程啸:论死者个人信息的保护 | 法学评论202105
The following article is from 武大大海一舟 Author 程啸
内容提要:对于死者的个人信息,法律上的保护路径有三种:一是继承法保护,即允许继承人通过继承取得死者的个人信息。在我国法上,自然人就其个人信息享有的是人格权益,故此该权益不得继承。至于继承网络服务合同债权的方法,也无法解决全部问题。二是侵权法保护,《民法典》第994条虽然只列举了死者的姓名、肖像和隐私,但是,个人信息可以解释到该条中的“等”当中,然而,这种保护属于事后的救济。三是个人信息保护法的保护,即规定死者的近亲属可以针对死者的个人信息行使某些权利。该方法已为我国新颁布的《个人信息保护法》所采纳,这是一种积极、主动的保护。为了尊重死者生前意愿、保护死者及第三人的隐私,《个人信息保护法》第49条对死者近亲属针对死者个人信息的权利进行了相应的限制。
目次
一、问题的提出
二、死者个人信息的继承法保护
三、死者个人信息的侵权法保护
四、个人信息保护法对死者个人信息的保护
五、结语
自然人死亡(仅指生理死亡)后,就丧失了民事权利能力,不再是民事主体,不享有民事权利,也不承担民事义务。数字时代之前,自然人死后,除按照风俗埋葬或火化遗体外,需要处理的主要是死者遗留的财产,如汽车、房产、现金等。这些财产由死者的继承人进行继承。死者生前所负担的债务,也仅以遗产为限由继承人承担。人类社会早已进入信息时代,在网络科技高度发达的今天,自然人一生中每天都会接发电子邮件,在社交平台发布视频照片或留言评论,上网购物或接受服务、浏览搜索相关信息,利用即时通讯工具与他人进行交流,被各种APP收集行踪轨迹等信息。因此,除非是几近灭绝的数字隐士,“你一定会留下数字足迹。除非你付出相当大的努力去消除它,否则总有一天,无论好坏,这些足迹都会成为你的数字遗产。”自然人的数字资产的范围非常广泛,包含了所有与在线或数字世界相关的一系列无形信息产品,如社交网络上的个人信息;电子邮箱账号及其中的电子邮件、微博或推文、数据库;各种虚拟财产(如比特币、以太坊、网络游戏中的虚拟资产等);视频、音频、图片等数字化的文本、图像、音乐或声音;各种购物、服务或社交网站上的网络账户及其密码;网络域名;与人格相关的二维或三维图像或图标以及其他类型的数字资产。这些数字资产具有极大的经济价值,2013年普华永道的一项调查发现,用户数字资产的估价为250亿英镑。信息安全公司迈克菲的调查显示,全球消费者平均每人拥有37438美元数字资产,包括互联网、电脑和云存储中的各种数据。
一个人死后,其留存的数据资产能否作为“个人合法财产”为继承人所继承,是国内外非常关注的法律问题。2018年德国联邦最高法院对“Facebook案”作出判决后,更是进一步引发理论界对该问题的广泛讨论。在我国《民法典》编纂时,数字遗产问题曾受关注。立法机关考虑到“数据和网络虚拟财产的权利性质存在争议,需要对数据和网络虚拟财产的权利属性作进一步深入研究,进一步总结理论和司法实践的经验,为以后立法提供坚实基础。”故此,《民法典》未就数据和网络虚拟财产的权利归属和继承等问题作出规定。但是,《民法典》第127条也明确认可了数据、网络虚拟财产受到法律保护。
自然人数字资产涉及的民事权益的范围广泛,既有资金账户债权、数字作品著作权、商业秘密、虚拟财产等财产性权益,也有自然人针对其个人信息享有的姓名权、肖像权、隐私权、个人信息权益等人格权益。就财产性权益而言,只要是个人的合法财产,自然人死后就可以被继承,不存在争议。有疑问的是,死者的个人信息能否被继承、是否受到法律保护以及如何保护?从法律上来说,死者个人信息的保护有三种路径:一是继承法的路径,即死者的个人信息可以被继承并据此得到保护;二是侵权法的路径,即当他人侵害死者的个人信息时,方可由死者的近亲属提起侵权诉讼;三是个人信息保护法的路径,即规定自然人死后,其近亲属依然可以针对死者的个人信息行使某些权利。我国分别采取第二、三种路径,《民法典》第994条对死者的姓名、名誉、隐私等的侵权法保护作出了规定,而刚刚通过的《个人信息保护法》第49条采取了第三种路径。本文将围绕着我国《民法典》《个人信息保护法》的上述规定,分别对三种死者个人信息的保护路径加以分析研究。
死者个人信息能否被继承?这一问题在实践中典型的表现就是:某一自然人死亡后,其父母等近亲属希望登录死者生前使用的电子邮箱或社交账户,以便查阅复制其中的信息,但被网络服务提供者所拒绝,由此引发近亲属是否有权继承死者的个人信息及其他数字资产的争议。例如,2005年美国密歇根州的“Ells-worth案”中,在伊拉克服役的美国士兵Justin Ellsworth曾在Yahoo上开通电子邮箱账户。2004年11月13日,Ellsworth去世,享年20岁。他没有结婚,也没有孩子,去世时也没有遗嘱。在他死后,其父作为继承人希望访问该邮箱,理由是该帐户中可能包含与遗产管理、结算和内部事务有关的信息,包括可能有助于确定资产和负债或为遗产准备纳税申报表或其他文件的相关信息。由于没有密码,故此,Ellsworth的父亲要求Yahoo公司提供密码,但Yahoo公司以侵害用户的隐私为由加以拒绝。Ellsworth的父亲向法院起诉,2005年4月20日,密歇根州奥克兰县遗嘱法院发布命令,要求Yahoo公司通过光盘和书面形式向其父亲发送所有存储在已故雅虎用户Justin Ellsworth账户中的电子邮件、文件和照片的内容。2018年,德国联邦最高法院判决了著名的“Facebook案”,该案中一名15岁的女孩死于柏林地铁事故,她可能是自杀。死者的父母试图进入女儿的Facebook账户查看其个人通信,并了解更多她在事故发生时的精神状态。同时,他们还打算收集证据供法庭使用,以防地铁公司针对他们(作为侵权人的继承人)提起损害赔偿诉讼。他们知道登录账号和密码,但访问被拒绝。因为在得到女孩死亡的通知后,该账户已被设置为“纪念”状态。因此,依据平台政策,任何人都不能访问该账户。死者父母请求法院判令被告Facebook公司允许他们访问该账户。此项请求被一审法院支持,但上诉法院依据保护电子通信秘密的法律予以驳回。德国联邦最高法院认为社交网络账户和大多数合同一样可由继承人继承,因此,女孩的父母有权访问该账户及其数字内容。
所谓死者的个人信息能否被继承仅指个人信息及其上的权利能否被继承,而非指信息存储于其中的有体物能否被继承。如果死者的个人信息存储在手机、电脑等有体物上,死者对这些有体物本身享有所有权,继承人当然有权继承该有体物的所有权,进而获取其中存储的死者个人信息。倘若死者的个人信息本身已经构成作品(如文字作品、摄影作品、视听作品等),那么死者对之享有著作权,而著作权中财产性权利是可以继承的(《著作权法》第21条第1款)。只有当死者的个人信息既不存在于有体物之上,也没有产生著作权,而是存在于电子邮箱、网络社交账户或被个人信息处理者所收集并存储时,才会发生个人信息的继承问题。对于死者个人信息的继承,可以从死者生前享有的个人信息权益及死者生前与网络服务提供者之间的网络服务合同债权这两个角度加以分析。
(一)从个人信息权益的角度看死者个人信息的继承
自然人对于其个人信息享有相应的权利。此种权利在欧盟《一般数据保护条例》中被称为“就其个人数据受到保护的权利”,该条例序言部分第1条第1款明确将权利作为一种“基本权利”,这也是来源于《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款的规定。在我国,自然人就其个人信息享有的权益被称为“个人信息权益”,尽管就个人信息权益究竟是一种民事权利还是民事利益,存在争议,但主流观点认为,个人信息权益属于不同于隐私权、名誉权等具体人格权的一种新型人格权益。首先,从《民法典》对个人信息保护的规定来看,个人信息权益属于人格权益。一方面,《民法典》总则编第五章“民事权利”遵循从人身权益到财产权的排列顺序,对所有的民事权益进行了列举并留出了未来新型民事权益的空间。关于个人信息保护的规定即第111条紧接在第109条和第110条对人格尊严和人身自由这两项一般人格权以及对生命权、身体权等具体人格权的规定之后,这就说明了个人信息权益属于人身权益,而非如同物权、债权那样属于财产权益。另一方面,《民法典》人格权编第6章对“隐私权和个人信息保护”作出了规定,虽然该编并未确立“个人信息权”,但是在作为“调整因人格权的享有和保护产生的民事关系(《民法典》第989条)”的人格编中规定个人信息保护,足以说明自然人针对个人信息享有的权益是人格权益而非财产权益。
其次,个人信息权益保护的是自然人的人格利益。个人信息保护的根本是对人格尊严和人格自由的保护。无论将自然人对其个人信息的权益界定为权利还是利益,都不影响其属于人格权益。因为个人信息是能够识别特定自然人的信息,这种可识别性就体现了人格特征。个人信息与自然人的人格利益息息相关。无论是基因数据等隐私信息,还是姓名、cookies等一般信息,均与人格形成与发展有关,皆为人格要素,均构成个人整体人格之一部。个人信息“既是自然人参与社会交往的载体,也是个人人格表现和人格发展的工具”,因此,“信息主体对个人信息流转范围和流转方式的掌握,和个人人格的发展密切联系,这也是在现实社会中保护个人信息相关权益的价值基础”。法律对自然人个人信息予以保护,本质上是保护人的尊严和自由。
再次,我国民事立法和司法实践采取的是人格权“一元保护主义”模式,即通过人格权制度同时实现对精神利益和经济利益的保护。作为人格权益的个人信息权益,能够同时保护自然人就个人信息享有的精神利益与经济利益。这一点在《民法典》第993条、第1035条、第1036条、第1183条第1款以及第1182条中都有鲜明的体现。故此,在我国,只要明确自然人针对其个人信息享有的是人格权益即可同时保护自然人针对个人信息享有的精神利益和经济利益,无需分别设立单独的人格权和财产权。
综上所述,我国法上自然人个人信息权益属于人格权益而非财产权益。《民法典》第992条明确规定,人格权不得放弃、转让或者继承。故此,自然人死后,其个人信息不能作为财产而由继承人加以继承,自然人也不能通过遗嘱对其死后的个人信息进行处分。
(二)从合同债权的角度看死者个人信息的继承
死者的个人信息存储在电子邮箱、网络社交账户当中,被个人信息处理者所处理,这是基于死者生前与网络服务提供者之间的网络服务合同而发生的。死者生前是该网络服务合同的一方当事人,享有合同债权和债务。合同关系属于继承法上遗产的核心内容。当被继承人死亡时,继承人取代前者成为合同关系的主体。故此,继承人可以如同被继承人一样,享有对账户服务方的履行请求权,这一请求权首先指向对网络账户的登入许可。然而,从合同债权的角度来分析死者的个人信息的继承,需要解决以下几个问题:
第一,电子邮箱、网络社交账户等网络服务合同关系是否属于具有人身专属性的债权债务关系?如果是,就无法继承。《民法典》第545条第1款第1项规定,根据债权性质不得转让的,债权人不得将该债权的部分或全部转让给第三人。所谓根据债权性质不得转让,主要包括以下类型:(1)当事人基于信任关系订立的委托合同、赠与合同等产生的债权。(2)债权人的变动必然导致债权内容的实质性变更,例如要求医院进行手术或者要求律师提供咨询的债权。(3)债权人的变动会危害债务人基于基础关系所享有的利益,实质性地增加了债务人的负担或风险,或实质性地损害了债务人的利益。应当说电子邮箱、网络社交账户等网络服务合同并非是具有人身专属性的合同。此类合同是由网络服务提供者面向不特定公众而制定的标准化合同,主要目的在于提供通信平台的技术基础设施,不是专门为某个自然人而订立的,不存在特定的信任关系,合同债权的转让也不会导致债权内容的实质性变更或者危及债务人的利益或增加其负担。
第二,网络服务提供者可否通过格式条款或者设定纪念状态来排除网络服务合同债权债务的继承?在德国“Facebook案”中,就是因为女孩死亡后,Facebook公司将其账号设定为“纪念状态”(the status of remembrance),于是女孩的父亲即便有账号和密码也无法登录账户查看死者的个人信息。德国联邦最高法院认为,Facebook既不能在合同中通过标准条款,也不能通过设定纪念状态来排除继承人的继承权。Face-book设定的纪念状态已经违反了《德国民法典》第307条第2款第1句的规定,因为它溯及地改变了主要的合同义务,损害了继承人的利益,导致继承人的继承权丧失,同时,该纪念状态也违反了《德国民法典》第307条第2款第2句,危及合同目的的实现,并鼓励创造“数据坟墓(data graveyards)”。我国《民法典》对格式条款进行了全面的规范,其第497条规定:“有下列情形之一的,该格式条款无效:(一)具有本法第一编第六章第三节和本法第五百零六条规定的无效情形;(二)提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利;(三)提供格式条款一方排除对方主要权利。”因此,在自然人与网络服务提供者之间的用户协议中即便规定了“虚拟财产禁止继承”,也可以利用格式条款的效力规则确认相关条款无效,以最大限度地保护用户权益。
第三,社交账号或电子邮箱中的信息往往没有什么经济价值(除非涉及到商业秘密或知识产权等),这里面的信息基本上是个人信息,包含了死者的隐私,具有精神价值。如果社交账号或电子邮箱像普通的财产那样可以继承,势必违反死者的意愿。例如,一名通奸男子通过电子邮件搞婚外情或一位十几岁的青少年以即时消息与她最亲密的朋友分享生活中最隐私的细节。这种情况下,“服务提供商在保护生前的账户持有人的隐私权方面有合法的利益,并可能担心欺诈性的索赔。”因此,最终披露这些隐私信息将与死者创建账户时的隐私预期不一致。然而,反对者认为,上述理由并不成立。一方面,既然具有高度个人性或私密性的物品如日记、私人信件等也属于遗产,可以由继承人所继承并加以阅读,数字日记、数字信件或其他电子信息无非载体不同,不应区别对待。另一方面,网络服务提供者占有虚拟财产的事实仅说明其应处于积极协助者的位置,而非错误地成为保护隐私的主导者。从我国《民法典》第994条来看,有权利维护死者的姓名、肖像、隐私的,也只是死者的配偶、子女、父母等近亲属,而非网络服务提供者。只有与死者关系密切的人即近亲属才是维护死者隐私的最合适人选。
第四,允许对电子邮箱、社交账号的合同债权进行继承,是否会侵害第三人的隐私权和通信秘密?死者在生前通过电子邮箱或者即时通讯工具等与他人进行社会交往,相当部分的内容属于死者和与第三人的隐私。同时,他们通过电子信息进行的通信也属于通信秘密,受到宪法和法律的保护。我国《宪法》第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”在电子通信领域中,通信秘密保护制度的目的在于保护借助电信网络以非实体化的方式传递给特定受领人的信息的秘密性,所保护的信息既包括通信的“本身内容”,如电子邮件、即时聊天的正文、附件等,还包括通信的“周边事实”如是否发生了特定通信以及特定人是否参与了通信等。因此,只有法律特别规定或明确得到与死者进行电子通信的第三人的同意,死者的近亲属才有权利知悉这些通信的内容。如果允许近亲属继承电子邮箱和社交账号的债权,就会侵害他人的通信秘密。德国的“Facebook案”中,二审法院柏林高等法院之所以驳回原告的请求,就是认为,如果允许原账户所有人的继承人访问Facebook账户将违反保护电信秘密的法律规定。
然而,以保护第三人的隐私权和通信秘密为由否定死者个人信息的继承也受到了学者的批评。首先,诚如德国联邦最高法院在“Facebook案”的判决中所指出的那样,通信中的人格化要素已被匿名和与帐户相关的消息和内容的交换所取代。因此,与帐户有关的通信本身并未留出任何可以从用户协议中解释出继承人应当对与账户进行了通信的第三方的内容做保密处理的余地。换言之,由于没有一个有效的方法来验证登录账户的人是否与发送给相应帐户的消息和其他内容的预期收件人是否相同,故此,即便是用户活着的时候也不可能完全控制与其进行通信的伙伴的身份。因此,通过继承而访问账户的规则不应当比账户使用者活着的时候的规则更加严格。其次,保护通信秘密的原则是有适用的范围的,保护的是通信过程的机密性。进行通信的当事人只能在有限的程度上控制通信过程。但是,保护通信秘密并不能保证收到通信的人对该消息进行机密的处理。也就是说,消息的发送者不能依据有关通信秘密的原则来防止消息的接收者将消息传递给第三方。如果接受消息的人未经允许公开该消息,可以通过隐私权加以保护,不需要依据宪法保护通信秘密的规定,保护通信秘密本身也不能成为禁止社交账户或网络账户继承的理由。
综上所述,在自然人与网络服务提供者之间有网络服务合同关系时,自然人死后,其继承人可否继承该合同关系,尚存疑问,尤其是可能会违背死者的意愿和侵害通信秘密。正因如此,我国《民法典》未规定死者个人信息的继承。此外,仅仅依靠继承法也不足以解决全部的问题,因为即便允许继承账户、电子邮箱等合同关系,还会存在问题,特别是在个人信息处理者并非是基于与自然人的合同关系处理个人信息的情况下,如为履行法定职责或法定义务而强制处理个人信息,死者的近亲属无法通过合同债权继承而取得死者的个人信息。
(一)侵权法保护死者个人信息的正当性
如果死者的个人信息无法被继承,那么对于死者的个人信息还应当给予保护吗?这种保护的正当性何在?就活着的自然人而言,保护其个人信息的主要目的就是为自然人的人身财产等民事权益建立起法律上的防御屏障,从而有效地维护自然人的人格自由和人格尊严。现代信息社会中的个人信息处理行为,极有可能会给自然人带来各种前所未有的侵害其人身财产权益、损害人格尊严和人格自由的危险。包括:其一,因个人信息被非法收集、非法买卖或使用而使犯罪分子对自然人的生命权、健康权、名誉权、隐私权等人格权以及债权、物权等民事权利实施侵害的危险;其二,基于被合法收集的个人信息而形成的大数据,通过算法等技术进行社会分选、歧视性对待,损害人格尊严的危险;其三,通过大数据和人工智能技术进行人格画像,将自然人降格为客体并加以操控,进而损害人格自由的危险。然而,自然人已经死亡了,其个人信息还有保护的必要吗?毕竟,死者不会因为隐私被披露而感到尴尬,不在乎是否有人发现他们生前曾用搜索引擎浏览那些令人尴尬的信息,不再会收到极其具体的定向广告推送,也不受到暗网中非法买卖或泄露个人信息等违法犯罪行为的不利影响。
英美学者认为,保护死者个人信息的正当性在于以下三个方面:首先,保护死者财产利益的需要。自然人虽然已经死亡,但是其死后留存的数据上有相应的财产利益仍应受到法律保护。即便是死者的个人数据也属于死者的财产,因为数据属于无形财产,现代社会中财产的范围早已不限于有体物,也包括了诸多的无形财产。只要同时满足竞争性、永久性、互联性特征的信息资源就构成一项完整的“虚拟财产”。鉴于财产是所有权、债权和其他具有金钱价值权利的综合,无论将虚拟财产界定为物权、债权,还是知识产权或其他新型权利,均应在财产范畴之内。德国联邦最高法院认为:无形资产如个人数据和高度个人化的资产属于个人财产的一部分,因此,根据《德国民法典》第1922条第1款所确立的总括继承的原则,完全是可以继承的。美国法上,公开权理论认为,自然人有权对其姓名、肖像等人格要素进行商业化的利用,这种权利即所谓的公开权,它是指对一个人的姓名或肖像进行商业化利用的控制权。该权利保护的是肖像、姓名、声音等人格要素上的经济利益,可以转让、继承,并在被侵害时具有可诉性。美国各州成文法中认可公开权的有19个州,在印第安纳州和内华达州,公开权在一个人生前和死后的100年内受到保护。在加利福尼亚州,规定公开权在死者死后50年内给予保护,不过,1999年该州立法机关通过的《Astaire Celebrity Image Protection Act》将其延长至70年。
其次,人死之后的尊严利益应当受到法律保护。衡量文明社会的一个标准是如何对待死者。正如一个人死前无需具体说明其死后应如何被埋葬,他(她)也应当得到体面的安葬那样,一个人不需要在生前表示希望死后免受羞辱,就可以在死后享受不受羞辱的尊严利益。保护死者的个人信息就是要保护死者死后的尊严利益以及其近亲属的尊严利益,即便就死者而言,其永远不可能知道其尊严是否受到侵犯,也应给予尊重和保护,因为法律并不以侵害被受害者所感知作为违法的要件。
再次,死后的隐私权仍然应当得到尊重和保护。死后的隐私权,是指一个人在死后维护和控制自己的名誉、尊严、完整性、秘密或记忆的权利。自然人死亡后遗留下来的数字资产通常具有个人和私密的性质,并且这些数据资产是大量的、可共享的,而依据当前的法律规范很难加以删除和分类。“尽管死者永远无法知道他们是否按照自己的意愿得到了安葬,但是美国的法律和文化要求尊重死者的意愿,无论这些意愿是以遗嘱还是其他方式表达的。”所以,人们应当如同死者生前那样尊重其死后的隐私权。
我国理论界与实务界认为,自然人已经死亡的,不再享有姓名权、肖像权、隐私权等人格权,人格权也不能继承。但是,死者的姓名、肖像、名誉权、隐私等受到法律保护,不能任意加以侵害。理论界就此提出了死者权利保护说、死者法益保护说、近亲属权利保护说、人格利益继承说、延伸保护说等不同的学说加以解释。主流观点认为,法律上之所以保护死者的名誉、荣誉、隐私、肖像等,不是因为死者死后其人格权继续存在,而是因为对死者的名誉、荣誉、隐私等的侵害会给死者近亲属的权益或者社会公共利益造成损害,也违反了公序良俗原则。倘若任由他人随意侵害死者的名誉、荣誉等,不仅会直接影响到人们对死者的评价,更会对死者近亲属的人格尊严造成损害。对死者人格利益的保护“体现了法律对民事主体权益保护的完整性”,有利于“引导人们重视个人生前和身后的声誉,尊重主流社会的价值观”。
笔者认为,保护死者个人信息的正当性在于:一方面,保护死者个人信息的主要目的是为了维护死者近亲属的人格尊严和人身财产权益。《宪法》第38条第1句规定:“中华人民共和国公民的人格尊严不受侵犯。”《民法典》第109条规定:“自然人的人身自由、人格尊严受法律保护。”第990条第2款规定:“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”自然人虽然已经死亡,侵害死者的个人信息,会构成对死者近亲属的人格尊严以及其他人身财产权益的侵害,故此法律上应当禁止对死者个人信息的侵害。另一方面,保护死者的个人信息有利于弘扬社会主义核心价值观,贯彻诚信原则和公序良俗原则。《民法典》第1条将“弘扬社会主义核心价值观”作为立法目的之一。其中,诚信、友善是公民基本道德规范,《民法典》也明确将诚信原则和公序良俗原则作为民事活动应当遵循的两项基本原则(第7条与第8条)。《个人信息保护法》第5条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”如果自然人死后,其个人信息就可以随意被处理,被任意侵害,显然违反了诚信原则与公序良俗原则,不符合文明社会和我国传统伦理道德的要求。
(二)我国侵权法对死者个人信息的保护
我国法一直以来对于死者的名誉、姓名、肖像、隐私等就给予保护。2001年,最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》第3条规定,自然人死亡后,其近亲属因下列侵权行为遭受精神痛苦,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理:(一)以侮辱、诽谤、贬损、丑化或者违反社会公共利益、社会公德的其他方式,侵害死者姓名、肖像、名誉、荣誉;(二)非法披露、利用死者隐私,或者以违反社会公共利益、社会公德的其他方式侵害死者隐私。这一规定被《民法典》所采纳并予以完善,《民法典》第984条规定:“死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其配偶、子女、父母有权依法请求行为人承担民事责任;死者没有配偶、子女且父母已经死亡的,其他近亲属有权依法请求行为人承担民事责任。”此外,第185条还就英雄烈士的姓名、肖像、名誉的保护作出了特别规定。
依据《民法典》上述规定,死者的个人信息中属于姓名、肖像和隐私的部分,当然可以受到侵权法的保护。《民法典》第1032条第2款将隐私分为两大类:一是,自然人的私人生活安宁;二是,自然人的私生活秘密,即不愿为他人知晓的私密空间、私密活动、私密信息。《民法典》第1033条还列举了六大类侵害他人隐私的行为。就死者而言,不存在侵扰私人生活安宁、侵害私密空间、私密活动或私密部位的问题。因此,保护死者的隐私主要就是保护死者个人信息中的私密信息。由于《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”据此,对于死者的私密信息,当然可以适用《民法典》第984条的规定。
问题是,死者的个人信息中除姓名、肖像或隐私以外的其他个人信息,是否受到侵权法的保护呢?笔者认为,这些个人信息也可以适用《民法典》第994条。因为,《民法典》第990条第2款规定:“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”当死者的个人信息被侵害进而损害死者近亲属的人格权益时,死者的近亲属可以依据该款规定的一般人格权而请求保护。同时,由于《民法典》第994条列举死者的人格要素时并未穷尽,而使用了“等”字兜底,故此,可将死者的个人信息中并非姓名、肖像、隐私的个人信息包括进去,在这些个人信息遭受侵害时,死者的配偶、子女、父母等近亲属,可以依据该条请求行为人承担民事责任。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第15条也采取了该观点。
(一)比较法上的规范模式
目前,多数国家或地区的个人信息保护法或数据保护法仅适用于活着的自然人,而不适用于死者。以当今世界上最具代表性的个人数据保护立法———欧盟《一般数据保护条例(GDPR)》为例,其导言部分第27条规定:“本条例不适用于已故人士的个人数据。成员国可以对已故人士个人数据的处理进行规定。”这就是说,GDPR关于个人数据处理和个人数据权利等规定,不适用于死者的个人数据,欧盟各成员国可以自行作出相应的规定。欧盟成员国中,奥地利、比利时、荷兰、瑞典等国家没有对死者个人信息的保护问题作出任何规定,而捷克、芬兰、德国、爱尔兰、波兰、英国等国家明确规定不适用于死者的个人信息。例如,2018年英国《数据保护法》第1章第3条第2款明确将“个人数据”界定为“与已识别或可识别的活着的个人有关的任何信息。”
在欧盟27个成员国中,只有丹麦、法国、意大利、西班牙、匈牙利和斯洛文尼亚等国家对于死者个人信息的保护问题作出了规定。例如,2018年的丹麦《数据保护法》第2条第5款规定,该法与欧盟《一般数据保护条例》适用于死者死后十年内的个人数据的保护。2016年10月修改后的法国《数据保护法》第40-1条规定,原则上数据主体死亡后,其数据权利随之消失,但在符合以下条件时,权利可以暂时保留:其一,数据主体对其死后的个人数据的保存、清除和传递作出了一般性或特殊性的指示;其二,如果当事人没有作出指示或者不违反已有的指示,其继承人可以在数据主体去世后行使相应的数据权利,包括因为死者遗产继承的安排而了解有关死者遗产继承的安排或规定的个人数据;要求关闭死者的账号并拒绝处理这些账号的个人数据等。实践中,法国的法院往往倾向于驳回继承人和近亲针对死者个人数据提出的任何诉讼。2019年匈牙利修改了《信息法》,增加了对处理死者的个人数据的规定。该法规定,数据主体在其生前可以选任一人或一位近亲属在自己死后行使其个人数据权利。西班牙《数据保护法》不适用于已故者的个人数据,但该法第3条规定,继承人有权从数据控制者和处理者处访问死者的个人数据,并有权请求删除和更正相关数据,除非死者生前予以禁止或者法律禁止删除或更正。遗嘱执行人也可以如同继承人那样采取相同的措施。如果继承人是未成年人或残障人士的话,那么检察官可以代表他们。最值得注意的是意大利,该国依据欧盟《一般数据保护条例》于2018年通过了第101号法令修订了《数据保护法》。修改后的意大利《数据保护法》规定,《一般数据保护条例》第15条至第22条中规定的数据主体的权利,可以在自然人死后由对该数据之保护享有利益的数据主体、死者的代理人或者基于值得保护的理由的家庭成员作为代表来行使。但是,在法律有规定的情况下,或者在数据主体以书面形式明确予以禁止或者向数据控制者发出了明确禁止表示的除外,此时,不允许前述主体代表死者行使权利。
在欧盟之外的其他国家或地区的立法中,多数没有规定死者个人信息的保护及其权利行使问题,或者明确规定个人信息仅指活着的自然人的个人信息,如日本《个人信息保护法》第2条第1款、韩国《个人信息保护法》第2条、泰国《个人数据保护法》第6条、我国台湾地区“个人资料保护法施行细则”第2条。美国加利福尼亚州的《消费者隐私法案》(California Consumer Privacy Act)没有对死者个人数据的保护问题作出规定。不过,在联邦层面的立法上,美国《健康保险携带与责任法》、《经济与临床健康信息技术法》对死者健康信息的管理作了规定,即自然人死后的50年内,死者的代理人或遗嘱执行人有权查询、授权使用或披露姓名、地址、生物信息、医疗记录、保险信息等在内的死者健康信息。如死者生前没有指定代理人或遗嘱执行人,则根据各州法律规定的遗产继承顺序,由相关继承人行使查询权。此外,医疗机构还可以向死者生前已经知悉相关信息的死者亲属、朋友和照看人员提供死者的健康信息。在自然人死亡超过50年后,医疗机构有权决定死者健康信息的处理方式。亚洲的一些国家还允许数据主体的权利被继承。例如,菲律宾《个人信息保护法》第17条规定:“数据主体的权利可转让。数据主体的合法继承人和受让人可以在数据主体死亡后或数据主体丧失行为能力或无法行使时随时行使数据主体的权利,即作为继承人或受让人行使前一条中列举的权利。”新加坡《个人数据保护法》第4条规定,该法不适用于已故的个人的数据,但是死亡时间在10年以内的个人的数据适用有关个人数据披露的规定以及该法第24条关于个人数据保护的规定。新加坡个人数据保护委员会对这一规定作了细化,即死者生前指定的代理人或遗嘱执行人作为死者个人信息处理活动的联络人,有权作出或撤销处理死者个人信息的同意,并对泄露或侵犯死者个人信息的处理者提起投诉或诉讼。死者生前未指定代理人及遗嘱执行人,或代理人及遗嘱执行人无法行使权利的,由死者的近亲属行使。
(二)我国《个人信息保护法(草案)》历次审议稿的规定
我国《个人信息保护法草案(第一次审议稿)》并未就死者个人信息的问题作出规定。审议该草案时,有常委委员和专家、社会公众提出,“民法典中规定,死者的姓名、肖像、名誉等受到侵害的,其近亲属有权依法请求行为人承担民事责任。建议参照上述内容对死者的个人信息保护问题作出规定。”故此,全国人民代表大会宪法和法律委员会经研究,建议增加一条规定,《个人信息保护法草案(第二次审议稿)》(以下称《二审稿》)第49条规定:“自然人死亡的,个人在个人信息处理活动中的权利由其近亲属行使。”所谓“个人在个人信息处理活动中的权利”指的是该草案第4章“个人在个人信息处理活动中的权利”,包括知情权、决定权、查阅复制权、更正补充权、删除权等。这就意味着,除了《民法典》第994条对死者个人信息的侵权法保护外,《个人信息保护法》赋予了死者近亲属针对死者的个人信息可以行使相应的权利。这种立法模式对于保护死者的个人信息,维护死者的尊严以及死者近亲属的人格利益具有重要的作用,它解决了前述关于死者个人信息无法继承进而受保护的问题,同时,相比于《民法典》第994条的侵权法保护方法,又提供了一种更为积极、主动的保护。也就是说,死者的近亲属无需在死者的隐私被侵害了才能提起侵权诉讼,而是可以直接行使自然人在个人信息处理中的权利。并且,在侵害死者的个人信息但未侵害死者的隐私、肖像、姓名,而是对死者近亲属的合法权益造成危险的时候,允许近亲属对死者的个人信息行使删除权等权利,也能很好的保护死者近亲属的权益。
因此,《二审稿》第49条的规定总体上是值得赞同的,但是,该条不作任何限制的允许近亲属针对死者的个人信息行使权利,则有所不妥。首先,可能会明显违背死者生前的意愿和侵害第三人的隐私权。死者的个人信息尤其是隐私,是不愿意为他人所知悉的,即便是自己的近亲属也不例外,例如,死者生前与第三人有婚外情或非法同居关系,虽然这种行为是不道德的,但毕竟属于死者的隐私,不愿意为任何其他人所知悉;再如,死者生前具有同性恋或双性恋的性取向,这种隐私也可能不愿意为其他人所知悉的。在网络信息时代之前,死者生前的隐私可能记载在日记中,那么他(她)可以在死前通过销毁日记或者通过遗嘱作出相应的安排,以防隐私被公开或为他人知晓。但是,在网络信息时代,这些隐私存储在网络上(社交账户、电子邮箱或网络日记),死者生前通过设置秘密或将状态设置为仅自己可见,其实就明确的表达了不愿公开的意愿。如果法律完全不顾及死者生前的意愿,就直接规定近亲属可以行使死者生前在个人信息处理中的权利,就意味着近亲属可以取得账户的密码,而知晓这些隐私。这种规定不仅明显违背了死者的意愿,对于死者的近亲属以及家庭的和谐也是不利的。其次,可能不利于保护第三人的隐私权。因为死者以及第三人都不愿意他们之外的任何人知晓某些信息,如果允许近亲属不受任何限制地可以请求查阅、复制死者的个人信息,就完全可能在违背死者意愿的同时,侵害第三人的隐私权。再次,不作任何限制的允许近亲属可以行使死者对个人信息的权利,也等于变相认可近亲属可以继承死者对个人信息处理的权利,这与个人信息权益属于人格权益、不能继承的性质相违背的。
(三)《个人信息保护法》第49条
国家立法机关接受了人们对《二审稿》第49条的批评意见,对该条进行了修改完善,《个人信息保护法》第49条规定:“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。”从这一规定可知:
1、《个人信息保护法》第49条的立法目的已经发生改变,从《二审稿》第49条保护死者的个人信息转为保护死者的近亲属“自身的合法、正当利益”。换言之,《个人信息保护法》第49条之所以规定近亲属针对死者的相关个人信息可以行使查阅、复制、更正、删除等权利,目的是为了保护死者的近亲属自身的合法、正当利益,而不是保护其他人的利益。这就从另一个角度说明,我国《个人信息保护法》上的个人信息仅仅是活着的自然人的个人信息,不包括死者的个人信息。
所谓近亲属自身的合法、正当利益意味着,一方面,该利益是属于死者近亲属的,而非死者的或者其他人的;另一方面,死者近亲属要维护的是符合法律规定的且不违反公序良俗、诚信原则的利益,即合法、正当的利益。合法、正当的利益范围比合法权益要广泛,包括但不限于近亲属的合法权益。之所以有这一要件的要求,理由在于:死者已经去世,不属于民事主体,失去民事权利能力,其既不能享有民事权利,也无须履行民事义务。因此,不存在死者自身来行使针对个人信息的权利的问题。但是,死者虽然已经去世了,其近亲属仍在,所谓近亲属就是指与死者存在非常密切的自然或法律意义上的关系的人,如父母、子女、配偶、兄弟姐妹、祖父母、外祖父母、孙子女和外孙子女。此时,近亲属为了维护自身的合法、正当利益,有必要行使针对死者的个人信息的权利。例如,近亲属为了解死者生前是否对死后的财产分配作出相应的安排,或者为了知道死者生前的所思所想,了解死因等,需要登录死者的电子邮箱来查阅复制死者的个人信息;再如,当死者的个人信息存在不准确或者不完整的地方,而这导致了死者的名誉存在受损的危险,进而损害近亲属对死者的崇敬之情,近亲属有权要求个人信息处理者对死者的个人信息进行更正。
2、近亲属只能针对死者的相关个人信息行使相应的权利。首先,近亲属只有在针对死者的个人信息要求行使查询复制权、删除权等权利时,才需要适用《个人信息保护法》第49条的规定。如果近亲属是针对自己的个人信息,自然不存在适用该条之必要。因此,必须区分死者的个人信息与死者的近亲属的个人信息。其次,近亲属针对的是死者的相关个人信息而非死者全部的个人信息,这就是说近亲属也不可能对死者的所有个人信息行使权利。所谓相关个人信息是指与维护死者近亲属自身的合法、正当的利益具有直接、密切关系的个人信息,如果不是具有密切关系的,则不能行使。例如,为了查明死者生前对遗产的安排,可以查阅复制死者生前的电子邮件等个人信息。作此规定,主要就是考虑到死者生前与他人交往中形成的个人信息不单纯是死者的个人信息,也有他人的信息或隐私。故此,通过“相关”一词适当限制了近亲属可以行使相关权利的死者的个人信息的范围。
3、死者生前另有安排的除外规定。这主要是为了尊重死者的意愿和保护其隐私而作出的例外性规定。所谓死者生前另有安排的情形主要包括:其一,死者生前通过遗嘱等方式明确表示自己死后,任何人包括近亲属在内都不得查阅、复制其个人信息,而是要求个人信息处理者在自己死后将个人信息全部予以删除。此种情形下,因为个人信息处理者已经删除了死者全部的个人信息,那么近亲属就不可能再去要求行使查阅、复制的权利。其二,死者生前通过遗嘱等方式指定了特定的人来行使对其个人信息的权利,例如,死者生前明确指定其配偶或者子女来行使查阅、复制、更正、删除等权利。在这种情形下,其他的近亲属即便为了自身正当、合法的利益,也不得行使对死者个人信息的权利。当然,如果是他人侵害死者的个人信息,死者的近亲属仍可依据《民法典》第994条要求侵害行为人承担侵权责任。
4、近亲属能够对死者相关个人信息行使的权利是有限制的,仅限于《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”。该章规定的权利包括:知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权。《个人信息保护法》第49条列举了死者的近亲属可以针对死者的相关个人信息行使本章规定的“查阅、复制、更正、删除等权利”。之所以采取“等权利”兜底,就是考虑到不能预料未来的发展,是否会有赋予死者的近亲属针对死者相关个人信息的其他权利的必要。不过笔者认为,死者的近亲属享有查阅、复制、更正和删除的权利,就足以维护自身的正当、合法利益了。
死者的个人信息不属于个人财产,不能被继承。在他人侵害死者的个人信息时,近亲属有权依据《民法典》第994条提起侵权诉讼,获得救济。但是,《民法典》第994条只是事后救济,保护力度不足。故此,我国《个人信息保护法》第49条承认一定条件下死者的近亲属可以针对死者的相关个人信息行使查阅、复制、更正、删除等权利,为死者近亲属维护自身合法、正当利益提供了积极主动的方法,是非常必要的。同时,该条通过“为了自身的合法、正当利益”、“死者的相关个人信息”以及“死者生前另有安排的除外”等三项限制要件,以及对死者近亲属可以行使的权利加以列举,又在一定程度上限制了近亲属对死者个人信息的权利,从而尊重了死者的隐私和生前意愿,保护了与死者交往之人的隐私、通信秘密。总体上来说,这一规定是非常值得肯定的,当然,具体的效果如何还需要实践的检验。
《法学评论》是由教育部主管、武汉大学主办、武汉大学法学院具体承办的综合性法学理论双月刊。《法学评论》属于我国重要的法学理论刊物,并在学术界具有重要影响力。《法学评论》是全国中文核心期刊、CSSCI来源期刊、中国人文社会科学核心期刊、RCCSE中国核心学术期刊、湖北省优秀精品期刊。
-END-
程啸:论我国个人信息保护法中的个人信息处理规则 | 清华法学202103
关注下方公众号,获取更多法律信息