndex=0&cid=969167, truy cập ngày 26/04/2020.
[40] CNIL, “Right to be forgotten”: the CJEU ruled on the issue”, https://www.cnil.fr/en/right-be-forgotten-cjeu-ruled-issue, truy cập ngày 26/04/2020.
[41] Xem đoạn 33 Phán quyết vụ án Google - CNIL 2019.
[42] Hội đồng nhà nước Pháp (Conseil d’État) là một cơ quan tư pháp, làm nhiệm vụ hỗ trợ cho các cơ quan hành pháp của Chính phủ Pháp bằng việc đưa ra các tư vấn pháp lý và là tòa án tối cao trong việc xét xử các vụ án hành chính.
[43] Xem đoạn 34 Phán quyết vụ án Google - CNIL 2019.
[44] Xem đoạn 39 Phán quyết vụ án Google - CNIL 2019.
[45]Xem đoạn 43 Phán quyết vụ án Google - CNIL 2019.
[46] Tính đến 2/2018, Google cho biết họ đã nhận được hơn 650.000 yêu cầu xóa một số trang web khỏi kết quả tìm kiếm (liên quan đến hơn 2,43 triệu đường dẫn) kể từ phán quyết Google Tây Ban Nha 2014, và họ đã xóa khoảng 43% trong số đó. Xem thông tin trên https://www.npr.org/sections/thetwo-way/2018/02/28/589411543/google-received-650-000-right-to-be-forgotten-requests-since-2014, truy cập ngày 26/04/2020.
[47] Xem đoạn 57 Phán quyết vụ án Google - CNIL 2019.
[49] Xem đoạn 72 Phán quyết vụ án Google - CNIL 2019.
[50]DR. GABRIELA ZANFIR-FORTUNA, “Key Findings From the Latest ‘Right To Be Forgotten’ Cases”, trên https://fpf.org/2019/09/27/key-findings-from-the-latest-right-to-be-forgotten-cases/, truy cập ngày 26/04/2020.