斯人已逝,生者如斯—浅析死者个人信息权利
伊莱恩·卡斯凯特在《网上遗产》里写道:“我们曾用技术手段抓住死者,但现在,技术已经不仅仅是一种帮助我们和逝者取得联系的媒介,死者就存在于技术之中。”[1]随着数字经济的发展,越来越多的人在数字空间中活跃,而我们对某个人的印象、回忆也在很大程度上取决于其留存于数字空间中的信息。随着生者逝去,留存于数字空间中的信息在某种程度上即提醒着思念者斯人已去,但同时也留下了追思的碑石。
对于死者的个人信息保护,《个人信息保护法(草案二审稿)》(以下简称“二审稿”)参照《民法典》中的规定,增加了保护死者个人信息的条款;2021年8月20日正式通过的《个人信息保护法》(以下简称“《个信法》”)进一步完善了这一规则,对个人信息处理者保留的“数字遗产”应当如何处置进行了一定回应,有助于解决随着数字经济快速发展而日益增多的因自然人死亡引发的个人信息纠纷。[2]本文尝试回顾从死者相关权益保护的过去、现状,结合域外有关死者个人信息保护的规定,探讨《个信法》死者个人信息权益保护规则的适用性。
一、《个人信息保护法》死者个人信息权益保障条款
根据二审稿第四十九条,自然人死亡后,其对于个人信息处理活动中的权利由近亲属行使。这一新增规定一度引发了理论界较为激烈的讨论,特别是在如何有效保障个人信息的处理符合死者生前意志的问题上,争议尤为突出。对此,《个信法》第四十九条充分考虑了对死者生前意志的尊重和保障,要求死者的近亲属行使相关权利时应有自身合法、正当的权益保障基础,且在死者生前如另有安排,则近亲属维护自身利益而行使权利的行为将需要让渡于死者生前意志。
另一方面也应看到,相比于二审稿第四十九条直接说明死者享有在个人信息处理活动中的权利,近亲属只是代为行使,修订后的条款变更为近亲属可以对死者的相关个人信息行使权利。从文义解释上看,《个信法》在保护死者个人信息的同时,似乎也有意对个人信息权益的主体更多向生者倾斜,将死者个人信息的查阅、复制、更正、删除等权利建立于生者自身合法正当利益保护的基础之上。这一立法思路的转变呼应了此前对于死者个人利益保障的理论基础之争议,也反映了立法层面在防止个人信息权利主体不当扩大和有效保障死者意愿之间的抉择与平衡。
二、死者人格权益保护的国内法渊源
在我国民法体系下,对于死者权利的保护讨论较多且司法实践已有触及的首先见于死者人格权的保护。虽然普遍承认应当保护死者的人格利益,但是我国学者对其制度架构的理论选择一直争论不休。有部分学者主张“死者权利保护说”,认为人格权不依附于人的生命而消失,自然人在死后仍然可以拥有某些权利。但是这与目前的民事权利体系相矛盾,作为重要的民事权利的一种,人格权也应当同民事权利一样“从出生起到死亡时止”。[3]而大部分学者都主张“近亲属权利保护说”,认为死者其实已经丧失了民事权利能力,也不再是民事权利主体,只有生存着的死者的近亲属能够以权利主体的地位获得法律的保护。并且,死者与近亲属的人格利益上存在一定的关联性,一方面,名誉是社会对主体的综合性评价,一方的人格权破坏在很大程度上也很可能影响其近亲属的名誉,另一方面,基于死者和近亲属的特殊关系,对于死者的人格利益侵犯往往也是对于其近亲属的情感和精神的巨大伤害。[4]
如前所述,相对于二审稿对于死者享有个人信息主体权利的规定,《个信法》第四十九条规定除死者生前另有安排的,近亲属可以为了自身的合法、正当利益对死者的相关个人信息进行查阅、复制、更正、删除等操作,可见其最终采取了“近亲属权利保护说”的观点,这也与此前国内对于死者人格权益保障的司法实践相呼应。
早在2001年颁布的《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》曾规定,自然人死亡后,以侮辱、诽谤、贬损、丑化或者违反社会公共利益、社会公德的其他方式,侵害死者姓名、肖像、名誉、荣誉或非法披露、利用、非法侵害死者隐私的,其近亲属因遭受精神痛苦,可以向人民法院起诉请求赔偿精神损害;自然人因侵权行为致死,或者自然人死亡后其人格或者遗体遭受侵害,死者的配偶、父母和子女或其他近亲属可以向人民法院起诉请求赔偿精神损害。在2020年修订司法解释中也同样规定,死者的姓名、肖像、名誉、荣誉、隐私、遗体、遗骨等受到侵害,其近亲属向人民法院提起诉讼请求精神损害赔偿的,人民法院应当依法予以支持。可见,司法解释赋予死者的近亲属提起精神损害赔偿诉讼的资格,通过保护死者近亲属的情感需要和利益,来间接保障死者人格利益免遭不法侵害。
除了司法解释对死者近亲属因死者权益受到侵害而主张精神损害赔偿的请求权基础予以确认和支持外,现有司法案例中也不乏为保障近亲属合法利益而一定程度让渡死者个人隐私或权益的现实案例。在2015年“陈森豪诉某市房产局案”[5]中,死者陈林的法定继承人陈森豪(一审原告)在父亲去世后申请房产局(一审被告)告知其名下房产信息,而房产局以“房屋作为所有权人的私有财产,其登记信息往往涉及到所有权人的个人隐私或商业秘密”以及房屋权属相关的信息查询规定查询机构及其工作人员应当对房屋权属登记信息的内容保密为由,拒绝了原告的请求。对此法院认为,原告基于《继承法》、《物权法》对死者的合法财产享有继承权,应当受到尊重和保护。原告作为死者第一顺序法定继承人,知悉死者名下的房产信息是实现其继承权的前提,查询死者名下房产信息是其继承权的权利延伸,我国《物权法》第十八条[6]的规定即体现了该项权利。基于此,法院最终支持了原告的诉讼请求。
这一案例可谓构成《个信法》第四十九条的典型适用场景,在当时尚缺乏明确法律规定的情况下,法院援引了《继承法》、《物权法》等对近亲属继承权利的确认和保障规则,为维护和实现近亲属法定的继承权利,明确了近亲属查询死者房产信息具备合理的基础,虽然在裁判说理上使用了“权利延伸”的论证思路,但“殊途同归”,起到了保障近亲属合法权利的效果。实际上,因向公权力机关查询死者个人信息/隐私信息而引发纠纷的案件不在少数,虽然因事实情况的千差万别和法律规则的缺位导致法院裁判思路不尽相同,但多数法院仍旧肯定了近亲属具备查询、要求政府公开死者生前信息的权利。例如在2012年另一起“曹某等诉某市社会保险基金管理中心案”中,原告作为死者近亲属申请要求被告公开死者工伤赔偿保险核定表,而被告以核定表属于个人信息不应该公开为由拒绝了原告要求,法院最终支持原告的请求。该案后来入选《人民司法》刊。同样是在没有法律明确规定的情况下,主审法院在“死亡公民的近亲属能否申请公开涉及该死亡公民的个人信息”这一焦点问题上类推适用了《行政诉讼法》中有权提起诉讼的公民死亡,其近亲属可以提起诉讼的规定,认定原告具备申请公开个人信息的资格。值得注意的是,该案法院在评析中肯定了近亲属构成死者个人信息权利人。在《个信法》生效后,如相类似的情况再出现,是否需要重新变换论证思路,重点考虑近亲属在案件中的合法利益基础,将有待实践的进一步检验。
三、死者个人信息权益保障的域外经验
随着数字经济的发展以及对“隐私”这一概念的不断诠释,全球各司法辖区也对应当如何保护死者的个人信息提出了不同的见解。
其中,欧盟《通用数据保护条例》(以下简称“GDPR”)在序言第27段中规定,GDPR并不适用于死者的个人信息,但成员国可以对处理死者个人信息的方式制定规则。我们理解,如何处理死者的个人信息本身存在较大争议,且与各国文化高度相关,可能无法以“通用”或“公认”的数据保护规则予以规制。目前,就欧洲地区而言,奥地利、比利时、克罗地亚、塞浦路斯、芬兰、德国、希腊、立陶宛、卢森堡、马耳他、荷兰、挪威、波兰、罗马尼亚以及英国尚未对死者个人信息进行额外的规定,即数据保护法律不适用于死者个人信息。对于其他国家而言,以法国为例,个人信息处理者可以处理死者个人信息,但死者生前可以对其个人信息在去世后如何留存、删除或者披露制定通用或者特别的指示。[7]对所有个人信息处理活动相关的通用指示可以向经过法国国家信息自由委员会(CNIL)认证的可信第三方登记,而对个人信息处理行为的特别安排则必须向数据控制者提交。当数据控制者收到个人的特别指示后,必须基于该人同意,才能在其死亡后继续处理相关的个人数据,且数据控制者不能在使用条款中免除该同意要求。[8]虽然西班牙数据保护法明确规定不适用于死者个人信息,但却认可,死者的继承人、利益相关人或委托人可以访问死者在社交网络和数字平台上的个人信息,并可以要求相应数据控制者对个人信息进行修改和删除等操作(除另有遗嘱外)。[9]死者若为未成年人,则由其法定代理人或者公诉人依职权或者依申请行使上述权利;死者若为残疾,在扶养范围内,由承担扶养职责的人行使上述权利。[10]除此之外,丹麦、冰岛等成员国则直接规定死者个人信息可以适用GDPR的相关规定,但对保护期限进行了限制,例如丹麦规定对死者个人信息的保护自去世之日起十年内有效。[11]
美国加利福尼亚州的《加州消费者隐私保护法》(CCPA)以及《加州隐私权法》(CPRA)均未对死者个人信息的保护进行任何规定,但美国统一州法委员会发布的示范法《受托人访问数字资产统一法》(RUFADDA)则从继承法的角度提出了一些规则,对如何保护死者个人信息具有一定的借鉴意义。RUFADDA将数字资产定义为“个人拥有权利或利益的数字记录”,具体可以包括(1) 电子文件,如电子邮件、微软办公系统各类形式文件等;(2) 社交媒体账号,如脸书、领英等媒体账号;(3) 金融资产,如PayPal、Amazon钱包账户;(4) 商业资产,如数字化客户信息、数据库、专利、域名、网页等;(5) 其他形式资产,如博客账户内容、线上音乐及视频、线上游戏等。根据《存储通讯法案》(Stored Communication Act)的要求,RUFADDA区分了数字通讯类和非数字通讯类数字资产的访问权限及要求。[12]任何人(包括遗嘱执行人在内的受托人)均无权访问对于数字通讯类资产,除非获得了死者明确的授权同意,而授权同意可以通过遗嘱、信托、授权书或者在线工具提供。[13]通过设置数字通讯类数字资产默认不可访问的方式,RUFADDA可以相对比较好的保护死者及其交往者的隐私。
在授权层级上,RUFADDA设立了在线工具>遗嘱>服务协议的“三层优先访问体系”。如死者生前已利用在线工具制定数字资产披露指示,则该指示的效力大于遗嘱。如果死者没有通过在线工具做出任何有关数字资产的指示,则遗嘱中的相关规定适用。但若死者没有通过在线工具或者遗嘱做出任何指示,则数据资产将按照死者生前和服务提供商签署的服务协议处理。[14]
除数据保护法律之外,医疗行业的监管也对如何处理死者个人信息作出了一定限制。例如,虽然英国的《数据保护法案》(UK Data Protection Act)没有对死者个人信息做出明确的规定,但根据《病历访问法案》(Access to Health Records Act 1990),仅限死者的代理人(包括遗嘱执行人和遗产管理人)以及因死者去世而有请求权的个人(无论是死者的近亲属还是其他人)访问病历。[15]美国《健康保险携带和责任法案》(HIPPA)也要求相关机构在个人去世50年内给予死者的个人信息与其在世时相同程度的保护。[16]
这些域外规则的设定大多数考虑了死者生前遗嘱对于其个人信息的处理要求,虽然不同国家对于遗嘱效力的具体要求上不尽相同,但总体体现了对于死者生前意志的尊重和保障,这与我国《个信法》的规定不谋而合。而另一方面也可以看到,也有国家同步关注到了死者个人信息过度保护问题,从而在信息类型、保护期限上设置一定的限定条件,防止死者个人信息保护的无限制扩张。
四、延伸思考
1.《个信法》的生效规定是否意味着死者合法权益保障的回退?
《民法典》将自然人个人信息相关权益保护纳入人格权编,可以视为立法层面对于个人就其个人信息享有的权利具备人格权属性予以肯定和保护。基于此,从人格权益保障的视角,《个信法》第四十九条中的“死者生前另有安排的除外”规定,可以视为一定程度上对死者生前在个人信息层面享有的人格利益及其处理意愿予以尊重和保障。而另一方面,这也同步说明了立法对于死者享有个人信息权利的某种“否定”。无论是“死者生前另有安排”,还是近亲属基于自身合法权益保障方可对死者的个人信息行使查阅、复制、更正、删除等权利,均表明对于死者而言,其已不再具备《个信法》所规定的个人信息主体的资格,除非在其生前作为个人信息主体时有明确的个人信息处理意愿外,死后将丧失行使或间接由其近亲属行使个人信息权利的能力。这一规则不禁引发我们进一步思考:当我们因二审稿对于死者个人信息权利的承认而引发个人信息权利过度保护的担忧时,《个信法》修订后的条款是否会将问题带向另一极端,即在缺乏论证近亲属需要保护的合法正当利益而死者也没有生前做出安排时,死者的合法权益是否可能丧失被保护的渠道?
从人格利益角度出发,《民法典》第九百九十四条规定,死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其配偶、子女、父母有权依法请求行为人承担民事责任。相较于此前司法解释着重对于近亲属精神损害赔偿的支持态度,这一规定从某种程度上肯定了死者对于姓名、肖像、隐私等所享有的人格权利,近亲属可直接基于死者的上述权益受到侵害而请求行为人承担民事责任,而无需以提起精神损害赔偿为由实现死者权益的间接保护。我们理解,当死者的个人信息相关权益受到侵害的,考虑到个人信息权益的人格属性,理论上死者近亲属也应有权基于《民法典》的上述条款请求行为人承担民事责任。同样的,在《个信法》的语境下,如为了保障死者合法权益,而需要对其个人信息进行查阅、复制、更正、删除的,是否也应当给予相应的实现途径?实际上,我们在前面提到的“曹某等诉某市社会保险基金管理中心案”就已经凸显这一问题。当有权行使申请政府信息公开、享有知情权利的行政相对人死亡时,其近亲属代为申请信息公开的行为显然是为实现死者的上述合法权益保护,而很难被直接解释为是为了保障近亲属自身的合法正当权益。在上述场景下,死者的近亲属是否只能参照《民法典》、《行政诉讼法》的有关规定,以提起诉讼、追究责任的方式才能有效解决现实的争议问题?
2.《个信法》可否作为个人信息继承规则的法律基础?
另一方面,随着个人信息商业价值的不断挖掘,个人信息的财产属性已经引发了从理论到实践层面的多方讨论。对于死者个人信息保护,同样需要长远考虑个人信息财产价值的认可所带来的未来立法规则上的发展变化。从上述民法体系的基本规则来看,不同于人格权具有较强的人身属性,财产权利具有更强的流通性,通常可以继承,故死者的财产权利由继承人获得并行使可以有效保障相关权益免受他人侵害。长远来看,如个人信息的财产权益在未来的立法中得到认可,则对于死者的该等财产权益是否也可适用继承规则,即相关财产权益归属于继承人,也应同样审慎考虑。结合我们前面提到的司法案例,《个信法》的现有条款似乎给予了财产属性语境下个人信息权利行使的合理逻辑:当死者的个人信息可以有效地转由近亲属继承时,是否意味着近亲属可以对死者的个人信息主张享有合法权益,而基于这一合法权益来行使对死者个人信息的查阅、复制、更正、删除等权利?而当死者生前另有安排时,例如通过遗嘱对其个人信息进行了一定的处分,则是否也可以类比继承法下的既有规则,遵从死者遗嘱对其个人信息进行保护和处置?当然,这一问题的根源仍旧需要回溯到法律对于个人信息之上所载财产权利的态度,而实际上这一问题离我们已经不远,关于个人在网络上的账号信息(例如淘宝店铺账号、游戏账号)、游戏装备、虚拟货币、视听资源等在继承案件、婚姻家庭案件中如何确权、如何判定归属早已引发诸多讨论,实践中也有不少平台企业遭遇类似诉求。[17]因此,《个信法》第四十九条在个人信息继承规则上的合理适用,仍有赖于未来个人信息财产权益方面的立法发展。
3. 如何实现《个信法》死者个人信息保护条款的落地?
在分析与展望《个信法》死者个人信息保护条款的可能影响和未来趋势的同时,我们同样需要回归到条款本身考察其实践应用。《个信法》对死者个人信息的保护思路与方式值得肯定,但实践中应当如何落地还有待进一步明确。
例如,对于死者生前的“另有安排”,这一安排所应具备的条件和效力为何,才能够有效验证死者生前意志,就有待进一步讨论。从个人信息的财产属性出发,对个人信息权利的安排是否需要按照遗嘱的形式进行,即仅能通过《民法典》继承编的要求以公证遗嘱、自书遗嘱、代书遗嘱、打印遗嘱、口头遗嘱或录音录像遗嘱的形式安排如何处理个人信息?如参考域外的一些立法经验,死者生前是否可以通过第三方提供的网络服务进行安排?而在这一情形下,应当如何确定此类第三方服务的可靠性?此外,若死者生前就个人信息的处理进行了多种形式的安排,而不同安排下的个人信息处理意愿又存在不一致时,是否还需要进一步评估不同形式安排之间的效力顺位?除此之外,未来随着数据信托等商业模式的兴起发展,对于个人信息的处置安排可能还存在由第三方参与的情形,此时法律是否可允许相关的第三方全权参与和安排处理死者生前的个人信息?
另一个有待实践落地的问题在于,由于《个信法》没有规定近亲属的权利行使顺序,如死者近亲属基于各自的合法权益主张,对如何处理死者个人信息意见不一致时,个人信息处理者应当如何响应近亲属提出的请求?此时是否需要参照《民法典》第九百九十四条以及有关继承顺位的规定,来依次确定权力行使的顺位和效力?
五、写在最后的话
总而言之,从二审稿提出对死者个人信息权益的保护,到《个信法》第四十九条对死者个人信息权益保障进行条件限缩,反映了当下立法者在个人信息主体权利乃至数据权益问题上的审慎态度。一方面,这一规定有效弥补了当下对于死者个人信息保护的空白,体现了个人信息乃至数据权益保护范围的扩张趋势;另一方面,为防止这一范围的无限扩张,立法通过设定前提条件的方式对行使个人信息/数据权利的场景和主体进行限定,以尽可能确保死者个人信息落入法律所认可的必要保护范围。这一做法与域外的死者个人信息保护的规则也具有一致性。
诚然,在全球视野下,死者权利保障目前还是主要集中在与经济权益相关的知识产权、继承等传统领域,对死者隐私权和个人信息保护仍处于探索阶段。我国《个信法》第四十九条对死者个人信息的保护无疑在全球隐私和个人信息保护领域添上了浓墨重彩的一笔,但长路漫漫,无论是个人信息的理论属性还是第四十九条应当如何在实践中落实,均需要立法者和个人信息处理者的共同推进,进一步探索可行、可靠的死者个人信息保护方案。未来随着互联网的不断渗透及时间的推移,对于死者个人信息的处置问题将更加凸显,我们也期待着《个信法》的这一规定能够有效指引此后的个人信息处理实践,结合个人信息保护理论和立法的深入发展,为个人信息及数据权益的保障问题起到“定分止争”的作用。
向下滑动阅览
脚注:
[1] 刺猬公社,《打开一个逝者账号,进行一次赛博时代的扫墓》。
[2] 法制日报,死者个人信息保护是否应设保护期,http://www.npc.gov.cn/npc/c30834/202108/4a68209f74e842f681807f55dc261838.shtml.
[3] 参见刘召成,《死者人格保护的比较与选择:直接保护理论的确立》,载《河北法学》2013年第10期。
[4] 参见陈林林、 陈杰,《<民法典>保护死者人格利益的法理基础——兼论近亲属权益保护说的理论困境及其解释论分析》,载《广西社会科学》2021年第2期。
[5] 南京市中级人民法院(2015)宁行终字第403号行政判决书。
[6] 《物权法》第十八条规定,权利人、利害关系人可以申请查询、复制登记资料,登记机构应当提供。
[7] LOI no. 2016-1321 du 7 October 2016 pour une République numérique (Digital Republic Act).
[8] Id.
[9] Art. 3, Organic Law 3/2018, of 5 December, on the Protection of Personal Data and Guarantee of Digital Rights.
[10] Id.
[11] See, Art. 4, Lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (Act No. 90/2018 on Data Protection and the Processing of Personal Data). See also, Art. 5, Databeskyttelsesloven (Data Protection Act).
[12] Michael D. Walker, THE NEW UNIFORM DIGITAL ASSETS LAW: ESTATE PLANNING AND ADMINISTRATION IN THE INFORMATION AGE, https://www.siouxfallsepc.org/assets/Councils/SiouxFalls-SD/library/Viren%20-%20Digital%20Assets%20-%20Michael%20Walker%20Article%2012-18.pdf.
[13] Id.
[14] Id.
[15] See generally, British Medical Association, Access to Health Records-Updated to reflect the General Data Protection Regulation and Data Protection Act of 2018, https://www.bma.org.uk/media/1868/bma-access-to-health-records-nov-19.pdf.
[16] Department of Health & Human Services, Health Information of Deceased Individuals, https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/health-information-of-deceased-individuals/index.html.
[17] 《过户已逝亲属手机号需亡者到场?回应:营业员解释不清》,见中国新闻网,http://www.chinanews.com/sh/2019/07-24/8904843.shtml,最后访问日期:2021年9月5日。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
陈胜男
主办律师
合规业务部
张凯勋
律师助理
合规业务部
感谢实习生徐晓妍对本文做出的贡献。
责任编辑:单珊
我知道你 在看 哦